La digitalizzazione della società e la dematerializzazione dei documenti hanno permesso di sviluppare la firma elettronica in Francia. La tendenza è così forte che persino le organizzazioni pubbliche consentono ora ai cittadini di firmare elettronicamente i documenti amministrativi[1].
Come verificare la legalità del proprio software di firma elettronica?
Eccetto alcuni casii[2], tutti i documenti possono essere firmati elettronicamente. Tuttavia, questo sviluppo si scontra ancora con una scarsa di conoscenza del quadro giuridico che circonda la firma elettronica.
Contrariamente all’idea diffusa, non basta inserire un’immagine della propria firma su un documento digitale perché quest’ultimo abbia un valore legale. Per evitare inconvenienti, il software di firma elettronica deve avere un valore legale irrefutabile di fronte a un tribunale. Concretamente, questo richiede di inserirsi in un quadro legislativo preciso, attraverso una soluzione software fornita da una terza parte di fiducia certificata.
Scopriamo insieme come utilizzare al meglio la firma elettronica!
Una regolamentazione in vigore ben definita in Francia e in Europa
Il concetto di firma elettronica non è nuovo dal punto di vista legale. Infatti, dal 2000, la firma elettronica ha ricevuto un valore legale attraverso l’articolo 1316-4 del codice civile (articolo 1367[l3] dal 2016) in Francia. Il diritto francese stabilisce condizioni precise per qualificare una firma elettronica. Quest’ultima deve identificare chiaramente il firmatario, garantire il suo legame unico (quello della firma) con l’atto. Nel 2016, il regolamento europeo eIDAS[4] (Electronic IDentification And Trust Services) (regolamento sull’identità digitale) ha rafforzato la certezza giuridica della firma elettronica, fornendo un quadro legale chiaro, di riferimento e uniforme a livello dei 28 Stati membri. L’articolo 25, paragrafo 1, del regolamento europeo stabilisce il principio di non discriminazione. In altre parole, ricorda che le firme elettroniche hanno un effetto legale certo e sono ammissibili nei procedimenti giudiziari.
Dal punto di vista tecnico, esso definisce tre tipi di firme elettroniche: le firme elettroniche semplici, avanzate e qualificate, che possono essere utilizzate negli Stati membri e che prevedono una regolamentazione supplementare che ne impone l’uso. Il livello di sicurezza, l’affidabilità e le condizioni di utilizzo delle firme variano da una categoria all’altra.
4 livelli di firma elettronica: semplice, avanzata, avanzata-qualificata, qualificata
Dal punto di vista tecnico, il Regolamento europeo eIDAS definisce tre tipi di firme elettroniche, che possono essere utilizzate negli Stati membri e che prevedono una regolamentazione supplementare che ne impone l’uso. Il livello di sicurezza, l’affidabilità e le condizioni di utilizzo delle firme variano da una categoria all’altra.
La firma “semplice”
È il processo meno affidabile ma paradossalmente il più comunemente usato per la sua velocità e facilità. Questo livello non richiede l’attuazione di un processo di verifica dell’identità del firmatario. Questo tipo di firma è adatto per documenti a basso rischio legale (ad esempio: condizioni generali di un sito web, stato dei luoghi,…). Importante, questa firma non è ammessa nel diritto societario (diritto francese).
La firma “avanzata”
Più sicura della precedente, la firma avanzata deve rispondere a diversi criteri, come il ricorso a tecniche di verifica dell’identità del firmatario, la creazione di un certificato comprendente i dati raccolti grazie al documento d’identità del firmatario, la costituzione di un file di prove destinato a provare diversi elementi di sicurezza della creazione della firma elettronica, e di tracciabilità del documento firmato. Questo livello corrisponde a documenti commerciali, legali e amministrativi, con un basso rischio di controversie.
il livello avanzato si basa su un certificato qualificato
Si tratta di una firma elettronica avanzata che si basa su un certificato qualificato di firma elettronica. Questo certificato qualificato di firma elettronica è un attestato dell’identità del firmatario rilasciato da un processo che risponde a dei requisiti che garantiscono la validità della firma, l’identità del suo firmatario, almeno il suo nome, il suo pseudonimo o il suo numero d’immatricolazione nel caso di un’impresa. Il certificato qualificato di firma elettronica è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato 1 del regolamento eIDAS.
La firma “qualificata”
Garantire il massimo livello di sicurezza, richiede una verifica visiva dell’identità del firmatario da parte di un’autorità di certificazione, la sicurezza dei documenti (crittografia) e l’aggiunta di un certificato qualificato emesso da un fornitore autorizzato dall’Agenzia nazionale per la sicurezza dei sistemi informatici (Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI), in Francia. Questa firma è ideale per le transazioni regolamentate.
Come scegliere un fornitore di fiducia
Al fine di evolvere in un quadro giuridico preciso e adattato alla sua organizzazione, è opportuno ricorrere alla competenza di un fornitore di soluzioni di firma elettronica che sia autorizzato e qualificato.
I decisori devono sapere che in Francia esiste un elenco di fornitori che soddisfano questi criteri e soddisfano i requisiti legali ed è aggiornato Agenzia nazionale per la sicurezza dei sistemi informatici (Agence Nationale de la Sécurité des Systèmes d’Information -ANSSI) e inviato alla Commissione europea. Si raccomanda vivamente di collaborare con un fornitore di servizi in conformità con il regolamento eIDAS e certificato dall’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information – Agenzia nazionale per la sicurezza dei sistemi informativi)
Al di là della qualifica ANSSI, Agenzia nazionale per la sicurezza dei sistemi informatici (Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI) – la selezione di una soluzione di firma elettronica deve essere effettuata in base a criteri a cui assegnare una priorità. Chiaramente, la capacità di una soluzione per conformarsi alle leggi straniere può rivelarsi determinante se la vostra azienda opera o prevede di operare a livello internazionale. In secondo luogo, la semplicità d’uso della soluzione da parte del vostro personale, il possibile grado di personalizzazione e la sua flessibilità devono anche influenzare la vostra decisione.
Un altro elemento da considerare è l’integrazione della soluzione nelle vostre applicazioni. Una soluzione che si integra perfettamente con gli strumenti utilizzati (SAP, Microsoft, ecc.) nella vostra azienda richiede meno sforzi e ne favorisce l’adozione.
Infine, la capacità del fornitore di comprendere le vostre esigenze di firma in base al livello di complessità richiesto è determinante. Una soluzione che vi consente di adattare facilmente le vostre firme (semplici, avanzate, qualificate) in base al rischio legale di un documento è da privilegiare. Il legislatore ha apportato una definizione chiara e un quadro preciso alla firma elettronica; a livello nazionale ed europeo, al fine di riconoscerne il valore legale alla stregua di una firma classica. Se l’offerta di soluzioni di firma elettronica cresce, le organizzazioni devono scegliere una soluzione secondo criteri non solo legali, ma anche tecnici e organizzativi, in modo da assegnare priorità in base alla sua attività, alla sua esposizione ai rischi legali e al suo bisogno a livello di firme.
