17 • 08 • 2020

Della firma elettronica/digitale in ambito insurance si parla da tempo, perché è evidente che anche il contratto assicurativo può essere completamente dematerializzato (e quindi semplificato) attraverso la firma apposta digitalmente, che può essere firma digitale, firma elettronica, firma elettronica qualificata, firma elettronica avanzata.

In tutti i casi si tratta di una forma di espressione (con validità legale) dell’identità digitale ed è a questa logicamente e tecnicamente connessa: non può esserci firma digitale valida laddove non vi sia stato a monte un processo di autenticazione personale valido.

Firma digitale, elettronica qualificata o elettronica avanzata? Differenze

Un documento sottoscritto con firma elettronica avanzata, qualificata e digitale, nel nostro ordinamento, ha piena efficacia giuridica e soddisfa il requisito della forma scritta (richiesta per la prova dei contratti assicurativi, vedi disposizioni 1888 e 2702 del Codice Civile), a condizione che il documento elettronico non sia modificato dopo l’apposizione della firma.

Si consideri, in tal senso, che l’art. 66 del Regolamento Ivass n. 40/2018 prevede unicamente la possibilità per il distributore di procedere alla formazione della polizza tramite documento informatico sottoscritto per mezzo di firma elettronica avanzata, qualificata e firma digitale, nel pieno rispetto delle disposizioni normative vigenti.

In base all’eIDAS, ovvero il Regolamento Europeo che disciplina l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato Europeo, e al nostro CAD -Codice dell’amministrazione digitale – si possono definire le firme in questo modo:

Firma Elettronica: per definizione è “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Si va quindi dal PIN delle carte magnetiche, come per esempio il Bancomat, alle credenziali di accesso web, come nome utente e password, Un tipico esempio di firma elettronica è un messaggio di posta elettronica ordinaria o una sottoscrizione che non ha tutti i requisiti delle altre sottoscrizioni elettroniche di livello superiore.

Firma Elettronica Avanzata (FEA): di più recente introduzione rispetto alle altre firme, è definita dall’art. 3, n. 11 del CAD quale “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Di fatto potremmo definirla come una firma elettronica con alcune caratteristiche di sicurezza aggiuntive. Un esempio di Firma Elettronica Avanzata è quella su tablet.

Firma Elettronica Qualificata (FEQ): attraverso mezzi di cui il firmatario detiene il controllo esclusivo permette di identificare in modo univoco il titolare, coerentemente con quanto previsto dall’art. 1, lett. t) del CAD. Questo tipo di firma si basa su un certificato qualificato ed è realizzata tramite un dispositivo sicuro quale il token o la smart card.

Firma Digitale: prevista solo in Italia, è definita all’art. 1, lett. s) del CAD come “un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Questa tipologia di firma richiede dunque una particolare modalità tecnologica: crittografia a chiavi asimmetriche. I mezzi più diffusi per apporre la firma digitale sono, come nel caso di quella elettronica qualificata, il token e la smart card.

Firma digitale al giro di boa

Fino a oggi non era realmente emerso quel disperato bisogno di firma digitale che la pandemia ha invece portato a galla, e che può essere oggi anche un sistema di rilancio economico in quanto semplifica tutte le procedure.

Infatti, già dallo scorso maggio nel decreto Rilancio del Governo (decreto legge 19 maggio 2020, n. 34) si prevedeva la possibilità di sottoscrivere polizze in forma elettronica semplificata – la cosiddetta firma leggera – per agevolare il rilancio del settore assicurativo crollato in fase di lockdown.

In pratica si prevedeva che, in via del tutto eccezionale, fino al termine dello stato di emergenza (allo stato il 31 ottobre 2020) e in deroga al CAD, gli utenti potessero sottoscrivere polizze assicurative con le compagnie anche se sprovvisti di firma digitale (FEA o FEQ) e di posta elettronica certificata. Il valido consenso alla conclusione del contratto poteva essere espresso tramite il semplice utilizzo di un indirizzo di posta elettronica non certificata (o altro strumento idoneo), accompagnato da copia di un documento di riconoscimento in corso di validità, che vi sia un riferimento a un  contratto  identificabile  in modo certo e che lo stesso sia  conservato  insieme  al  contratto  con modalità  tali  da garantirne la sicurezza, l’integrità e l’immodificabilità.

Tale sistema è chiaramente troppo debole per diventare la norma in ambito assicurativo, ma è stato un primo passo verso la semplificazione.

Cui ha fatto seguito, dallo scorso 16 luglio con il ‘decreto semplificazioni’  , l’introduzione all’art. 27 delle “Misure per la semplificazione e la diffusione della firma elettronica avanzata e dell’identità digitale per l’accesso ai servizi bancari”.

E dai servizi bancari alle assicurazioni il passo sarà breve.  Anche perché, vale la pena ricordare, che un sistema di firma digitale che vada bene per la stipula di contratti bancari (per i quali l’ art. 117 del Testo Unico Bancario prevede la forma scritta per la sua validità) può certamente essere esteso ai contratti assicurativi, per i quali non viene previsto l’obbligo di forma scritta, salvo poi, ai sensi dell’art. 1888 codice civile, dover essere provati per iscritto in caso di contenzioso.

In sintesi le nuove misure consentono che anche un contratto bancario abbia piena validità se sottoscritto con firma digitale, FEA, FEQ e SPID.

Rispetto a quest’ultimo sistema, ricordiamo anche che dallo scorso marzo, con le Linee Guida emanate da AgID, si è data piena validità allo SPID per la firma dei documenti online: lo Spid è diventato un sistema di firma legale utilizzabile  dai cittadini per sottoscrivere un documento, ad esempio un contratto, semplicemente con l’utilizzo delle proprie credenziali SPID, senza dover ricorrere ad altri dispositivi di firma digitale (come token USB, smart card).

Il futuro

I sistemi di digital signature documentale è in rapida evoluzione in tutto il mondo, accelerata dal Covid: secondo il report “Digital Signature Global Market Report 2020-30: Covid 19 Implications and Growth“, il mercato delle soluzioni (firma digitale o elettronica e servizi correlati) dovrebbe crescere dagli 1,83 miliardi di dollari registrati nel 2019 a 2,33 miliardi nel 2020 a un tasso di crescita annuo composto (CAGR) del 27,69%. Si prevede che il mercato raggiungerà i 4,95 miliardi di dollari nel 2023 con un CAGR del 28,58%.

Sono dunque tante le società tecnologiche che stanno lavorando per lo sviluppo di tecnologie sempre più affidabili di firma digitale, tra i più importanti a livello mondiale ci sono DocuSign e Adobe, in Italia Infocert, TeamSystem e Aruba.

La tecnologia blockchain è il riferimento più interessante per la firma elettronica anche perché si lega allo smart contract. Una startup italiana che si è occupata di sviluppare un sistema di firma elettronica su blockchain è Scytale (incubata da Gellify)  che ha creato la ‘SignChain’, una piattaforma conforme al regolamento eIDAS, che consente in modo univoco di associare un’identità crittografica a un set di chiavi private, salvate, sempre verificabili e trasparenti, attraverso il quale il documento è addirittura come fosse stato firmato davanti a un notaio che garantisce la sua integrità, immodificabilità e dimostrabilità.

Ma anche la stessa Infocert ha sviluppato la soluzione Dizme, il cui nome gioca sull’assonanza con “this is me”, proprio per ricordare la valenza di identificazione che ha la piattaforma: si tratta di un sistema SSI (Self Sovereign Identity), basato su tecnologia blockchain, compliant con la normativa eIDAS, che garantisce da un lato unidentità digitale distribuita, grazie alla costituzione di un ecosistema open source decentralizzato, e dallaltro anche piena validità legale.

This is an Open Access article, distributed under the terms of the Creative Commons Attribution licence http://creativecommons.org/licenses/by/4.0/ which permits unrestricted re-use, distribution, and reproduction in any medium, provided the original work is properly cited.