LE FIRME ELETTRONICHE AVANZATE E QUALIFICATE
17
LE FIRME ELETTRONICHE AVANZATE E QUALIFICATE: DALLA NORMATIVA ALL’OPERATIVITÀ Versione 03 - aprile 2020
Transcript of LE FIRME ELETTRONICHE AVANZATE E QUALIFICATE
LE FIRME ELETTRONICHE AVANZATE E QUALIFICATE:
DALLA NORMATIVA ALL’OPERATIVITÀ
Vers
ione
03
- apr
ile 2
020
Oggi la maggior parte dei documenti e dati nascono in formato digitale e vengono trasmessi, ricevuti e condivisi tramite canali elettronici.
Ma cosa succede quando devono essere firmati?
Il paradosso è che, molto spesso, documenti che nascono in digitale vengono stampati per poi essere ritrasformati nuovamente in file, solo perché necessitano di una firma.
Non solo: il tempo speso per ottenere firme autografe e sigle di approvazione su carta è in diversi ambiti incalcolabile, per non parlare della relativa gestione della carta.
In questa guida illustriamo le diverse tipologie di firma elettronica, l’ambito di applicazione e il suo prezioso contributo all’efficienza e lo sviluppo del business, in particolare degli studi professionali e commerciali.
L’usabilità e la semplicità di utilizzo da una parte e la sicurezza e l’efficacia probatoriadall’altra rendono le firme elettroniche avanzate e qualificate la chiave di volta per leimprese e i professionisti nell’attuale scenario di trasformazione digitale.
3
3
01. Firma elettronica: i benefici di una sottoscrizione innovativa
02. La firma elettronica avanzata (FEA)
03. La firma elettronica qualificata (FEQ) e firma digitale
04 La conservazione dei documenti informatici sottoscritti
05. La soluzione di firma TeamSystem Digital Signature
Sommario
4
4
Spesso - e anche sbagliando - crediamo che la firma digitale sia quella associata ai dispositivi di firma basati su smart card o su chiavetta (token) usb, da connettere al computer e utilizzare dopo aver inserito il proprio PIN.
Questa procedura costringe chi deve firmare a portarsi dietro il dispositivo di firma, con tutti i rischi connessi di perdita, furto o danno.
In molti contesti, inoltre, è diffusa anche la cattiva abitudine di lasciare in uso la propria firmadigitale con il PIN al commercialista, alla segretaria, al proprio fiduciario senza sapere che lanormativa di riferimento obbliga il titolare di firma a mantenere il controllo esclusivo sulla propria firma e a dover dare prova contraria in caso di utilizzo non corretto o fraudolento da parte di terzi o in caso di furto.
Esistono per fortuna soluzioni di firma elettronica molto sicure e robuste da un punto di vista legale, utilizzabili dal firmatario anche in modalità web e automatica.
Inoltre, si stanno diffondendo sempre più soluzioni di firma grafometrica ossia firme elettronichebasate sull’apposizione della firma con una specifica penna su tavolette grafometriche, chericordano molto la firma autografa tradizionale (Un esempio classico è quello della firma richiesta in banca o in posta)
Firma elettronica: i benefici di una sottoscrizione innovativa
01.
5
5
La piena validità giuridica ed efficacia probatoria di un documento informatico, ai sensi dell’art. 2702 del Codice Civile, sono garantiti dall’apposizione di:• Firma elettronica avanzata (FEA)• Firma elettronica qualificata (FEQ), quest’ultima nota in Italia come firma digitale.
Ai sensi dell'articolo 21 del d.lgs. 82/2005, la sottoscrizione delle scritture private di cui all'articolo 1350 del Codice Civile deve avvenire, a pena di nullità, con firma elettronica qualificata. Oltre ai casi previsti dall'articolo 1350 C.C. è comunque utile ricordare che il ricorso alla firma elettronica qualificata è sempre necessario negli ulteriori casi specificamente individuati dalla normativa.
Per garantire i livelli più elevati in termini di sicurezza e conformità alla normativa vigente, sia i processi di cifratura/autenticazione in ambito FEA non devono essere obbligatoriamente gestiti dalle CA. presso l’Agenzia per l’Italia Digitale.
I certificatori devono:- soddisfare stringenti requisiti di onorabilità, tecnologici e organizzativi definiti dalla normativa comunitaria ed italiana- dare ad utenti e terzi garanzie assicurative - mantenere nel tempo certificazioni di sicurezza, qualità ed affidabilità.
IL VALORE GIURIDICO E PROBATORIO DELLE FIRME
6
6
La Firma Elettronica Avanzata (FEA) deve soddisfare i requisiti disposti dalle regole tecniche di cui al titolo V del DPCM 22 febbraio 2013:
a) l’identificazione certa del firmatario del documento;b) la connessione univoca della firma al firmatario;c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i datibiometrici o telefonici eventualmente utilizzati per la generazione della firma;d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifichedopo l’apposizione della firma;e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;f) l’individuazione del soggetto che ha erogato la soluzione di firma elettronica avanzata;g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti,fatti o dati nello stesso rappresentati.
In sostanza, chi eroga una soluzione di firma elettronica avanzata ha l’obbligo di identificare in modo certo l’utilizzatore di questo tipo di firma, tramite un valido documento di riconoscimento e deve far aderire il firmatario alla soluzione, indicandogli le condizioni di utilizzo e le caratteristiche tecniche.
Il modulo di adesione e la copia del valido documento di identità del firmatario devono essere conservati digitalmente a norma per almeno venti anni.
Il soggetto erogatore (fornitore della soluzione di firma) deve avere anche una idonea copertura assicurativa per la responsabilità civile, al fine di proteggere i firmatari della soluzione di FEA, e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche. Il numero e il riferimento della polizza vanno indicati nelle condizioni generali di utilizzo della soluzione FEA riportati nell’adesione.
La firma elettronica avanzata (FEA)
02.
7
7
La prima tipologia di firma elettronica avanzata è la FEA REMOTA.Per utilizzarla è necessario un numero di cellulare riferito ad una SIM card di cui il firmatario dichiara di avere piena ed esclusiva disponibilità.Questa soluzione è adatta alla sottoscrizione in mobilità ed è semplice e rapida nella modalità d’uso.
In sostanza, la FEA remota prevede che il firmatario acceda al servizio web di firma su computer, tablet o smartphone. Una volta che il firmatario preme il bottone per avviare la procedura di firma, la soluzione genera una password dinamica (One Time Password), valida solo per il tempo strettamente necessario ad apporre la firma, e che il titolare della firma riceve sul suo cellulare.
La combinazione di due fattori – una password usa e getta e la Sim Card del cellulare - e due canali di trasmissione - la rete web e la rete delle telecomunicazioni per il cellulare - garantiscono un elevato livello di sicurezza.
Naturalmente è possibile apporre firme multiple all'interno del medesimo documento.
A sigillo del documento deve essere poi apposta, automaticamente, una firma digitale delsoggetto erogatore al fine di assicurare al documento informatico l’integrità nel tempo.
I dati per l’identificazione certa del firmatario e della riconducibilità a quest’ultimo dellasottoscrizione con FEA Remota sono verificabili per eventuali accertamenti nei rari casiprevisti dalla vigente normativa, ad esempio, nell’ipotesi di contestazione dell’autenticità odisconoscimento della sottoscrizione apposta sul documento, previa autorizzazione o richiestadell’Autorità Giudiziaria. Il processo di decodifica avviene nel rispetto di rigorose misure di sicurezza; nel corso dell’intero processo la chiave privata viene mantenuta segreta per non invalidare eventuali altri documenti con la stessa firmati.
LA FEA REMOTA
8
8
ESEMPIO DI SOTTOSCRIZIONE DA REMOTO DI CONTRATTI DI FORNITURA.La soluzione di FEA remota permette a professionisti e aziende di far sottoscrivere la documentazione ai propri clienti/collaboratori senza che questi debbano presentarsi di persona. La FEA può essere utilizzata per la sottoscrizione di documenti quali: preventivi, offerte, informative privacy, dichiarazioni dei redditi, contratti ecc.
Chiama con il numero abilitatoil seguente numero.800161171Durante la chiamata segui le istruzionie digita il seguente codice otp0051
In attesa della chiamata...
Annulla
9
9
La seconda tipologia di firma elettronica avanzata è la FEA GRAFOMETRICA, adatta in tutti i casi dove esiste uno sportelo, un front office, un ricevimento fisico del cliente (il caso classico della banca o della posta, come detto in precedenza).
E’ simile alla firma autografa solo che la firma viene posta mediante una speciale penna elettronica su una tavoletta grafica, la signature pad, che acquisisce i dati grafometrici, ottenuti tramite rilevazione e misurazione di alcuni parametri specifici per ogni persona (ritmo, pressione, velocità, accelerazione e movimento).
Tali dati sono memorizzati in forma cifrata, quindi non accessibili, non estraibili e nonconsultabili, all’interno del documento informatico, garantendo elevati livelli di sicurezza.
Anche in questo caso sono possibili firme multiple in più campi firma del medesimo documento.
A sigillo del documento viene poi apposta automaticamente una firma digitale del soggettoerogatore al fine di assicurare al documento informatico l’integrità nel tempo.
Anche in questa tipologia di FEA i dati per l’identificazione certa del firmatario e della riconducibilità a quest’ultimo della sottoscrizione con FEA Grafometrica sono verificabili pereventuali accertamenti nei rari casi previsti dalla vigente normativa.
LA FEA GRAFOMETICA
10
10
ESEMPIO DI SOTTOSCRIZIONE CONSENSO PRIVACY ALL'INGRESSO DI UNA SEDE.La soluzione di FEA grafometrica permette a professionisti e aziende di gestire in modo totalmente digitale la fase di sottoscrizione in presenza. La FEA può essere utilizzata per la sottoscrizione di documenti quali: preventivi, offerte, informative privacy, dichiarazioni dei redditi, contratti ecc.
11
11
La firma elettronica qualificata (FEQ) e firma digitale
03.
La firma elettronica qualificata, diffusa e nota in Italia come firma digitale, è basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro ed attribuite ad un unico soggetto, la cui identità è stata verificata dal certificatore accreditato ed è sempre verificabile.(al fine di garantire l’autenticità, l’integrità ed il non ripudio dei documenti informatici con essa sottoscritti).
Il titolare della firma ha l’obbligo di mantenere in modo esclusivo la conoscenza o la disponibilità di almeno uno dei dati per la creazione della firma FEQ
La firma elettronica qualificata apposta su un documento informatico e quindi l’identità del firmatario e la validità del certificato possono essere verificate in modo semplice e rapido attraverso tantissime soluzioni software di verifica, gratuite e diffuse in Italia.
Le modalità di FEQ più efficaci e già molto usate in Italia sono: - la firma elettronica qualificata remota (FEQ Remota) - la firma elettronica qualificata automatica (FEQ Automatica).
12
12
La firma elettronica qualificata remota (FEQ remota) è una particolare procedura che prevede l’utilizzo del telefono cellulare del firmatario come dispositivo personale in grado di sbloccare la propria chiave privata per l’apposizione della firma digitale.
In pratica, il firmatario accede al servizio di firma in modalità remota web, a quel punto il singolodocumento informatico da firmare gli è presentato chiaramente e senza ambiguità.
La conferma della volontà di apporre la propria firma viene espressa dal firmatario attraversol’inserimento di una password usa e getta ricevuta mediante il cellulare nonchè digitando il PINdi firma associato al certificato qualificato.
La soluzione di FEQ remota permette a professionisti e aziende di far sottoscrivere la documentazione a clienti/collaboratori attraverso il proprio cellulare, dunque senza dover ricorrere alla classica business key/smart card. Dal punto di vista di valore legale, il ricorso a strumenti di firma qualificata remota non ha impatti di alcun tipo rispetto all'uso della più tradizionale smart card/ business key. Con la FEQ Remota si possono sottoscrivere tantissime tipologie documentali, ad esempio: contratti, preventivi, offerte, lettere di incarico, bilanci societari, dichiarazioni dei redditi ecc.
LA FIRMA ELETTRONICA QUALIFICATA REMOTA
13
13
La firma elettronica qualificata massiva/automatica è una particolare procedura dove non è richiesto che i documenti informatici siano presentati uno per uno al firmatario per l’apposizione della firma. La sessione di firma può riguardare più documenti informatici, senza doverli controllare singolarmente. Per questo motivo si parla di firma automatica e massiva.
ESEMPIO DI CONTROFIRMA AUTOMATICA DI ORDINI, RDA, RDO ECC. La FEQ Automatica trova applicazione all'interno di quelle realtà, aziende o studi professionali, nelle quali è necessario sottoscrivere/controfirmare in maniera automatica e veloce un gran numero di documenti. Ad esempio la FEQ Automatica trova applicazione nella sottoscrizione di fatture, ddt, libri e registri, registrazioni informatiche, dichiarazioni dei redditi ecc.
LA FIRMA ELETTRONICA QUALIFICATA MASSIVA O AUTOMATICA
14
14
Un documento informatico sottoscritto con una firma elettronica avanzata o qualificata dovrebbe essere conservato a norma, al fine di mantenere i requisiti di validità per tutto il periodo di conservazione e per garantire, con una data certa, la validità alle firme elettroniche apposte ed eventualmente scadute, revocate o sospese.
Implementare un sistema di conservazione a norma permette di non stampare mai il documento informatico, di eliminare i costi e ridurre i tempi per il trattamento, la ricerca e la consultazione dei documenti cartacei.
Conservazione dei documenti informatici sottoscritti
04.
15
15
TeamSystem Digital Signature permette di gestire tutti i tipi di firma elettronica direttamente dal proprio applicativo ed utilizzando anche i propri strumenti (es. il proprio cellulare).L’utente potrà governare semplicemente il processo di firma senza preoccuparsi di stampare efascicolare alcun documento e grazie ad una dashboard semplice ed intuitiva potrà monitorarelo stato di firma di tutti i documenti in funzione anche delle scadenze fiscali degli stessi edeventualmente facilmente sollecitarli.Non sarà più necessario stampare i documenti in quanto questi, una volta sottoscritti, saranno inviati automaticamente in conservazione sostitutiva.Su TeamSystem Digital Signature, inoltre, è possibile richiedere certificati di firma qualificata in maniera semplice e sicura attraverso una procedura guidata che consente al richiedente di ottenere, in sostituzione della classica business key/smart card, il certificato qualificato di firma remota.
La soluzione TeamSystemDigital Signature
05.
16
16
FEA GRAFOMETRICA
FEQ REMOTA
Garanzia di forma scritta e piena efficacia probatoria ai sensi dell’art. 2702 del codice civile. È utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il soggetto erogatore (es, professionista o azienda) e il firmatario.Non può essere utilizzata per le scritture private che hanno ad oggetto beni immobili ex art. 1350, primo comma, numeri da 1 a 12, del codice civile.
Garanzia di forma scritta e piena efficacia probatoria ai sensi dell’art. 2702 del codice civile. Non ha alcuna limitazione e può essere utilizzata anche per le scritture private che hanno per oggetto beni immobili.
È una modalità di firma elettronica avanzata molto utile in tutti quei contesti dove c’è un front office, si basa sull’apposizione della firma autografa mediante una penna elettronica su uno specifico signature pad (tablet, pad, smartphone) che acquisisce i dati biometrici della firma. I dati della sottoscrizione grafometrica del firmatario sono incapsulati in forma cifrata dentro il documento PDF e la chiave di cifratura è depositata e custodita presso un certificatore accreditato.
È una modalità di firma elettronica qualificata (firma digitale) utilizzabile da remoto ed in mobilità per questo è una soluzione usabile e semplice, sfrutta il cellulare come un token personale per permettere al firmatario di manifestare la volontà di firmare.Il singolo documento informatico da firmare è presentato chiaramente e senza ambiguità al firmatario.
FEQAUTOMATICA
Garanzia di forma scritta e piena efficacia probatoria ai sensi dell’art. 2702 del codice civile.
È una modalità di firma elettronica qualificata (digitale) che richiede un consenso iniziale e non necessita di controllo puntuale e continuo controllo da parte del firmatario. Attraverso una procedura di FEQ automatica è possibile sottoscrivere in maniera massiva più documenti all'interno della medesima sessione di firma.
TIPOLOGIADI FIRMA
FEA REMOTA
VALORE GIURIDICO EDEFFICACIA PROBATORIA
Garanzia di forma scritta e piena efficacia probatoria ai sensi dell’art. 2702 del codice civile. È utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il soggetto erogatore (es, professionista o azienda) e il firmatario. Non può essere utilizzata per le scritture private che hanno ad oggetto beni immobili ex art. 1350, primo comma, numeri da 1 a 12, del codice civile.
CARATTERISTICHE PRINCIPALI
È una modalità di firma elettronica avanzata utilizzabile da remoto ed in mobilità, per questo è una soluzione usabile e semplice, che sfrutta il cellulare come un token personale per permettere al firmatario di manifestare la volontà di firmare il documento informatico. I dati della sottoscrizione remota del firmatario sono incapsulati in maniera cifrata dentro il documento PDF e la chiave di cifratura è depositata e custodita da un certificatore accreditato.
17
17
TeamSystem
Via Sandro Pertini, 88 - 61122 Pesaro (PU)
Tel. 0721 42661 - Fax 0721 400502
www.teamsystem.com
Sedi Certificate:Pesaro, Campobasso,
Jesi, Pegognaga,Roma e Torino
Reg. n.8082 A - AUNI EN ISO 9001:2015
