Le firme informatiche: tipologie e diffusione in Italia

Le firme informative rappresentano degli elementi costitutivi del Regolamento eIDAS – electronic IDentification, Authentication, and trust Services, emanato nel 2014 e ora in fase di revisione.

Nell’ambito di questo quadro normativo, sono descritte tre tipologie di firma informatica:
1.    la firma elettronica semplice (FES);
2.    la firma elettronica avanzata (FEA);
3.    la firma elettronica qualificata (FEQ).

In questo articolo verranno discusse le tre tipologie di firma elettronica e illustrata l’adozione delle firme elettroniche in Italia.

1.    La firma elettronica semplice
L’articolo 3 del Regolamento eIDAS (al punto 10), la definisce come dati in forma elettronica acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal titolare per firmare.
La normativa non definisce i livelli di sicurezza associati a questa firma, né ci sono specifiche sulle caratteristiche tecnologiche della sua apposizione. Per garantire un ulteriore livello di credibilità della firma, è possibile creare e aggiornare un file di tracking di controllo composto da elementi quali l’indirizzo e-mail del firmatario, il suo numero di telefono, l’indirizzo IP del computer utilizzato per firmare il documento, ecc.
Lo scopo di questo file di prova è di dare in sede legale la possibilità di rintracciare facilmente le diverse fasi di una transazione passo dopo passo.
Tra i principali esempi di firma semplice, vi sono:

• username e password per entrare in un’area riservata;
• badge elettronico per riconoscimento nel mondo fisico (es. accesso a un ufficio, segnalazione presenza);
• impronta digitale per autorizzare un accesso fisico/logico;
• firma sul palmare del corriere per avvenuta consegna.

2.    La firma elettronica avanzata
L’articolo 3 del Regolamento eIDAS (ai punti 11 e 26) la definisce come la tipologia di firma informatica che rispetta i seguenti requisiti:

• identificazione del firmatario del documento;
• connessione univoca della firma al firmatario;
• controllo esclusivo del firmatario del sistema di generazione della firma, inclusi i dati biometrici eventualmente utilizzati per la generazione della firma;
• possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
• possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
• individuazione del soggetto erogatore (Certification Authority, CA);
• assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati»

La firma elettronica avanzata è più che un semplice prodotto fiduciario: si tratta di un processo organizzativo che parte dall’identificazione certa del firmatario da parte del provider di firma e termina con la sua apposizione da parte del firmatario stesso.
Tra gli esempi di firma elettronica avanzata vi è la firma grafometrica (firma apposta su tablet o altri dispositivi che raccolgono le caratteristiche comportamentali tipiche della firma autografa).

3.    La firma elettronica qualificata
L’articolo 3 del Regolamento eIDAS (al punto 12) la definisce come una firma elettronica avanzata creata da un dispositivo specifico per la generazione di una FEQ e basata su uno specifico certificato qualificato.
Queste firme sono generabili esclusivamente con gli strumenti resi disponibili dai soggetti qualificati a tale scopo e considerate a livello europeo equivalenti di una firma autografa.

Molto affine a questa terza tipologia di firma è la firma digitale, normata esclusivamente in Italia all’interno del Codice dell’Amministrazione Digitale (CAD). È infatti definita come un particolare tipo di firma qualificata basata su una coppia di chiavi crittografiche (pubblica/privata), che consente al titolare tramite la propria chiave privata e a un soggetto terzo tramite la corrispondente chiave pubblica rispettivamente di

• rendere manifesta di uno o più documenti informatici;
• verificare la provenienza e l’integrità di uno o più documenti informatici.

Dunque, questa tipologia di firma, normata solo in Italia, utilizza gli stessi criteri di sicurezza della firma elettronica avanzata definita nel quadro europeo, aggiungendo ulteriori elementi di verifica dell’identità del firmatario e alcune specifiche sui requisiti crittografici. Il sistema di doppia chiave crittografica del titolare del certificato di firma, infatti, deve essere estremamente protetto e conservato in un luogo sicuro dal provider che eroga il servizio fiduciario. La coppia di chiavi (spesso utilizzabile fino a tre anni) sarà stata preventivamente verificata e validata da AgID al momento del rilascio del dispositivo.

4.    L’adozione di firme elettroniche in Italia
Complessivamente in Europa sono 225 i fornitori di servizi fiduciari, di cui 163 sono fornitori di servizi di firma elettronica, e in questo contesto l’Italia si posiziona come terzo Paese europeo per numero di aziende attive in questo mercato (Qualified Trust Services Providers, QTSPs).

Per quel che riguarda l’adozione di questi strumenti nel contesto italiano, secondo i dati del monitoraggio AgID, dal 2016 si è registrata una crescita costante dell’utilizzo dei certificati per l’apposizione delle firme, arrivando a sfiorare i 5 miliardi nel 2021. Dalla situazione di emergenza, in Italia si sta consolidando sempre più l’adozione di firme informatiche nei processi amministrativi. Si pensi che delle aziende che hanno implementato progetti di digitalizzazione in risposta alla pandemia, il 39% ha introdotto questo strumento. Le tipologie più diffuse sono la firma elettronica avanzata e la firma digitale, usate principali a supporto di processi di fatturazione elettronica, conservazione digitali e workflow approvativi.