Firme elettroniche

Le firme elettroniche di un documento informatico ed in particolare le firme elettroniche avanzate e qualificate, (tra le quali rientra quella digitale), si propongono di soddisfare le tre seguenti differenti tipologie di esigenze che non tutte, però, possono realizzare: 

- l'autenticità (ed ossia la possibilità che il destinatario verifichi l'identità del mittente del documento digitale sottoscritto);
- la non ripudiabilità (ed ossia l'impossibilità che il mittente possa disconoscere un documento digitale da lui sottoscritto);
- l'integrità (ed ossia l'immodificabilità del documento da parte del destinatario).

Ai sensi della normativa citata vengono disciplinate tre differenti tipologie di firma elettronica:

firma elettronica generica o semplice: con la quale si intende l'insieme dei dati in forma elettronica,allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

firma elettronica avanzata: con la quale si intende un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;

- firma elettronica qualificata: termine con il quale si intende un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato rilascato da un certificatore accreditato e realizzata mediante un dispositivo sicuro per la creazione della firma.

La firma digitale costituisce un particolare tipo di firma elettronica avanzata, basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Oggi, la legge che disciplina la firma elettronica è il "Codice dell'amministrazione digitale" (Decreto Legislativo 7 marzo 2005, n. 82) che ha subito nel corso del tempo varie modifiche (da ultimo a opera del d.l. 18 ottobre 2012 n. 179 nel testo integrato dalla legge di conversione 17 dicembre 2012 n. 221).

La firma digitale è qualificata dall'art. 1 comma 1, lettera s) del d.lgs. 82/2005 (c.d. Codice dell'Amministrazione digitale), quale "particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici".

La firma digitale viene apposta sui documenti attraverso l'utilizzo di specifici hardware (smart card o chiavi usb) e appositi software che la rendono parte integrante del documento stesso, previa autenticazione del sottoscrittore.

Affinchè possa essere apposta una firma digitale, sono necessari tre diversi soggetti:

- l'Ente certificatore che rilascia il certificato di firma su un supporto sicuro quale la smartcard o una chiavetta usb.
- Il soggetto firmatario che ha ricevuto i propri certificati dall'Ente e appone la sua firma digitale al documento;
- Il destinatario del documento che  deve poter verificare la validità della firma.

La titolarità della firma elettronica qualificata, in Italia, è garantita dai cosiddetti Enti certificatori (disciplinati dagli articoli 26-32bis del Codice dell'Amministrazione Digitale) e cioè di soggetti con particolari requisiti di onorabilità, che gli consentono di essere accreditati presso il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA), ora confluito in DigitPA.

Il certificato, che identifica il titolare della firma, risiede nella smartcard o nella chiavetta usb insieme a 2 chiavi di cifratura, dette chiave pubblica e chiave privata, quest'ultima segreta a tutti, anche al suo possessore che la usa ma non la conosce.

Proprio grazie a questa coppia di chiavi il processo di firma, che utilizza di un algoritmo di cifratura detto a chiavi asimmetriche, garantisce l'integrità del documento firmato e la sua paternità.

L'acquisizione di una coppia di chiavi per i soggetti privati (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica, inserita nel certificato) è generalmente rilasciata pagamento, attraverso la sottoscrizione di un contratto con il certificatore accreditato. La coppia di chiavi ha una scadenza temporale di 3 anni.

Ovviamente il rilascio dei certificati può avvenire unicamente previa identificazione certa del firmatario da parte del certificatore perché sia certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.

Il firmatario, tramite la smartcard o il dispositivo usb in suo possesso e di cui conosce il PIN di accesso, utilizza per la firma un apposito software che provvede automaticamente alle necessarie operazioni creando il documento firmato.

Il destinatario del documento firmato, tramite un apposito programma generalmente rilasciato gratuitamente oltre a leggere il contenuto del documento verifica l'integrità del documento stesso e la validità del certificato, che cioè non sia scaduto o revocato;

E' anche possibile dare validità temporale ai documenti aggiungendo alla firma digitale una marca temporale, sempre rilasciata dal certificatore, che garantisce così la data della avvenuta firma.

Naturalmente gli Enti certificatori sopra menzionati conservano, altresì, i registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico. 

La firma digitale, però, può essere anche soggetta anche a vulnerabilità, correlata al fatto che i dispositivi sopra citati sono collegati ad un computer che, di per sè può presentare dei margini di insicurezza.

Il rischio concreto, infatti, consiste nel fatto che il computer possa ottenere dalla smart card una firma su un documento diverso da quello visualizzato sullo schermo e effettivamente scelto dall'utente, lasciando l'utente potenzialmente inconsapevole.

Altro problema è derivante dalla possibilità per i documenti di incorporare macro-istruzioni o codice eseguibile (si pensi per esempio alle macro dei documenti Word, oppure al codice Javascript dei documenti PDF). 

Per tali motivi la vigente normativa italiana  esclude espressamente la validità della firma digitale per le sopraddette tipologie di documenti.

Infatti l'art. 3, comma 3 del DPCM 30 marzo 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009) recita "Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica qualificata, non produce gli effetti di cui all'art. 21, comma 2, del codice, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" .

L'ordinamento giuridico italiano riconosce appunto la firma digitale quale firma elettronica qualificata, basata sulla crittografia asimmetrica, alla quale si attribuisce una particolare efficacia probatoria, assimilabile alla firma autografa tradizionale.

Come detto sopra, quindi la firma digitale è soltanto un particolare tipo di firma elettronica qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro.

La firma elettronica qualificata ha in più rispetto alla firma elettronica avanzata l'utilizzo di un dispositivo di firma sicuro e di un certificato qualificato rilasciato da un certificatore autorizzato.

La firma elettronica avanzata deve garantire una connessione univoca al firmatario, essere creata con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Pertanto tutti gli altri metodi di identificazione informatica sono considerati firme elettroniche semplici.

Sotto il profilo probatorio il dlg. 82/2005 ribadisce la potenziale idoneità del documento informatico, anche non sottoscritto, a integrare la forma scritta. Si legge, infatti, nell'art. 20 comma 1 bis: "L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilita', fermo restando quanto disposto dall'articolo 21".

Inoltre il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (comma 1 art. 21).

L'efficacia automatica di scrittura privata e la presunzione semplice che il dispositivo di firma siariconducibile al titolare, in precedenza appannaggio della sola firma elettronica qualificata, sono attribuite anche alla firma elettronica avanzata.
Si legge nell'art. 21 comma 2:  "Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilita' dell'autore, l'integrita' e l'immodificabilita' del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria".

Per tali motivi soltanto alla firma elettronica qualificata è riservata la possibilità di sottoscrizione di particolari atti avente valore legale e per la precisione quelli previsti a forma scritta necessaria dall'art. 1350 del Codice Civile: 

- contratti che, in relazione a beni immobili, ne trasferiscano la proprietà, costituiscano, modifichino o trasferiscano l'usufrutto, il diritto di superficie, il diritto del concedente o dell'enfiteuta, la comunione su tali diritti, le servitù prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, 
- contratti di affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni; 
- contratti di società o di assicurazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo determinato; 
- gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato;
- gli atti di divisione di beni immobili e di altri diritti reali immobiliari; 
- le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra.

Il comma 2 bis dell'art. 21 prevede, infatti, che "salvo quanto previsto dall'articolo 25, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale."

Inoltre lo stesso comma prevede che "Gli atti di cui all'articolo 1350, numero 13), del codice civile ed ossia "gli altri atti previsti dalla legge" soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale".

Si tratta degli altri atti (rispetto a quelli sopra indicati) per cui sia prevista la forma scritta ad substantiam e tra questi, ricordiamo, ad esempio, i contratti bancari e di intermediazione finanziaria. 

Per questi atti la legge prevede quindi espressamente che "comunque" la forma scritta sia integrata anche da una firma elettronica avanzata.

Tanto premesso è evidente come una simile disciplina normativa possa proporre non pochi problemi in ordine alla validità e all'efficacia di documenti digitali sia sotto l'aspetto sostanziale che processuale.

Per tali motivi i nostri avvocati sono disponibili a fornire specifica attività di consulenza in materia.