Firma elettronica

Esistono diversi tipi di firme elettroniche, si distinguono fra loro per livello di sicurezza (e conseguente validità probatoria in fase di contestazione in tribunale) e per complessità tecnica e di utilizzo.

L'eIDAS (Electronic Identification, Authentication and Trust Services) definisce tre tipi di firme elettroniche:

• Firma Elettronica Semplice (FS)
• Firma Elettronica Avanzata (FEA)
• Firma Elettronica Qualificata (o Firma Digitale) (FEQ / FD)

La differenza tra i tre tipi di firma è principalmente il livello di sicurezza di ciascun tipo e la complessità del sistema di verifica dell'identità del firmatario che ciascuno di essi utilizza. La forza della firma risiede quindi nel grado di fiducia che fornisce circa l'identificazione del firmatario e nella prova che il documento sia effettivamente quello firmato, nonché naturalmente in una crescente validità probatoria in caso di giudizio.

Per una scelta consapevole dei pro e dei contro di ognuna di esse, di seguito andiamo a spiegare la differenza fra i vari tipi di firma elettronica.

Spesso le persone, d'istinto, tendono a scegliere la tipologia di firma più forte in assoluto. Bisogna però sempre tenere in considerazione il rapporto costo/beneficio, dove il costo non è solo una questione economica ma anche di praticità e velocità di utilizzo sia per il proponente (colui che propone un documento alla firma) sia per il firmatario (colui che deve firmare il documento che gli viene proposto).

Il proponente deve dunque bilanciare il livello di firma realmente necessario, consapevole che, al salire della sicurezza richiesta, il processo è sempre più complesso e costoso, soprattutto in termini di tempo, sia per il proponente che per il firmatario.

Noi di OTP Service proponiamo i primi due livelli di firma, quella semplice (FS) e quella avanzata (FEA). Non offriamo quella qualificata (firma digitale) poichè è tipicamente usata per le firme di documenti fra legali rappresentanti di un'azienda e la pubblica amministrazione o per atti notarili richiedenti il massimo livello di sicurezza. Questa tipologia di firma solitamente necessita di un hardware (token USB) che contiene a sua volta un certificato valido solo per un certo periodo di tempo e rilasciato dalle camere di commercio o altri enti accreditati dopo un processo di riconoscimento de visu. Un software residente sulla chiavetta consente di apporre firma e sigillo temporale direttamente nel documento. Per visualizzare il file firmato si necessita di un apposito software. Se devono firmare sia firmatario che proponente, entrambe le parti devono disporre del proprio token USB e della relativa password di firma (che sono strettamente personali e che non andrebbero mai delegate a terzi, ad esempio: all'interno di una azienda).

Segue descrizione della firma elettronica semplice e della firma elettronica avanzata che sono entrambi acquistabili in questo sito web. OTP Service è il primo e unico provider di firma che non obbliga ad un abbonamento ricorrente bensì offre sia un servizio completamente gratuito (ma limitato nel numero di firme) sia a consumo, a scalare da un credito prepagato utilizzabile sia dalla nostra interfaccia web oppure integrato nel proprio gestionale tramite le nostre API.

Firma elettronica semplice (FS)

Firma Elettronica “Semplice” è un nome comunemente utilizzato che raggruppa tutte le firme elettroniche ad esclusione di quelle avanzate e qualificate. Anche se è utilizzato dalla maggior parte dei provider di firma digitale, l'eIDAS non usa questo termine. Tuttavia, per semplificare la comprensione di questo documento, useremo il termine “firma semplice” per indicare il primo dei tre livelli di firma elettronica.

Oggi la stragrande maggioranza delle firme elettroniche in commercio sono cosiddette “semplici” perché alla portata di tutti, infatti, sono facili e veloci. La FS corrisponde al primo livello di sicurezza in termini di validità legale per un documento firmato da remoto.

Livello di sicurezza per la firma elettronica semplice

Non esiste dunque un elenco stabilito di requisiti per questo tipo di firma. Si può quindi, senza alcun processo concreto di verifica o consenso dell'identità, far firmare un documento molto rapidamente. In questo caso però, sarebbe molto facile per il firmatario disconoscere la firma. Secondo questa definizione, una firma scansionata o una firma digitale di base, come quella che apponi sul terminale del fattorino che ti porta un pacco, ad esempio, sono le cosiddette firme semplici.

Tuttavia, proprio in virtù del fatto che per la firma elettronica semplice è il giudice a valutarla caso per caso, otpservice.io ha deciso di rafforzarla, acquisendo così un maggior valore legale, grazie ad una serie di accorgimenti che abbiamo attinto direttamente dalla più stringente normativa della firma elettronica avanzata. Ad esempio, abbiamo aggiunto un ulteriore passaggio di autenticazione, come il sistema di doppia autenticazione tramite il quale un codice OTP, inviato al firmatario per SMS o email, è necessario per firmare il documento.

Allo stesso modo, sebbene non sia obbligatorio avere un tracking di controllo con le firme elettroniche semplici, abbiamo potenziato tutte le informazioni che vengono raccolte durante il processo di firma.

Nel registro degli eventi, vengono registrati: email del firmatario, il suo numero di telefono, l'indirizzo IP del computer utilizzato per firmare il documento, ecc. Lo scopo di questo registro è dare agli avvocati la possibilità di rintracciare facilmente le diverse fasi di una transazione passo dopo passo, fornendo così una maggiore credibilità in caso di contestazione di firma del documento.

Tutte queste informazioni aggiuntive vengono esposte nel certificato di firma che otpservice.io aggiunge, automaticamente, in coda al documento dopo la firma. Copia di tale documento viene spedita al firmatario da otpservice.io ed è sempre disponibile al proponente tramite il comodo pannello di controllo a lui riservato.

La firma elettronica semplice (FS), nonostante non soddisfi i requisiti delle firme elettroniche qualificate, è comunque riconosciuta dell' eIDAS come una firma pienamente ammissibile in procedimenti giudiziali.

L'art. 20 comma 1-bis del CAD (Codice dell'amministrazione digitale) stabilisce che l'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma elettronica adottata.

Firma Elettronica Avanzata (FEA)

Con riferimento al DPCM del 22/02/2013 articolo 55 e successivi, La Firma Elettronica Avanzata (FEA) consiste nell'insieme di dati in forma elettronica connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario.

Essi devono essere creati con mezzi sui quali il firmatario può conservare un controllo esclusivo e deve essere garantita l'immodificabilità del documento oggetto delle firma.

La FEA costituisce una firma più forte rispetto alla firma elettronica semplice in quanto:

• consente l'identificazione del firmatario e la connessione univoca dello stesso al documento firmato;
• tale connessione è creata utilizzando dei mezzi sui quali il firmatario può conservare il controllo esclusivo;
• consente di rilevare se i dati sono stati modificati successivamente all'apposizione della firma elettronica avanzata.

La firma elettronica a livello Europeo

Il Regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014, noto con l'acronimo eIDAS (Electronic IDentification Authentication and Signature), ha fissato norme e procedure per le firme elettroniche.

A livello europeo, il sistema delle firma elettroniche va ricondotto alla direttiva 1999/93/CE, Direttiva del Parlamento europeo e del Consiglio relativa ad un quadro comunitario per le firme elettroniche. Pubblicata nella G.U.C.E. 19 gennaio 2000 L. 13, è entrata in vigore il 19 gennaio 2000. Particolare importanza ha l'articolo 5 della direttiva, che prevede obblighi degli Stati membri relativi sia alle «firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura» sia ad altri sistemi di firma (che oggi vengono genericamente chiamati deboli o semplici). Si rinvia alla voce Teleamministrazione. L'Italia si è adeguata alla direttiva nel 2002 (D. lgs. 23 gennaio 2002, n. 10)

Valore Giuridico delle firme

Il valore giuridico dei documenti informatici sottoscritti con firme digitali è disciplinato all'interno del CAD, il Codice dell'Amministrazione Digitale, il quale stabilisce che i documenti sottoscritti con:

• Firma elettronica semplice (FS): dal punto di vista del valore probatorio e dell'idoneità di soddisfare il requisito della forma scritta, sono liberamente valutabili in giudizio da parte del giudice.
• Firma elettronica Avanzata (FEA):soddisfano il requisito della forma scritta e hanno l'efficacia della scrittura come se fossero state prodotte in presenza.