La firma digitale è una firma elettronica qualificata che consente di scambiare in rete documenti con piena validità legale. Ma come funziona? E quali formati può avere?
Sommario
Cos’è la firma digitale e a cosa serve
La firma digitale è l’equivalente informatico di una tradizionale firma autografa apposta su carta, in grado di garantire ai documenti firmati autenticità, integrità e piena validità legale.
Ai sensi dell’art. 24 del Codice dell’amministrazione digitale (D.Lgs 82/2005): “La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.
L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso….”
Apporre una firma digitale significa sostanzialmente aggiungere un certificato relativo alla propria identità dentro una busta, la quale conterrà anche il contenuto che si va a firmare.
La busta è ciò che garantisce l’identità, l’integrità del contenuto nonché la volontà stessa di firmare il documento.
Tale ultima circostanza non potrà peraltro mai essere negata, anche successivamente in applicazione del principio di “non ripudio”, in forza del quale il documento una volta firmato non potrà essere disconosciuto dal firmatario.
La peculiarità della firma digitale è che è composta da un sistema di chiavi asimmetriche a coppia, una pubblica e una privata correlate tra loro.
La chiave pubblica è a disposizione di tutti e svolge la funzione di accertare la proveniente del messaggio/documento sottoscritto da chi dichiara di esserne l’autore.
Quella privata invece è sotto l’esclusivo controllo dell’autore della firma. In altri termini colui che firma il documento lo fa apponendo tale chiave.
Differenze tra firma elettronica e firma digitale
Sebbene vengano spesso confuse, firma elettronica e firma digitale si riferiscono a concetti diversi.
Pare utile richiamare le definizioni fornite dal Regolamento UE n° 910/2014 sull’identità digitale cd. eiDAS “electronic IDentification Authentication and Signature”.
In particolare, la firma elettronica è un insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.
Da un punto di vista probatorio il documento informatico, cui è apposta una firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (art.21 CAD).
Tuttavia, in presenza di determinati requisiti, la firma elettronica potrà essere definita avanzata (FEA) oppure qualificata (FEQ).
Nello specifico, la firma elettronica avanzata (FEA) è una firma elettronica:
- connessa unicamente al firmatario;
- idonea a identificare il firmatario;
- creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
- collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
La firma elettronica qualificata (FEQ) è invece una firma elettronica che, oltre a possedere le caratteristiche di una firma elettronica avanzata:
- è creata su un dispositivo qualificato per la creazione di una firma elettronica;
- è basata su un certificato elettronico qualificato;
- ha effetto giuridico equivalente a quello di una firma autografa.
Ebbene la firma digitale rientra in quest’ultima categoria.
E’ per definizione una firma elettronica forte perché garantisce l’identità dell’autore, l’integrità e l’immodificabilità del documento, il quale ha l’efficacia della scrittura privata come prevista dall’art. 2702 c.c.
Inoltre l’utilizzo del dispositivo di firma qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.
Infine, si precisa che una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri (cd. “mutuo riconoscimento”).
Chi ha l’obbligo di possedere una firma digitale
Possono dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni.
È possibile rivolgersi ai prestatori di servizi fiduciari qualificati autorizzati da AgID che garantiscono l’identità dei soggetti che utilizzano la firma digitale.
In linea generale, la firma digitale obbligatoria nei seguenti casi:
- Fatturazione Elettronica
- Pubblica Amministrazione: i soggetti titolari di partita IVA che collaborano con la P.A. sono tenuti a firmare la documentazione legata alla collaborazione/al progetto con la firma digitale. Questa, poi, è fondamentale anche per partecipare a bandi pubblici e/o concorsi, per richiedere finanziamenti e per inviare autocertificazioni o atti pubblici.
- Bilanci e atti societari: oltre a essere impiegata su bilanci a atti societari, la firma digitale è obbligatoria per effettuare l’iscrizione al Registro delle Imprese.
- Contabilità: la firma digitale è obbligatoria per completare l’iscrizione al Registro dei Revisori Contabili e per le comunicazioni tra operatori finanziari e Agenzia delle Entrate.
Come apporre la firma digitale su un documento
La firma digitale può essere apposta ad un documento con diverse modalità e ciascuna di esse soddisfa determinati standard. Esaminiamole singolarmente.
#CAdES
La firma CAdES (CMS Advanced Electronic Signatures) è una della firme digitali più impiegate, principalmente per le sue potenzialità.
Infatti, un documento dotato di questo tipo di firma è facilmente riconoscibile poiché identificato con estensione .p7m,il cui contenuto può essere visualizzato unicamente mediante appositi software in grado di aprire la busta crittografica.
Peraltro, questo formato consente di apporre firme in parallelo, oppure di apporre controfirme.
#PAdEs
Il formato PAdES (PDF Advanced Electronic Signature) consente di apporre una firma grafica avanzata su un documento PDF e il file risultante sarà a sua volta un documento con estensione .pdf che si può aprire con qualsiasi lettore per file di questo tipo.
Utilizzando tale formato, la firma potrà avere un campo, un logo, una dimensione ed una posizione, risultando pertanto visibile sul documento finale come se fosse stata “fisicamente” apposta, oppure risultare anche completamente invisibile.
#XAdEs
Il formato XAdES (XML Advanced Electronic Signature) è destinato a campo specifici, in particolari agli in ambienti sanitari e finanziari.
Questo tipologia di firma si basa su file con estensione .xml che necessitano di procedure protocollari e standard specifici per poter essere letti, senza alcuna discrezionalità interpretativa.
Infatti, i file XML ben si prestano per organizzare contenuti, anche se necessitano di file ulteriori di supporto per dar forma e stile al documento.
Uno dei vantaggi che contraddistingue questo formato è la possibilità di firmare singole parti del documento.
#ASiC-S/ASiC-E
Il formato ASiC-S (Associated Signature Containers ASiC Simple) è un tipo di firma digitale che funge da contenitore: il risultato è un file di tipo ZIP con estensione .asics o .scs, contenente un singolo documento accompagnato da tutte le firme digitali e tutte le marche temporali associate.
La versione ASiC-E (Associated Signature Containers ASiC Extended) consente di aggiungere file ulteriori e di creare così anche una struttura gerarchica, con gruppi di file raggruppati sotto un altro gruppo e via discorrendo.
Dopo aver esaminati i vari formati, non ci resta che spendere due parole per una informazione aggiuntiva che può caratterizzare la firma digitale: la marcatura temporale.
Questo strumento permette di certificare la data e l’ora a cui la firma stessa è stata apposta, ciò consente di chiarire il momento della firma, l’ordine delle firme e l’indicazione temporale esatta.
In alcune situazioni può rappresentare una garanzia ulteriore per chi sta siglando un documento e, se viene apposta durante il periodo di validità del certificato di firma, la marca prolunga la validità della firma stessa per ben 30 anni (anche nel caso di scadenza, sospensione o revoca del certificato di firma stesso).
VP
