L'analisi

Firma elettronica avanzata, a cosa serve e perché è opportunità di dematerializzazione per le aziende

Tutti i segreti della firma elettronica avanzata, a cosa serve e come scegliere quella idonea alle proprie esigenze. Uno strumento tecnologico utile per aiutare le aziende nel processo di dematerializzazione e digitalizzazione, ma non bisogna trascurare i possibili rischi

22 Ott 2019
Ivan Tizzanini

Privacy & IT Law Consultant at Si.Qu.Am


Firma elettronica avanzata: la sua adozione in azienda porta vantaggi in termini economici e organizzativi. Ma non mancano i rischi. Questo strumento si inserisce in un contesto aziendale dove i rapporti contrattuali si intrecciano e la mole dei documenti assume particolare rilevanza, una situazione dove il processo di dematerializzazione può avere indubbi benefici. Vista l’importanza data alla firma da parte di molti ordinamenti (non solo quello italiano), si ritiene necessario concentrare l’attenzione su quest’aspetto.

La dematerializzazione in azienda

La dematerializzazione è quel processo volto a sostituire tutto ciò che viene gestito attraverso supporti analogici (quali la carta), con rappresentazioni informatiche (rectius elettroniche). Questo articolo vuole analizzare gli strumenti tecnici e giuridici finalizzati alla produzione di documenti nativamente elettronici, focalizzando l’attenzione sulla fase di sottoscrizione dei documenti così prodotti. Spiegheremo come tale processo, opportunamente programmato ed implementato possa condurre ad un risultato digitale equivalente a quello analogico, sia dal punto di vista contenutistico che da quello della validità legale. È proprio quest’ultimo profilo, a rendere oggi il processo di dematerializzazione una realtà. Sin dal 1997, infatti, il legislatore italiano è intervenuto nell’intento di equiparare il documento informatico a quello analogico, riconoscendo validità e rilevanza a tutti gli effetti di legge agli atti, dati e documenti formati con strumenti informatici o telematici.

Non mancano comunque profili di rischio, legati all’utilizzo dei sistemi informatici ed in particolare del documento elettronico in sé considerato. Quest’ultimo infatti non soggiace alle medesime regole del mondo analogico (si pensi alla possibilità di duplicare un documento infinite volte, senza alterarne il contenuto ovvero al fatto che i contenuti percepibili all’uomo siano meramente una rappresentazione di informazioni codificate in formato binario). Ed ancora, per sottoscrivere un contratto nel mondo analogico è sufficiente un supporto (pezzo di carta) e dei tratti di inchiostro realizzati dai (riconducibili ai) contraenti. Nel mondo digitale l’apposizione della firma grafica (analogamente al sistema analogico) non rappresenta con egual efficacia l’impronta idiomatica apposta su un supporto fisico, in quanto trattasi di mere rappresentazioni matematiche riproducibili un numero infinito di volte e senza alcuna differenza.

Le firme

Nel mondo analogico la firma (sottoscrizione autografa) svolge, da sempre, una duplice funzione: individuare l’autore ed esprimere la volontà dello stesso di assumere paternità ed effetti di quanto sottoscritto. Ebbene, anche nel mondo informatico la firma assume sotto molteplici aspetti un ruolo centrale. La necessità di trasporre nel mondo digitale le funzioni tipiche della sottoscrizione autografa, hanno comportato, a livello globale, l’emanazione di numerosi interventi legislativi, volti a dar validità alle firme elettroniche. Considerando il contesto europeo, le firme elettroniche sono oggi disciplinate dal Regolamento eIDAS (Regolamento UE 910/2014, di seguito “Regolamento”) al fine di permettere un’applicazione uniforme del modello di firma costituita da semplici bit in tutti gli Stati Membri. Non si tratta del primo provvedimento in tal senso, già la Direttiva 1999/93/CE aveva introdotto l’argomento e in Italia, con il Codice dell’Amministrazione Digitale (CAD), il legislatore italiano ha dato vita ad un atto normativo organico riguardante l’utilizzo degli strumenti informatici nei rapporti fra la Pubblica Amministrazione e i privati.

La definizione di firma elettronica la ritroviamo, pertanto, nel Regolamento Europeo sopra citato (Art.3, paragrafo 1, n. 10): “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.” Oltre alle firme elettroniche cd. “semplici”, la normativa disciplina ulteriori tipologie di firme che assicurano in modo crescente la certezza del soggetto firmatario, nonché la sicurezza di un determinato documento elettronico. Si possono così incontrare: la firma elettronica avanzata (FEA), qualificata (FEQ) e la firma digitale.

Cos’è la firma elettronica avanzata

Proseguendo l’analisi, la firma elettronica avanzata risulta lo step successivo alla firma elettronica semplice possedendo, in particolare, maggior valore ai fini probatori (si veda l’art. 20 comma 1 bis del CAD).

La FEA incontra però dei limiti. L’art. 21 del CAD specifica che tale tipologia di firma non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12, per i quali il legislatore richiede necessariamente una firma elettronica di più alto livello (FEQ). Quest’ultima tipologia di firma, oltre a non incontrare i limiti previsti invece per la FEA, risulta essere dal punto di vista legale la scelta più idonea alla sottoscrizione dei documenti elettronici, con particolare riferimento a quelli aventi contenuto patrimoniale. Le FEQ risultano più complesse, sia nella fase di “acquisizione” (in quanto ogni contraente è tenuto ad averne una personale, richiedendola ad un determinato soggetto – prestatore di servizio fiduciario qualificato), che nella fase di utilizzo, richiedendo oltre al dispositivo per la firma (conforme all’Allegato II del Regolamento eIDAS), anche la memorizzazione di un codice PIN e a volte l’uso di software specifici. La rigidità del mezzo (a tutto vantaggio della garanzia e della validità), unitamente ad alcuni comportamenti poco consoni da parte degli utenti, ha ridotto la diffusione di questo valido strumento giuridico in particolare riguardo al suo utilizzo nei rapporti commerciali. Le FEA infatti, a differenza delle FEQ, non necessitano di prestatori di servizi fiduciari qualificati, lasciando libero il mercato di fornire soluzioni diversificate, purché rispondenti ai parametri richiesti e senza la sottoposizione a controlli o autorizzazioni da parte dell’Organismo di vigilanza.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

All’interno del Codice dell’amministrazione digitale (prima dell’abrogazione della lettera q-bis dell’art. 1), la firma elettronica avanzata veniva così definita: “Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. A completamento di tale definizione è successivamente intervenuto il DPCM 22.02.2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate), che agli artt. 55 e ss. delinea i criteri vincolanti per i soggetti che intendano procedere all’adozione ovvero alla creazione di soluzioni di firme elettroniche avanzate. Fatta questa introduzione riguardo le firme elettroniche previste dalla normativa, vediamo ora come poter implementare la FEA all’interno delle imprese private per la sottoscrizione dei documenti elettronici.

Caratteristiche delle soluzioni di firma elettronica avanzata

Le caratteristiche della FEA sono evidenziate nell’art. 26 del Regolamento eIDAS. A completamento della descrizione data (prima dalla Direttiva poi) del Regolamento Europeo, l’Italia ha emanato il DPCM 22.02.2013 il quale richiede che le soluzioni di firma elettronica avanzata garantiscano (art. 56):

  1. L’identificazione del firmatario del documento potrà avvenire in un primo momento nel mondo “analogico” ovvero mediante strumenti che permettano la raccolta delle informazioni necessarie ad una identificazione compiuta del soggetto, senza dimenticare gli oneri informativi di cui si dirà nel proseguo;
  2. La connessione univoca del firmatario alla firma, requisito principalmente di natura tecnica, si realizzerà abbinando il dato elettronico “identità” e il dato elettronico “firma” secondo la nota dizione “acclusi oppure connessi tramite associazione logica”. Si tratta dunque di abbinare in rapporto univoco entrambi i dati in modo che siano indissolubilmente legati tra loro, soprattutto nella fase di utilizzo di cui al punto successivo. Ad esempio, le soluzioni grafometriche permettono l’abbinamento univoco grazie alla raccolta di una pluralità di dati univocamente connessi.
  3. I dati dovranno essere utilizzati esclusivamente dal firmatario, pertanto risulta fondamentale che quest’ultimo possa controllare direttamente il processo di firma, anche mediante soluzioni di autenticazione a più fattori che garantiscono maggior sicurezza e minor possibilità di un uso improprio del sistema da parte di terzi, ovvero l’utilizzo di caratteristiche specifiche del firmatario unitamente ad un processo vincolato di acquisizione della firma.
  4. La possibilità di verificare l’immodificabilità del documento a seguito dell’apposizione della firma è un requisito insito nell’apposizione della firma digitale che, utilizzando la funzione di hash applicata al digest del documento, permette di cristallizzare nel tempo il documento stesso.

Le soluzioni che prevedono l’utilizzo del sistema di verifica mediante l’hash sono sicuramente da tenere in considerazione per la creazione o l’adozione di tali sistemi, come l’uso di formati di file idonei che possano impedire la modifica del documento in un momento successivo alla firma (molte soluzioni, anche per la firma digitale, prevedono la conversione del documento in formato Portable Document Format conforme allo standard ISO – PDF/A).

  1. In tema di garanzia del procedimento la possibilità di avere evidenza di quanto sottoscritto è sicuramente di fondamentale importanza, permettendo ad entrambe le parti di poter avere accesso ai documenti sottoscritti in modo paritario, anche in vista dei futuri utilizzi. Procedimento che per certi versi risulta più garantista rispetto a soluzioni analogiche, mettendo alla diligenza delle parti la conservazione del documento cartaceo sottoscritto.
  2. Infine, la connessione univoca della firma al documento (a completare la triangolazione firmatario, firma documento) permette di garantire che il medesimo documento possa essere firmato nuovamente con la stessa firma plurime volte. Quest’ultimo concetto necessita un approfondimento: firma e firmatario sono univocamente collegati in un rapporto 1:1; il firmatario è connesso con i documenti sottoscritti in un rapporto 1:n (uno-a-molti), ma la legge prevede che il singolo atto di firma, posto in essere dal firmatario, sia connesso al documento in un rapporto 1:1. Questo obbligo è imposto al fine di evitare che la connessione di dati al documento (firma) possa essere riprodotta indebitamente a danno del firmatario, utilizzando ad esempio la firma previamente apposta ad un altro documento. Soluzione tecnica attuabile, ad esempio, mediante l’utilizzo della funzione di hash al rapporto documento-firma.

La mancanza di uno dei requisiti sopra indicati comporta il declassamento ai fini probatori della firma apposta sul documento. Pertanto, la soluzione scelta nel libero mercato ovvero prodotta autonomamente, dovrà tenere in considerazione i requisiti sopra indicati al fine di poter ottenere il riconoscimento giuridico della soluzione di FEA.

L’individuazione del soggetto proponente

Ferma restando la libertà nella realizzazione ed erogazione delle soluzioni di firma elettronica avanzata, l’art. 55 del citato Decreto prevede la presenza di uno o più soggetti coinvolti nel processo, infatti la lettera A prevede l’ipotesi nella quale il soggetto proponente sia anche realizzatore della soluzione di FEA, mentre alla lettera B è previsto un rapporto di fornitura ai soggetti erogatori (proponenti) di detta soluzione. I soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi (art. 58 del Decreto), nel caso di fornitura di servizi ai soggetti di diritti pubblico (che non siano essi stessi pubbliche amministrazioni), sono tenuti ad ottenere la certificazione del processo a norma dello standard ISO/IEC 27001 nonché la conformità del sistema di qualità secondo la certificazione ISO 9001 (o norme equivalenti). Ad ulteriore garanzia, facoltativamente è possibile certificare la soluzione FEA ai sensi della norma ISO/IEC 15408, livello EAL 1 o superiore.

Il mero realizzatore è pertanto onerato di maggiori requisiti esclusivamente nell’erogazione dei servizi alle P.A. mentre per i servizi alle imprese private risulta vincolato esclusivamente dalle soluzioni tecniche di cui al precedente paragrafo. Il soggetto erogatore, sia esso anche realizzatore o meno della soluzione di FEA, è invece tenuto ad adottare un processo di identificazione e di informazione particolarmente stringente, come indicato all’art. 57 del citato DPCM. Il nodo centrale e distintivo infatti è legato all’identificazione del soggetto. Se da un lato le caratteristiche tecniche sopra citate, richiedono soluzioni tecnologiche che permettano una stretta connessione tra firmatario, firma e documento, la fase di identificazione per così dire “reale” è demandata al proponente, quale soggetto interlocutore posto in uno stato di garanzia rispetto alla validità della FEA stessa. In altre parole, ove il processo fosse correttamente implementato dal punto di vista sia tecnico che organizzativo, permetterebbe alle parti di ottenere un documento elettronico sottoscritto e valido ai fini probatori. È di tutta evidenza dunque, che la validità del processo identificativo-informativo, come anche della soluzione tecnologica, sia dirimente nell’implementazione di questa opportunità giuridica.

Il processo di adozione della firma elettronica avanzata

I soggetti che intendano proporre tali soluzioni di firma, a norma delle vigenti disposizioni italiane in materia, sono tenuti a (Art. 57 del Decreto):

  1. Verificare l’aderenza tecnico-normativa delle soluzioni acquisite ovvero prodotte per l’erogazione della firma elettronica avanzata;
  2. Stabilire una procedura per la raccolta del consenso, e dell’eventuale revoca, all’utilizzo della FEA, nonché del documento di identità del firmatario;
  3. Prevedere la conservazione dei documenti di identità e informativi per almeno 20 anni, garantendone la disponibilità, integrità, leggibilità e autenticità (evidente il richiamo alla conservazione “a norma”);
  4. Prevedere la conservazione digitale dei documenti sottoscritti;
  5. Integrare il sito internet con una sezione dedicata alla FEA contenente: termini e condizioni, caratteristiche del servizio, estremi assicurazione per responsabilità civile per rischi industriali (non inferiore a 500.000 euro), ecc.

Le lettere b) ed e) dell’elenco potrebbero essere implementate in modo sia analogico che digitale. In quest’ultimo caso si potrebbe utilizzare, ad esempio, un sistema di firma elettronica semplice per l’adesione al servizio e la raccolta dei documenti. Successivamente a tale passaggio l’utente avrebbe poi la possibilità di utilizzare la FEA nei rapporti con il proponente (e solo con esso), infatti questa soluzione di firma è valida solamente fra le parti del contratto, essendo il soggetto proponente anche il “garante” del processo utilizzato.

Le soluzioni presenti sul mercato

Considerando la materia e la tipologia di servizio, diversi vendor internazionali offrono soluzioni molto interessanti sul mercato. Adottare una soluzione di questo tipo significa in ogni caso affidare la validità ovvero la capacità probatoria dei propri documenti contrattuali ad un soggetto terzo, pertanto appare quanto mai opportuno procedere ad un’attenta verifica delle soluzioni proposte. Oltre al rispetto dei requisiti tecnici richiesti è importante tenere in debita considerazione anche:

  1. l’adozione di standard e certificazioni internazionali connessi alla sicurezza delle informazioni;
  2. l’utilizzo di un sistema di generazione della firma che permetta una corretta identificazione del soggetto firmatario e un’idonea gestione del workflow di firma da parte di tutte le parti coinvolte;
  3. la disponibilità di un sistema di API che permetta l’interfacciamento del sistema con eventuali sistemi gestionali e/o documentali già presenti in azienda;
  4. la disponibilità di integrazioni con altre piattaforme abilitanti il processo di dematerializzazione, come soluzioni cloud per la creazione dei documenti.

I vantaggi

Produrre o adottare un sistema di firma elettronica avanzata necessita sicuramente di una fase di studio e programmazione non di basso rilievo, dovendo inserirsi all’interno di processi aziendali analogici, magari anche molto consolidati nel tempo. Ad ogni modo è possibile evidenziare mediante semplici calcoli, i benefici all’avvio di una gestione dematerializzata dei contratti e di tutti i documenti che necessitano l’utilizzo della firma. Infatti, calcolando i costi per:

  • Strumenti e strutture di archiviazione: scaffali, cartelle, faldoni, ecc.
  • Spazio fisico utilizzato;
  • Tempo di ricerca e di archiviazione dei documenti;
  • Costo dei supporti documenti propri: fogli e inchiostro (toner).

Si raggiunge un costo approssimato di circa 2 euro a foglio archiviato/gestito dall’impresa. Immaginando il numero di documenti potenzialmente presenti all’interno del contesto aziendale è facilmente intuibile che i costi “invisibili” possano raggiungere cifre molto elevate (20.000 fogli equivalgono a circa 40.000 euro). Il processo di dematerializzazione garantisce, pertanto, vantaggi in termini di processo aziendale a 360 gradi: risparmio, sicurezza e migliore controllo del processo.

Conclusioni

Se da una parte sono emersi indubbi vantaggi, sia economici che organizzativi, dal processo di adozione di una soluzione firma elettronica avanzata, appare quantomai necessaria la verifica del vendor idoneo, che possa garantire l’adempimento tecnico di quanto richiesto dalla normativa. Internamente all’azienda è fondamentale l’introduzione di un metodo operativo anche diverso dal precedente (improntato sul metodo analogico), volto in particolare, come si è detto, al rispetto degli obblighi informativi e all’identificazione del firmatario.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, la soluzione proposta non potrà prescindere dall’analisi dei rapporti fra le varie parti del rapporto: il firmatario, il soggetto che eroga la soluzione FEA e il soggetto che realizza soluzioni FEA per terzi (ove presente). Queste sono tutte parti di un rapporto di scambio di dati elettronici riferiti a persone fisiche identificate, coinvolgendo pertanto anche il tanto temuto Regolamento UE 2016/679 (“GDPR”).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4