FAQ
I prestatori riconosciuti di servizi di certificazione regolamentati e qualificati devono rispettare i requisiti previsti dalla legge (FiEle), dall’ordinanza (OFiEle) e dalle prescrizioni tecniche e amministrative relative ai servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali.
L’organismo di riconoscimento valuta regolarmente la conformità.
I prestatori di altri tipi di servizi di certificazione digitali non sono tenuti al rispetto delle disposizioni sopraccitate e non sono sottoposti alla sorveglianza di un organismo indipendente.
I requisiti della legge federale del 18 marzo 2016 sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (FiEle) sono analoghi a quelli previsti dal Regolamento (CE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.
Le prescrizioni tecniche e amministrative dell'UFCOM si riferiscono a norme europee riconosciute da numerosi Paesi europei. Pertanto, nei Paesi europei sono stati emessi milioni di certificati definiti «qualificati» che rispondono a criteri molto simili.
Tuttavia, i certificati qualificati europei non sono riconosciuti automaticamente in Svizzera. Lo stesso vale per i certificati qualificati svizzeri nell’Unione europea. Il mutuo riconoscimento delle firme elettroniche richiede infatti la conclusione di accordi internazionali che, per il momento, la Svizzera non ha concluso.
I CSP devono allestire un servizio di marca temporale (time stamping) e fornire contrassegni temporali (time stamp) ai titolari di certificati regolamentati o qualificati che lo richiedono.
I CSP possono rilasciare certificati regolamentati o qualificati solo se sono riconosciuti.
Soltanto le firme elettroniche con marca temporale elettronica qualificata secondo la legge sulla firma elettronica (FiEle) e fondate su un certificato qualificato rilasciato da un CSP riconosciuto hanno valore giuridico equivalente alle firme autografe. Oltretutto, il riconoscimento costituisce una garanzia di qualità e sicurezza che dimostra la competenza del CSP. Il riconoscimento non è invece necessario per fornire altri tipi di certificati.
Se un CSP estero ha già ottenuto un riconoscimento da parte di un organismo di riconoscimento estero, l’organismo svizzero competente può validare tale riconoscimento se è dimostrato che:
- il riconoscimento è stato accordato secondo il diritto dello Stato estero;
- le norme del diritto estero determinanti per il rilascio del riconoscimento sono equivalenti a quelle del diritto svizzero;
- l’organismo di riconoscimento estero possiede qualifiche equivalenti a quelle richieste all’organismo di riconoscimento svizzero;
- l’organismo di riconoscimento estero garantisce all’organismo di riconoscimento svizzero di collaborare per la sorveglianza del CSP in Svizzera.
Allo stato attuale, ancora nessun CSP estero ha richiesto di validare il proprio riconoscimento in Svizzera. Soltanto CSP svizzeri hanno ottenuto il riconoscimento da parte dell’organismo di riconoscimento svizzero.
Un CSP estero, d’altra parte, può essere riconosciuto automaticamente in Svizzera se viene concluso un accordo internazionale tra la Svizzera e il Paese in cui ha sede il CSP. Per il momento la Svizzera non ha concluso questo tipo di accordo.
I CSP interessati devono rivolgersi all’unico organismo di riconoscimento:
KPMG SA
Information Risk Management
Badenerstrasse 172
8026 Zurigo
Tel. +41 58 249 31 31
www.kpmg.chUn certificato per firme elettroniche rilasciato da un organismo di certificazione (CSP) è un attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. In questo modo il certificato, che di norma è associato al documento firmato, può essere utilizzato per verificare l’identità del firmatario e determinare se il documento è firmato con la chiave privata associata al firmatario stesso.
Visti i rigorosi requisiti della legge sulla firma elettronica (FiEle), i certificati qualificati per firme elettroniche aumentano ad esempio la garanzia dell’identità del firmatario, la sicurezza tecnica e quindi la certezza del diritto per le firme elettroniche create.
Esistono diversi tipi di certificati. I requisiti della FiEle si applicano soltanto ai CSP che rilasciano certificati definiti «regolamentati» e «qualificati». Chi ricorre ad altri tipi di certificati (ossia chi verifica la firma elettronica) è tenuto a determinare se le regole adottate dal CSP che rilascia il certificato siano sufficienti. A questo proposito, non basta prendere in considerazione unicamente come viene denominato il certificato poiché la stessa denominazione può essere utilizzata per riferirsi a certificati di diverso tipo: un certificato definito «avanzato», pertanto, può essere generato secondo criteri differenti.
- il titolare di un certificato qualificato può creare firme elettroniche aventi lo stesso valore legale delle firme autografe;
- il titolare di un certificato regolamentato o qualificato e chi lo verifica hanno la certezza che il certificato è stato elaborato secondo i criteri di sicurezza definiti nella legge e sottoposti a controlli periodici da parte di un organismo indipendente;
- i formati dei certificati regolamentati o qualificati sono definiti nelle prescrizioni tecniche e amministrative dell’UFCOM e nelle norme internazionali di riferimento;
- l’estensione della responsabilità del titolare di un certificato regolamentato o qualificato è stata chiaramente definita dal legislatore all’articolo 59a CO;
- se disattendono gli obblighi derivanti dalla legge e dalle relative disposizioni d’esecuzione, l’organismo di riconoscimento e il prestatore di servizi di certificazione riconosciuto sono responsabili del danno causato al titolare di un certificato regolamentato o qualificato valido e ai terzi che si sono fidati di tale certificato.
I certificati ai sensi della legislazione svizzera (FiEle) sono validi in Svizzera e, in virtù della legislazione ivi vigente, anche nel Principato del Liechtenstein. I certificati svizzeri non sono riconosciuti nell’UE, dove sono considerati soltanto alla stregua di certificati avanzati.
Un sigillo elettronico conformemente alla FiEle è una firma elettronica avanzata creata utilizzando un dispositivo sicuro per la creazione del sigillo secondo l’articolo 6 FiEle e fondata su un certificato regolamentato rilasciato a un’unità IDI secondo l’articolo 3 capoverso 1 lettera c della legge federale del 18 giugno 2010 sul numero d’identificazione delle imprese (LIDI) valido al momento della creazione del sigillo elettronico.
I sigilli elettronici servono quale prova che un documento elettronico è stato rilasciato da una determinata organizzazione, garantendo così l’origine e l’integrità del documento.
La domanda di rilascio di un pertinente certificato regolamentato deve essere presentata da una persona autorizzata a firmare per conto dell’organizzazione.
Un certificato regolamentato o qualificato rilasciato da un CSP riconosciuto riporta segnatamente:
- l’indicazione che si tratta di un certificato regolamentato o qualificato;
- il nome del CSP che ha rilasciato il certificato;
- il nome dell'organismo di riconoscimento.
Inoltre, il Servizio d’accreditamento svizzero (SAS) pubblica la lista dei CSP riconosciuti, disponibile alla pagina seguente. Lista dei prestatori di servizi di certificazione riconosciuti
Un CSP riconosciuto è tenuto ad attenersi alle norme della FiEle ed è sottoposto alla sorveglianza dell’organismo di riconoscimento soltanto nell’ambito del rilascio di certificati regolamentati o qualificati.
Chi verifica la firma deve essere consapevole che, nell’ambito di altri tipi di certificati, il CSP non deve necessariamente rispettare i criteri di sicurezza sanciti dalla FiEle e dalle disposizioni di esecuzione.
I certificati avanzati sono soltanto definiti nella FiEle, non però regolamentati. In particolare, non è regolamentato in che modo vengono identificati i titolari e quale sicurezza tecnica presentano all’utilizzo i certificati avanzati. Esistono certificati avanzati con una qualità molto elevata quanto ai due punti menzionati, come il certificato di firma dei collaboratori dell’Amministrazione federale registrato sulla loro smartcard. Ma esistono anche certificati avanzati per i quali l’identità dei titolari è stata accertata e comprovata soltanto in modo parziale e che vengono rilasciati soltanto sotto forma di file copiabili.
Tale servizio non è obbligatorio.
In caso di decesso del titolare, di perdita o di furto del supporto con la chiave di firma privata (smartcard), i certificati sono revocati su richiesta del titolare o dei loro successori legali. ¨
I certificati revocati vengono inseriti dal CSP in una cosiddetta revocation list almeno fino alla scadenza regolare del certificato con la loro data di revoca.
Nell’apporre la firma elettronica, il risultato della consultazione della Certificate Revocation List (CRL) può essere integrato nella firma ai fini della validazione a lungo termine (LTV, Long Term Validation). Una firma elettronica rimane così convalidabile anche se la CRL non è più accessibile o il certificato è scaduto regolarmente e quindi un’eventuale revoca non viene più riportata nella CRL.
Al fine di disporre di una data e un’ora sicura necessarie per verificare la revoca al momento della firma e della convalida, deve essere acclusa alla firma almeno per le firme qualificate una marca temporale qualificata che dimostri in modo affidabile la data e l’ora della firma. Grazie a questa marca è possibile verificare se al momento della firma il certificato era ancora valido e non era revocato.
La marca temporale garantisce inoltre la data e l’ora della firma in termini legali. Per detti motivi, l’aggiunta di una marca temporale qualificata è altamente raccomandata anche per le firme con altri certificati.
Presso i prestatori di servizi che hanno ottenuto il riconoscimento per rilasciare certificati oppure presso fornitori che esercitano la rivendita di questi certificati.
Lista dei prestatori di servizi di certificazione riconosciuti
I CSP hanno allestito uffici di registrazione in diverse città e regioni. In certi casi è inoltre possibile fare appello a uffici di registrazione mobili.
Prima della revisione della FiEle, ossia prima del 2017, i certificati di elevata qualità o la loro chiave di firma erano per lo più emessi su una smartcard certificata in modo speciale (cosiddetto dispositivo sicuro per la creazione della firma conformemente alla FiEle).
A partire dal 2017 la FiEle riveduta ha consentito di depositare i certificati assieme alla loro chiave di firma privata su server di firma centralizzati appositamente protetti, gestiti da CSP riconosciuti.
Ciò significa che o vengono generati e depositati certificati pluriennali con la loro chiave di firma, oppure, per ogni processo di firma, viene generato e depositato un certificato effimero con una durata di alcuni minuti con la relativa chiave di firma privata.
I titolari, ovvero gli utenti identificati e registrati dal CSP riconosciuto, si connettono tramite login a un’applicazione e al server di firma, caricano il documento da firmare e avviano il processo di firma. Durante il processo di firma, l’hash (impronta digitale del documento) viene generato, inviato al server di firma e lì, dopo avere inserito il PIN tramite un’app o una Mobile ID, firmato con la chiave di firma privata. Infine, l’hash firmato viene ritrasmesso all’applicazione, inserito nel documento e questo viene quindi salvato.
L’emissione di certificati e delle relative chiavi di firma su smartcard è in forte calo dal 2017.
Per le offerte del CSP si rimanda al capitolo «Firmare - offerte del settore privato» su questo sito web.
I titolari di certificati qualificati devono essere persone fisiche.
Tuttavia, un certificato qualificato può essere attribuito a una persona fisica che rappresenta una persona giuridica. In questo caso è possibile menzionare nel certificato gli attributi della persona fisica nonché il nome della persona giuridica.
I titolari di certificati regolamentati possono essere persone fisiche o entità IDI. Per le persone fisiche è possibile menzionare uno pseudonimo invece del nome in un certificato regolamentato o qualificato.
I certificati qualificati possono essere utilizzati solo per la firma elettronica di persone fisiche. La firma elettronica assicura l’autenticità e l’integrità dei dati. Questo strumento permette di rendere sicura la trasmissione dei dati e di registrare questi ultimi.
Anche i certificati regolamentati possono essere utilizzati per la firma elettronica di persone fisiche. Possono inoltre essere utilizzati da enti IDI per autenticare dati elettronici. Servono anche a criptare dati elettronici e all’autenticazione delle persone fisiche o delle entità IDI.
La presenza della persona che richiede il certificato non è necessaria per la procedura di generazione delle chiavi da parte del CSP.
Durante la procedura di registrazione il CSP non è tenuto ad effettuare la lettura di queste informazioni a chi richiede un certificato.
Una firma elettronica, così come un sigillo elettronico, sono dati in forma elettronica che sono allegati o logicamente collegati ad altri dati in forma elettronica e che il firmatario utilizza per firmare. Per il sigillo, il firmatario è un’organizzazione.
Come la sua controparte manoscritta nel mondo offline, una firma elettronica può ad esempio essere utilizzata per indicare elettronicamente che il firmatario ha redatto il documento, è d’accordo con il suo contenuto o era presente come testimone. Il sigillo garantisce l’origine e l’integrità del documento.
«Firma elettronica» è un termine giuridico, mentre «firma digitale» è un termine tecnico. Tuttavia, i due termini non coincidono completamente.
Nella FiEle vengono definiti diversi livelli di firma elettronica: firme elettroniche avanzate, firme elettroniche regolamentate e firme elettroniche qualificate. I requisiti di ogni livello si basano sui requisiti del livello inferiore, in modo che una firma elettronica qualificata (FEQ; qualified electronic signature, QES) soddisfi la maggior parte dei requisiti e una firma elettronica avanzata la minor parte di essi.
Soltanto i sigilli elettronici regolamentati (per le organizzazioni) e le firme elettroniche qualificate sono regolamentati nella FiEle (regole per l’identificazione dei titolari, prescrizioni tecniche in materia di sicurezza).
Le firme elettroniche avanzate (FEA; advanced electronic signatures, AdES) sono soltanto definite dalla FiEle, NON però regolamentate. Una firma elettronica avanzata è una firma elettronica che soddisfa i seguenti requisiti:
- è attribuita esclusivamente al titolare,
- permette di identificare il titolare,
- è creata con mezzi sui quali il titolare può conservare il proprio controllo esclusivo,
- è collegata ai dati ai quali si riferisce in modo tale che una successiva modifica dei dati sia riconoscibile.
La tecnologia utilizzata più di frequente, in grado di soddisfare questi requisiti, si basa sull’uso di un’infrastruttura a chiave pubblica (ICP; Public Key Infrastructure, PKI), che contempla l’impiego di certificati e chiavi crittografiche.
Una firma elettronica qualificata (FEQ) è una firma elettronica avanzata (FES), che in più:
- è creata da un dispositivo per la creazione di una firma qualificata (DCFQ; Qualified Electronic Signature Creation Device, QSCD) e
- si basa su un certificato qualificato.
La firma qualificata è equivalente a una firma manoscritta e soddisfa il requisito della forma scritta in conformità con gli articoli 12–14 del Codice delle obbligazioni (CO, RS 220). A una firma elettronica qualificata non possono essere negati l’effetto giuridico e l’ammissibilità quale prova nei procedimenti giudiziari soltanto perché è in forma elettronica.
Un sigillo elettronico regolamentato deve essere creato da un dispositivo per la creazione di una firma sicura (DCFS; Secure Signature Creation Device, SSCD) e si basa su un certificato regolamentato. Ha, parimenti, un elevato valore probatorio.
Anche se diversi livelli di firme elettroniche possono essere appropriati in contesti differenti, soltanto le firme elettroniche qualificate sono esplicitamente riconosciute in Svizzera come equivalenti alle firme autografe.
Se la procedura è conforme ai requisiti stabiliti nella legge, nell’ordinanza e nelle prescrizioni tecniche e amministrative sui servizi di certificazione nel campo della firma elettronica, una firma elettronica qualificata può essere elaborata tramite un processo automatizzato.
Il titolare del certificato non deve imperativamente prendere conoscenza dei dati da firmare. Il dispositivo per la creazione della firma, tuttavia, non deve rendere difficoltosa la presa di conoscenza dei dati da sottoscrivere prima di procedere alla firma.
Non è necessario fornire i dati di attivazione per ciascuna firma. È possibile effettuare una serie di firme fornendo una sola volta di dati di attivazione.
È possibile trascrivere i dati di attivazione. Le trascrizioni devono tuttavia essere conservate in un luogo sicuro e distinto da quello del dispositivo per la creazione della firma.
Prodotti certificati all'estero conformi alle esigenze menzionate nelle prescrizioni tecniche e amministrative possono essere forniti da un CSP svizzero se l’organismo estero che ha certificato il prodotto è stato accreditato da un organismo di accreditamento che ha sottoscritto la convenzione multilaterale (Multilateral Agreement) come membro riconosciuto dell’EA (European Accreditation).
L’organismo di riconoscimento è incaricato di verificare la certificazione del prodotto.
La norma ETSI EN 319 411-2, alla quale i CSP devono attenersi secondo le prescrizioni tecniche e amministrative dell’UFCOM, si riferisce alla guida ETSI TS 119 312 per la scelta degli algoritmi e la lunghezza delle chiavi.
Ai sensi dell’articolo 14 capoverso 2bis del codice delle obbligazioni (CO), solo la firma elettronica qualificata, che si fonda su un certificato qualificato di un prestatore di servizi di certificazione riconosciuto ed è provvista di una marca temporale qualificata ai sensi della legge federale sulla firma elettronica (FiEle), è equiparata alla firma autografa. Tuttavia, poche transazioni in Svizzera necessitano di una firma elettronica qualificata che è equiparata a una firma autografa (ad es. il credito al consumo), perché il diritto contrattuale svizzero si fonda sul principio della libertà di forma. Possono dunque essere utilizzati altri tipi di firma elettronica nei casi in cui non è necessaria la firma autografa delle parti contraenti, sempre che queste ultime siano a conoscenza delle restrizioni di utilizzo.
Tuttavia, utilizzando in modo generale i prodotti di un prestatore riconosciuto, l’utente ha la certezza che le transazioni per le quali è richiesta la forma scritta sono legalmente riconosciute. Può inoltre dimostrare a chi esegue la verifica della firma che, al momento della firma, sono stati presi determinati provvedimenti di sicurezza.
Una marca temporale elettronica è un file in forma elettronica che collega altri dati in forma elettronica a una determinata data e ora e dimostra così che questi ultimi dati esistevano in quel momento.
Un firmatario può ad esempio utilizzare una marca temporale elettronica per collegare un documento firmato a una data e a un’ora specifiche e per dimostrare in futuro che il documento firmato esisteva a quella data e a quell’ora specifiche.
Conformemente alla FiEle una firma elettronica qualificata deve obbligatoriamente recare una marca temporale. La maggior parte delle applicazioni di firma e dei sistemi di firma basati su server acclude automaticamente una marca temporale qualificata. Soltanto per firmare con Adobe Acrobat Reader è necessario configurare manualmente un sistema marcatempo nelle impostazioni di Adobe Acrobat Reader.
La marca temporale elettronica è altresì necessaria per potere verificare di una firma elettronica se, al momento della firma, tutti i certificati utilizzati (intera catena di certificati) erano validi o non revocati.
Ai sensi dell’articolo 9 dell’ordinanza del 18 giugno 2010 sulla comunicazione per via elettronica nell’ambito di procedimenti amministrativi (OCE-PA), le decisioni e le fatture aventi carattere di decisione devono essere provviste di una firma elettronica qualificata o di un sigillo elettronico regolamentato, a seconda della scelta dell’unità amministrativa della Confederazione cui spetta la decisione.
Non è consentito firmare le disposizioni e le fatture aventi carattere di decisione con certificati avanzati, nello specifico con il certificato di firma dei collaboratori dell’Amministrazione federale su smartcard.
Le firme con certificati avanzati possono essere utilizzate se la legge non prevede un negozio giuridico che richiede la forma scritta ai sensi degli articoli 12–14 del Codice delle obbligazioni (CO). Le firme avanzate possono quindi essere utilizzate per stipulare la maggior parte dei contratti, tranne se la legge prevede esplicitamente la forma scritta.
Nell’utilizzare firme avanzate o certificati avanzati occorre assolutamente ricordare che entrambi non sono regolamentati in alcun modo dalla FiEle: non è quindi garantita l’identità del titolare del certificato utilizzato e neppure la sicurezza tecnica di quest’ultimo. La loro qualità e affidabilità e dunque il loro valore probatorio sono pertanto significativamente ridotti rispetto alle firme qualificate. Un giudice deve, se del caso, richiedere una perizia (costosa) qualora la validità di una firma avanzata sia contestata da una delle parti.
Una siffatta perizia deve verificare se il corrispondente certificato è stato rilasciato da un servizio attendibile, se e come è stata verificata l’identità registrata nel certificato e se la sicurezza della relativa chiave di firma privata o la sua protezione contro l’uso improprio può essere considerata garantita.
La maggior parte dei visualizzatori di PDF su smartphone e tablet, e anche quelli integrati nei browser, non sono in grado di visualizzare le firme elettroniche e non possono nemmeno visualizzare se un documento è firmato elettronicamente.
Con l’Adobe Acrobat Reader originale (freeware), le firme elettroniche possono per contro essere visualizzate e anche verificate senza problemi in tutti i dettagli (firma, marca temporale, certificati, catena di certificati ecc.).
Se una parte deve fare affidamento su un documento firmato elettronicamente, è importante che possa verificare i documenti e le firme per quanto riguarda i seguenti punti:
- integrità dei dati firmati, ossia che essi non sono stati modificati dopo la firma;
- autenticità dei dati firmati, ossia che la firma è supportata da un certificato qualificato identificante il firmatario e che soltanto il firmatario può creare la firma.
Semplificando, il processo di validazione si svolge come segue:
- la verifica dell'integrità dei dati;
- la verifica della validità del certificato;
- la verifica dello stato qualificato del certificato (soltanto per le firme qualificate);
la verifica se la firma è stata creata da un dispositivo per la creazione di una firma elettronica qualificata (soltanto per le firme qualificate).
Con alcuni visualizzatori di PDF (p. es. con l’Adobe Acrobat Reader originale) le firme elettroniche possono essere visualizzate in tutti i dettagli e anche controllate sotto il profilo tecnico. A seconda dell’impostazione della trustlist (se presente nel visualizzatore di PDF), i certificati validi secondo la FiEle e quindi anche le firme elettroniche eseguite con essi vengono indicati come non validi, oppure vengono indicati come validi certificati esteri. Per i non addetti ai lavori è difficile capire per quale motivo in un caso le firme elettroniche sono indicate come valide e in un altro come non valide.
Onde rendere verificabile per i non addetti ai lavori se nel documento sono contenuti certificati e firme validi ai sensi della FiEle, o se il documento è firmato validamente e la firma elettronica è stata provvista di una marca temporale, l’Amministrazione federale ha sviluppato un validatore che mette gratuitamente a disposizione del pubblico su www.validator.ch.
Dopo il processo di validazione, il validatore mette a disposizione rapporti di prova dettagliati da scaricare.
In sostanza, il validatore controlla i documenti che sono firmati o regolamentati in modo qualificato. Verifica inoltre i documenti firmati con il certificato di firma avanzato dei collaboratori dell’Amministrazione federale sulla loro smartcard. A tutt’oggi non vengono verificate altre firme avanzate. Il validatore verifica anche copie elettroniche di atti notarili svizzeri quanto alla loro validità.
Questo messaggio viene generato per diversi motivi. Spesso appare quando si compilano altri campi del modulo dopo la prima firma. Le annotazioni non influiscono sulla validità della firma del documento o sull’integrità del documento PDF, purché gli altri punti di controllo siano validi. Il messaggio relativo alle annotazioni è quindi una semplice indicazione.
Questo messaggio può apparire se un documento PDF è stato salvato come PDF protetto. I PDF protetti non possono essere controllati dal validatore perché alcune informazioni necessarie a tal fine non sono accessibili.