Firma elettronica avanzata, a cosa serve e perché è opportunità di dematerializzazione per le aziende

La firma elettronica avanzata è un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario e garantiscono la connessione univoca al firmatario stesso. È creata con mezzi sui quali il firmatario può conservare un controllo esclusivo ed è collegata ai dati in modo da consentire di rilevare eventuali modifiche successive. Rappresenta uno step successivo alla firma elettronica semplice, possedendo maggior valore ai fini probatori, come specificato dall’art. 20 comma 1 bis del CAD. La FEA si inserisce in un contesto aziendale dove i rapporti contrattuali si intrecciano e la mole dei documenti assume particolare rilevanza, offrendo indubbi benefici nel processo di dematerializzazione.

I requisiti della firma elettronica avanzata sono definiti nell’art. 26 del Regolamento eIDAS e nel DPCM 22.02.2013. Secondo l’articolo 56 di quest’ultimo, le soluzioni di FEA devono garantire: l’identificazione del firmatario del documento, la connessione univoca della firma al firmatario, il controllo esclusivo del firmatario sul sistema di generazione della firma, la possibilità di verificare che il documento non sia stato modificato dopo l’apposizione della firma, la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto, l’individuazione del soggetto che eroga la soluzione, l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati, la connessione univoca della firma al documento sottoscritto. La mancanza di uno di questi requisiti comporta il declassamento ai fini probatori della firma apposta.

Le differenze tra queste tipologie di firma sono sostanziali. La firma elettronica avanzata (FEA) rappresenta una semplificazione della firma elettronica qualificata, con specifici requisiti stabiliti nel Titolo V del DPCM 22 febbraio 2013. La FEA incontra però dei limiti: l’art. 21 del CAD specifica che non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12. La firma elettronica qualificata (FEQ) non incontra questi limiti ed è la scelta più idonea per documenti con contenuto patrimoniale. La firma digitale, prevista solo in Italia nel CAD, è un particolare tipo di firma elettronica qualificata basata su un certificato qualificato e su un sistema di chiavi crittografiche correlate tra loro, che consente di verificare la provenienza e l’integrità di un documento informatico.

L’implementazione della firma elettronica avanzata in azienda richiede una fase di studio e programmazione. Il soggetto erogatore deve adottare un processo di identificazione e informazione particolarmente stringente, come indicato all’art. 57 del DPCM 22.02.2013. In particolare, deve: identificare in modo certo il firmatario tramite un documento di riconoscimento valido, informare il firmatario circa gli esatti termini e condizioni di utilizzo del servizio, fornire le informazioni relative al trattamento dei dati personali, rendere note le caratteristiche del sistema e le tecnologie utilizzate, conservare per almeno 20 anni copia del documento di riconoscimento e della dichiarazione di accettazione del servizio, fornire liberamente e gratuitamente al firmatario il software necessario per la verifica della firma. L’adozione di una soluzione FEA può avvenire sviluppando una propria soluzione o scegliendo un vendor che rispetti i requisiti tecnici e normativi.

L’adozione della firma elettronica avanzata in azienda porta numerosi vantaggi in termini economici e organizzativi. Il processo di dematerializzazione garantisce benefici a 360 gradi: risparmio, sicurezza e migliore controllo del processo. Considerando i costi per stampa, gestione fisica dei documenti, archiviazione e ricerca, si raggiunge un costo approssimato di circa 2 euro a foglio archiviato/gestito dall’impresa. La FEA permette di velocizzare i flussi approvativi, migliorare la tracciabilità delle operazioni e garantire un migliore controllo sui documenti firmati. Inoltre, sotto il profilo della sicurezza, questi strumenti permettono di garantire l’autenticità, l’integrità e, in alcuni casi, la non ripudiabilità di un documento informatico, rappresentando un passo concreto verso una gestione documentale più efficiente e trasparente.

Nonostante i vantaggi, la firma elettronica avanzata presenta alcuni rischi e limitazioni. L’art. 21 del CAD specifica che tale tipologia di firma non può essere utilizzata per la sottoscrizione degli atti indicati all’art. 1350 c.c., numeri da 1 a 12, per i quali il legislatore richiede necessariamente una firma elettronica qualificata (FEQ). Inoltre, l’articolo 60 del DPCM 22 febbraio 2013 limita l’uso della FEA ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione, limitandone fortemente l’utilizzo nel caso della presenza di intermediari. Adottare una soluzione di questo tipo significa affidare la validità dei propri documenti contrattuali ad un soggetto terzo, rendendo necessaria un’attenta verifica delle soluzioni proposte.

La firma elettronica avanzata grafometrica è una tipologia di FEA che utilizza dati biometrici. Il sottoscrittore firma il documento (nella quasi totalità dei casi un documento in formato PDF) utilizzando uno stilo attivo o passivo su un dispositivo in grado di raccogliere il tratto della sottoscrizione e, in maniera protetta, di connetterlo in modo indissolubile a quanto si vuole sottoscrivere. Il sistema acquisisce parametri biometrici come le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento del dispositivo. Questi dati devono essere protetti secondo le regole stabilite nel Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014), che impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria quando si è in presenza di un contenzioso.

Il regolamento eIDAS 2 ha introdotto importanti novità per la firma elettronica avanzata, in particolare requisiti di sicurezza e sanzioni anche per i servizi fiduciari non qualificati, tra i quali è inclusa la FEA. Queste modifiche rendono urgente l’adeguamento della normativa italiana, in particolare il Codice dell’amministrazione digitale, relativamente alla firma elettronica avanzata. Alcune parti del CAD non sono più applicabili perché in contraddizione con il regolamento europeo. Il problema principale da risolvere riguarda la vetustà delle regole tecniche. L’introduzione dell’Eudi Wallet previsto dalla nuova normativa rappresenta un’ulteriore evoluzione che influenzerà i sistemi di firma elettronica avanzata, richiedendo soluzioni già progettate in compliance con eIDAS 2.0.

Sì, è possibile registrare contratti firmati con firma elettronica avanzata. L’Agenzia delle Entrate, con la risoluzione 23/E dell’8 aprile 2021, ha chiarito che per gli atti in cui è valida la forma scritta senza necessità di autentica (ad esempio le tipiche locazioni commerciali o abitative, oppure le offerte di acquisto di immobili) è sufficiente la Firma Elettronica Avanzata per la loro piena validità. Indipendentemente dalla validità dell’atto, la registrazione e il pagamento dell’imposta restano obbligatorie. Gli atti da sottoporre a registrazione devono essere presentati in un formato idoneo alla conservazione ai sensi dell’art.43 del Codice dell’Amministrazione Digitale. Tuttavia, per contratti immobiliari come locazioni ultra novennali o contratti di cessione di immobili ed i relativi preliminari, è prevista la forma dell’atto pubblico o della scrittura privata autenticata, richiedendo quindi una firma elettronica qualificata o digitale.

Per garantire l’interoperabilità della firma elettronica avanzata grafometrica è indispensabile generare i dati in un formato standard, specificamente nel formato ISO/IEC 19794-7 (2014). Questo standard stabilisce le strutture dati e la rappresentazione dei parametri biometrici che caratterizzano la sottoscrizione grafometrica, come le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento. Poiché le strutture dati della firma grafometrica prodotte dalle varie soluzioni sono leggibili solo dallo strumento di analisi grafologica dello stesso fornitore, è molto utile disporre di strutture dati omogenee prodotte su un tracciato standard, che possono essere analizzate da qualsiasi strumento di analisi in grado di elaborare questo tracciato. L’associazione ANORC ha sviluppato e sostenuto un’attività di test che ha portato all’evidenza di interoperabilità tra sistemi di FEA grafometrica qualora si adotti lo standard sopra citato.

La sicurezza e la privacy nella firma elettronica avanzata, specialmente quella grafometrica, richiedono particolare attenzione. Il Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014) impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria quando si è in presenza di un contenzioso. Nel Provvedimento sono fornite le Regole di protezione del dato biometrico e le indicazioni organizzative per un suo trattamento rispettoso della privacy. La certificazione dei sistemi ai sensi dei Common Criteria (standard di riferimento per la sicurezza di questo tipo di hardware e software) non è mai decollata per la mancanza di domanda sul tema. È importante considerare che la soluzione di firma elettronica avanzata coinvolge il trattamento di dati personali riferiti a persone fisiche identificate, coinvolgendo pertanto anche il Regolamento UE 2016/679 (GDPR).

La scelta della tipologia di firma elettronica più adatta dipende principalmente da due fattori: la tipologia di documento oggetto della firma e il rapporto che si sta instaurando con il firmatario. Per consensi semplici come conferme d’ordine, preventivi o informative privacy, si può ricorrere alla firma elettronica semplice. Nei casi in cui è prevista la forma scritta della scrittura privata, come contratti di assicurazione, commerciali, bancari o di locazione inferiore ai nove anni, è richiesta almeno la firma elettronica avanzata. Per documenti che richiedono maggiore sicurezza, come contratti immobiliari o atti pubblici, è necessaria la firma elettronica qualificata. La normativa fornisce una guida chiara sulle tipologie di firma da utilizzare, in base al livello di sicurezza, integrità, immodificabilità e non ripudio richiesto. È importante anche valutare il rapporto che si instaura con il firmatario: se alla firma di un ordine segue un pagamento tracciato, il rapporto si irrobustisce, fornendo ulteriori prove in caso di contenzioso.

L’articolo 60 del DPCM 22 febbraio 2013, che limita l’uso della firma elettronica avanzata ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione, rappresenta un ostacolo significativo all’adozione diffusa della FEA. Per superare questa limitazione, sarebbe necessario aggiornare il DPCM con un nuovo articolo 60 che elimini questa restrizione, consentendo l’uso della FEA anche in presenza di intermediari o quando è complesso identificare la “propagazione” della FEA rispetto ai rapporti giuridici da soddisfare. L’aggiornamento dovrebbe anche definire la firma grafometrica e inserire la possibilità di utilizzare strumenti digitali per la gestione da remoto dell’acquisizione dei dati del titolare mediante l’uso di SPID e della CIE 3.0. Questo aggiornamento porterebbe benefici per i cittadini nei rapporti con la pubblica amministrazione e per le imprese, consentendo di dematerializzare tutti i procedimenti amministrativi in modo semplice, economico e riusabile per la PA.