Si definisce “firma elettronica qualificata (FEQ)” una firma elettronica forte che può assumere la stessa validità giuridica della firma autografa su contratti e scritture private con piena validità legale. La firma elettronica qualificata viene generata da una processo informatico di validazione che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici, tramite un dispositivo (sul quale il firmatario esercita un controllo esclusivo) che crea la firma basandosi su un certificato qualificato. Un esempio di firma FEQ è tramite il dispositivo del CNS (Carta Nazionale dei Servizi) o Tessera Sanitaria, che è una smart card con chip che contiene alcuni dati anagrafici del firmatario e il suo codice fiscale, e che per effettuare la firma richiede l’utilizzo di un sistema di chiavi crittografiche.

Cos’è la Firma Elettronica Qualificata

L’Art 3 n. 12 del (Regolamento UE sull’identità digitale nr 910/2014 eIDAS  (electronic IDentification Authentication and Signature) definisce la Firma Elettronica Qualificata:

una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato

La firma elettronica qualificata è una firma elettronica avanzata generata tramite un dispositivo che contiene i dati identificativi del firmatario e che si avvale di un certificato qualificato rilasciato da uno degli Enti Certificatori accreditati (Prestatore di Servizi Fiduciari qualificati) in grado di identificare univocamente il firmatario.

 

È l’unica tipologia di firma elettronica che ha piena validità giuridica e può essere utilizzata per firmare qualsiasi atto. Riportiamo di seguito una tabella di riepilogo delle diverse tipologie di firme elettroniche.

 

 

Firma elettronica e valore legale

Tipi di firme elettroniche, valore probatorio e validità giuridica

Tipo di firmaDefinizione ed esempio

Efficacia Probatoria ai fini giuridici

Atti tra privati di cui Art. 1350 c.c. (13)

Atti tra privati di cui Art. 1350 c.c. (1-12)

Documenti e atti delle PA

Firma Elettronica Semplice (FES)

Firma debole tramite sistemi di identificazione del firmatario definiti "non certi"

Esempio: Firma cartacea scannerizzata, PIN

A discrezione del Giudice

(*)

NONONO

Firma Elettronica Avanzata (FEA)

Firma forte tramite sistemi e/o dispositivi personali che identificano il firmatario ma non utilizzano certificati di integrità

Esempio: Firma grafometrica su dispositivi elettronici

SI

(*)

SI NONO

Firma Elettronica Qualificata (FEQ) o Firma Digitale

Firma forte tramite software e dispositivi personali che identificano il firmatario e richiedono certificati di integrità (chiavi crittografiche)

Esempio: Firma tramite Tessera Sanitaria

SI

(**)

SISISI

Riferimenti Normativi:

Codice Amministrazione Digitale

Regolamento EU eIDAS 910/2014

CAD Art 47 

CAD Art. 65

CAD Art 20 - comma 1-bis

CAD Art 21 - comma 2-bis

CAD Art 21 - comma 2-bis

La normativa (CAD Art. 21) stabilisce che "L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria" il che significa. in altre parole, che per la sola firma elettronica qualificata l’inversione dell’onere probatorio è a carico del titolare del dispositivo di firma, che deve eventualmente fornire la prova di non averlo utilizzato. In altre parole, riferendosi alla tabella sopra riportata: (*) l'eventuale disconoscimento della firma è a carico di chi produce il documento - (**) l'eventuale disconoscimento della firma è a carico del firmatario del documento.

 

 

Oltre alla definizione dal Regolamento Europeo eIDAS, il Codice Amministrazione Digitale all’art. 28 aggiunge che  “nel certificato di firma elettronica qualificata può essere inserito il codice fiscale. Per i titolari residenti all’estero cui non risulti attribuito il codice fiscale, si può indicare il codice fiscale rilasciato dall’autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo univoco“.  Inoltre sempre lo stesso articolo indica che su richiesta del titolare di firma elettronica o del terzo interessato il certificato di firma elettronica qualificata può contenere anche le seguenti informazioni:

  • le qualifiche specifiche del titolare di firma elettronica, come l’appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
  • i limiti d’uso del certificato;
  • i limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili;
  • uno pseudonimo, qualificato come tale.

 

Come ottenere la firma elettronica qualificata

Possono dotarsi di firma elettronica qualificata tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni. È possibile rivolgersi ai prestatori di servizi fiduciari qualificati (TSP) autorizzati da AgID che garantiscono l’identità dei soggetti che utilizzano la firma digitale.

Per ottenerla occorre sottoscrivere un contratto con uno degli Enti Certificatori, pubblici o privati, che rilasciano certificati qualificati per la firma elettronica e certificati di autenticazione per le carte nazionali dei servizi. L’elenco di questi enti si trova nella relativa sezione del sito AgID a questo link.

 

Come funziona la FEQ o firma digitale

La FEQ viene generata tramite il metodo della crittografia a doppie chiavi ossia con una coppia di chiavi digitali asimmetriche che vengono unicamente attribuite al titolare della firma stessa. In pratica si ha:

  • una chiave privata che viene custodita dal titolare e serve per generare la firma da inserire nel documento elettronico;
  • una chiave pubblica che serve al terzo per la verifica dell’autenticità della firma.

La firma digitale può essere utilizzata in locale ossia tramite un dispositivo token usb o smart card oppure come firma remota tramite l’utilizzo di password e OTP o smartphone.