Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

L’analisi

Firma elettronica avanzata, a cosa serve e perché è opportunità di dematerializzazione per le aziende

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Tutti i segreti della firma elettronica avanzata, a cosa serve e come scegliere quella idonea alle proprie esigenze. Uno strumento tecnologico utile per aiutare le aziende nel processo di dematerializzazione e digitalizzazione, ma non bisogna trascurare i possibili rischi

Pubblicato il 29 feb 2024
Ivan Tizzanini

Privacy & IT Law Consultant at Si.Qu.Am

Firma elettronica avanzata: segreti, utilità e scelta. Aiuta aziende nella dematerializzazione, ma senza trascurare i rischi
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • La firma elettronica avanzata facilita la dematerializzazione dei documenti, garantendo validità legale equivalen te alla firma autografa ma introducendo rischi legati a duplicabilità e rappresentazione digitale.
  • Il quadro normativo europeo (eIDAS) e italiano (il CAD e il DPCM 22.02.2013) distingue livelli di firme: la FEQ è obbligatoria per atti sensibili, la FEA offre maggiore valore probatorio ma con limiti.
  • L’adozione richiede procedure di identificazione, conservazione digitale e conformità tecnica (es. ISO/IEC 27001, ISO 9001), verifica del vendor e attenzione al GDPR; i benefici includono risparmio sui costi operativi e migliore controllo dei processi.
Riassunto generato con AI

Firma elettronica avanzata: la sua adozione in azienda porta vantaggi in termini economici e organizzativi. Ma non mancano i rischi.

Questo strumento si inserisce in un contesto aziendale dove i rapporti contrattuali si intrecciano e la mole dei documenti assume particolare rilevanza, una situazione dove il processo di dematerializzazione può avere indubbi benefici.

Infatti, questo tipo di firma viene utilizzato per autenticare documenti e transazioni online in modo sicuro e legale. La firma elettronica avanzata ha la stessa validità legale di una firma autografa su carta e può essere utilizzata in una varietà di settori, come il commercio elettronico, le transazioni finanziarie e la gestione dei contratti.

Vista l’importanza data alla firma da parte di molti ordinamenti (non solo quello italiano), si ritiene necessario concentrare l’attenzione su quest’aspetto.

Cosa si intende in azienda per dematerializzazione

La dematerializzazione è quel processo volto a sostituire tutto ciò che viene gestito attraverso supporti analogici (quali la carta), con rappresentazioni informatiche (rectius elettroniche).

Questo articolo vuole analizzare gli strumenti tecnici e giuridici finalizzati alla produzione di documenti nativamente elettronici, focalizzando l’attenzione sulla fase di sottoscrizione dei documenti così prodotti.

Spiegheremo come tale processo, opportunamente programmato ed implementato possa condurre ad un risultato digitale equivalente a quello analogico, sia dal punto di vista contenutistico che da quello della validità legale.

È proprio quest’ultimo profilo, a rendere oggi il processo di dematerializzazione una realtà. Sin dal 1997, infatti, il legislatore italiano è intervenuto nell’intento di equiparare il documento informatico a quello analogico, riconoscendo validità e rilevanza a tutti gli effetti di legge agli atti, dati e documenti formati con strumenti informatici o telematici.

Non mancano comunque profili di rischio, legati all’utilizzo dei sistemi informatici ed in particolare del documento elettronico in sé considerato. Quest’ultimo infatti non soggiace alle medesime regole del mondo analogico (si pensi alla possibilità di duplicare un documento infinite volte, senza alterarne il contenuto ovvero al fatto che i contenuti percepibili all’uomo siano meramente una rappresentazione di informazioni codificate in formato binario). Ed ancora, per sottoscrivere un contratto nel mondo analogico è sufficiente un supporto (pezzo di carta) e dei tratti di inchiostro realizzati dai (riconducibili ai) contraenti. Nel mondo digitale l’apposizione della firma grafica (analogamente al sistema analogico) non rappresenta con egual efficacia l’impronta idiomatica apposta su un supporto fisico, in quanto trattasi di mere rappresentazioni matematiche riproducibili un numero infinito di volte e senza alcuna differenza.

Le firme, dall’analogico al digitale

Nel mondo analogico la firma (sottoscrizione autografa) svolge, da sempre, una duplice funzione: individuare l’autore ed esprimere la volontà dello stesso di assumere paternità ed effetti di quanto sottoscritto.

Ebbene, anche nel mondo informatico la firma assume sotto molteplici aspetti un ruolo centrale. La necessità di trasporre nel mondo digitale le funzioni tipiche della sottoscrizione autografa, hanno comportato, a livello globale, l’emanazione di numerosi interventi legislativi, volti a dar validità alle firme elettroniche.

Considerando il contesto europeo, le firme elettroniche sono oggi disciplinate dal Regolamento eIDAS (Regolamento UE 910/2014, di seguito “Regolamento”) al fine di permettere un’applicazione uniforme del modello di firma costituita da semplici bit in tutti gli Stati Membri.

Non si tratta del primo provvedimento in tal senso, già la Direttiva 1999/93/CE aveva introdotto l’argomento e in Italia, con il Codice dell’Amministrazione Digitale (CAD), il legislatore italiano ha dato vita ad un atto normativo organico riguardante l’utilizzo degli strumenti informatici nei rapporti fra la Pubblica Amministrazione e i privati.

La definizione di firma elettronica la ritroviamo, pertanto, nel Regolamento Europeo sopra citato (Art.3, paragrafo 1, n. 10): dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.

Oltre alle firme elettroniche cd. “semplici”, la normativa disciplina ulteriori tipologie di firme che assicurano in modo crescente la certezza del soggetto firmatario, nonché la sicurezza di un determinato documento elettronico. Si possono così incontrare: la firma elettronica avanzata (FEA), qualificata (FEQ) e la firma digitale.

Cos’è la firma elettronica avanzata

Proseguendo l’analisi, la firma elettronica avanzata risulta lo step successivo alla firma elettronica semplice possedendo, in particolare, maggior valore ai fini probatori (si veda l’art. 20 comma 1 bis del CAD).

La FEA incontra però dei limiti. L’art. 21 del CAD specifica che tale tipologia di firma non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12, per i quali il legislatore richiede necessariamente una firma elettronica qualificata (FEQ) di più alto livello.

Firma elettronica avanzata e firma elettronica qualificata

Quest’ultima tipologia di firma, la FEQ, oltre a non incontrare i limiti previsti invece per la FEA, risulta essere dal punto di vista legale la scelta più idonea alla sottoscrizione dei documenti elettronici, con particolare riferimento a quelli aventi contenuto patrimoniale.

Le FEQ risultano più complesse, sia nella fase di “acquisizione” (in quanto ogni contraente è tenuto ad averne una personale, richiedendola ad un determinato soggetto – prestatore di servizio fiduciario qualificato), che nella fase di utilizzo, richiedendo oltre al dispositivo per la firma (conforme all’Allegato II del Regolamento eIDAS), anche la memorizzazione di un codice PIN e a volte l’uso di software specifici.

La rigidità del mezzo (a tutto vantaggio della garanzia e della validità), unitamente ad alcuni comportamenti poco consoni da parte degli utenti, ha ridotto la diffusione di questo valido strumento giuridico in particolare riguardo al suo utilizzo nei rapporti commerciali.

Le FEA infatti, a differenza delle FEQ, non necessitano di prestatori di servizi fiduciari qualificati, lasciando libero il mercato di fornire soluzioni diversificate, purché rispondenti ai parametri richiesti e senza la sottoposizione a controlli o autorizzazioni da parte dell’Organismo di vigilanza.

Firma elettronica avanzata e firma elettronica qualificata: cosa dice la legge

All’interno del Codice dell’amministrazione digitale (prima dell’abrogazione della lettera q-bis dell’art. 1), la firma elettronica avanzata veniva così definita: Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.

A completamento di tale definizione è successivamente intervenuto il DPCM 22.02.2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate), che agli artt. 55 e ss. delinea i criteri vincolanti per i soggetti che intendano procedere all’adozione ovvero alla creazione di soluzioni di firme elettroniche avanzate.

Fatta questa introduzione riguardo le firme elettroniche previste dalla normativa, vediamo ora come poter implementare la FEA all’interno delle imprese private per la sottoscrizione dei documenti elettronici.

CLICCA QUI per scaricare il White Paper: "Archiviazione documentale, la rivoluzione della digitalizzazione delle informazione""

Caratteristiche delle soluzioni di firma elettronica avanzata

Le caratteristiche della FEA sono evidenziate nell’art. 26 del Regolamento eIDAS.

A completamento della descrizione data (prima dalla Direttiva poi) del Regolamento Europeo, l’Italia ha emanato il DPCM 22.02.2013 il quale richiede che le soluzioni di firma elettronica avanzata garantiscano (art. 56):

  1. L’identificazione del firmatario del documento potrà avvenire in un primo momento nel mondo “analogico” ovvero mediante strumenti che permettano la raccolta delle informazioni necessarie ad una identificazione compiuta del soggetto, senza dimenticare gli oneri informativi di cui si dirà nel proseguo;
  2. La connessione univoca del firmatario alla firma, requisito principalmente di natura tecnica, si realizzerà abbinando il dato elettronico “identità” e il dato elettronico “firma” secondo la nota dizione “acclusi oppure connessi tramite associazione logica”. Si tratta dunque di abbinare in rapporto univoco entrambi i dati in modo che siano indissolubilmente legati tra loro, soprattutto nella fase di utilizzo di cui al punto successivo. Ad esempio, le soluzioni grafometriche permettono l’abbinamento univoco grazie alla raccolta di una pluralità di dati univocamente connessi.
  3. I dati dovranno essere utilizzati esclusivamente dal firmatario, pertanto risulta fondamentale che quest’ultimo possa controllare direttamente il processo di firma, anche mediante soluzioni di autenticazione a più fattori che garantiscono maggior sicurezza e minor possibilità di un uso improprio del sistema da parte di terzi, ovvero l’utilizzo di caratteristiche specifiche del firmatario unitamente ad un processo vincolato di acquisizione della firma.
  4. La possibilità di verificare l’immodificabilità del documento a seguito dell’apposizione della firma è un requisito insito nell’apposizione della firma digitale che, utilizzando la funzione di hash applicata al digest del documento, permette di cristallizzare nel tempo il documento stesso.

Le soluzioni che prevedono l’utilizzo del sistema di verifica mediante l’hash sono sicuramente da tenere in considerazione per la creazione o l’adozione di tali sistemi, come l’uso di formati di file idonei che possano impedire la modifica del documento in un momento successivo alla firma (molte soluzioni, anche per la firma digitale, prevedono la conversione del documento in formato Portable Document Format conforme allo standard ISO – PDF/A).

  1. In tema di garanzia del procedimento la possibilità di avere evidenza di quanto sottoscritto è sicuramente di fondamentale importanza, permettendo ad entrambe le parti di poter avere accesso ai documenti sottoscritti in modo paritario, anche in vista dei futuri utilizzi. Procedimento che per certi versi risulta più garantista rispetto a soluzioni analogiche, mettendo alla diligenza delle parti la conservazione del documento cartaceo sottoscritto.
  2. Infine, la connessione univoca della firma al documento (a completare la triangolazione firmatario, firma documento) permette di garantire che il medesimo documento possa essere firmato nuovamente con la stessa firma plurime volte. Quest’ultimo concetto necessita un approfondimento: firma e firmatario sono univocamente collegati in un rapporto 1:1; il firmatario è connesso con i documenti sottoscritti in un rapporto 1:n (uno-a-molti), ma la legge prevede che il singolo atto di firma, posto in essere dal firmatario, sia connesso al documento in un rapporto 1:1. Questo obbligo è imposto al fine di evitare che la connessione di dati al documento (firma) possa essere riprodotta indebitamente a danno del firmatario, utilizzando ad esempio la firma previamente apposta ad un altro documento. Soluzione tecnica attuabile, ad esempio, mediante l’utilizzo della funzione di hash al rapporto documento-firma.

La mancanza di uno dei requisiti sopra indicati comporta il declassamento ai fini probatori della firma apposta sul documento. Pertanto, la soluzione scelta nel libero mercato ovvero prodotta autonomamente, dovrà tenere in considerazione i requisiti sopra indicati al fine di poter ottenere il riconoscimento giuridico della soluzione di FEA.

L’individuazione del soggetto proponente

Ferma restando la libertà nella realizzazione ed erogazione delle soluzioni di firma elettronica avanzata, l’art. 55 del citato Decreto prevede la presenza di uno o più soggetti coinvolti nel processo.

Infatti la lettera A prevede l’ipotesi nella quale il soggetto proponente sia anche realizzatore della soluzione di FEA, mentre alla lettera B è previsto un rapporto di fornitura ai soggetti erogatori (proponenti) di detta soluzione.

I soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi (art. 58 del Decreto), nel caso di fornitura di servizi ai soggetti di diritti pubblico (che non siano essi stessi pubbliche amministrazioni), sono tenuti ad ottenere la certificazione del processo a norma dello standard ISO/IEC 27001 nonché la conformità del sistema di qualità secondo la certificazione ISO 9001 (o norme equivalenti).

Ad ulteriore garanzia, facoltativamente è possibile certificare la soluzione FEA ai sensi della norma ISO/IEC 15408, livello EAL 1 o superiore.

Il mero realizzatore è pertanto onerato di maggiori requisiti esclusivamente nell’erogazione dei servizi alle PA. Mentre per i servizi alle imprese private risulta vincolato esclusivamente dalle soluzioni tecniche di cui al precedente paragrafo.

Il soggetto erogatore, sia esso anche realizzatore o meno della soluzione di FEA, è invece tenuto ad adottare un processo di identificazione e di informazione particolarmente stringente, come indicato all’art. 57 del citato DPCM.

Il nodo centrale e distintivo infatti è legato all’identificazione del soggetto. Se da un lato le caratteristiche tecniche sopra citate, richiedono soluzioni tecnologiche che permettano una stretta connessione tra firmatario, firma e documento, la fase di identificazione per così dire “reale” è demandata al proponente, quale soggetto interlocutore posto in uno stato di garanzia rispetto alla validità della FEA stessa.

In altre parole, ove il processo fosse correttamente implementato dal punto di vista sia tecnico che organizzativo, permetterebbe alle parti di ottenere un documento elettronico sottoscritto e valido ai fini probatori. È di tutta evidenza dunque, che la validità del processo identificativo-informativo, come anche della soluzione tecnologica, sia dirimente nell’implementazione di questa opportunità giuridica.

Il processo di adozione della firma elettronica avanzata

I soggetti che intendano proporre tali soluzioni di firma, a norma delle vigenti disposizioni italiane in materia, sono tenuti a (Art. 57 del Decreto):

  1. Verificare l’aderenza tecnico-normativa delle soluzioni acquisite ovvero prodotte per l’erogazione della firma elettronica avanzata;
  2. Stabilire una procedura per la raccolta del consenso, e dell’eventuale revoca, all’utilizzo della FEA, nonché del documento di identità del firmatario;
  3. Prevedere la conservazione dei documenti di identità e informativi per almeno 20 anni, garantendone la disponibilità, integrità, leggibilità e autenticità (evidente il richiamo alla conservazione “a norma”);
  4. Prevedere la conservazione digitale dei documenti sottoscritti;
  5. Integrare il sito internet con una sezione dedicata alla FEA contenente: termini e condizioni, caratteristiche del servizio, estremi assicurazione per responsabilità civile per rischi industriali (non inferiore a 500.000 euro), ecc.

Le lettere b) ed e) dell’elenco potrebbero essere implementate in modo sia analogico che digitale. In quest’ultimo caso si potrebbe utilizzare, ad esempio, un sistema di firma elettronica semplice per l’adesione al servizio e la raccolta dei documenti. Successivamente a tale passaggio l’utente avrebbe poi la possibilità di utilizzare la FEA nei rapporti con il proponente (e solo con esso), infatti questa soluzione di firma è valida solamente fra le parti del contratto, essendo il soggetto proponente anche il “garante” del processo utilizzato.

Soluzioni di firma elettronica avanzata presenti sul mercato

Considerando la materia e la tipologia di servizio, diversi vendor internazionali offrono soluzioni molto interessanti sul mercato.

Adottare una soluzione di questo tipo significa in ogni caso affidare la validità ovvero la capacità probatoria dei propri documenti contrattuali ad un soggetto terzo, pertanto appare quanto mai opportuno procedere ad un’attenta verifica delle soluzioni proposte. Oltre al rispetto dei requisiti tecnici richiesti è importante tenere in debita considerazione anche:

  1. l’adozione di standard e certificazioni internazionali connessi alla sicurezza delle informazioni;
  2. l’utilizzo di un sistema di generazione della firma che permetta una corretta identificazione del soggetto firmatario e un’idonea gestione del workflow di firma da parte di tutte le parti coinvolte;
  3. la disponibilità di un sistema di API che permetta l’interfacciamento del sistema con eventuali sistemi gestionali e/o documentali già presenti in azienda;
  4. la disponibilità di integrazioni con altre piattaforme abilitanti il processo di dematerializzazione, come soluzioni cloud per la creazione dei documenti.

I vantaggi della firma elettronica avanzata

Produrre o adottare un sistema di firma elettronica avanzata necessita sicuramente di una fase di studio e programmazione non di basso rilievo, dovendo inserirsi all’interno di processi aziendali analogici, magari anche molto consolidati nel tempo.

Ad ogni modo è possibile evidenziare mediante semplici calcoli, i benefici all’avvio di una gestione dematerializzata dei contratti e di tutti i documenti che necessitano l’utilizzo della firma. Infatti, calcolando i costi per:

  • Strumenti e strutture di archiviazione: scaffali, cartelle, faldoni, ecc.
  • Spazio fisico utilizzato;
  • Tempo di ricerca e di archiviazione dei documenti;
  • Costo dei supporti documenti propri: fogli e inchiostro (toner).

Si raggiunge un costo approssimato di circa 2 euro a foglio archiviato/gestito dall’impresa. Immaginando il numero di documenti potenzialmente presenti all’interno del contesto aziendale è facilmente intuibile che i costi “invisibili” possano raggiungere cifre molto elevate (20.000 fogli equivalgono a circa 40.000 euro). Il processo di dematerializzazione garantisce, pertanto, vantaggi in termini di processo aziendale a 360 gradi: risparmio, sicurezza e migliore controllo del processo.

Firma elettronica avanza, un vantaggio con il vendor giusto

Se da una parte sono emersi notevoli vantaggi, sia economici che organizzativi, dal processo di adozione di una soluzione firma elettronica avanzata, appare quantomai necessaria la verifica del vendor idoneo, che possa garantire l’adempimento tecnico di quanto richiesto dalla normativa.

Internamente all’azienda è fondamentale l’introduzione di un metodo operativo anche diverso dal precedente (improntato sul metodo analogico), volto in particolare, come si è detto, al rispetto degli obblighi informativi e all’identificazione del firmatario.

Infine, la soluzione proposta non potrà prescindere dall’analisi dei rapporti fra le varie parti del rapporto: il firmatario, il soggetto che eroga la soluzione firma elettronica avanzata e il soggetto che realizza soluzioni FEA per terzi (ove presente).

Queste sono tutte parti di un rapporto di scambio di dati elettronici riferiti a persone fisiche identificate, coinvolgendo pertanto anche il tanto temuto Regolamento UE 2016/679 (“GDPR”).

Full Digital Hr: Cosa serve e come cambia il llavoro. Scarica il white paper

FAQ: firma elettronica avanzata

La firma elettronica avanzata è un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario e garantiscono la connessione univoca al firmatario stesso. È creata con mezzi sui quali il firmatario può conservare un controllo esclusivo ed è collegata ai dati in modo da consentire di rilevare eventuali modifiche successive. Rappresenta uno step successivo alla firma elettronica semplice, possedendo maggior valore ai fini probatori, come specificato dall’art. 20 comma 1 bis del CAD. La FEA si inserisce in un contesto aziendale dove i rapporti contrattuali si intrecciano e la mole dei documenti assume particolare rilevanza, offrendo indubbi benefici nel processo di dematerializzazione.

I requisiti della firma elettronica avanzata sono definiti nell’art. 26 del Regolamento eIDAS e nel DPCM 22.02.2013. Secondo l’articolo 56 di quest’ultimo, le soluzioni di FEA devono garantire: l’identificazione del firmatario del documento, la connessione univoca della firma al firmatario, il controllo esclusivo del firmatario sul sistema di generazione della firma, la possibilità di verificare che il documento non sia stato modificato dopo l’apposizione della firma, la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto, l’individuazione del soggetto che eroga la soluzione, l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati, la connessione univoca della firma al documento sottoscritto. La mancanza di uno di questi requisiti comporta il declassamento ai fini probatori della firma apposta.

Le differenze tra queste tipologie di firma sono sostanziali. La firma elettronica avanzata (FEA) rappresenta una semplificazione della firma elettronica qualificata, con specifici requisiti stabiliti nel Titolo V del DPCM 22 febbraio 2013. La FEA incontra però dei limiti: l’art. 21 del CAD specifica che non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12. La firma elettronica qualificata (FEQ) non incontra questi limiti ed è la scelta più idonea per documenti con contenuto patrimoniale. La firma digitale, prevista solo in Italia nel CAD, è un particolare tipo di firma elettronica qualificata basata su un certificato qualificato e su un sistema di chiavi crittografiche correlate tra loro, che consente di verificare la provenienza e l’integrità di un documento informatico.

L’implementazione della firma elettronica avanzata in azienda richiede una fase di studio e programmazione. Il soggetto erogatore deve adottare un processo di identificazione e informazione particolarmente stringente, come indicato all’art. 57 del DPCM 22.02.2013. In particolare, deve: identificare in modo certo il firmatario tramite un documento di riconoscimento valido, informare il firmatario circa gli esatti termini e condizioni di utilizzo del servizio, fornire le informazioni relative al trattamento dei dati personali, rendere note le caratteristiche del sistema e le tecnologie utilizzate, conservare per almeno 20 anni copia del documento di riconoscimento e della dichiarazione di accettazione del servizio, fornire liberamente e gratuitamente al firmatario il software necessario per la verifica della firma. L’adozione di una soluzione FEA può avvenire sviluppando una propria soluzione o scegliendo un vendor che rispetti i requisiti tecnici e normativi.

L’adozione della firma elettronica avanzata in azienda porta numerosi vantaggi in termini economici e organizzativi. Il processo di dematerializzazione garantisce benefici a 360 gradi: risparmio, sicurezza e migliore controllo del processo. Considerando i costi per stampa, gestione fisica dei documenti, archiviazione e ricerca, si raggiunge un costo approssimato di circa 2 euro a foglio archiviato/gestito dall’impresa. La FEA permette di velocizzare i flussi approvativi, migliorare la tracciabilità delle operazioni e garantire un migliore controllo sui documenti firmati. Inoltre, sotto il profilo della sicurezza, questi strumenti permettono di garantire l’autenticità, l’integrità e, in alcuni casi, la non ripudiabilità di un documento informatico, rappresentando un passo concreto verso una gestione documentale più efficiente e trasparente.

Nonostante i vantaggi, la firma elettronica avanzata presenta alcuni rischi e limitazioni. L’art. 21 del CAD specifica che tale tipologia di firma non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12, per i quali il legislatore richiede necessariamente una firma elettronica qualificata (FEQ). Inoltre, l’articolo 60 del DPCM 22 febbraio 2013 limita l’uso della FEA ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione, limitandone fortemente l’utilizzo nel caso della presenza di intermediari. Adottare una soluzione di questo tipo significa affidare la validità dei propri documenti contrattuali ad un soggetto terzo, rendendo necessaria un’attenta verifica delle soluzioni proposte.

La firma elettronica avanzata grafometrica è una tipologia di FEA che utilizza dati biometrici. Il sottoscrittore firma il documento (nella quasi totalità dei casi un documento in formato PDF) utilizzando uno stilo attivo o passivo su un dispositivo in grado di raccogliere il tratto della sottoscrizione e, in maniera protetta, di connetterlo in modo indissolubile a quanto si vuole sottoscrivere. Il sistema acquisisce parametri biometrici come le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento del dispositivo. Questi dati devono essere protetti secondo le regole stabilite nel Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014), che impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria quando si è in presenza di un contenzioso.

Il regolamento eIDAS 2 ha introdotto importanti novità per la firma elettronica avanzata, in particolare requisiti di sicurezza e sanzioni anche per i servizi fiduciari non qualificati, tra i quali è inclusa la FEA. Queste modifiche rendono urgente l’adeguamento della normativa italiana, in particolare il Codice dell’amministrazione digitale, relativamente alla firma elettronica avanzata. Alcune parti del CAD non sono più applicabili perché in contraddizione con il regolamento europeo. Il problema principale da risolvere riguarda la vetustà delle regole tecniche. L’introduzione dell’Eudi Wallet previsto dalla nuova normativa rappresenta un’ulteriore evoluzione che influenzerà i sistemi di firma elettronica avanzata, richiedendo soluzioni già progettate in compliance con eIDAS 2.0.

Sì, è possibile registrare contratti firmati con firma elettronica avanzata. L’Agenzia delle Entrate, con la risoluzione 23/E dell’8 aprile 2021, ha chiarito che per gli atti in cui è valida la forma scritta senza necessità di autentica (ad esempio le tipiche locazioni commerciali o abitative, oppure le offerte di acquisto di immobili) è sufficiente la Firma Elettronica Avanzata per la loro piena validità. Indipendentemente dalla validità dell’atto, la registrazione e il pagamento dell’imposta restano obbligatorie. Gli atti da sottoporre a registrazione devono essere presentati in un formato idoneo alla conservazione ai sensi dell’art.43 del Codice dell’Amministrazione Digitale. Tuttavia, per contratti immobiliari come locazioni ultra novennali o contratti di cessione di immobili ed i relativi preliminari, è prevista la forma dell’atto pubblico o della scrittura privata autenticata, richiedendo quindi una firma elettronica qualificata o digitale.

Per garantire l’interoperabilità della firma elettronica avanzata grafometrica è indispensabile generare i dati in un formato standard, specificamente nel formato ISO/IEC 19794-7 (2014). Questo standard stabilisce le strutture dati e la rappresentazione dei parametri biometrici che caratterizzano la sottoscrizione grafometrica, come le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento. Poiché le strutture dati della firma grafometrica prodotte dalle varie soluzioni sono leggibili solo dallo strumento di analisi grafologica dello stesso fornitore, è molto utile disporre di strutture dati omogenee prodotte su un tracciato standard, che possono essere analizzate da qualsiasi strumento di analisi in grado di elaborare questo tracciato. L’associazione ANORC ha sviluppato e sostenuto un’attività di test che ha portato all’evidenza di interoperabilità tra sistemi di FEA grafometrica qualora si adotti lo standard sopra citato.

La sicurezza e la privacy nella firma elettronica avanzata, specialmente quella grafometrica, richiedono particolare attenzione. Il Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014) impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria quando si è in presenza di un contenzioso. Nel Provvedimento sono fornite le Regole di protezione del dato biometrico e le indicazioni organizzative per un suo trattamento rispettoso della privacy. La certificazione dei sistemi ai sensi dei Common Criteria (standard di riferimento per la sicurezza di questo tipo di hardware e software) non è mai decollata per la mancanza di domanda sul tema. È importante considerare che la soluzione di firma elettronica avanzata coinvolge il trattamento di dati personali riferiti a persone fisiche identificate, coinvolgendo pertanto anche il Regolamento UE 2016/679 (GDPR).

La scelta della tipologia di firma elettronica più adatta dipende principalmente da due fattori: la tipologia di documento oggetto della firma e il rapporto che si sta instaurando con il firmatario. Per consensi semplici come conferme d’ordine, preventivi o informative privacy, si può ricorrere alla firma elettronica semplice. Nei casi in cui è prevista la forma scritta della scrittura privata, come contratti di assicurazione, commerciali, bancari o di locazione inferiore ai nove anni, è richiesta almeno la firma elettronica avanzata. Per documenti che richiedono maggiore sicurezza, come contratti immobiliari o atti pubblici, è necessaria la firma elettronica qualificata. La normativa fornisce una guida chiara sulle tipologie di firma da utilizzare, in base al livello di sicurezza, integrità, immodificabilità e non ripudio richiesto. È importante anche valutare il rapporto che si instaura con il firmatario: se alla firma di un ordine segue un pagamento tracciato, il rapporto si irrobustisce, fornendo ulteriori prove in caso di contenzioso.

L’articolo 60 del DPCM 22 febbraio 2013, che limita l’uso della firma elettronica avanzata ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione, rappresenta un ostacolo significativo all’adozione diffusa della FEA. Per superare questa limitazione, sarebbe necessario aggiornare il DPCM con un nuovo articolo 60 che elimini questa restrizione, consentendo l’uso della FEA anche in presenza di intermediari o quando è complesso identificare la “propagazione” della FEA rispetto ai rapporti giuridici da soddisfare. L’aggiornamento dovrebbe anche definire la firma grafometrica e inserire la possibilità di utilizzare strumenti digitali per la gestione da remoto dell’acquisizione dei dati del titolare mediante l’uso di SPID e della CIE 3.0. Questo aggiornamento porterebbe benefici per i cittadini nei rapporti con la pubblica amministrazione e per le imprese, consentendo di dematerializzare tutti i procedimenti amministrativi in modo semplice, economico e riusabile per la PA.

FAQ generate con l'AI, a cura della Redazione
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

guest

4 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • classificazione_di_documenti_con_l_ai_agendadigitale; CAD eIDAS 2.0; MUAI uso malevolo AI

  • scenario

    CAD ed eIDAS 2.0, urgente un allineamento tra norme: ecco perché

    09 Ott 2025

    di Giovanni Manca

    Condividi
  • identità digitale e diritti digitali validità carta identità cartacea; Intesa CIE

  • servizi digitali

    Regolamento eIDAS 2.0, la guida: tutto ciò che bisogna sapere

    06 Feb 2026

    di Nicoletta Pisanu

    Condividi
  • carta identità elettronica

  • LA GUIDA

    Carta d'identità elettronica (Cie), come usarla online al posto di Spid

    12 Giu 2025

    di Alessandro Longo e Andrea Tironi

    Condividi
4
0
Lascia un commento, la tua opinione conta.x