Introdotto dal Regolamento comunitario eIDAS, il sigillo elettronico permette di certificare l’origine e il contenuto dei documenti. È assimilabile alla firma elettronica, ma anziché individuare una persona fisica si riferisce a un soggetto giuridico. 

Vediamo nel dettaglio cos’è il sigillo elettronico, come funziona e quando utilizzarlo, a partire dalle definizioni fornite dal Regolamento eIDAS, che regola gli strumenti connessi all’identità digitale e alle transazioni elettroniche in Europa.

Regolamento eIDAS: cos’è?

Il sigillo elettronico è stato introdotto dal Regolamento eIDAS (electronic identification and trust services for electronic transactions in the internal market), che fornisce la base normativa comunitaria per quanto riguarda gli strumenti di identificazione elettronica negli Stati membri dell’UE.

Emanato nel luglio 2014 ed entrato in vigore nel 2016, il Regolamento eIDAS costituisce il quadro giuridico per le firme elettroniche, i documenti elettronici, i servizi di posta certificata e tutto quello che concerne l’identità digitale dei cittadini europei.

Il Regolamento eIDAS introduce, tra le altre cose, le firme e i sigilli elettronici, di cui fornisce le definizioni e le specifiche tecniche. Stabilisce altresì la validità legale di questi strumenti, che sono riconosciuti in tutti gli Stati membri dell’UE.

Cos’è il sigillo elettronico? 

Le definizioni relative ai sigilli elettronici si trovano all’articolo 3 dell’eIDAS. Qui si legge che il sigillo elettronico coincide con i “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”. 

Se si tratta di una definizione molto simile a quella di firma elettronica, è perché il sigillo elettronico è praticamente l’equivalente di una firma - solo che si riferisce a una persona giuridica piuttosto che a una persona fisica.

Mentre dalla firma digitale è possibile individuare con certezza un soggetto fisico (e quindi a nome, cognome e codice fiscale di una persona), il sigillo permette di risalire a una persona giuridica, ovvero a denominazione, partita IVA e codice fiscale. 

Come avviene per la firma, i sigilli possono avere diversi gradi di sicurezza, a cui corrispondono diversi livelli di validità legale. Il sigillo elettronico avanzato, come vedremo più avanti, corrisponde alla firma elettronica avanzata, mentre il sigillo elettronico qualificato è definito come “un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici”, ovvero rilasciato da un prestatore di servizi fiduciari qualificato. Esattamente come avviene per la firma elettronica qualificata.

La differenza tra sigillo elettronico avanzato e qualificato

In base al regolamento eIDAS, il sigillo elettronico avanzato (AdESeal) deve rispettare quattro requisiti:

• è connesso unicamente al creatore del sigillo;
• è idoneo a identificare in maniera inequivocabile il creatore del sigillo;
• è creato utilizzando dati che il creatore del sigillo può controllare con un certo grado di sicurezza;
• è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica dei dati.

Come la firma elettronica avanzata, il sigillo avanzato può essere ammesso come prova nei procedimenti giudiziari, ma il suo effetto giuridico viene stabilito di volta in volta dal giudice. Il sigillo elettronico qualificato (QeSeal), al contrario, ha la stessa validità legale di una firma autografa. 

Il sigillo elettronico apposto da una persona giuridica garantisce che il documento è associato al soggetto che l’ha “sigillato” e lo individua in maniera univoca, ma soltanto il sigillo qualificato gode della presunzione di integrità dei dati e della correttezza della loro origine. Il sigillo elettronico qualificato, infatti, viene creato utilizzando un dispositivo dotato di un certificato qualificato rilasciato da un prestatore di servizi fiduciari accreditato presso l’AgID.

In base alla normativa eIDAS, il sigillo elettronico qualificato è riconosciuto in tutti gli Stati membri dell’UE: come si legge all’art. 35, “un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo elettronico qualificato in tutti gli altri Stati membri”.

Firma digitale e sigillo qualificato sono la stessa cosa?

Nonostante il sigillo elettronico sia l’equivalente della firma digitale destinato ai soggetti giuridici, esiste una differenza sostanziale tra la sottoscrizione di un documento da parte di una persona fisica e la “firma” apposta da un’azienda su fatture e documenti.

Per comprenderla bisogna fare riferimento alla teoria giuridica classica, che riconosce alla sottoscrizione autografa tre funzioni principali, e cioé:

• funzione indicativa: individua il soggetto che appone il sigillo e lo distingue dagli altri soggetti giuridici;
• funzione probatoria: dimostra la provenienza del documento informatico e la correttezza dei dati a cui il sigillo è associato;
• funzione dichiarativa: implica l’assunzione della paternità del documento da parte del soggetto che appone il sigillo.

In realtà, mentre è certo che il sigillo qualificato svolga funzione indicativa e probatoria, quanto all’assunzione di paternità l’eIDAS non fornisce indicazioni esplicite. La funzione dichiarativa, infatti, “è strettamente connessa alla sussistenza della capacità d’agire in capo alla persona giuridica”, un aspetto che viene regolato tramite le norme nazionali dei singoli Paesi.

Se quindi ci chiediamo quale funzione svolge il sigillo elettronico oltre a quella indicativa, la risposta sarà: il sigillo ha anche funzione probatoria, ovvero costituisce una prova della correttezza dell’origine dei dati ai quali il sigillo è associato, ma non ha necessariamente la funzione dichiarativa della firma in quanto non corrisponde a una persona fisica.

D’altro canto, i prestatori di servizi fiduciari sono tenuti a identificare una persona fisica associata al certificato del soggetto giuridico, quindi si può dire che firma digitale e sigillo qualificato siano strumenti equivalenti. Anche se lo scopo dei sigilli non è sottoscrivere documenti, ma assicurare la loro integrità e l’origine dei dati, l’AgID (l’organo di vigilanza e controllo sull’attuazione delle norme del Codice dell'Amministrazione Digitale) definisce il sigillo come “sostanzialmente equivalente a una firma elettronica qualificata”. E infatti nel CAD non si fa mai esplicito riferimento ai sigilli, che vengono sempre citati in associazione alla FEQ.

Quando usare il sigillo elettronico

Come spiega l’AgID, “mentre da una firma siamo in grado di individuare con certezza un soggetto attraverso il suo nome, cognome, codice fiscale ecc., da un sigillo possiamo risalire con certezza ad una persona giuridica attraverso la sua denominazione, partita IVA o codice fiscale, ma non abbiamo alcun riferimento alla persona fisica che ha materialmente utilizzato le credenziali per generare tale sigillo”.

Perciò, quando si ha a che fare con contratti, deleghe e altri documenti che richiedono la sottoscrizione digitale lo strumento più adatto è la firma elettronica qualificata del legale rappresentante dell’azienda. Il sigillo, invece, è la soluzione ideale per documenti standardizzati o automatizzati come fatture elettroniche, cartelle cliniche e dichiarazioni fiscali. 

Il sigillo elettronico garantisce l’origine e la correttezza dei dati, proteggendo i documenti da rischi come la falsificazione e l’alterazione. Può quindi essere utilizzato per sottoscrivere e tutelare diversi tipi di documenti, tra cui:

• fatture elettroniche e ricevute via PEC;
• visure camerali;
• dichiarazioni fiscali;
• opere artistiche;
• documenti aziendali (preventivi, progetti, etc.);
• cartelle cliniche e referti;
• contratti digitali;
• certificati e diplomi;
• documenti di trasporto.

Essendo i sigilli applicabili anche in assenza di un “presidio puntuale e continuo” da parte di chi li appone, è possibile automatizzare il processo di sottoscrizione tramite API: la soluzione ideale per tutti coloro che devono certificare un gran numero di documenti.

Il servizio Sigillo Elettronico Qualificato Automatico di OpenAPI permette di apporre sigilli qualificati in maniera automatica, firmando grandi volumi di documenti direttamente dai propri gestionali, software e siti web.