La tecnologia che consente di firmare elettronicamente è stata inventata negli anni ’70, ma l’utilizzo con valore legale ha richiesto il recepimento da parte delle istituzioni. A tale proposito la normativa italiana può vantare di essere stata tra le prime al mondo, con la L. 15.03.1997, n. 59, a conferire valore giuridico non solo ai documenti, ma anche alle sottoscrizioni digitali. L’Italia, inoltre, ha recepito la direttiva comunitaria del 1999 ed emanato nel 2005 un Codice dell’Amministrazione Digitale (CAD), per disciplinare il valore giuridico degli atti della pubblica amministrazione.
È la principale firma elettronica per motivi diversi, ma riconducibili ad aspetti economici e pratici. L’identificazione da parte del prestatore di servizi fiduciari qualificato è una procedura che incide in modo significativo sul costo del servizio, in quanto richiede un’attività umana, in presenza o da remoto.
Per tale ragione esiste la firma elettronica non qualificata, ma avanzata, utile nei contesti in cui l’identità può essere accertata con costi marginali bassi o nulli da parte di un soggetto giuridico, tipicamente un’azienda. Questo è un caso tipico per aziende o istituzioni che hanno bisogno di far firmare elettronicamente un numero significativo di clienti, fornitori o collaboratori, senza grandi rischi legati all’eventuale disconoscimento.
La firma elettronica qualificata avanzata (AES)
Il termine avanzata serve a indicare che comunque esiste un soggetto che accerta l’identità del firmatario, ma senza tutte le garanzie di sicurezza richieste a un QTSP (Prestatori di servizi fiduciari qualificati – Qualified Trust Service Provider.) Secondo il Regolamento eIDAS la advanced electronic signature (AES) è tecnicamente simile a quella qualificata, ma il TSP non è qualificato.
Essendo realizzata con la stessa tecnologia della firma qualificata, basata su dei certificati emessi secondo standard tecnici, la AES presenta comunque importanti vantaggi di interoperabilità tra le organizzazioni all’interno dei Paesi UE.
La firma elettronica qualificata avanzata (FEA)
Tale firma nasceva dalla necessità, per alcuni operatori, soprattutto in ambito bancario, di dotare i propri clienti di una firma elettronica praticamente non ripudiabile, ma senza dover ricorrere a un QTSP. La FEA fu così definita con requisiti stringenti circa la documentazione del processo e lasciando più libertà alla scelta della tecnologia. Questo aprì la strada a forme non basate sulla crittografica, ma sulla biometria.
La più diffusa oggi, soprattutto in ambito bancario, è la firma grafometrica. L’uso della FEA risulta limitato ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto proponente (art. 60 D.P.C.M. 22.02.2013).
Le altre forme di firma elettronica (FES)
Dal punto di vista degli effetti giuridici tutte le altre forme di firma di documenti informatici, non riconducibili alle tre sopra esposte (FEQ, AES, FEA), possono essere classificate come firma elettronica semplice (FES).
Per completare il quadro delle firme elettroniche eIDAS si menziona il sigillo elettronico, che è una firma elettronica il cui certificato è intestato a una persona giuridica invece che fisica. Torna utile, ad esempio, laddove è necessario garantire solo l’integrità e l’origine di documenti che non hanno il valore di un negozio giuridico, per i quali quindi non si pone il problema del disconoscimento da parte del firmatario
FIRME ELETTRONICHE E IDENTITÀ DIGITALI
L’ebook di oltre 40 pagine che illustra cosa sono, come sono evoluti e come utilizzare i nuovi strumenti di riconoscimento digitale.
I sigilli elettronici sono qualificati solo se il certificato è emesso da un QTSP. Questo genere di firma elettronica dovrebbe oggi sostituire, ad esempio, la FEQ nell’uso della firma massiva o firma automatica, attività tipica della conservazione a norma.
Quadro di sintesi
Tipo di firma
Sigla
Possibili applicazioni
Firma Elettronica Qualificata
FEQ
– Qualunque uso personale o PMI – Dà il massimo delle garanzie
Advanced Electronic Signature
AES
Ampi contesti organizzativi in UE
Firma Elettronica Avanzata
FEA
Ampi contesti organizzativi in Italia
Firma Elettronica Semplice
FES
Semplici dichiarazioni di scienza o con rischio di ripudio assente o accettabile (negozi giuridici di scarso valore)
Casi di utilizzo della firma elettronica
Se guardassimo soltanto gli aspetti legali, la firma elettronica utilizzabile in qualsiasi situazione sarebbe quella qualificata. Il suo valore è riconosciuto in tutti gli Stati UE e spesso anche al di fuori. È considerata assolutamente equivalente a una firma autografa (o olografa). Sia i privati che le pubbliche amministrazioni non possono rifiutarsi di accettarla e comunque sono rarissimi i casi di uffici pubblici non ancora in grado tecnicamente di processare documenti con firma elettronica qualificata.
Risulta l’unica appropriata quando si instaurano negozi giuridici che richiedono sottoscrizioni autografe, come un qualsiasi contratto tra privati, ma perfino un rogito se il notaio lo consente, oppure quando si devono trasmettere documenti alla pubblica amministrazione, come la SCIA (Segnalazione Certificata di Inizio Attività) da presentare in Comune per iniziare, modificare o cessare un’attività produttiva. Non essendo ripudiabile offre, infatti, piene garanzie a chiunque la riceva.
L’identità digitale
Definizione
Possiamo immaginare l’identità digitale come l’oggetto equivalente, nel cosiddetto “mondo digitale”, del passaporto, della carta di identità o del tesserino: con essa abbiamo accesso a una parte di quel mondo, ovvero a un sito o a un portale. È possibile, quindi, che si possa avere più di una identità digitale, esattamente come si possono avere due passaporti di nazioni diverse o più di un tesserino.
Per ogni sito può essere necessaria una diversa identità digitale (simile alle serrature degli alberghi e ai varchi di accesso agli uffici delle aziende). Può anche succedere che un’identità digitale sia riconosciuta valida da siti diversi da quello che l’ha emessa: così usando l’identità digitale di un social network spesso possiamo accedere a molti siti, proprio come con il passaporto che ci consente di viaggiare in più paesi. In pratica, l’identità digitale è ciò che consente ai computer di riconoscerci. E il modo più semplice, in voga da decenni, è quello di utilizzare un nome univoco e una password segreta.
Volendo riprendere l’analogia con il tesserino, il nome utente univoco corrisponde al numero della stanza d’albergo, riportato anche sul dorso del tesserino, mentre la password segreta è memorizzata nella banda magnetica. Il processo di verifica di una identità digitale da parte di un computer prende il nome tecnico di autenticazione.
Lo SPID
Caratteristiche e funzioni dello SPID
Le istituzioni, così come le banche e molte altre aziende prestatrici di servizi, devono accertarsi dell’identità del richiedente prima di consentire l’accesso e dare corso alle richieste dell’utente. A tale scopo è necessario avere identificato precedentemente con un sufficiente livello di sicurezza la persona fisica al momento di fornirle l’identità digitale, cui sono così associati i dati anagrafici in modo univoco.
In Italia è stato creato il Sistema Pubblico di Identità Digitale (SPID). Si tratta di un servizio che garantisce a tutti i cittadini e alle imprese un accesso unico, sicuro e protetto ai servizi digitali della Pubblica Amministrazione. Anche i soggetti privati possono aderirvi, con la differenza che, mentre per la Pubblica Amministrazione il servizio è gratuito, per le aziende è a pagamento. In questo modo i costi di avviamento del servizio pubblico SPID sono stati sostenuti da alcune aziende private, i Gestori di Identità Digitale (IdP, Identity Provider), che hanno investito scommettendo sul diffondersi di esso anche per l’accesso ai siti delle aziende. Questo ha fatto sì che i gestori si impegnassero a fornire per sempre e gratuitamente a tutti i cittadini il servizio SPID.
Sono sempre più numerosi i servizi online della Pubblica Amministrazione su cui è possibile accedere con SPID. Se si è già in possesso di SPID, prima di recarsi ad uno sportello conviene controllare sul sito della PA o fare una ricerca sulla pagina dedicata all’utilizzo dello SPID.
IT Wallet
Dal 15.07.2024, in via sperimentale, una parte dei cittadini sarà coinvolta nell’uso di IT Wallet; in caso di successo, si potranno tenere nel portafoglio digitale sempre più documenti importanti, evitando la necessità di avere con sé il corrispondente cartaceo. Questa soluzione è portata avanti dalle iniziative europee e adesso è arrivata anche in Italia con la prima sperimentazione.
Lo strumento non sostituirà i documenti di identità come la CIE o credenziali di accesso come lo SPID, ma si aggiungerà come mezzo per ottimizzare la gestione dei documenti; in altri termini, per accedere al proprio portafoglio digitale occorrerà avere a disposizione una credenziale come lo SPID o la CIE.
Utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Lo facciamo per migliorare l'esperienza di navigazione e per mostrare annunci (non) personalizzati. Il consenso a queste tecnologie ci consentirà di elaborare dati quali il comportamento di navigazione o gli ID univoci su questo sito. Il mancato consenso o la revoca del consenso possono influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.