I seguenti tre prestatori di servizi di certificazione riconosciuti secondo la legge sulla firma elettronica (FiEle) propongono servizi di firma remota. Il servizio di firma di Swisscom (Signing Service) è attualmente utilizzato da diversi prestatori di servizi terzi che realizzano prodotti basati su di esso.
Tutti e tre i prestatori di servizi privati propongono non solo soluzioni per privati, PMI, avvocati e notai, ma anche soluzioni di integrazione per le grandi imprese.
- Swisscom Svizzera SA
Servizio di firma – Swisscom Trust Services SA [https://trustservices.swisscom.com/signing-service/]
Per poter apporre una firma qualificata, le seguenti offerte basate sul servizio di firma richiedono un’autenticazione a due fattori approvata da Swisscom, come l’uso combinato di una password e di un codice SMS utilizzabile una sola volta, l’applicazione mobile ID o un’altra procedura. Dal momento che questi prestatori forniscono anche firme valide nell’area dell’UE (conformemente al regolamento eIDAS), occorre prestare attenzione e scegliere il tipo di firma corretto:
- Skribble [https://www.skribble.com/de-ch/] – l’applicazione web per le firme elettroniche giuridicamente valide secondo la Fiele e il regolamento eIDAS Skribble SA
- DeepSign [https://www.deepsign.swiss/it/firma-elettronica/] – applicazione web per firme elettroniche giuridicamente valide secondo la FiEle e il regolamento
- eSignR [https://esignr.ch] – software locale per le firme confidenziali giuridicamente valide secondo la FiEle e il regolamento eIDAS Glue Software Engineering SA
- PrivaSphere Sign & Send [https://www.privasphere.com/h/index.php?id=111&L=1] – software locale per le firme confidenziali giuridicamente valide secondo la FiEle e il regolamento eIDAS PrivaSphere SA
- Blink [https://www.ajila.com] – soluzione di firma progettata principalmente per l’integrazione in applicazioni di aziende e organizzazioni, Ajila AG
- {esignature} [https://www.glauxgroup.ch/elektronische-signatur] – soluzione di firma progettata principalmente per l’utilizzo in aziende e organizzazioni, Glaux AG
- actaSIGN [www.actasign.swiss]
- Subsign [www.subsign.ch]
Vi raccomandiamo di informarvi presso i prestatori di servizi privati indicati di seguito per sapere quali dei loro prodotti permettono di generare anche firme secondo il regolamento eIDAS, qualora abbiate bisogno di questa soluzione.
- QuoVadis Trustlink Schweiz SA
Digicert+QuoVadis (quovadisglobal.com) [https://www.quovadisglobal.com/ch/signing-solutions/] - SwissSign SA
Firma elettronica | SwissID Sign [https://www.swissid.ch/geschaeftskunden/sign-business.html]
Nota bene: se constatate che nell’elenco non sono riportati tutti i prestatori di servizi riconosciuti secondo la FiEle e i loro prestatori terzi, vi preghiamo di inviare un’e-mail a signaturdienste@bk.admin.ch.
Firme proposte dai prestatori di servizi privati (FES, FEA, FEQ)
I prestatori di servizi le cui applicazioni si basano sul servizio di firma di Swisscom propongono generalmente tre tipi di firma:
- FES – firma elettronica semplice (prezzo più basso)
- FEA – firma elettronica avanzata (prezzo medio)
- FEQ – firma elettronica qualificata (prezzo più alto).
Le offerte presenti in Internet potrebbero dare l’impressione che la FiEle disciplini anche la firma elettronica semplice e quella avanzata, ma non è così.
La FiEle disciplina soltanto la firma elettronica qualificata (fondata su un certificato rilasciato a una persona fisica) e il sigillo elettronico regolamentato (fondato su un certificato rilasciato a un’organizzazione). Le firme regolamentate e i relativi certificati si basano su standard tecnici che garantiscono la sicurezza al momento della firma e su standard che permettono di identificare in modo sicuro e affidabile la persona o l’organizzazione titolare del certificato. La legislazione sulla firma elettronica tiene conto delle norme europee (norme ETSI) per le firme regolamentate mediante l’articolo 4 dell’ordinanza del 23 novembre 2016 sulla firma elettronica (OFiEle; RS 943.032) [https://www.fedlex.admin.ch/eli/cc/2016/753/it] e l’ordinanza dell’UFCOM del 23 novembre 2016 sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (RS 943.032.1). È quindi garantito che la persona titolare del certificato è sempre quella che firma per dichiarare e confermare la propria volontà (imputabilità).
Il destinatario di un documento firmato elettronicamente può avere piena fiducia nell’origine dello stesso e nella dichiarazione di volontà ivi contenuta soltanto se sul documento sono apposti una FEQ o un sigillo elettronico regolamentato. Infatti, la SEQ soddisfa il requisito della forma scritta ed è equiparata alla firma autografa (art. 14-16 CO). Per il destinatario del documento, la FEQ e il sigillo elettronico regolamentato fanno quindi fede. In generale, è sempre opportuno utilizzarli, anche laddove per legge non è richiesta la forma scritta.
Sebbene l’articolo 2 FiEle [https://www.fedlex.admin.ch/eli/cc/2016/752/it] fornisca una definizione di FES e FEA, la legge non disciplina questi tipi di firma. La definizione legale della FEA precisa tuttavia che il certificato utilizzato è rilasciato a nome del suo titolare, ossia della persona che dichiara la propria volontà (firma personale) o dell’organizzazione che attesta l’origine del documento (sigillo di un’organizzazione). In ogni caso, il destinatario di un documento firmato mediante una FEA deve analizzare autonomamente la firma e combinare diversi fattori per stabilire se sia affidabile. Il valore probatorio di una FEA è molto inferiore a quello di una FEQ proprio perché non è regolamentata per legge e non beneficia di un marchio di qualità riconosciuto a livello nazionale. In caso di controversia, il tribunale deve chiedere una perizia al fine di stimare il valore e l’imputabilità di una FEA. Poiché la Svizzera non ha concluso accordi con altri Stati per il riconoscimento reciproco delle FEQ e dei sigilli elettronici regolamentati, in Svizzera le FEQ estere sono considerate FEA.
La FES non è affidabile poiché potrebbe trattarsi di un qualsiasi tipo di firma, addirittura di una firma il cui certificato è rilasciato a nome di una persona o di un’organizzazione terza. Questa firma non è quindi idonea a essere apposta su un contratto. Anche se la FES è munita di una marca temporale esterna, questa può al massimo essere un’indicazione del fatto che il documento può aver avuto un certo contenuto in un determinato momento. La maggior parte delle applicazioni web per la firma menzionate più sopra propone una FES fondata su un certificato emesso a nome del fornitore dell’applicazione e non a nome del firmatario.