Che cos'è la firma elettronica qualificata? Definizione di QES

La firma elettronica qualificata (QES) è la forma più avanzata e sicura di firma digitale oggi disponibile.

Secondo il regolamento europeo eIDAS (electronic IDentification, Authentication and trust Services), una firma digitale qualificata è una firma elettronica avanzata supportata da un certificato qualificato. Solo i Trust Service Provider (TSP) che hanno ottenuto lo status di“qualificato” dalle autorità competenti (ad esempio l’ANSSI in Francia) possono rilasciare questo certificato.

La QES si differenzia dagli altri 3 tipi di firma elettronica per due aspetti:

  • L’identità viene verificata prima dell’emissione del certificato
  • La sua creazione richiede l’uso di un dispositivo di creazione di firma qualificato (QSCD).

Queste due caratteristiche specifiche garantiscono l’autenticazione inconfutabile dell’identità del firmatario, nonché l’integrità e il non ripudio della firma. Una volta apposto, è praticamente impossibile da contestare o alterare senza lasciare tracce evidenti. È talmente affidabile che ha lo stesso valore legale di una firma autografa. Ciò significa che, in caso di controversia, la vostra firma elettronica qualificata avrà lo stesso valore probatorio in tribunale di una firma tradizionale a penna.

Problemi di QES

Come si può immaginare, l’esigenza di sicurezza e autenticità è al centro delle preoccupazioni quando si verifica l’identità da remoto. Per soddisfare queste esigenze, la firma elettronica qualificata offre una soluzione affidabile e robusta. Grazie a rigorosi meccanismi di controllo e a una tecnologia avanzata, potete essere certi che il firmatario sia chi dice di essere.

Nell’era digitale, dove la verifica a distanza dell’identità sta diventando essenziale, la firma elettronica qualificata si distingue per la sua capacità di proteggere transazioni e documenti dalla falsificazione. Utilizzato in un contesto professionale o personale, conferma il vostro impegno con una validità legale indiscutibile.

Avete domande?

Fissate un appuntamento con uno dei nostri esperti per scoprire come le soluzioni Netheos vi permettono di verificare l’identità dei vostri utenti, in modo sicuro e senza perdere la conversione.

Come funziona la firma elettronica qualificata

Logo eIDAS

La firma elettronica è la firma più sicura del regolamento eIDAS perché ha due caratteristiche distintive:

  • Il certificato elettronico qualificato, componente essenziale del QES, può essere emesso solo dopo aver verificato l’identità del firmatario.
  • La firma elettronica qualificata può essere creata solo utilizzando un QSCD, validato dall’ANSSI, che contiene il certificato qualificato.

Che cos'è un certificato elettronico qualificato?

Un certificato elettronico qualificato è, per usare una metafora, il sigillo digitale che lega irrevocabilmente la vostra identità alle vostre firme elettroniche. Questo certificato, emesso da una Certification Authority (CA) qualificata, stabilisce un legame inequivocabile tra i dati di identificazione personale e la firma elettronica apposta sui documenti digitali. L’integrità della vostra firma si basa sull’univocità della vostra identità, indiscutibilmente attestata da questo atto di certificazione. Il certificato elettronico qualificato è una sorta di carta d’identità digitale del firmatario, che attesta la veridicità delle sue informazioni personali.

Questo documento di certificazione è il risultato di un processo rigoroso. La vostra presenza, virtuale o fisica, è necessaria per il rilascio, assicurando un legame diretto e verificabile con voi stessi e garantendo il massimo livello di sicurezza.

Che cos'è un QSCD?

Il QSCD, o Dispositivo per la creazione di una firma qualificata, è l’hardware o il software approvato da un’autorità europea per la sicurezza e la difesa dei sistemi informatici (ad esempio l’ANSSI in Francia) che crea e protegge la chiave crittografica privata utilizzata per generare la firma elettronica qualificata. Sono forniti da fornitori di servizi di fiducia qualificati (QTSP) durante la fase di verifica dell’identità. I QSCD sono fisicamente incarnati in“token“: chiavi USB, smart card o badge. Oggi l’ANSSI autorizza alcuni QTSP, come Netheos, a utilizzarli in remoto, nel Cloud.

Chiave USB QSCD Thales
Chiave USB di Thales

Il loro ruolo è quello di memorizzare in modo sicuro la chiave crittografica privata dell’utente e garantire che non lasci mai il token. Sono progettati per essere robusti contro qualsiasi tentativo di hacking o di estrazione forzata dei dati dei token.

I QSCD sono quindi fondamentali perché garantiscono che la vostra firma digitale sia valida e legalmente equivalente a una firma di persona. Inoltre, protegge la vostra identità garantendo che la firma non possa essere falsificata o riutilizzata.

Che cos'è una chiave crittografica?

È la componente tecnica centrale della firma elettronica. Tecnicamente, si basa sulla crittografia RSA, un algoritmo crittografico asimmetrico ampiamente utilizzato per lo scambio di dati riservati su Internet. Ma si potrebbe chiedere! Questo termine matematico significa che per creare e leggere una firma digitale vengono utilizzate due chiavi diverse: una chiave pubblica per criptare i dati riservati e una chiave privata associata per decriptarli. Per le firme elettroniche, l’uso è invertito: solo il firmatario può crittografare la sua firma con la sua chiave privata, e chiunque sia in possesso della chiave pubblica associata sarà in grado di decifrarla.

Crittografia asimmetrica - Fonte Wikipedia

Ecco i passaggi necessari per creare una firma elettronica qualificata utilizzando la crittografia asimmetrica:

  1. Preparazione e protezione del documento da firmare: Quando un utente desidera firmare un documento in modo digitale, crea innanzitutto un’impronta, nota anche come condensato, del documento da firmare utilizzando una funzione di hash. L’impronta digitale è una sequenza alfanumerica unica (numeri + lettere) utilizzata per condensare e codificare i dati testuali del documento. Anche una minima modifica al documento iniziale porterà alla produzione di una stampa completamente diversa.
  2. Crittografia dell’impronta digitale con la chiave privata: la chiave privata del firmatario, generata da QSCD e convalidata dalla terza parte fidata, viene utilizzata per “crittografare” l’impronta digitale, creando una firma digitale (in formato alfanumerico). Questa tecnica consente di certificare che la firma è stata effettivamente creata dal firmatario verificato, che è l’unico titolare della chiave privata.
  3. Firma qualificata: in parallelo, il certificato qualificato del firmatario sarà associato alla firma elettronica per generare il documento firmato digitalmente, soddisfacendo i requisiti del regolamento eIDAS (QES = certificato qualificato + firma avanzata). Come promemoria, il certificato collega la vostra chiave pubblica, anch’essa creata da QSCD, alla vostra identità. Ciò consente a chiunque possieda questa chiave di confermare che l’impronta digitale è stata crittografata (firmata) con la chiave privata.
  4. Verifica dell’impronta digitale: Il mittente creerà a sua volta un’impronta del documento firmato ricevuto utilizzando la stessa funzione di hash. Utilizzerà quindi la chiave pubblica ricevuta per decifrare la firma e recuperare l’impronta digitale originale. Se queste due impronte digitali generate sono identiche, la firma è valida: il documento non è mai stato alterato dopo la firma.

Questo sistema permette di proteggere il documento da qualsiasi alterazione e di dimostrare che il firmatario è la persona che possiede la chiave privata associata alla chiave pubblica.

Certificato fisico o elettronico remoto qualificato

Storicamente, la fase preliminare di verifica dell’identità veniva effettuata durante un incontro fisico tra il firmatario e l’autorità di certificazione. In questa fase, il QTSP convalida la sua identità e gli consegna iltoken hardware contenente la sua chiave crittografica privata. Il firmatario può quindi firmare i documenti dopo averlo sbloccato inserendo un codice PIN.

Con l’avvento delle tecnologie cloud, ora avete la possibilità di ottenere un certificato elettronico a distanza. In questo caso, invece di avere un oggetto fisico, la chiave crittografica è protetta su un server cloud tramite un modulo di sicurezza hardware (HSM ) remoto. Questo sistema basato sul cloud, gestito da un Trusted Service Provider (TSP), offre una maggiore flessibilità rispetto a un dispositivo fisico, perché è possibile accedere alla firma elettronica ovunque ci si trovi, purché si disponga di una connessione a Internet. Questo semplifica il processo di firma elettronica eliminando la necessità di trasportare e mantenere un hardware specifico. Questa facilità di accesso non compromette tuttavia la sicurezza, poiché i fornitori di servizi di fiducia che gestiscono questi sistemi devono soddisfare i requisiti di sicurezza estremamente rigorosi stabiliti dal regolamento eIDAS.

Valore legale della firma elettronica qualificata

QES: l'unico equivalente legale di una firma autografa

In termini di valore legale, la firma elettronica qualificata si differenzia in modo significativo da altre forme di firma elettronica. Ai sensi del regolamento europeo eIDAS, il QES è esplicitamente riconosciuto come l’equivalente legale di una firma autografa in tutti gli Stati membri dell’UE.

Ecco perché il suo status legale lo rende così speciale:

  • Riconoscimento legale: ai sensi dell’articolo 25 del Regolamento eIDAS, una firma elettronica qualificata ha lo stesso valore legale di una firma autografa. Ciò significa che in un procedimento legale una firma qualificata non può essere rifiutata come prova solo perché è in formato elettronico.
  • Autenticità e integrità: QES garantisce l’autenticità dell’identità del firmatario attraverso rigorose procedure di verifica stabilite dalle Autorità di Certificazione. Inoltre, garantisce l’integrità del documento, in quanto qualsiasi modifica al contenuto dopo la firma è tecnicamente rilevabile, rendendo la firma non valida in caso di controversia.
  • Accettazione europea: il regolamento eIDAS definisce il quadro giuridico per l’uso e il riconoscimento dei 3 tipi di firma elettronica, di cui il QES è uno, in tutti gli Stati membri dell’Unione europea, compresa la Francia. Solo i Qualified Trusted Service Provider (QTSP) riconosciuti e certificati da eIDAS sono autorizzati a rilasciare certificati qualificati.

Validità del QES in caso di controversia e inversione dell'onere della prova

In caso di controversia, la vostra firma elettronica qualificata ha lo stesso valore legale di una firma autografa tradizionale. In termini pratici, ciò significa che è riconosciuto dai tribunali allo stesso modo delle prove scritte. Questo livello di riconoscimento è reso possibile dalla stretta osservanza delle normative che richiedono ai Qualified Trusted Service Provider (QTSP) di seguire procedure rigorose per la verifica dell’identità e l’emissione del certificato qualificato associato.

Tuttavia, con la firma elettronica qualificata questa dinamica si inverte.

Il regolamento eIDAS prevede una presunzione di validità, il che significa che un documento firmato con una firma elettronica qualificata è automaticamente considerato autentico e di integrità garantita, salvo prova contraria. Pertanto, se qualcuno contesta la validità della vostra firma qualificata davanti a un tribunale, spetta a lui fornire la prova che non è valida: questo è noto come principio dell’inversione dell’onere della prova. In altre parole, l’onere della prova è invertito rispetto a una firma elettronica di livello inferiore, dove spetta al firmatario dimostrare l’affidabilità della propria firma.

Webinar

Siete interessati a questo argomento?

Per saperne di più, scaricate il nostro white paper gratuito intitolato “Firma elettronica qualificata: coniugare conformità ed esperienza dell’utente”

Come si ottiene una firma elettronica qualificata?

Per ottenere la propria Firma Elettronica Qualificata, è necessario seguire una procedura ben definita e conforme ai rigorosi requisiti stabiliti dal regolamento eIDAS. Ecco i passi essenziali per realizzare un ESQ:

  1. Scelta di un fornitore di servizi di fiducia qualificato (QTSP): È necessario utilizzare un QTSP riconosciuto, ossia un’entità che è stata valutata e possiede la certificazione necessaria per fornire servizi di creazione di firma elettronica qualificata. L’elenco dei fornitori di servizi qualificati è disponibile sul sito web di eIDAS.
  2. Verifica dell’identità: il regolamento eIDAS richiede una verifica approfondita dell’identità per garantire l’autenticità della firma. Questa fase viene svolta dal QTSP scelto e prevede l’utilizzo di una soluzione sicura di verifica dell’identità a distanza, come Netheos ID FAST. Oltre a presentare una prova d’identità valida, gli strumenti di riconoscimento facciale dell’intelligenza artificiale confrontano la foto del documento d’identità con il vostro volto, assicurando che siate effettivamente la persona in possesso della carta d’identità.
  3. Ottenere il certificato qualificato: Una volta confermata la vostra identità, il fornitore di servizi vi rilascerà un certificato di firma elettronica qualificata, che depositerà in un QSCD: il dispositivo di creazione della QES. Questo documento digitale collega i dati di identificazione ai dati di creazione della firma e conferma l’origine e l’integrità dei documenti firmati.
  4. Firma: ora è possibile firmare il contratto. Questa fase varia da un fornitore di servizi all’altro, ma generalmente funziona tramite un codice di 6 cifre chiamato OTP (One Time Password) ricevuto via SMS o e-mail.

Firme elettroniche qualificate per le formalità INPI

L’Institut National de la Propriété Industrielle (INPI), l’ente ufficiale francese responsabile della registrazione della proprietà intellettuale come brevetti, marchi e disegni, consente ora di espletare molte formalità online. Per garantire la sicurezza e la veridicità di queste procedure, la Firma Elettronica Qualificata è uno strumento prezioso e talvolta necessario.

L’uso del QES risponde a una duplice sfida per le vostre formalità con l’INPI: assicurare l’integrità del documento trasmesso e garantire l’identificazione certa del firmatario, che può essere l’inventore, il creatore o qualsiasi agente che agisca per suo conto.

L’implementazione del QES per le formalità INPI segue il quadro giuridico imposto dal regolamento eIDAS e richiede i seguenti passaggi:

  1. Ottenere un certificato qualificato: Come già detto, è necessario acquisire un certificato qualificato da un Qualified Trusted Service Provider (QTSP) certificato dall’ANSSI, che verificherà la vostra identità.
  2. Preparare la formalità: preparare il documento relativo alla formalità INPI (domanda, opposizione, rinnovo, ecc.) seguendo le linee guida fornite dall’INPI per il rispetto dei formati e delle condizioni di deposito.
  3. Firma: firmare il documento elettronicamente utilizzando il QSCD (fisico o remoto) fornito dal Trusted Service Provider di vostra scelta.
  4. Trasmissione in formato elettronico: una volta firmato il documento, trasmetterlo in formato elettronico tramite la piattaforma online dell’INPI.
Nota importante

Netheos non offre la firma elettronica qualificata per unità, come richiesto per le formalità INPI. La nostra soluzione, basata su una piattaforma API, è in grado di gestire grandi volumi di firme qualificate, il che la rende più adatta alle aziende altamente regolamentate che ai privati.

Ottenere una firma elettronica qualificata gratuita

Non esiste una soluzione gratuita per le firme elettroniche qualificate. Sebbene la maggior parte degli operatori francesi e internazionali (Yousign, Docusign, Universign, Eversign e PandaDoc) offrano diversi giorni di prova gratuita, questo vale solo per le firme elettroniche semplici, ovvero il primo livello di sicurezza e di riconoscimento legale ai sensi del regolamento eIDAS. Tuttavia, questa procedura è ancora oggi di gran lunga la più utilizzata al mondo!

Il motivo è logico: la firma semplice non ha vincoli legali o tecnici. Ciò significa che potete firmare senza dover verificare la vostra identità e che non viene rilasciato alcun certificato. In caso di controversia, il firmatario può quindi negare di aver firmato.

La versione qualificata, invece, corrisponde al livello eIDAS più regolamentato e tecnicamente impegnativo, che richiede l’utilizzo di soluzioni tecnologiche avanzate e ultra-sicure. I costi aggiuntivi sostenuti dai fornitori di servizi di fiducia non consentono di offrire soluzioni gratuite.

Quali sono i criteri per scegliere un fornitore di servizi di fiducia qualificato (QTSP)?

La scelta del giusto fornitore di servizi è fondamentale per garantire l’integrità, la sicurezza e il riconoscimento legale delle firme elettroniche. Ecco i fattori da considerare:

  • Conformità eIDAS: assicurarsi che il QTSP sia inserito nell’elenco di fiducia dell’Unione Europea. Questo elenco consente di verificare che il fornitore di servizi sia conforme ai rigorosi requisiti del regolamento eIDAS e sia autorizzato a fornire servizi di firma elettronica qualificata. Il gruppo Namirial, di cui Netheos è un prodotto, è un QTSP certificato da eIDAD. Le nostre firme sono legalmente valide in Francia e in tutta l’Unione Europea.
  • Affidabilità e reputazione: un QTSP affidabile è spesso riconosciuto per il suo track record e la sua reputazione nel campo della sicurezza digitale. Le recensioni dei clienti, i casi di studio e le certificazioni sono indicatori di fiducia da non trascurare. Namirial e il suo prodotto Netheos sono tra i leader europei , con clienti prestigiosi come La Banque Postale, Floa Banque, CDC Habitat, Préfon, Xpollens, Yves Rocher e molti altri.
  • Facilità di integrazione: il vostro QTSP deve essere in grado di offrirvi soluzioni che si integrino facilmente con il vostro sistema IT esistente. L’interoperabilità con le applicazioni e gli strumenti attuali è un aspetto pratico da considerare per evitare costi aggiuntivi associati all’adattamento del software. In Netheos, le nostre soluzioni si collegano al vostro sistema tramite una piattaforma API. La verifica dell’identità viene effettuata interamente in remoto e il nostro QSCD è nel cloud.
  • Disponibilità del servizio: assicuratevi che i servizi offerti dal fornitore di servizi siano altamente disponibili. La vostra attività non dovrebbe risentire di alcuna interruzione del servizio. Nel 2022, la disponibilità del servizio Netheos raggiungerà il 99,985%, garantendovi l’accesso in qualsiasi momento.
  • Un processo senza intoppi: poiché la firma qualificata è altamente regolamentata da eIDAS, il suo ottenimento richiede necessariamente una serie di passaggi, che possono rendere il processo noioso. Assicuratevi che l’esperienza dell’utente sia al centro delle priorità del QTSP. Noi di Netheos siamo orgogliosi di annunciare che la nostra soluzione è la più veloce e fluida del mercato. Grazie ad esso, i tassi di abbandono si riducono drasticamente, mentre i tassi di conversione diminuiscono.
Lo sapevate?

Nel 2023, il gruppo Namirial è stato nominato leader nella categoria dei fornitori di software di firma elettronica nel rapporto IDC MarketScape Worldwide 2023, insieme ad Adobe e Docusign.

Soluzione di firma elettronica qualificata Netheos

La soluzione Netheos è :

Avete domande?

Fissate un appuntamento con uno dei nostri esperti per scoprire come le soluzioni Netheos vi permettono di verificare l’identità dei vostri utenti, in modo sicuro e senza perdere la conversione.

La nostra soluzione è accessibile su tutti i supporti (computer, cellulari, tablet). L’intero processo si svolge online, in 5 semplici e veloci passaggi:

  1. Acquisizione video del documento d'identità

    L'acquisizione è in diretta: l'utente inquadra il documento, che deve essere in suo possesso.

  2. Riconoscimento facciale passivo

    In questa fase, il rilevamento di organismi viventi è passivo e trasparente per l'utente, che non è tenuto a intraprendere alcuna azione. Questa fase garantisce che l'utente sia il legittimo titolare del documento d'identità.

  3. Inviato per l'analisi

    Per garantire il massimo livello di sicurezza, la verifica finale viene effettuata dal nostro esperto reparto antifrode. Con sede in Francia e disponibile 24 ore su 24, 7 giorni su 7, il nostro team integra i risultati ottenuti dall'intelligenza artificiale.

Firma elettronica qualificata di Netheos
  1. L'utente consulta il proprio contratto

    Dopo aver letto il contratto per intero, il firmatario può accettarne le clausole e procedere alla firma ricevendo un codice segreto via SMS OTP sul proprio cellulare.

  2. L'utente firma il contratto

    Il codice a 6 cifre ricevuto tramite SMS OTP consente all'utente di firmare il contratto elettronicamente, rendendo la firma legalmente valida in tutta l'Unione Europea.

Mettetevi in contatto con noi!

Compilate il modulo e vi contatteremo al più presto.

Potete scoprire :

  • Come possiamo soddisfare le vostre aspettative, i vostri problemi e le vostre esigenze specifiche
  • Una demo personalizzata, che vi permetterà di apprezzare l’esperienza fluida che offriamo
  • Feedback dei clienti e casi di studio di aziende simili che hanno integrato le nostre soluzioni
  • Vantaggi, benefici e valore in base al vostro caso d’uso