A cura di Guido Allegrezza, I.T. Telecom S.r.l.

Non si può certo dire che la normativa italiana in materia di Firma Elettronica sia di facile comprensione e accessibile. Eppure, la firma elettronica è l’elemento basilare di ogni processo di dematerializzazione dei flussi documentali e dovrebbe dunque essere trattato con la massima attenzione, proprio per favorire un’applicazione certa, coerente e rapida. Purtroppo, il nostro Legislatore sembra invece aver preferito strade più tortuose, che rendono più complessa l’adozione di questo strumento fondamentale. Cerchiamo, dunque, di fare insieme un po’ di chiarezza e di semplificare la vita a chi vuole capire ed orientarsi in questa selva di concetti, facendo un piccolo focus sulle differenze fra la firma digitale e la firma elettronica avanzata.

PARTIAMO DALLE DEFINIZIONI
La firma elettronica (FE) è il nostro “universo di riferimento” ed è genericamente definita ad alto livello dal CAD (art. 1) come un insieme di dati in forma elettronica, allegati o connessi ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
La firma elettronica avanzata (FEA) (art. 56 Regole Tecniche) costituisce una specificazione della FE, che:

• consente l’identificazione del firmatario
• garantisce la connessione univoca con lui
• è creata con mezzi sui quali il firmatario può conservare un controllo esclusivo
• consente di rilevare eventuali modifiche dei dati cui è apposta
• il firmatario può avere evidenza di ciò che ha firmato
• vi deve essere connessione univoca fra firma e documento
• non vi devono essere elementi di alterazione del documento
• deve essere possibile individuare l’erogatore del servizio.

Esiste poi la firma elettronica qualificata (FEQ), che è definita come una FEA basata su un certificato qualificato, realizzata mediante dispositivo sicuro per la creazione della firma (in pratica una smartcard o un hsm).
Infine, si arriva alla definizione di firma digitale (FD), ovvero che è un tipo particolare di FEQ basata su un sistema di chiavi crittografiche asimmetriche (una pubblica e una privata), che consente di rendere manifesta e verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Ci fermiamo qui, per evitare di generare ulteriori difficoltà introducendo i concetti di firma remota e di firma automatica, che tratteremo in altra sede.

QUALCHE ULTERIORE PRECISAZIONE
In merito al valore legale del documento informatico sottoscritto con firma elettronica, ci dobbiamo ricordare che dà il massimo delle garanzie sul piano legale, solo se la firma utlizzata è una FEA, una FEQ o una FD, poiché solo in questi casi è considerato scrittura privata e fa piena prova in giudizio fino a querela di falso, peraltro con presunzione di utilizzo del dispositivo di firma da parte del titolare, salvo che sia quest’ultimo a fornire la prova di non averlo utilizzato (art. 21 c. 2 CAD e 2702 CC).

GLI ASPETTI PRATICI
Concentriamo l’attenzione sulla FEA e sulla FD ed analizziamone gli aspetti salienti. In questa prima tabella, riportiamo le differenze sostanziali tra i due tipi di firma.

In sostanza, nella scelta della soluzione di firma o della sua tipologia, bisogna tenere in considerazione alcuni aspetti particolarmente rilevanti, in funzione degli obiettivi che ci si pone:

• Limitazione degli effetti: la FEA può essere emessa tramite procedure analoghe a quelle della FD, con soluzioni di utilizzo certamente meno complesse, ma trova un’importante limitazione nei suoi effetti legali, che sono circoscritti unicamente ai rapporti fra il titolare della firma e chi gliela offre, limitazione che nella FD è rimessa alla decisione del Cliente.
• Responsabilità dell’identificazione: nella FEA tutta la responsabilità dell’identificazione ricade su chi offre il servizio al titolare della firma, nella FD invece ricade su un ente terzo che emette i certificati utilizzati, cioè il Certificatore Accreditato.
• Affidabilità dell’emittente: la FEA non è sottoposta a nessun tipo di vigilanza, mentre nella FD il Certificatore Accreditato oltre ad essere periodicamente controllato, deve possedere requisiti di solidità, sicurezza ed affidabilità particolarmente rilevanti.

Per completezza, di seguito i punti di sostanziale identità fra i due tipi di firma:

• Richiede identificazione certa del titolare
• Richiede informativa al titolare sui termini del servizio
• Richiede sottoscrizione da parte del titolare di una dichiarazione di accettazione delle condizioni del servizio
• Richiede conservazione per almeno 20 anni di copia del documento di riconoscimento, della dichiarazione di accettazione con garanzia di disponibilità, integrità, leggibilità e autenticità
• Consente l’identificazione del firmatario (connessione univoca alla firma)
• Creata con mezzi sui quali il firmatario può conservare il controllo esclusivo
• Consente di rilevare se il documento firmato sia stato successivamente modificato
• Ha l’efficacia prevista dall’art. 2702 del Codice Civile
• L’uso del dispositivo di firma (o l’equivalente) si presume riconducibile al titolare salvo che questi dia prova contraria
• Se utilizza dati biometrici, questi devono essere sotto il controllo esclusivo del titolare
• Deve garantire per il firmatario la possibilità di ottenere evidenza di quanto sottoscritto
• Deve assicurare, ove possibile,  un servizio di revoca
• Deve assicurare, ove possibile, un servizio di assistenza
• L’outsourcing richiede certificazione ISO9001 (no se PA)

Riferimenti normativi utilizzati nel testo:

• CAD: Codice dell’Amministrazione Digitale, D.LGS 07/07/05, n. 82
• CC: Codice Civile
• Regole Tecniche: DPCM 22/02/13 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71