Data pubblicazione luglio 2025
Il presente documento riporta le informazioni relative alla soluzione di firma elettronica avanzata con tecnologia OTP, di seguito FEA, erogata dall'utente dell'applicazione Sportello Firma e Validazione di Sistemi S.p.A.
La Firma Elettronica Avanzata (FEA) è un tipo di firma elettronica che garantisce un livello di sicurezza e affidabilità superiore rispetto alla firma elettronica semplice. Le sue caratteristiche principali sono:
• Univocità: è legata in modo univoco al firmatario.
• Identificazione del firmatario: permette di identificare con certezza chi ha firmato.
• Controllo esclusivo: il firmatario ha il pieno controllo sui dati usati per creare la firma (ad esempio una chiave crittografica privata).
• Integrità: è possibile rilevare qualsiasi modifica successiva al documento firmato.
• Non ripudio: il firmatario non può negare di aver apposto la firma.
La FEA si basa, dunque, su sistemi crittografici che garantiscono autenticità, integrità e non ripudio. Nel contesto normativo, la FEA è definita da:
1. dal Decreto Legislativo 7 marzo 2005 n. 82 (CAD)
2. dal Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 recante "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali" (DCPM)
3. dalla normativa in materia di conservazione dei documenti informatici
4. dal Reg. (UE) 910/2014 (Reg. eIDAS).
In particolare, l'art. 56 delle "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali" stabilite dal DPCM del 22 Febbraio 2013 stabilisce i requisiti che un processo di FEA deve garantire, vale a dire:
a) l'identificazione del firmatario del documento
b) la connessione univoca della firma al firmatario
c) il controllo esclusivo del firmatario del sistema di generazione della firma, inclusi i dati biometrici eventualmente utilizzati per la sua generazione
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
f) l'individuazione del soggetto che eroga la soluzione di FEA al fine di utilizzarla nei rapporti intrattenuti con soggetti terzi
g) l'assenza di qualunque elemento nell'oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
h) la connessione univoca della firma al documento sottoscritto.
La soluzione FEA offre la modalità per realizzare una firma elettronica avanzata online, da remoto, sfruttando il canale internet.
Al termine delle operazioni di firma il documento assume caratteristiche tecniche ed informatiche che ne garantiscono integrità e non modificabilità.
Nella sezione seguente viene descritta la soluzione FEA adottata.
3.1 Descrizione del sistema di Firma Elettronica Avanzata con tecnologia OTP
La soluzione FEA è basata sulla soluzione software di Sistemi S.P.A. che interfaccia la piattaforma fornita da Terzi, denominata eSignAnyWhere (eSAW), deputata alla gestione del flusso di firma elettronica avanzata.
eSAW è utilizzata come sistema centrale trustato per l'erogazione di firme elettroniche semplici, avanzate e qualificate. La piattaforma è progettata per garantire massimi livelli di sicurezza nonché per rispettare pienamente tutti i requisiti previsti per la Firma Elettronica ai sensi del Regolamento europeo eIDAS.
L'utilizzo del protocollo HTTPS garantisce che ogni comunicazione da e verso il sistema di firma sia autenticata e protetta.
La piattaforma, inoltre, registra tutti gli eventi del processo, generando log per ciascuno di essi, includendo anche gli indirizzi IP e l'eventuale geolocalizzazione del firmatario.
L'integrità dei log è protetta da sistemi di crittografia basati su firme elettroniche e marche temporali. L'infrastruttura è quindi completata da un front end securizzato di gestione del servizio di firma.
4.1 Identificazione del cliente
Il servizio di firma elettronica avanzata viene attivato dal personale che opera nell'organizzazione dell'utente della applicazione software fornita da Sistemi S.p.A.
In fase di attivazione del servizio, il personale dell'utente provvederà a:
a. identificare il Titolare tramite i dati da lui forniti e l'acquisizione di un documento di riconoscimento in corso di validità
Ultimata la fase di identificazione e registrazione, al Firmatario verrà:
b. richiesto di accettare l'informativa per attivare il servizio FEA
c. reso disponibile il documento da firmare con FEA attraverso l'account previsto al punto 4.2
d. inviata una One Time Password (OTP) al numero di cellulare indicato.
4.2 Sistema di autenticazione online da remoto
La sicurezza del sistema di autenticazione per la FEA online da remoto è basata su:
• l'accesso ad un account personale protetto da password, come ad esempio un indirizzo e-mail
• una One Time Password (OTP) inviata nel numero di cellullare personale dell'utente.
La chiave privata ed il certificato di firma sono utilizzati esclusivamente per l'apposizione della FEA. La firma viene valorizzata con i dati dell'utente (username dell'account, codice OTP inviato nel numero di cellulare del cliente) che, nel loro complesso e in virtù del processo implementato dalla piattaforma, risultano collegati biunivocamente al legittimo utente e al documento sottoscritto.
4.3 Processo di firma online da remoto
Subordinatamente all'identificazione di cui all'art. 4.1 e all'accettazione dell'Informativa di servizio da parte del Firmatario, il servizio FEA con tecnologia OTP è utilizzabile per la sottoscrizione della documentazione relativa a documenti prodotti dal soggetto erogatore nell'espletamento di un mandato professionale o aventi carattere contrattuale.
Per eseguire la firma in modalità online è necessario che il firmatario acceda all'account o recuperi il link al documento da firmare e inserisca l'OTP nell'apposito campo firma.
Nello specifico, il soggetto firmatario prende visione del documento da sottoscrivere e procede alla sua lettura in totale autonomia, manifestando la volontà di sottoscrizione attraverso un processo di firma "point and click" e con effettiva conferma di sottoscrizione tramite l'utilizzo del codice OTP ricevuto al proprio numero di cellulare.
4.4 La firma e la connessione univoca al firmatario
La FEA rappresenta una particolare specie di firma elettronica con alcune peculiari caratteristiche di sicurezza che si riscontrano pienamente nella soluzione denominata Firma OTP, realizzata mediante l'applicazione qui descritta.
L'univocità della connessione della firma al firmatario, presupposto obbligatorio per la sottoscrizione del documento informatico, viene garantita dall'inserimento della One Time Password (OTP), inviata al numero di cellulare che il Firmatario ha dichiarato in fase di
identificazione essere, in quel momento e per tutta la durata del processo di sottoscrizione, nella sua piena ed esclusiva disponibilità.
La FEA OTP garantisce pienamente il rispetto di queste due condizioni attraverso l'impiego del codice OTP comunicato in maniera riservata al firmatario. Il firmatario è inoltre informato che la sottrazione, il furto, l'appropriazione indebita, lo smarrimento o l'uso non autorizzato del cellulare in quanto dispositivo di sicurezza deve essere immediatamente comunicato. La procedura, infatti, non consente l'invio al firmatario di un OTP a un numero di cellulare che non sia stato precedentemente certificato nell'anagrafica dello stesso. Quindi, anche nel caso di semplice sostituzione del numero di cellulare si dovrà preventivamente procedere con la registrazione del nuovo numero presso il soggetto erogatore prima di avviare un nuovo processo di firma.
Qualsiasi parte coinvolta nel processo di firma che voglia rivedere l'attività associata a un documento firmato è in grado di visualizzare e scaricare un Certificato di Completamento del processo (Audit trail) associato al documento firmato.
A garanzia dell'integrità del documento firmato e del Certificato di Completamento, il sistema protegge le informazioni con tecnologia anticontraffazione, controfirmando con una sorta di sigillo (firma digitale) tutti i documenti oggetto della transazione.
Il Certificato di Completamento contiene, inoltre, tutte le informazioni che garantiscono la connessione univoca del firmatario al documento.
4.5 Garanzia del controllo esclusivo del firmatario sul sistema di generazione della FEA
Durante la fase di sottoscrizione, il controllo esclusivo del firmatario sul sistema di generazione di firma è garantito dal fatto che la FEA viene generata inserendo un OTP inviato tramite sms al numero di cellulare, precedentemente verificato, che il Firmatario ha dichiarato in fase di identificazione essere, in quel momento e per tutta la durata del processo di sottoscrizione, nella sua piena ed esclusiva disponibilità.
Il cellulare del Firmatario è lo strumento certificato in fase di adesione al servizio di firma OTP ed abilitato a ricevere, mediante SMS, il codice OTP da utilizzare per sottoscrivere i documenti contrattuali.
4.6 Garanzia dell'integrità del documento informatico sottoscritto con FEA
Il documento firmato elettronicamente con FEA e la piattaforma su cui avviene il processo di firma non permettono di modificare in alcun modo il contenuto del documento sottoposto al Firmatario. A seguito della firma, il documento sarà conservato in modalità digitale a norma di legge e non sarà in alcun modo modificabile né dal firmatario né dal soggetto che ha attivato il processo di firma.
Il documento sottoscritto con FEA sarà sempre accessibile su richiesta del Firmatario al che ha attivato il processo di firma.
In caso di mancata adesione all'Informativa di servizio, il Firmatario non potrà utilizzare la FEA come metodo di sottoscrizione.
Il Firmatario assume a proprio carico ogni responsabilità in ipotesi di falsità o erroneità dei documenti di identità, delle informazioni, dei dati, delle dichiarazioni e delle garanzie rese e fornite e si impegna a comunicare tempestivamente ogni variazione degli stessi. Pertanto, garantisce la veridicità del documento di identità e di tutti i dati personali comunicati al momento dell'identificazione.
Inoltre, egli garantisce anche che l'indirizzo di posta elettronica e il numero di cellulare indicati al momento dell'identificazione sono nella sua piena ed esclusiva disponibilità e rimarranno tali per tutta la durata del processo di sottoscrizione tramite FEA.
Il Firmatario, se lo desidera, ha il diritto di chiedere gratuitamente copia di tutta la documentazione da lui sottoscritta elettronicamente, inclusa l'accettazione dell'Informativa di servizio sottoscritta, comprensive di allegato e copia del documento d'identità ai sensi dell'art. 56, co.1, lett. e) DPCM, che accetta espressamente di ricevere via e-mail.
Le regole tecniche, art. 57 comma 1, prevedono per il Soggetto che eroga servizi di firma elettronica l'obbligo di identificare in modo certo il firmatario tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinando l'attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte del Firmatario.
Al termine del processo di informativa l'erogatore dovrà conservare per almeno venti anni copia del documento di riconoscimento e della dichiarazione di adesione al servizio, unitamente a ogni altra informazione atta a dimostrare l'ottemperanza a quanto previsto all'articolo 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità.
È fondamentale, ma non obbligatorio, che il Soggetto che eroga il servizio di firma elettronica si doti di uno strumento di conservazione digitale a norma di Legge, dove archiviare quanto suddetto insieme al documento sottoscritto con FEA.
Il DPCM 22 febbraio 2013 prevede per la Firma Elettronica Avanzata le seguenti limitazioni:
• non è consentito il libero scambio di documenti informatici: il suo uso è limitato al contesto
• la FEA è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il firmatario e il soggetto che eroga soluzioni di FEA.
A cura del soggetto erogatore il documento informatico sottoscritto viene inviato tramite canali protetti al sistema documentale e all'archivio di conservazione a norma per la relativa conservazione.
I dati personali rilevati nel processo di firma saranno trattati in piena conformità alla normativa applicabile in materia di dati personali.
In ogni momento il Titolare può revocare il consenso all'utilizzo della FEA mediante richiesta da presentarsi per iscritto al soggetto che eroga la soluzione di firma.
Conformemente alle disposizioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, il soggetto che eroga la soluzione di firma tratterà i dati personali del Firmatario per le finalità connesse alla sottoscrizione dei documenti mediante l'utilizzo della soluzione di FEA OTP.
Il soggetto che eroga la soluzione di firma ha stipulato, in ottemperanza alle previsioni legislative contenute nel DPCM 22-02-2013, art. 57, comma 2, polizze assicurative, a tutela dell'utente che sottoscrive con FEA.