L’approssimarsi del ventennale della firma digitale che vide le prime regole tecniche stabilite tramite il DPCM 8 febbraio 1999 (ma il testo era già pronto nel luglio del 1998) rende opportuna una panoramica sullo stato dell’arte delle sottoscrizioni informatiche soprattutto per fare ordine su alcune tipologie di sottoscrizioni che vengono utilizzate in modo non pienamente corretto oppure con effetti giuridici al limite della legalità.
Chi si appresta a leggere troverà nel seguito una rassegna sintetica sulle tipologie di firma. Troverà anche chiarimenti su alcune sottoscrizioni particolari come la firma remota, la firma automatica, la firma verificata e altre cose attinenti.
Cos’è, come funziona e a cosa serve la firma elettronica
La firma elettronica rappresenta la più semplice fattispecie di sottoscrizione informatica. E’ definita nel regolamento europeo 910/2014 (eIDAS) al numero 10 dell’articolo 3 che contiene tutte le definizioni.
Proprio perché è una definizione di principio e quindi non è la definizione di un preciso prodotto o servizio l’idoneità del documento informatico al soddisfacimento del requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. Un tipico esempio di firma elettronica è un messaggio di posta elettronica ordinaria o una sottoscrizione che non ha tutti i requisiti delle altre sottoscrizioni elettroniche di livello superiore.
La differenza tra firma elettronica e firma digitale
Attenzione: non sono sinonimi. La firma elettronica è un principio giuridico generale: dati connessi ad altri dati utilizzati per firmare, per esempio una mail tradizionale (considerata in giudizio firma elettronica), il bancomat e la firma per un pacco di un corriere (secondo il regolamento europeo 910/2014 Eidas “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”). Un principio giuridico specifico è la firma elettronica qualificata.
La firma digitale, prevista solo in Italia (nel Cad), è un particolare tipo di firma elettronica qualificata (“un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“). E’ la realizzazione tecnologica basata su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’altra privata, sotto il controllo esclusivo del sottoscrittore) della firma elettronica qualificata. Questa ha il più ampio spettro di utilizzo rispetto alle altre tipologie di sottoscrizioni informatiche. Può essere utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio. E’ disconoscibile solo provando di non aver firmato ovvero il sottoscrittore ha l’onere della prova.
La firma elettronica avanzata (FEA)
La definizione contenuta nel numero 11) dell’articolo 3 è identica a quella del Codice dell’amministrazione digitale (CAD) ma ci sono alcune differenze giuridiche e tecnico/organizzative. In particolare la fattispecie comunitaria rappresenta un principio base che insieme al certificato qualificato e al dispositivo per la creazione di una firma qualificata (tipicamente una smart card) contribuisce a definire la firma elettronica qualificata.
Nella normativa nazionale la FEA rappresenta una semplificazione della firma elettronica qualificata a fronte del soddisfacimento di una serie di requisiti stabiliti nel Titolo V del DPCM 22 febbraio 2013. Se questi requisiti sono soddisfatti la FEA può essere utilizzata con gli stessi effetti giuridici e efficacia probatoria della firma qualificata. Un diffuso esempio di FEA è costituito dalla firma grafometrica utilizzata su tablet in molti contesti tra i quali le banche e le assicurazioni.
La firma elettronica qualificata (FEQ)
Anche la FEQ è definita nell’eIDAS e in particolare nel numero 12) dell’articolo 3. Costituisce la più forte istanza di sottoscrizione informatica perché può essere utilizzata in ogni contesto in sostituzione della sottoscrizione autografa della quale è giuridicamente equivalente.
Con il Regolamento eIDAS dal 1 luglio 2016 è di valore europeo e interoperabile all’interno del mercato interno essendo le regole tecniche comuni a tutti gli Stati membri.
Per favorirne la diffusione e la semplicità o l’efficacia di utilizzo si sono sviluppate delle particolari modalità di apposizione della FEQ come la firma remota e la firma automatica. Queste fattispecie di sottoscrizioni utilizza nella pressoché totalità dei casi dei dispositivi denominati Hardware Security Module (HSM). Il DPCM 22 febbraio 2013 li definisce come (articolo 1, comma 1, lettera p ) “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.
Vediamo adesso come una FEQ si specializza in firma remota.
Cos’è e come funziona la firma remota
La firma remota è definita nel DPCM 22 febbraio 2013 (articolo 1, comma 1, lettera q) come “particolare procedura di firma elettronica qualificata o firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.
La firma remota è nata circa 10 anni fa per superare il problema dell’instabilità tecnologica nell’utilizzo tra PC, lettori di smart card e smart card. L’avvento dei microchip in formato SIM telefonica installati nei token USB ha mitigato questi problemi ma l’esigenza di abbattere il TCO nella gestione dei dispositivi di firma e la disponibilità di numerosi HSM conformi alle norme di sicurezza previste da eIDAS hanno consentito alla questa fattispecie di sottoscrizione di diffondermi in modo elevatissimo.
I dati forniti da AgID ci dicono che i certificati digitali rilasciati per la firma remota sono l’82% del totale inoltre nel 2017 sono state generate 1.876.379.223 firme digitali remote.
E’ utile sottolineare che la firma remota è una FEQ a tutti gli effetti e una volta apposta non è distinguibile da una qualunque altra FEQ apposta in altro modo. Questo fatto richiede meccanismi di controllo esclusivo per il titolare della sottoscrizione. L’apposizione di una FEQ in modalità remota che utilizzi solo un PIN è consentito esclusivamente a fronte di esplicita autorizzazione scritta di AgID a fronte di una richiesta del prestatore di servizi fiduciari qualificato che intende utilizzare la procedura di sicurezza semplificata.
Come fare la firma elettronica automatica
La firma automatica è definita nell’articolo 1, comma 1, lettera r del DPCM 22 febbraio 2013. Questa definizione sviluppa i principi stabiliti nei commi 2 e 3 dell’articolo 35 del CAD.
La firma apposta con procedura automatica diventa tecnicamente firma automatica definita come “particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo”.
Nella realtà la firma automatica non sempre è utilizzata con piena rispondenza ai suoi requisiti di legge ovvero al principio della consapevolezza della sottoscrizione da parte del titolare.
La firma automatica è nata per la sottoscrizione di documenti informatici che per loro natura non richiedono di essere presentati al titolare della firma, prima dell’apposizione della stessa chiaramente e senza ambiguità. Questo consente di firmare flussi documentali omogenei e in grande quantità. La procedura è utilizzata dal titolare previo consenso e viene avviata sotto il suo controllo esclusivo anche senza presidio puntuale e continuo.
Il titolare che non vede quello che sottoscrive e ne ha dato consenso è tutelato da quanto stabilito nel più volte citato DPCM nell’articolo 5, comma 2. Il certificato qualificato utilizzato per la procedura automatica contiene chiavi specializzate per tale procedura e estensione esplicita per referenziare tale utilizzo. Ogni dispositivo utilizzato per la procedura automatica richiede una specifica e diversa referenza.
In alcuni scenari tale procedura viene utilizzata per sottoscrivere flussi non omogenei di documenti ovvero il sottoscrittore non ha la percezione granulare di quello che sta sottoscrivendo.
In altre parole firma alla cieca con i conseguenti rischi professionali.
L’operazione non è di per sé illegale ma in alcuni casi lo diventa se la firma con procedura automatica snatura la funzione dichiarativa della sottoscrizione. Cioè l’assunzione della paternità del documento e in modo traslato l’espressione del consenso relativo al documento.
Il rischio è basso per fatture o atti di routine; elevato per referti clinici, contratti specifici o comunque documenti non identificabili a priori in un flusso omogeneo.
La firma automatica è comunque una FEQ ma distinguibile da una firma remota. Nel gergo è anche chiamata firma massiva perché viene utilizzata per sottoscrivere flussi copiosi di documenti ma la sua vera origine giuridica è nel fatto che non vedo quello che sottoscrivo.
Fare una firma verificata o certificata
La firma verificata è poco nota. Essa è applicabile quando il dispositivo di firma (generalmente un HSM) è pienamente sotto il controllo del prestatore di servizi fiduciari che emette certificati qualificati e genera la sottoscrizione.
La sua applicazione comporta che in applicazione della Determinazione Commissariale n. 63/2014 dell’AgID è possibile stabilire al momento della sottoscrizione che il certificato era in corso di validità. La determinazione stessa stabilisce come evidenziare questa circostanza nel medesimo certificato qualificato.
Come fare la firma di una cartella
La firma di una cartella è la sottoscrizione di un insieme di documenti informatici. Di fatto è una sottoscrizione utilizzata per sottoscrivere un numero non elevatissimo di documenti informatici in una modalità che simula il libro firma. Non è una firma automatica perché il sottoscrittore ha l’opzione di presentazione chiara e senza ambiguità dei singoli documenti. Può essere una firma remota. La sua caratterizzazione pratica è quella della possibilità di inserire in una cartella tutti i documenti che si vuole firmare e di attivare la firma tramite una sola digitazione del PIN.
Qualora ci siano i presupposti giuridici e organizzativi i documenti sottoscritti con questa modalità sono firmati tramite FEQ e sono indistinguibili da altri documenti firmati in altra modalità qualificata.
Cos’è il sigillo elettronico
Il sigillo elettronico è ancora poco noto e diffuso. E’ definito nell’articolo 3, numero 25 del regolamento eIDAS. Il suo scopo è quello di garantire l’origine e l’integrità dei dati che ha “sigillato”. Per analogia, tutto quanto detto per le sottoscrizioni è applicabile al sigillo. Quindi è possibile sigillare con procedura automatica ovvero sigillare documenti in modalità remota.
Il Legislatore nazionale non ha stabilito nulla sull’efficacia e il valore probatorio del sigillo quindi si applicano le norme europee. Numerose regole tecniche dovranno essere aggiornate all’interno delle Linee guida previste dal CAD per coordinare gli specifici aspetti comunitari con quelli nazionali.
Normativa e informazioni istituzionali sulla firma elettronica
Le informazioni aggiornate sulle norme e su altri aspetti istituzionali sono disponibili sul sito dell’AgID.
Per avere lo stato dell’arte dei soggetti comunitari che offrono servizi di firma qualificata o di sigillo qualificato.
Per conoscere la situazione aggiornata dei soggetti italiani (prestatori di servizi fiduciari) è disponibile alla pagina:
