La firma elettronica può essere definita come un insieme di dati in forma elettronica, connessi o acclusi ad altri dati elettronici ed utilizzati dal firmatario per firmare. Rappresenta un modo di apporre il proprio consenso a un documento informatico, utilizzando dei dati in forma elettronica che lo identificano.
Esistono diverse tipologie di firma elettronica, che si distinguono per il livello di sicurezza e il valore giuridico che offrono. In particolare, la normativa europea prevede la firma elettronica semplice, la firma elettronica avanzata e, all’interno di quest’ultima tipologia, la firma elettronica qualificata.
La firma elettronica semplice (FES) è la forma più basilare di firma elettronica, che consiste nell’accludere o collegare dati elettronici al documento da firmare, senza garantire l’identificazione certa del firmatario o l’integrità del documento. Esempi di FES sono il PIN del bancomat o la combinazione di username e password per accedere a un servizio on-line. Essa non ha quindi valore legale equiparato a quello della firma autografa, ma dipende dalla valutazione del giudice in caso di controversie. Ma la criticità principale della FES è che non garantisce un’identificazione certa del firmatario, né una prova dell’integrità del documento firmato.
La firma elettronica avanzata (FEA) è una forma più sofisticata di firma elettronica, in quanto presenta ulteriori caratteristiche, le quali le attribuiscono un maggiore livello di sicurezza, in quanto garantiscono la corrispondenza univoca della firma al suo titolare, il controllo sulla firma e la presenza di un soggetto terzo in posizione di garanzia, che certifica che quella firma è valida ed appartiene ad un determinato soggetto. Esempi di FEA sono la firma grafometrica o biometrica o la firma con OTP (One Time Password). Essa ha valore legale equiparato a quello della firma autografa solo se il documento firmato è conservato in modo idoneo a garantirne l’autenticità nel tempo. Ma la criticità principale della FEA è che richiede l’utilizzo di dispositivi e software specifici per la generazione e la verifica della firma, che possono essere costosi o difficili da reperire.
La firma elettronica qualificata (FEQ) rappresenta invece il livello più alto di firma elettronica, ha dei requisiti tecnici e normativi specifici, stabiliti dal Regolamento Europeo eIDAS ed assume lo stesso valore legale della firma autografa. E’ una firma elettronica avanzata, creata però da un dispositivo per la creazione di una firma elettronica qualificata (token) e basata su un certificato qualificato per firme elettroniche, rilasciato da un’autorità di certificazione accreditata, che garantisce l’identità del firmatario e l’integrità del documento. La criticità principale della FEQ è che richiede l’acquisizione del certificato qualificato e del dispositivo qualificato per la creazione della firma, che comportano dei costi e delle procedure burocratiche da seguire. Inoltre, la FEQ può essere utilizzata solo per documenti in formato .PDF o .XML, mentre per altri formati può essere necessaria una conversione.
A tali tipi di firme elettroniche, il Codice dell’Amministrazione Digitale (CAD) ha poi aggiunto la firma digitale, la quale non è disciplinata dalla normativa europea, ma può farsi rientrare nella tipologia della firma elettronica qualificata, basandosi su un sistema di chiavi crittografiche, una pubblica e una privata, correlate fra loro (crittografia asimmetrica). Più nello specifico, si tratta di un tipo di firma elettronica avanzata, basata su un meccanismo crittografico, che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico.
La firma digitale è uno strumento che permette di conferire valore legale, autenticità e integrità a un documento informatico, oltre a impedirne il ripudio da parte di chi lo ha sottoscritto. Questo si ottiene grazie all’uso di protocolli crittografici che associano al documento una coppia di chiavi, una privata e una pubblica, che ne garantiscono la provenienza e l’invarianza del contenuto.
Il Codice dell’Amministrazione Digitale (CAD) definisce la firma digitale all’art. 1, lett. s) come “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata ed ad un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” ). Inoltre, il CAD stabilisce che gli atti che devono essere redatti per iscritto a pena di nullità possono essere sottoscritti elettronicamente con la firma digitale (art. 21, comma 2-bis).
Per apporre una firma digitale, occorre disporre di appositi dispositivi o kit rilasciati da un ente certificatore, e tra i metodi più diffusi ci sono le smart card, il token USB, il generatore di codici e il codice d’autenticazione mobile.
Ma tale sistema di firma digitale presenta dei problemi che ne limitano l’efficacia e la diffusione, di cui si è già parlato in un precedente articolo (premere qui per leggerlo) e che pertanto riassumeremo brevemente qui di seguito. In primo luogo, la complessità tecnica e normativa che regola il processo di firma digitale costituisce certamente un ostacolo. È necessaria infatti una certificazione rilasciata da un ente accreditato e il rispetto di procedure e requisiti specifici non proprio intuitivi.
Inoltre, i dispositivi e i supporti che contengono i dati necessari per la firma digitale, come le chiavi crittografiche, i certificati e le password, sono vulnerabili a perdite, furti, danni o attacchi informatici.
La validità e l’affidabilità dei certificati digitali possono essere difficili da verificare. Essi possono scadere, essere revocati o falsificati, richiedendo l’accesso a servizi di verifica on-line o a banche dati aggiornate (che non sempre lo sono).
Problema di non poco momento è rappresentato poi dal fatto che la mancanza di interoperabilità tra i diversi sistemi e formati di firma digitale può causare problemi di compatibilità e riconoscimento tra le diverse piattaforme e applicazioni che utilizzano la firma digitale.
Ma il problema principale è che molti (troppi) utenti hanno una scarsa consapevolezza e fiducia nella firma digitale. Spesso non sono a conoscenza dei suoi vantaggi, dei rischi e delle responsabilità ad essa associate, e preferiscono utilizzare metodi più tradizionali e familiari per sottoscrivere i documenti. Chi la usa, infatti, lo fa principalmente perché costretto da un obbligo di legge, come gli avvocati, per fare un esempio.
Ed allora, sarebbe importante affrontare queste criticità al fine di migliorare l’efficacia e la diffusione della firma digitale, promuovendo innanzitutto la consapevolezza degli utenti, garantendo poi la sicurezza dei dispositivi e dei dati, e favorendo l’interoperabilità tra i diversi sistemi. Solo così potremo sfruttare appieno i vantaggi offerti dalla firma digitale nella nostra società sempre più digitale ed interconnessa, e magari sviluppare nuove soluzioni.
Per approfondimenti:
A. Fumagalli & G. Santinelli, La firma elettronica e il diritto, Torino, 2018. A. Marchetti & F. Zanichelli, La firma digitale e le altre firme elettroniche: aspetti teorici, giuridici e tecnici, Milano, 2015. A. Lanza, Firma digitale e firma elettronica qualificata: profili di diritto comparato, Torino, 2017. P. Ceravolo, La firma digitale e la sua valenza giuridica, Napoli, 2018. G. De Vincentiis, La firma elettronica, Padova, 2016. A. Scialò & G. Veltri, La firma elettronica: aspetti giuridici e tecnici, Roma, 2018. R. Griseri & R. Sardella, La firma elettronica: aspetti giuridici e tecnologici, Milano, 2019. S. Cantarella, Firma elettronica e documento informatico, Milano, 2018. G. Corradi & L. Dossena, La firma digitale e la conservazione dei documenti informatici, Milano, 2015. R. Di Pietro, La firma elettronica: profili teorici e applicativi, Napoli, 2019. G. Baldini & G. Santucci, Le firme elettroniche: aspetti tecnici e giuridici, Milano, 2010. CEN/TC 224, Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates, Bruxelles, 2004. A. D'Angelo & M. Liguori, La firma elettronica nel diritto italiano ed europeo, Torino 2018. F. Gallucci & A. Zorzella, La firma digitale: guida pratica all'uso, Roma, 2017. F. Ricciardelli, La firma elettronica avanzata nel processo civile telematico, Napoli, 2019.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024