Vai al contenuto principale
swipesign

I tre tipi di firma elettronica: SES, AES, QES — spiegate.

La vostra azienda è appena passata alla firma digitale. Nella prima settimana un cliente vi chiede se il vostro metodo di firma soddisfa i suoi requisiti di compliance. Nessuno in ufficio sa che tipo di firma state usando. Capire SES, AES e QES non è più opzionale.

9 min di letturaeIDAS · Fondamenti
Punti chiave
  • La SES è giuridicamente valida ai sensi di eIDAS, ma non offre verifica dell’identità, cifratura o protezione dalle alterazioni.
  • L’AES è lo standard pratico: certificati qualificati, rilevamento matematico delle alterazioni e una solida posizione giuridica per i contratti commerciali.
  • La QES ha lo stesso peso legale di una firma autografa — con inversione dell’onere della prova in caso di contestazione.
  • La maggior parte delle aziende ha bisogno dell’AES come base. Riservate la QES ai casi in cui la certezza giuridica è non negoziabile.

Ai sensi di eIDAS esistono tre livelli di firma elettronica — e la differenza tra loro decide se state firmando qualcosa di realmente vincolante o qualcosa che lo sembra soltanto. Sbagliare livello lo scoprite nel momento peggiore: davanti a un giudice.

Capitolo 01

Firma elettronica semplice: l’illusione di sicurezza

La SES è ciò che la maggior parte delle persone immagina quando pensa a una firma digitale. Qualcuno clicca su «firma», il suo nome compare come prova del gesto e una marca temporale registra quando. Tutto qui.

Nessuna verifica dell’identità. Nessun certificato dedicato. Nessuna cifratura. Nessuna protezione dalle alterazioni. Si potrebbe falsificare una SES copiando l’immagine della firma di un’altra persona. Si potrebbe modificare un documento dopo la firma e la SES rimarrebbe lì, perfettamente serena. Tecnicamente, una SES è poco più di metadati allegati a un file.

Ecco il punto: la SES è tecnicamente valida ai sensi di eIDAS. I tribunali la prenderanno in considerazione. Ma se in seguito qualcuno sostiene di non aver mai firmato, vi trovate a combattere in salita. La SES va bene per approvazioni interne in cui tutti si fidano di tutti. Nel momento in cui entrano in gioco terze parti o un rischio reale, la SES è una passività travestita da soluzione.

Da un punto di vista tecnico, una SES è poco più di metadati allegati a un file.
Capitolo 02

Firma elettronica avanzata: lo standard pratico

L’AES è il terreno su cui dovrebbe collocarsi la maggior parte dei contratti commerciali. Richiede certificati digitali qualificati — un’autorità di certificazione verifica l’identità prima del rilascio. Non richiede la scansione di un documento di identità ufficiale (è la QES), ma una verifica reale, spesso una verifica telefonica combinata con controlli di identità su altri canali.

Una volta in essere il certificato, la firma AES viene matematicamente legata al documento. Non potete alterarlo dopo la firma senza che la firma stessa diventi non valida. Cambiate anche un solo carattere e tutto si rompe. Contratti commerciali, NDA, contratti di lavoro, leasing, prestazioni di servizi — l’AES li copre tutti.

La matematica cambia tutto
Sia AES che QES usano la crittografia: la firma è legata al contenuto del documento. Cambiate qualcosa e la firma si rompe. La SES non offre questa garanzia — potete riscrivere l’intero contratto e la firma SES resterà lì, identica. È proprio questa differenza che fa reggere l’AES davanti a un tribunale e fa crollare la SES.
Capitolo 03

Firma elettronica qualificata: quando conta davvero

La QES è la categoria dei pesi massimi. Richiede un certificato qualificato emesso da un prestatore di servizi fiduciari autorizzato dallo Stato e la vostra identità viene verificata di persona con documenti ufficiali — passaporto, carta d’identità o equivalente. Costa di più e richiede più tempo perché è realmente rigorosa.

La differenza giuridica è decisiva: ai sensi di eIDAS, una QES ha esattamente lo stesso peso legale di una firma autografa. Punto. L’onere della prova si inverte. Se qualcuno contesta una QES, deve dimostrare che è stata falsificata. Voi non dovete dimostrarne la legittimità. Questo conta per operazioni di M&A, contratti di lavoro con TFR e indennità rilevanti, contratti di credito, cartelle cliniche e atti giuridici sensibili.

Lo scarto di costo tra AES e QES è solitamente più contenuto di quanto si pensi — spesso solo pochi euro per firma. La differenza in termini di tutela giuridica è invece enorme.

Capitolo 04

Fare la scelta giusta: un albero decisionale

Ponetevi queste domande in quest’ordine:

  1. 1
    Si tratta di qualcosa di interno?

    Usate la SES. Senza terze parti esterne, le firme sono solo tracciamento del workflow.

  2. 2
    È un contratto commerciale standard con una controparte esterna?

    Passate all’AES. NDA, condizioni di servizio, leasing, contratti di lavoro — l’AES è lo standard, e per buoni motivi.

  3. 3
    Sono in gioco somme importanti, complessità giuridica o normative?

    Usate la QES. M&A. Contratti di credito. Sanità. Immobiliare. Contratti di lavoro con indennità rilevanti.

  4. 4
    La controparte richiede un livello specifico?

    Usate quello che chiede. Rispettate le clausole contrattuali e gli standard di settore.

Come scegliere il livello giusto
Per default, AES per tutto ciò che esce dalla vostra organizzazione. Salite alla QES quando le conseguenze di una firma contestata sono pesanti — esposizioni multimilionarie, settori regolamentati o tutto ciò che un giudice potrebbe esaminare. Lasciate la SES alle approvazioni interne di workflow, dove la firma è documentazione, non protezione.
Capitolo 05

Fianco a fianco: SES vs AES vs QES

SES
Nessuna verifica dell’identità. Nessuna cifratura. Valida ai sensi di eIDAS, ma facilmente contestabile. Adatta ai workflow interni.
AES
Certificato qualificato, rilevamento delle alterazioni, vincolo crittografico. Lo standard pratico per i contratti commerciali.
QES
Documento di identità ufficiale verificato da un prestatore qualificato di servizi fiduciari. Giuridicamente equivalente alla firma autografa.
Capitolo 06

La valutazione onesta

La maggior parte delle aziende ha bisogno dell’AES come base. È la scelta ragionata: sicurezza reale senza l’onere di una verifica completa con documento di identità ufficiale, copertura legale sui normali accordi commerciali, senza complessità inutili.

Alcune aziende hanno occasionalmente bisogno della QES per contratti di valore elevato. Integratela nel workflow. Sapete quando vi serve.

E la SES? Se non la usate internamente o per le approvazioni più banali, vi state assumendo un rischio inutile. La copertura legale non sarà lì quando le cose andranno male.

Scegliete il livello giusto, con consapevolezza

Firmate con AES o QES dal primo giorno.

swipesign offre verifica reale dell’identità, firme cifrate e audit trail a prova di manomissione — sempre con il livello giusto per ogni documento.

Inizia gratisVedi i prezzi

Continua a leggere

Tutti gli articoli →
Guida
Firma elettronica semplice: teatro digitale al prezzo di un’email
Leggi l’articolo →
Guida
Firme elettroniche giuridicamente vincolanti: la vostra guida
Leggi l’articolo →