Caratteristiche e differenze tra le diverse firme elettroniche
Il documento informatico e la firma grafometrica
Innanzitutto, il decreto legge del marzo 2005 si occupa di chiarire cosa si intende per “documento informatico”, che può essere definito come “la rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti”. Tale definizione include un’ampia gamma di documenti (comunicazioni e-mail, log file generati da transazioni commerciali, filmati digitali, etc.) che, tuttavia, sono per natura più soggetti a modifiche e contraffazioni rispetto a quelli cartacei. Sorge dunque il problema della validità giuridica dei documenti stessi, e insieme nasce la necessità di salvaguardare il documento informatico, garantendone qualità, integrità, sicurezza e immodificabilità. Fondamentale, dunque, risulta l’individuazione di adeguate tecnologie che consentano di gestire le problematiche appena descritte. La firma elettronica, in tutte le sue forme, vuole essere una risposta al problema, e rientra indubbiamente tra le tecnologie di gestione dei documenti informatici.
Inoltre, in base a quanto esplicitamente riportato nei documenti sopra indicati, si possono distinguere diverse tipologie di firma elettronica: la firma elettronica semplice, la firma elettronica qualificata, la firma elettronica avanzata (all’interno della quale, come si vedrà, rientra la firma grafometrica), e la firma digitale. Infatti, in questo articolo ci si occupa di descrivere le diverse tipologie di firma elettronica e di collocare la firma grafometrica (o biometrica) nell’ambito della più vasta definizione di firma elettronica (FE).
La firma elettronica semplice (FES)
La firma elettronica semplice può essere definita come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.
Il termine “metodo di identificazione informatica” si riferisce a un sistema di autenticazione che, aggiunto al documento, consente di verificare l’identità del firmatario (ad esempio, un codice PIN o una password ). Questa tipologia di firma elettronica è la meno sofisticata fra tutte quelle esistenti e, dato molto significativo, non è valida ai fini della sottoscrizione di un documento informatico (come si evince dal medesimo decreto legislativo del Marzo 2005). La firma elettronica semplice è uno strumento concepito a livello comunitario in particolar modo per regolare transazioni commerciali di tipo e-commerce.
La firma elettronica avanzata (FEA)
La firma elettronica avanzata può essere definita come “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo tale da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Dalla definizione della firma elettronica avanzata proposta dal decreto legge di cui sopra, si evincono quali sono le caratteristiche che la distinguono dalla firma elettronica semplice (della quale la firma elettronica avanzata costituisce una evoluzione): la prima caratteristica consiste nella garanzia di connessione univoca al firmatario: i soli metodi di identificazione informatica utilizzati nella firma elettronica semplice, infatti, non consentono di verificare in maniera univoca e incontrovertibile l’identità del firmatario (un codice o una password, infatti, possono essere ceduti o ottenuti in maniera illecita); i dati rilevati nell’ambito della firma elettronica avanzata, invece, devono consentire tale connessione univoca, anche se non è specificato quali siano esattamente i dati richiesti. La seconda caratteristica consiste nel fatto che nella firma elettronica avanzata i dati elettronici sono creati con mezzi sui quali il firmatario può conservare un controllo esclusivo; questo requisito può essere raggiunto mediante l’utilizzo di certificazioni digitali o l’utilizzo di dati intrinsecamente connessi al soggetto (quali i dati biometrici). La terza caratteristica innovativa, infine, consiste nel fatto che i dati che compongono la firma devono essere collegati al documento al quale la firma stessa si riferisce, così da consentire il rilevamento di eventuali modifiche successive ai dati stessi e la certificazione di integrità del documento.
La firma grafometrica
La firma grafometrica (o biometrica) è un particolare tipo di firma elettronica avanzata caratterizzata dalla peculiarità di utilizzare un insieme di parametri biometrici propri della firma autografa quali “dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario”.
La firma elettronica qualiftcata (FEQ)
La firma elettronica qualificata è definita dal legislatore come “un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione per la firma”.
La firma elettronica qualificata, essendo una sotto-categoria della firma elettronica avanzata deve in primo luogo avere tutte le caratteristiche richieste dalla normativa per la firma elettronica avanzata. In aggiunta a ciò, perché si possa parlare di firma elettronica qualificata, il legislatore richiede che la firma sia basata su un certificato qualificato, ovverosia che un’autorità certificata rilasci un certificato che consenta di associare il documento al firmatario in modo univoco (così facendo, il firmatario non potrà, a posteriori, sostenere di non aver firmato egli stesso il documento, ossia, in gergo, ripudiarlo). In secondo luogo, è richiesto che la firma elettronica qualificata sia realizzata mediante un dispositivo sicuro per la creazione della firma stessa. Le norme tecniche concernenti i dispositivi sicuri per la generazione della firma elettronica qualificata (ossia mezzi sui quali il firmatario può conservare un controllo esclusivo) sono sancite dallo stesso decreto legislativo del marzo 2005.
La firma digitale (FD)
La firma digitale, secondo il decreto legislativo del 2005, è definibile come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
La firma digitale, dunque, si configura come una particolare tipologia di firma elettronica qualificata; pertanto, il legislatore richiede implicitamente che siano rispettati i requisiti che una firma deve avere per essere definita “firma elettronica qualificata”: è richiesto l’uso di un certificato rilasciato da una autorità riconosciuta e che la generazione della firma avvenga mediante un dispositivo sicuro. In aggiunta a ciò, questa tipologia di firma richiede l’utilizzo della “crittografia asimmetrica”. Tale termine si riferisce alla esistenza di una chiave privata e di una chiave pubblica; chiunque è in possesso della chiave pubblica può verificare che il documento sia integro e non sia stato modificato, nonché il firmatario sia realmente il soggetto associato al certificato.
In conclusione, si può affermare che si possono distinguere tre principali categorie di firma elettronica, caratterizzate da crescente grado di complessità: firma elettronica semplice, firma elettronica avanzata, firma elettronica qualificata e firma digitale. Come si è detto, la firma grafometrica rientra nella categoria di firma elettronica avanzata.
