Vai al contenuto principale
swipesign

Firme elettroniche semplici: teatro digitale al prezzo di un’e-mail.

Un contratto è stato firmato con quella che il fornitore chiamava «firma elettronica semplice». Nessuna verifica dell’identità. Nessuna cifratura. Nessuna protezione contro la manomissione. Più tardi, qualcuno ha sostenuto di non averlo mai visto. Nessuno è riuscito a dimostrare il contrario.

Nuovo12 min di letturaeIDAS · Compliance
Punti chiave
  • La SES è giuridicamente valida ai sensi dell’eIDAS, ma non offre cifratura, verifica dell’identità o protezione contro la manomissione.
  • Il divario di prezzo tra SES e AES è minimo. Il divario di sicurezza è enorme.
  • La SES va bene per le approvazioni interne. Non va bene per i contratti che potrebbero essere contestati.
  • swipesign non vende SES per scelta: crea problemi a valle per i clienti.

La firma elettronica semplice (SES) è il teatro della sicurezza dell’era digitale. Sembra ufficiale perché è elettronica e firmata. Appare legittima perché stai usando uno strumento di firma digitale. Ma tecnicamente è solo la prova che qualcuno ha probabilmente cliccato da qualche parte, forse. Tutto qui. È questa l’intera garanzia.

Capitolo 01

Cos’è davvero la firma elettronica semplice

La SES è il minimo assoluto. Ai sensi del regolamento eIDAS è tecnicamente valida sul piano giuridico. Ma validità giuridica e sicurezza reale non sono la stessa cosa.

Ecco cosa ottieni: un nome, probabilmente. Una marca temporale, forse. Una qualche prova che il documento esiste in un certo stato in un dato momento. È tutto qui il pacchetto.

Cosa NON ottieni con la SES
  • • Nessuna verifica dell’identità — il firmatario potrebbe essere chiunque.
  • • Nessuna cifratura — il documento viaggia in chiaro.
  • • Nessuna protezione contro la manomissione — il contratto può cambiare, la firma resta.
  • • Nessuna autenticazione significativa — di solito solo un nome digitato o un clic su «Accetto».

Confrontalo con la firma elettronica avanzata (AES), che richiede certificati qualificati, cifratura, verifica dell’identità e protezione contro la manomissione, oppure con la firma elettronica qualificata (QES), che richiede la verifica tramite documento d’identità statale e opera sotto vigilanza regolamentare.

La SES non è una versione leggera della sicurezza. È l’assenza di sicurezza travestita con il linguaggio della firma digitale.
Capitolo 02

Il problema della cifratura

Entriamo nello specifico sul perché la SES sia, in sostanza, un’e-mail.

Quando invii un contratto via e-mail, esso transita attraverso un’infrastruttura internet che può essere ispezionata, copiata o alterata in più punti. Il destinatario non ha modo di confermare che non sia stato modificato in transito. Deve solo fidarsi del fatto che sia arrivato invariato.

La SES offre la stessa garanzia. Ovvero, nessuna garanzia. Il documento non è cifrato. Non è legato crittograficamente al firmatario. È semplicemente lì, e chiunque sia in grado di intercettarlo può leggerlo o modificarlo.

La matematica cambia tutto
AES e QES utilizzano la cifratura. La firma è legata matematicamente al contenuto del documento. Cambia anche un solo carattere e la firma si rompe. Non è teoria: qualunque sistema di verifica competente lo segnalerà. La SES non offre tale garanzia: puoi cambiare ogni clausola del contratto e la firma SES resterà lì, identica nell’aspetto.
Capitolo 03

Il problema della verifica dell’identità

L’e-mail ha lo stesso problema d’identità. Ricevi un messaggio da qualcuno@azienda.it. Ma l’hai davvero ricevuto da qualcuno di quell’azienda? O qualcuno ha contraffatto l’indirizzo?

La SES funziona allo stesso modo. Qualcuno digita un nome o un’e-mail. È davvero quella persona? Nessuno l’ha verificato. Nessun sistema ha controllato nulla.

SES
Qualcuno afferma di essere una certa persona. Tu speri che lo sia.
AES
Verifica telefonica, domande di sicurezza, verifica da parte di terzi.
QES
Documento d’identità statale verificato da un prestatore qualificato di servizi fiduciari.
Capitolo 04

Quando la SES è quasi accettabile

Esistono situazioni in cui la SES va bene — perché in realtà non ti stai affidando alla firma per la sicurezza. La stai usando per scopi di workflow o di documentazione.

  1. 1
    Approvazioni interne all’interno della tua organizzazione

    Tutti sono tuoi dipendenti o collaboratori. La firma documenta che qualcuno ha cliccato su "Approvo". Puoi incrociare i log del browser, l’IP o, semplicemente, chiamarli.

  2. 2
    Approvazioni amministrative banali

    Conferma di una policy. Conferma di ricezione di un documento. Modifiche di processi interni. Se la posta in gioco è zero, la SES va bene.

  3. 3
    Parti con una storia di fiducia consolidata

    Un fornitore di lunga data che firma un rinnovo di routine. Se la frode è comunque improbabile, la SES aggiunge documentazione senza aggiungere molto rischio.

Tutto qui. Tutto il resto richiede l’AES, oppure dovrebbe usare firme fisiche con testimoni.

Capitolo 05

La trappola del costo

La maggior parte dei fornitori di SES applica una tariffa per firma. Non nulla, ma neanche molto. Pochi centesimi, forse qualche euro al massimo. I fornitori la presentano come l’opzione economica.

Ma ecco i conti che vengono ignorati: paghi lo stesso prezzo, o quasi, di un’AES. L’AES può essere da cinque a dieci volte più sicura, eppure costa solo il dieci-venti per cento in più per firma. La differenza di costo si misura in spiccioli.

Stai pagando teatro della sicurezza invece di sicurezza reale — per quasi gli stessi soldi. Non è ottimizzazione del budget. È acquisto del prodotto sbagliato.
Capitolo 06

Perché swipesign salta deliberatamente la SES

Saltiamo deliberatamente la SES, del tutto. Non la vendiamo. Non la offriamo come opzione. Non la posizioniamo come «piano economico».

Perché la SES crea problemi a valle. Qualcuno firma qualcosa con la SES pensando di avere una firma giuridicamente vincolante. Non ce l’ha. Ha la documentazione che qualcuno ha probabilmente cliccato da qualche parte. Se mai dovrà farla valere, sarà nei guai.

Come la pensiamo
Offriamo l’AES perché è la scelta ragionata per i contratti aziendali: vera verifica dell’identità, vera cifratura, vera protezione contro la manomissione. Il costo è quasi identico a quello della SES; la sicurezza è di ordini di grandezza superiore. E offriamo la QES quando la situazione lo richiede: verifica con documento d’identità statale, vigilanza regolamentare, presunzione di validità in caso di contenzioso.
Capitolo 07

La valutazione onesta

Se paghi per le firme digitali e qualcuno ti propone la SES, ti stanno vendendo qualcosa progettato per sembrare sicuro pur fornendo praticamente nessuna sicurezza reale. È come pagare per un sistema d’allarme che accende solo una luce quando premi il pulsante. Tecnicamente è un segnale, funzionalmente è inutile.

La maggior parte dei contratti aziendali richiede almeno l’AES. Alcuni richiedono la QES. Nessuno ha realmente bisogno della SES, tranne in situazioni in cui andrebbero bene altrettanto la firma fisica o l’e-mail.

Non essere l’azienda che viene citata in giudizio per un contratto firmato con la SES e scopre che la firma che credeva giuridicamente vincolante è, in sostanza, la prova di aver ricevuto un’e-mail. Procurati almeno l’AES. Procurati sicurezza reale. La differenza di costo è trascurabile. La differenza nell’esito, quando le cose vanno male, è enorme.

Pronto a firmare come si deve?

Basta teatro. AES o QES dal primo giorno.

swipesign ti offre vera verifica dell’identità, firme cifrate e tracce d’audit a prova di manomissione, a un prezzo che fa sembrare ridicola la SES.

Inizia gratisVedi i prezzi

Continua a leggere

Tutti gli articoli →
Guida
I tre tipi di firme elettroniche spiegati
Leggi l’articolo →
Guida
Firme elettroniche giuridicamente vincolanti: la tua guida
Leggi l’articolo →