Il vademecum

Firme elettroniche, tutte le tipologie alla luce del Regolamento eIDAS

Guida per conoscere tutte le caratteristiche delle diverse firme elettroniche (compresa la firma digitale) previste dalla normativa europea e capire quale acquisire

30 Dic 2019
Claudio Colacicco

Praticante Avvocato - Cybersecurity & IT

Netherlands, 02 November 2012. Sales of the new Apple iPad mini start in different countries on the same day. EPA/EVERT ELZINGA

Facciamo ordine tra tutte le firme elettroniche, per capirne differenze e ambiti applicativi. La normativa in materia di firma elettronica ha subito negli ultimi anni un ingente processo di riforma, dal momento che il Regolamento eIDAS (Regolamento UE n. 910/2014), ha proceduto all’abrogazione della previgente Direttiva 1999/93/CE, il cui limite era quello di non fornire un quadro transfrontaliero e transettoriale completo per la realizzazione di transazioni elettroniche sicure, affidabili e di facile impiego. In vista dell’entrata in vigore del Regolamento eIDAS, il legislatore italiano, con alcuni interventi normativi nel 2016 e nel 2017, ha proceduto ad adeguare la normativa contenuta all’interno del Codice dell’amministrazione digitale a quella comunitaria, assegnando alle firme elettroniche valori giuridici differenziati rispetto al precedente quadro normativo. Facciamo il punto della situazione.

La firma elettronica semplice

La firma elettronica è costituita da un insieme di dati in forma elettronica, “acclusi oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzati dal firmatario per firmare” (art. 3, punto 1, n. 10, Regolamento eIDAS). Questa definizione riguarda la c.d. firma elettronica semplice o debole, che costituisce categoria residuale rispetto alle altre tipologie di firma elettronica. Infatti, più in generale si può dire che la firma elettronica semplice sia una qualsiasi connessione di dati utile per l’autenticazione informatica su un documento elettronico.

Dunque, di per sé, rappresenta uno strumento che dal punto di vista della sicurezza non offre molte garanzie, dal momento che non rispetta i requisiti previsti per le firme elettroniche più forti. Infatti, la firma elettronica semplice non riesce ad assicurare i tre fondamentali obiettivi che le altre tipologie di firma elettronica perseguono, ossia l’autenticità, il non ripudio e l’integrità del documento. Esempi di firma elettronica semplice sono il codice PIN o le credenziali di accesso ai siti web.

Firma elettronica avanzata

La firma elettronica avanzata (FEA) è, a norma dell’art. 3, punto 1, n. 11 del Regolamento eIDAS, una tipologia di firma elettronica sottoposta al rispetto di una serie di requisiti, previsti all’art. 26 del medesimo Regolamento. Nello specifico, la FEA è una firma elettronica connessa unicamente al firmatario, tantoché deve essere idonea a consentirne l’identificazione. Inoltre, i mezzi necessari a crearla, possono essere utilizzati in sicurezza dal firmatario sotto il suo esclusivo controllo, ed i dati sottoscritti sono collegati alla FEA, in modo da consentire l’identificazione di ogni successiva modifica. È sostanzialmente una firma elettronica semplice, che presenta però alcune caratteristiche di sicurezza aggiuntive.

Un esempio di FEA è la c.d. firma grafometrica, che, per il tramite di un pennino, viene apposta su tablet ed è molto diffusa nel settore bancario e nel settore assicurativo. Questo tipo di firma prende in considerazione alcuni parametri biometrici derivanti dal gesto di apposizione ed acquisiti dal dispositivo sul quale è apposta, fra i quali rientrano ad esempio la posizione del pennino, la velocità, il ritmo e la pressione di scrittura. Dopodiché, i dati rilevati e calcolati sono inseriti nel documento in modalità protetta, di modo da creare un’associazione fra documento e forma che sia allo stesso tempo rispettosa dell’integrità e della riservatezza del firmatario.

Firma elettronica qualificata

La firma elettronica qualificata (FEQ), è una peculiare tipologia di firma avanzata, “creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche” (art. 3, punto 1, n. 12, Regolamento eIDAS). La firma elettronica qualificata garantisce in modo univoco l’identificazione del titolare, e, dal punto di vista dell’efficacia giuridica, equivale ad una firma autografa, come statuito dall’art. 25 del Regolamento eIDAS.

Per quanto riguarda i certificati qualificati di firme elettroniche, sui quali le FEQ devono basarsi, la disciplina di questi ultimi è contenuta nel Regolamento eIDAS, ed in parte anche all’interno del CAD, dal momento che il D.lgs. n. 179/2016, al fine di consentire l’adeguamento alla normativa comunitaria, ha abrogato l’art. 26, l’art. 27 e l’art. 28, comma 1 del CAD. In generale, un certificato di firma elettronica è un attestato elettronico che collega i dati di convalida di una firma elettronica ad una persona fisica, confermandone almeno il nome o lo pseudonimo. Quando tale certificato è rilasciato da un prestatore di servizi fiduciari qualificato e rispetta determinati requisiti obbligatori, elencati all’interno dell’Allegato I del suddetto Regolamento, allora costituisce un certificato qualificato di firma elettronica. In aggiunta ai suddetti requisiti obbligatori, l’art. 28 del Regolamento eIDAS, al punto 3, prevede che, per i certificati qualificati, si possano prevedere ulteriori requisiti facoltativi a livello nazionale, alla condizione che non ne risulti pregiudicata l’interoperabilità ed il riconoscimento delle FEQ.

Il certificato, ex art. 28 del Regolamento, punti 4 e 5, può sia essere revocato, ed in tal caso perde la propria validità dal momento della revoca, sia essere sospeso, perdendo validità per il periodo di sospensione, che a sua volta deve essere indicato chiaramente nella banca dati dei certificati e visibile fra le informazioni riguardanti la situazione del certificato all’interno del servizio che lo fornisce. La revoca e la sospensione del certificato spettano al certificatore, ossia al prestatore di servizi di firma elettronica qualificata, essendo a suo carico la gestione della validità e l’aggiornamento delle liste di informazioni sulle chiavi certificate. Le singole ipotesi di revoca e sospensione sono elencate all’art. 36 CAD.

La firma elettronica qualificata tuttavia, oltre a basarsi su un certificato qualificato, deve essere creata attraverso l’utilizzo di un dispositivo di firma qualificato. Tali dispositivi consistono in supporti elettronici rimovibili (smart card, chiavetta USB, token), che consentono al loro titolare di sottoscrivere un documento informatico, apponendovi la propria firma elettronica qualificata. L’art. 35 del CAD prescrive che tali dispositivi, insieme alle procedure utilizzate per la generazione della firma, siano conformi a requisiti di sicurezza che garantiscano che la chiave privata rimanga riservata, che non possa essere derivata, che la relativa firma sia protetta da contraffazioni, ed infine, che il titolare possa sufficientemente proteggerla dall’uso da parte di terzi (art. 35, comma 1 CAD). Non solo, oltre a ciò, l’Allegato II del Regolamento eIDAS detta anche in questo caso una serie di requisiti (obbligatori ex art. 29 del medesimo Regolamento), cui il CAD fa direttamente riferimento, all’art. 35, comma 1 bis.

Come si genera la firma elettronica

La procedura per la generazione della firma elettronica è finalizzata alla tutela dell’integrità dei documenti informatici sui quali deve essere apposta la firma qualificata. A tale scopo, si prescrive che i documenti informatici debbano “essere presentati al titolare di firma elettronica, prima dell’apposizione della firma, chiaramente e senza ambiguità”, e che, al contempo, si debba richiedere a quest’ultimo “conferma della volontà di generare la firma secondo quanto previsto dalle Linee Guida” (art. 35, comma 2, CAD), salvo quando la procedura per la generazione della firma non sia automatica: in tal caso infatti, è sufficiente il semplice consenso del titolare della firma (art. 35, comma 3, CAD).

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

I dispositivi per la generazione di firme qualificate non solo devono garantire elevati livelli di sicurezza, ma devono anche risultare conformi ad un apposito processo di certificazione di conformità ai requisiti prescritti a livello comunitario, il cui adempimento, a norma dell’art. 30 del Regolamento eIDAS, è posto a carico di “appropriati organismi pubblici o privati designati dagli Stati membri”, di cui deve essere data notifica alla Commissione Europea (art. 30, commi 1 e 2, Regolamento eIDAS). In Italia, il suddetto processo di valutazione e certificazione, ex art. 35, commi 4, 5 e 6 del CAD è svolto dall’OCSI (Organismo di Certificazione della Sicurezza Informatica), che è costituito dall’ISCOM, ma può essere svolto anche da un organismo di un altro Stato membro, a condizione che sia anch’esso notificato alla Commissione ex art. 30 del Regolamento eIDAS. In entrambi i casi, ad AgID spetta la valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma, nel rispetto di apposite Linee Guida da essa emanate. Nel secondo caso tuttavia, tale circostanza deve essere prevista dall’organismo di certificazione designato da un altro Stato membro. Invece, nel caso dell’OCSI, quest’ultimo, dopo aver accertato la conformità dei dispositivi di firma elettronica qualificata ai requisiti di cui all’Allegato II del Regolamento eIDAS, emana un parere obbligatorio sulla base dello Schema Nazionale di valutazione e certificazione (D.P.C.M. 30 ottobre 2003), che viene acquisto da AgID ai fini della propria valutazione.

Infine, sempre per quanto riguarda i dispositivi per la creazione della firma elettronica qualificata, l’art. 31 del Regolamento eIDAS, prevede che la Commissione Europea rediga e renda pubblico un elenco dei vari dispositivi certificati. A tal fine, gli Stati membri devono effettuare una notifica alla Commissione sia per la certificazione che per la cancellazione di quest’ultima.

La convalida

Un altro importante processo concernente la firma elettronica qualificata, è quello della convalida, che ha la funzione di confermarne la validità. In tal modo, la parte facente affidamento sulla certificazione può verificare la presenza di eventuali questioni attinenti alla sicurezza. Il Regolamento eIDAS fa espressamente rientrare il servizio di convalida di firma elettronica all’interno della categoria dei servizi fiduciari, dettando inoltre, all’art. 32, alcuni requisiti da rispettare obbligatoriamente per garantirne la sicurezza e l’affidabilità. Nello specifico, si richiede che: il certificato, al momento della firma, sia un certificato qualificato conforme ai requisiti dell’Allegato I del Regolamento, valido e rilasciato da un prestatore di servizi fiduciari qualificato. Peraltro, il requisito della validità del certificato qualificato al momento della firma, pare essere una novità per la normativa italiana, che dovrà dunque adeguarsi alla norma comunitaria se tale requisito sarà inteso come obbligatorio, piuttosto che come un criterio generale.

Il successivo art. 33 introduce poi il servizio di convalida qualificato delle firme elettroniche qualificate, un servizio fiduciario specifico che può essere prestato esclusivamente dai prestatori di servizi fiduciari qualificati, e che, oltre a fornire lo stesso tipo di verifica che si ha con la convalida semplice di cui all’art. 32, “consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato” (art. 33, punto 1, lett. b, Regolamento eIDAS). In tal modo sarà dunque possibile avere un documento informatico, sottoscritto o contenente il sigillo elettronico del certificatore qualificato, concernente l’esito, ad un dato momento, del processo di verifica della firma qualificata, utilizzabile in giudizio o nei confronti delle PA al fine di dimostrare la validità di una firma qualificata.

La conservazione

L’art. 34 del Regolamento eIDAS poi, detta la disciplina del servizio di conservazione qualificato delle firme elettroniche qualificate, individuato anch’esso quale servizio fiduciario, a norma dell’art. 3, punto 1, n. 16 del medesimo Regolamento. Tale servizio può essere svolto esclusivamente da prestatori di servizi fiduciari qualificati, che facciano uso di procedure e tecnologie in grado di estendere l’affidabilità della firma qualificata oltre il periodo di validità tecnologica.

Gli obblighi per titolare e prestatore di servizi

Infine, altra rilevante novità risulta essere anche l’art. 32 del CAD, adeguato alla nuova normativa comunitaria dalle riforme del 2016 e del 2017, e concernente gli obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata. Per quanto riguarda il primo, gli obblighi sono diversamente modulati a seconda della tipologia di firma elettronica qualificata utilizzata dal titolare. Nel caso di firma locale, generata dunque da uno strumento in possesso del titolare, come ad esempio la smartcard o il token, il titolare ha l’obbligo di custodire tale dispositivo e di utilizzarlo personalmente. Al contrario, nel caso di firma remota, dal momento che per la generazione di essa è necessario utilizzare un sistema di autenticazione, essendo il dispositivo in possesso del prestatore del servizio, il titolare è tenuto alla custodia dei propri strumenti di autenticazione. In ogni caso, sia il titolare, sia il prestatore sono obbligati ad adottare tutte le misure organizzative e tecniche idonee ad evitare un danno a terzi.

Per quanto concerne invece gli obblighi del prestatore, questi sono elencati al comma 3 del medesimo articolo. Tali obblighi attengono all’attività di:

  • Identificazione, che consiste nell’accertamento dell’identità di colui che richiede la certificazione. L’identificazione riveste un ruolo fondamentale per il corretto funzionamento del sistema, in quanto presupposto del meccanismo di fiducia alla base dell’utilizzo della firma qualificata nello svolgimento dei negozi giuridici.
  • Certificazione, come ad esempio il rilascio e la pubblicazione del certificato qualificato, che deve avvenire nel rispetto della privacy del richiedente, oppure l’obbligo di pubblicare tempestivamente la revoca o la sospensione di quest’ultimo, nel caso di perdita del possesso o compromissione del dispositivo di firma o degli strumenti di autenticazione informatica
  • Correttezza e continuità nello svolgimento del rapporto, come ad esempio l’obbligo di utilizzare sistemi affidabili per la gestione del registro dei certificati, garantendo l’autenticità delle informazioni e che l’operatore possa rendersi conto di qualsiasi evento che ne comprometta la sicurezza, ovvero l’obbligo di comunicare ad AgID ed agli utenti gli eventuali malfunzionamenti che compromettono la continuità del sistema o il servizio stesso, presidiato anche dalle sanzioni di cui all’art. 32-bis CAD.

Firma digitale

La firma digitale è una peculiare tipologia di firma elettronica qualificata, prevista solamente a livello nazionale. L’art. 1, comma 1, lett. s del CAD la definisce come quel “particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Costituisce dunque l’equivalente elettronico della tradizionale firma autografa su carta, dal momento che attesta con certezza l’integrità, l’autenticità e la non ripudiabilità del documento informatico su cui è apposta. Il meccanismo di funzionamento si basa sul fatto che, se si utilizza una delle due chiavi (pubblica o privata) per cifrare un messaggio, allora quest’ultimo sarà decifrabile esclusivamente dall’altra (c.d. crittografia asimmetrica). La chiave pubblica, contenuta nel certificato qualificato, viene utilizzata per associare l’identità della persona al dispositivo di firma, attraverso un documento elettronico, il c.d. certificato digitale. La chiave privata, invece, custodita dal mittente, per la sicurezza del sistema, viene resa accessibile esclusivamente da parte dell’utente che intende crittare il documento.

La disciplina della firma digitale è stata apportata dal D.P.R. n. 513 del 1997, emanato in attuazione dell’art. 15 della Legge 15 marzo 1997, n. 59, che fornì per primo una disciplina organica per il documento informatico, rinviando ad un D.P.C.M. (poi adottato l’8 febbraio del 1999) per l’emanazione delle relative regole tecniche. La disciplina, confluita poi nel D.P.R. n. 445 del 2000 (TU sulla documentazione amministrativa), è stata più volte modificata per consentire il pieno recepimento dell’allora vigente normativa comunitaria (Direttiva 1999/93/CE). Come già detto, tuttavia, tale tipologia di firma è prevista solamente a livello nazionale e non comunitario. Al riguardo, si può osservare come il legislatore italiano abbia in passato attribuito una rilevanza giuridica nettamente prevalente alla firma digitale rispetto agli altri tipi di firma previsti a livello comunitario, e ciò in ragione dell’elevato livello di sicurezza garantito dall’utilizzo di tale soluzione tecnica.

La normativa sulla firma digitale

Attualmente la disciplina della firma digitale è contenuta all’interno dell’art. 24 CAD, ed anche l’esclusiva rilevanza della firma digitale è stata, almeno formalmente, superata dall’entrata in vigore del Regolamento eIDAS. Tuttavia, l’atteggiamento del legislatore italiano risulta essere ancora oggi diverso rispetto a quello del legislatore comunitario. Se il primo infatti, è più portato a privilegiare la certezza del diritto, attribuendo alla firma digitale (la più sicura), una più ampia rilevanza giuridica, il secondo, al contrario, mira alla tutela degli scambi commerciali, promuovendo l’utilizzo di firme più facilmente utilizzabili, ma meno sicure. Il Regolamento eIDAS peraltro, sembra operare un bilanciamento di entrambe le esigenze. L’art. 24, comma 1 del CAD, prescrive che la firma digitale si riferisca in maniera univoca ad un solo soggetto ed al documento cui è stata apposta o associata, affinché a quest’ultimo possa essere attribuita l’efficacia di cui al 2702 c.c. ed il soddisfacimento del requisito della forma scritta.

Anche la firma digitale si basa su un certificato qualificato, il quale deve essere rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato o che comunque, se stabilito in uno Stato non comunitario, rispetti le condizioni di cui all’art. 24, comma 4-ter del CAD, e che non deve essere né scaduto, né revocato, né sospeso al momento della sottoscrizione, per non far risultare il documento informatico sostanzialmente privo di sottoscrizione. Le informazioni obbligatoriamente incluse all’interno del certificato sono elencate all’art. 24, comma 4, che rimandando alle Linee Guida (attualmente occorre far riferimento alle regole tecniche di cui al D.P.C.M. 22 febbraio 2013), ne individua un nucleo minimo costituito dall’indicazione esplicita della propria validità, dagli elementi identificativi del titolare di firma digitale e del prestatore di firma elettronica qualificata, nonché dagli eventuali limiti d’uso.

_

Bibliografia

Boccia, C., Contessa, C., & De Giovanni, E. (2018). Codice dell’amministrazione digitale. Piacenza: La Tribuna.

Canton, M. (2018). La pubblica amministrazione digitale 2. Padova: Mario Canton.

Gruppo di Lavoro Firma Digitale. (2018). Breve Guida sulle Firme Elettroniche. Roma: Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili.

Guarnaccia, E., & Mancarella, M. (2018). Il codice dell’amministrazione digitale 2018. Roma: Dike Giuridica Editrice.

Lombardo, S. (2018). La gestione della cyber security nella pubblica amministrazione. Roma: La Regina.

Nicotra, M. (2016, aprile 26). Firma digitale, come cambierà in Italia dopo eIDAS. Tratto da Forum PA.

Petrone, M. (2014). Internet e le sue insicurezze: strumenti, soggetti e contesti. Giapeto Editore.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4