Tutto sulla firma digitale: sei risposte ai vostri dubbi

Home PA Digitale Tutto sulla firma digitale: sei risposte ai vostri dubbi

Il quadro normativo è in continuo movimento e piuttosto complesso, basti pensare che in Italia vengono riconosciute quattro tipologie di firme elettroniche. A questo si deve aggiungere il Regolamento eIDAS, che permetterà di adottare a livello europeo un quadro tecnico-giuridico unico, omogeneo ed interoperabile nell’ambito (anche) delle firme elettroniche. Adesso vediamo quali sono i casi d’uso concreti che le PA si trovano ad affrontare.

26 Febbraio 2016

Seppur l’Italia sia stata il primo paese Europeo a disciplinare una propria firma elettronica (la firma digitale con il DPR 513/1997) tale ambito presenta coni d’ombra ed è in continuo movimento. Affrontiamo il tema della firma elettronica, dissertando (nel perimetro ad oggi normato) in relazione al suo valore e alle prassi/obblighi amministrativi.

Nel mondo cartaceo, con lo stesso “strumento” della firma autografa assolviamo a diversi scopi (visto, sigla, firma, sottoscrizione); nel digitale invece ognuna di queste prassi può essere assolta con una modalità differente.

La firma autografa, secondo una classificazione proposta da Carnelutti (“La prova civile”, Padova, 1915) , assolve alle funzioni identificativa (individuare e distinguere il soggetto cui la firma appartiene) dichiarativa (esprimere il consenso del soggetto cui la firma appartiene) e probatoria (la sottoscrizione autografa fa piena prova della provenienza del documento).

E le firme elettroniche?

Ad oggi in Italia ne esistono 4 tipologie con il seguente ordine crescente di
sicurezza: Firma Elettronica, Firma Elettronica Avanzata (FEA), Firma Elettronica Qualificata, Firma Digitale. La Firma Elettronica è solo identificativa, la FEA è identificativa, dichiarativa e probatoria (ma solo tra
le parti e non opponibile a terzi), mentre la Firma Qualificata e quella
Digitale assolvono le funzionalità identificativa, dichiarativa e probatoria.

Firma Elettronica e FEA

Tutti quei sistemi di identificazione che permettono di individuare un soggetto ad esempio mediante l’apposizione di user e password, il riconoscimento di una caratteristica biometrica, il possesso di una smart card, sono Firme Elettroniche.

Più articolata è invece la FEA, la cui validità è definita nel CAD all’art. 21 comma 2. È importante ricordare che il DPCM del 22 febbraio 2013, all’art. 61 comma 2 recita: “L’utilizzo della Carta d’Identita’ Elettronica, della Carta Nazionale dei Servizi, del documento d’identita’ dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attivita’ di cui agli articoli 64 e 65 del codice.

L’utilizzo della CNS produce quindi gli stessi effetti di una FEA nell’ambito dei servizi e delle attività tra cittadini e PA di cui agli artt. 64 e 65 del CAD.

E la grafometria?

È un processo che prevede l’apposizione della firma autografa dell’utente, tramite un device mediante il quale è possibile rilevare una serie di informazioni (pressione, inclinazione, velocità, accelerazione) collegandole al documento firmato e costituendo una connessione univoca tra questo e il firmatario. La grafometria può quindi essere utilizzata per l’identificazione come firma elettronica. In alternativa, seguendo una modalità con requisiti giuridici e informatici che ne consentono la qualificazione per legge, la firma grafometrica può essere una FEA.

In tal caso il processo di acquisizione del dato e di associazione univoca al documento deve rispettare i requisiti di sicurezza e privacy definiti dalla normativa vigente e quanto indicato dalle regole tecniche (dall’art.55 all’art. 61).

Esplorate in parte le tipologie di firma, è da aggiungere che la firma non è invariante rispetto al fattore tempo. I certificati di firma digitale hanno una scadenza e sono spesso legati al ruolo organizzativo ricoperto dal soggetto firmatario nello specifico momento in cui appone la firma. Per cui è opportuno valutare se e come collocare nel tempo il documento firmato oppure la firma stessa.

La Firma Digitale è caratterizzata dall’attributo del Signing time, ma questo non è un riferimento temporale opponibile a terzi. E’ possibile collocare un documento informatico nel tempo con un riferimento temporale valido e opponibile a terzi attraverso Marcatura temporale, Protocollazione, Spedizione via PEC, Conservazione.

Firma digitale in Regione Lombardia

Sul tema della firma digitale, Regione Lombardia in collaborazione con
Lombardia Informatica, è già da tempo attiva per la distribuzione gratuita di firme digitali da caricare sulla Carta Regionale dei Servizi, al fine di incentivare l’utilizzo delle nuove tecnologie sia per semplificare l’attività amministrativa nei rapporti con la PA Centrale, le imprese e i cittadini, sia per sostenere i processi di dematerializzazione all’interno degli Enti stessi. Inoltre, per ogni titolare di firma digitale su CRS è possibile applicare ai documenti firmati anche la marca temporale come servizio
gratuito e compreso nell’iniziativa indicata.

Ad oggi sono state evase circa 2500 richieste di Firma Digitale su CNS
per circa 450 Enti Locali di Regione Lombardia.

Oltre il perimetro sopra descritto, è da considerare il Regolamento eIDAS, che permetterà di adottare a livello europeo un quadro tecnico-giuridico unico, omogeneo ed interoperabile nell’ambito (anche) delle firme elettroniche. Tra gli elementi di interesse, spicca il sigillo elettronico simile alla firma elettronica ma apposta da una persona giuridica.

Casi concreti nella PA

Nei casi d’uso concreti che la PA affronta, come deve comportarsi rispetto al quadro esposto?

  1. Che fare se ricevo un documento con firma non valida o scaduta? In questo caso l’Ente deve provvedere comunque alla sua protocollazione. Sarà nella fase successiva di gestione del documento che l’assegnatario competente, potrà definire, sulla base del contenuto e delle finalità della comunicazione ricevuta, come procedere. In caso fosse una comunicazione necessaria per l’avvio del procedimento e tale documento dovesse essere firmato, in base delle regole definite per il procedimento stesso, l’Ente non potrà procedere con l’avvio ma dovrà comunicare al mittente la necessità dell’invio del documento
    corretto.
  2. Che fare se il software di verifica indica “firma non valida in quanto apposta dopo il 30 giugno 2011” oppure «Firma non valida perché con algoritmo SHA1»?
    Salvo che non ci sia un riferimento temporale che colloca la firma prima del 30/6/11, occorre distinguere se si tratta di firma digitale o FEA apposta con CNS. Nel caso di firma digitale, la firma è da considerarsi come non apposta. Nel caso di FEA è opportuno approfondire il valore della firma apposta al documento ed il
    contesto in cui si è verificato il caso. Nel caso di un istanza inviata
    all’Ente, occorre valutare in particolare la necessità che il documento fosse firmato, il tipo di firma espressamente accettato ed il canale attraverso cui è stato inviato il documento stesso.
  3. É necessario firmare i documenti informatici prodotti in un
    endo-procedimento?
    No. Durante l’endo-procedimento possono infatti essere prodotti documenti strumentali privi di autonomia funzionale (non idonei a
    produrre la lesione di posizioni giuridiche soggettive o a incidere sulle stesse se non attraverso lo specifico atto in funzione del quale sono stati posti in essere), per i quali può essere sufficiente la firma elettronica.Iter approvativi interni all’Ente (es. ferie). Qual è il valore di un’approvazione a
    processo?
    Un sistema informatico di workflow che tracci l’identità di chi
    ha effettuato l’approvazione, quando e in quale processo l’approvazione è stata
    effettuata, collegando tali informazioni univocamente al documento stesso,
    siamo in presenza di una firma elettronica. Tale firma può rientrare nella FEA,
    in caso l’utente sia autenticato tramite un sistema di strong authentication.
  4. Per poter essere conservati i documenti
    devono essere firmati?
    Un documento
    informatico deve essere formato secondo quanto indicato dalle Regole tecniche,
    ma la firma di un documento non è
    condizione necessaria per poter versare il documento in conservazione.
  5. Che fare se arriva in conservazione un documento con firma scaduta? La
    presenza di un documento da conservare con firma scaduta non comporta
    automaticamente lo scarto del documento stesso.
    Anzitutto la verifica deve essere effettuata rispetto ad un
    riferimento temporale opponibile che consenta di collocare il documento nel
    tempo. In secondo luogo è la tipologia documentale e il manuale di
    conservazione che devono indicare la modalità di gestione di una tale
    situazione. Potrebbe essere lecito conservare in ogni caso il documento, oppure
    scartarlo e richiedere l’emissione di un nuovo documento al produttore.

Ancora una volta, piuttosto che vedere alla digitalizzazione come al mero utilizzo di tecnologia, chiediamoci prima a quale esigenza amministrativa dobbiamo rispondere.

Non tutto quello che oggi firmo su carta con firma autografa deve essere sostituito nel digitale, con una Firma Qualificata o Digitale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!