Tipi di firme digitali: spiegazione di AES, QES, SES

Che differenza c'è tra firme elettroniche e firme digitali?

In generale, le firme elettroniche sono una categoria di metodi per firmare un documento. Docusign eSignature ne è un classico esempio. La configurazione delle soluzioni di firma elettronica è rapida e l'uso estremamente semplice per i firmatari. Le firme elettroniche sono utilizzate in qualsiasi tipo di documento, dai contratti commerciali alle offerte di lavoro, dalle fatture agli ordini di acquisto e ai contratti di vendita con i clienti.

Una firma digitale è un tipo specifico di firma elettronica che utilizza un'implementazione tecnica specifica per soddisfare le esigenze di settori regolamentati in modo rigoroso. L'uso delle firme digitali è disciplinato da testi giuridici, come il Regolamento europeo eIDAS del 2014 e il  Regolamento 2016 sull'identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche del Regno Unito. Questo articolo illustra meglio i diversi tipi di firme digitali: Firma elettronica semplice (SES), Avanzata (AES) e Qualificata (QES) e ne illustra i casi d'uso.

Le firme digitali possono sembrare complesse, ma comprenderle diventa più facile se si delineano alcuni punti chiave.

Che cos'è una firma digitale? 

Una firma digitale è un tipo specifico di firma elettronica che rispetta rigide normative legali, associa in modo sicuro un firmatario a un documento e fornisce il massimo livello di garanzia dell'identità di un firmatario.

Una firma digitale associa in modo sicuro il firmatario a un documento in una transazione registrata. Le firme digitali utilizzano un formato standard accettato, denominato Infrastruttura a chiave pubblica (PKI), per garantire i massimi livelli di sicurezza. Si tratta di un'implementazione specifica della tecnologia di firma elettronica.

Diamo ora un'occhiata più approfondita alle firme elettroniche semplici e ai due tipi di firme digitali legalmente accettate, passando dal meno rigoroso al più rigoroso:

Firma elettronica semplice (SES): per le transazioni quotidiane

Si tratta della firma elettronica più semplice disponibile. Non richiede l'autenticazione forte o la verifica dell'identità del firmatario. Per le transazioni per le quali è possibile utilizzare questo tipo di firma, è sufficiente conoscere l'indirizzo email del firmatario, oppure che quest'ultimo abbia ricevuto un codice di accesso univoco prima di firmare. Per questo tipo di firma non è necessario generare ulteriori dati per verificare l'ID. La firma elettronica semplice si usa, ad esempio, in un accordo di vendita e approvvigionamento quotidiano o in un semplice modulo da firmare. Le buste standard Docusign rientrano in questa categoria.

Firma elettronica avanzata (AES): per transazioni di valore elevato.

Un AES include ulteriori passaggi di autenticazione dell'utente: a un firmatario può essere chiesto di produrre e utilizzare un documento valido rilasciato dallo stato per confermare la propria identità, superare diversi controlli di rilevamento biometrico e usare un codice di accesso univoco dopo il processo di firma. Le firme avanzate richiedono anche la generazione di un certificato digitale da allegare alla busta nell'ambito della transazione. 

Grazie a queste ulteriori funzionalità, AES realizza due cose molto importanti:

• Identifica in modo affidabile il firmatario.

• Stabilisce un legame univoco tra la firma e il firmatario.

Le lettere di offerta di lavoro sono un esempio di caso d'uso per AES: un candidato supera i colloqui di persona e viene scelto per il ruolo. Il team delle risorse umane prepara una lettera di offerta formale per il futuro dipendente, che può firmarla elettronicamente dopo aver ricevuto un PIN tramite SMS. Quindi, la piattaforma Docusign eSignature chiede di scattare una fotografia della patente di guida con lo smartphone per confermare l'identità. Docusign ID Verification fornisce firme AES per questo caso d'uso.

Firma elettronica qualificata (QES): per transazioni regolamentate in modo rigoroso.

Una QES offre il massimo livello di fiducia tramite un processo di verifica dell'identità di persona, o equivalente, da parte di un fornitore di servizi fiduciari qualificato e il certificato digitale derivante creato con un dispositivo di firma elettronica. Considerato l'audit trail completo generato dal sistema, il gruppo di lavoro ha scoperto che "si può ragionevolmente sostenere che un QES è probabilmente più affidabile di una firma effettuata in presenza di testimoni in un ambiente non supervisionato". Questo processo stabilisce indiscutibilmente la validità del processo di firma in quanto, secondo la legge, un QES è considerato l'equivalente legale di una firma autografa (manuale). Esistono molti esempi di QES in Europa. ID Verification Docusign per gli idonei UE semplifica il processo di acquisizione del QES conforme a eIDAS nell'UE, consentendo ai clienti di ottenere questi tipi di firme digitali in pochi minuti. A seconda del paese, Docusign supporta anche le firme QES per i certificati digitali "detenuti dal firmatario" emessi da un'autorità di certificazione affidabile, installati in dispositivi come smart card, unità USB o sul proprio personal computer.

Domande frequenti

In sintesi, come si crea una firma elettronica qualificata (QES) con Docusign?

QES richiede l'autenticazione dell'identità prima dell'emissione di un certificato digitale. Offre il massimo livello di affidabilità tramite la verifica dell'identità di persona o equivalente. Ai clienti viene chiesto di identificarsi elettronicamente durante il processo di apposizione della firma quando viene richiesto di verificare l'identità. Il certificato digitale che attesta l'identità viene automaticamente allegato alla firma "dietro le quinte" dopo la verifica. Docusign offre diverse opzioni per il QES con opzioni di verifica dell'identità, come l'offerta ID Verification per gli idonei UE. I certificati digitali sono emessi da autorità di certificazione, denominate anche fornitori di servizi fiduciari. Docusign è un fornitore di servizi fiduciari incluso nell'elenco di fornitori affidabili dell'UE. Docusign accetta certificati qualificati emessi da Fornitori di Servizi fiduciari presenti nell' Elenco di fornitori affidabili dell'UE. 

In sintesi, come si crea una firma elettronica avanzata (AES) con Docusign?

Una Firma elettronica avanzata con Docusign include ulteriori passaggi di autenticazione dell'utente: al firmatario sarà chiesto di produrre un documento valido per confermare la propria identità, nonché un codice di accesso univoco dopo il processo di apposizione della firma. Docusign emette firme digitali PKI AES che soddisfano i requisiti legali e forniscono opzioni flessibili per verificare l'identità dei firmatari utilizzando Docusign ID Verification o un altro processo di verifica dell'identità consolidato. Docusign dispone di opzioni di verifica dell'identità per soddisfare i livelli di firma elettronica avanzata e qualificata di eIDAS e in tutto il mondo, se adottate in combinazione con le nostre offerte di firme basate su standard.

In sintesi, come si crea una firma elettronica semplice (SES) con Docusign?

Docusign eSignature soddisfa i requisiti eIDAS per le firme elettroniche. Le firme elettroniche semplici sono ampiamente accettate in tutto il mondo come sostituto elettronico delle firme autografe e sono sufficienti per la maggior parte dei casi d'uso, dei clienti e delle località. Ad esempio, una firma elettronica semplice è appropriata per i documenti interni, le transazioni business-to-consumer o gli accordi con partner o firmatari già acquisiti. È semplice e necessita di pochi requisiti e questo la rende una soluzione di firma elettronica efficiente per la maggior parte degli accordi. Se è necessaria la verifica del documento di identità, potrebbe essere richiesta una firma elettronica avanzata o qualificata. Per scoprire di più sulle attuali leggi sulla firma elettronica, visita il sito Guida alla legalità Docusign eSignature.

Il contenuto di questo post è riportato solo a scopo informativo e/o formativo generale e non è inteso come consulenza legale. Si prega di rivolgersi a un avvocato in merito a specifiche domande legali.