Chi ha avuto a che fare con la Pubblica Amministrazione negli ultimi anni sa che è in corso un grande processo di digitalizzazione delle pratiche e, molto probabilmente, è già venuto a contatto con alcuni degli strumenti di questo cambiamento: lo SPID (cioè il Sistema Pubblico di Identità Digitale), la CIE (cioè la Carta d’Identità Elettronica), la firma elettronica e la firma digitale.
Questi ultimi due strumenti, anche a causa del nome molto simile, vengono spesso confusi o considerati la stessa cosa.
Ma non è così: la firma elettronica è diversa dalla firma digitale e, mentre la prima è valida in tutta Europa, la seconda è prevista solo dal Codice dell’Amministrazione Digitale (CAD) italiano. La firma digitale, però, è un tipo di firma elettronica e, pertanto, è dalla prima che dobbiamo partire per capire di cosa stiamo parlando.
Cosa è la firma elettronica
La firma elettronica è uno strumento di autenticazione digitale previsto dal Regolamento europeo 910/2014, il cosiddetto Regolamento eIDAS (electronic IDentification Authentication and Signature). Tale regolamento è valido in tutti i Paesi membri dell’Unione, quindi anche la firma elettronica lo è.
Questo strumento viene gestito da dei fornitori di servizi fiduciari qualificati che, per farlo, devono prima accreditarsi a livello europeo. Il Regolamento eIDAS (electronic IDentification Authentication and Signature) definisce la firma elettronica come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“. Lo stesso eIDAS (electronic IDentification Authentication and Signature), poi, prevede TRE tipi di firme elettroniche diverse:
- semplice;
- avanzata;
- qualificata.
In estrema sintesi la firma elettronica nasce per poter apporre la propria firma su documenti digitali e per garantire che tale firma non sia manipolabile e che sia autentica. Di conseguenza in tutta Europa, Italia compresa, un documento con firma elettronica ha piena efficacia giuridica, tanto quanto un documento cartaceo firmato di proprio pugno.
Firma elettronica semplice, avanzata e qualificata
Ma quali sono le differenze tra i TRE tipi di firma elettronica? La firma elettronica semplice è la più “snella” ma anche la meno sicura: non richiede particolari accorgimenti tecnici e, in linea di massima, anche la scansione o la fotografia di una nostra firma su un normale foglio di carta può essere considerata come firma elettronica semplice.
Non essendoci alcun meccanismo che assicura la validità di questa firma, quindi, l’eIDAS (electronic IDentification Authentication and Signature) rimanda ai singoli Paesi membri dell’Unione Europea il compito di determinarne gli effetti giuridici. In caso di disputa giuridica il nostro Codice dell’Amministrazione Digitale (art. 21) prevede che una firma elettronica semplice “sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità“.
Tradotto: finché nessuno contesta tale firma essa è valida, ma non essendoci dietro alcuna procedura tecnologica di garanzia dell’autenticità della firma, chiunque la potrebbe contestare e spetterà a noi dimostrare che è autentica.
La firma elettronica avanzata, invece, è quella che secondo l’eIDAS (electronic IDentification Authentication and Signature) soddisfa quattro requisiti:
- è connessa unicamente al firmatario;
- è idonea a identificarlo;
- è creata mediante dati per la creazione di una firma elettronica che il firmatario può usare sotto il proprio controllo esclusivo, con un elevato livello di sicurezza;
- è collegata ai dati sottoscritti e consente l’identificazione di ogni successiva modifica di tali dati.
In altre parole la firma elettronica avanzata richiede un processo di verifica: dobbiamo dimostrare (di persona o tramite mezzi di registrazione audio video) che quella firma è la nostra. Per questo motivo in Italia ha sempre lo stesso effetto giuridico della firma autografa.
La firma elettronica qualificata, infine, è un tipo di firma avanzata che risponde a dei requisiti aggiuntivi:
- è creata su un dispositivo qualificato per la creazione di una firma elettronica;
- è basata su un certificato elettronico qualificato.
In parole povere questo tipo di firma elettronica prevede l’uso di un dispositivo hardware (ad esempio una chiavetta USB, un token o una smart card) contenente un certificato elettronico che garantisce l’autenticità della firma. Ogni volta che dobbiamo apporre una firma elettronica qualificata, quindi, dovremo usare tale dispositivo.
Oltre ad avere un effetto giuridico equivalente a quello di una firma autografa, la firma elettronica qualificata basata su un certificato è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri dell’UE.
Che cosa è la firma digitale
La firma digitale è un tipo specifico di firma elettronica qualificata, basato su un sistema di protezione con una coppia di chiavi crittografiche asimmetriche. Il titolare della firma digitale possiede (nel dispositivo già citato) la chiave privata, mentre il destinatario del documento da firmare detiene la chiave pubblica.
- Il sottoscrittore prepara il documento da firmare.
- Il software di firma applica un algoritmo di hash standard e ne deriva un’impronta (una stringa di bit di lunghezza fissa, più facile da manipolare dell’intero documento).
- Il software a questo punto usa la chiave privata del sottoscrittore per cifrare (con algoritmo di cifratura asimmetrica) l’impronta del documento: il risultato di questa cifratura (un’altra stringa di bit) è la firma digitale.
- La firma digitale è associata al documento, che viene in generale trasmesso a un destinatario.
In fase di verifica il destinatario (verificatore) elabora il documento con un software che:
- Calcola l’impronta del documento con lo stesso algoritmo di hash usato dal sottoscrittore.
- Decifra la firma digitale con la chiave pubblica associata alla chiave privata usata per firmare: il risultato deve essere ancora l’impronta.
- Se le due copie di impronta così ricavate sono uguali allora la firma è valida e il documento è integro.
Certificato di chiave pubblica
Per completare un’infrastruttura che consenta di verificare efficacemente le firme elettroniche si ricorre al Certificato di Chiave Pubblica:
Il Certificato è un file, in formato standard, che contiene i dati anagrafici del proprietario della coppia di chiavi e una copia della chiave pubblica stessa.
Un soggetto giudicato attendibile si accerta dell’identità del titolare del certificato e lo autentica apponendovi la propria firma: la Certification Authority.
Il certificato è normalmente inserito nel documento insieme alla stringa di bit che ne costituisce la firma.
Così il verificatore avrà subito a disposizione la chiave pubblica da impiegare nella verifica e potrà verificarne l’autenticità (questo è possibile verificando preventivamente la firma della Certification Authority: è un procedimento ricorsivo, di non facile comprensione, ma efficace).
Come avere una firma digitale
La firma digitale può essere richiesta da persone fisiche, amministratori e dipendenti di società e pubbliche amministrazioni. Per averla è necessario rivolgersi ad uno dei prestatori di servizi fiduciari qualificati autorizzati dall’Agenzia per l’Italia digitale (AgID).
Ognuno di questi prestatori di servizi utilizza strumenti tecnici (i cosiddetti “kit“) e procedure diverse per qualificare la firma elettronica. In tutti i casi il servizio si paga, ma il costo è contenuto (poche decine di euro). Dopo aver scelto il fornitore e aver acquistato il kit bisognerà fare la procedura di identificazione fisica.
In base al fornitore potrà essere necessario recarsi fisicamente ad uno sportello con un documento di identità valido, oppure recarsi al proprio Comune di residenza, in un ufficio postale o persino attendere un postino a casa che ci identifichi. In alcuni casi è possibile effettuare l’identificazione direttamente online, tramite webcam.
