Firma elettronica, avanzata e digitale: differenze e validità legale

Con l’espressione firma elettronica ci si riferisce comunemente a diverse tipologie di identificazione informatica, che vanno dall’inserimento di username e password fino alla firma digitale associata a un dispositivo fisico come un token o una smart card. 

Firma elettronica e firma digitale, in sostanza, non sono affatto sinonimi: la firma elettronica semplice, per esempio, non ha validità legale e può essere usata per autenticarsi in maniera univoca soltanto in alcuni casi. La firma digitale vera e propria, d’altro canto, coincide con una particolare tipologia di firma elettronica, e cioè con i certificati qualificati di firma, o FEQ. Vediamo quindi di fare chiarezza sui diversi tipi di firma elettronica, a partire dalle diverse definizioni riportate nel Codice per l’Amministrazione Digitale, o CAD.

Cos’è la firma Elettronica

Nel linguaggio comune, si tende ad indicare con il termine di firma elettronica qualunque tipo di autenticazione univoca che permette di sottoscrivere, in modalità telematica, documenti e scritture private. 

Secondo la definizione riportata nel CAD, il Codice per l’Amministrazione Digitale, la firma elettronica è “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. L’inserimento di credenziali d’accesso personali, di per sé, è già un esempio di firma elettronica, come anche la sottoscrizione di un documento con la scansione di una firma cartacea.

Per firma digitale, invece, si intende esclusivamente una tipologia di firma elettronica, e cioè la Firma Elettronica Qualificata (FEQ), che ha piena validità legale e che rappresenta la forma di autenticazione più forte in questo senso. 

Quali sono i tipi di firma elettronica?

La differenza tra firma digitale e firma elettronica si può comprendere meglio guardando alle diverse tipologie di firma telematica previste all’interno del Codice dell’Amministrazione Digitale. Esistono tre tipi di firma elettronica: 

• Firma Elettronica Semplice (FES): non ha alcuna validità giuridica, ma consente di identificare chi sottoscrive un documento oppure un’azione come l’accesso a un sito o a un servizio web;
• Firma Elettronica Avanzata (FEA): è una firma più forte della FES, che può assumere la stessa validità giuridica della firma autografa per alcuni tipi di contratti e di scritture private;
• Firma Elettronica Qualificata (FEQ): altrimenti nota come firma digitale, permette a cittadini e imprese di firmare contratti e scritture con piena validità legale.

All’interno delle tre tipologie di firma elettronica ricadono molteplici forme di autenticazione informatica: il codice PIN che si inserisce per il pagamento con le carte è già una firma elettronica, come lo è la scansione di una firma autografa su carta. Rientrano tecnicamente tra le sottoscrizioni elettroniche anche l’inserimento di username e password all’accesso di un sito e l’autenticazione tramite password usa e getta, o OTP (one time password).  

Firma Elettronica Avanzata: cos’è e quando si usa

Tra quelle indicate nel CAD, la Firma Elettronica Semplice è senza dubbio un elemento residuale: riferendosi a qualunque connessione di dati utile per l’autenticazione informatica, non indica infatti una vera e propria firma.

La prima firma elettronica che consente di sottoscrivere documenti con validità legale, tra quelle della lista sopra, è la FEA, Firma Elettronica Avanzata. Viene definita come “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo”, che permetta il controllo sulle successive modifiche dei dati. Sono esempi di FEA l’autenticazione con OTP e la firma su tablet eseguita tramite dispositivi biometrici.

Per essere tale, una FEA deve quindi garantire:

• l’identificazione del firmatario del documento;
• la connessione univoca tra firma, firmatario e documento;
• il controllo esclusivo del firmatario sul sistema di generazione della firma, quale che esso sia;
• la possibilità del firmatario di controllare eventuali successive modifiche al documento;
• l’individuazione dell’azienda che rilascia il certificato, o ente certificatore. 

La FEA può essere utilizzata per firmare con piena validità legale i contratti di cui al comma 13 dell’articolo 1350 del Codice Civile, per esempio i contratti preliminari e gli atti di costituzione di associazioni e fondazioni. Non può essere invece utilizzata per la sottoscrizione dei contratti di affitto e compravendita di beni immobiliari, che richiedono maggiori tutele.

Solo ed esclusivamente nei rapporti verso la Pubblica Amministrazione, vengono considerate FEA anche le firme apposte con CIE, CNS, Tessera Sanitaria, Passaporto elettronico e SPID. Ciò non significa però che tali strumenti possano essere equiparati ad una Firma Elettronica Avanzata: essendo infatti considerati tali soltanto entro i confini nazionali, non rispondono alle direttive del Regolamento Europeo eIDAS (electronic IDentification Authentication and Signature).

Firma Elettronica Qualificata: l’unica vera firma digitale

A livello nazionale, l’unica firma digitale ammessa come tale è la Firma Elettronica Qualificata, o FEQ. Si tratta di una tipologia di firma che, a differenza delle altre, viene apposta utilizzando un dispositivo sicuro, come un token o una smart card, oppure tramite l’uso di app certificate.

Viene definita nel CAD come un particolare tipo di firma “basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o un insieme di documenti informatici”. 

Rientra tra le firme digitali la firma elettronica remota tramite OTP, quando la password usa e getta venga generata da una chiavetta fisica o da un’app rilasciata da un ente certificatore riconosciuto dall’AgID. Tra gli oltre 27 milioni di certificati di firma qualificati attivi oggi in Italia, circa il 60% del totale è costituito da firme digitali remote.

La firma digitale è lo strumento che permette a cittadini e imprese di firmare documenti con piena validità legale, ed è il risultato di un procedimento che garantisce, secondo le Linee Guida dell’AgID, autenticità, integrità e non ripudio dei documenti sottoscritti. È l’unica firma telematica che soddisfa i requisiti indicati nell’articolo 2702 del Codice Civile, al netto delle eccezioni indicate sopra, e quindi - almeno secondo l’ordinamento italiano - l’unica pienamente equivalente ad una autografa.