Processo di firma elettronica

Cenni sull’inquadramento normativo della firma elettronica

La cosiddetta Firma elettronica è disciplinata dal regolamento europeo eIDAS, che la suddivide in 3 tipologie:

Firma Elettronica (FE), dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;
Firma Elettronica Avanzata (FEA), firma elettronica che deve avere i seguenti requisiti:
- Connessa unicamente al firmatario;
- Idonea ad identificare il firmatario;
- Creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
- Collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati;
Firma Elettronica Qualificata (FEQ), che in aggiunta a quelle di una firma elettronica avanzata possiede queste caratteristiche:
- Creata su un dispositivo qualificato per la creazione di una firma elettronica;
- Basata su un certificato elettronico qualificato;
- Ha effetto giuridico equivalente a quello di una firma autografa.

In Italia, il termine Firma Digitale è sinonimo di FEQ.

Le tre tipologie si differenziano sia per la tecnologia necessaria ad implementarle sia per il loro valore in sede legale. Va precisato che il regolamento eIDAS stabilisce la non discriminazione dei documenti elettronici rispetto ai documenti cartacei.

Per ulteriori informazioni si può fare riferimento alle seguenti pagine:

Da quest’ultima si riporta la seguente tabella, che riepiloga l’efficacia giuridica delle firme elettroniche.

	Firma elettronica	Firma elettronica avanzata, qualificata o digitale
CAD*	Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (art.21)	Garantisce l’identità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’art. 2702 del codice civile. L’utilizzo del dispositivo di firma qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. (art.21)
eIDAS	Non sono negati effetti giuridici per via della sua forma elettronica. Spetta al diritto nazionale dei singoli Paesi europei definire gli effetti giuridici delle firme elettroniche (art. 25)	Ha un effetto giuridico equivalente a quello di una firma autografa. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri (mutuo riconoscimento).

Firma elettronica

Firma elettronica avanzata, qualificata o digitale

CAD*

Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (art.21)

Garantisce l’identità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’art. 2702 del codice civile. L’utilizzo del dispositivo di firma qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. (art.21)

eIDAS

Non sono negati effetti giuridici per via della sua forma elettronica. Spetta al diritto nazionale dei singoli Paesi europei definire gli effetti giuridici delle firme elettroniche (art. 25)

Ha un effetto giuridico equivalente a quello di una firma autografa.

Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri (mutuo riconoscimento).

* Decreto Legislativo 7 marzo 2005, n. 82

La tabella sostanzialmente ci dice che la Firma Elettronica “semplice” (non Avanzata o Qualificata), viene comunque presa in considerazione in sede giudiziale, sia per la legge italiana sia per il regolamento europeo, anche se non è equiparata ad una firma autografa.

Per implementare delle FEA e FEQ sono necessarie tecnologie e applicativi specifici, in alcuni casi anche procedure poco snelle (ad esempio il riconoscimento obbligatorio e preventivo del firmatario tramite acquisizione di un documento di identità, nonché la conservazione di tutti i dati per almeno 20 anni). Diversamente, l’implementazione di una FE può essere molto più semplice, sebbene sia meno tutelante da un punto di vista giuridico.
Va notato che a livello di relazioni fra imprese, escludendo quelle tra imprese e PA, esistono tante situazioni dove via molto bassa la probabilità che una firma d’accettazione di uno specifico documento venga fatta valere in sede legale, quindi, risulta non necessaria l’equiparazione alla firma autografa.

Si può sostenere che nel privato può essere sufficiente una gestione di una FE molto più snella, con requisiti infrastrutturali minimi (esempio senza richiedere l’utilizzo di un dispositivo di firma) e integrata in un applicativo di semplice utilizzo, senza però rinunciare ai requisiti di sicurezza necessari per mantenere un elevato valore probatorio alla firma stessa, proprio come è in QualiWare.

Firma elettronica in QualiWare

A partire dalla versione 2021.07+4, QualiWare permette d’implementare rapidamente i flussi di FE e FEQ per documenti archiviati in versione PDF, ad esempio a partire da altre categorie documentali che ne gestiscono l’emissione.

Le possibilità offerte da QualiWare sono:

Firma Elettronica da smartphone, tablet o schermo touch, con inserimento automatico nel file PDF;
Firma Elettronica Qualificata (detta anche Firma Digitale) tramite usb key o smartcard;
Richiesta di firma da parte di utenti esterni non censiti in QualiWare, con utilizzo di OTP inviato al cellulare personale per l’autenticazione;
Gestione BPM con alert automatici e invio del documento firmato da tutti alla fine del processo;
Tracciabilità completa di tutte le operazioni effettuate grazie al salvataggio dei documenti firmati e del flusso di firma in un audit-trail crittografato;
Configurazione semplice del flusso grazie a form e workflow dedicati, pronti all’uso, facilmente modificabili in base alle esigenze.

Flusso di firma elettronica (FE)

Questo flusso BPM consente l’apposizione della Firma Elettronica da smartphone, tablet o schermo touch, da parte di due o più utenti sia interni sia esterni a QualiWare. Scarica la configurazione del flusso della FE versione base .

Il flusso si compone di un workflow BPM che prevede una fase iniziale per l’inserimento del documento, le fasi di firma, la fase finale di pubblicazione e d’invio a tutti i coinvolti della versione firmata. Per ogni firma richiesta, il form ha l’obiettivo di raccogliere il nome e la mail della persona che la deve apporre, indifferentemente dal fatto che sia un utente interno od esterno a QualiWare.

Per ogni firma deve essere presente una fase di workflow corrispondente che preveda:

Nel caso di firma degli utenti interni, coloro siano abilitati e presenti nel database in QualiWare;
Nel caso di firma degli utenti esterni, utente portale clienti/fornitori con codice “###“.

Per entrambe le tipologie di utenti, QualiWare presenta una pagina accessibile senza login, dove il link d’accesso viene comunicato via mail, mandata in automatico dal sistema di workflow all’avvio di ciascuna attività di firma. Il placeholder per il link da inserire nel testo della mail è: [%LINK_WORKFLOW_SIGN%].

La pagina della firma si presenta come nella figura seguente.

L’utente deve semplicemente firmare nell’apposito spazio; nel caso di un utente esterno è necessario inserire il codice OTP ricevuto via SMS. Si completa il processo di firma cliccando il pulsante Completa. Il sistema aggiorna il documento PDF inserendo la firma autografa e ne salva una copia nell’Audit trail, assieme alla cronologia delle operazioni effettuate.

Nota
Affinché il PDF sia aggiornato con la firma autografa è necessario che nel testo sia presente esattamente il nome della attività di firma configurato nel workflow: se è presente una attività denominata Firma per accettazione offerta, per consentire al cliente l’accettazione di un offerta, lo stesso testo dovrà essere inserito nel documento così da consentire a QualiWare d’inserire la firma autografa, il nome del firmatario, la data e l’ora di firma in calce al testo.

Flusso di Firma Elettronica Qualificata (FEQ)

Questo flusso BPM consente l’apposizione della Firma Elettronica Qualificata (FEQ) da usb-key e da smartcard, di due o più utenti sia interni sia esterni a QualiWare, senza la necessità d’installare software aggiuntivi sul Client, ma semplicemente utilizzando i Cloud Components scaricabili dalla pagina di firma. Scarica la configurazione base per la FEQ.

Il flusso si compone di un workflow BPM che prevede una fase iniziale per l’inserimento del documento, le fasi di firma, la fase finale di pubblicazione e l’invio a tutti i coinvolti della versione firmata. Per ogni firma richiesta. il form ha l’obiettivo di raccogliere il nome e la mail della persona che la dovrà apporre, indifferentemente dal fatto che sia un utente interno o esterno a QualiWare.

Per ogni firma deve essere presente una fase di workflow corrispondente che preveda:

Nel caso di firma degli utenti interni, coloro siano abilitati e presenti nel database in QualiWare;
Nel caso di firma degli utenti esterni, utente portale clienti/fornitori con codice “###“.

L’utente deve installare i Cloud Components, inserire la chiave USB o la smart card, premere il pulsante Firma Digitale, inserire il PIN all’atto di richiesta. Il file PDF viene firmato digitalmente e ne viene archiviata una copia nell’Audit Trail.