Chi ha avuto a che fare con la Pubblica Amministrazione negli ultimi anni sa che è in corso un grande processo di digitalizzazione delle pratiche e, molto probabilmente, è già venuto a contatto con alcuni degli strumenti di questo cambiamento: lo SPID (cioè il Sistema Pubblico di Identità Digitale), la CIE (cioè la Carta d'Identità elettronica), la firma elettronica e la firma digitale.
Questi ultimi due strumenti, anche a causa del nome molto simile, vengono spesso confusi o considerati la stessa cosa. Ma non è così: la firma elettronica è diversa dalla firma digitale e, mentre la prima è valida in tutta Europa, la seconda è prevista solo dal Codice dell'Amministrazione Digitale (CAD) italiano.
La firma digitale, però, è un tipo di firma elettronica e, per tanto, è dalla prima che dobbiamo partire per capire di cosa stiamo parlando.
Cosa è la firma elettronica
La firma elettronica è uno strumento di autenticazione digitale previsto dal Regolamento europeo 910/2014, il cosiddetto Regolamento eIDAS. Tale regolamento è valido in tutti i Paesi membri dell'Unione, quindi anche la firma elettronica lo è.
Questo strumento viene gestito da dei fornitori di servizi fiduciari qualificati che, per farlo, devono prima accreditarsi a livello europeo. Il Regolamento eIDAS definisce la firma elettronica come "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica". Lo stesso eIDAS, poi, prevede tre tipi di firme elettroniche diverse: semplice, avanzata e qualificata.
In estrema sintesi la firma elettronica nasce per poter apporre la propria firma su documenti digitali e per garantire che tale firma non sia manipolabile e che sia autentica. Di conseguenza in tutta Europa, Italia compresa, un documento con firma elettronica ha piena efficacia giuridica, tanto quanto un documento cartaceo firmato di proprio pugno.
Firma elettronica semplice, avanzata e qualificata
Ma quali sono le differenze tra i tre tipi di firma elettronica? La firma elettronica semplice è la più "snella" ma anche la meno sicura: non richiede particolari accorgimenti tecnici e, in linea di massima, anche la scansione o la fotografia di una nostra firma su un normale foglio di carta può essere considerata come firma elettronica semplice.
Non essendoci alcun meccanismo che assicura la validità di questa firma, quindi, l'eIDAS rimanda ai singoli Paesi membri dell'Unione Europea il compito di determinarne gli effetti giuridici. In caso di disputa giuridica il nostro Codice dell'Amministrazione Digitale (art. 21) prevede che una firma elettronica semplice "sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità".
Tradotto: finché nessuno contesta tale firma essa è valida, ma non essendoci dietro alcuna procedura tecnologica di garanzia dell'autenticità della firma, chiunque la potrebbe contestare e spetterà a noi dimostrare che è autentica.
La firma elettronica avanzata, invece, è quella che secondo l'eIDAS soddisfa quattro requisiti:
- è connessa unicamente al firmatario;
- è idonea a identificarlo;
- è creata mediante dati per la creazione di una firma elettronica che il firmatario può usare sotto il proprio controllo esclusivo, con un elevato livello di sicurezza;
- è collegata ai dati sottoscritti e consente l'identificazione di ogni successiva modifica di tali dati.
In altre parole la firma elettronica avanzata richiede un processo di verifica: dobbiamo dimostrare (di persona o tramite mezzi di registrazione audio video) che quella firma è la nostra. Per questo motivo in Italia ha sempre lo stesso effetto giuridico della firma autografa.
La firma elettronica qualificata, infine, è un tipo di firma avanzata che risponde a dei requisiti aggiuntivi:
- è creata su un dispositivo qualificato per la creazione di una firma elettronica;
- è basata su un certificato elettronico qualificato.
In parole povere questo tipo di firma elettronica prevede l'uso di un dispositivo hardware (ad esempio una chiavetta USB, un token o una smart card) contenente un certificato elettronico che garantisce l'autenticità della firma. Ogni volta che dobbiamo apporre una firma elettronica qualificata, quindi, dovremo usare tale dispositivo.
Oltre ad avere un effetto giuridico equivalente a quello di una firma autografa, la firma elettronica qualificata basata su un certificato è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri dell'UE.
Che cosa è la firma digitale
La firma digitale è un tipo specifico di firma elettronica qualificata, basato su un sistema di protezione con una coppia di chiavi crittografiche asimmetriche. Il titolare della firma digitale possiede (nel dispositivo già citato) la chiave privata, mentre il destinatario del documento da firmare detiene la chiave pubblica.
Si tratta, quindi, di un tipo di firma ancor più sicuro di quella elettronica qualificata grazie alla robusta crittografia ad essa applicata. Per questo motivo la legge italiana riconosce pieno valore legale alla firma digitale e, in caso di contestazioni, non spetterà a noi dimostrare che la firma è autentica ma a chi sospetta che sia stata manipolata.
Essendo la firma digitale una tipologia di firma elettronica qualificata, ha gli stessi vantaggi e la stessa utilità a livello europeo: viene infatti riconosciuta come firma qualificata in tutti i Paesi membri della UE.
Come avere una firma digitale
La firma digitale può essere richiesta da persone fisiche, amministratori e dipendenti di società e pubbliche amministrazioni. Per averla è necessario rivolgersi ad uno dei prestatori di servizi fiduciari qualificati autorizzati dall'Agenzia per l'Italia digitale (AgID).
Ognuno di questi prestatori di servizi utilizza strumenti tecnici (i cosiddetti "kit") e procedure diverse per qualificare la firma elettronica. In tutti i casi il servizio si paga, ma il costo è contenuto (poche decine di euro). Dopo aver scelto il fornitore e aver acquistato il kit bisognerà fare la procedura di identificazione fisica.
In base al fornitore potrà essere necessario recarsi fisicamente ad uno sportello con un documento di identità valido, oppure recarsi al proprio Comune di residenza, in un ufficio postale o persino attendere un postino a casa che ci identifichi. In alcuni casi è possibile effettuare l'identificazione direttamente online, tramite webcam.