A cura di Guido Allegrezza, I.T. Telecom S.r.l.
Non si può certo dire che la normativa italiana in materia di Firma Elettronica sia di facile comprensione e accessibile. Eppure, la firma elettronica è l’elemento basilare di ogni processo di dematerializzazione dei flussi documentali e dovrebbe dunque essere trattato con la massima attenzione, proprio per favorire un’applicazione certa, coerente e rapida. Purtroppo, il nostro Legislatore sembra invece aver preferito strade più tortuose, che rendono più complessa l’adozione di questo strumento fondamentale. Cerchiamo, dunque, di fare insieme un po’ di chiarezza e di semplificare la vita a chi vuole capire ed orientarsi in questa selva di concetti, facendo un piccolo focus sulle differenze fra la firma digitale e la firma elettronica avanzata.
PARTIAMO DALLE DEFINIZIONI
La firma elettronica (FE) è il nostro “universo di riferimento” ed è genericamente definita ad alto livello dal CAD (art. 1) come un insieme di dati in forma elettronica, allegati o connessi ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
La firma elettronica avanzata (FEA) (art. 56 Regole Tecniche) costituisce una specificazione della FE, che:
Esiste poi la firma elettronica qualificata (FEQ), che è definita come una FEA basata su un certificato qualificato, realizzata mediante dispositivo sicuro per la creazione della firma (in pratica una smartcard o un hsm).
Infine, si arriva alla definizione di firma digitale (FD), ovvero che è un tipo particolare di FEQ basata su un sistema di chiavi crittografiche asimmetriche (una pubblica e una privata), che consente di rendere manifesta e verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Ci fermiamo qui, per evitare di generare ulteriori difficoltà introducendo i concetti di firma remota e di firma automatica, che tratteremo in altra sede.
QUALCHE ULTERIORE PRECISAZIONE
In merito al valore legale del documento informatico sottoscritto con firma elettronica, ci dobbiamo ricordare che dà il massimo delle garanzie sul piano legale, solo se la firma utlizzata è una FEA, una FEQ o una FD, poiché solo in questi casi è considerato scrittura privata e fa piena prova in giudizio fino a querela di falso, peraltro con presunzione di utilizzo del dispositivo di firma da parte del titolare, salvo che sia quest’ultimo a fornire la prova di non averlo utilizzato (art. 21 c. 2 CAD e 2702 CC).
GLI ASPETTI PRATICI
Concentriamo l’attenzione sulla FEA e sulla FD ed analizziamone gli aspetti salienti. In questa prima tabella, riportiamo le differenze sostanziali tra i due tipi di firma.
Requisiti e Caratteristiche |
FD |
FEA |
Basata su un sistema di chiavi crittografiche, pubblica e privata |
* |
|
Basata su un certificato qualificato |
* |
|
Realizzata mediante un dispositivo di firma |
* |
|
Soddisfa la forma scritta (art. 1350 CC, c.1, da 1 a 12) |
* |
|
Integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere |
* |
|
Richiede accreditamento del certificatore |
* |
|
Sottoposta a vigilanza |
* |
|
Può essere utilizzata nei rapporti con terzi senza limiti d’uso |
* |
|
Pubblicazione della validità del certificato (CRL o OCSP) |
* |
|
Assicurazione per circa 2 milioni di euro (no se PA) |
* |
|
Capitale sociale non inferiore a quello necessario ai fini dell’attività bancaria |
* |
|
Requisiti di onorabilità |
* |
|
Utilizzo limitato nei rapporti tra le parti |
|
* |
All’emissione deve essere possibile la consegna della copia dei documenti di attivazione al titolare |
|
* |
Assicurazione per almeno 500 Keuro (no se PA) |
|
* |
Outsourcing con certificazione ISO27001 (no se PA) |
|
* |
In sostanza, nella scelta della soluzione di firma o della sua tipologia, bisogna tenere in considerazione alcuni aspetti particolarmente rilevanti, in funzione degli obiettivi che ci si pone:
Per completezza, di seguito i punti di sostanziale identità fra i due tipi di firma:
L’outsourcing richiede certificazione ISO9001 (no se PA)
si può inviare una e-mail all’indirizzo PEC
assocertificatori@pec.it