Fiscali
Firma elettronica e digitale, differenze e modalità di rinnovo
Quali sono i diversi livelli di firma elettronica e il loro effettivo valore probatorio? Come rinnovare la firma alla scadenza?
Condividi
Sono passati ormai più di venti anni da quando la firma elettronica è diventata una realtà (il primo regolamento è il D.P.C.M. 8 febbraio 1999) e i fondi del PNRR puntano sempre di più alla transizione digitale in primis della pubblica amministrazione. Sono stati stanziati, infatti, oltre 6 miliardi di euro destinati a trasformare la PA in chiave digitale (PAgopa e appIO, SPID e CE, Cloud e infrastrutture digitali). E le firme elettroniche e digitali diventano uno strumento fondamentale in questa nuova realtà virtuale.
Capita, però, ancora di confondere i termini firma elettronica e firma digitale utilizzandoli come sinonimi. Nell’articolo analizzeremo le varie tipologie di firme evidenziandone le principali differenze e livelli di affidabilità, nonché le procedure per rinnovare i certificati nel caso di utilizzo di firma digitale. Dunque esistono diversi livelli di firma, con altrettante valenze probatorie, previsti dal Codice dell’Amministrazione Digitale (CAD).
- Firma elettronica
- Firma Elettronica Avanzata
- Firma Elettronica Qualificata
- Firma Digitale
- Sigillo Elettronico
- Normativa
- Rinnovo Firma Digitale
Cos’è, come funziona e a cosa serve la firma elettronica
La firma elettronica rappresenta la più semplice fattispecie di sottoscrizione informatica. E’ definita nel regolamento europeo 910/2014 (eIDAS) al numero 10 dell’articolo 3 come “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Un tipico esempio di firma elettronica è un messaggio di posta elettronica ordinaria o una sottoscrizione che non ha tutti i requisiti delle altre sottoscrizioni elettroniche di livello superiore.
Si parla quindi di PIN delle carte magnetiche, come per esempio il Bancomat, credenziali di accesso web, come nome utente e password o la firma per un pacco di un corriere. Ai fini giuridici: “A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.” Dipende quindi, dal giudizio del giudice.
La firma elettronica avanzata (FEA)
La firma elettronica avanzata (FEA) è una forma di firma digitale che offre un grado di sicurezza superiore rispetto alla firma elettronica semplice.
La FEA si basa sull‘utilizzo di una tecnologia di crittografia avanzata, che consente di garantire l’autenticità dell’autore del documento e l’integrità del contenuto del documento stesso. In altre parole, la FEA è in grado di garantire che il documento non sia stato modificato dopo la firma e che la firma stessa sia stata apposta da una persona specifica e identificabile.
La FEA viene utilizzata in diverse situazioni, come ad esempio nella stipula di contratti, nella presentazione di documenti ufficiali, nella comunicazione tra le imprese e la Pubblica Amministrazione, e in generale in tutti quei casi in cui è richiesta una maggiore sicurezza e autenticità rispetto alla firma elettronica semplice.
Per apporre una FEA, è necessario utilizzare un certificato digitale rilasciato da un Ente Certificatore accreditato. Questo certificato attesta l’identità del firmatario e garantisce l’integrità del documento firmato.
La FEA ha valore legale equivalente alla firma autografa, e la sua validità è riconosciuta in numerosi Paesi nel mondo.
Un diffuso esempio di FEA è costituito dalla firma grafometrica utilizzata su tablet in molti contesti tra i quali le banche e le assicurazioni o quella che alcune regioni italiane che offrono ai cittadini residenti con l’erogazione della CNS (Carta Nazionale dei servizi). In Italia, infatti, è il D.P.C.M. 22 febbraio 2013 (G.U. n. 117 del 21-5-2013) che ha posto nelle mani di tutti i cittadini italiani uno strumento – la CNS, Carta Nazionale dei Servizi – che se utilizzato per apporre la firma elettronica avanzata sui documenti scambiati con la pubblica amministrazione ha l’efficacia della scrittura privata.
La firma elettronica qualificata (FEQ)
La firma elettronica qualificata (FEQ) è il tipo di firma digitale che offre il massimo grado di sicurezza e autenticità previsto dalle leggi e normative europee e italiane e la sua validità è riconosciuta in tutti i Paesi dell’Unione Europea.
La FEQ è basata sull’uso di una tecnologia di crittografia avanzata e richiede l’utilizzo di un certificato digitale qualificato rilasciato da un Ente Certificatore accreditato. Il certificato qualificato contiene i dati di identificazione del firmatario, che deve essere una persona fisica, e il suo codice fiscale.
La firma elettronica qualificata è utilizzata in diverse situazioni in cui è richiesta una maggiore sicurezza e autenticità rispetto alla firma elettronica avanzata o semplice, come ad esempio nella sottoscrizione di contratti pubblici, nell’invio di documenti ufficiali e nella comunicazione tra le imprese e la pubblica amministrazione, come ad esempio la presentazione di dichiarazioni fiscali online.
Costituisce la più forte istanza di sottoscrizione informatica perché ha un effetto giuridico equivalente a quello di una firma autografa in quanto permette di identificare in modo univoco il titolare. Questo tipo di firma si basa su un certificato qualificato ed è realizzata tramite un dispositivo sicuro quale il token o la smart card cioè dispositivi denominati Hardware Security Module (HSM)
Il D.P.C.M. 22 febbraio 2013 li definisce come “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.
La firma digitale
La firma digitale, prevista solo in Italia (nel Codice Amministrazione Digitale), è un particolare tipo di firma elettronica qualificata. In pratica, la firma digitale è un processo informatico che permette di associare un documento digitale a una persona fisica o giuridica, tramite l’utilizzo di un certificato digitale. Il certificato digitale è un documento elettronico che contiene i dati di identificazione della persona o dell’organizzazione, e viene rilasciato da un Ente Certificatore accreditato. La firma digitale utilizza una tecnologia di crittografia asimmetrica che consente di generare una chiave privata e una chiave pubblica. La chiave privata viene utilizzata per firmare il documento digitale, mentre la chiave pubblica viene utilizzata per verificare la firma e accertare l’autenticità del documento.
I mezzi più diffusi per apporre la firma digitale sono, come nel caso di quella elettronica qualificata, il token e la smart card. Questa ha il più ampio spettro di utilizzo rispetto alle altre tipologie di sottoscrizioni informatiche. Può essere utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio. È disconoscibile solo provando di non aver firmato ovvero il sottoscrittore ha l’onere della prova. Firmare digitalmente un documento significa garantire riservatezza, confidenzialità, autenticità, integrità e non ripudio del suo contenuto. L’equivalente di un documento firmato con firma digitale è un atto cartaceo stipulato dinanzi a un notaio.
Il sigillo elettronico qualificato
Il sigillo elettronico è una forma di autenticazione elettronica che consente di garantire l’integrità di un documento digitale o di un insieme di dati, senza necessariamente identificare un autore specifico come avviene invece con la firma digitale.
Il sigillo elettronico qualificato, particolarmente utilizzato in ambito aziendale e amministrativo, è una forma avanzata di sigillo elettronico basato sull’utilizzo di un certificato digitale qualificato rilasciato da un Ente Certificatore accreditato, che garantisce l’autenticità dell’ente che appone il sigillo elettronico. Il sigillo elettronico qualificato viene utilizzato per garantire l’autenticità e l’integrità di documenti digitali, come ad esempio fatture elettroniche, documenti di trasporto, e documenti doganali.
Inoltre, il sigillo elettronico qualificato è riconosciuto a livello europeo e italiano come forma di autenticazione elettronica con valore legale equiparabile alla firma autografa.
Le differenze a livello legale
Ogni firma, come accennato in precedenza, ha un valore probatorio diverso. Nel caso della Firma Elettronica “semplice”, non essendo state definite caratteristiche tecniche e livello di sicurezza, il valore probatorio del documento informatico su cui è apposta la firma sarà determinato dal giudice che, caso per caso, terrà conto delle sue caratteristiche di qualità, sicurezza e immodificabilità. Per i seguenti tre livelli della firma:
- Elettronica Avanzata,
- Elettronica Qualificata,
- Digitale
L’efficacia probatoria è la stessa di una scrittura privata prevista dall’art. 2702 del Codice Civile, tranne per i contratti immobiliari nel caso venga apposta la Firma Elettronica Avanzata. Le informazioni aggiornate sulle norme e su altri aspetti istituzionali sono disponibili sul sito dell’AgID. Per conoscere i soggetti che offrono servizi di firma qualificata o sigillo a livello comunitario clicca qui. Per i soggetti italiani (prestatori di servizi fiduciari) troverai l’elenco qui.
Normativa e informazioni istituzionali sulla firma elettronica
Normativa e informazioni istituzionali sulla firma elettronica
Le informazioni aggiornate sulle norme e su altri aspetti istituzionali sono disponibili sul sito dell’AgID.
Per conoscere i soggetti che offrono servizi di firma qualificata o sigillo a livello comunitario clicca qui per i soggetti italiani (prestatori di servizi fiduciari) qui.
Rinnovo Firma Digitale
Come detto in precedenza, in Italia vi sono vari soggetti prestatori di servizi fiduciari. Per citarne alcuni:
Aruba Posta Elettronica Certificata S.p.A., Banca d’Italia, Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, InfoCert S.p.A., Intesa Sanpaolo Bank S.p.A., Ministero dell’Interno, Ministero della Difesa, Nexi Payments S.p.A., Poste Italiane S.p.A., Telecom Italia Trust Technologies S.r.l. ecc.
Per esercitare la professione di Ingegnere, Architetto o Geometra è oramai necessario possedere una firma digitale con la quale firmare le pratiche. La firma può essere acquistata presso uno dei soggetti citati sopra ma è necessario passare tramite l’Ordine territoriale di appartenenza per ottenere i certificati necessari a validare la firma a livello professionale. Per questo gli Ordini hanno attivato delle convenzioni, nell’ottica della fornitura di servizi agli iscritti. Vediamo di seguito, a titolo di esempio, il caso di rinnovo della firma digitale sottoscritta con Aruba.
Il rinnovo con Aruba
Per il rinnovo della firma digitale Aruba, la procedura può variare a seconda del tipo di certificato e della modalità di emissione scelta.
Se il certificato è stato emesso mediante la procedura di rinnovo automatico, Aruba invia una email di notifica alcuni giorni prima della scadenza del certificato. In questo caso, è possibile rinnovare il certificato seguendo le istruzioni fornite nella email.
Se il certificato non è stato emesso mediante la procedura di rinnovo automatico, il rinnovo può essere effettuato accedendo all’area clienti di Aruba e seguendo le istruzioni fornite. In genere, sarà necessario fornire alcune informazioni per verificare l’identità del richiedente e confermare la richiesta di rinnovo.
In alternativa, è possibile contattare direttamente il servizio clienti di Aruba per richiedere il rinnovo della firma digitale. In questo caso, è necessario fornire il codice identificativo del certificato e alcune informazioni personali per verificare l’identità del richiedente.
In ogni caso, è importante tenere presente che il rinnovo della firma digitale deve essere effettuato prima della scadenza del certificato (di solito 3 anni), altrimenti sarà necessario richiedere un nuovo certificato.
Il rinnovo quindi deve essere fatto entro i termini, anche perché per il rinnovo è necessario firmare i documenti digitalmente e quindi con certificato scaduto la cosa non è più possibile.
Principali operazione per il rinnovo con Aruba
Le istruzioni per il rinnovo si trovano sul sito di Aruba e si riportano qui sotto le principali operazioni:
Per eseguire il rinnovo del Certificato di Firma Digitale, accedere alla pagina “Procedura di rinnovo” quindi cliccare su “Rinnova” in corrispondenza del servizio “Firma digitale”. Prima di proseguireverificare:
- Di essere in possesso del Dispositivo di Firma (ArubaKey, Token, Smart Card…);
- Di Essere in possesso del PIN della Smart Card;
- Che il Certificato di Firma Digitale sia ancora valido, e non risulti quindi revocato o scaduto.
Si accede a “Rinnovo Firma Digitale – Login” da cui autenticarsi al Pannello con Login @aruba.it e relativa password o con dispositivo di Firma Digitale e si segue la procedura fino alla conferma del rinnovo del certificato.
Articolo pubblicato il 5 febbraio 2020 – aggiornato il 24 aprile 2023