Perche la differenza conta
Nella comunicazione quotidiana, i termini 'firma elettronica' e 'firma digitale' vengono usati come sinonimi, ma giuridicamente e tecnicamente non sono la stessa cosa. La distinzione non e accademica: quando firmate un contratto da centinaia di migliaia di euro o intraprendete un procedimento giudiziario, il tipo di firma scelto influisce direttamente sul fatto che il documento sia accettato come prova, che la controparte possa contestarlo e che dobbiate ripetere il lavoro su carta.
La firma elettronica come ampia nozione giuridica
La firma elettronica e un termine generico che comprende ogni forma digitale di manifestazione di volonta. Vi rientra praticamente tutto cio che identifica il firmatario in un ambiente elettronico:
- Nome digitato in fondo a un'email
- Immagine scansionata di una firma autografa incollata in un PDF
- Click sul pulsante 'Accetto i termini'
- Firma con dito o stilo sullo schermo di un tablet
- Inserimento di un codice PIN o di una password monouso
- Conferma biometrica (impronta, volto)
Tutte queste forme sono giuridicamente 'firme elettroniche', ma differiscono per livello di sicurezza e forza probatoria davanti al giudice.
La firma digitale come sottoinsieme crittografico
La firma digitale e un sottoinsieme tecnicamente specifico delle firme elettroniche che utilizza la crittografia asimmetrica e i certificati digitali. Tre caratteristiche chiave:
- Crittografia asimmetrica: coppia di chiavi (privata per firmare, pubblica per verificare). La chiave privata e nota solo al titolare, quella pubblica e accessibile a tutti.
- Certificato digitale: emesso da un'autorita di certificazione, attesta che una determinata chiave pubblica appartiene a una determinata persona.
- Funzione di hash: impronta matematica del documento. Ogni modifica successiva alla firma cambia l'hash e rende la firma non valida, garantendo la non ripudiabilita.
In altre parole: ogni firma digitale e elettronica, ma non ogni firma elettronica e digitale. Il rapporto e quello tra quadrato e rettangolo.
Tre livelli secondo eIDAS e il CAD
Il regolamento europeo eIDAS, recepito in Italia anche tramite il Codice dell'Amministrazione Digitale (CAD, D.Lgs. 82/2005), definisce tre livelli di firma elettronica:
| Livello | Requisiti tecnici | Forza giuridica | Esempio tipico |
|---|---|---|---|
| Firma elettronica semplice | Qualsiasi forma elettronica di identificazione | Giuridicamente valida ma con debole forza probatoria; onere della prova a chi la invoca | Nome nella firma email, click su 'Accetto', firma scansionata |
| Firma elettronica avanzata (FEA / AdES) | Connessa univocamente al firmatario, ne consente l'identificazione, creata con mezzi sotto il suo controllo, collegata al documento in modo che ogni modifica successiva sia rilevabile | Maggiore forza probatoria; onere della prova invertito, in assenza di contestazione la firma e accettata come valida | Firma con certificato qualificato senza dispositivo QSCD, ad esempio certificato software, FEA biometrica |
| Firma elettronica qualificata (FEQ / QES) | Firma avanzata creata con un dispositivo qualificato di creazione della firma (smart card, token USB, HSM) sulla base di un certificato qualificato emesso da un prestatore qualificato accreditato AgID | Equiparata alla firma autografa in tutti i rapporti giuridici; automaticamente accettata in tutti gli Stati UE senza ulteriore verifica | Smart card Aruba, token InfoCert, modulo HSM bancario |
Prestatori qualificati in Italia
I certificati qualificati in Italia sono emessi da prestatori di servizi fiduciari qualificati, accreditati e vigilati da AgID e iscritti nell'elenco pubblico dei prestatori qualificati. I piu noti sono Aruba PEC, InfoCert, Namirial, Poste Italiane (firma digitale e SPID), Intesi Group e TI Trust Technologies. Il prezzo di un certificato qualificato va da 30 a 100 euro all'anno, a seconda del prestatore e del tipo di supporto (smart card, token, cloud, firma remota).
Quando ogni livello e legalmente necessario
| Tipo di documento | Livello minimo | Motivo |
|---|---|---|
| Comunicazione interna, note | Semplice | Nessuna rilevanza giuridica esterna |
| Ordini di acquisto, report | Semplice o avanzata | Secondo policy aziendale |
| Contratti commerciali tra aziende | Avanzata raccomandata | In caso di contenzioso, piu facile da provare |
| Contratti di lavoro | Avanzata minimo, qualificata raccomandata | Qualsiasi contenzioso davanti al giudice del lavoro |
| Fatture a fini fiscali | Qualificata o sigillo elettronico (via SDI) | Normativa italiana sulla fattura elettronica |
| Atti processuali e ricorsi | Qualificata (obbligatoria) | Le norme processuali richiedono FEQ |
| Contratti immobiliari | Notarile | La firma elettronica non basta; necessaria forma notarile |
| Documentazione bancaria di importo elevato | Qualificata | Requisiti interni delle banche e regolamentazione finanziaria |
| Documenti della pubblica amministrazione | Qualificata | SPID e portali della giustizia non accettano livello inferiore |
Cosa e precedente nella pratica: quando il giudice ha respinto la firma elettronica semplice
Nella pratica dei tribunali italiani sono stati registrati casi in cui una parte in causa ha prodotto un contratto con 'firma scansionata' come prova, e il giudice ha richiesto una perizia. Il perito ha accertato che la firma scansionata non garantisce di non essere stata copiata successivamente da un altro documento, e il giudice ha accettato tale firma solo con prove aggiuntive (testimoni, corrispondenza, pagamenti). Quando esiste una firma elettronica qualificata, il giudice la accetta senza prove aggiuntive, come una firma autografa su carta.
Validita transfrontaliera nell'UE
La firma elettronica qualificata emessa in Italia secondo lo standard eIDAS e giuridicamente valida in tutti gli Stati UE senza ulteriore autenticazione. Cio e particolarmente importante per le aziende con partner nell'UE, perche elimina la necessita di viaggi, corrieri e timbri fisici sui contratti. La firma avanzata e accettata in alcuni Stati, mentre la firma semplice e trattata diversamente da Stato a Stato.
Come scegliere il livello per il vostro caso
- Obbligo di legge: se la legge o il regolatore richiedono espressamente un determinato livello, usatelo (ad esempio SDI richiede fatture elettroniche con firma qualificata o sigillo; gli atti processuali la firma qualificata).
- Valore o rischio del documento: un contratto di valore superiore allo stipendio annuo medio merita almeno la firma avanzata, idealmente la qualificata.
- Uso transfrontaliero: se il documento va all'estero o ne proviene, la firma qualificata e l'unica scelta sicura.
- Conservazione a lungo termine: i documenti conservati per piu di 5 anni devono avere un formato che consenta la convalida a lungo termine (LTV, ad esempio PAdES-LTV per il PDF).
- Comodita operativa: per la firma di massa (centinaia di contratti al giorno), investire in un QSCD in cloud puo valere la pena, perche elimina la necessita di token fisici.
