Firma elettronica: che cos'è e a cosa serve, come si ottiene

È uno degli strumenti digitali di cui piccole e medie imprese non possono fare a meno, particolarmente importate nelle comunicazioni ufficiali con la Pubblica Amministrazione o con clienti e fornitori. Si tratta della firma elettronica, strumento per autenticare documenti, che ha lo stesso valore della firma autografa; può rivelarsi utile anche per i privati cittadini, ad esempio per sottoscrivere documenti e atti ufficiali da remoto, richiedere o effettuare pratiche a distanza presso gli uffici della PA (come il cambio di residenza), inviare atti e documenti di vario tipo a Comune e altri enti. Vediamo nel dettaglio come funziona, quanti tipi ne esistono e come fare per ottenerla.

Che cos’è la firma elettronica

Secondo quanto riporta il CAD (Codice dell’Amministrazione Digitale), “La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.”

Per poter assolvere a tale funzione deve rispondere a tre requisiti fondamentali: autenticità (perché assicura l’identità della persona o impresa che firma); integrità (perché garantisce che i documenti non sono stati modificati dopo essere stati firmati); non ripudio (perché assicura che un documento firmato con FEQ (Firma Elettronica Qualificata) non può essere ripudiato da chi lo ha firmato). Si tenga però presente che questi requisiti non possono essere associati a tutti i tipi di firma elettronica, in quanto, come vedremo, ognuna presenta proprie caratteristiche e peculiarità.

Differenti tipologie e livelli di sicurezza

Sono diversi i tipi di firma elettronica e si differenziano sia per grado di sicurezza che per valore legale: Firma Elettronica Semplice, Firma Elettronica Avanzata, Firma Elettronica Qualificata, Firma Digitale.

La Firma Elettronica Semplice (o FES) non prevede alcuna forma di protezione e assume valore legale solo se viene certificata da un giudice, mentre la Firma Ettronica Avanzata (o FEA) e quella Qualificata (o FEQ) hanno un valore legale solo se rispettano determinate condizioni. Lo standard più elevato di sicurezza è garantito dalla Firma Dgitale (FD), che utilizza, per autenticare i documenti, un sistema crittografico asimmetrico (detto anche a chiave pubblica o a coppia di chiavi), che si usa per proteggere file, directory e intere unità da accessi non autorizzati, nonché per scambiare messaggi segreti e garantirne la sicurezza (più in basso ne approfondiamo il meccanismo).

La Firma Digitale è anche la tipologia più indicata per le PMI: viene applicata sui documenti tramite l’utilizzo di un apposito dispositivo e con sistemi di crittografia asimmetrica. Oltre che dalle aziende, la firma digitale può essere utilizzata anche dai liberi professionisti e dai semplici cittadini. In sintesi, la differenza sostanziale fra queste tipologie è che la firma elettronica è un principio giuridico generale, mentre la firma digitale è una variante specifica di firma elettronica, qualificata. La firma digitale è prevista solo in Italia ed è regolamentata dal CAD.

Un’ulteriore opzione è rappresentata poi dal Sigillo Elettronico, per certi aspetti simile alla firma elettronica, ma che viene apposto da una persona giuridica con l’obiettivo di garantire l’origine e l’integrità dei dati ad esso associati. Ne esistono due tipi: Sigillo Elettronico Avanzato e Sigillo Elettronico Qualificato, sostanzialmente simili alle definizioni delle Firme Elettroniche.

Funzione e utilizzo della Firma Digitale

La caratteristica particolare che differenzia la Firma Digitale dalle altre tipologie di firma elettronica sta nell’utilizzo della crittografia: ogni titolare di firma elettronica riceve una coppia di chiavi crittografiche (cioè due numeri binari di lunghezza pari). La chiave crittografica viene installata all’interno di un dispositivo elettronico sicuro, ideato per questo scopo: può essere una smart card oppure un token, dipende dalla scelta dell’azienda. Le due chiavi crittografiche assegnate al titolare della firma digitale sono rispettivamente pubblica e privata.

Tale strumento può essere utilizzato in differenti contesti. Intanto è obbligatorio per alcune categorie professionali, come gli avvocati, che devono utilizzarlo per accedere a specifici servizi ministeriali. Risulta molto utile anche per le aziende, in quanto è obbligatorio per autenticare le fatture elettroniche emesse verso la Pubblica Amministrazione, mentre è facoltativo per contratti tra privati e tra aziende e compravendite. Si può inoltre impiegare per firmare procedimenti giudiziari, atti amministrativi, bilanci aziendali e altri documenti.

FEQ: come si ottiene e costi

La Firma Elettronica Qualificata è contenuta in un Kit per l’identità digitale, comprendente anche il certificato CNS (Carta Nazionale dei Servizi), e si presenta in diversi supporti: una smart card, da utilizzare con l’apposito lettore, o una chiavetta USB, che può includere anche la smart card e tutti i software per la creazione e la gestione della firma digitale. Online se ne trovano diversi tipi e il prezzo varia tra i 20 e gli 80 euro, a seconda che si preferisca utilizzare la smart card o la chiavetta USB. In alcuni casi si può ottenere anche gratis: alcuni ordini professionali e Camere di Commercio, ad esempio, lo rilasciano in fase di iscrizione.

L’acquisto del dispositivo non è però sufficiente per ottenere la firma digitale, che deve essere assegnata da parte di un ente certificatore qualificato, riconosciuto dall’Agenzia per l’Italia Digitale, sul cui sito è possibile trovare la lista di tutti gli enti certificatori attivi. Per i titolari di impresa è anche possibile, come si diceva, chiedere la firma digitale alla propria Camera di Commercio.

Scelto il modello bisogna iscriversi sul sito dell’ente certificatore, inserendo i propri dati personali e un documento d’identità valido, dopodiché è necessario verificare la propria identità. Lo si può fare in vari modi: presso un pubblico ufficiale recandosi in Comune; a domicilio, durante la consegna del Kit per la firma digitale; presso un centro di spedizione o ufficio postale; o ancora, via web tramite webcam, servizio, questo, che però non viene offerto da tutti gli enti.

Da qualche tempo è possibile con alcuni provider ottenere la firma facilmente, se si ha Spid o CIE. Con un accesso fatto in questo modo si soddisfa la necessità di identificazione, prima fatta solo fisicamente o via web cam.

Utilizzo

Ottenuto il kit, a seguito delle più o meno complesse procedure indicate, bisogna provvedere a scaricare driver e software per apporre la firma sui documenti della propria azienda. Normalmente i programmi da utilizzare per inserire la firma sono già presenti nel kit. Quanto all’utilizzo, è relativamente semplice: è sufficiente selezionare l’estensione del documento da autenticare e iniziare l’operazione.

Usa e getta

Sono disponibili anche soluzioni particolari, che potremmo definire “usa e getta”, per chi pensa di non usare la firma più di tre volte l’anno.

La firma usa e getta, con Spid, per avere un certificato di firma utilizzabile una sola volta, costa ad esempio 2,99 euro.