Esistono diversi tipi di firme elettroniche, con diversi livelli di complessità tecnica e sicurezza. Naturalmente, tendiamo a scegliere automaticamente quello con il più alto livello di sicurezza, anche se potrebbe essere eccessivo per le nostre esigenze e addirittura controproducente.
L’eIDAS (Electronic Identification, Authentication and Trust Services) è una regolamentazione europea sull’identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel Mercato Unico Europeo e definisce diversi livelli di firme elettroniche:
- Firma Elettronica Semplice* (FES)
- Firma Elettronica con OTP
- Firma Elettronica Avanzata (FEA)
Firma elettronica semplice (FES)
La firma elettronica semplice è attualmente la procedura più utilizzata. Oggi la stragrande maggioranza delle firme elettroniche in commercio sono cosiddette “semplici” perché più idonee e facilitano un utilizzo rapido e fluido. La firma elettronica semplice corrisponde al primo livello di sicurezza e il riconoscimento legale della firma di un documento.
Livello di sicurezza
Secondo il regolamento eIDAS, a una firma elettronica semplice (FES) non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. L’art. 20 comma 1-bis del CAD stabilisce che l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma elettronica adottata.
Non esiste dunque un elenco stabilito di requisiti per questo tipo di firma. Potrai quindi, in soli 2 click e senza alcun processo concreto di verifica dell’identità o consenso, far firmare un documento. In questo caso, sarebbe molto facile per il firmatario negare di averlo firmato. Secondo questa definizione, una firma scansionata o una firma digitale di base, come quella che apponi sul terminale del fattorino che ti porta i tuoi pacchi, ad esempio, sono le cosiddette firme semplici.
Il processo di firma elettronica semplice può però essere rafforzato e acquisire maggior valore legale se si aggiunge un ulteriore passaggio di autenticazione, come il sistema di doppia autenticazione di cui dispone Yousign, dove un codice SMS ricevuto dal firmatario è necessario per firmare il documento.
Allo stesso modo, sebbene non sia obbligatorio avere un tracking di controllo con le firme elettroniche semplici, è chiaro che la creazione e l’archiviazione di uno, così come il numero e la qualità delle prove che saranno raccolte in questo file, sapranno fornire un livello di credibilità molto più elevato in caso di contestazione del contratto.
Questo file di tracking di controllo può essere composto da elementi quali l’indirizzo e-mail del firmatario, il suo numero di telefono, l’indirizzo IP del computer utilizzato per firmare il documento, ecc. Lo scopo di questo file di prova è di dare agli avvocati la possibilità di rintracciare facilmente le diverse fasi di una transazione passo dopo passo.
Anche nel caso di una firma elettronica semplice, Yousign crea un file di verifica con data e ora per ogni procedura contenente una serie di tracce informatiche che saranno archiviate per 10 anni presso un archivista di terze parti governativo chiamato Arkhinéo, un archiviatore di terze parti, certificato a livello europeo.
Tipi di documenti
Ordini / Conferme d’ordine Preventivi Consenso privacy Condizioni generali di contratto Contratti di vendita di beni mobili Firma Contratto di lavoro Contratti di servizio Dichiarazioni di riservatezza NDA Contratti con il fornitore Firma contratti di locazione Firma contratti online …
Firma elettronica con OTP
Nel mercato italiano si crede erroneamente che la firma elettronica con OTP equivalga alla FEA, quando in realtà sono due tipi di firma diversi. Abbiamo scritto un articolo dove spieghiamo in maniera dettagliata quali sono le differenze tra OTP e FEA.
Partendo dalla sua definizione, OTP sta per “One Time Password”, ossia “password valida solo una volta”. Al momento di firmare il documento, al firmatario viene infatti inviato un codice di almeno 4 cifre via SMS, e-mail, o attraverso un messaggio vocale, per confermare la sua identità. Questo codice, come dice il suo nome, non potrà essere usato una seconda volta: sarà valido per un’unica sessione di firma. Inoltre, per garantire la massima sicurezza del procedimento, la password in questione ha una durata limitata di alcuni minuti. E’ quindi è importante inserirla prima che questa scada, e in caso accada sarà necessario chiedere l’invio di un altro codice.
Livello di sicurezza
Paragonandola con la firma elettronica semplice, la firma con OTP ha un grado di sicurezza più elevato, poiché il codice inviato è garanzia di autenticazione del firmatario. Inoltre, grazie al dossier di prova in cui figura/appare il numero di telefono, è possibile verificare ulteriormente/confermare l’identità della persona che firma.
Come tutti gli altri tipi di firma presentati in questo articolo, anche la firma con OTP è legalmente riconosciuta. Come affermato nella Legge15 MARZO 1997 n. 59, Art. 15, Comma 2: “gli atti, dati e documenti formati dalla Pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. (Fonte privacy.it)
Tipi di documenti
Pre-contratti, preventivi, lettere d’incarico, contratti di vendita o generici, informativa sulla privacy …
Firma elettronica avanzata da remoto (FEA)
La firma elettronica FEA, più sicura, è consigliata per transazioni finanziarie di grandi dimensioni o per firmare documenti che possono presentare interessi legali significativi.
Livello di sicurezza
Come visto poco fa, la definizione di firma elettronica semplice è piuttosto ampia e aperta all’interpretazione. Al contrario, la FEA deve soddisfare criteri di verifica dell’identità più rigorosi e quindi ha un livello di sicurezza più elevato come stabilito nella regolamentazione eIDAS e completato dall’ordinamento giuridico italiano. Quest’ultimo definisce che una soluzione di FEA è pienamente compliant se segue le disposizioni delle regole tecniche in materia di FEA di cui al Titolo V, artt. 55-61, del DPCM 22 febbraio 2013.
Una firma avanzata FEA deve permettere:
- Identificazione del firmatario del documento
- Connessione univoca della firma al firmatario
- Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima
- Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
- Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
- Individuazione del soggetto erogatore
- Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
- Connessione univoca della firma al documento sottoscritto
Questo può essere fatto attraverso soluzioni come il caricamento e la verifica in tempo reale del documento d’identità del firmatario e la sua aggiunta al processo di controllo, come proposto da Yousign. L’aggiunta della prova del consenso del firmatario, come una casella di spunta per dimostrare che il documento è stato correttamente compreso, o un testo da copiare prima della firma, dimostrerà ulteriormente, in caso di controversia, la volontà del firmatario di firmare il documento. Tutti questi sistemi di verifica dell’identità e prova del consenso possono essere combinati per rafforzare ulteriormente la validità legale della firma.
Esiste anche una procedura di FEA con certificato qualificato che richiede la verifica faccia a faccia (fisicamente o da remoto) dell’identità del firmatario e può essere utilizzata in casi specifici. È la soluzione intermedia tra la firma avanzata e la firma qualificata.
Tipi di documenti
Atto di compravendita di beni immobili Apertura conto bancario Contratti assicurativi, come ad esempio: l’assicurazione sulla vita, l’assicurazione contro gli infortuni o l’invalidità professionale, RC Auto, ecc. Contratti bancari .
Nota Bene
Vi ricordiamo inoltre che firmare i vostri documenti apponendo un’immagine di firma in .png non ha nessun valore legale, così come non ha valenza legale la foto di un documento firmato! Questo tipo di firma infatti non rientra in nessuna delle categorie sopra descritte e, in caso di disputa, non garantisce l’integrità del documento firmato.
L’immagine di firma sul documento ha essenzialmente un valore estetico e psicologico ed esprime materialmente il consenso del firmatario mentre la firma elettronica che ha valore legale, è un processo crittografico, immateriale e invisibile ed integrato nel formato del documento PDF.
In conclusione
Ora che ti abbiamo illustrato tutte le opzioni possibili sta a voi scegliere la firma elettronica più adatta alle vostre esigenze.
Abbiamo visto che è sempre più essenziale digitalizzare i processi – aziendali e non – così’ da lavorare in maniera sempre più sicura e legale. La firma elettronica inoltre porta con sè tanti benefici in termini di produttività e risparmio.