Per rispondere a questa domanda, vale la pena menzionare la Legge in materia di Firma Elettronica Qualificata e Firma Digitale per comprendere al meglio questo strumento e il suo inquadramento.
La Firma Elettronica Qualificata è definita dall’art.3 punto 12 del Regolamento UE n.910/2014, noto come Regolamento eIDAS come:
“una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”
Risulta immediatamente chiaro che viene creata con uno specifico dispositivo come gli HSM, le smartcard oppure i token USB purché soddisfino i requisiti previsti dal Regolamento eIDAS all’Art. 30.
La Firma Digitale, invece, è definita solo dal Codice dell’Amministrazione Digitale (art.1 lettera s) come “dati apposti su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare ((di firma elettronica)) tramite la chiave privata ((e a un soggetto terzo)) tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.”
Si tratta di una tipologia di FEQ prevista esclusivamente in Italia, generata con un algoritmo crittografico asimmetrico RSA. La coppia di chiavi crittografiche, necessarie per l’esecuzione dell’algoritmo, è generata all’interno di un dispositivo di firma (Smart Card o una business key con porta USB) all’interno del quale è anche memorizzato il certificato qualificato di firma in cui è riportata la chiave pubblica ma non quella privata, così da garantirne il legame univoco con il titolare del certificato di firma.
Da queste premesse è chiaro che la FEQ o la Firma Digitale sono il risultato di una procedura informatica in grado di garantire autenticità, integrità e non ripudio dei documenti informatici firmati digitalmente.
Pertanto, si configurano come un servizio che deve essere acquistato da un prestatore di servizi fiduciari qualificato, ossia soggetti pubblici o privati sottoposti alla vigilanza di AgID, Agenzia per l’Italia Digitale.
Infatti, il loro compito è garantire l’identità dei soggetti che utilizzano la firma digitale/qualificata, emettendo un certificato qualificato di firma elettronica che attesti l’identità del soggetto e il rilascio di uno specifico dispositivo per la creazione di una firma elettronica qualificata e digitale.
Inoltre, è sbagliato pensare, per esempio, che chi dispone di SPID automaticamente disponga di una soluzione di Firma Elettronica diversa dalla sua forma più semplice. È vero però che alcuni certificatori hanno reso disponibile la possibilità di utilizzare SPID di secondo livello come mezzo di autenticazione e riconoscimento del soggetto che vuole ottenere la firma digitale.
L’Ente certificatore, quindi, è il soggetto che fornisce il servizio di firma digitale/ firma elettronica qualificata e ne garantisce la validità.
Tuttavia, nella scelta di un servizio di Firma Elettronica Qualificata e/o Firma Digitale vale la pena considerare gli effetti giuridici della stessa. Infatti, tanto per fare un esempio, la Legge prescrive l’utilizzo di una FEQ nei soli casi disciplinati dall’art. 1350 del codice civile comma 1 punti 1-12, ossia atti che hanno per lo più come oggetto beni immobili.
Questo significa che qualsiasi tipologia di firma (Firma Elettronica Semplice, Firma Elettronica Avanzata, Firma Elettronica Qualificata, Firma Digitale) purché realizzata tramite robusti processi in grado di garantire immodificabilità, integrità ed autenticità del documento informatico così sottoscritto, è idonea per la validità legale dei documenti della tua organizzazione.
Lo dice l’art. 20 comma 1 bis del Codice dell’Amministrazione Digitale:
“Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 del Codice Civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore. In tutti gli altri casi, l'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l'ora di formazione del documento informatico sono opponibili a terzi se apposte in conformità alle Linee Guida."