Tutto su... la firma digitale

di Massimo Montanile e Stefano Voci, rispettivamente Lead Auditor ISO/IEC 27001 e Data Protection Officer e Progettista Software di Sistemi Elettronici Avanzati, Quality Manager di Processo Sviluppo Software

La diffusione della firma digitale può essere considerata uno dei simboli della digital transformation. Sul tema si corre tuttavia il rischio di fare confusione perché esistono più tipi di firma e sono spesso citate impropriamente. Cogliamo l’occasione della pubblicazione del monitoraggio che l’agenzia per l’Italia digitale (Agid) effettua sui dati forniti dai certificatori accreditati per fare un po’ di chiarezza.

I riferimenti che useremo principalmente come fonti sono il Codice dell’Amministrazione Digitale (CAD), il testo unico delle norme italiane riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese, ed il Regolamento eIDAS, che fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni nell’Unione Europea. Le definizioni contenute nel CAD sono state tutte soppresse, quindi anche quelle di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, per le quali valgono le definizioni di cui all’articolo 3 del Regolamento eIDAS.

Il documento informatico

Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una Firma Digitale, altro tipo di Firma Elettronica Qualificata o una Firma Elettronica Avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche prima richiamate. [CAD - Art. 20 c.1-bis]

La Firma Elettronica (FE)

La Firma Elettronica è la più semplice fattispecie di sottoscrizione informatica. Si tratta di una definizione di principio: solo in sede di giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità, saranno valutabili il valore probatorio e l’idoneità del documento informatico “sottoscritto” con firma elettronica al soddisfacimento del requisito della forma scritta. Una mail ordinaria è un tipico esempio di FE.

La Firma Elettronica Avanzata (FEA)

La FEA è una firma elettronica che soddisfa i requisiti di cui all’articolo 26 del Regolamento eIDAS:

a) è connessa unicamente al firmatario;

b) è idonea a identificare il firmatario;

c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Un diffuso esempio di FEA è costituito dalla firma grafometrica utilizzata su tablet in molti contesti, tra i quali le banche e le assicurazioni.

La Firma Elettronica Qualificata (FEQ)

Anche la FEQ è definita nell’eIDAS e in particolare nel numero 12) dell’articolo 3. Costituisce la più forte istanza di sottoscrizione informatica perché può essere utilizzata in ogni contesto in sostituzione della sottoscrizione autografa, della quale è giuridicamente equivalente. Con il Regolamento eIDAS dal 1 luglio 2016 è riconosciuta all’interno del Mercato europeo comune (MEC), essendo le regole tecniche comuni a tutti gli Stati membri. Per favorirne la diffusione si sono sviluppate delle particolari modalità di apposizione della FEQ, come la firma remota e la firma automatica, che utilizzano dispositivi denominati Hardware Security Module (HSM). Il DPCM 22 febbraio 2013 li definisce come (articolo 1, comma 1, lettera p) “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.

La Firma Digitale (FD)

La Firma Digitale è un particolare tipo di Firma Elettronica Qualificata. Essa è basata su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’altra privata, sotto il controllo esclusivo del sottoscrittore). Questa firma è utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio. Essa è disconoscibile solo provando di non aver firmato: il sottoscrittore ha l’onere della prova. Con il Regolamento eIDAS dal 1 luglio 2016 è di valore europeo e interoperabile all’interno del mercato interno essendo le regole tecniche comuni a tutti gli Stati membri.In particolare, la FD garantisce l’identità del sottoscrittore (Autenticità), assicura che il documento non sia stato modificato dopo la sottoscrizione (Integrità) e attribuisce piena validità legale al documento firmato (Validità legale). Nelle organizzazioni, i moderni sistemi documentali ECM – Enterprise Content Management - ormai integrano nei propri workflow la possibilità di apporre una Firma Digitale Remota (FDR), che consente di apporre la firma digitale mediante una Otp (One time password). Rendendo più flessibile la soluzione. In questi casi il certificato di Firma Digitale è custodito da remoto dall’Ente certificatore qualificato.

La versione integrale completa dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.