Le firme elettroniche: “avanzate” o “certificate”?

Ogni firma ha un valore probatorio diverso. Firma Elettronica Avanzata, Firma Elettronica Qualificata e Firma Digitale hanno la stessa efficacia probatoria della scrittura privata prevista dall’art. 2702 del Codice Civile

La firma «avanzata» è una firma elettronica tecnologicamente evoluta, connessa al firmatario in modo univoco e idonea alla sua identificazione. Se la generazione o la gestione dei dati per la creazione di una firma elettronica è affidata ad un prestatore di servizi fiduciari qualificato la firma elettronica è «qualificata». Quali sono le differenze e quando occorre usare l’una o l’altra tipologia?
Giovanni Buonuomo e Gianluigi Ciacci affrontano il tema attraverso un punto di vista aggiornato e specifico di esperti in materia di informatica giuridica nel volume “Profili di informatica giuridica”.
Il contenuto di seguito è tratto e rielaborato dal manuale, già disponibile per l’acquisto su Shop.Wki.it.
Clicca il box di seguito per avere un dettaglio sui contenuti.

Il regolamento UE n. 910 del 23 luglio 2014 definisce la firma elettronica come l’insieme dei «dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare» (art. 3, n. 10).
Si tratta di cosa diversa dalla «firma elettronica avanzata», che è una firma elettronica apposta con un sistema di firma idoneo ad identificare il firmatario (art. 26), e dalla «firma elettronica qualificata» che ha, a norma dell’art. 25 comma 2, effetti giuridici equivalenti a quelli di una firma autografa.

La firma «avanzata» è una firma elettronica tecnologicamente evoluta, connessa al firmatario in modo univoco e idonea alla sua identificazione. Una firma elettronica, in particolare, creata mediante dati che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; comunque collegata ai dati sottoscritti in modo tale da renderne evidente ogni successiva modifica.
La firma elettronica avanzata, creata da un dispositivo (software o hardware) per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche, diviene poi «firma elettronica qualificata» (art. 3, n. 12) che, apposta su un documento informatico, produce gli stessi effetti della sottoscrizione autografa apposta sul documento cartaceo (art. 25, comma 2).

Com’è evidente, le definizioni procedono per approssimazioni successive: la firma elettronica consiste in dati «acclusi o connessi tramite associazione logica ad altri dati»; la firma avanzata è una firma elettronica «connessa in modo univoco» al firmatario e creata sotto il suo controllo; la firma qualificata è una firma avanzata basata su un certificato qualificato emesso da un fornitore di servizi fiduciari; la firma digitale è, infine, un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche.

In sostanza, chi deve farsi identificare da un sistema informatico utilizza dati elettronici (il PIN, la password, un codice numerico) associati ad altri dati (il numero di carta Bancomat o della carta di credito, il contratto per l’uso del server di posta elettronica) collegati al suo titolare dal sistema prima di erogare il servizio.

La firma elettronica, in questi casi, è sempre usata in funzione indicativa (per l’identificazione del firmatario), al contrario della firma avanzata che ha anche una funzione dichiarativa e probatoria.
In altri termini, lo scopo della firma elettronica è limitato all’identificazione dell’autore del documento (o, se si preferisce, dell’avente diritto), ma non è, a differenza delle firme avanzate, connessa in modo univoco al firmatario; ciò in quanto un semplice codice può essere facilmente trasferito ad altri, od essere comunque da altri conosciuto anche senza il consenso del titolare.

Le firme «avanzate» e la firma «grafometrica»

Per il regolamento UE n. 910/2014 (reg. eIDAS) la «firma elettronica avanzata» è costituita da una firma elettronica «connessa unicamente al firmatario» ed idonea alla sua identificazione, creata sotto l’esclusivo controllo del firmatario e in grado di garantire l’integrità del documento, sicché sia esclusa ogni modifica non voluta dall’autore (art. 26).
Un esempio di firma avanzata, diverso dalla firma digitale è offerto dalla firma grafometrica, che consiste nella firma autografa apposta con uno stilo conduttore su una tavoletta elettronica (signature pad).
Il sistema rileva il tratto grafico, la velocità con cui viene apposta la firma, la precisione, l’angolo di inclinazione, l’accelerazione e il numero di volte in cui lo stilo viene sollevato dal piano di scrittura, per poi analizzare la firma ponendola a confronto con le scritture campionate in precedenza. I dati biometrici così raccolti vengono quindi associati all’impronta del documento e cifrati tramite la chiave pubblica di un fornitore di servizi qualificati.
I dati biometrici relativi alla firma divengono, con questa procedura, parte del documento. Essi non sono memorizzati dallo strumento di firma, ma cifrati con la chiave pubblica di un soggetto certificatore; cosicché, in caso di disconoscimento in giudizio, i dati biometrici possono essere decifrati per essere confrontati con le scritture comparative raccolte dal consulente tecnico.

Le firme «qualificate»

Se la generazione o la gestione dei dati per la creazione di una firma elettronica per conto del firmatario (cioè le chiavi di cifratura, nel sistema PKI) è affidata ad un prestatore di servizi fiduciari qualificato, e se la firma avanzata è apposta con un dispositivo che assicuri la riservatezza dei dati, in quanto protetto dal rischio di contraffazioni e dall’uso non autorizzato da parte di terzi, oltre che idoneo a garantire l’integrità dei dati firmati, la firma elettronica è «qualificata» ed ha effetti giuridici equivalenti a quelli di una firma autografa (art. 25, secondo comma, reg. UE n. 910 del 2014).
Le connessioni sicure, realizzate attraverso l’uso di chiavi di cifratura «usa e getta» generate al momento della connessione attraverso l’uso del token costituiscono un esempio di firma qualificata.
L’apparecchio che le banche consegnano ai loro clienti per generare un codice numerico con cui firmare le operazioni eseguite a distanza è, com’è noto, sincronizzato con un server di autenticazione che genera la stessa sequenza di numeri pseudocasuali sotto il controllo della banca. Si tratta di una password temporanea che varia ad intervalli prefissati; sicché solo chi ottiene il token è in grado di fornire, nel preciso istante in cui viene richiesta l’autenticazione, lo stesso numero generato dal server, e solo il titolare del conto corrente conosce la password di partenza con cui il numero va combinato.
In questo schema, dunque, il canale sicuro, su cui il codice viene trasmesso dal titolare alla banca, viene creato attraverso la cifratura del messaggio con la chiave pubblica generata dal ricevente (la banca): a destinazione, pertanto, il messaggio viene decifrato con l’altro elemento della coppia (la chiave privata, rimasta nel possesso della banca che l’ha generata) e poi viene eliminata.

Questo articolo è tratto da “Profili di informatica giuridica ”. Clicca qui per acquistare.

Ti è piaciuto questo contenuto?

Con la newsletter Teknoring resti sempre aggiornato.

In più, uno sconto del 20% su libri ed e-book e l’accesso ai vantaggi riservati agli iscritti.

ISCRIVITI

Potrebbero interessarti