Firma elettronica avanzata (FEA): cos’è, come funziona e normativa eIDAS
Il mercato globale delle firme digitali vale 13,4 miliardi di dollari nel 2025 e raggiungerà i 70,2 miliardi entro il 2030, con un tasso di crescita annuo del 39,2% secondo MarketsandMarkets. Oltre l'80% delle organizzazioni già utilizza strumenti di firma elettronica, stando ai dati eSignGlobal. In mezzo a questa crescita, la firma elettronica avanzata (FEA) occupa una posizione specifica: un livello intermedio tra la firma elettronica semplice e la firma elettronica qualificata, pensato per offrire sicurezza giuridica senza la complessità di certificati qualificati o dispositivi hardware.
Il problema è pratico. Chi sceglie il livello di firma sbagliato rischia in due direzioni: una FEA dove servirebbe una firma elettronica qualificata invalida l'atto, una firma elettronica qualificata dove basterebbe una FEA aggiunge costi e complessità inutili. Questa guida spiega cosa distingue la FEA dagli altri livelli, quali requisiti impone il regolamento eIDAS, come funziona sul piano tecnico e quando è davvero sufficiente.
Cos'è la firma elettronica avanzata (FEA)
La firma elettronica avanzata è il livello di firma che garantisce l'identificazione certa del firmatario e l'integrità del documento firmato, senza richiedere un certificato qualificato né un dispositivo sicuro di creazione. Il regolamento eIDAS la definisce all'articolo 3, numero 11, e ne fissa i requisiti all'articolo 26.
Definizione e requisiti del regolamento eIDAS
Il regolamento UE 910/2014 (eIDAS) definisce la firma elettronica avanzata come una firma elettronica che soddisfa quattro requisiti cumulativi, elencati nell'articolo 26. Primo: la connessione univoca al firmatario. La firma deve essere legata in modo esclusivo alla persona che la appone. Secondo: l'identificazione. Il sistema deve consentire di risalire con certezza all'identità del firmatario. Terzo: il controllo esclusivo. I dati utilizzati per creare la firma devono essere sotto il controllo del firmatario con un alto livello di sicurezza. Quarto: il rilevamento di modifiche successive ai dati firmati. Qualsiasi alterazione post-firma deve essere riconoscibile. La FEA si distingue dalla firma elettronica semplice, che non offre nessuna di queste garanzie in modo strutturato, e dalla firma elettronica qualificata, che aggiunge un certificato qualificato e un dispositivo sicuro di creazione (QSCD).
Le differenze tra firma semplice, avanzata e qualificata
Capire la gerarchia dei livelli di firma è il primo passo per scegliere lo strumento giusto. Il regolamento eIDAS definisce tre livelli principali, mentre il Codice dell'Amministrazione Digitale (CAD, D.Lgs. 82/2005) aggiunge la firma digitale come sottotipo della firma elettronica qualificata, basato su crittografia asimmetrica.
| Caratteristica | FES (semplice) | FEA (avanzata) | FEQ (qualificata) | Firma digitale (CAD) |
|---|---|---|---|---|
| Definizione | Dati elettronici associati ad altri dati per firmare | FES che soddisfa i requisiti dell'art. 26 eIDAS | FEA con certificato qualificato e QSCD | FEQ basata su crittografia asimmetrica (definizione CAD) |
| Identificazione | Non garantita | Obbligatoria e univoca | Tramite certificato qualificato | Tramite certificato qualificato |
| Controllo esclusivo | Non richiesto | Alto livello di sicurezza | QSCD obbligatorio | QSCD obbligatorio |
| Efficacia probatoria IT | Liberamente valutabile dal giudice | Art. 2702 CC (scrittura privata) | Art. 2702 CC + inversione onere della prova | Art. 2702 CC + inversione onere della prova |
| Valore in ambito UE | Non negabile, ma peso debole | Non negabile, peso probatorio significativo | Equivalente alla firma autografa | N/A a livello europeo (definizione solo italiana) |
| Esempi comuni | Click-to-sign, email, PIN | Firma grafometrica, firma OTP, SPID | Smart card, token USB | Smart card o token con chiavi RSA |
| Limitazioni in Italia | Valore probatorio debole | Solo nei rapporti tra firmatario ed erogatore | Nessuna | Nessuna |
La differenza più rilevante sul piano pratico riguarda l'efficacia probatoria. La firma elettronica semplice ha valore liberamente valutabile dal giudice: può bastare, ma la sua forza dipende dal contesto. La FEA e la FEQ producono invece gli effetti della scrittura privata ai sensi dell'art. 2702 del Codice Civile. La differenza tra le due sta nell'onere della prova: con la FEQ, chi contesta la firma deve dimostrare che non è autentica (inversione dell'onere). Con la FEA, questa inversione non scatta automaticamente.
FEA e firma digitale: chiarire l'equivoco più comune
La confusione tra FEA e firma digitale è probabilmente il malinteso più diffuso in materia. Nel linguaggio comune, "firma digitale" viene usata come sinonimo generico di qualsiasi firma elettronica. Sul piano giuridico, le due cose non hanno nulla a che fare l'una con l'altra.
Nel Codice dell'Amministrazione Digitale, la firma digitale è un sottotipo specifico della firma elettronica qualificata: una FEQ basata su un sistema di chiavi crittografiche asimmetriche (una pubblica e una privata). La FEA non richiede né un certificato qualificato né un dispositivo sicuro di creazione. Può funzionare tramite OTP, firma grafometrica o autenticazione SPID, senza alcun hardware dedicato.
Le conseguenze pratiche sono dirette. Per firmare atti con piena efficacia erga omnes (verso tutti i terzi) serve una firma elettronica qualificata o una firma digitale. Per firmare documenti nell'ambito di un rapporto già stabilito con l'erogatore del servizio di firma, la FEA basta: processo più snello, costo inferiore, stessa validità nel perimetro del rapporto.
Come funziona la FEA: il processo tecnico
La FEA si fonda su due fasi concatenate: l'identificazione del firmatario con collegamento univoco al documento, e il meccanismo di protezione dell'integrità post-firma. Ogni implementazione tecnologica deve soddisfare entrambe per essere conforme all'articolo 26 del regolamento eIDAS.
Identificazione del firmatario e collegamento univoco
Le modalità di identificazione variano in base alla tecnologia adottata, ma tutte devono garantire il collegamento univoco tra l'identità della persona e l'atto di firma. Quattro metodi sono oggi in uso.
La **firma OTP** (One-Time Password) è il metodo più diffuso. Il firmatario riceve un codice temporaneo via SMS o app dedicata e lo inserisce per confermare la propria volontà di firmare. Il codice è legato a un numero di telefono verificato in fase di registrazione: questo crea il nesso tra identità e azione.
La **firma grafometrica** cattura i dati biometrici della firma apposta su un tablet: pressione, velocità, inclinazione, ritmo. Questi parametri sono unici per ciascuna persona e vengono crittografati al momento dell'acquisizione. Nel settore bancario e assicurativo, dove il cliente firma su tablet allo sportello, è la modalità prevalente.
La **firma elettronica avanzata con SPID** usa il Sistema Pubblico di Identità Digitale come metodo di identificazione. Il firmatario si autentica con le proprie credenziali SPID di livello 2, che garantiscono l'identificazione certa tramite un processo già validato dallo Stato. Sta guadagnando adozione perché elimina la necessità di procedure di riconoscimento separate.
La **verifica biometrica video** prevede il riconoscimento del firmatario tramite sessione video, in cui un sistema automatizzato o un operatore confronta il volto con un documento di identità. Unisce la praticità della firma remota a un livello di sicurezza elevato.
Controllo esclusivo e rilevamento delle modifiche
Dopo l'identificazione, il sistema deve garantire due cose: che i dati di firma siano sotto il controllo esclusivo del firmatario, e che qualsiasi modifica al documento dopo la firma sia rilevabile.
Al momento della firma, il sistema genera un hash crittografico del documento: un'impronta digitale univoca del contenuto. Questo hash viene collegato in modo indissolubile all'identità del firmatario tramite i dati di identificazione raccolti nella fase precedente. Se anche un solo carattere venisse modificato dopo la firma, l'hash risulterebbe diverso e l'alterazione sarebbe immediatamente visibile.
La marca temporale completa il meccanismo: attribuisce data e ora certe all'atto di firma, stabilisce quando il documento è stato firmato e impedisce retrodatazioni. Nei contesti contrattuali, dove la sequenza temporale degli eventi ha spesso rilevanza giuridica, è un elemento indispensabile.
Quando la FEA è sufficiente e quando serve la firma elettronica qualificata
La FEA copre la maggior parte delle esigenze di firma nei rapporti tra privati e nei processi aziendali interni. La scelta tra FEA e firma elettronica qualificata dipende dal tipo di atto e dal contesto normativo. L'articolo 21, comma 2-bis del CAD e l'articolo 25 del regolamento eIDAS forniscono i criteri di riferimento.
| Scenario | FEA | FEQ / Firma digitale |
|---|---|---|
| Contratti tra privati (fornitura, servizi, locazione) | Sufficiente | Non necessaria |
| Documenti aziendali interni (policy, verbali, ordini) | Sufficiente | Non necessaria |
| Referti sanitari e consensi informati | Sufficiente | Non necessaria |
| Polizze assicurative e documentazione sinistri | Sufficiente | Non necessaria |
| Atti immobiliari (art. 1350 CC) | Non sufficiente | Obbligatoria |
| Atti notarili e pubblici | Non sufficiente | Obbligatoria |
| Comunicazioni verso la Pubblica Amministrazione | Non sufficiente | Obbligatoria |
| Fatturazione elettronica PA | Non sufficiente | Obbligatoria |
La regola pratica: se l'atto riguarda un rapporto tra il firmatario e il soggetto che eroga il servizio di firma (banca, assicurazione, datore di lavoro, struttura sanitaria), la FEA è sufficiente e pienamente valida. Se l'atto deve produrre effetti verso terzi o rientra nelle categorie dell'articolo 1350 del Codice Civile (compravendite immobiliari, costituzione di società, atti che richiedono la forma scritta ad substantiam), serve la firma elettronica qualificata o la firma digitale.
Normativa italiana ed europea sulla firma elettronica avanzata
Il quadro normativo della FEA poggia su due fonti: il regolamento europeo eIDAS, direttamente applicabile in tutti gli Stati membri, e il Codice dell'Amministrazione Digitale italiano, che integra le disposizioni europee nel contesto nazionale. Chi implementa una soluzione di FEA deve conoscere entrambi.
Regolamento eIDAS (UE 910/2014): i 4 requisiti
Il regolamento eIDAS fissa il quadro giuridico per le firme elettroniche nell'Unione Europea. L'articolo 26 elenca i quattro requisiti perché una firma elettronica sia considerata avanzata: connessione univoca al firmatario, possibilità di identificare il firmatario, creazione con dati sotto il controllo esclusivo del firmatario a un elevato livello di sicurezza, e collegamento ai dati firmati tale da rendere identificabile ogni modifica successiva. I requisiti sono tecnologicamente neutri: il regolamento non prescrive una tecnologia specifica, e lascia libertà di implementazione purché il risultato rispetti i quattro criteri.
L'articolo 25 disciplina gli effetti giuridici: a una firma elettronica non possono essere negati gli effetti giuridici né l'ammissibilità come prova in giudizio per il solo motivo della sua forma elettronica. Il principio di non discriminazione vale per tutti i livelli. Ma solo la firma elettronica qualificata ha l'effetto giuridico equivalente a una firma autografa, con riconoscimento automatico tra tutti gli Stati membri.
CAD (D.Lgs. 82/2005) e linee guida AgID
Il Codice dell'Amministrazione Digitale recepisce e integra le disposizioni europee nel contesto italiano. Gli articoli 20 e 21 disciplinano l'efficacia probatoria delle firme elettroniche: la FEA, al pari della firma elettronica qualificata, produce gli effetti della scrittura privata previsti dall'articolo 2702 del Codice Civile.
Il DPCM 22 febbraio 2013 stabilisce le regole tecniche per la generazione e la verifica delle firme elettroniche avanzate. Tra i requisiti più rilevanti: l'obbligo per l'erogatore di stipulare una copertura assicurativa con massimale minimo di 500.000 euro per eventuali danni derivanti dall'uso della FEA.
C'è poi un aspetto spesso trascurato: il perimetro di validità della FEA in Italia. L'articolo 55, comma 2 delle regole tecniche limita l'utilizzo della FEA ai rapporti giuridici tra il firmatario e il soggetto che eroga la soluzione di firma. In pratica: una banca può usare la FEA per far firmare contratti ai propri clienti, ma quella firma non ha valore nei rapporti tra il cliente e soggetti terzi. Per la firma elettronica qualificata e la firma digitale questo limite non esiste.
Le linee guida AgID di maggio 2021 hanno aggiornato il quadro tecnico, recependo le evoluzioni tecnologiche e chiarendo gli aspetti operativi per gli erogatori di soluzioni FEA.
Validità probatoria della FEA in giudizio
In sede giudiziaria, la FEA offre una protezione significativa, anche se non assoluta. Il documento firmato con FEA ha l'efficacia della scrittura privata: fa piena prova della provenienza delle dichiarazioni da chi l'ha sottoscritta, fino a querela di falso. Chi vuole contestare una firma apposta con FEA deve quindi avviare un procedimento formale.
La differenza rispetto alla firma elettronica qualificata è netta. Con la FEQ e la firma digitale opera l'inversione dell'onere della prova: chi contesta deve dimostrare che la firma non è autentica. Con la FEA, questa inversione non si applica automaticamente: il giudice valuta caso per caso la solidità del processo di firma.
Vale la pena guardare avanti: il regolamento eIDAS 2.0 introduce l'European Digital Identity Wallet (EUDI Wallet), con scadenza per l'adozione fissata al 31 dicembre 2026. L'EUDI Wallet trasformerà lo smartphone in un dispositivo sicuro di creazione della firma, abbassando la barriera di accesso alla firma elettronica qualificata. Se questo accadrà nei tempi previsti, la FEA potrebbe perdere terreno in molti degli scenari che oggi copre.
Certificazione e firma elettronica avanzata: come proteggere il dato alla fonte
La firma elettronica garantisce chi ha firmato un documento. Non dice nulla, però, sull'autenticità del contenuto firmato. Un contratto può essere firmato con FEA da entrambe le parti e risultare comunque basato su dati alterati, fotografie manipolate o documenti ricostruiti. Certificare il dato alla fonte, prima ancora di firmarlo, risolve il problema. TrueScreen, the Data Authenticity Platform, integra firma digitale e certificazione in un unico flusso: l'identità del firmatario e l'integrità originale del contenuto sono garantite insieme.
Firma digitale integrata nella certificazione TrueScreen
Il processo di firma integrata nella piattaforma TrueScreen funziona così: il documento viene caricato, si invia un link al firmatario, che si autentica tramite OTP via SMS o verifica biometrica video. Dopo l'autenticazione, il firmatario appone la propria firma. Il sistema applica in automatico il sigillo elettronico di un prestatore di servizi fiduciari qualificato (QTSP) e una marca temporale qualificata, poi archivia tutto in modo sicuro. Il processo è conforme a eIDAS, alle linee guida AgID e al GDPR.
La differenza rispetto a una soluzione di sola firma è netta: la firma garantisce chi ha firmato, la certificazione garantisce cosa è stato firmato. Quando operano insieme, il documento acquisisce un doppio livello di protezione: l'autenticità digitale del contenuto e la certezza dell'identità del firmatario.
Scenari pratici: contratti, referti, documentazione di campo
Un perito assicurativo che documenta un sinistro può certificare le fotografie del danno al momento dello scatto, con metadati e geolocalizzazione che acquistano valore probatorio. Il verbale di perizia viene poi firmato con FEA e collegato alle foto certificate: ogni elemento del fascicolo è protetto nella sua autenticità.
Uno studio legale che gestisce contratti di fornitura per conto dei propri clienti può inviare il documento ai firmatari tramite la piattaforma. Ciascuno si autentica, firma e riceve il contratto certificato con marca temporale. Niente smart card, niente token fisici.
Caso analogo nel sanitario, ma con una dinamica diversa: il referto medico viene firmato digitalmente e certificato nel momento stesso della generazione. Non serve un passaggio successivo di validazione. Il medico firma, il sistema certifica, e il documento nasce già con piena validità legale.
