Quali sono i diversi tipi di firma elettronica? Casi d'uso, esempi e altro

Che cos'è una firma elettronica?

Le firme elettroniche, note anche come e-signature, consistono in un gruppo di metodi diversi per attribuire un'identità ai documenti utilizzando un processo elettronico. Tecnicamente, ciò che si qualifica come firma elettronica è un'entità elettronica (“suono, simbolo o processo”, secondo l'E-Sign Act) collegata a un documento che si intende firmare. Qualcosa di semplice come un'immagine di una firma autografa o di complesso come un certificato di firma digitale generato tramite PKI (public key infrastructure) può essere considerato una firma elettronica. La loro popolarità è cresciuta enormemente negli ultimi anni, a causa del mondo sempre più privo di carta in cui ci troviamo; i documenti devono essere firmati e la firma elettronica è una soluzione comoda ed efficiente.

Molte aziende, consumatori e persino alcuni processi governativi hanno introdotto e abbracciato l'uso delle firme elettroniche sui loro documenti elettronici. A seconda del caso d'uso specifico, possono essere utilizzate diverse tipologie, ognuna delle quali offre un diverso livello di autenticazione dell'identità allegata. Oggi, in molte giurisdizioni, le firme elettroniche sono considerate equivalenti e legalmente vincolanti quanto i documenti firmati a mano.

Qual è la differenza tra firma digitale e firma elettronica?

Sebbene le “firme elettroniche” e le “firme digitali” siano spesso usate in modo intercambiabile nell'uso colloquiale, non sono la stessa cosa. La differenza è che la firma digitale è un tipo specifico di firma elettronica sicura che utilizza un algoritmo per autenticare crittograficamente un documento.

Le firme digitali utilizzano certificati digitali basati su PKI emessi da un'autorità di certificazione affidabile, come Sectigo, per autenticare l'identità del richiedente. Questo tipo di autenticazione è il modo migliore per garantire l'integrità dei documenti elettronici e collegare direttamente l'identità al documento, assicurandone la legittimità.

Le firme digitali sono conformi ai requisiti normativi più esigenti, tra cui l'Electronic Signatures in Global and National Commerce Act (ESIGN Act) degli Stati Uniti, l'Uniform Electronic Transactions Act (UETA) e altre leggi internazionali applicabili come l'eIDAS.

Altri tipi di firma elettronica utilizzano metodi di autenticazione diversi e meno sicuri. Questi possono includere indirizzi e-mail, numeri di telefono o altri tipi di informazioni di contatto. In tutto il mondo esistono diversi tipi di leggi sulla firma elettronica e diversi requisiti per verificare la vera identità del firmatario.

3 tipi principali di firma elettronica

Esistono tre tipi principali di firma elettronica:

• Firma elettronica semplice (SES)
  
• Firme elettroniche avanzate (AES)
  
• Firme elettroniche qualificate (QES)
  

Le differenze specifiche tra questi tipi di firma elettronica sono descritte dal regolamento del 2016 sull'identificazione elettronica, l'autenticazione e i servizi fiduciari (regolamento eIDAS) approvato dall'Unione Europea (UE).

Questo regolamento crea un quadro giuridico relativo all'identificazione elettronica, al processo di firma, ai sigilli e ai documenti in tutta l'UE. Queste firme sono spesso integrate nei processi aziendali e nei flussi di lavoro come opzioni predefinite e sono diventate onnipresenti nell'esperienza degli utenti di Internet. Questi standard non sono utilizzati solo in Europa, ma sono applicabili anche negli Stati Uniti.

Firme elettroniche semplici (SES)

Le firme elettroniche semplici sono il tipo più ampio e semplice di firma elettronica. eIDAS le definisce come “dati in forma elettronica allegati o logicamente associati ad altri dati in forma elettronica e utilizzati dal firmatario per firmare”. Le SES non richiedono alcun tipo di verifica dell'identità del firmatario e la fiducia in queste firme è responsabilità di chi accetta il documento.

In alcuni casi, le semplici firme elettroniche possono essere considerate legalmente vincolanti. Tuttavia, per molti documenti è necessario soddisfare requisiti più elevati.

Firme elettroniche avanzate (AES)

A differenza della versione semplice, le firme elettroniche avanzate richiedono un livello di verifica dell'identità. Si basano su certificati che identificano in modo univoco il firmatario del documento elettronico. Spesso vengono trasmesse tramite un servizio di consegna specifico che può fornire audit trail e altri tipi di prove sui dati trasmessi. Queste firme sono in genere certificate da un'autorità di certificazione (CA).

Firme elettroniche qualificate (QES)

Le QES sono come le firme elettroniche avanzate, ma si spingono oltre per soddisfare ulteriori requisiti delineati nel regolamento eIDAS. Le firme qualificate devono avere un certificato basato su chiavi pubbliche emesse con mezzi tecnologici adeguati. È inoltre previsto un processo di verifica dell'identità del firmatario da parte di un ente controllato, in questo caso un fornitore di servizi fiduciari qualificato (QTSP). Questa identificazione può essere completata faccia a faccia, che può essere condotta a distanza tramite video chat o di persona.

Sectigo offre certificati eIDAS qualificati e altri prodotti conformi a eIDAS che producono firme elettroniche con validità legale.

Una firma elettronica è legalmente vincolante?

Esistono diversi requisiti legali per le firme elettroniche in tutto il mondo. Negli Stati Uniti, la legalità di una firma elettronica ruota in gran parte attorno a quattro pilastri principali.

Intento

L'intento di una firma elettronica non è diverso da quello di una firma autografa o umida. Deve essere chiaro che il firmatario intende apporre il proprio nome/identità sul documento elettronico. In questo caso, non si può costringere qualcuno a rinunciare e considerarla una firma legale.

Consenso

Quando si firma un documento o un contratto elettronico, ogni parte che lo firma deve dare il proprio consenso. In caso contrario, l 'uso della firma elettronica non può essere considerato valido, a meno che non si sia optato per una data precedente e non si sia mai ritirato il consenso.

Precisione

Il metodo specifico utilizzato per l'apposizione della firma elettronica non solo deve conservare una registrazione di tale firma, ma deve essere una registrazione accurata e dimostrabile. Tale registrazione deve inoltre spiegare in modo esauriente il metodo utilizzato per creare e apporre la firma.

Conservazione

La registrazione di una firma elettronica deve essere accuratamente riprodotta e disponibile per gli archivi di chiunque abbia diritto a tali dati. In questo modo si ottiene una traccia di controllo e si può accedere a qualsiasi documento necessario.

Validità e verifica

Come si verifica una firma elettronica?

La verifica di una firma elettronica dipende dal tipo di firma elettronica utilizzata. Come discusso in precedenza, le firme elettroniche semplici non necessitano di metodi specifici di verifica dell'identità per essere utilizzate in molti Paesi e situazioni.

Le firme elettroniche avanzate, invece, obbligano i firmatari a utilizzare i certificati digitali come metodo di verifica dell'identità. Esistono molti metodi per generare e verificare questi certificati AES. La maggior parte delle principali piattaforme, come DocuSign, consente di farlo.

Le firme elettroniche qualificate sono il metodo più sicuro e quindi più difficile da verificare. Utilizzano un QTSP come Sectigo, spesso specificamente autorizzato da un governo per:

• verificare l'identità del firmatario attraverso un faccia a faccia o una videoconferenza con un metodo di identificazione valido.
  
• convalidare l'identità del firmatario al momento della firma, attraverso certificati in possesso del firmatario o basati su cloud.
  

Sectigo offre sia certificati per la firma di documenti che certificati S/MIME per le e-mail.

Cosa rende valida una firma elettronica?

Affinché una firma elettronica sia considerata valida, soprattutto in ambito legale, devono essere soddisfatti alcuni criteri minimi. Devono essere chiaramente dimostrati l'intento, la sicurezza del documento firmato e la prevenzione di manomissioni future. La legalità di un documento può essere messa in discussione se vi sono prove di possibili alterazioni del documento dopo la sua firma. Per questo motivo, molti scelgono soluzioni di firma elettronica che garantiscano una traccia di controllo, prove di autenticazione e un'adeguata sicurezza.

Esempi di firma elettronica

Sono disponibili diverse soluzioni di firma elettronica di fornitori come DocuSign e Adobe. È possibile utilizzare anche metodi manuali. A seconda dell'uso e del livello di sicurezza necessario, il processo di firma può variare e può includere più o meno informazioni di contatto del firmatario (come nome, data, indirizzo IP, ecc.).

Una firma manoscritta scansionata è una firma elettronica?

Sì, si tratta di una semplice firma elettronica. Non è sicura per ovvi motivi, ma fa parte di quell'ombrello collettivo che è la firma elettronica.

Un nome digitato è una firma elettronica?

Sì, anche questo è un esempio di firma elettronica semplice o di base. Una firma elettronica può assumere molte forme e la firma di un documento Word con un nome digitato è una di queste. Finché dimostra l'intenzione e la comprensione, può essere considerata una firma elettronica. Di solito, quando si utilizza un nome digitato come firma, il simbolo di firma /s/ lo precede.

Casi d'uso

Le firme elettroniche possono essere utilizzate praticamente ovunque. Tuttavia, vi sono casi d'uso particolarmente comuni, tra cui:

• Contratti di vendita
  
• Ordini di acquisto
  
• Contratti con i fornitori
  
• Contratti immobiliari
  
• Contratti di licenza di proprietà intellettuale
  
• Accordi legali
  
• Accordi di non divulgazione
  
• Contratti con i dipendenti
  

Per garantire che voi e la vostra organizzazione utilizziate firme elettroniche valide e verificate, scoprite i certificati di firma dei documenti e le soluzioni conformi a eIDAS di Sectigo. Contattate il nostro team per ulteriori informazioni sui tipi di firma che la vostra azienda dovrebbe utilizzare.