Che cos’è una Firma elettronica?

La Firma Elettronica e le sue declinazioni

In questo articolo si vuole fornire un’utile guida al riconoscimento delle varie tipologie di Firma Elettronica, ed il relativo campo di applicazione

INTRODUZIONE

Sebbene la Firma Elettronica sia uno strumento che trova un largo impiego, ancora oggi non si hanno le idee chiare su quali siano le differenze, ad esempio, fra una Firma Elettronica ed una Digitale.

Cercherò in questo articolo di fornire la maggior chiarezza possibile, con un linguaggio semplice, affinché si possa comprendere meglio cosa si intende con i seguenti termini:

Firma Elettronica;
Firma Digitale;
Firma Qualificata

Firma Grafometrica;
Firma Avanzata;

unitamente alla efficacia ed i relativi campi di applicazione.

Nota: per favorire una migliore comprensione, non è nello scopo dell’articolo fornire tutti i dettagli tecnici connessi con la materia trattata, i quali potrebbero risultare fuorvianti ai fini dell’obiettivo.

LA FIRMA E LE SUE DECLINAZIONI

Siamo tradizionalmente legati al fatto che, per accettare ad esempio un contratto, o per sottoscrivere un qualsiasi documento ci venga sottoposto, si deve porre la propria firma su carta. Il motivo è legato alle peculiarità della nostra firma personale, ovvero la sua unicità, il suo carattere ed alla sua riconoscibilità in caso di contenzioso.

Il termine italiano “Firma” deriva dalla parola latina firmus, nel senso di definito, inamovibile.

Il termine internazionale “Signature” deriva dalla parola latina “signare”.

In Italia, a distanza di tempo (per la precisione 26 anni!), con il DPR 10 del novembre 1997, n. 513 è stata introdotta in Italia la firma digitale. Si trattava di una normativa rivoluzionaria, applicativa della legge c.d. Bassanini 1 (legge 59/1997), se pensiamo che riconosceva per la prima volta validità alla sottoscrizione eseguita attraverso uno strumento digitale equiparandola alla sottoscrizione di pugno.

Il primo tentativo di unificare il significato e la valenza di Firma Elettronica al livello Europeo, è stato con la direttiva 1999/93/CE, la quale ne introduceva il quadro legale con il dichiarato obiettivo finale di semplificarne l’utilizzo ed agevolarne il riconoscimento giuridico in tutti i paesi UE. Certamente, con l’avvento del regolamento europeo 910/2014 (più noto come regolamento eIDAS), si è dato poi un decisivo impulso ai propositi già presenti nella direttiva del 1999. eIDAS oggi rappresenta un punto di riferimento normativo in materia di Firma Digitale.

Ma cos’è dunque una Firma Digitale? Che differenza c’è con la Firma Elettronica?

A tale scopo ci viene incontro un utile schema contenuto nel documento references [1]

Come si vede chiaramente dall’immagine, la Firma Elettronica è un concetto generale di Firma che riassume tante e varie tipologie di Firma.

La definizione di Firma Elettronica è contenuta nella direttiva europea già citata (1999/93/CE): ovvero dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione.

Molto spesso ci è capitato di imbatterci in un documento (magari un pdf, o un doc) sottoscritto semplicemente tramite una immagine di una Firma posizionata in un punto specifico. Oppure un documento in cui nel campo firma vi è riportato solo il nome ed il cognome del sottoscrittore (a volte chiamato anche Firma a Stampa). Questi sono tutti esempi di Firma Elettronica, ovvero una tipologia di firma che, in minima parte, è in grado di associare il documento ad una persona.

Come si può ben immaginare, una Firma Elettronica eseguita con questi presupposti è per sua natura debole, facilmente contraffabile ma, ciò nonostante, può rappresentare un elemento che può essere preso in considerazione in caso di contenzioso essendo, normativamente parlando, “liberamente valutabile in giudizio”.

La Firma Elettronica, dunque, è un termine generico, al quale si possono condurre specifiche e più semplici tipologie di firma, come visto. Ma essa rappresenta anche il concetto di astrazione di altre tipologie di Firme Elettroniche più specifiche (ed anche più sicure), che andiamo ad analizzare.

La Firma Avanzata è stata anch’essa introdotta per la prima volta nella già citata direttiva europea, salvo poi essere recepita in Italia grazie al DPR 7 aprile 2003, n. 137.

Per definizione, la Firma Avanzata deve soddisfare i seguenti requisiti:

essere connessa in maniera unica al firmatario;
essere idonea ad identificare il firmatario;

essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
essere collegata al documento elettronico da autenticare, in modo da consentire l’identificazione di ogni successiva modifica di detti dati.

La chiave per comprendere cosa sia una Firma Avanzata è nella affermazione “essere connessa in maniera unica al firmatario”.

Per spiegare bene ed in maniera semplice cos’è una Firma Avanzata, è bene partire da quelle che al giorno d’oggi risultano le Firme Avanzate più diffuse in Italia; ovvero:

La Firma Grafometrica;

La Firma con la Carta d’Identità Elettronica (in seguito semplicemente CIE).

La Firma Grafometrica è una soluzione particolare di firma che consente di raccogliere le caratteristiche tipiche della firma autografa, utilizzando tablet o tavolette evolute. In questo contesto è possibile raccogliere dati tecnici quali la velocità, l’inclinazione, la pressione, l’accelerazione (e rallentamenti) ed i tratti aerei, associati al movimento con cui eseguiamo la firma. Queste informazioni, per la loro natura, sono strettamente personali e, alla stregua ad esempio delle impronte digitali, devono essere trattate come dati biometrici.

In queste condizioni, il requisito per il quale la firma “è connessa univocamente al firmatario” è soddisfatto, perché i dati biometrici sono strettamente personali per definizione.

Al fine di dare valore alla firma grafometrica, i dati biometrici vengono inclusi nel documento sottoscritto, in maniera protetta.

In casi di contenzioso legale, un perito grafologico valuterà le caratteristiche tecniche dei dati biometrici contenuti nel documento in esame, con quelli acquisiti con una nuova firma eseguita dal vivo dal Firmatario. Solo dalla analisi comparativa si stabilirà l’effettiva paternità del documento.

D’altronde la “connessione univoca con il firmatario”, può essere anche soddisfatta utilizzando come strumento di Firma il proprio documento personale (la CIE). La verifica di un documento contenente tale firma, riconduce direttamente al titolare ed al rispettivo codice identificativo del documento.

Come visto, la firma avanzata rappresenta un balzo in avanti rispetto ai criteri di sicurezza rispetto ad una generica firma elettronica. Ma è con il termine Firma Digitale che si raggiunge il massimo livello.

Innanzitutto, è bene chiarire da subito che i termini “Firma Digitale” e “Firma Elettronica Qualificata” hanno lo stesso significato.

Per eseguire una Firma Digitale è necessario possedere un Certificato Digitale di Firma Elettronica qualificata (in seguito descritto anche solo come “Certificato Qualificato”). Il rilascio di tale certificato è a pagamento, ed è soggetto alla verifica della propria identità presso un Prestatore di Servizi Fiduciari Accreditato (QTSP).

L’attivazione del Certificato Qualificato è accompagnata dalla consegna di codici di sicurezza (in alcuni casi, anche di un token USB o una smartcard). I codici di sicurezza sono strettamente personali, generalmente prodotti mediante supporti che garantiscono la riservatezza (ad es. buste cieche), e non devono mai essere condivisi con nessuno. Questo perché gli stessi danno accesso alla chiave di firma e dunque alla possibilità di poter Firmare un qualsiasi documento in maniera Qualificata, al più alto livello di garanzia esistente (esattamente come per la firma di pugno). Infatti, i documenti sottoscritti con Firma Digitale, soddisfano il requisito della forma scritta e hanno l’efficacia prevista dall’articolo 2702 del Codice Civile Italiano.

La lista dei certificatori italiani attivi in Italia è pubblicata da AgID al sito

https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/prestatori-di-servizi-fiduciari-attivi-in-italia

La lista dei certificatori europei (compresa l’Italia) è pubblicata al sito

https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home

CONCLUSIONI

Abbiamo visto dunque le principali tipologie di Firma Elettronica, il loro significato, il loro valore.

A tale scopo si riporta l’utile tabella riassuntiva riportata nel documento cui il rif [1], circa le differenti caratteristiche delle varie tipologie di firma analizzate.

Come visto, l’efficacia di una Firma Elettronica cresce con i meccanismi intrinseci di sicurezza delle varie tipologie di firme esposte: una Firma Elettronica di base non ha fondamenti tecnici validi, anche se alla firma elettronica non devono essere negati effetti giuridici e ammissibilità come prova in giudizio; al contrario di una firma avanzata, che vanta criteri più forti grazie all’utilizzo di procedure di autenticazione e (nella maggior parte dei casi) di dati biometrici inseriti (protetti) all’interno del documento, utili a dimostrare la relazione con il firmatario. Per la firma elettronica qualificata, la garanzia di sicurezza è garantita da severi requisiti applicati su strumenti e procedure a cui tutti i QTSP eIDAS devono aderire.

Tutti i QTSP devono pubblicare uno strumento di verifica online, che deve consentire di verificare che una firma eseguita con un dato Certificato Elettronico Qualificato sia conforme alla normativa europea. Oppure no.

Infatti, è molto importante tenere presente che anche se una data firma risulta valida dopo il processo di verifica, questa può non essere ritenuta accettabile e dunque rifiutata. Questo a causa delle restrizioni che possono essere applicate al certificato digitale del firmatario (spesso soprattutto su quello Qualificato), che possono limitare il campo di applicazione dello stesso andando ad esempio ad influenzare il contenuto di un documento (ad esempio limitando il valore di transazioni economiche), il tipo di documento utilizzato, il tipo di destinatari.

Dunque, è molto importante conoscere il valore di una Firma Elettronica, il suo campo di applicazione e il suo valore, soprattutto a fronte di una procedura di verifica rigorosa che tenga conto non solo del risultato dello specifico tool di verifica a disposizione, ma anche di una valutazione soggettiva che il ricevente dovrà fare al fine di accertare se la firma è applicabile al contesto nel quale è utilizzata.

References

[1] Firme e Sigilli Elettronici – Analisi comparativa delle varie tipologie presenti nella normativa nazionale e comunitaria – link

Marco BERARDI
BL eGovernance, BU Defensive Security, Innovery

Cookie	Durata	Descrizione
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Durata	Descrizione
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Durata	Descrizione
rl_anonymous_id	never	RudderStack set this cookie to store statistical data of users' behaviour on the website, which can be used for internal analytics by the website operator.
rl_group_id	never	RudderStack sets this cookie to collect user activity on the web.
rl_group_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referrer	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referring_domain	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_user_id	never	RudderStack set this cookie to store a unique user ID for the Marketing/Tracking purpose.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
cf_clearance	1 year	Description is currently not available.
ww_d	50 years	No description available.
ww_l	50 years	Description is currently not available.
ww_p	50 years	No description available.
ww_s	1 hour	No description available.