Firma Elettronica Qualificata (FEQ): che cos’è e quando usarla

La Firma Elettronica Qualificata (FEQ) è la tipologia di firma elettronica che offre il massimo livello di sicurezza ed affidabilità. Dal punto di vista giuridico, ha lo stesso valore di una firma autografa e l'efficacia della scrittura privata, tanto da essere utilizzata nelle sottoscrizioni notarili degli atti pubblici informatici. Ma cosa la distingue dalle altre tipologie di firma? E quali documenti possono essere firmati con FEQ? Leggi l'approfondimento.

La firma elettronica qualificata (FEQ) è la tipologia di firma elettronica più robusta prevista dalla normativa europea eIDAS (electronic IDentification Authentication and trust Services). Secondo tale normativa, questa tipologia di firma viene «creata su un dispositivo per la creazione di una firma elettronica qualificata» ed è «basata su un certificato qualificato per firme elettroniche». Pertanto, la FEQ assicura in modo univoco l'identificazione del titolare e la sua correlazione univoca ai dati di firma.

In virtù di tali requisiti, è giuridicamente equiparata alla firma autografa e può essere utilizzata per sottoscrivere contratti, atti ufficiali e altri documenti in ambito fiscale e civilistico in modo completamente digitale e con piena validità legale. Nello specifico, la firma elettronica qualificata garantisce l'autenticità, l'integrità e il non ripudio dei documenti informatici.

La progressiva digitalizzazione dei processi aziendali ha reso necessario lo sviluppo di regole e strumenti tecnologici che possano garantire l'autenticità e la validità dei documenti firmati digitalmente per evitare il rischio di eventuali tentativi di falsificazione o alterazione del contenuto.

Anche per la FEQ esistono regolamentazioni tecniche rigorose. In particolare, questo tipo di firma si basa su un certificato qualificato, emesso da una Certification Authority accreditata, a garanzia dell'identità del firmatario e dell'autenticità della firma, e su dei dispositivi sicuri, come token USB, smart card e in modalità automatica da remoto sugli HSM.

Il quadro normativo che regola la firma elettronica qualificata è definito principalmente dal già citato Regolamento UE n. 910/2014 eIDAS, che stabilisce le regole per l'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato unico europeo, e dal Regolamento UE 2024/1183 del Parlamento Europeo e del Consiglio, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo ad un'identità digitale.

Il regolamento eIDAS ha disciplinato la FEQ rendendola uno strumento fondamentale per la digitalizzazione e la semplificazione dei processi sia per le aziende che per la pubblica amministrazione, garantendo l'efficacia giuridica delle transazioni elettroniche e facilitando l'adozione di pratiche digitali in ambito legale, fiscale e commerciale.

Come accennato in precedenza, secondo le disposizioni eIDAS una FEQ può essere apposta solo a seguito della generazione di un certificato di firma qualificato, intestato al firmatario, da parte di un Qualfied Trust Service Provider (QTSP), un'entità autorizzata da un organo di governo e vigilanza a fornire servizi fiduciari con elevati standard di sicurezza.

In Italia, la FEQ – così come la firma elettronica semplice e avanzata – è disciplinata anche dal D.lgs. 7 marzo 2005 n. 82 Codice dell'Amministrazione Digitale (CAD) e sue modifiche, che definisce l'efficacia giuridica delle diverse tipologie di firma elettronica, e dalla normativa AgID (Agenzia per l'Italia Digitale).

La Firma Elettronica Avanzata (FEA) e la firma elettronica qualificata si differenziano principalmente per i diversi standard e requisiti di processo e per la diversa applicabilità nelle sottoscrizioni elettroniche.

La FEA risulta ideale per firmare documenti che richiedono la forma scritta in processi "uno a molti", con un livello di sicurezza più o meno rigoroso, definito dai requisiti di identificazione certa del firmatario e dai log informatici attestanti, ad esempio, la connessione della firma unicamente al firmatario, il controllo esclusivo del firmatario del sistema di generazione della firma o che i dati informatici sottoscritti non abbiano subito modifiche dopo l'apposizione della firma.

Può essere utilizzata per firmare documenti informatici nell'ambito sanitario, assicurativo, bancario e commerciale. Sono esclusi gli atti amministrativi e dei contratti o atti definiti immobili.

Nell'ambito dei documenti informatici che devono essere "fatti per iscritto", come l'atto pubblico o la scrittura privata ai sensi dell'art. 1350 del Codice Civile, la FEQ offre quel livello di sicurezza, integrità, immodificabilità del documento e la sua riconducibilità all'autore che sono previste dal legislatore per definirle valide legalmente.

La FEQ si presume essere sempre riconducibile al firmatario in quanto connessa ad un certificato qualificato e ad un dispositivo sicuro. Pertanto, in caso di disconoscimento della firma da parte del firmatario o di contenzioso, sarà quest'ultimo a dover dimostrare di non aver firmato (inversione dell'onere della prova).

La firma digitale elettronica è un tipo particolare di firma qualificata prevista solo dalla legislazione italiana.

Regolamentata dal Codice dell'Amministrazione Digitale (CAD), essa utilizza un sistema di chiavi crittografiche asimmetriche – una chiave privata per il firmatario e una chiave pubblica per il destinatario – per riconoscere in modo univoco il firmatario e garantire l'autenticità e l'integrità dei documenti. In questo modo, chi riceve il documento firmato potrà verificarne la provenienza e l'inalterabilità.

L'utilizzo della firma digitale è fondamentale quando i documenti richiedono non solo una sottoscrizione elettronica ma anche una validità legale forte e una protezione contro la falsificazione.

Come per la FEQ, se un documento firmato digitalmente viene disconosciuto, l'onere della prova ricade sul sottoscrittore, che dovrà dimostrare di non aver firmato.

Secondo le disposizioni del Regolamento eIDAS, l'utilizzo della FEQ è obbligatorio nei seguenti casi:

• Contratti commerciali, per formalizzare accordi con altre aziende o clienti.
• Documenti fiscali, come dichiarazioni dei redditi o altre pratiche fiscali inviate all'Agenzia delle Entrate.
• Documenti pubblici e amministrativi, ad esempio richieste a enti pubblici, atti notarili, atti giudiziari, ecc.
• Contratti di assunzione in ambito risorse umane, per la formalizzazione dell'assunzione di un dipendente con valore legale.
• Accordi legali e notarili, documenti che necessitano di una prova legale di autenticità, come quelli stipulati per accordi di divisione patrimoniale, compravendite immobiliari o testamenti.

In alternativa, può essere impiegata per una vasta gamma di documenti legali, contrattuali e amministrativi. Ecco alcuni esempi:

• Contratti di lavoro, dalla stipula di contratti aziendali a quelli di consulenza.
• Contratti di affitto a lungo periodo.
• Documenti fiscali e tributari, come dichiarazioni fiscali o bilanci aziendali.
• Atti notarili elettronici.

In generale, qualsiasi documento che richieda una firma legalmente vincolante può essere firmato tramite FEQ, rendendo il processo non solo più veloce, valido dal punto di vista probatorio ma anche estremamente sicuro e tracciabile.

BIX-SIGN è la soluzione di firma elettronica semplice, avanzata e qualificata che permette di inviare, firmare e gestire con estrema facilità i documenti, tutto all'interno di un'unica piattaforma.

Grazie a un processo intuitivo e sicuro, gli utenti possono sottoscrivere rapidamente contratti o documenti legali e amministrativi in qualsiasi momento, senza la necessità di recarsi fisicamente in un ufficio.

Il processo di identificazione del firmatario, necessario per l'emissione del certificato di firma, avviene tramite BIX-IDE, il servizio di Digital Onboarding per l'identificazione da remoto, integrato e attivabile su richiesta. All'interno del flusso FEQ, BIX-IDE garantisce un'identificazione certa del firmatario attraverso le identità digitali SPID e CIE, assicurando che solo il soggetto legittimo possa apporre la firma.

Integrando BIX-SIGN nei propri processi aziendali, le imprese possono velocizzare le operazioni, ridurre i tempi di gestione dei documenti e offrire ai propri clienti una user experience semplice, sicura e 100% digitale.