Quanti di noi sono consapevoli che la Carta d’identità elettronica (CIE) è anche uno strumento…
Dalla carta al digitale: la firma elettronica sui documenti informatici
Sebbene con qualche difficoltà iniziale, sono ormai milioni i cittadini italiani che hanno imparato ad accedere con la propria identità digitale ai servizi online, che hanno comunicato il proprio domicilio digitale sulla piattaforma INAD e che hanno installato l’appIO sul proprio smartphone: operazioni che nel corso di questi anni sono diventate parte integrante della nostra “routine digitale”. Parallelamente, sono invece una piccola minoranza i cittadini che, per lo più professionisti, hanno imparato anche ad apporre la propria firma elettronica a un documento informatico, come ad esempio un file nel classico formato PDF.
Ebbene nell’epoca della tanto agognata transizione digitale del Paese la firma elettronica riveste un ruolo cruciale nel facilitare la digitalizzazione dei processi amministrativi e garantire la validità legale dei documenti informatici, ed è quindi è fondamentale che i cittadini italiani posseggano quantomento le conoscenze e le capacità di base anche su questo tema.
L’obiettivo di questo articolo è quindi quello di illustrare il concetto di firma elettronica e cosa la differenzia rispetto alla firma autografa che tutti siamo abituati ad apporre, conoscere quali sono le tipologie di firma previste dall’ordinamento giuridico italiano e, infine, dare qualche consiglio utile su come ottenere e utilizzare un dispositivo di firma.
Cos’è la firma elettronica?
Il dizionario Treccani definisce la firma (autografa) come:
“il nome e il cognome con cui si sottoscrive un documento per conferma o accettazione del contenuto, una lettera o cartolina per indicare il mittente”.
A partire da questa definizione, possiamo affermare che la firma elettronica è l’equivalente della firma autografa apposta su un documento informatico o file.
Diversamente dalla firma autografa però, l’apposizione di una firma elettronica rappresenta un complesso processo tecnologico che consente di associare i dati utili a identificare il sottoscrittore di un particolare documento e costituisce a tutti gli effetti l’espressione della volontà, da parte di quest’ultimo, di sottoscriverlo.
Quali sono le tipologie di firma elettronica previste dall’ordinamento italiano?
Sebbene l’ordinamento giuridico italiano (Decreto legislativo 07/03/2005, n. 82, “Codice dell’amministrazione digitale”) individui e disciplini cinque diverse tipologie di firma elettronica, per l’obiettivo che ci siamo prefissati con la redazione di questo articolo vogliamo concentrare la nostra attenzione esclusivamente su due di esse, ovvero:
- firma elettronica avanzata (FEA): insieme di dati allegati o connessi a un documento informatico che ne consentono l’identificazione del firmatario e garantiscono la connessione univoca al firmatario stesso, oltre all’immodificabilità del documento sottoscritto.
- firma digitale (FD): particolare tipo di firma elettronica avanzata, basata su un certificato qualificato generabile esclusivamente con gli strumenti resi disponibili da soggetti qualificati e riconosciuti a livello nazionale, denominati “prestatori di servizi fiduciari”. Tutto si basa su un sistema di chiavi crittografiche che consentono al sottoscrittore di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico.
La firma elettronica ha valenza giuridica?
La valenza giuridica di una firma elettronica è riconducibile alla sua capacità di soddisfare il requisito della forma scritta (articolo 2702 del Codice civile), alla sua efficacia giuridica e all’onere della prova. In particolare, quest’ultimo si riferisce all’individuazione del soggetto che, in caso di contestazione, deve fornire le necessarie prove atte a dimostrare la validità o l’invalidità della firma oggetto di contestazione.
I documenti sottoscritti con FEA soddisfano appieno il requisito della forma scritta, tuttavia il soggetto cui la firma elettronica afferisce può disconoscerla: in questo caso è onere della parte che vuole avvalersi degli effetti giuridici di tale firma dimostrarne la conformità.
Anche i documenti sottoscritti con FD soddisfano il requisito della forma scritta ma, a differenza della FEA, l’utilizzo del dispositivo di firma si presume sempre riconducibile al titolare della firma salvo che questi dia prova contraria: pertanto, al fine del disconoscimento, è l’apparente sottoscrittore (il soggetto cui la firma afferisce) che ha l’onere di dimostrare che tale firma digitale non sia stata generata da lui.
Entrambe le firme soddisfano quindi i requisiti previsti conferendo loro valenza giuridica, tuttavia la FD possiede caratteristiche intrinseche che la rendono più “affidabile”, e quindi capace di produrre effetti giuridici maggiormente rilevanti, rispetto alla FEA poiché in grado di dimostrare con maggiore certezza la volontà del sottoscrittore di firmare un documento informatico.
Quale tipologia di firma elettronica scegliere?
Poiché le diverse tipologie di firma elettronica si differenziano per la loro capacità di resistere al disconoscimento, ne consegue che per la scelta della tipologia di firma elettronica adeguata allo specifico scopo è bene partire da un’analisi del rischio di disconoscimento: nei casi in cui il rischio è rilevante è preferibile utilizzare la FD, mentre nel caso in cui il rischio è basso anche la FEA rappresenta una soluzione sicura.
Dove posso acquisire uno strumento per l’apposizione della firma elettronica?
Come anticipato in precedenza, i dispositivi per l’apposizione della FD sono distribuiti esclusivamente da prestatori di servizi fiduciari riconosciuti in Italia, a cui occorre rivolgersi direttamente per l’acquisto (l’elenco completo è pubblicato sul sito istituzionale di AgID, tra questi citiamo ad esempio Aruba, Infocert, Namirial e Poste Italiane).
Dal punto di vista tecnico esistono due modalità per utilizzare un dispositivo di FD:
- in locale: la firma digitale viene generata tramite un dispositivo nel possesso fisico del sottoscrittore, che può essere una smartcard o un token USB (vedi immagine sotto).
- da remoto: la firma digitale viene generata tramite un computer o smartphone connesso a internet sul quale è installato un software di firma dedicato, quindi senza che il sottoscrittore possegga fisicamente un dispositivo dedicato.
Per effettuare l’ordine di acquisto quasi tutti i prestatori di servizi fiduciari mettono a disposizione una semplice procedura online raggiungibile a partire dal proprio sito istituzionale. Naturalmente il costo previsto varia in funzione del prestatore di servizio individuato e della tipologia di dispositivo a cui siamo interessati, tuttavia possiamo affermare che un dispositivo di FD ha un costo indicativo di circa 50 euro e va rinnovato ogni tre anni.
Se non hai intenzione di acquistare una FD e la tua finalità è quella di trasmettere un documento sottoscritto elettronicamente a una pubblica amministrazione devi sapere che l’articolo 61, comma 2 del Decreto del Presidente del Consiglio dei Ministri 22/02/2013 stabilisce che la Tessera Sanitaria (TS) e la Carta d’Identità Elettronica (CIE) sono individuati come strumenti idonei per apporre una FEA proprio nei confronti della PA. Poichè, come abbiamo visto, la FEA soddisfa appieno il requisito della forma scritta, il DCPM sancisce a tutti gli effetti che la PA è tenuta ad accettare documenti sottoscritti elettronicamente con TS o CIE da parte dei cittadini.
In base alle considerazioni fatte sopra, in questa tabella indichiamo il dispositivo di firma da scegliere in funzione dell’utilizzo e del destinatario del documento che si vuole sottoscrivere.
Finalità della firma | TS | CIE | FD in locale | FD in remoto |
Firmare documenti che il cittadino deve trasmettere a una PA | V | V | V | V |
Firma di documenti che una PA deve trasmettere a un cittadino | X | X | V | V |
Firma di documenti che riguardano un atto privato tra cittadini | X | X | V | V |
Quali sono gli strumenti necessari per apporre una firma elettronica?
Oltre al dispositivo per l’apposizione di una firma elettronica occorre accertarsi di essere in possesso di tutti gli ulteriori strumenti necessari, di seguito riassunti:
Strumento | TS | CIE | FD in locale | FD in remoto |
Ottenere il PIN e il PUK | Possono essere chiesti presso uno degli sportelli preposti dalla Regione di riferimento. Per ulteriori approfondimenti ti consigliamo di consultare il sito Sistema Tessera Sanitaria | Vengono consegnati assieme alla CIE | Vengono consegnati dal prestatore di servizio assieme al dispositivo di firma | Vengono consegnati dal prestatore di servizio assieme al dispositivo di firma |
Scaricare e installare i driver | I driver sono pubblicati sul sito Sistema Tessera Sanitaria | I driver sono pubblicati sul sito www.cartaidentita.interno.gov.it | I driver sono pubblicati sul sito del prestatore di servizio | I driver sono pubblicati sul sito del prestatore di servizio |
Installare e configurare il lettore di smartcard | Occorre installare e configurare un lettore di smartcard comune. | Occorre installare e configurare un lettore di smartcard NFC o contactless. In alternativa è possibile usare il proprio smartphone dotato di interfaccia NFC e dell’app “CieSign” | Se il dispositivo è una smartcard occorre installare e configurare un lettore di smartcard comune. Se il dispositivo è un token USB i driver sono installabili una volta collegato il dispositivo al computer. | – |
Scaricare e installare un software per l’apposizione e la verifica della firma elettronica | Prendendo spunto dall’elenco pubblicato sul sito di AgID, suggeriamo di utilizzare il software Globo.signer in quanto è uno dei pochi a supportare l’apposizione e la verifica di una firma elettronica con TS. | Prendendo spunto dall’elenco pubblicato sul sito di AgID, suggeriamo di utilizzare il software Globo.signer in quanto è uno dei pochi a supportare l’apposizione e la verifica di una firma elettronica con CIE. In alternativa è possibile usare il proprio smartphone dotato di interfaccia NFC e dell’app “CieSign” | Si suggerisce di utilizzare il software messo a disposizione dal prestatore di servizio | Si suggerisce di utilizzare il software messo a disposizione dal prestatore di servizio |
Come fare per apporre una firma elettronica?
Una volta entrati in possesso di un dispositivo per l’apposizione di una firma elettronica e configurati tutti gli strumenti necessari, a prescindere dalla tipologia di firma che si vuole apporre e dal software utilizzato, per sottoscrivere un documento occorre seguire pressoché sempre questi passaggi:
- seleziona il file sul quale apporre la firma elettronica (è preferibile sottoscrivere file in formato PDF o PDF/A)
- seleziona il formato di firma tra PDF o P7M (hanno la medesima valenza da un punto di vista giuridico)
- seleziona la cartella del tuo computer in cui salvare il file firmato.
- digita il PIN personale.
Come fare per verificare una firma elettronica apposta a un documento?
Solitamente il software che abbiamo utilizzato per apporre la firma elettronica prevede anche la funzionalità di verifica delle firme apposte a un documento. Anche in questo caso i passaggi sono pressochè sempre i medesimi:
- seleziona il file firmato elettronicamente del quale vuoi verificare la firma apposta
- controlla l’esito della verifica e l’effettiva validità della stessa.
Se vuoi dare uno sguardo al risultato finale puoi scaricare questo esempio di file firmato elettronicamente in formato PDF, a partire dal quale potrai verificare tu stesso l’autenticità della firma digitale apposta.