Firma elettronica e firma digitale, esaminiamole in un confronto tra Codice dell’Amministrazione Digitale (CAD) e Regolamento eIDAS

Il 1° luglio 2016 entrerà in vigore il Regolamento eIDAS – electronic IDentification Authentication and Signature – n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. Tale nuovo Regolamento Europeo andrà a sostituire la precedente Direttiva (1999/93/CE) sulle firme elettroniche, introducendo importanti novità a livello giuridico e nuovi servizi che riguarderanno sia le imprese che gli studi professionali. Il Regolamento eIDAS andrà quindi a modificare quanto affermato dall’attuale Codice dell’Amministrazione Digitale (CAD) in tema di firme elettroniche.

Per comprendere le novità in arrivo, in questo articolo daremo uno sguardo alla normativa attuale e, chiarite le differenze tra le diverse tipologie di firma elettronica individuate dal CAD, le metteremo a confronto con le previsioni normative contenute nel Regolamento in arrivo.

FIRMA ELETTRONICA, AVANZATA, QUALIFICATA E FIRMA DIGITALE NEL CAD

Le firme elettroniche attualmente descritte nel Codice dell’Amministrazione Digitale si dividono in quattro tipologie: firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale.

La firma elettronica è definita come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“. Per la firma elettronica non è predefinita alcuna caratteristica tecnica, né specifici livelli di sicurezza. Una firma autografa apposta su un documento poi scansionato ne è già un esempio.

La firma elettronica avanzata deve invece rispettare determinati requisiti di sicurezza. Una firma elettronica avanzata connessa o allegata a un documento informatico dovrà:

  • consentire l’identificazione del firmatario del documento e garantirne la connessione univoca al firmatario;
  • essere creata con mezzi sui quali il firmatario può conservare un controllo esclusivo;
  • essere collegata al documento informatico in modo da consentire di rilevare se i dati che lo compongono siano stati modificati successivamente alla sua apposizione.

La firma elettronica qualificata è un particolare tipo di firma elettronica avanzata. Si definisce qualificata una firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma (in genere una smart card o un token usb).

Infine abbiamo la firma digitale, un particolare tipo di firma elettronica avanzata “basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Le soluzioni di firma digitale più diffuse sono tre: Smart Card, Business Key e Firma Remota.

DAL CODICE DELL’AMMINISTRAZIONE DIGITALE AL REGOLAMENTO EIDAS

La prima grande differenza tra l’attuale Codice dell’Amministrazione Digitale e il Regolamento eIDAS è che in quest’ultimo sono disciplinate solamente tre delle tipologie di firma elettronica individuate dal CAD (firma elettronica, avanzata e qualificata) insieme a tre sigilli elettronici (ripartiti allo stesso modo). La firma digitale resta dunque una peculiarità della normativa italiana.

Parzialmente diverso è anche il modo in cui la firma elettronica viene definita nel Regolamento europeo. Questa viene infatti descritta come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. Se nel CAD viene messa in risalto la funzione identificativa della firma (individuare e distinguere il soggetto cui la firma appartiene), qui a risaltare è invece la sua funzione dichiarativa: la firma elettronica è usata dal firmatario “per firmare” e quindi per esprimere la propria adesione al contenuto del documento informatico firmato.

Un’ultima novità rispetto al panorama normativo italiano è data dai sigilli elettronici (elettronico, avanzato e qualificato), definiti dal Regolamento eIDAS come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”. Il certificato qualificato di sigillo elettronico dovrà possedere gli stessi requisiti del certificato di firma elettronica qualificata, ma anziché ad una persona fisica sarà riferito ad una persona giuridica. Possiamo quindi pensare al sigillo elettronico come a un timbro virtuale utile ad assicurare l’integrità e la correttezza dell’origine dei dati del documento informatico su cui è apposto.

13 gennaio 2016