Con l’approvazione della legge 219/2017 e il precedente rilascio delle specifiche del Codice dell’Amministrazione Digitale (CAD), in sanità è possibile firmare digitalmente diversi documenti: dal consenso informato firmato dal paziente ai documenti clinici firmati dai medici.
Ma che significa e soprattutto che tipologia di firma è necessario utilizzare?
Quando si parla genericamente di firma digitale o elettronica spesso si commette “l’errore” di non considerare le diverse sfaccettature che questo termine porta con sé. Esistono, infatti, diverse tipologie di firma che hanno caratteristiche e peculiarità tali che meritano di essere approfondite.
Le 3 tipologie di firma elettronica
Sono tre le tipologie di firma elettronica utilizzate anche per siglare i documenti sanitari:
- Firma elettronica semplice (FES)
- Firma elettronica avanzata (FEA)
- Firma elettronica qualificata (FEQ)
FES: Firma Elettronica Semplice
È la più basilare tipologia di firma elettronica che non ha un alto valore legale, in quanto non permette di garantire l’autenticità e l’integrità del documento firmato. Per questo motivo il suo valore probatorio può essere stabilito solo da un giudice, chiamato a valutarne la validità caso per caso. Per questo motivo la firma elettronica semplice è spesso definita “debole”. Un esempio di FES è rappresentato dal codice PIN o dalle credenziali di accesso ai siti internet, in quanto prevedono un’autenticazione basilare.
FEA: Firma Elettronica Avanzata
È la tipologia di firma elettronica che assicura l’immodificabilità del documento dopo la firma e la riconducibilità della stessa a una persona specifica. Questo perché per essere realmente una firma elettronica avanzata deve necessariamente possedere i requisiti di identificazione, verifica e connessione univoca di cui all’art. 26 del Regolamento eIDAS e all’art. 56 del DPCM 22 febbraio 2013.
Dal punto di vista giuridico i documenti sottoscritti con firma elettronica avanzata soddisfano il requisito della forma scritta e hanno l’efficacia prevista dall’articolo 2702 del Codice civile. In caso di controversia spetta a chi vuole avvalersi degli effetti giuridici di tale firma dimostrarne la conformità.
Un classico esempio di FEA è la firma grafometrica, ovvero quella tipologia di firma che raccoglie le caratteristiche biometriche e comportamentali tipiche della firma autografa quali velocità, inclinazione, pressione, accelerazione (e rallentamenti).
FEQ: Firma Elettronica Qualificata
È la tipologia di firma elettronica oggetto di normativa comunitaria, in particolare, del Regolamento eIDAS e della Decisione di Esecuzione (UE) N°1506/2015 della Commissione dell’8 settembre 2015, che si basa sulla certificazione crittografica.
Questa firma garantisce in modo univoco l’identificazione del titolare e, dal punto di vista dell’efficacia giuridica, equivale ad una firma autografa, come statuito dall’art. 25 del Regolamento eIDAS. Una volta accertata l’identità della persona, infatti, viene rilasciato un certificato di firma riconducibile esclusivamente a quell’individuo. Inoltre, ci si avvale anche di un PIN identificativo personale e non condivisibile, che si presume essere riconducibile al titolare della firma stessa, salvo prova contraria. Pertanto, qualora in sede giuridica si volesse disconoscere la FEQ, spetterà direttamente al firmatario dimostrare che la firma non è sua.
Quindi quale firma elettronica scegliere?
Le diverse tipologie di firme elettroniche si differenziano per la loro capacità di resistere al disconoscimento.
Quindi per individuare lo strumento più adatto alle proprie esigenze, è bene analizzare il rischio effettivo di disconoscimento e in base ai risultati avvalersi di una o dell’altra soluzione.
In Sanità, dove la sicurezza e la validità legale dei documenti è essenziale, sono sempre più utilizzate le firme elettroniche avanzate (FEA) e le firme elettroniche qualificate (FEQ), che permettono rispettivamente di assicurare la validità dei documenti firmati dai pazienti e di registrare e convalidare, attraverso anche un apposito certificato qualificato, la validazione dei documenti clinici da parte del personale medico.
