Magazine

Firma Elettronica Avanzata e Firma Elettronica Qualificata, l’importanza di conoscere le differenze

30/06/2020
Firma Elettronica Avanzata e Firma Elettronica Qualificata, l’importanza di conoscere le differenze
PMIPrivatiProfessionistiPubblica Amministrazione
I servizi relativi alla Firma Digitale, stanno suscitando un grande interesse tra i cittadini e secondo un monitoraggio di AgID a fine 2019, erano oltre 20 milioni le utenze di Firma Digitale attive.
Si tratta di uno strumento estremamente utile in questo momento particolare ed infatti ha avuto un’ulteriore possibilità di ascesa negli ultimi mesi, rendendo i servizi digitali e remoti, in molti casi, delle vere e proprie ancore di salvezza.
Sembra quindi che la Firma Digitale stia prendendo sempre più campo, riscuotendo successo e risultando una preziosa alleata in molte situazioni.
Il panorama delle firme elettroniche in Italia però è estremamente vario e, a seconda del contesto, è necessario conoscere ed utilizzare lo strumento adeguato.
A livello nazionale, sono 3 le categorie di firma conosciute:
  1. Firma Elettronica Semplice (FES)
  2. Firma Elettronica Avanzata (FEA)
  3. Firma Elettronica Qualificata (FEQ), identificata anche come Firma Digitale (FD)

Non tutte le firme elettroniche però hanno il medesimo valore ed appare evidente a questo punto la necessità di fare chiarezza sull’argomento e soprattutto sulle differenze tra FES, FEA e FEQ, perché capita con frequenza di generalizzare, mentre in realtà vi sono differenze evidenti, che incidono soprattutto in termini legali.

Firma elettronica semplice (FES)

In ambito informatico, è la tipologia di firma più semplice e di conseguenza la più utilizzata ma al tempo stesso è anche la più “debole”, in quanto viene definita dai regolamenti europei come "dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. Leggendo questa definizione ci si accorge immediatamente che è abbastanza generica e non contiene alcun riferimento al termine “documento”, piuttosto sembra che sia un collegamento tra dati utilizzabile per gli scopi più disparati tra cui anche autenticarsi.
Gli esempi di FES possono essere molti, come l’associazione nome utente e password per l’accesso a social network, forum, caselle di posta (anche PEC) o la firma biometrica (da non confondere con quella grafometrica che vedremo con la FEA).

Firma elettronica avanzata (FEA)

La Firma Elettronica Avanzata, per essere riconosciuta come tale, deve necessariamente soddisfare una serie di requisiti contenuti nelle regole tecniche in materia, vigenti in Italia ed esplicitate nel DPCM 22.2.2013.

Nello specifico, una Firma Elettronica Avanzata deve soddisfare i seguenti requisiti:
  1. l’identificazione del firmatario del documento;
  2. la connessione univoca della firma al firmatario;
  3. il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
  4. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
  5. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
  6. l’individuazione del soggetto che eroga la soluzione di firma elettronica avanzata;
  7. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
  8. la connessione univoca della firma al documento sottoscritto.

Un buon esempio di Firma Elettronica Avanzata è la firma grafometrica su tablet, che probabilmente tutti avremo usato almeno una volta in banca o all’ufficio postale.
Questa tipologia di firma può essere usata in qualsiasi contesto, fatta eccezione per i contratti dove sono richieste maggiori tutele e per cui è necessario utilizzare una firma qualificata, come ad esempio le transazioni immobiliari, ed altri diritti immobiliari. Questo aspetto è chiarito in maniera esaustiva nell’art. 1350 del Codice Civile.

Varianti della FEA e precisazioni importanti

E’ considerata una FEA - esclusivamente nei rapporti verso la Pubbliche Amministrazioni - una firma apposta con i certificati presenti sulla CIE, CNS, Tessera Sanitaria, Passaporto Elettronico o degli altri strumenti ad essi conformi.
Inoltre, si è aggiunta recentemente anche la “Firma con SPID” che, seppure sia capace di far ottenere ai documenti sottoscritti il requisito della forma scritta e l’efficacia fino a querela di falso - tipici nelle soluzioni FEA - non rientra in quest’ultima categoria e rappresenta una peculiarità tutta italiana. Per questa ragione l’efficacia di queste sottoscrizioni è limitata ai confini nazionali, in quanto la normativa europea applicabile in questo contesto non regola questa modalità.

Firma elettronica qualificata (FEQ) e Firma Digitale

La FEQ è definita dal Regolamento Europeo eIDAS come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato”.
Le principali caratteristiche della Firma Elettronica Qualificata sono:
  • viene utilizzato un certificato qualificato emesso da un Ente Certificatore accreditato (Prestatore di Servizi Fiduciari qualificati);
  • lo standard tecnologico è ben definito;
  • è richiesto l’utilizzo di un dispositivo sicuro di firma (Smart Card, Token USB, HSM);
  • interoperabilità.
La Firma Elettronica Qualificata o firma elettronica “forte”, è quindi una firma avanzata che consente una stretta connessione tra l’oggetto sottoscritto e la firma, e quindi i dati contenuti nel certificato del titolare.
A tali fini, dispone la norma, la firma deve essere apposta mediante un “dispositivo per la creazione di una firma elettronica qualificata” sul quale il firmatario deve poter esercitare un controllo esclusivo.
La corrispondenza tra le chiavi di firma e il sottoscrittore è garantita da un Certificatore (la terza parte fidata – un Qualified Trust Service Provider ai sensi del Regolamento eIDAS) riconosciuto dall’AgID (come Aruba PEC).
La norma italiana (CAD) stabilisce anche che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”, prevedendo quindi, per la sola Firma Elettronica Qualificata o Digitale, l’inversione dell’onere probatorio a carico del titolare del dispositivo di firma, che deve fornire la prova di non averlo utilizzato.
Godono delle medesime caratteristiche anche i servizi di Firma Remota e Firma Automatica

Efficacia probatoria dei documenti sottoscritti

Il criterio per valutare l’efficacia probatoria di un documento informatico sottoscritto con Firma Elettronica è disciplinato in Italia dal Codice dell’Amministrazione Digitale (CAD). Anche in Europa però l’approccio è più o meno lo stesso, ossia si stabilisce che alle firme elettroniche non possono essere negati gli effetti giuridici per il solo motivo della loro forma elettronica.
Inoltre qualunque documento sottoscritto con una Firma Elettronica può essere considerato dotato di forma scritta ma, per gli effetti probatori di volta in volta dovrà essere oggetto di valutazione da parte del giudice.
Collegandoci a quanto detto prima su cosa può essere considerata una FES, possiamo quindi affermare che per esempio, un’email ordinaria può costituire di per sé un indizio di prova, in forma scritta, idoneo ad indirizzare il convincimento di un giudice.

Il discorso è leggermente diverso quando parliamo di FEA e FEQ.

Infatti in questi casi le norme ci dicono che il documento sottoscritto, oltre ad avere la forma scritta, ha l'efficacia prevista dall'articolo 2702 del Codice Civile, ossia fa piena prova, fino a querela di falso. Equivalente quindi alla firma apposta con penna su carta.
Infine, solo nel caso della FEQ, i suoi attributi e la sua solidità crescono ancora e quindi in tema di disconoscimento della firma, avremo che il firmatario contro il quale quella firma è stata prodotta (in tribunale) sarà lo stesso che dovrà dar prova del fatto che la firma in questione non è stata apposta da lui. Può sembrare un dettaglio, ma un concetto del genere rafforza di molto il valore di una firma apposta con un certificato qualificato.
Per riassumere gli effetti delle varie firme, proponiamo la tabella riassuntiva seguente:
 
Tipo di firma Contesto di utilizzo Efficacia probatoria Disconoscimento Esempi
Firma Elettronica Semplice Tutti i contesti dove non è richiesta l’efficacia della scrittura privata Liberamente valutabile dal giudice A carico di chi produce il documento Facebook, email, forum
Firma Elettronica Avanzata Tutti i contratti eccetto trasferimento immobili, etc Scrittura privata A carico di chi produce il documento Firma grafometrica*
Firma Elettronica Qualificata Qualunque Scrittura privata A carico di chi ha utilizzato il dispositivo di firma Firma su Smart Card, Firma Remota


In breve e per concludere in modo chiaro e dissipare eventuali dubbi:
La firma apposta con SPID è una paragonabile ad una FEA?
NO, in quanto gode della stessa efficacia unicamente in ambito italiano.

La firma con Carta d’Identità Elettronica (CIE) o Carta Nazionale dei Servizi (CNS) è una FEA?
No, rappresenta una FEA solo nei confronti delle Pubbliche Amministrazioni.

Quale firma ha lo stesso valore di una firma autografa apposta di fronte ad un pubblico ufficiale senza particolari limitazioni?
L’unica tipologia di firma a rispondere a questo requisito è la Firma Elettronica Qualificata (FEQ).


*Purchè coerenti con i requisiti imposti dal DPCM 22.2.2013