Qual è la differenza tra la firma elettronica e la firma digitale?
Sempre più spesso si sente parlare di firma elettronica e firma digitale, sia sul luogo di lavoro che per questioni burocratiche private. Termini diffusi e conosciuti che, purtroppo, vengono confusi e spesso scambiati per sinonimi.
I due termini, però, non sono affatto sinonimi, ma fanno riferimento a due sottoscrizioni informatiche diverse, sia a livello giuridico che tecnico. Ecco perché è importante capire quali siano le loro caratteristiche e in cosa e perché si differenziano.
Partiamo subito col dire che la firma digitale è una particolare firma elettronica, che a sua volta ha specifiche tipologie. Quella digitale, infatti, secondo quanto definito dal CAD (Codice Amministrazione Digitale), identifica un particolare tipo di firma elettronica avanzata che si distingue, grazie ad un sistema di chiavi crittografiche, in una pubblica e una privata, correlate tra di loro.
Queste chiavi, quella privata per il titolare e quella pubblica per il destinatario, permettono “di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”, così come è specificato nell’articolo 1 del CAD. Questa modalità viene definita crittografia a chiavi asimmetriche e richiede una dotazione hardware (chiavette USB o smart card con lettore) e software per apporre la firma.
Tipi di firme elettroniche
Secondo il Regolamento UE n. 910/2014, esistono tre tipologie di firma elettronica:
- la firma elettronica semplice (FES);
- la firma elettronica avanzata (FEA);
- la firma elettronica qualificata (FEQ).
Le varie tipologie di firme elettroniche vengono regolamentate, oltre che dal già citato CAD, anche dall’AGID, l’Azienda per l’Italia Digitale.
Vediamo quali sono le caratteristiche di ogni firma elettronica, come si qualificano e come si differenziano, per capire meglio l’apponibilità di ognuna di queste firme.
Firma elettronica semplice (FES)
La firma elettronica semplice (FES) è la sottoscrizione informatica più semplice. Non ha un grado elevato di sicurezza ed è liberamente valutabile in giudizio, perché non può garantire l’autenticità e l’integrità del documento firmato.
È la più comune ma anche la più debole firma elettronica, perché racchiude solo dei dati in formato elettronico che fungono da metodo di autenticazione informatica. Viene detta semplice appunto perchè non ci sono delle procedure specifiche dei processi collegati al modo in cui si sottoscrive un documento, assicurandone una maggiore sicurezza.
Per fare un esempio: per firma elettronica semplice si intende l’utilizzo di un login e di una password ed esso collegata, tipicamente usate per l’accesso ad un servizio.
Ai sensi dell’articolo 2702 del Codice Civile, questa tipologia di firma non ha l’efficacia della scrittura privata, quindi, identifica solo una sottoscrizione di principio e per questo non dà un valore probatorio certo al documento sul quale viene apposta. Spetta al giudice, infatti, di volta in volta, determinarne l’integrità e l’immodificabilità.
Anche se la firma elettronica semplice ha un livello di sicurezza inferiore rispetto alle FEA e FEQ ed è liberamente valutabile in giudizio, secondo il principio di non discrimazione di eiDAS (electronic IDentification Authentication and Signature), la FES mantiene la sua utilità, non soggetta a discriminazione e svalutazione in quanto firma elettronica.
Firma elettronica avanzata (FEA)
La firma elettronica avanzata (FEA), che offre maggiore sicurezza, garantendo il collegamento al firmatario senza contraddizioni, l’autenticità e l’integrità del documento sottoscritto.
A differenza, infatti, della FES, la firma elettronica avanzata ha l’efficacia della scrittura privata. È definita, infatti, avanzata perché ha delle procedure collegate al processo di firma che sono molto più complesse, tale da assicurarle un livello di maggiore sicurezza.
Per fare un esempio: per firma elettronica avanzata si intende la tipica firma che, nella quotidianità, ci capita di apporre in banca o alla posta su degli appositi tablet. Questi tablet, detti “tablet grafometrici”, rilevano i nostri dati biometrici (l’accelerazione, la velocità, la pressione con cui si appone la firma), permettendo al sistema di registrare la nostra “firma biometrica”.
La firma elettronica avanzata può anche ottenere con il proprio pc, tramite l’utilizzo di un codice OTP (password usa e getta), metodo usato soprattutto per l’accesso a servizi digitali come l’home banking.
Proprio perché la FEA assicura un maggior grado di sicurezza, il firmatario deve, di solito, identificarsi tramite degli appositi strumenti come, ad esempio, la tecnologia SelfID. Tale metodo fa sì che la FEA non possa essere modificata dopo la sua apposizione.
Firma elettronica qualificata (FEQ)
La più autorevole delle firme elettroniche citate è la firma elettronica qualificata (FEQ). Tra tutte le firme, è sicuramente la sottoscrizione più sicura perché si basa su una certificazione elettronica qualificata emessa da un’autorità.
Per apporre la FEQ, infatti, è necessario un hardware specifico, un dispositivo qualificato per l’apposizione della firma che si individua in un lettore smart card USB o un token. Tutto questo certifica l’autenticità di chi firma e l’impossibilità alla modifica del documento.
La firma elettronica qualificata ha valore probatorio e, quindi, ha anche l’efficacia della scrittura privata.
La FEQ è, quindi, la firma che assicura il massimo grado di sicurezza ed efficacia e, in Italia, è conosciuta come firma digitale.
Differenze firma elettronica e firma digitale
Le principali differenze tra le firme elettroniche e quella digitale si identificano nel valore probatorio, ovvero di prova, che è sostanzialmente diverso.
Per la firma elettronica semplice, che ha il minimo grado sicurezza, è necessaria la verifica di qualità, sicurezza e immodificabilità, da valutare caso per caso. Tale compito sarà svolto in sede giuridica dal giudice di competenza, non avendo, per definizione, la FES, valore probatorio autonomo.
Per la firma elettronica avanzata, qualificata e digitale l’efficacia probatoria è la medesima. I documenti che hanno questi tre tipi di firme hanno piena efficacia giuridica a condizione che il documento non sia modificato dopo la sottoscrizione.
La firma digitale, che è quella di cui comunemente sentiamo parlare, è quella che molto spesso viene utilizzata dal cittadino quando deve sottoscrivere dei documenti con la pubblica amministrazione. Molto diffuso è l’utilizzo dello Spid (Identità Digitale) che non è propriamente una firma digitale, ma che è comunque associata ad una firma elettronica avanzata e, quindi, ha valore probatorio e valenza legale.
Ciò che è importante, oltre alla valenza legale di queste firme, è anche il tipo di tecnologia che viene utilizzata per sottoscriverle e utilizzarle. Ad esempio, se la firma digitale può essere una chiavetta usb, una firma in remoto fatta con il cellulare o una firma fatta con un login e una password (tutti sistemi che ne garantiscono la sicurezza), la FEA viene apposta con l’utilizzo del tablet grafometrico, con il cellulare e via OTP.
Firma elettronica e Conservazione digitale
Determinata l’importanza della valenza legale e della tecnologia utilizzata per le diverse tipologie di firme elettroniche e della firma digitale, sarà bene anche prestare attenzione alla loro conservazione.
Quando si sarà sottoscritto un qualsiasi tipo di documento, infatti, sarà necessario che questi venga conservato.
Attenzione! La conservazione di un documento non equivale alla sua mera archiviazione.
La conservazione digitale, infatti, è una procedura legale informatica che garantisce, al documento sottoscritto, la valenza legale nel tempo.
I cloud di archiviazione ritenuti sicuri, come Dropbox, iCloud, Google Drive e OneDrive, sono per l’appunto cloud di salvataggio e archiviazione, che non assicurano la valenza legale nel tempo del documento sottoscritto.
Per conservare un documento sottoscritto, quindi, si dovranno seguire le regole tecniche dell’AGID (Azienda per l’Italia Digitale).