Nel mondo della digitalizzazione aziendale e dello sviluppo di software gestionali, capita spessissimo di sentire i termini "firma elettronica" e "firma digitale" usati come se fossero la stessa cosa. In realtà, non lo sono affatto.
C'è una distinzione fondamentale da fare: la firma elettronica è un concetto giuridico, mentre la firma digitale è un concetto tecnico utilizzato per implementare concretamente la firma elettronica.
Comprendere queste differenze è il primo passo fondamentale per capire quale tecnologia applicare ai flussi documentali della tua azienda, specialmente quando si tratta di automatizzare processi di firma massivi come l'invio di dichiarazioni doganali o la sigla di rapporti di prova.
1. Il quadro normativo: Il Regolamento eIDAS#
A livello europeo, il punto di riferimento è il Regolamento eIDAS (Electronic Identification, Authentication and Trust Services). Secondo questa normativa, una firma elettronica è genericamente definita come:
"Dati in formato elettronico allegati o logicamente associati ad altri dati in formato elettronico e utilizzati dal firmatario per firmare."
Tuttavia, non tutte le firme elettroniche offrono lo stesso livello di sicurezza. Una firma elettronica semplice non garantisce necessariamente l'integrità del documento (ovvero che non sia stato modificato dopo la firma) né traccia in modo certo l'identità di chi ha firmato. Per questo motivo, il Regolamento eIDAS classifica le firme in tre macro-categorie.
Firma Elettronica Semplice (Simple Electronic Signature SES)
È il livello base. Copre una vasta gamma di soluzioni quotidiane e non richiede requisiti tecnici stringenti.
- Esempi: Il tuo nome scritto in calce a un'e-mail, l'immagine della tua firma autografa scansionata e incollata su un file Word, o il click su un pulsante "Accetto".
- Valore legale: Molto debole. In caso di controversia, il suo valore probatorio deve essere valutato da un giudice.
Firma Elettronica Avanzata (Advanced Electronic Signature AdES)
Per salire di livello, la firma deve soddisfare quattro precise proprietà stabilite dalla legge:
- Legame univoco: È legata in modo unico al firmatario.
- Identificazione: È in grado di identificare chiaramente il firmatario.
- Controllo esclusivo: Viene creata mediante dati su cui il firmatario conserva il controllo esclusivo (es. il proprio smartphone o un token OTP).
- Integrità: È in grado di rilevare se i dati del documento sono stati modificati dopo l'apposizione della firma.
Firma Elettronica Qualificata (Qualified Electronic Signature QES)
È il livello massimo di sicurezza. Si tratta di una firma elettronica avanzata (AdES) che possiede due requisiti aggiuntivi:
- È basata su un certificato qualificato per firme elettroniche.
- È generata tramite un dispositivo qualificato per la creazione della firma (Qualified Signature Creation Device QSCD), come una smart card o una chiavetta crittografica (token USB).
Il valore legale della FEQ: Ha lo stesso identico valore giuridico di una firma autografa (scrittura privata). Inoltre, comporta l'inversione dell'onere della prova: in caso di contestazione, non spetta a chi ha ricevuto il documento dimostrare che la firma sia vera, ma è il firmatario a dover dimostrare (impresa quasi impossibile) di non aver firmato quel documento.
Normalmente tutte le volte che si interagisce con i servizi della Pubblica Amministrazione con un dialogo tra sistemi informatici (es. System2System, Webservice, API) serve la firma elettronica qualificata. Ad esempio serve per l'invio delle fatture elettroniche per la Pubblica Amministrazione attraverso il Sistema di Interscambio oppure per l'invio delle dichiarazioni all'Agenzia delle Dogane e dei Monopoli.
2. Il concetto tecnico: Cos'è la Firma Digitale?#
Mentre la legge definisce i tre livelli sopra descritti, la tecnologia risponde attraverso la firma digitale.
La firma digitale è un concetto prettamente tecnico basato su un'Infrastruttura a Chiave Pubblica (Public Key Infrastructure PKI). Sfrutta la crittografia asimmetrica (composta da una chiave privata segreta e una chiave pubblica) e l'uso di certificati digitali per garantire tre pilastri: identificazione univoca, autenticità e integrità.
Come funziona tecnicamente il processo?
- La funzione Hash (Integrità): Quando si firma un file, il software calcola un'impronta digitale del documento (chiamata digest o hash) tramite una funzione matematica. Se anche un solo singolo carattere del documento venisse modificato in seguito, l'impronta cambierebbe completamente, segnalando la manomissione.
- La Crittografia (Autenticità): Questa impronta viene crittografata usando la chiave privata del firmatario (contenuta ad esempio nella smart card).
- La Verifica: Chi riceve il documento può decrittografare il valore della firma utilizzando la chiave pubblica del firmatario (contenuta nel certificato digitale distribuito). Se il risultato coincide con l'impronta del documento, l'identità del firmatario è confermata e il documento è integro.
Per fare da ponte tra le regole legali europee (eIDAS) e la tecnologia, l'ente standardizzatore ETSI ha sviluppato le cosiddette "firme digitali AdES". Si tratta di formati standard (come il PAdES per i PDF o lo XAdES per i file XML) che permettono di creare firme digitali perfettamente conformi ai requisiti di legge della FEA e della FEQ.
3. La Carta Nazionale dei Servizi (CNS) o la Carta di Identità Elettronica (CIE) è una FEQ?#
Una domanda molto comune tra le aziende è: "Se ho una Carta Nazionale dei Servizi (CNS) o una Carta di Identità Elettronica (CIE), posso usarla per fare una Firma Elettronica Qualificata?"
La risposta è no. La firma apposta con una normale CNS/CIE è una Firma Elettronica Avanzata (FEA), ma non una Firma Elettronica Qualificata (FEQ).
Perché la CNS/CIE non è una FEQ?
La CNS o la CIE nascono principalmente come strumento di autenticazione e identificazione sicura verso i portali della Pubblica Amministrazione. Sebbene contengano un certificato crittografico a chiave pubblica e risiedano su un dispositivo sicuro (smart card), il certificato a bordo non è un "certificato qualificato di firma" perché non è rilasciato da un Prestatore di Servizi Fiduciari Qualificato. Di conseguenza, dal punto di vista legale, non soddisfa i requisiti eIDAS per l'inversione dell'onere della prova garantiti solo dalla FEQ.
Chi può rilasciare i certificati per la FEQ?
Solo i QTSP (Qualified Trust Service Providers) , detti in Italia Prestatori di Servizi Fiduciari Qualificati (come Aruba, InfoCert, Namirial, ecc.), possono rilasciare smart card o chiavette abilitate alla Firma Elettronica Qualificata.
Questi soggetti privati o pubblici devono superare severissimi controlli di sicurezza, vigilati a livello nazionale da enti come l'AgID (Agenzia per l'Italia Digitale), e vengono inseriti in una vera e propria "lista di fiducia" europea (Trusted List). Solo le smart card emesse da questi fornitori contengono i certificati qualificati e i chip (QSCD) autorizzati per legge a dare al documento lo stesso valore di una firma di pugno.
Conclusioni#
Quando si progetta un software gestionale moderno, scegliere il tipo di firma corretto è cruciale.
In Garda Informatica sviluppiamo gestionali in cloud su misura in tempi rapidi grazie al META-Sviluppo RAPIDO. Il META-Sviluppo RAPIDO ha già il supporto alla firma FEQ massiva (PAdES, XAdES, CAdES) inclusa.
Nel prossimo articolo vedremo come abbiamo risolto il problema della firma massiva e automatica di centinaia di documenti al giorno, abbattendo i costi esorbitanti delle classiche API di firma remota (che costano migliaia di euro all'anno) sfruttando il META-Sviluppo RAPIDO e una comunissima smart card FEQ da 50 euro.