Firma elettronica: cos’è e come funziona

La firma elettronica è uno strumento informatico dal valore giuridico che permette di attestare l’identità dell’utente che sottoscrive un documento digitale. A seconda della categoria utilizzata, la firma elettronica può arrivare ad avere lo stesso valore legale di una firma autografa.

In Italia sono in vigore due normative che disciplinano le tipologie di firma elettronica e digitale e la loro validità:

• Il Codice dell’amministrazione digitale (Decreto Legislativo 7 marzo 2005, n. 82, anche noto come CAD) definisce l’efficacia giuridica a livello nazionale delle diverse tipologie di firma elettronica o digitale.

• Il Regolamento UE n° 910/2014 (eIDAS) costituisce una base normativa valida in tutta l’Unione Europea, che sancisce la piena efficacia giuridica della firma elettronica qualificata (FEQ).

Lo strumento informatico della firma elettronica o digitale si basa su tre concetti principali:

1. Autenticazione: il processo che permette a un sistema informatico di confermare l’identità di un utente. Si basa su metodi crittografici, in particolare sulla crittografia asimmetrica, che prevede la presenza di una coppia di chiavi: una privata e una pubblica.

2. Integrità: questo termine indica la protezione del contenuto da eventuali modifiche successive all’apposizione della firma. L’integrità di una firma elettronica è garantita sempre da metodi crittografici.

3. Non ripudio: secondo il principio del non ripudio, l’autenticità di una firma non può essere messa in discussione né negata dal firmatario.

Esistono tre tipologie di firma elettronica disciplinate dal Codice dell’amministrazione digitale. Di seguito te le illustreremo nel dettaglio.

È la tipologia più semplice e con minore affidabilità. I suoi effetti giuridici non sono definiti dalla normativa eIDAS, ma solo dal CAD, e la sua eventuale efficacia probatoria andrà valutata da un giudice.

La FES consente di esprimere la propria volontà in ambito informato tramite un collegamento logico tra dati elettronici. Ne sono un esempio i codici PIN o le credenziali di accesso a siti web o caselle e-mail.

Questa tipologia fornisce garanzie maggiori: infatti, è in grado di garantire l’identità del firmatario e l’integrità della firma. Consente inoltre di verificare che il documento non sia stato modificato dopo la firma. Un esempio sono le firme grafometriche o biometriche, che rilevano la calligrafia dell’utente tramite un supporto digitale, come un tablet.

Esclusivamente nell’ambito della Pubblica Amministrazione, sono considerate FEA anche le firme apposte con Carta d’Identità Elettronica (CIE), Carta Nazionale dei Servizi (CNS) e passaporto elettronico. Sono altresì considerate valide le firme effettuate con SPID.

Si tratta della firma elettronica più “forte”: consiste in una firma elettronica avanzata generata da un dispositivo ad hoc e associata a un certificato qualificato, che garantisce la corrispondenza esatta tra il firmatario e le chiavi crittografiche. Come da normativa eIDAS, la FEQ è equivalente a una firma autografa e viene riconosciuta come tale in tutti gli Stati membri dell’UE.

Siglare documenti digitali in un attimo

Applica la firma elettronica sui documenti importanti relativi al personale e salvali direttamente in Personio: una modalità utile e sicura soprattutto per il recruiting, il lavoro ibrido o le sedi distaccate.

Come firmare elettronicamente con Personio

Nel Codice dell’amministrazione digitale, la firma digitale è definita come una tipologia di “firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche”. La definizione è assimilabile a quella della Firma Elettronica Qualificata, pertanto, nell’ordinamento italiano, questi due termini possono essere sovrapponibili. Ne consegue che anche tutti i documenti sottoscritti con una firma digitale sono legalmente validi a tutti gli effetti.

Le firme elettroniche sono legalmente valide. Tuttavia, la firma elettronica qualificata è l’unica tipologia che ha lo stesso identico valore di una firma autografa apposta davanti a un pubblico ufficiale.

La firma elettronica può essere richiesta da tutte le persone fisiche, siano esse privati cittadini, oppure amministratori o dipendenti di società pubbliche o private. Come riporta l’Agenzia per l’Italia digitale (AgID), l’ente che ha il compito di garantire l’adeguatezza delle tecnologie utilizzate per creare le firme elettroniche, nel secondo semestre del 2022 sono stati superati i 27 milioni di certificati qualificati di firma digitale attivi.

I soggetti che desiderano ottenere una firma elettronica dovranno rivolgersi a società qualificate dai singoli Stati membri dell’Unione Europea. In Italia è l’AgID a gestire gli elenchi dei cosiddetti prestatori di servizi fiduciari qualificati.

La società scelta per ottenere la firma elettronica emetterà un certificato digitale a favore del titolare della firma, associando un numero binario alla sua identità (chiave pubblica). Genererà inoltre una chiave privata, che verrà installata in un ambiente sicuro e affidata al titolare. 

La chiave privata può essere conservata su:

• una smart card

• un’apposita chiavetta USB

• un dispositivo di firma digitale remota, in genere accessibile in modo sicuro con una OTP (One-Time Password, ovvero una password temporanea generata tramite software o applicazioni per dispositivi mobili o inviata via SMS).

Anche Personio dispone di una soluzione integrata per la firma elettronica, che potrà esserti utile per gestire i documenti di dipendenti o potenziali neoassunti in modo più snello ed efficiente.

Per applicare la firma elettronica a un documento occorre utilizzare un apposito software, che per mezzo di un algoritmo genera un codice hash. Questo codice viene inviato al dispositivo di firma, su cui è custodita la chiave privata.

Al titolare verrà richiesto di inserire un PIN o altro codice e a quel punto il dispositivo di firma provvederà a cifrare l’hash con la chiave privata, producendo un documento firmato elettronicamente. 

Il file prodotto con questa procedura viene definito “busta crittografica” e contiene:

• il documento originale

• l’evidenza informatica della firma, comprensiva di marca temporale

• il certificato di autenticazione della persona che appone la firma

• la chiave pubblica per la verifica dell’autenticità della firma.

A seconda del tipo di sottoscrizione digitale utilizzata, tale file sarà in formato CAdES (estensione .p7m) o PAdES (estensione .pdf).

Per verificare i documenti con estensione .pdf (firma PadES) basterà utilizzare un comune software che legga i file in formato PDF. Per i documenti con estensione .p7m (firma CadES), invece, occorrerà utilizzare un apposito software in grado di decrittare il file ed estrarre la chiave pubblica dal certificato per confrontare l’hash. Se questo valore è identico, la firma risulta valida.

Sarà anche possibile controfirmare il documento apponendo una seconda firma elettronica con il proprio dispositivo di firma. Le modalità per l’applicazione di firme multiple variano a seconda del formato (e di conseguenza del software) utilizzato.

Enti pubblici, imprese e privati cittadini possono ricorrere alla firma elettronica o alla firma elettronica qualificata per firmare digitalmente numerosi documenti, tra cui:

• Preventivi

• Fatture

• DOT (documento di trasporto)

• Contratti

• Informative

• Documenti di apertura o chiusura di conti bancari

• Atti amministrativi

• Visure camerali

• Bilanci di esercizio.

Nell’ambito delle risorse umane, la firma elettronica può essere utile per la sottoscrizione di contratti di lavoro di qualsiasi tipo (contratto a tempo determinato, contratto a tempo indeterminato, di collaborazione...), nonché per la firma di accordi integrativi, informative, buste paga, piani ferie o lettere di impegno all’assunzione.

Questo strumento risulta particolarmente utile nel caso in cui una società abbia sedi distaccate, così come nel caso di dipendenti e collaboratori che lavorano esclusivamente o parzialmente da remoto o in smart working.

Di seguito troverai la risposta ad alcune domande frequenti sulla firma elettronica.

Non è obbligatorio disporre di una firma elettronica o digitale. Tuttavia, la firma elettronica avanzata o qualificata può essere uno strumento utile sia nell’ambito aziendale, sia personale (ad esempio nella gestione dei rapporti con la Pubblica Amministrazione).

Le tariffe per ottenere una firma elettronica qualificata da un prestatore di servizi fiduciari qualificato (QTSP) ammontano in genere a poche decine di euro all’anno.

La firma elettronica o digitale permette di avere un maggiore controllo sui documenti inviati, firmati e archiviati digitalmente e snellisce le procedure aziendali.

Con il passaggio alla firma elettronica non dovrai più perdere tempo a stampare e spedire i documenti via posta o ad archiviare le copie cartacee. In questo modo avrai più tempo da dedicare a ciò a cui tieni di più: le persone.