Firma digitale, firma qualificata e firma elettronica, le differenze

firma-elettronica

Cosa significa firmare un documento in maniera digitale?

Significa essenzialmente garantire l’autenticità, l’integrità ed il valore legale di tale documento, è come se aveste firmato davanti ad un notaio.
Purtroppo però sull’argomento firma digitale non tutti hanno ben chiaro cosa sia una firma digitale e le sue derivazioni.
Tutto è iniziato quando fu varato il D.P.C.M. 22 febbraio 2013, che mise le basi per poter apporre firme digitali a norma e con validità legale, ma

quali sono le firme digitali?

  • Firma elettronica semplice: FES
  • Firma elettronica avanzata: FEA
  • firma elettronica qualificata: FEQ

Sembrano tutte uguali a prima vista, vero?
Eppure le differenze sono sostanziali, soprattutto dal punto di vista legale.
Andiamo quindi a vedere meglio le differenze esistenti tra questi tipi di firme digitali.

Cos’è la firma elettronica?

Prima di approfondire i tre termini FES, FEA, FEQ, vediamo meglio cosa significa firma elettronica.
La firma elettronica, come da definizione dell’AGID, è “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

La firma elettronica, così come è definita, può essere associata alla FES, firma elettronica semplice, in quanto priva di caratteristiche tecniche ben precise e quindi dal valore legale da decifrare caso per caso.

Per fare un esempio di firma elettronica semplice, tanto per capirci meglio, possiamo pensare alle user e password che usiamo per accedere alla posta elettronica o ad un altro servizio web.

FEA, firma elettronica avanzata

la firma elettronica avanzata è una FES con alcune caratteristiche di sicurezza ben precise, come ad esempio la connessione univoca al firmatario.
Queste caratteristiche di sicurezza aggiuntive sono tutte presenti nel decreto legge, dove si evince che una FEA deve avere i seguenti requisiti:

  • Connessione univoca tra la firma ed il documento firmato
  • Identificazione del firmatario
  • Connessione univoca della firma con il firmatario
  • Controllo esclusivo del firmatario sul sistema con cui viene generata la firma
  • Possibilità per il firmatario di ottenere evidenza di quanto firmato
  • Individuazione del soggetto che eroga il metodo con cui si applica la FEA
  • Possibilità di verificare che il documento non subisva modifiche dopo l’apposizione della FEA
  • Non vi devono essere elementi nell’oggetto della sottoscrizione che possano modificarne atti, fatti o dati.

Un esempio di firma elettronica avanzata?
Capita ad esempio in banca di dover firmare dei documenti ed invece di porgerti un foglio da firmare ti presentano un tablet.
Ecco, quando poni la firma sul table tramite l’apposito pennino, quella è una firma elettronica avanzata, in particolare si tratta di una firma grafomentrica.
Puoi leggere questo articolo di approfondimento sulla firma grafometrica per capire di più sull’argomento.

Un altro esempio di FEA potrebbe essere l’utilizzo di codici OTP ricevuti sullo smartphone per poter proseguire in alcune transazioni, soprattutto bancarie.
Se invece per svolgere alcune pratiche si usa lo SPID come firma elettronica avanzata, allora bisogna ricordare che tale pratica non è riconosciuta dall’Europa, e quindi dall’Eidas, ma resta legalmente valida solo all’interno del territorio italiano.

La firma elettronica avanzata è possibile ottenerla rivolgendosi ad un qualsiasi soggetto delegato, ed è possibile farlo in tutta Europa.

FEQ, Firma elettronica qualificata

La Firma elettronica qualificata è usata qualora siano richieste maggiori tutele dal punto di vista legale, rappresentando quindi un passo in più rispetto alla FEA.
La FEQ è la sottoscrizione più autorevole che c’è dal punto di vista della sicurezza, in quanto per apporre una firma è necessario dotarsi di un hardware apposito, come i token o i lettori di smart card.

La firma elettronica qualificata è definita dall’Eidas nell’articolo 12 in questo modo:

“La firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo”.

Le caratteristiche principali di una FEQ sono:

  • Standard tecnologico definito
  • Dispositivo di firma sicuro (Token, smart card, HSM)
  • Certificato qualificato emesso da un Ente Certificatore accreditato

Valore legale di una firma elettronica

Per valutare il valore probatorio di un documento informatico firmato con firma elettronica bisogna fare riferimento al CAD, il Codice dell’Amministrazione Digitale.
Questo significa che anche una normale mail può avere un valore legale o essere indizio di prova qualora lo si reputo necessario, in quanto firmata elettronicamente (user e password della mail)