Una digitalizzazione dei processi documentali completa che presupponga esclusivamente l’uso di documenti nativi digitali, e quindi il totale abbandono della carta, deve poter contare sulle tecnologie che abilitano le firme elettroniche.
Qualsiasi processo aziendale inizia e finisce con un documento (pensiamo agli ordini o all’assunzione di personale) ma alcuni di questi documenti per avere piena validità devono essere firmati.
Il regolamento eIDAS (electronic IDentification Authentication and Signature) contiene le norme europee relative ai servizi fiduciari per le transazioni elettroniche nel mercato comune e, nello specifico, è stato redatto, oltre che per regolamentare i trasferimenti elettronici di denaro, per creare standard condivisi relativi a certificati digitali, marche temporali, autenticazione e firme elettroniche.
Come fare la firma elettronica, il procedimento generale
Per rendere integri e autentici i documenti virtuali si deve procedere alla generazione della firma elettronica, optando per quella richiesta in base al tipo di documento.
In generale, il regolamento eIDAS prescrive che i documenti informatici vengano presentati al titolare di firma elettronica prima dell’apposizione della firma stessa in modo chiaro e senza ambiguità e che gli si debba chiedere conferma della volontà di generare la firma, se invece la procedura è automatica il titolare della firma deve semplicemente dare il proprio consenso.
Nella normativa si legge poi che la tecnologia e i dispositivi utilizzati devono garantire elevati livelli di sicurezza, corrispondere a quanto prescritto in merito all’apposito processo di certificazione ed essere conformi ai requisiti previsti dagli Stati membri della UE.
Firma elettronica semplice, avanzata, grafometrica e qualificata, ecco in cosa differiscono
Esistono diverse tipologie di firme elettroniche eccole elencate qui di seguito con una breve spiegazione delle loro peculiarità.
- La firma elettronica semplice o debole:La firma elettronica semplice (o anche debole) consiste in una serie di dati in forma elettronica; secondo quanto fissato nel regolamento eIDAS essi sono “acclusi oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzati dal firmatario per firmare”. Si definisce semplice o debole perché, in pratica, il suo ruolo è solo quello di dare un’autenticazione informatica a un documento elettronico.
- La firma elettronica avanzata:La firma elettronica avanzata garantisce maggiore sicurezza rispetto alla precedente, in quanto è connessa unicamente al firmatario e i mezzi usati per crearla sono adoperati sotto il suo esclusivo controllo.
Il processo di apposizione di questo tipo di firma implica che i dati sottoscritti siano collegati alla firma elettronica avanzata stessa affinché si possa procedere all’identificazione di ogni successiva modifica del documento firmato. Un esempio di firma elettronica avanzata è la firma grafometrica. - La firma elettronica grafometrica:Si definisce firma elettronica grafometrica quella apposta con un movimento manuale analogo a quello che si farebbe firmando su carta, ma compiuto su un dispositivo capace di riconoscere e acquisire i movimenti della mano che solitamente impugna un pennino, uno stilo. Si tratta cioè di quelle firme che si è abituati a fare su particolari tablet e che non rendono necessaria la stampa del documento che si sta firmando, che viene cioè autenticato direttamente digitalmente.
I sistemi che presidiano la sicurezza di una soluzione di questo tipo compiono delle verifiche di corrispondenza rispetto alla firma depositata dall’interessato e procedono alla sua validazione. Nel caso di problemi di disconoscimento, un grafologo è in grado di verificare l’effettiva autenticità come potrebbe fare su un documento cartaceo. - La firma elettronica qualificata:Un particolare tipo di firma elettronica avanzata è la firma elettronica qualificata che, si legge nel regolamento eIDAS, viene “creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”. Ciò significa che questa tipologia di firma è stata pensata per assicurare in modo univoco l’identificazione del titolare e, dal punto di vista legale, essa equivale a una firma autografa.
Come si è letto, la firma elettronica qualificata si basa su un certificato di firma elettronica, ovvero su un attestato elettronico che lega i dati di convalida della firma a una persona e ne conferma nome o pseudonimo. Tale certificato deve essere rilasciato da un’organizzazione prestatrice di servizi fiduciari qualificata, che rispetti i requisiti definiti nel regolamento eIDAS.
La firma elettronica qualificata è generata sfruttando dispositivi di firma appositi (smart card, chiavetta USB, token, codice di autenticazione mobile – Otp Sms) questi (oltre naturalmente alla procedura nel suo complesso) devono essere conformi ai requisiti di sicurezza che garantiscano che la chiave privata utilizzata per proteggere i dati rimanga riservata.
Firma elettronica: il caso francese
A metà 2022 è stata annunciata la fine di 2 standard francesi, più nello specifico, la sospensione di due applicativi per firme digitali. Si trattava di Applet ID One Classic v1.01.1 en configuration Cns e Ts-Cns con chip Nxp Asepcos-Cns v1.84.
In seguito a questa comunicazione, l’OCSI – Organismo di Certificazione della Sicurezza Informatica – ha avviato la verifica di conformità ai requisiti del Regolamento (UE) n. 910/2014 – eIDAS – delle smart card oggetto della nota di AgID (Agenzia per l’Italia Digitale) del 24/05/2022. La verifica intendeva valutare la possibilità di estendere la vita utile di detti dispositivi oltre il 31/12/2022.
Al termine di questo processo di verifica si è detto che si sarebbe potuto usare i due dispositivi di firma elettronica qualificata in questione anche dopo la fine del 2022. E la cosa è stata risolta.
Certo è che questo episodio pone alcuni interrogativi: cosa accade se le firme elettroniche dovessero scadere per “vecchiaia” tecnologica o perché poco diffuse? Restano validi i documenti e i contratti siglati con certificati revocati? Vi è un organo di certificazione che, come in questo caso, provvede a verificare la possibilità di sopravvivenza di tali certificati, ma sarebbe comunque necessario pensare ad interventi legislativi ad hoc.
La firma digitale e firma elettronica: quali differenze
Firma elettronica e firma digitale non sono sinonimi. Secondo quanto stabilito nel CAD (Codice Amministrazione digitale) la firma digitale è:
“un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“.
La firma digitale equivale quindi alla tradizionale firma autografa avendo, in tutto e per tutto, il medesimo valore legale.
Avvalersene già da oggi di un sistema documentale completo significa arrivare preparati e con gradualità ad un importante cambiamento di offerta sul mercato e sfruttarne da subito i vantaggi in termini di sicurezza, spazio, tempo e denaro.
MIGLIORA LA GESTIONE DEI DOCUMENTI AZIENDALI!
Se non lo hai ancora fatto, scarica la tua copia gratuita dell’infografica: Gestione del flusso documentale” e scoprirai i passi da seguire!
