Firma elettronica, avanzata e qualificata (digitale): differenze e validità legale

Con il termine firma elettronica si indica, in senso ampio, un insieme eterogeneo di strumenti e modalità di sottoscrizione digitale: si va dall’inserimento di semplici credenziali (username e password) fino alla firma digitale basata su dispositivi fisici come token o smart card.

È importante chiarire che firma elettronica e firma digitale non sono sinonimi. Si tratta infatti di categorie diverse, che presentano livelli differenti di complessità tecnica, sicurezza, modalità di identificazione del firmatario e validità legale. Per evitare confusioni, è utile richiamare le definizioni ufficiali contenute nel Codice dell’Amministrazione Digitale (CAD) e nel Regolamento europeo eIDAS, che stabiliscono i requisiti e le caratteristiche di ciascun tipo di firma..

Quali sono i tipi di firma elettronica?

Il regolamento eIDAS (Electronic Identification, Authentication and Trust Services) identifica 3 diversi livelli di firma:

• Firma Elettronica Semplice (FES): non ha valore legale preminente e il suo valore probatorio è limitato, ma è molto utilizzata, ad esempio consente di identificare chi sottoscrive un documento oppure un’azione come l’accesso a un sito o a un servizio web;
• Firma Elettronica Avanzata (FEA): è una firma più forte della FES, che può assumere la stessa validità giuridica della firma autografa per alcuni tipi di contratti e di scritture private;
• Firma Elettronica Qualificata (FEQ): altrimenti nota come firma digitale, permette a cittadini e imprese di firmare contratti e scritture con piena validità legale.

All’interno delle tre tipologie di firma elettronica ricadono molteplici forme di autenticazione informatica: il codice PIN che si inserisce per il pagamento con le carte è già una firma elettronica, come lo è la scansione di una firma autografa su carta. Rientrano tecnicamente tra le sottoscrizioni elettroniche anche l’inserimento di username e password all’accesso di un sito e l’autenticazione tramite password usa e getta, o OTP (one time password).

Firma Elettronica Semplice (FES): la forma più accessibile e diffusa di firma elettronica

La Firma Elettronica Semplice (FES o QES) rappresenta la tipologia più basilare e diffusa di firma elettronica. La normativa la definisce come "dati in forma elettronica, allegati o connessi tramite associazione logica ad altri dati elettronici, utilizzati dal firmatario per apporre la propria firma".

Il Regolamento eIDAS stabilisce un principio chiave: una firma elettronica non può essere esclusa da efficacia giuridica solo perché è digitale. Inoltre, l’art. 20, comma 1-bis del Codice dell’Amministrazione Digitale (CAD) prevede che il valore probatorio e l’idoneità del documento informatico a soddisfare la forma scritta siano liberamente valutati in giudizio, tenendo conto delle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma utilizzata. Ciò significa che anche la FES gode di riconoscimento legale, sebbene con alcune limitazioni; in particolare, spetta a chi la utilizza dimostrarne l’affidabilità.

Per aumentare la sicurezza e il valore legale della FES, è possibile integrare il processo con sistemi di autenticazione aggiuntive, come la doppia autenticazione, dove un codice inviato via SMS o email è necessario per completare la firma.

Un ulteriore elemento che ne rafforza la credibilità è la creazione e conservazione di un audit trail, ovvero un registro completo che raccoglie tutte le informazioni rilevanti per la validità della firma — come dati del mittente e del firmatario, indirizzi IP, metodi di autenticazione e documenti firmati. Questo registro funziona come una garanzia in caso di contenziosi, permettendo di ricostruire con precisione la sequenza del processo di firma elettronica.

Casi di utilizzo della Firma Elettronica Semplice

La firma elettronica semplice (FES) può essere utilizzata quando non ci sono obblighi di legge che richiedono un livello più alto di firma (avanzata o digitale) come ad esempio nei seguenti casi:

• Consegne a domicilio: firma sul palmare del corriere per confermare la ricezione.
• Accettazione di informative: privacy, trattamento dati, condizioni d’uso di un servizio online.
• Iscrizioni a corsi o eventi dove è sufficiente il consenso dell’utente.
• Documenti commerciali: Preventivi, ordini, conferme d'ordine, e documenti di trasporto (DDT).
• Ordini e conferme interne in azienda: richieste ferie, approvazione di note spese, conferma di attività.

Firma Elettronica Avanzata (FEA): cos’è e quando si usa

La Firma Elettronica Avanzata (FEA o AdES) è la seconda tipologia di firma elettronica in ordine di complessità e sicurezza, e consente di sottoscrivere documenti con validità legale. A differenza della firma elettronica semplice, la FEA è collegata in modo univoco al firmatario, permettendone l’identificazione certa.

Un'altro elemento che caratterizza questa tipologia di firma è il fatto di essere collegata al documento in modo tale che qualsiasi modifica successiva dei dati sia rilevabile. Per essere tale, una FEA deve quindi garantire:

• l'identificazione certa del firmatario;
• la connessione univoca tra firma, firmatario e documento;/li>
• il controllo esclusivo del firmatario sul sistema di generazione della firma, quale che esso sia;
• la possibilità del firmatario di controllare eventuali successive modifiche al documento;
• l’individuazione dell’azienda che rilascia il certificato, o ente certificatore.

Esempi di FEA includono l’la firma grafometrica, l’uso dell’impronta digitale, il riconoscimento del viso o dell’iride. Nei rapporti verso la Pubblica Amministrazione, vengono considerate FEA anche le firme apposte con CIE, CNS, Tessera Sanitaria, Passaporto elettronico e SPID. Ciò non significa però che tali strumenti possano essere equiparati ad una Firma Elettronica Avanzata: essendo infatti considerati tali soltanto entro i confini nazionali, non rispondono alle direttive del Regolamento Europeo eIDAS (electronic IDentification Authentication and Signature).

Casi di utilizzo della Firma Elettronica Avanzata

La firma elettronica avanzata può essere utilizzata ad esempio nei seguenti casi:

• Settore immobiliare: atto di compravendita di beni immobili
• Servizi bancari: apertura conto, contratti bancari
• Ambito assicurativo: assicurazioni vita, infortuni, invalidità professionale, RC Auto

Firma Elettronica Qualificata (FEQ): la firma con il massimo livello di sicurezza

La Firma Elettronica Qualificata (FEQ o QES) rappresenta il massimo livello di sicurezza previsto dalla normativa europea e italiana per una firma elettronica. Si basa sull’uso di certificazione crittografica, vincoli giuridici ben definiti e ha pieno legale, equivalente ad una firma autografa.

Secondo il Regolamento eIDAS, la Firma Elettronica Qualificata è una firma elettronica avanzata che soddisfa requisiti aggiuntivi specifici:

• È creata da un dispositivo qualificato per la creazione di firme elettroniche
• Si basa su un certificato qualificato per firme elettroniche
• È rilasciata da un prestatore di servizi fiduciari qualificato (QTSP)
• Garantisce autenticità (identifica il firmatario in modo certo), integrità (il documento non può essere modificato dopo la firma) e non ripudio (il firmatario non può negare di aver firmato).

Il CAD definisce la FEQ come una firma “basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o un insieme di documenti informatici”. 

Il suo valore legale è equivalente a quello di una firma autografa ed legalmente riconosciuta in tutti gli Stati Membri dell'Unione Europea.

In Italia, una tra le tipologie più diffuse di firma elettronica qualificata è la firma digitale, che si utilizza tramite dispositivi fisici come smart card, token USB o dispositivi con display dedicati. Un’altra tipologia molto rilevante è la firma remota, che costituisce circa il 60% delle firme elettroniche qualificate nel Paese. Questa soluzione si basa sull’uso di un HSM (Hardware Security Module) in Cloud e permette di utilizzare i certificati qualificati da remoto, garantendo l’autenticazione del firmatario tramite un sistema a due fattori.

Negli ultimi anni, ha guadagnato popolarità anche la cosiddetta FEQ «disposable» o «one-shot». In questo caso, il firmatario accede alla piattaforma solo per sottoscrivere uno o più documenti in modo limitato nel tempo, senza necessità di possedere uno strumento di firma permanente. L’archiviazione dei documenti firmati avviene in modalità digitale, offrendo così una soluzione pratica per chi non firma abitualmente. Le procedure di onboarding sono particolarmente snelle e rapide se l’utente dispone di credenziali SPID o della Carta d’Identità Elettronica, riducendo al minimo i tempi e gli adempimenti per l’identificazione iniziale.

Casi di utilizzo della Firma Elettronica Qualificata

La firma elettronica qualificata è utilizzata nei casi in cui sia necessario un livello elevato di sicurezza e una piena validità legale, equivalente a quella di una firma autografa. In particolare, è richiesta per:

• Contratti bancari e finanziari
• Contratti commerciali importanti, come contratti di lavoro, contratti aziendali e contratti di consulenza.
• Atti legali e ufficiali che richiedono certezza sull’identità del firmatario e sull’integrità del documento.
• Documenti fiscali e civilistici che necessitano di pieno valore probatorio.
• Rapporti con la Pubblica Amministrazione ad esempio gare pubbliche di importo rilevante.
• Comunicazioni ufficiali verso enti pubblici, Dichiarazioni fiscali complesse, Concessioni e autorizzazioni
• Qualsiasi situazione in cui è fondamentale garantire autenticità, integrità e non ripudio del documento firmato.

 

Tipologia	Valore legale	Livello di sicurezza	Esempi e casi d’uso
Firma Elettronica Semplice (FES)	Valore probatorio limitato, soggetto a valutazione del giudice.	Basso – può essere rafforzata con autenticazione a due fattori o audit trail.	- Firma alla consegna di pacchi - Accettazione informative online (privacy, condizioni d’uso) - Ordini e conferme interne in azienda
Firma Elettronica Avanzata (FEA)	Può avere lo stesso valore della firma autografa per alcuni contratti.	Medio – connessione univoca tra firma, firmatario e documento; rileva modifiche successive.	- Contratti bancari e assicurativi - Settore immobiliare (atti di compravendita) - Accesso a servizi con SPID, CIE, CNS (nei rapporti con la PA)
Firma Elettronica Qualificata (FEQ) (Firma digitale)	Pieno valore legale, equivalente alla firma autografa in tutta l’UE.	Alto – basata su certificato qualificato e dispositivo sicuro (smart card, token, HSM, firma remota).	- Contratti commerciali e di lavoro - Atti legali e fiscali ufficiali - Gare pubbliche e rapporti con la Pubblica Amministrazione

Su Openapi.it è possibile richiedere tutte le tipologie di firma elettronica semplice, avanzata, qualificata e massiva, direttamente via API.