La digitalizzazione dei processi aziendali richiede un equivalente elettronico affidabile delle firme autografe per stipulare contratti e accordi. Con l’adozione da parte di individui e organizzazioni di flussi di lavoro senza supporto cartaceo, l’adozione delle firme digitali è esplosa negli ultimi anni.
Tuttavia, la legalità e l’accettazione dei diversi standard di firma digitale variano ampiamente da una regione all’altra. Questa guida completa esamina la validità di PKIleggi e regolamenti basati sulla firma digitale nei principali mercati globali.
Stati Uniti
Panoramica
Negli Stati Uniti, le firme digitali godono di piena validità legale e applicabilità a livello federale e statale.
La Legge sulle firme elettroniche nel commercio internazionale e nazionale (ESIGN), emanato dal Congresso nel 2000, garantisce ufficialmente ai contratti elettronici e alle firme digitali lo stesso status giuridico dei tradizionali documenti cartacei e delle firme autografe. Questa legge fornisce il quadro di base per le firme elettroniche legalmente valide negli Stati Uniti.
Inoltre, quasi tutti gli stati hanno adottato leggi che riconoscono la legalità delle firme digitali per le transazioni commerciali e governative all’interno della loro giurisdizione. Qualunque PKIIl metodo di firma digitale basato su può essere legalmente valido negli Stati Uniti purché soddisfi specifici criteri di autenticazione e sicurezza delineati in ESIGN.
Standard di firma digitale
Lo standard più comune utilizzato per le firme digitali negli Stati Uniti è:
Adobe Trusted List (AATL): AATL fornisce linee guida di settore e specifiche tecniche per l'emissione e le firme di certificati digitali. La maggior parte delle autorità di certificazione è conforme alle regole AATL in modo che i propri certificati funzionino perfettamente con i prodotti Adobe e i flussi di lavoro di firma desktop.
Le firme applicate utilizzando certificati conformi AATL e prodotti Adobe come Acrobat sono considerate sicure e legalmente applicabili ai sensi di ESIGN sia a livello statale che federale.
Tutti i certificati di firma digitale SSL.com sono immediatamente conformi al framework di fiducia di Adobe. Contratti, accordi e altri documenti firmati utilizzando i nostri certificati sono considerati attendibili dal software Adobe e acquisiscono validità legale ai sensi della legge statunitense. Anche il servizio di firma cloud di SSL.com eSigner si integra nativamente con Adobe Sign.
È importante notare che while SSL.com i certificati sono conformi AATL e sono pienamente conformi ai criteri ESIGN, SSL.comIl servizio di firma cloud eSigner di può essere utilizzato con qualsiasi certificato di firma di documenti emesso da qualsiasi altra autorità di certificazione attendibile che aderisce ad altri standard riconosciuti come lo standard europeo eIDAS. Ciò garantisce che le organizzazioni possano utilizzare un ampio spettro di soluzioni di firma digitale con la garanzia di validità legale.
Europa
Panoramica
La legalità delle firme elettroniche e dei contratti digitali è unificata in tutto il mondo Unione Europea nell’ambito eIDAS – Identificazione elettronica, autenticazione e servizi fiduciari.
Il regolamento eIDAS, adottato dal Parlamento europeo nel 2014, definisce gli standard per i metodi di identificazione elettronica, i servizi fiduciari e le transazioni elettroniche che tutti gli Stati membri devono adottare. Garantisce la validità giuridica transfrontaliera di alcuni tipi di firme digitali sicure nel mercato unico.
Standard di firma digitale
eIDAS definisce specifici PKI standard per la firma digitale avanzata e qualificata. Ecco i tipi di firma riconosciuti dalla normativa UE:
Firme elettroniche avanzate (AES): AES si riferisce a tutte le firme digitali che soddisfano i requisiti tecnici relativi all'autenticazione del firmatario e all'integrità del documento. Forniscono la garanzia che la firma appartiene alla persona che firma e che il documento non è cambiato dal momento della firma.
Firme elettroniche qualificate (QES): QES si riferisce alle firme digitali avanzate create utilizzando un certificato di firma qualificata emesso da un fornitore di servizi fiduciari accreditato e controllato. A causa dell’elevato livello di sicurezza e verifica dell’identità richiesti, i QES godono della piena equivalenza giuridica con le firme autografe ai sensi del diritto dell’UE.
QES è disponibile in tre formati standard riconosciuti in tutta l'UE per facilitare le transazioni digitali multilaterali transfrontaliere:
PAdES: QES per documenti PDF
XAdES: QES per documenti XML
CAdES: uno standard CMS avanzato per la firma avanzata
Pertanto, qualsiasi firma digitale applicata in conformità a queste specifiche utilizzando un certificato di firma qualificato ha identica validità all'interno dell'UE.
Lavoriamo a stretto contatto con i partner europei per garantire che la firma del cloud avvenga senza problemi in tutta l'UE. Sebbene i nostri certificati siano progettati per essere compatibili con lo standard PAdES per le firme digitali in Europa, al momento non siamo sottoposti a verifica per la conformità eIDAS. Tuttavia, il servizio di firma cloud eSigner può essere utilizzato con certificati di firma di documenti di qualsiasi altra autorità di certificazione, comprese quelle conformi agli standard europei di firma digitale.
Regno Unito
Dopo la Brexit, le normative sulla firma elettronica nel Regno Unito si sono leggermente discostate da quelle dell’UE, pur mantenendo elevati standard di sicurezza e applicabilità.
Le firme digitali avanzate (AES) e qualificate (QES) che soddisfano le specifiche tecniche eIDAS continuano a rimanere valide nel Regno Unito anche se le chiavi di firma utilizzate risiedono nell’UE.
Regione Asia Pacifico
Nell'Asia del Pacifico, la legalità delle firme digitali varia ampiamente tra i diversi paesi. Ecco una panoramica dei requisiti nei principali mercati dell’APAC:
Cina
La Cina ha sviluppato in modo indipendente algoritmi di crittografia e PKI standard distinti dal resto del mondo. Questi includono:
Algoritmo di crittografia SM2
GM/T 0013 – standard per le firme elettroniche che utilizzano la crittografia a chiave pubblica/privata SM2.
In Cina, le firme digitali applicate utilizzando i certificati dell'autorità di certificazione con algoritmo SM2 sono legalmente valide e applicabili ai sensi della legge sulla firma elettronica del paese. I visitatori stranieri potrebbero aver bisogno di ottenere certificati CA COMPATIBILI per validità legale.
India
L’India ha promulgato una delle prime leggi a livello nazionale che regolano le firme digitali nel lontano 2000 con la Legge sulla tecnologia dell'informazione, 2000. Questo garantisce validità legale alle firme digitali che utilizzano CA indiane autorizzate.
Un aggiornamento della legge nel 2008 ha inoltre riconosciuto legalmente valide le firme elettroniche che soddisfano determinati criteri tecnici. Tuttavia, solo le firme digitali emesse da un'autorità di certificazione autorizzata dal Ministero IT indiano hanno pieno valore legale nel paese.
Giappone
Il Giappone è stato anche uno dei primi pionieri nella legislazione sulla firma digitale. L'articolo 3 del Legge giapponese sulle firme elettroniche approvato nel 2001 garantisce alle firme elettroniche avanzate generate utilizzando la crittografia a chiave pubblica la stessa validità legale delle firme autografe.
Pertanto, le firme digitali applicate utilizzando CA emittenti giapponesi autorizzate che soddisfano le specifiche di sicurezza relative all'autenticazione del firmatario sono considerate pienamente giuridicamente vincolanti nel paese.
Singapore
Secondo Legge sulle transazioni elettroniche di Singapore del 2010, le firme digitali hanno la stessa validità giuridica delle firme con inchiostro bagnato purché siano generate utilizzando certificati emessi da autorità di certificazione autorizzate.
Il Paese ha designato standard in diversi settori verticali che specificano i requisiti tecnici che le firme digitali devono soddisfare per ottenere validità legale in quel settore o tipo di transazione. Questi quadri settoriali operano in linea con la legge generale sulle transazioni elettroniche.
America Latina
Molti paesi dell'America Latina hanno promulgato leggi sulle transazioni elettroniche che garantiscono alle firme digitali la stessa validità delle firme manuali:
Messico
Il Messico ha aggiornato il Codice del commercio messicano nel 2003 consentendo espressamente sia agli individui che alle aziende di utilizzare firme elettroniche e certificati digitali per firmare digitalmente tutti i tipi di accordi, contratti e transazioni commerciali.
Le firme digitali avanzate o affidabili – ai sensi dell’articolo 89 del Codice del Commercio – hanno piena equivalenza giuridica con le firme con inchiostro se vengono soddisfatti determinati controlli tecnici e di sicurezza, tra cui:
Unicità per il firmatario
Capacità da verificare in modo indipendente
Rilevamento delle modifiche successive
Perù
Gli standard legislativi per le certificazioni digitali e le firme elettroniche sono stati stabiliti in Perù nel 2000. Il Decreto Supremo N° 019-2002-JUS stabilisce i criteri tecnici che le firme digitali generate utilizzando le CA peruviane autorizzate devono soddisfare per ottenere piena validità legale.
La legge richiede che le firme utilizzino lo standard di crittografia a chiave pubblica/privata X.509 versione 3 e la funzione hash SHA-1. Le firme digitali qualificate in grado di dimostrare l'identità, l'autenticità e l'integrità del firmatario godono della stessa validità delle firme manuali.
Colombia
In Colombia, la legge 527 promulgata nel 1999 stabilisce esplicitamente che sia le persone fisiche che le persone giuridiche possono stipulare accordi legali vincolanti attraverso l'uso delle firme digitali, garantendo identica validità alle firme manoscritte.
Il governo colombiano ha inoltre istituito un sistema nazionale di certificazione elettronica per regolamentare le autorità emittenti autorizzate a generare ID digitali e certificati utilizzati per firme digitali legalmente valide nel paese.
Argentina
La legge argentina 25,506 sulla firma digitale è stato emanato nel 2001. Stabilisce un quadro giuridico che disciplina le autorità di certificazione autorizzate a emettere certificati per la firma digitale nel paese.
Le firme digitali o elettroniche applicate utilizzando tali certificati regolamentati e che soddisfano gli standard tecnici stabiliti godono di piena equivalenza giuridica con i contratti cartacei firmati secondo le leggi sulla firma tradizionale.
Conclusione
Esiste una chiara tendenza globale verso il riconoscimento delle firme elettroniche come legalmente valide sia nei paesi sviluppati che in quelli in via di sviluppo.
Anche se le specifiche variano da paese a paese, PKI standard come i certificati digitali, la crittografia a chiave pubblica/privata, le funzioni hash, la verifica dell’identità attendibile e le prove di manomissione forniscono la struttura tecnica per ottenere validità legale nella maggior parte delle giurisdizioni.
< p class="md-end-block md-p">Selezionando il giusto certificato di firma dei documenti da CA attendibili, come SSL.com e implementando il metodo giusto per applicare le firme digitali utilizzando quel certificato, come i servizi di firma cloud come eSigner, le organizzazioni possono adottare in modo sicuro flussi di lavoro senza carta in tutto il mondo e applicare firme digitali con il stessa legalità delle firme bagnate su larga scala.