Pubblicato il 18 marzo 2024
Firma elettronica
La firma elettronica è un procedimento tecnico che permette, da un lato, di garantire l'autenticità di un documento, di un messaggio o di altri dati elettronici e, dall'altro, di assicurarsi dell'identità di chi la appone. Si basa su un'infrastruttura gestita da prestatori di servizi di certificazione. Allo scopo d'incoraggiare lo sviluppo del commercio elettronico, il legislatore offre ai prestatori di servizi di certificazione la possibilità, su base volontaria, di farsi riconoscere. In questo modo possono mostrare che la qualità, l'affidabilità e la sicurezza dei servizi da loro forniti sono conformi alle norme applicabili. A determinate condizioni, la legge equipara inoltre la firma elettronica alla firma autografa.
I prestatori riconosciuti di servizi di certificazione regolamentati e qualificati devono rispettare i requisiti previsti dalla legge (FiEle), dall'ordinanza (OFiEle) e dalle prescrizioni tecniche e amministrative relative ai servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali.
L'organismo di riconoscimento valuta regolarmente la conformità.
I prestatori di altri tipi di servizi di certificazione digitali non sono tenuti al rispetto delle disposizioni sopraccitate e non sono sottoposti alla sorveglianza di un organismo indipendente.
I requisiti della legge federale del 18 marzo 2016 sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (FiEle) sono analoghi a quelli previsti dal Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.
Le prescrizioni tecniche e amministrative dell'UFCOM si riferiscono a norme europee riconosciute da numerosi Paesi europei. Pertanto, nei Paesi europei sono stati emessi milioni di certificati definiti «qualificati» che rispondono a criteri molto simili.
Tuttavia, i certificati qualificati europei non sono riconosciuti automaticamente in Svizzera. Lo stesso vale per i certificati qualificati svizzeri nell’Unione europea. Il mutuo riconoscimento delle firme elettroniche richiede infatti la conclusione di accordi internazionali. Per il momento la Svizzera non ha concluso questo tipo di accordi.
Esistono diversi tipi di certificati. I requisiti della FiEle si applicano soltanto ai CSP che rilasciano certificati definiti «regolamentati» e «qualificati». Chi ricorre ad altri tipi di certificati (ossia chi verifica la firma elettronica) è tenuto a determinare se le regole adottate dal CSP che rilascia il certificato siano sufficienti. A questo proposito, non basta prendere in considerazione unicamente come viene denominato il certificato poiché la stessa denominazione può essere utilizzata per riferirsi a certificati di diverso tipo: un certificato definito «avanzato», pertanto, può essere generato secondo criteri differenti.
- il titolare di un certificato qualificato può creare firme elettroniche aventi lo stesso valore legale delle firme autografe;
- il titolare di un certificato regolamentato o qualificato e chi lo verifica hanno la certezza che il certificato è stato elaborato secondo i criteri di sicurezza definiti nella legge e sottoposti a controlli periodici da parte di un organismo indipendente;
- i formati dei certificati regolamentati o qualificati sono definiti nelle prescrizioni tecniche e amministrative dell'UFCOM e nelle norme internazionali di riferimento;
- l'estensione della responsabilità del titolare di un certificato regolamentato o qualificato è stata chiaramente definita dal legislatore all'articolo 59a CO;
- se disattendono gli obblighi derivanti dalla legge e dalle relative disposizioni d'esecuzione, l'organismo di riconoscimento e il prestatore di servizi di certificazione riconosciuto sono responsabili del danno causato al titolare di un certificato regolamentato o qualificato valido e ai terzi che si sono fidati di tale certificato.
Un certificato regolamentato o qualificato rilasciato da un CSP riconosciuto riporta segnatamente:
- l’indicazione che si tratta di un certificato regolamentato o qualificato;
- il nome del prestatore di servizi di certificazione che ha rilasciato il certificato;
- il nome dell'organismo di riconoscimento.
Inoltre, il Servizio d'accreditamento svizzero (SAS) pubblica la lista dei CSP riconosciuti, disponibile.
Un CSP riconosciuto è tenuto ad attenersi alle norme della FiEle ed è sottoposto alla sorveglianza dell'organismo di riconoscimento soltanto nell'ambito del rilascio di certificati regolamentati o qualificati.
Chi verifica la firma deve essere consapevole che, nell'ambito di altri tipi di certificati, il CSP non deve necessariamente rispettare i criteri di sicurezza sanciti dalla FiEle e dalle disposizioni di esecuzione.
I CSP possono rilasciare certificati regolamentati o qualificati solo se sono riconosciuti.
Soltanto le firme elettroniche con marca temporale elettronica qualificata secondo la legge sulla firma elettronica e fondate su un certificato qualificato rilasciato da un CSP riconosciuto hanno valore giuridico equivalente alle firme autografe. Oltretutto, il riconoscimento costituisce una garanzia di qualità e sicurezza che dimostra la competenza del CSP. Il riconoscimento non è invece necessario per fornire altri tipi di certificati.
I CSP interessati devono rivolgersi all'unico organismo di riconoscimento:
KPMG SA
Information Risk Management
Badenerstrasse 172
8026 Zurigo
Tel. +41 58 249 31 31
www.kpmg.chSe un CSP estero ha già ottenuto un riconoscimento da parte di un organismo di riconoscimento estero, l'organismo svizzero competente può convalidare tale riconoscimento se è dimostrato che:
- il riconoscimento è stato accordato secondo il diritto dello Stato estero;
- le norme del diritto estero determinanti per il rilascio del riconoscimento sono equivalenti a quelle del diritto svizzero;
- l'organismo di riconoscimento estero possiede qualifiche equivalenti a quelle richieste all’organismo di riconoscimento svizzero;
- l'organismo di riconoscimento estero garantisce all’organismo di riconoscimento svizzero di collaborare per la sorveglianza del CSP in Svizzera.
Allo stato attuale, ancora nessun CSP estero ha richiesto di convalidare il proprio riconoscimento in Svizzera. Soltanto CSP svizzeri hanno ottenuto il riconoscimento da parte dell’organismo di riconoscimento svizzero.
Un CSP estero, d’altra parte, può essere riconosciuto automaticamente in Svizzera se viene concluso un accordo internazionale tra la Svizzera e il Paese in cui ha sede il CSP. Per il momento la Svizzera non ha concluso questo tipo di accordo.
Sul suo sito Internet il Servizio d'accreditamento tiene una lista aggiornata dei CSP riconosciuti.
Lista dei prestatori di servizi di certificazione riconosciuti
I CSP hanno allestito uffici di registrazione in diverse città e regioni. In certi casi è inoltre possibile fare appello a uffici di registrazione mobili.
I titolari di certificati qualificati devono essere persone fisiche.
Tuttavia, un certificato qualificato può essere attribuito a una persona fisica che rappresenta una persona giuridica. In questo caso è possibile menzionare nel certificato gli attributi della persona fisica nonché il nome della persona giuridica.
I titolari di certificati regolamentati possono essere persone fisiche o entità IDI.
Per le persone fisiche è possibile menzionare uno pseudonimo invece del nome in un certificato regolamentato o qualificato.
I certificati qualificati possono essere utilizzati solo per la firma elettronica di persone fisiche. La firma elettronica assicura l'autenticità e l'integrità dei dati. Questo strumento permette di rendere sicura la trasmissione dei dati e di registrare questi ultimi.
Anche i certificati regolamentati possono essere utilizzati per la firma elettronica di persone fisiche. Possono inoltre essere utilizzati da enti IDI per autenticare dati elettronici. Servono anche a criptare dati elettronici e all'autenticazione delle persone fisiche o delle entità IDI.
Se la procedura è conforme ai requisiti stabiliti nella legge, nell'ordinanza e nelle prescrizioni tecniche e amministrative sui servizi di certificazione nel campo della firma elettronica, una firma elettronica qualificata può essere elaborata tramite un processo automatizzato.
Durante la procedura di registrazione il CSP non è tenuto ad effettuare la lettura di queste informazioni a chi richiede un certificato.
La presenza della persona che richiede il certificato non è necessaria per la procedura di generazione delle chiavi da parte del CSP.
Il titolare del certificato non deve imperativamente prendere conoscenza dei dati da firmare. Il dispositivo per la creazione della firma, tuttavia, non deve rendere difficoltosa la presa di conoscenza dei dati da sottoscrivere prima di procedere alla firma.
Non è necessario fornire i dati di attivazione per ciascuna firma. È possibile effettuare una serie di firme fornendo una sola volta di dati di attivazione.
È possibile trascrivere i dati di attivazione. Le trascrizioni devono tuttavia essere conservate in un luogo sicuro e distinto da quello del dispositivo per la creazione della firma.
Prodotti certificati all'estero conformi alle esigenze menzionate nelle prescrizioni tecniche e amministrative possono essere forniti da un CSP svizzero se l'organismo estero che ha certificato il prodotto è stato accreditato da un organismo di accreditamento che ha sottoscritto la convenzione multilaterale (Multilateral Agreement) come membro riconosciuto dell'EA (European Accreditation).
L'organismo di riconoscimento è incaricato di verificare la certificazione del prodotto.
La norma ETSI EN 319 411-2, alla quale i CSP devono attenersi secondo le prescrizioni tecniche e amministrative dell'UFCOM, si riferisce alla guida ETSI TS 119 312 per la scelta degli algoritmi e la lunghezza delle chiavi.
Tale servizio non è obbligatorio.
I CSP devono allestire un servizio di marca temporale (time stamping) e fornire contrassegni temporali (time stamp) ai titolari di certificati regolamentati o qualificati che lo richiedono.
Secondo l'articolo 14 capoverso 2bis del Codice delle obbligazioni (CO) soltanto la firma elettronica qualificata fondata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione riconosciuto e munita di una marca temporale elettronica qualificata conformemente alla legge sulla firma elettronica (FiEle) è equiparata alla firma autografa. Tuttavia in Svizzera sono poche le transazioni che richiedono una firma elettronica qualificata equiparata alla firma autografa (ad es. il credito al consumo) visto che la normativa svizzera sui contratti si fonda sul principio della libertà della forma. Se, per stipulare un contratto, le parti contraenti non sono tenute a fornire una firma autografa, possono certamente ricorrere ad altri tipi di firma elettronica, a condizione di essere pienamente coscienti dei loro limiti di utilizzazione.
Tuttavia, in linea generale il titolare del certificato qualificato che utilizza i prodotti di un prestatore riconosciuto ha la certezza che le transazioni per le quali è richiesta la forma scritta siano riconosciute giuridicamente. Inoltre, può dimostrare a chi verifica la firma di aver garantito un certo livello di sicurezza.
Ad oggi non è stato concluso alcun accordo di riconoscimento reciproco delle firme elettroniche fra la Svizzera e un Paese terzo (o l’Unione europea). In mancanza di un tale accordo, una firma elettronica qualificata fondata su un certificato qualificato in base al diritto di un Paese estero non è riconosciuta come equivalente a una firma elettronica qualificata in base al diritto svizzero. Allo stesso modo, una firma elettronica qualificata svizzera non è riconosciuta come equivalente a una firma elettronica qualificata estera. Alcuni fornitori di servizi di certificazione riconosciuti in Svizzera sono in grado di fornire soluzioni legalmente riconosciute in Paesi terzi.