Firma Elettronica_ la digitalizzazione dei contratti

LA TRASFORMAZIONE DIGITALE

La firma elettronica: vediamo come un’azienda può attuare una Digital Transformation del processo di gestione dei contratti in maniera efficace ed efficiente attraverso questo strumento.

 Chiara Ponti
Ufficio Compliance

INDICE:

La firma elettronica

La sottoscrizione dei documenti informatici ha lo scopo di replicare digitalmente quello che nel mondo fisico viene effettuato manualmente, attraverso la cosiddetta “firma elettronica” di cui spesso si sente parlare.

Tipi di firma elettronica e risvolti giuridici

Molteplici sono, nel mondo digitale, le possibili firme elettroniche pur evidenziando sin d’ora, che non tutti i tipi di firma elettronica (firme elettronica semplice – FES, firma elettronica avanzata – FEA, firma elettronica qualificata – FEQ, firma digitale – FD) hanno lo stesso grado di sicurezza ed affidabilità. Pur essendo il Codice dell’Amministrazione Digitale D.lgs. 7.03.2005, n. 82 – CAD (che ha subito oltretutto svariate modifiche nel tempo) il comune riferimento normativo, per ciascuna di esse si delineano differenti profili di funzionamento e correlata validità legale (regimi giuridici). Per dare una idea della complessa evoluzione normativa avvenuta in materia, si veda lo schema seguente:
tipologie di firma elettronica

Caratteristiche tecniche della firma qualificata

Vista la complessità della materia, riteniamo efficace indicare le caratteristiche tecniche di ciascun tipo di firma qualificata nella tabella che segue (la cui definizione è tratta appunto dall’art. 1, del CAD):
TIPO DEFINIZIONE NORMATIVA REQUISITI
Firma elettronicasemplice – FES "l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica" (art. 1, lett. q). Le caratteristiche tecniche e il livello di sicurezza di questa tipologia di firma non sono predefinite; questa può essere costituita da una password a protezione dell’accesso al file in fase di apertura (facilmente riproducibile con gli strumenti di office automation), o da una firma autografa digitalizzata tramite scanner ed inserita come semplice immagine all’interno di un documento informatico (ad esempio le semplici firme rilasciate per i vettori alla consegna della merce).
Firma elettronica avanzata – FEA "come insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati" (art. 1, lett. q-bis emendate dal D.lgs. n. 235/2010). Rientra tra le firme elettroniche avanzate la firma grafometrica che si ottiene dal rilevamento dinamico dei dati calligrafici della firma effettuata con penna elettronica (ad esempio le firme effettuate presso gli sportelli bancari su strumenti idonei quali i tablet opportunamente predisposti).
Firma elettronica qualificata – FAQ "un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma" (art. 1, lett. r). Tale modalità di sottoscrizione elettronica consente a chi lo riceve di imputare il documento al mittente, assicurandone l’integrità. Essa si differenzia dalla firma elettronica avanzata per la presenza di un certificato, e dalla firma digitale in quanto tale certificato, cd. qualificato, è diverso da quello che la norma associa alle firme digitali.
Firma digitale – FD "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici" (art. 1, lett. s). Per ottenere la garanzia della relazione tra firma e firmatario, nonché dell’univoca identificazione del titolare, è necessaria la partecipazione di soggetti terzi denominati "Certificatori". Questo tipo di firma digitale deve garantire tre elementi fondamentali e cioè che: 1) il mittente del messaggio sia chi dice di essere (Autenticazione) 2) il mittente non possa negare di averlo inviato (Non Ripudio) 3) il messaggio non sia stato “alterato” lungo il percorso tra il mittente ad il destinatario (Integrità)

Brevi cenni sulle tecnologie per la firma digitale elettronica qualificata

Soffermiamoci ora sulla firma digitale, peraltro la più “forte” in assoluto, ed in particolare sull’utilizzo delle tecnologie per la stessa. Poiché il funzionamento della firma digitale risulta piuttosto complesso da comprendere, al fine di illustrarlo semplicemente ci avvarremo di alcuni schemi esemplificativi idonei, nondimeno a suddividere il processo tra la parte di produzione della firma ed il destinatario. Brevemente, i principali passaggi di un processo di firma digitale sono:
  1. il sottoscrittore predispone il documento da firmare;
  2. il software di firma applica un algoritmo cosiddetto di Hash che crea un’impronta (una stringa di bit di lunghezza fissa, inseriti all’interno del documento);
  3. dopo di che, il software usa la chiave privata del sottoscrittore per cifrare (con algoritmo di cifratura asimmetrica) l’impronta del documento, ed il risultato di questa è il documento firmato digitalmente.

processo per la firma digitale elettronica qualificata

La firma digitale qualificata è associata al documento trasmesso, quindi, al destinatario. Il destinatario (verificatore) elabora il documento con un software che:
  1. calcola l’impronta del documento con lo stesso algoritmo di Hash usato dal sottoscrittore;
  2. decifra la firma digitale con la chiave pubblica associata alla chiave privata usata per firmare: il risultato deve essere ancora l’impronta;
  3. se le due copie di impronta così ricavate sono uguali allora la firma è valida e il documento è integro
processo per firma digitale elettronica qualificata

Funzione di Hash

La “funzione di Hash” rappresenta un algoritmo matematico che mappa dei dati di lunghezza arbitraria (messaggio) in una stringa binaria di dimensione fissa chiamata “valore di Hash”, ma spesso indicata anche con il termine inglese “message digest” (o semplicemente “digest”). Tale funzione è progettata per essere unidirezionale (one-way), ovvero difficile da invertire.

Certification Authority

L’uso di firme certificate, aumenta la valenza della firma elettronica.

Per ottenere una firma elettronica certificata, ci si avvale di Certificatori che sono, ai sensi dell’art. 1 lett. g) del citato CAD, i soggetti che prestano «servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi con queste ultime».

Si tratta di un soggetto giudicato attendibile che accerta della identità del titolare del certificato e lo autentica apponendovi la propria firma.

Il certificato è normalmente inserito nel documento insieme alla stringa di bit che ne costituisce la firma. Sicché il verificatore avrà subito a disposizione la chiave pubblica da impiegare nella verifica e potrà verificarne l’autenticità.

fima certificata esempio

La crittografia nel processo di firma elettronica

Un sistema crittografico garantisce innanzitutto la riservatezza del contenuto dei messaggi.

Tuttavia, l’uso delle tecniche crittografiche è più articolato e complesso.

La Crittografia, infatti, è una tecnica che permette, mediante l’utilizzo di un algoritmo matematico, di trasformare un documento leggibile (da tutti) in un formato illeggibile e decifrabile solo attraverso le chiavi di decifratura.

Esistono due tipi di Crittografia: una Simmetrica, ed una Asimmetrica.

Crittografia Simmetrica

La crittografia simmetrica è una tecnica che utilizza una sola chiave segreta, sia per criptare che decriptare il documento.

Tale sistema manifesta la sua debolezza nella necessità di condividere in forma sicura l’unica chiave, tra mittente e destinatario.

Questa modalità caratterizza le firme elettroniche “deboli”, come la FES.

crittografia simmetrica e firma elettronica certificata

 

Crittografia Asimmetrica

La crittografia asimmetrica invece utilizza due chiavi, una privata (o diretta) che deve restare segreta, ed una pubblica (o inversa) da potersi divulgare.

Ciascuna chiave può quindi essere utilizzata sia per cifrare che per decifrare.

La chiave utilizzata per cifrare un documento non può essere utilizzata per decifrare lo stesso.

La sola conoscenza di una delle due chiavi, non fornisce elementi sufficienti per giungere alle informazioni.

crittografia asimmetrica e firma elettronica certificata

Questa trasmissione garantisce che al destinatario B, giunga il documento dal mittente A con certezza della sua origine, in quanto il mittente A è l’unico soggetto a possedere la chiave di “cifratura privata”.

Tuttavia, il documento potrà essere decifrato da chiunque utilizzi la chiave pubblica di A.

crittografia asimmetrica e firma elettronica certificata mod b

Questa tipologia di trasmissione garantisce al mittente A che il messaggio inviato potrà essere decifrato solo dal destinatario B, unico soggetto a possedere la “chiave privata”.

Tuttavia, in questo caso, la paternità del documento non è certa in quanto chiunque potrebbe averlo generato tramite la chiave pubblica B.

crittografia asimmetrica e firma elettronica certificata mod c

 

Questo scenario, che rappresenta l’insieme dei due precedenti, ne eredita le caratteristiche principali.

Tale modalità garantisce che il mittente A abbia la certezza che il documento possa essere decifrato solo dal destinatario B, il quale a sua volta avrà la garanzia che il messaggio ricevuto sia riferibile con certezza al mittente A.

Questa ultima tipologia è senz’altro la più utilizzata e sicura in ambito delle firme elettroniche “forti”, in quanto garantisce la segretezza e la paternità del documento.

Processo di gestione dei flussi documentali

É indubbio come, a prescindere dagli strumenti tecnologici individuati e selezionati ai fini della firma, un’Organizzazione debba riuscire a strutturare processi di gestione e supporto (anch’essi basati su strumenti digitali) al fine di governare la gestione della firma elettronica dei documenti nel suo complesso. Ecco perché è importante avere ben chiaro il processo di gestione dei flussi documentali. Quest’ultimo, in estrema sintesi si può rappresentare come segue: processo di gestione dei flussi documentali La gestione dei flussi documentali correlata ai necessari annessi strumenti è assolutamente basilare dal momento che essa guida tutte le attività relative alla firma digitale (per tutto il ciclo di vita dei documenti, dalla loro produzione alla loro archiviazione/conservazione sostitutiva). Tali strumenti che per loro natura incorporano funzioni di workflow avanzate, gestione di processi approvativi, possibilità di assegnazione di compiti specifici, necessitano tuttavia di un ulteriore passaggio integrativo che li porti a dialogare direttamente con gli strumenti gestionali utilizzati dall’Organizzazione. Solo in tal modo si potrà quindi garantire una completa e granulare integrazione tale da rendere la firma elettronica un elemento idoneo ad aumentare considerevolmente il valore generato dai processi, attraverso l’attuazione di un incremento produttivo ed una razionalizzazione degli stessi, ed evitando inutili dispersioni di tempo e produttività.

Le Soluzioni Cloud

Nell’ottica di semplificare l’interazione con entità esterne all’Organizzazione (Clienti, Fornitori, Partner, ecc.) e nel diminuire le esigenze relative alle infrastrutture di supporto (sempre più difficili da manutenere e sostenere nel tempo), la naturale spinta del mercato sta portando a selezionare soluzioni (prodotti e strumenti) utilizzabili in ambito Cloud.

Questa opportunità, se da un lato sostiene ed agevola la distribuzione e la raccolta dei documenti da firmare, dall’altra solleva importanti questioni relative alla sicurezza.

Occorrerà pertanto che le Organizzazioni indirizzino le proprie scelte verso soluzioni di mercato in grado di garantire non solo aspetti funzionali e di competitività economica, ma anche una ragionevole certezza rispetto alle imprescindibili attese di sicurezza, ora in relazione alla salvaguardia dei dati e delle informazioni, ma non meno al pieno rispetto delle normative cogenti e vigenti.

Lo scenario, da ultimo, si complica se si pensa ancora che i principali fornitori di queste soluzioni sono al di fuori della Unione Europea (principalmente negli Stati Uniti), dove il decaduto Privacy Shield[1] pone questioni di difficile gestione relative alla compliance GDPR.

[1] Al riguardo, si precisa che come da fonte ufficiale dell’Autorità Garante Privacy, «La Corte di giustizia dell’Unione europea (CGUE) si è pronunciata il 16 luglio 2020 la c.d. “Sentenza Scherms II” in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.»

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza e relativi effetti consultabili nel sito della citata Autorità nell’apposita sezione “Privacy Shield”.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.