In un convegno che si è tenuto a fine aprile ho parlato di firme elettroniche. L’argomento, molto sentito dai partecipanti, ha stimolato tante domande e ho deciso di riproporre in articolo quanto discusso con la speranza che possa essere di aiuto a chi conserva ancora dei dubbi.
Sono tutte firme elettroniche
Un concetto che deve essere chiaro fin da subito è che tutte le tipologie di firma che saranno trattate all’interno di questo articolo, rientrano nella macro-categoria firme elettroniche. Dentro questa categoria vi sono le varie tipologie che differiscono per tecnologia, scopo d’uso e caratteristiche intrinseche.
Firma elettronica “semplice”
Il primo livello è denominato semplicemente firma elettronica ma poichè questo può risultare fuorviante perchè non si distinguerebbe dalla “macro-categoria”, viene chiamato gergalmente firma elettronica semplice.
Un tipo di firma elettronica semplice può essere, ad esempio, il PIN del bancomat o le credenziali (username e password) della nostra casella di posta elettronica. Sono firme elettroniche semplici poiché permettono di identificare l’utente seppur non in modo certo. L’identificazione avviene in quanto con le credenziali l’utente può accedere alla sua casella di posta elettronica e non in quella degli altri.
Tuttavia le caselle di posta elettronica non sono considerate sicure nè dal punto tecnico, nè da quello “procedurale”. Che garanzie ha l’utente che i server siano assoggettati a politiche di sicurezza robuste? Che i flussi di lavoro vengano svolti nel rispetto di precisi standard di efficacia e trasparenza? Non ve ne è nessuna. Inoltre sappiamo che la maggior parte dei servizi di posta elettronica permette ad oggi l’adozione di password insicure che possono rendere più semplice effettuare accessi indesiderati e dolosi.
In buona sostanza vi sono aspetti strutturali troppo rilevanti per far si che una normale casella di posta elettronica possa essere utilizzata per sottoscrivere, ad esempio, un contratto di compra-vendita. Ciò, chiaramente, non significa che la mail non abbia valore legale. Lo ha certamente, ma non gode di tutti i requisiti necessari atti a garantire integrità, autenticità e non ripudio.
Firma Elettronica Avanzata (FEA)
L’esempio più lampante della firma elettronica avanzata è rappresentato dalla firma grafometrica ma anche dalla PEC. Riguardo la PEC, l’errore che si commette più spesso è pensare che possa garantire l’identità del firmatario del documento. La PEC garantisce tre cose: mittente, destinatario, stato di consegna del messaggio. Non certifica assolutamente che il documento contenuto nella PEC, sia stato firmato da Mario Rossi, piuttosto che da Giulia Bianchi.
La firma elettronica grafometrica
Sulla firma elettronica grafometrica si è detto veramente molto, ma non sempre in modo ordinato: proviamo a fare maggiore chiarezza in merito a questo tipo di tecnologia. La firma elettronica grafometrica è realizzata mediante uno strumento simile ad un tablet, nel quale è possibile essenzialmente fare due cose:
- Visionare il contratto
- Firmare il contratto
Nelle versioni recenti di questo tablet, infatti, non solo l’utente può apporre la firma, ma può anche visionare ciò che si sta per firmare in quanto il dispositivo è anche uno schermo. Quando Mario Rossi appoggia e firma, il tablet grafometrico registra ogni aspetto della sua firma: tempo di esecuzione, inclinazione del pennino, forza esercitata, velocità di firma.
Approfondimento: la ISO/IEC19794-7 (2014) approfondisce le modalità con cui un tratto biometrico viene convertito in digitale.
Ciò che è veramente importante capire è che durante il processo di firma Mario Rossi ha il completo controllo della sua firma. Può infatti scegliere di firmare, di non firmare o di apporre uno scarabocchio. La sua firma viene registrata con una fedeltà così elevata da poterlo identificare univocamente anche se le firme successive non saranno mai identiche l’una con l’altra. Il processo di firma registrato nel tablet è solo uno dei processi fondamentali: il secondo processo è quello di associazione della firma al contratto. Questo avviene in modo indissolubile, ciò significa che ogni tentativo di manomissione e separazione della firma dal suo documento, comporterà l’irrimediabile corruzione dello stesso. Ciò è garantito anche dal fatto che al momento della firma e dell’associazione di questa al tablet grafometrico, non vi sono ingerenze esterne. Tutto avviene dentro al tablet che la banca, ad esempio, ha scelto di adottare per le sue procedure. È un mezzo sicuro, tecnologicamente molto preciso e favorisce i processi di dematerializzazione e digitalizzazione senza alcun’ombra di dubbio.
Firma Elettronica Qualificata (FEQ)
L’esempio più lampante e conosciuto di firma elettronica qualificata è il token di sicurezza che le banche fornivano (ormai non più perchè su cellulare) ai loro correntisti. Questo tipo di oggetto potrebbe essere definito come un combinatore casuale di numeri che al momento della sua attivazione viene associato al profilo di un’utente. Di conseguenza tutti i numeri generati a loro volta identificano l’utente in modo univoco. L’OTP (One Time Password), in italiano viene spesso tradotto con password usa e getta che rende l’idea del fatto che quella credenziale, una volta usata viene distrutta e non è più riutilizzabile. Inoltre l’OTP viene associato sempre dopo essersi autenticati ad un sistema attraverso credenziali (firma elettronica semplice). Si pensi al portale di una banca: si accede con nome utente+password+OTP.
Approfondimento: “L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.” (CAD Art.24)
Ecco quindi che questi 6 numeri, che hanno una durata di tempo limitata (solitamente 60 secondi), sono esattamente identici ad una firma per il loro valore legale e di fatto la banca permette ad un utente di autorizzare dispositive quali bonifici, pagamenti vari ma anche di firmare digitalmente contratti e sottoscrivere servizi. Insomma questo strumento è a tutti gli effetti una firma.
La Firma Digitale Italiana
A questo punto si ravvisa la necessità di chiarire il ruolo della firma digitale italiana all’interno di questa struttura di Firme Elettroniche. Allo stato attuale la firma digitale italiana è una Firma Elettronica Qualificata.
Il sito AgID, nel riportare la risposta, ha inserito un avverbio importante “sostanzialmente“. La firma digitale italiana è uno strumento molto complesso tecnicamente che non solo risponde pienamente agli standard richiesti dalla Firma Elettronica Qualificata ma offre anche maggiori servizi/tecnologie integrate. Gli aspetti tecnici della firma digitale non saranno trattati in questo articolo a vantaggio del tentativo di rispondere ad alcune domande di uso comune che vengono riportate di seguito.
Domande e Risposte
Le email hanno valore legale?
Sì, le email hanno valore legale. Indicano un interscambio di messaggi tra un mittente ed un destinatario, hanno altresì tutta una serie di caratteristiche per verificarne l’autenticità anche grazie all’intervento del provider.
La scansione della firma ha un valore legale?
La scansione della firma, di base, non ha alcun valore. Essa non è una firma elettronica e di conseguenza non garantisce l’identità del firmatario nè in modo semplice, nè avanzato, nè qualificato. Scansionare la firma, apporla sul documento non significa firmare elettronicamente il documento.
Che tipo di firma devo usare per firmare i miei documenti?
Non è necessario usare sempre la Firma Elettronica Qualificata per firmare tutti i tipi di documenti. La scelta della firma varia in base a molteplici fattori: il tipo di documento, il soggetto con cui bisogna interagire, il tipo di rapporto da firmare, etc… Una busta paga non è soggetta a firma elettronica, perchè essa è il risultato di una prestazione che è stata contrattualizzata in precedenza con un rapporto di lavoro firmato in cui i soggetti e le prestazioni sono state esplicitate.
La firma digitale apposta su un documento è eterna?
Assolutamente no. Le firme digitali vengono mantenute online dal certificatore per almeno 20 anni (CAD Art.28 Comma 4) . Ciò significa che, salvo disposizioni contrarie del certificatore, a 20 anni e un giorno, l’utente potrebbe non riuscire più a verificare la validità della firma. Per rendere eterna la validità della firma è necessario apporre in aggiunta alla firma la marca temporale che in sostanza certifica che, al momento della firma digitale del documento, la firma era in regime di validità. Ricordate che la marca temporale va comunque conservata: essa è assoggettata alle regole di conservazione! Quindi avere apporre la marca temporale ma non conservare il documento non è utile! (Grazie Giovanni Manca per avermelo fatto notare.)
Tutti hanno le marche temporali?
Mentre molti ordini professionali hanno già le marche temporali inserite nel kit di firma, privati e aziende non sono in possesso di marche temporali e devono acquistarle a parte.
Devo chiedere sempre di aggiungere la marca temporale alla firma?
Immaginate di firmare un verbale di condominio per deliberare su dei lavori che saranno svolti sei mesi dopo. Difficilmente avrete la necessità di riscontrare la firma dopo 20 anni. Ormai i lavori si saranno chiusi e, salvo contenziosi, il documento firmato avrà assolto il suo compito. Ma se immaginate di effettuare un atto di compra-vendita di un bene, sarà indispensabile avere la possibilità di attestare che quell’atto è stato stipulato in regime di validità delle firme. Di conseguenza è raccomandabile utilizzare la marca temporale in aggiunta alla firma. Nel dubbio è raccomandabile apporre la marca temporale tenendo presente che il costo delle marche è ad oggi molto “basso”: 50 marche hanno un costo medio di poco più di 10 euro. Di conseguenza, nel dubbio, è raccomandabile apporla.
La firma digitale della mia azienda può contenere e mostrare il mio ruolo aziendale?
Assolutamente sì. È previsto che, insieme ai documenti per l’identificazione del soggetto, l’utente possa chiedere di aggiungere al certificato anche altre informazioni tese a validare la sua posizione aziendale. In tal modo il valore della firma digitale cresce ulteriormente: non solo il documento viene firmato da Mario Rossi ma anche con il ruolo di Presidente o Amministratore Delegato dell’azienda. Questo è regolamentato dal CAD all’art.32 comma 3 punto C.
Devo firmare digitalmente ogni pagine di un documento?
NO! La firma su ogni pagina (o la sigla su ogni pagina), serviva ad evitare (anche se in forma assolutamente blanda) che il documento venisse contraffatto con l’aggiunta di una pagina intermedia dopo la firma. Quindi il sottoscrittore firmava le varie pagine marcandole per accettazione e sull’ultima apponeva la firma per esteso. Con la firma digitale il problema non si pone più perchè qualsiasi tentativo di modificare il documento (e quindi di aggiungere, rimuovere, modificare una pagina) corrompe il documento rendendolo non più valido. Una sola firma basta.
Si possono apporre più firme digitali ad un documento?
Sì, questo succede, ad esempio, nella sottoscrizione dei capitolati da parte di più soggetti fornitori. Si può quindi: aggiungere una firma e controfirmare un documento già firmato.
Posso firmare documenti che non sono PDF?
Assolutamente sì! Senza entrare nel tecnico è possibile semplificare il concetto dicendo che la firma di documenti diversi dal PDF è possibile sul principio della busta elettronica. È come se tali documenti venissero chiusi in una busta che viene firmata (formato ASiC).
Qual è la differenza tra CADES e ASIC-S e ASIC-E ?
Il formato Cades realizza un contenitore nel quale sono contenuti i file. Il contenitore viene firmato rendendo inalterabile il contenuto dei file. Il formato ASIC è stato introdotto successivamente con il regolamento eIDAS. Il formato ASIC si divide in due tipologie: ASIC-S (simple) e ASIC-E (extended), vediamo le caratteristiche più essenziali:
Il formato ASIC-S permette di legare un documento ad un file ad un certificato di firma. Vi è quindi un rapporto 1 a 1. Ciò significa che, ipotizzando di voler firmare 3 file, il risultato sarà quello di avere 3 contenitore ASIC-S. Il formato ASIC-E permette di racchiudere i file all’interno di un unico contenitore ampliando quindi anche i metadati gestiti dal singolo contenitore.