Non è sempre chiaro il concetto di Firma elettronica.
In molti casi, viene confuso con la sola apposizione dell’immagine di una firma autografa su un documento pdf.
Vi sono peraltro differenze anche tra i concetti di Firma elettronica e Firma digitale, che invece vengono spesso considerati dei sinonimi.
Di seguito, si chiarirà sinteticamente il significato delle varie tipologie di firma, tra cui il servizio di Firma Digitale Avanzata offerto dalla società specializzata Yousign.
Firma elettronica: cos’è
Il numero 10 dell’articolo 3 del Regolamento europeo 910/2014 (eIDAS) riporta tutte le definizioni di Firma.
La Firma elettronica rappresenta a tipologia più semplice.
La Firma elettronica può essere definita come un insieme di dati in formato elettronico, utilizzati dal firmatario per firmare, connessi o allegati ad altri dati elettronici attraverso associazione logica, senza necessariamente l’utilizzo di dispositivi o di software particolari: ad esempio, è possibile firmare un documento connettendosi a un browser, accedere a un documento attraverso una email di invito, confermando la propria identità inserendo semplicemente un codice ricevuto sullo smartphone.
Da un punto di vista giuridico, si tratta di un principio generale.
Per poter considerare valida una firma anche dal punto di vista legale, l’organizzazione che emette la firma deve fornire una certificazione elettronica che ne attesta la veridicità.
Differenze rispetto alla Firma digitale
Rispetto alla Firma elettronica, la Firma digitale viene ottenuta tramite una procedura più articolata ed è più complessa da utilizzare. La Firma digitale è invece una tipologia di firma qualificata protetta da un PIN, che può essere utilizzata attraverso un dispositivo come una chiavetta USB o una smart card (in questo caso, per utilizzarla, è necessario un lettore di smart card) e una applicazione informatica. Ha la stessa validità legale della firma autografa e, per ottenerla, occorre innanzitutto acquistare uno dei kit in commercio; poi, è necessario attivarlo dopo la verifica della propria identità che può avvenire in diversi modi, che vanno dal riconoscimento da parte di un pubblico ufficiale alla presentazione di un documento di identità all’ufficio postale, a seconda del livello di sicurezza del kit in possesso.
La Firma digitale utilizza un sistema di crittografia asimmetrica attraverso due chiavi, una privata di proprietà del titolare e una pubblica, assegnate da un certificatore. Quest’ultimo è un ente qualificato che emette un certificato digitale a favore del titolare, associandolo alla sua identità. In questo modo, viene garantita la validità e veridicità del legame tra l’identità di una persona fisica alla chiave pubblica. La firma digitale viene generata con la chiave privata del titolare tramite il dispositivo e l’applicazione che consentono così di apporla in una posizione predefinita di un documento elettronico. Il file così generato in formato .p7m è una sorta di busta elettronica che contiene il documento, che può essere aperto attraverso specifici software dal destinatario, il quale può verificare la validità della firma del documento.
La funzione della Firma digitale è quella di garantire validità, integrità e autenticità di un documento elettronico.
Si tratta di uno strumento diffuso soprattutto per lo scambio di documenti tra imprese o privati e Pubbliche Amministrazioni ed i privati e/o le imprese e utilizzato per la firma di tipici documenti digitali quali comunicazioni ufficiali, contratti, visure camerali, ecc.
Firma elettronica: formato PAdES e l’esempio Yousign
PAdES è l’acronimo di PDF Advanced Electronic Signature e identifica una specifica tipologia di firma elettronica. Si tratta di una modalità che identifica l’autore del documento originale e le informazioni in esso contenute basandosi sul formato PDF, secondo lo standard di qualità ISO 32000-1 e la norma ETSI TS 102 778 (European Telecommunications Standards Institute Technical Specifications).
È un sistema di firma molto pratico e immediato.
Con questa tipologia di sottoscrizione, il file che include la firma elettronica è direttamente incorporato nel documento stesso. Dopo che viene firmato, il documento rimane nel medesimo formato PDF e con lo stesso nome, senza richiedere software specifici per aprire il file.
Sul documento, è inoltre possibile apporre e visualizzare una firma grafica oltre a quella elettronica contenuta in esso.
Un’ulteriore opzione offerta è quella di produrre e gestire versioni diverse dello stesso documento, (“versioning”) mantenendo la validità delle firme elettroniche apposte sul documento stesso: ogni modifica produce una nuova versione contenente la versione originale non modificata.
Per la conferma della veridicità del documento e della validità della Firma elettronica, è sufficiente aprirlo con uno dei software standard (ad esempio Acrobat Reader) e procedere a verificare:
- conformità al regolamento dell’Unione Europea eIDAS – 910/2014, per l’identificazione elettronica e servizi fiduciari inerenti le transazioni elettroniche;
- integrità, data e ora di firma del documento;
- validità del certificato associato alla firma elettronica.
Per poter acquisire e utilizzare la Firma elettronica, è possibile rivolgersi a un provider di servizi, come Yousign. La firma elettronica proposta si basa sulla soluzione PAdES e l’identità del firmatario viene verificata:
- tramite codice OTP (One Time Password, valida per una singola sessione) per la versione Firma Elettronica Semplice (FES), caratterizzata da standard di sicurezza non complessi ma con ammissibilità e effetti giuridici che non possono essere negati;
- tramite carta d’identità in aggiunta al codice OTP, per la versione Firma Elettronica Avanzata (FEA), che soddisfa requisiti più stringenti, indicati nell’articolo 26 del regolamento dell’Unione Europea n. 910/2014, quando viene richiesta un’identificazione del firmatario più forte.