Firma Elettronica: guida per aziende e professionisti

Cos’è la Firma Elettronica?

La firma elettronica è definita dal Regolamento Europeo eIDAS (electronic IDentification, Authentication and trust Services) come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica e utilizzati dal firmatario per firmare”. In termini semplici, è un insieme di dati che permette di:

1. Garantire l’autenticità (chi ha firmato)

2. Assicurare l’integrità (che il documento non sia stato modificato dopo la firma)

La sua funzione principale è conferire validità legale ai documenti digitali. A seconda del livello di sicurezza e della tecnologia utilizzata, il Regolamento eIDAS classifica la firma elettronica in tre tipologie fondamentali che determinano il suo valore probatorio: firma elettronica semplice, firma elettronica avanzata e firma elettronica qualificata.

Firma Elettronica Semplice (FES)

La firma elettronica semplice è il tipo di firma meno rigoroso e, di conseguenza, con il valore legale più basso.

La FES non richiede particolari strumenti tecnologici o processi di identificazione preventivi complessi. Si tratta di un dato in formato elettronico associato al documento che non offre garanzie robuste sull’identità del firmatario e sull’integrità del documento.

Il suo valore probatorio è liberamente valutabile in giudizio dal giudice, in base alla sua qualità e sicurezza (Art. 20, comma 1-bis del CAD). L’onere della prova, in caso di contestazione, spetta a chi intende avvalersene.

Viene solitamente utilizzata per accettare termini e condizioni di un sito web tramite una casella di conferma, l’inserimento di una password o una firma digitalizzata (per esempio uno scarabocchio apposto con mouse o tablet non grafometrico). In sostanza, si tratta spesso di documenti interni o transazioni a basso rischio.

Firma Elettronica Avanzata (FEA)

La firma elettronica avanzata rappresenta un significativo salto di qualità in termini di sicurezza e valore legale rispetto a quella semplice.

Per essere considerata avanzata, una firma deve soddisfare requisiti tecnici stringenti che garantiscono l’identificazione univoca del firmatario e l’integrità del documento. Deve essere:

• connessa univocamente al firmatario

• idonea a identificare il firmatario

• creata mediante dati sui quali il firmatario può esercitare un controllo esclusivo

• collegata ai dati sottoscritti in modo da consentire di rilevare ogni successiva modifica

Da un punto di vista legale, la firma elettronica avanzata ha l’efficacia probatoria della scrittura privata (Art. 2702 c.c.), a condizione che sia garantita l’identificazione del firmatario e l’integrità del documento. In caso di contenzioso, l’onere della prova spetta a chi la disconosce.

Due esempi pratici di firma elettronica sono rappresentati dalla firma grafometrica e dalla firma con OTP (One-Time Password). La firma grafometrica è una firma apposta su un tablet o palmare con una penna elettronica e di cui vengono catturati i dati biometrici come la velocità, la pressione ed il ritmo, legando in modo univoco il gesto al firmatario. La firma con OTP, invece, è una firma generata attraverso un processo che richiede un codice temporaneo inviato al dispositivo mobile dell’utente a seguito di una identificazione robusta.

Firma Elettronica Qualificata (FEQ)

La firma elettronica qualificata è il vertice della sicurezza e del valore legale tra le firme elettroniche.

La sua tecnologia si basa su un certificato qualificato di firma rilasciato da un prestatore di servizi fiduciari qualificato (QTSP) e creato tramite un dispositivo sicuro per la creazione di firme elettroniche qualificate come una Smart Card, una Business Key o altre soluzioni di firma remota. È l’unica firma che, per legge, è equiparata alla firma autografa.

Da un punto di vista legale ha la massima validità in tutti gli Stati membri dell’UE ed è pienamente riconosciuta dal diritto italiano. Costituisce la prova della sottoscrizione fino a querela di falso, ribaltando completamente l’onere della prova su chi intende contestarla.

L’elemento cruciale di questa firma è il certificato qualificato, che attesta l’identità del firmatario in modo inequivocabile, spesso a seguito di una identificazione de visu o tramite procedure equivalenti.

La firma elettronica qualificata (FEQ) è anche conosciuta con il nome di firma digitale.

Differenza tra Firma Digitale e Firma Elettronica

Spesso usati come sinonimi, i termini firma digitale e firma elettronica in realtà indicano concetti distinti, sebbene strettamente correlati.

La Firma Elettronica è il termine ombrello stabilito dal Regolamento eIDAS e include le tre tipologie semplice, avanzata e qualificata.

La Firma Digitale è invece un particolare tipo di Firma Elettronica Qualificata che si basa sull’uso di un sistema di crittografia a chiavi asimmetriche (pubblica e privata).

Vediamone assieme alcune differenze:

• Definizione legale

  • Firma Elettronica (eIDAS): concetto generico, include FES, FEA, FEQ.

  • Firma Digitale (CAD): particolare tipo di FEQ.

• Tecnologia

  • Firma Elettronica (eIDAS): varia, dalla password alla biometria.

  • Firma Digitale (CAD): crittografia a chiavi asimmetriche.

• Valore legale

  • Firma Elettronica (eIDAS): varia dal liberamente valutabile (FES) all'efficacia di scrittura privata (FEA/FEQ).

  • Firma Digitale (CAD): massimo valore legale, equivalente alla firma autografa.

• Normativa di Riferimento

  • Firma Elettronica (eIDAS): Regolamento UE eIDAS (n. 910/2014).

  • Firma Digitale (CAD): Codice dell'Amministrazione Digitale (CAD) - D-Lgs. 85/2005.

In Italia, il Codice dell'Amministrazione Digitale (CAD) definisce la Firma Digitale come lo strumento più sicuro, che risponde agli standard italiani e comunitari, garantendo il massimo livello di non ripudio e integrità.

Vantaggi della firma elettronica

Perché un’azienda dovrebbe adottare un sistema di firma elettronica? Prima di tutto, bisogna riconoscere che si tratta di un passaggio chiave in ottica digitalizzazione. In secondo luogo, gli efficientamenti sono diversi:

• Maggiore efficacia e guadagno di tempo: rispetto alla firma tradizionale, con la firma elettronica è possibile trasmettere istantaneamente un documento da firmare a uno o più interlocutori in pochi passaggi. In settori come quello bancario o assicurativo, la firma elettronica consente di concludere vendite al di fuori dell’orario di ufficio, 7 giorni su 7 nell’arco delle 24 ore. Un contratto elettronico sarà sempre pronto per essere firmato in pochi secondi, riducendo i tempi di elaborazione dei documenti e migliorando il tasso di conversione.

• Abbattimento dei costi: secondo uno studio condotto da CM.com, la firma elettronica potrebbe ridurre i costi operativi su base annua di 68.600€ (se utilizzata tramite applicazione web) o di 75.500€ (se utilizzata tramite API). Lo studio prevede 500 documenti mensili e due soli firmatari. Se si considerano i costi materiali, le spese di spedizione ed i tempi di recapito, di fatto la firma cartacea è molto più dispendiosa rispetto alla firma elettronica.

• Stato di avanzamento del processo di firma: la firma elettronica consente di seguire in tempo reale lo stato di avanzamento del processo di firma dei documenti inviati. Grazie poi ad un eventuale certificato digitale, è possibile identificare ogni modifica o azione eseguita sul documento originale. La funzionalità di tracciamento permette anche di inviare promemoria automatici ai destinatari che non hanno ancora firmato il documento.

Accesso sicuro e identità del firmatario: a seconda dell’esigenza specifica è possibile utilizzare diverse tecnologie con diversi gradi di affidabilità (FES, FEA, FEQ).

Normative e sicurezza della Firma Elettronica

La validità e la sicurezza della firma elettronica sono garantite da un solido quadro normativo a livello europeo e nazionale.

Standard Internazionali eIDAS

Il Regolamento eIDAS (Regolamento UE n. 910/2014), in vigore dal 2016, è la base normativa che regola l'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno dell'Unione Europea.

L’obiettivo di questo testo è quello di creare un'area di fiducia digitale comune, garantendo che le firme elettroniche qualificate rilasciate in uno Stato membro siano riconosciute in tutti gli altri con lo stesso valore legale.

Il regolamento ha formalizzato la distinzione tra i tre tipi di firma e ha confermato il massimo valore legale della Firma Elettronica Qualificata (FEQ) a livello transfrontaliero, rendendola un elemento essenziale per il business internazionale. Un'azienda italiana può, ad esempio, firmare un contratto con un'azienda tedesca utilizzando la propria FEQ, con la certezza che la firma sia legalmente riconosciuta in Germania.

Regolamento Nazionale (CAD)

In Italia, il Codice dell'Amministrazione Digitale (CAD) (D.Lgs. 82/2005) recepisce e integra il regolamento eIDAS, definendo specificamente la Firma Digitale come la soluzione tecnica che gode della presunzione legale di autenticità e non ripudio.

La conformità al CAD richiede che i sistemi di firma siano basati su certificati emessi da QTSP accreditati AgID. Questo garantisce che i documenti firmati digitalmente o con FEQ soddisfino il requisito della forma scritta e abbiano piena efficacia probatoria, simile a una scrittura privata autenticata.

Software per la Firma Elettronica

I software per la firma elettronica sono quegli applicativi che permettono di apporre, gestire e verificare una firma elettronica (o digitale) su un documento informatico. Tipicamente ogni QTSP fornisce il proprio software specifico, ma esistono anche soluzioni universali o integrate come quelle offerte da CM.com.

Caratteristiche chiave da ricercare in un software di firma:

• Compatibilità di formati: deve supportare i principali formati di firma standard come CAdES (tutti i file), PAdES (per PDF) e XAdES (specifico per XML).

• Compatibilità di tipi di firma: deve supportare l’utilizzo di tutti i tipi di firma (semplice, avanzata, qualificata).

• Verifica e validazione: deve poter verificare l’autenticità del firmatario e l’integrità del documento, compresa la validità temporale del certificato al momento della firma.

Integrazione con flussi aziendali: la presenza di API dedicate e della relativa documentazione permette di integrare il servizio di firma direttamente nei propri sistemi CRM, ERP e gestionali, automatizzando i processi ed eliminando frizioni e rallentamenti.

Le soluzioni basate sul cloud, come il servizio Sign di CM.com, sono particolarmente vantaggiose perché non richiedono l’installazione di software sul computer e permettono di firmare da qualsiasi dispositivo.

Domande Frequenti sulla Firma Elettronica

La Firma Elettronica è obbligatoria?

No, la firma elettronica non è obbligatoria per tutti i documenti. La necessità di una firma (e il suo livello di sicurezza) dipende dalla tipologia di atto e dal suo valore legale. Per le comunicazioni e le transazioni a basso rischio (es. accettazione di un preventivo via email), può essere sufficiente una Firma Elettronica Semplice. È obbligatoria la Firma Digitale o FEQ solo per specifici atti previsti dalla legge (es. comunicazioni con la Pubblica Amministrazione, depositi legali, bilanci societari, ecc.).

Come si fa la Firma Elettronica?

Il procedimento su come fare firma elettronica dipende dalla tipologia:

• FES: Può consistere in un semplice clic su un pulsante "Accetto", l'inserimento di un PIN o l'apposizione di un'immagine di firma.

• FEA (es. OTP): Il firmatario accede al documento tramite un link sicuro ricevuto via email. Per firmare, deve inserire un codice di sicurezza temporaneo (OTP - One Time Password) ricevuto via SMS sul proprio numero di cellulare. Questo passaggio lega univocamente la firma al numero di telefono del firmatario, garantendo sicurezza e integrità.

• FEQ/Digitale (Remota): Si utilizza il sistema del fornitore (es. Sign di CM.com), si validano il documento e l’identità, si genera una smart card e si scannerizza un QR Code con un’apposita app che appone la firma qualificata. Confermando l’azione con un PIN, l’azione di firma è completata.

Come posso creare una Firma Elettronica?

Per creare una firma elettronica con valore legale devi:

1. Scegliere un fornitore di soluzioni di firma.
   Affidarsi a provider come CM.com permette di gestire tutte le tipologie di firma in un’unica piattaforma. Per le Firme Qualificate, CM.com collabora direttamente con Prestatori di Servizi Fiduciari Qualificati (QTSP) accreditati per garantire la conformità normativa.

2. Sottoscrivere il servizio di firma elettronica.

3. A seconda del tipo di firma, sarà necessario completare una procedura di identificazione (online o in persona).

4. Ricevere le credenziali o il dispositivo fisico per iniziare a firmare.

Qual è un esempio di Firma Elettronica Semplice?

Un esempio di firma elettronica semplice è l’atto di digitare il proprio nome e cognome in un campo di testo di un modulo online, subito prima di un pulsante “Invia”, per accettare un documento o un preventivo non vincolante. Altri esempi includono l’utilizzo di credenziali standard o il click di una casella di spunta.