Home > Podcast > Patrizia digitale, plebeo analogico > I tre tipi di firma elettronica: cosa sono e quando usarli

I tre tipi di firma elettronica: cosa sono e quando usarli

Pubblicato il 30 gennaio 2026

Privilegiamo la fedeltà alla conversazione effettivamente avvenuta.

Perché parlare di firme elettroniche

Ciao, sono Andrea Veca, e ti do il benvenuto a MingaMal, il podcast che instilla dubbi per migliorare.

Oggi cominciamo davvero a fare sul serio e affrontiamo il primo tema della rubrica “Patrizia digitale, plebeo analogico”.

Io sono ovviamente il plebeo analogico, mentre Patrizia digitale è Patrizia Sormani, esperta di digitalizzazione e apprendista della digitalizzazione, come ama definirsi.

E partiamo alla grande, parlando di firme elettroniche.

Premessa tra me e te, cara ascoltatrice, caro ascoltatore, senza farci sentire da Patrizia: io ho sbagliato praticamente tutto quello che c’era da sbagliare. Spero che tu sia messa o messo meglio di me. Se così non fosse, credo che questo episodio sarà di grande beneficio.

Dicevo, in questo episodio parliamo di firme. Firma, firma elettronica, firma digitale, firma su tablet, firma un tanto al chilo: tutte parole che si usano spesso come se volessero dire la stessa cosa, ma non è in realtà così.

Firmare non è solo un gesto, non è solo cliccare un bottone o infilare una chiavetta nel PC.

Dietro una firma ci sono processi, responsabilità, valori giuridici diversi.

E scegliere la firma sbagliata nel contesto sbagliato, di solito, non dà problemi subito. Ma li può dare dopo, quando meno li vuoi.

Con Patrizia partiamo da un po’ di contesto, facciamo ordine tra i tre tipi di firma elettronica previsti oggi, e poi cerchiamo di riportare tutto nella vita reale di chi manda fatture, firma contratti, assume persone e magari lavora con la pubblica amministrazione.

L’obiettivo non è diventare esperti di diritto digitale. È capire abbastanza da fare scelte un po’ più consapevoli.

Buon ascolto!

00:00:12 Andrea Veca

Buongiorno Patrizia Sormani, Patrizia Digitale. Grazie per essere qui al primo episodio vero della nostra rubrica Patrizia Digitale Plebeo Analogico, in cui cominciamo a fare sul serio. Benvenuta.

00:00:25 Patrizia Sormani

Ciao Andrea, buongiorno a tutti, buongiorno a tutti coloro che ci ascoltano.

00:00:30 Andrea Veca

Cominciamo a fare sul serio e partiamo da un argomento che è venuto fuori lateralmente, diciamo, tangenzialmente durante l'episodio di presentazione, che è quello della firma. Ovviamente stiamo parlando di firma elettronica, o forse firma digitale, o forse lo andremo a scoprire. E per dare una mappa dell'episodio, sostanzialmente partiremo da un velocissimo excursus storico per capire dove siamo oggi.

Parleremo dei principali, anzi di tutti i tre tipi di firma elettronica, barra digitale che abbiamo a nostra disposizione e poi cercheremo di capire quando vanno utilizzati e cercheremo di calare questa descrizione nella quotidiana del lavoro di chi cerca di far andare avanti la propria impresa.

Bene, allora Patrizia, direi che ci siamo. Le regole di ingaggio sono chiare e partiamo dalla firma e vogliamo partire in realtà dagli egizi, cioè dalla firma fatta a mano che forse si chiama autografa, forse no.

La firma su carta è un gesto, quella elettronica è un processo

00:01:47 Patrizia Sormani

Certamente devo dire, come ho già ribadito anche in precedenza, che è estremamente seduttivo il valore di una firma, perché sappiamo tutti come con una firma si possono cambiare tantissime cose, si spostano tantissimi soldi, si perfezionano tantissimi accordi o transazioni.

E se noi pensiamo però a come firmiamo su un foglio di carta, quello che noi eseguiamo è un gesto personalissimo, cioè, è strettamente correlato a noi quel gesto. Ciascuno di noi si ricorderà come se in un momento di particolare rabbia firmato, piuttosto che in un momento di particolare gioia, piuttosto che in un momento di totale serenità: molto spesso queste sue sottoscrizioni siano diverse tra di loro, perché addirittura lo stato emotivo influisce sul gesto grafico.

Per cui possa avere lettere più grandi, più piccole o differenti.

La firma elettronica è invece un processo dove tutta la nostra parte emotiva non c'entra proprio nulla, cioè è qualcosa che avviene perché io do degli input e ottengo un risultato. E quindi l'importanza di come si esegue questo processo, di quali sono le caratteristiche di questo processo, di quali sono i requisiti che questo processo deve rispettare, vanno a determinare quello che poi noi vedremo come differenti tipologie di firma.

Ai quali poi la normativa italiana ha dato differenti valori, anche in seguito a degli input della normativa europea.

La normativa italiana, ha ragione Andrea, è arrivata prima. Noi, già dalla fine degli anni '90, si parlava di firma digitale.

A metà degli anni 2000, quindi intorno al 2014, è arrivata la normativa europea che ha sancito a livello europeo tutta una serie di principi proprio per dire: se io firmo con una firma elettronica qualcosa in Italia, vado in Olanda e deve essere valido anche là.

E questa cosa ovviamente ha sancito dei principi unici che devono essere rispettati. Credo che l'intento di oggi debba essere quello di capire quando usare una cosa e come farlo.

Non di demonizzare l'uso di una cosa rispetto all'altro, perché vedremo che tutte le modalità hanno un loro fine e una loro utilità.

Vogliamo ancora una volta creare quei dubbi che ci portino a ragionare: sto usando la cosa giusta nel contesto giusto.

Italia precursore e arrivo di EIDAS

00:04:11 Andrea Veca

No, assolutamente. Questo fa parte degli accordi, diciamo dell'accordo quadro di partenza. Interessante è che anche in questa circostanza l'Italia sia stata in anticipo rispetto alla Unione Europea, in maniera forse simile a quanto è accaduto per la fatturazione elettronica, forse anche per la PEC. Siamo dei precursori, diciamoci la verità.

00:04:34 Patrizia Sormani

Allora, assolutamente sì, non ce ne rendiamo conto. Noi arriviamo prima.

Poi, tipicamente, voglio dire, siamo i classici fuggitivi delle corse in bicicletta che però poi a 100 m dal traguardo veniamo raggiunti e ampiamente superati, perché poi arriviamo nel gruppo e si perde la nostra notorietà.

C'è assolutamente questa virtuosità e tendenza a implementare processi di digitalizzazione, sia in maniera, potremmo dire, quasi pionieristica, ma anche in modalità assolutamente strutturate.

Spessissimo veniamo presi anche da esempio a livello europeo. Ripeto, poi non ce ne rendiamo conto però.

Effettivamente la nostra esperienza parte da assolutamente molto lontano, proprio perché si è immediatamente intuito come, se era obbligatorio digitalizzare i documenti e siamo partiti dall'ambito della pubblica amministrazione, in qualche modo doveva diventare assolutamente obbligatorio creare uno strumento, un processo che consentisse di perfezionare degli accordi, delle transazioni con questi documenti, di dare un valore a questi documenti.

Ricordiamoci che la firma è il maggiore strumento di garanzia di autenticità di quel documento, cioè di ascrivibilità di quel documento a un determinato autore.

E conseguentemente chiaramente abbiamo lavorato in questa direzione. Poi è arrivato il regolamento EIDAS che ha cercato un po' di uniformare tutti i paesi. Siamo 28 paesi, se ognuno faceva a modo proprio era delirante.

00:06:04 Andrea Veca

Scusa Patrizia, come si chiama questo regolamento.

00:06:06 Patrizia Sormani

Regolamento EIDAS.

00:06:08 Andrea Veca

EIDAS.

00:06:09 Patrizia Sormani

Sì, è un regolamento EIDAS a livello europeo, Che ha avuto una sua prima emanazione nel 2014, con piena attuazione dal 1° gennaio del 2016 e una sua modifica nel 2024, con l'aggiunta di una serie di ulteriori servizi rispetto a quelli già previsti.

00:06:28 Andrea Veca

Ok, quindi diciamo l'altro ieri, sostanzialmente quest'ultima modifica.

Proviamo a entrare un attimo nel vivo, sempre ovviamente a un livello. Tra virgolette superficiale, però cominciamo a parlare di firme.

Tu ci hai detto che le firme sono dei processi o dietro le firme stanno dei processi o una firma scatena un processo.

I tre tipi di firma elettronica: la mappa

00:06:55 Patrizia Sormani

Allora sì, le firme di fatto sono dei processi.

Che ci consentono di ottenere, in relazione a un particolare documento informatico, un certo tipo di risultato.

Io direi che questo è il contesto per approfondire le tre principali tipologie di firma elettronica: noi abbiamo la firma elettronica semplice o snella o leggera o facile o come viene più o meno definita, però.

00:07:25 Andrea Veca

Ci sono diverse parole che definiscono lo stesso concetto.

00:07:28 Patrizia Sormani

Usualmente ci sono diverse parole, poi si chiama firma elettronica semplice.

Però si sente dire di tutto.

Poi abbiamo la firma elettronica avanzata, che è un'altra tipologia di processo di firma e tra l'altro vedremo che ha delle caratteristiche molto particolari.

E poi abbiamo la firma elettronica qualificata, che noi in Italia chiamiamo firma digitale proprio perché avevamo già introdotto il concetto di firma digitale prima del regolamento EIDAS e poiché la nostra firma digitale ha le medesime caratteristiche richieste da una firma qualificata, abbiamo mantenuto questa biunivocità di nomi, quello europeo e quello italiano, ma noi siamo un po' fatti così, no?

Cioè, l'Europa ci dà delle norme, noi a volte le customizziamo un po', anche perché vi ricordo che prima dicevo il regolamento EIDAS, ricordiamoci, ma questo giusto così per cultura generale, che quando una normativa europea è un regolamento non ha bisogno di nessuna legge attuativa nel paese ed è immediatamente imperativo in tutti i 28 paesi.

Cioè, tutti devono rispettare quella roba lì.

Se invece è una direttiva, ogni singolo paese fa poi una legge di attuazione di quella direttiva, andando a interpretare il contenuto della direttiva.

Ricordiamoci che le normative europee sono tra l'altro scritte in una lingua che non è la nostra, tipicamente l'inglese o il francese, e quindi chiaramente c'è anche tutto il tema della traduzione, che a volte ha un peso notevole.

Ma detto questo, comunque siamo nell'ambito appunto di queste tre macro tipologie di firma.

Firma elettronica semplice: esempi e valore “debole”

00:09:03 Andrea Veca

Perfetto, quindi abbiamo la firma elettronica semplice, la firma elettronica avanzata e la firma elettronica qualificata, che noi chiamiamo anche firma digitale. Cominciamo dalla prima firma elettronica semplice. Puoi fare qualche esempio di firma semplice o di circostanze in cui usiamo questa.

00:09:20 Patrizia Sormani

Allora partirei dalla sua minima definizione che troviamo sempre nel regolamento che ho citato: sono dati elettronici correlati ad altri dati elettronici.

Quindi molto molto basica. Come vedete non si parla minimamente di identificazione del soggetto firma e già per noi dire se uno firma, cioè, c'è un soggetto da identificare; invece, qua non si parla di identificazione.

Per esempio, quando voi andate al bancomat a fare un prelievo, quello voi state eseguendo è una firma elettronica semplice perché correlate dei dati elettronici che sono contenuti sul chip della vostra carta al vostro PIN che viene acquisito da un sistema che vi riconosce.

E in virtù di questa firma elettronica semplice che voi apponete, fa una prestazione che è quello di erogarvi del denaro allo sportello.

Però se Andrea mi dà il suo bancomat e ci vado io o io do il mio bancomat ad Andrea, cioè la banca non sa se al di là ci sono io o Andrea.

Sa che c'è qualcuno che detiene uno strumento, un PIN, delle caratteristiche di identificazione per poter accedere a un sistema.

Questa firma ha valore legale?

Sì, tutti me lo chiedono spessissimo: mi è venuto il commerciale, mi ha detto che aveva valore legale, poi in realtà non ce l'ha.

No, no, ce l'ha. La domanda è: quale? Perché poi noi in Italia siamo andati a modulare sulla base delle firme il rispettivo valore legale e per noi una firma elettronica semplice ha un valore legale, il cui ambito di valore è rimessa a libero apprezzamento del giudice.

Cioè non gode presuntivamente della certezza che quella firma è ascrivibile a un soggetto, quindi che effettivamente dietro quel bancomat c'ero io o c'era Andrea.

Ma c'era qualcuno che poteva fare una certa cosa.

Poi bisognerà capire se c'ero io o se c'era Andrea.

Altro esempio è per esempio la mail. Quando voi mandate una mail, anche la mail è considerabile una firma elettronica semplice; quindi, sono dei dati correlati a degli altri, ma prescindendo da tutto quello che è il tema dell'autenticazione del soggetto.

Tutti voi vi ricorderete Amazon prima versione e arrivava l'omino a casa e voi dovevate fare uno scarabocchio su un tablet, ma nessuno vi chiedeva se eravate voi, se non eravate voi, se lo scarabocchio fosse leggibile, non leggibile.

È uno scarabocchio. Poi ci si è resi conto che in realtà non offriva nessun valore aggiunto a quella transazione e quindi quel tipo di interazione in quel processo è stato eliminato.

Quindi ha valore? Sì, ha valore.

Ricordiamoci sempre che la normativa gli dà un valore più basso, più contenuto. Ma che in certi contesti va benissimo e poi vedremo quali.

00:12:05 Andrea Veca

Perfetto. Tra l'altro qui, cara ascoltatrice, caro ascoltatore, se anche tu hai dei problemi a capire i diversi valori legali, ecco, io sono con te.

Del resto, io sono il più analogico, ma fortunatamente Patrizia ci sta illuminando e credo che questo esempio proprio delle tre firme sia estremamente didattico, a prescindere dall'interesse proprio dell'argomento.

Benissimo, abbiamo descritto la firma elettronica semplice e abbiamo dato un paio di esempi.

Parliamo della firma elettronica avanzata.

00:12:34 Patrizia Sormani

Ecco, sulla firma elettronica avanzata c'è una particolarità che va immediatamente esplicitata.

Cioè, mentre per la firma elettronica semplice abbiamo una definizione, per la firma elettronica avanzata non abbiamo una definizione, ma abbiamo la elencazione di requisiti che questo processo di firma deve rispettare.

Questo che cosa significa? Significa che trattandosi di una normativa europea, il regolamento EIDAS,  non vincola su come un processo deve essere fatto, ma ti dice quali requisiti deve rispettare.

Quindi teoricamente ognuno lo può fare come vuole.

E circa una firma elettronica avanzata, l'articolo 26 del regolamento EIDAS ci dice che fondamentalmente deve prevedere una connessione univoca con il firmatario, deve prevedere una connessione univoca con il documento che viene firmato e deve prevedere che il firmatario abbia il controllo del processo che va ad eseguire.

Questo quindi che cosa significa? Che c'è un grande riferimento al soggetto firmatario rispetto a prima.

Vedete, prima non c'è nessun riferimento, dati connessi a dati.

Qui no, dati connessi a dati sì, quindi riferimento di connessione tra il processo di firma e il documento.

Ma anche processo connesso a chi lo esegue e processo connesso all'identificazione di chi lo esegue.

Quindi si alza l'asticella, come potete capire.

Due aspetti fondamentali. Il primo, siccome non mi dici come deve essere fatto il processo, teoricamente lo posso fare come voglio e nel farlo come voglio posso avere diverse tipologie di firma elettronica avanzata.

Una di queste tipologie, per esempio, è quella che tutti conosciamo, la cosiddetta firma grafometrica, quella sul tablet, sulla tavoletta.

Andiamo in banca, andiamo in posta, andiamo una volta anche quando si andava a prendere il telepass, adesso poi l'hanno cambiato, piuttosto che usavano questa modalità.

00:14:32 Andrea Veca

Quindi firma grafometrica che non c'entra niente con lo scarabocchio che abbiamo citato dei tempi di Amazon, che io faccio su una tavoletta apposita.

00:14:41 Patrizia Sormani

Sì, ma che preliminarmente ha previsto un mio riconoscimento con un documento d'identità e la tavoletta, tra l'altro, registra i miei dati biometrici che consentono eventualmente una decifratura di quel segno grafico che io ho posto, cioè.

00:14:56 Andrea Veca

Vuol dire quanto io schiaccio, quanto io premo ...

Vincoli italiani sulla firma avanzata e valore probatorio

00:14:59 Patrizia Sormani

Il sulla tavoletta, quanto non premo, quanto sono, Inclinato quanto scrivo, lettere grosse, piccole, eccetera

A noi quella roba lì ci piaceva tanto perché replicava il foglio.

Quando ce l'hanno fatta vedere hanno detto se firmare digitalmente così siamo a cavallo, senza porci il problema di quello che c'è dietro.

Ma esteticamente all'impatto noi avevamo lo stesso gesto.

Però la normativa italiana in merito alla firma elettronica avanzata ha due particolarità.

La prima particolarità: prima parlo dei vincoli e poi parlo del valore.

Allora, per quanto riguarda i vincoli, esiste una normativa italiana, un vecchio DPCM del febbraio del 2013, che limita il valore della firma elettronica avanzata.

Nel senso che proprio perché ha avuto inizialmente una grande diffusione tra le banche, le assicurazioni eccetera eccetera, soprattutto in modalità grafometrica, immediatamente si è detto: qui bisogna tutelare l'utente, perché la banca mi rilascia una firma.

Se poi l'utente non sa dove lo può usare, come lo può usare? Cioè, ci si rischiano delle cose.

Allora cosa si è detto? Spieghiamo meglio il problema.

Il problema è che la banca diventava il soggetto forte che rilasciava all'utente uno strumento, ma di cui l'utente ne aveva una consapevolezza relativa di utilizzo.

E allora si è detto, va bene, glielo puoi rilasciare, ma lo deve usare solo nel rapporto che l'utente ha con te, non in rapporti con terzi.

Quindi si è limitato l'ambito di utilizzo a una biunivocità. E infatti vi faccio il classico esempio, la banca che vende, banalmente, le polizze assicurative di un'altra società, ovviamente, come fa a usare la firma avanzata che rilascia al cliente per firmare l'adesione al conto corrente?

Sta vendendo una roba di terze parti, dove il rapporto si perfeziona con una terza parte, per cui vengono fatti un po' di accrocchi giuridici, di autorizzazioni, eccetera.

Però capite bene, la volontà è proprio quella di limitare l'utilizzo dello strumento.

Ma, a livello probatorio, la nostra normativa ci dice che se tu firmi con una firma elettronica avanzata, di cui la grafometrica è una tipologia, ma ci sono altre tipologie con certificato di cifratura, in quel caso il documento che ottieni ha un valore probatorio sicuramente molto più elevato, perché, ve l'ho detto prima, c'è di mezzo il riconoscimento del soggetto e il controllo del processo.

E che valore ha? il valore di prova scritta E di scrittura privata.

Cioè, è impegnativo tra le parti contraenti, quindi scrittura privata e quindi ha valore di impegno tra le due parti.

E di prova scritta, quindi, che voglio dire, costituisce un elemento certo di interazione tra le parti.

La prova scritta ad sostantiam è un concetto giuridico, ve l'ho già detto, che pervade il nostro codice. Molte volte è obbligatorio come forma avere quel tipo di forma perché il contratto sia valido.

00:18:16 Andrea Veca

Scusa, per chiarezza, quindi la firma elettronica avanzata ha già questa valenza ed equivalenza alla forma scritta.

00:18:24 Patrizia Sormani

Ecco, tenete presente che ha una valenza che gli diamo noi in Italia, perché a livello europeo si è molto più liberi, cioè si dice è una firma che può essere fatta e deve avere queste caratteristiche. Però a livello europeo normalmente, proprio perché sono 28 i paesi coinvolti, si vola un po' più alto, non si può entrare nelle specificità di certe cose.

E quindi uno può dire: va bene, ho quest'altro tipo di firma, OK? ce n'è un terzo tipo di firma, che è quello che noi abbiamo definito firma elettronica qualificata.

00:18:55 Andrea Veca

Ok, il top.

Firma qualificata: la “firma digitale” e l’inversione dell’onere della prova

00:18:57 Patrizia Sormani

Il top a livello europeo, che richiede il rilascio di un certificato di firma che serve per cifrare e decifrare, perché è un certificato a chiavi asimmetriche, dove una cifra e una decifra il documento, e che equivale a quella che era la nostra firma digitale che alla fine degli anni '90 abbiamo faticosamente implementato.

Ovviamente sia a livello europeo che a livello italiano. Su questa firma c'è una certezza: ha il valore della firma autografa.

Quindi quello che io facevo con la mia penna sul mio foglio, con la firma digitale, ottengo esattamente lo stesso valore giuridico, senza se e senza ma.

Che significa anche avere valore di prova scritta, di scrittura privata.

Ma hanno aggiunto un'ulteriore cosa, cioè l'inversione dell'onere della prova.

Cosa vuol dire? Non sono andati a modificare il codice di procedura civile che prevede il concetto di onere della prova, ma hanno detto se in tutti i casi in cui uso una firma elettronica e una firma avanzata, io posso dire quella firma non è mia ed è la controparte a dover dimostrare che invece è mia.

Nella firma avanzata è un po' più facile perché teoricamente mi ha riconosciuto, nell'altra è un po' più complesso.

Nel caso di firma digitale, invece, è presunto per certo che quella firma è mia e nel caso sono io a dover dimostrare che non è mia.

Come?

Facendo una denuncia all'autorità di pubblica sicurezza perché ho smarrito il dispositivo per firmare: o il token o la chiavetta o il telefono per la firma remota o cose di questo tipo.

Questo cosa vuol dire? Che quella firma ha una presunzione certa di correlata autenticità nei confronti del titolare e sicuramente lui. E se non è lui, è lui che me lo deve dimostrare.

00:20:48 Andrea Veca

Perché gli hanno rubato tutto: credenziali, chiavette.

00:20:53 Patrizia Sormani

Piccolo spoiler: questo vi fa capire come se è talmente legato e correlato al titolare, E tra l'altro i certificati non li può rilasciare chiunque, ma li possono rilasciare solo gli soggetti specifici,  che si chiamano qualified trust service provider, cioè prestatori di servizi fiduciari qualificati che quindi a livello europeo sono qualificati, riconosciuti, monitorati e tutto il resto.

00:21:21 Andrea Veca

Quindi scusa, qualified trust service provider.

00:21:25 Patrizia Sormani

Ancora una volta, se parliamo di trust, parliamo di un concetto di fiducia che sta alla base di cui io mi devo fidare.

Quindi capite bene che lo dice la normativa, ma è presunto nel processo stesso: questo processo non può essere delegato.

Cioè, io posso delegare qualcuno a firmare per mio conto un documento, ma lo usa la sua firma digitale, ma la firma digitale la devo usare io.

Quindi non esistono cassetti con chiavette con PIN, commercialisti che hanno cassetti con chiavette, smart card, PIN, segretarie, deleghe, perché comunque il terzo che contrae con me in buona fede ha la certezza che quella film è mia e quindi questo tema è essenziale.

Purtroppo, c'è un modus operandi un po' più allegro, lo definirei, ma io dico sempre grande, grande attenzione, perché vi potrebbero vendere la casa.

Io faccio sempre questo elemento, un preliminare di compravendita. Se io ho la firma digitale nel mio cassetto di Andrea, vado e gli faccio un bel preliminare di compravendita. Certo, non è impegnativo verso i terzi, ma verso la controparte sì che può chiedere danni.

00:22:33 Andrea Veca

Quindi, scusami, l'ultima precisazione, perché poi il tempo sta galoppando. La differenza sostanziale tra avanzata e qualificata sta nella inversione dell'onere della prova.

00:22:45 Patrizia Sormani

Non solo, nel senso che sta nell'inversione dell'onere della prova e sta nel fatto che la qualificata certamente prevede dei certificati rilasciati da un soggetto qualificato.

L'avanzata è un processo che può fare chiunque, sia un soggetto qualificato che un soggetto non qualificato.

Dal punto di vista del valore, la differenza sta nell'inversione dell'onere della prova.

00:23:13 Andrea Veca

Va bene, grazie Patrizia.

Mi scuso con chi ci sta ascoltando per questa mio desiderio di chiarificazione. Benissimo, esempi di firma elettronica qualificata e la appunto le abbiamo già dette. Insomma, la chiavetta, la ...

Come si firma oggi: token, smart card e firma remota

00:23:31 Patrizia Sormani

Allora gli strumenti per la firma elettronica qualificata o firma digitale di norma sono il famoso token USB che io inserisco nel PC.

All'interno del quale abbiamo un piccolo chip e in quel chip abbiamo proprio dentro il certificato, la smart card che devo inserire in un lettore collegato sempre al mio device per firmare, oppure adesso è molto diffusa proprio per temi tecnici anche di sicurezza, la cosiddetta firma qualificata remota.

Nella firma qualificata remota il certificato non risiede su un dispositivo che io possiedo, ma il certificato risiede su degli HSM, quindi delle macchine gestite direttamente da chi mi rilascia il certificato, e nel momento in cui io devo firmare mando tecnicamente, lo dico molto semplicemente, una chiamata verso queste macchine.

Questa macchina risponde chiedendomi conferma che sono io, quindi io dovrò mettere un OTP e quel punto si attiva il processo di firma. È chiaro che tutto questo è molto più semplice, perché basta che io abbia un telefono e firmo anche dalla Papuasia.

Quindi la firma remota, che non ha orpelli vari da mettere nel PC, mi consente di firmare semplicemente col mio telefono ovunque io sia nel mondo.

00:24:47 Andrea Veca

Esatto, senza necessità di infilare una chiavetta USB nel telefono, che è un'operazione che spesso fallisce. Quindi abbiamo detto HSM è l'acronimo che abbiamo utilizzato e che richiede che tu in qualche modo ti autentichi al, io lo chiamo molto più normalmente al provider. OK, quindi? In qualche modo tu ti autentichi, non mi interessa quando come e a quel punto è il provider che appone la firma, che usa il certificato in mio nome.

00:25:15 Patrizia Sormani

Teoricamente io chiedo al provider di attivare il mio certificato che lui custodisce, il provider a fronte della mia autenticazione e della mia conferma di identità. attiva quel certificato e perfeziona il processo di firma.

00:25:31 Andrea Veca

Perfetto. Ok. E così io ho il mio splendido documento firmato.

Perfetto. Adesso, nonostante le mie intemperanze, vorrei tornare un attimo sugli aspetti del valore.

Abbiamo capito i tre tipi, quindi firma elettronica semplice, avanzata, qualificata.

Abbiamo visto tre esempi, anzi, scusa, un paio di esempi per ciascuna di esse.

In realtà per l'avanzata abbiamo citato solo la firma grafometrica, ma transeat.

Abbiamo chiarito il concetto di inversione dell'ora della prova, che è estremamente interessante.

Proviamo a capire meglio i diversi valori, cioè in quali ambiti utilizzo l'una o l'altra o l'altra ancora.

Quando usare cosa: scegliere in base a contesto e rischio

00:26:12 Patrizia Sormani

Allora, il nostro pubblico è certamente un pubblico di PMI, però io credo di fare un esempio, se volete un po' out of scope ma chiaro, per farvi capire come non va demonizzato nessun tipo di firma, ma a seconda del contesto, del tipo di documento, io lo posso utilizzare.

Ipotizziamo che tra i nostri ascoltatori ci sia un gestore di un ambulatorio sanitario, voglio dire anche privato.

Allora io posso avere dei documenti tipicamente amministrativi, per i quali l'apposizione di una firma elettronica semplice è assolutamente più che sufficiente, ove richiesta.

Salvo la fatturazione elettronica che mi richiede la digitale. Però magari per tutta una serie di altri documenti questa firma va più che bene.

Poi posso avere invece un documento specifico che è il cosiddetto consenso informato del paziente, che ha sicuramente invece una valenza anche in ambito di rischio molto più strutturata.

Cioè, io ho bisogno di sapere innanzitutto che sia lui quello che firma.

Ho bisogno di sapere che quel documento abbia valore di parola scritta, cioè, scripta manent, ricordiamocelo, e ho bisogno di anche sapere che è totalmente impegnativo tra le parti, cioè scrittura privata tra me e lui si è impegnato a darmi il suo consenso e che io faccia delle prestazioni mediche.

Allora capite come probabilmente in questo caso la firma sufficientemente adeguata può essere la firma elettronica avanzata, dove, in una modalità piuttosto agile, anche magari con un processo che ho sviluppato all'interno della mia infrastruttura senza rivolgermi a un prestatore di servizi fiduciari, erogo un servizio di firma elettronica avanzata.

Perché sull'avanzata è opzionale: io posso rivolgermi a un prestatore di servizi fiduciari, ma anche no.

Perché a oggi, a seconda del certificato, qualora non usi la grafometrica che uso in una firma elettronica avanzata, posso avere un'elettronica avanzata qualificata o non qualificata, a seconda che quel certificato me lo rilasci un soggetto qualificato o non qualificato.

00:28:15 Andrea Veca

Aspetta, scusami, ti interrompo per fare un attimo chiarezza.

Quindi qui stiamo parlando dell'utilizzo di un certificato, quindi di un sistema di crittografia chiave simmetrica pubblica e privata, simmetrica, scusami, asimmetrica, volevo dire. Che è indispensabile nel caso della firma elettronica qualificata, così come è indispensabile che questo certificato venga rilasciato da un ente ben preciso che soddisfi determinati requisiti. Probabilmente si è iscritto a un albo, a un elenco.

Possono esserci certificati anche nella firma elettronica avanzata che posso farmi anche in cantina.

Fatturazione elettronica: obblighi, firma opzionale e casi pratici

 00:28:49 Patrizia Sormani

Assolutamente sì, non qualificati.

Detto questo, abbiamo detto quindi il consenso informato.

Ipotizziamo poi che abbiamo invece una cartella sanitaria. Il nostro ambulatorio si occupa banalmente delle visite sul lavoro e fa le cartelle sanitarie di rischio. Capite bene che la cartella sanitaria è comunque un documento che per sua stessa natura, indipendentemente che sia formato da una struttura pubblica o privata, ha comunque un valore di atto pubblico e deve, immaginate, avere una conservazione permanente.

Quindi in questo caso, ovviamente, la firma che viene apposta dal responsabile primario, direttore, quello che volete, deve essere una firma invece qualificata, una firma digitale, perché ho bisogno di un valore probatorio massimo, forte, perdurante.

E in quel caso uso quel tipo di firma.

Passando invece dall'ambito sanitario, che però mi è servito per farvi capire, non demonizzo nessuno strumento, li posso avere tutti e tre, ma cerco di utilizzarlo nel modo giusto.

Se passiamo all'atto pratico, anche voi avrete, non so, dovete emettere una fattura verso una pubblica amministrazione: dovete firmarla digitalmente, la legge ve lo impone. Non potete usare un'altra modalità, va firmata con una firma digitale.

00:30:05 Andrea Veca

Quindi scusa se ti interrompo perché qui ho bisogno di massima semplicità e massima schematizzazione, perché sennò mi può mi perdo.

Fatturazione elettronica verso PA digitale digitale, scusami, o firma elettronica qualificata, perfetto.

Che poi apponga il fisicamente il legale rappresentante oppure venga inserita all'interno del sistema ERP, questo è un dettaglio implementativo.

00:30:34 Patrizia Sormani

Allora, se anche inserita all'interno di un sistema ERP, abbiamo quella che si chiama firma elettronica qualificata, massiva o automatica. C'è stato preliminarmente, al momento del rilascio del certificato di questa firma, un'autorizzazione ad usarla massivamente e può essere usata solo massivamente. E tenete conto che col nuovo regolamento EIDAS ci saranno delle limitazioni in tal senso.

00:31:03 Andrea Veca

Fatturazione elettronica normale? Devo firmarle queste fatture?

00:31:07 Patrizia Sormani

Allora sapete tutti che è opzionabile la firma. Dal mio punto di vista, se lo chiedete a me, sì, firmatele, perché la firma comunque è garanzia di autenticità.

Quindi, secondo me, la firma posta le fatture è fondamentale. Da una survey vi posso dire che circa il 60 70% di persone le firma.

00:31:26 Andrea Veca

Veramente? Non ci credo neanche se mi dai dei soldi.

00:31:29 Patrizia Sormani

Allora teoricamente si va in quella direzione lì. Poi bisogna capire se la survey era in merito al valore delle fatture, quindi, ci spostiamo nel mondo corporate,  o in merito al numero delle fatture, quindi rimaniamo nel mondo PME.

Però così è il dato che vi è stato riportato.

Suggerimento: sì, firmatelo. In caso di contenzioso potete sempre dimostrare che il documento era vostro, perché ricordatevi che poi dal documento l'Agenzia estrapola dati eccetera eccetera. Quindi nel mio se io vi posso. Suggerire, sì, firmatele.

00:32:00 Andrea Veca

Perché quello che può succedere, scusa Patrizia, è che io ti mando una fattura senza firmarla e tu cliente dici "Ah no, ma questa fattura non è tua, non te la pago". È di questo che stiamo parlando?

00:32:11 Patrizia Sormani

Allora, diciamo che tu non mi mandi la fattura se io sono un cliente italiano, perché la fattura a me arriva dallo SDI, deve per forza arrivare necessariamente dal sistema di interscambio e tu a me non la mandi.

E quando mi arriva dal sistema di interscambio è chiaro che io eventualmente posso contestarla, ma quello è un altro tema.

Io parlo anche proprio nel rapporto con l'Agenzia delle Entrate perché, quando io lo mando al sistema di interscambio, l'Agenzia delle Entrate preleva dei dati dalla fatturazione elettronica che sono quelli tipicamente di valenza fiscale.

Se però poi apri un contraddittorio, io posso dire: ma la mia fattura che ho firmato digitalmente, che ha valore probatorio, che è autentica, è questa qua, tu quei dati, cioè ci possono essere degli errori.

Quindi avere un documento con un valore probatorio di autenticità forte è sempre essenziale.

Piccolo spoiler, perché inizialmente era obbligatorio, come per le fatture per la PA, poi fu tolto. Perché soprattutto le micro, micro PMI in alcuni casi non avevano la firma elettronica e obbligare ad avere la firma elettronica che richiede un costo di attivazione non era stato ritenuto idoneo.

00:33:15 Andrea Veca

Sì, non era cosa, soprattutto in partenza. OK, però si va in quella direzione pian pianino.

00:33:19 Patrizia Sormani

Secondo me, assolutamente sì. Anche perché, altrettanto piccolissimo spoiler, con il portafoglio inerente alla gestione dell'identità digitale e degli attributi, che è un po' un wallet come quello che noi usiamo per le carte, ma che conterrà molto di più, si va anche nella direzione che in questo portafoglio ciascuno di noi avrà a disposizione un certificato di firma digitale, a uso privato.

Quindi la volontà di diffondere capillarmente l'uso della firma.

Contratti di fornitura e HR: obblighi, forma scritta e buon senso

00:33:49 Andrea Veca

Perfetto. Questo è il trailer di un futuro episodio di Patrizia digitale plebeo analogico.

Perfetto, chiarissimo. E scusami se è colpa mia che ho. Ampliato, ho fatto un giro, un volo pindarico sulla parte di fatturazione elettronica.

Passiamo ad altri aspetti della vita quotidiana di un'azienda e che sono sostanzialmente due importanti su cui credo che valga la pena di soffermarci un secondo, che sono io, io li chiamo, come una bestia gli acquisti, ma forse è meglio chiamarli contratti di fornitura.

E poi vorrei parlare un attimo invece dei contratti con il personale. Affrontiamo un attimo questi due aspetti e poi andiamo verso la chiusura.

00:34:36 Patrizia Sormani

Allora, contratti di fornitura, tendenzialmente anche qui bisogna capire l'ambito.

Cioè, se è la fornitura dell'acqua che mette a disposizione dei dipendenti è un conto.

Se è la fornitura del cloud di cui mi avvalgo per far funzionare l'azienda o del software senza il quale si blocca tutto, probabilmente il discorso è diverso.

Perché l'area di rischio tra un acquisto dell'acqua e l'acquisto di un software piuttosto che di un cloud, un sistema in cloud ha delle aree di rischio totalmente diverse.

E allora capite bene come in un caso piuttosto che nell'altro, è il rischio che mi fa capire quale potrebbe essere lo strumento più idoneo per la firma.

Potrei firmare tutto con firma elettronica, ma forse nel secondo caso è meglio usare la firma digitale.

Poi ci sono delle, voglio dire, delle richieste che arrivano dalla normativa.

Tutte le volte che io ho a che fare con la PA è la legge che mi impone spessissimo di usare la firma digitale.

Ho i documenti relativi alla gestione dei rifiuti? Devo usare la firma digitale.

Ho i documenti relativi al libro unico del lavoro? Devo usare la firma digitale.

Devo firmare il bilancio? D devo usare la firma digitale.

Cioè, ci sono delle norme che mi chiedono quello perché la pubblica amministrazione dice: io voglio avere la certezza che sei tu e contro incontrovertibilmente con la presunzione forte.

Sono nell'ambito dell'HR? Magari il contratto di assunzione potrei firmarlo con una firma avanzata, con una firma semplice.

Però se è a tempo determinato il testo unico sul lavoro mi dice che ci vuole la prova scritta e allora so già che la semplice non va bene, devo andare sull'avanzata o sulla qualificata, perché altrimenti rischio che un vizio di forma vada a inficiare il rapporto contrattuale.

In qualche modo una piccola checklist che valuti il contesto, valuti l'obbligo normativo, valuti il rischio che è correlato a quel contratto e in base a un esame rapido di alcuni elementi, valutare lo strumento più adeguato.

00:36:37 Andrea Veca

Ok, contraddicendomi però per un secondo per puntualizzare quello che hai detto, perché è molto importante. La assunzione a tempo indeterminato è un conto, e la possiamo formalizzare anche con una stretta di mano.

Nel momento in cui ad esempio hai a tempo determinato, il fatto che sia determinato fa tutta la differenza del mondo che richiede la forma scritta.

00:36:59 Patrizia Sormani

La forma scritta e quindi devo usare lo strumento che mi garantisce la forma scritta, altrimenti non lo uso, nessun problema, però magari poi colui che è stato assunto dice: bene, sono assunto a tempo indeterminato perché imputa la non validità di forma di quel contratto.

00:37:16 Andrea Veca

Perfetto, quindi firma elettronica avanzata o firma elettronica, qualificata, perfetto.

E ok, scusami la puntualizzazione e in altra invece puntualizzazione in merito all'ultima cosa che hai detto, la checklist che mi porta a questa sintesi, non esiste, sebbene sarebbe bellissimo per togliersi dai piedi. Dover fare scelte, che è una rottura di scatole micidiale.

Non è che si usa la stessa firma per tutto in azienda.

Cioè, volendo sì, io potrei firmare tutto, smetto anche di mandare le mail, mando solo, diciamo, tipo Jacopo Ortis, no?

Insomma, ho un rapporto epistolare con le mie, i miei fornitori, i miei clienti. Però, a parte le stupidaggini, diciamo che ciascuna interazione richiede la propria firma. Non so se sia corretto dal punto di vista legale questa formulazione, poi il concetto è quello.

Non esiste la “firma quattro stagioni”

00:38:17 Patrizia Sormani

Allora, già dicevamo la volta precedente, noi siamo piccole aziende in un ecosistema. In un ecosistema che molto spesso ci obbliga ad adottare determinati strumenti.

E quando non ci obbliga ad adottarli, ci dobbiamo porre la domanda: sto usando lo strumento giusto o quello sbagliato?

Perché tante volte l'obbligo ci aiuta a usare lo strumento giusto, ma tante volte la mancanza di obbligo ci porta a usare il più semplice, che però magari non è quello giusto.

Quindi dobbiamo stare molto attenti a questo aspetto dell'ecosistema, per cui Jacopo Ortis purtroppo lo dobbiamo lasciare da parte.

Il secondo tema fondamentale è che, teoricamente, io potrei usare sempre la firma digitale e sono più sicuro del re, perché abbiamo detto che vale la firma autografa, tutte le sicurezze che deve avere, ma anche i costi che deve avere.

Perché la uso io, ma la deve usare anche il mio interlocutore! Cioè, se io firmo digitalmente, lui firma in maniera semplice, chiaramente abbiamo due valori differenti dati al documento da parte mia e da parte sua, perché potrei avere tipologie di firme diverse.

Quindi, inevitabilmente, devo porre attenzione allo strumento che uso e anche ai costi che vado a sostenere per l'uso di quello strumento.

Quindi non demonizziamo la firma semplice ha valore sì, ha valore legale sì.

Ma noi abbiamo capito qual è, quindi avevamo il nostro cassettino firma semplice e lo usiamo per certe cose.

Sappiamo che la firma avanzata è un po' particolare, ha certe belle caratteristiche, ma ha dei vincoli di processo.

Vale la pena? Non vale la pena.

Molte volte l'opzione è uso la semplice o la qualificate, l'avanzata la bypasso.

Ma abbiamo visto che in certi contesti, tipo le assicurazioni, le banche, eccetera. Si usa l'avanzata a profusione perché è semplice.

Oppure le informative precontrattuali, quando siamo super strutturati, c'abbiamo quella roba prima del contratto, quello precontrattuale, usiamo l'avanzata.

Abbiamo visto il consenso informato, usiamo l'avanzata.

Quindi non va bene? Sì, va benissimo, ma per certe cose particolari.

Ecco, noi dobbiamo capire bene qual è il cassetto che dobbiamo aprire.

Non esiste la firma, voglio dire, quattro stagioni.

O meglio, esiste ed è quella qualificata.

Ma è la è più costosa, più complicata, perché magari il mio interlocutore non ce l'ha.

Poi anche lì sul non ce l'ha ci sarebbe da discutere, perché se voi avete rapporti B2B, tutti hanno una firma digitale, perché un bilancio lo devono firmare, quindi ce l'hanno tutti.

Dimenticatevi che l'interlocutore vi dica: non ce l'ho, ce l'ha.

Magari non sa usarla, magari la usa per lui 10 persone, ma ce l'ha.

Se siete B2C è già diverso, perché magari il piccolo può non averlo.

Ma ricordiamoci che a breve gli verrà messo a disposizione il wallet e quindi anche lì la scusante non ce l'ha, diventa un po' meno sostenibile.

Per cui se usiamo quella viviamo serenissimi, ma possiamo usare anche le altre, capiamo dove usarle bene e senza problemi. Non abbiamo un esubero di costi, ma torniamo a dire un po' più di consapevolezza.

Chiusura e saluti

00:41:19 Andrea Veca

Perfetto, avrei ottocento domande ma me le tengo per i prossimi episodi. Ti ringrazio Patrizia per questa illustrazione sulle diverse tipologie di firma elettronica.

Ci sentiamo la prossima volta e per ora grazie mille, buone firme.

00:41:39 Patrizia Sormani

Grazie infinite a tutti coloro che ci hanno ascoltato e speriamo di aver fatto nascere qualche dubbio di riflessione sulle firme. Grazie ancora.

La registrazione finisce qui.

Grazie ancora a Patrizia Sormani!

Se c’è un punto che mi porto a casa, è firmare che non è mai un gesto neutro.

Che sia una mail, un clic o una firma digitale, ogni firma attiva conseguenze diverse, valori diversi, con livelli di rischio diversi. Il problema non è scegliere sempre la firma più forte, ma usare quella giusta nel contesto giusto, anche considerandone l’economicità.

Come di consueto, ti chiedo il favore di compilare il sondaggio legato all’episodio: trovi il link in descrizione. Ti richiede ventuno secondi, compresa l’apertura del browser, e aiuta un sacco MingaMal.

Dopodiché, come da liturgia, iscriviti al podcast, se MingaMal ti piace lascia mille stelline, e se sei ispirata, o ispirato, scrivi una recensione.