La storia nazionale delle firme digitali cioè delle firme elettroniche equivalenti ad una sottoscrizione autografa è iniziata con la pubblicazione dell’elenco dei soggetti accreditati da AgID per l’emissione dei certificati digitali previsti dalla normativa all’epoca vigente. Il primo soggetto iscritto fu SIA S.p.A. (a partire dal 27 gennaio 2000) sulla base di quanto previsto dall’articolo 8 del DPR 10 novembre 1997, n. 513 e specificato nel DPCM 8 febbraio 1999. Quest’ultimo stabiliva le prime regole tecniche nazionali sul tema.
Il primo elenco, in forma non telematica, è pubblicato nella
CIRCOLARE 13 luglio 2000, n. AIPA/CR/26 - Art. 8, comma 3, del D.P.R. 10 novembre 1997, n. 513 : elenco delle società individuate dall'Autorità per l'informatica nella pubblica amministrazione, alla data del 6 luglio 2000, ai fini dell'attività di certificazione.
Per la storia del digitale, di seguito, la pagina della Gazzetta Ufficiale che contiene questa circolare.
La partenza ufficiale della firma si può associare alla circolare AIPA 18 maggio 2001, AIPA/CR/29 che stabilisce la prima pubblicazione online dell’elenco pubblico dei certificatori.
Dopo circa 21 anni è ancora significativa la confusione sui temi legali e tecnici delle firme considerando anche il fatto che la normativa regolamentare europea ha introdotto regole di rango normativo superiore a quello nazionale e a quest’ultimo livello altre regole sono state emanate come quelle per la firma elettronica avanzata nel DPCM 22 febbraio 2013, ancora in vigore.
Chi scrive nel corso della sua attività professionale ha risposto (e lo fa ancora) a un numero significativo di quesiti sulle sottoscrizioni informatiche, sulle modalità mediante le quali vengono apposte e sulla loro validità dopo le operazioni di verifica.
Nel seguito si descrivono, a titolo di esempio, dieci problematiche, scelte tra le più frequentemente proposte anche sui social, con le relative risposte.
1) La firma elettronica non vale nulla
È falso. La firma elettronica è definita nel regolamento UE 910/2014 (eIDAS) come, i dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare; tale firma ha il valore stabilito nel CAD nell’articolo 20, comma 1-bis. In tal senso l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. In altre parole, non c’è nulla di predefinito ma decide il giudice caso per caso, in base al suo libero convincimento.
Analogamente la firma digitale è la realizzazione tecnologica basata su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’altra privata, sotto il controllo esclusivo del sottoscrittore) della firma elettronica qualificata. Questa ha il più ampio spettro di utilizzo rispetto alle altre tipologie di sottoscrizioni informatiche. Può essere utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio.
È disconoscibile solo provando di non aver firmato come approfondito nel paragrafo 8.2.
2) La firma grafometrica è Firma elettronica avanzata (FEA)
È falso. Questa equivalenza è soddisfatta solo se la firma grafometrica è proposta al sottoscrittore nell’ambito di quanto stabilito nel Titolo V delle regole tecniche sulla firma (DPCM 22 febbraio 2013). In particolare, il sottoscrittore aderisce al servizio in modo esplicito, sottoscrivendo una dichiarazione di accettazione. Quest’ultimo è anche informato sugli esatti termini e condizioni relative all’uso del servizio, compresa ogni limitazione d’uso. In altre parole, firmo in modalità grafometrica solo quello che ho approvato.
3) L’unica firma valida è quella con il file avente l’estensione .p7m
È falso. La normativa comunitaria prevede tre formati per i documenti sottoscritti. In base alla normativa comunitaria sono valide anche le sottoscrizioni in formato PAdES che rappresenta firme di file PDF e lo XAdES che è totalmente in formato XML. L’estensione .p7m è associata al formato CAdES, anch’esso valido in sede comunitaria.
Nella pratica può creare qualche problema il fatto che un file PDF firmato o no ha la stessa estensione. Sarebbe utile introdurre una nomenclatura specifica per il nome file. Per esempio pippo.pdf potrebbe diventare pippo_signed (o semplicemente _sig.pdf). Su questo tema ci sono state delle sentenze in ambito nazionale che hanno confermato l’equivalenza dei formati di firma CAdES e PAdES.
4) La firma remota è solo una particolare modalità di sottoscrizione
È vero. La firma remota è definita nel DPCM 22 febbraio 2013 (articolo 1, comma 1, lettera q) come “particolare procedura di firma elettronica qualificata o firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.
Questa tipologia di firma è una FEQ (firma elettronica qualificata) a tutti gli effetti e una volta apposta non è distinguibile da una qualunque altra FEQ apposta in altro modo. Questo fatto richiede meccanismi di controllo esclusivo per il titolare della sottoscrizione. L’apposizione di una FEQ in modalità remota che utilizzi solo un PIN (e non anche una password monouso) è consentita esclusivamente a fronte di esplicita autorizzazione scritta di AgID a fronte di una richiesta del prestatore di servizi fiduciari qualificato che intende utilizzare una procedura di sicurezza semplificata.
5) La firma remota e la firma automatica sono equivalenti.
È falso. La firma automatica è definita nell’articolo 1, comma 1, lettera r) del DPCM 22 febbraio 2013. Questa definizione sviluppa i principi stabiliti nei commi 2 e 3 dell’articolo 35 del CAD.
La firma apposta con procedura automatica diventa nel gergo comune firma automatica ed è definita come “particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo”.
Nella realtà la firma automatica non sempre è utilizzata con piena rispondenza ai suoi requisiti di legge ovvero al principio della consapevolezza della sottoscrizione da parte del titolare.
La firma automatica è nata per la sottoscrizione di documenti informatici che per loro natura non richiedono di essere presentati al titolare della firma, prima dell’apposizione della stessa chiaramente e senza ambiguità. Questo consente di firmare flussi documentali omogenei e in grande quantità. La procedura è utilizzata dal titolare previo consenso e viene avviata sotto il suo controllo esclusivo anche senza presidio puntuale e continuo.
Il titolare che non vede quello che sottoscrive e ne ha dato consenso è tutelato da quanto stabilito nel più volte citato DPCM nell’articolo 5, comma 2. Il certificato qualificato utilizzato per la procedura automatica contiene chiavi specializzate per tale procedura e estensione esplicita per referenziare tale utilizzo. Ogni dispositivo utilizzato per la procedura automatica richiede una specifica e diversa referenza.
In alcuni scenari tale procedura viene utilizzata per sottoscrivere flussi non omogenei di documenti ovvero il sottoscrittore non ha la percezione granulare di quello che sta sottoscrivendo.
In altre parole, firma alla cieca con i conseguenti rischi professionali.
L’operazione non è di per sé illegale ma in alcuni casi lo diventa se la firma con procedura automatica snatura la funzione dichiarativa della sottoscrizione consistente nell’assunzione della paternità del documento o, in altri termini, dell’espressione del consenso relativo al documento sottoscritto.
Il rischio è basso per fatture o atti di routine, elevato per referti clinici, contratti specifici o comunque documenti non identificabili a priori in un flusso omogeneo.
La firma automatica è comunque una FEQ ma distinguibile da una firma remota. Nel gergo è anche chiamata firma massiva perché viene utilizzata per sottoscrivere flussi che coinvolgono numeri elevati di documenti ma la sua vera origine giuridica è nel fatto che non vedo quello che sottoscrivo.
Della firma remota abbiamo parlato nel punto 5).
6) Per collocare nel tempo un documento informatico è obbligatorio utilizzare una marca temporale qualificata
È falso. Il DPCM 22 febbraio 2013 stabilisce nell’articolo 41 i riferimenti temporali opponibili ai terzi. A livello nazionale è possibile e valido utilizzare una marca temporale non qualificata. Se il riferimento temporale deve avere un valore nel mercato interno comunitario allora è opportuno utilizzare una marca temporale qualificata (validazione temporale) emessa da un prestatore di servizi fiduciari qualificato ai sensi del regolamento eIDAS.
7) Il sigillo elettronico è la sottoscrizione di una persona giuridica.
È falso. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo qualificato è associato.
Utilizzando una classificazione “classica” utilizzata dai giuristi possiamo dire che le tre principali funzioni di una sottoscrizione autografa sono: la funzione indicativa, la funzione probatoria e la funzione dichiarativa.
Il sigillo svolge certamente la funzione indicativa in quanto individua e distingue il creatore del sigillo da altri soggetti giuridici. La persona giuridica può essere identificata da un sigillo elettronico.
Il sigillo elettronico è anche idoneo a svolgere la funzione probatoria cioè, nel caso del sigillo qualificato, forma prova sulla correttezza dell’origine dei dati ai quali il sigillo è associato.
La funzione che il regolamento eIDAS non richiama in modo diretto è quella dichiarativa consistente nell’assunzione della paternità del documento.
La funzione dichiarativa non è da escludere per il sigillo elettronico. Ma non essendoci una posizione esplicita nel regolamento eIDAS si deve applicare il diritto nazionale.
8) La mia firma è scaduta
È falso. La sottoscrizione come atto avente valore probatorio non può scadere. Per motivi tecnologici scade (o è revocato/sospeso) il certificato digitale del sottoscrittore. Per evitare problemi è opportuno associare ad uno o più documenti informatici sottoscritti un riferimento temporale opponibile ai terzi. Nella pubblica amministrazione lo strumento più diffuso è fornito dal riferimento temporale contenuto nella segnatura del protocollo informatico.
9) Un documento informatico con una firma scansionata non ha valore giuridico e efficacia probatoria
È falso. Tutte le fattispecie di firma hanno un valore giuridico e un’efficacia probatoria che dipende dal loro contesto di utilizzo.
Naturalmente è evidente che la firma apposta su un documento cartaceo successivamente scansionato non rientra nella categoria delle firme elettroniche o digitali. Nei casi di contenzioso, questi documenti sono valutati in giudizio sotto ogni profilo. La firma scansionata è un’immagine: in teoria la potremmo incollare e copiare su tanti documenti e così potrebbe fare anche chi riceve il documento. Tale firma non garantisce quindi il contenuto e non dà certezza sull’identità del firmatario.
Nel caso di un atto pubblico nessun Pubblico Ufficiale accetterebbe la firma scansionata relativa ad un soggetto del quale non si è accertata l’identità e l’effettiva volontà manifestata con la firma.
In ambito privato le conclusioni sono diverse, sulla base di situazioni specifiche.
Partendo dall’articolo 2702 del Codice civile, la scrittura privata fa piena prova della provenienza delle dichiarazioni da chi l’ha sottoscritta se colui contro il quale la scrittura venga prodotta ne riconosce la sottoscrizione e così, in tutti i casi dove la Legge impone una sottoscrizione “di pugno”, si potrebbe ritenere che il segno grafico, anche scansionato, può assolvere alla funzione di sottoscrizione.
La questione si pone per la tutela di chi riceve il documento, piuttosto che per chi lo invia.
In termini generali di analisi del rischio, comunque, la firma autografa scansionata o digitalizzata non è nemmeno una firma, ma semplicemente la riproduzione di una firma. Non c’è alcuna garanzia che non sia utilizzata in modo improprio o fraudolento.
Sul piano probatorio vale esattamente per quello che è, una riproduzione meccanica, ai sensi dell'art. 2712 del codice civile. Quindi, se colui contro il quale viene prodotta ne disconosce la conformità alla propria firma autografa, l'onere della prova spetta alla controparte.
Per quanto esposto si evince che il principio del non vale nulla è frutto del corretto giudizio sulla inopportunità dell’utilizzo.
Per completezza, è utile citare l’articolo 65, comma 1, lettera c) dove si stabilisce che le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide se sono sottoscritte e presentate unitamente alla copia del documento d’identità.
10) L’immagine della firma che appare sul documento firmato digitalmente è firma autografa
È falso. L’immagine della firma è un artificio informatico utilizzato in un documento informatico in formato PDF (firma PAdES) per creare un effetto analogico sul documento informatico firmato digitalmente. Sul piano legale non ci sono aspetti negativi, gli strumenti di verifica della firma digitale non sono influenzati dall’inserimento di questa immagine della firma che in tal modo è rappresentata come se apposta sulla carta. Sul piano dei luoghi comuni questa funzionalità è pericolosa perché crea un’ambigua similitudine tra il cartaceo e il digitale, favorendo la mentalità analogica rispetto a quella digitale che è diversa e tale deve essere nel modo meno ambiguo possibile.