Differenze tra FES, FEA e FEQ

L’Italia ha adottato tre tipi di firma elettronica: semplice, avanzata e qualificata. 

Tutte contribuiscono a rendere più efficienti i processi, a proteggere i dati nello scambio di informazioni e a ridurre i tempi e i costi di gestione dei documenti. 

Conoscere le caratteristiche di ciascun tipo di firma elettronica aiuta a scegliere la soluzione più adatta in base al documento, al contesto e agli obblighi legali.

Firma Elettronica Semplice (FES)

La Firma Elettronica Semplice si basa su requisiti meno stringenti rispetto alle altre tipologie ed è adatta ai contesti che richiedono meno vincoli. Consiste in una serie di dati elettronici associati a un documento con lo scopo di identificare chi firma.

Tra gli esempi più comuni di FES troviamo l’email ordinaria, inviata per approvare una proposta o un documento; oppure la selezione di opzioni su un sito web (point and click), in cui l’utente spunta una casella o clicca su un pulsante per accettare termini e condizioni di un contratto. 

Il valore legale della FES non è definito in automatico: viene valutato caso per caso in base alle caratteristiche del documento rispetto a sicurezza, integrità e protezione da possibili modifiche e alterazioni. 

Firma Elettronica Avanzata (FEA)

La Firma Elettronica Avanzata garantisce un livello di sicurezza superiore a quello della Firma Elettronica Semplice. Ha valore legale quando rispetta i requisiti stabiliti dal DPCM 22 febbraio 2013:

• collega in modo univoco la firma a chi sottoscrive il documento;
• identifica chiaramente chi firma;
• è generata da strumenti sotto il controllo esclusivo di chi firma;
• rileva ogni modifica apportata al documento dopo la firma.

Questi requisiti rendono la FEA equivalente alla firma autografa e adatta all’uso in ambiti come quello fiscale, bancario e assicurativo. 

Un esempio pratico è la firma grafometrica, in cui la persona firma su un dispositivo elettronico che registra i dati biometrici, come il movimento, la pressione e la velocità del tratto grafico.

La FEA è valida solo nel rapporto diretto tra chi firma e il soggetto che fornisce il servizio. Per esempio, può essere usata da una persona per firmare un contratto con la banca. Ma non è valida per documenti destinati a soggetti esterni a questo rapporto, come altre persone o enti.

Chi fornisce il servizio di FEA ha delle responsabilità definite dalla normativa:

• identificare correttamente chi firma;
• conservare i documenti per 20 anni;
• assicurare la copertura per eventuali responsabilità civili.

Firma Elettronica Qualificata (FEQ)

La Firma Elettronica Qualificata è la tipologia di firma con il massimo livello di sicurezza e si distingue per tre caratteristiche:

• autenticità: conferma l’identità della persona o dell’organizzazione che firma il documento, come per l’autenticazione digitale;
• integrità: garantisce che il contenuto non sia stato modificato dopo la firma, grazie ad algoritmi crittografici;
• non ripudio: collega in modo univoco e definitivo chi firma al documento, a tutela del valore legale.

Per l’autenticazione usa una Public Key Infrastructure (PKI), un sistema crittografico basato su una chiave pubblica e una privata, cioè dei codici, e un certificato digitale qualificato rilasciato da un prestatore di servizi fiduciari qualificato.

Chi firma usa la propria chiave privata per firmare, mentre chi verifica usa la chiave pubblica corrispondente per controllare che il documento sia integro e autentico. Il certificato digitale collega la chiave pubblica alle informazioni che identificano in modo certo chi firma.

Per il Regolamento eIDAS, la FEQ ha lo stesso valore legale della firma autografa in tutta l’Unione europea. Infatti, viene usata per sottoscrivere contratti, atti notarili e altri documenti con gli stessi vincoli.

Per le persone giuridiche, come le imprese, la normativa richiede il Sigillo Elettronico Qualificato (SEQ) invece della FEQ. Il sigillo viene usato per la firma digitale di documenti come bilanci e contratti.