DIFFERENZE E RISPETTIVI PUNTI DI FORZA DI DUE TIPOLOGIE DI FIRMA ELETTRONICA AVANZATA APPLICABILI IN NUMEROSI CAMPI
Una delle tipologie di firma elettronica disciplinate nel Regolamento europeo n. 910/2014 in materia di identificazione e servizi fiduciari (eIDAS) è la Firma Elettronica Avanzata (FEA), di cui la firma grafometrica e le firme basate su certificati non qualificati costituiscono due applicazioni. In questo articolo vediamo di capirne meglio caratteristiche e possibili applicazioni.
ADVANCED ELECTRONIC SIGNATURE
La Firma Elettronica Avanzata (Advanced Electronic Signature nella terminologia del legislatore europeo, da qui in poi AES) è un particolare tipo di firma elettronica che, se utilizzata per la sottoscrizione di un documento informatico, permette di identificare il firmatario (a cui è legata univocamente) e di garantire l’integrità del documento sottoscritto.
Nel rispetto dei requisiti imposti da eIDAS, questo strumento di firma deve essere implementato mediante dati per la creazione della firma che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo.
FIRMA GRAFOMETRICA
La firma grafometrica è la versione più nota e maggiormente implementata della AES. Si tratta di una soluzione di firma elettronica che permette di raccogliere su un apposito tablet il tratto fisico della sottoscrizione, unitamente a una serie di informazioni univoche e biometriche relative al firmatario.
Questa soluzione, infatti, permette di catturare la consistenza del tratto di firma, la velocità della sottoscrizione e la forza della pressione imposta sul tablet: considerata la loro unicità, si tratta di informazioni personali paragonabili all’impronta digitale o della conformazione dell’iride, certamente riconducibili al titolare della firma.
La soluzione grafometrica è particolarmente intuitiva e quindi indicata per i soggetti che necessitano di strumenti digitali di firma che ricalchino quelli del mondo fisico: chi sottoscrive con una firma grafometrica, infatti, non deve fare altro che utilizzare la propria firma autografa su un supporto diverso da quello cartaceo.
Occorre, tuttavia, sottolineare come non tutte le soluzioni di firma grafometrica possano essere ricomprese nell’alveo della AES: è necessario, infatti, valutare di volta in volta se lo strumento di firma proposto rispetta i requisiti imposti dall’art. 26 eIDAS[1].
Se è vero, infatti, che il tratto grafometrico, in quanto dato biometrico, è univocamente riconducibile al firmatario e sotto il suo esclusivo controllo, affinché si abbia una AES è sempre necessario garantire l’identificazione – preventiva – del firmatario e soprattutto disegnare un processo elettronico che da una parte garantisca da una parte l’immodificabilità del documento oggetto di sottoscrizione e dall’altra la relazione tra dati sottoscritti e dati identificativi.
Da ultimo è opportuno rilevare che non tutti i tablet sono idonei a raccogliere il dato biometrico del firmatario: la maggior parte dei servizi a basso rischio, come per esempio l’accettazione della consegna di un pacco postale, vengono resi a seguito della raccolta del solo tratto di sottoscrizione, escludendo l’acquisizione di tutti quei fattori – esposti sopra – che caratterizzano l’unicità del dato biometrico.
Questa soluzione di firma, quindi, se da una parte permette una sottoscrizione rapida e intuitiva, dall’altra impone dei requisiti software e hardware che in alcuni casi limitano la scelta e l’operabilità di questo strumento.
FIRMA CON CERTIFICATO NON QUALIFICATO
Una firma AES può essere anche implementata attraverso l’utilizzo di un certificato di firma, un attestato elettronico che collega i dati di convalida di una firma elettronica alla persona fisica a cui si riferisce e ne conferma – almeno – il nome.
Questo tipo di soluzione permette di slegare il momento della sottoscrizione, rilevante ai fini legali, dalla redazione fisica di un tratto su carta o su tablet, rivoluzionando il processo di firma. La firma con certificato non qualificato può, infatti, essere implementata attraverso strumenti che massimizzano la user experience e rendono la sottoscrizione dei contratti molto simile all’esperienza d’acquisto di beni e servizi online, a cui gli utenti sono già abituati da tempo.
Con il giusto disegno del processo, infatti, la sottoscrizione può essere semplificata fino a permettere agli utenti di firmare tramite l’apposizione di flag o la pressione di appositi pulsanti interattivi a seguito della lettura dei contratti redatti e presentati interamente in maniera elettronica.
Questa tipologia di firma può potenzialmente essere implementata con strumenti fisici, quali smart card o token, ovvero con soluzioni di firma remota, la cui validità giuridica è garantita – anche – dalla generazione e comunicazione all’utente di una One Time Password (OTP) utilizzabile solo per la singola transazione.
CASI DI APPLICAZIONE
L’ambito di applicazione della AES è molto ampio: infatti, il legislatore italiano riconosce a questo strumento di firma un buon valore giuridico e probatorio, seconda solo alla Firma Elettronica Qualificata e alla Firma Digitale. Questi ultimi, al contrario della semplice AES, sono le uniche firme che consentono di sottoscrivere qualsiasi tipo contratto e soprattutto impongono, in sede giudiziale, l’inversione dell’onere della prova sull’utilizzo dei dispositivi di firma.
La AES può, invece, essere utilizzata per la sottoscrizione di quei contratti che richiedono la forma scritta, salvo alcune eccezioni – come i trasferimenti immobiliari –, previsti dal Codice dell’Amministrazione Digitale (CAD) in combinato con il Codice Civile. Sotto il profilo probatorio, invece, il documento elettronico munito di AES è equiparato alla scrittura privata, e fa, quindi, piena prova della provenienza delle dichiarazioni ivi contenute: manca quindi il vantaggio dell’inversione dell’onere della prova sopra esposto
Questi brevi cenni normativi permettono di comprendere l’ampio uso che può essere fatto della AES: in campo sanitario, per la firma del fascicolo elettronico da parte di tutti gli stakeholder, in campo bancario, per la sottoscrizione di tutta la contrattualistica necessaria all’erogazione dei servizi finanziari a più basso rischio, in ambito assicurativo per la sottoscrizione di polizze e strumenti di garanzia con rischio non elevato.
LORENZO PIATTI
Digital Consulting – Process & Compliance presso InfoCert,
società del Gruppo Teconinvestimenti
31 maggio 2017
UN NUOVO MODO DI GESTIRE LA FIRMA E L’APPROVAZIONE DEI DOCUMENTI
Dike GoSign
[1] art. 26, Regolamento (UE) N. 910/2014 «Una firma elettronica avanzata soddisfa i seguenti requisiti: è connessa unicamente al firmatario; è idonea a identificare il firmatario; è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati».