Le firme elettroniche, cerchiamo di presentarle in modo semplice

news_image_323 Novembre 2015

Cerchiamo di fare chiarezza sulle tipologie di firme elettroniche oggi esistenti per i documenti informatici e la loro validità. Il linguaggio che userò nell’articolo sarà semplice, quasi irriverente verso la materia. Ciò non perchè la materia debba essere derisa…tutt’altro, credo semplicemente sia giusto, con l’evoluzione tecnologica che avanza e che fa sempre più parte della nostra vita quotidiana, cercare di esprimere i concetti in maniera spoglia da eccessivi tecnicismi siano essi informatici o giuridici. Cominciamo subito e caro lettore permettimi di darti del tu.

Cosa sarebbe un documento senza una firma è presto detto…dal punto di vista del diritto non potremmo dire se chi lo ha scritto ne aveva la competenza nè potremmo attribuirgli la responsabilità del contenuto. Con la firma, quindi, ci si assume la paternità e la responsabilità di ciò che è contenuto in un documento.

Vorrei farti una domanda subito: come fai a dimostrare che quando hai firmato il documento avevi i poteri per farlo? Bene, anzitutto, la firma del documento dovrà essere accompagnata da una data. Ma come fai nel cartaceo ad essere certo che la presenza di eventuali correzioni sul documento siano imputabili a correzioni eseguite prima dell’apposizione della firma e dell’indicazione della data?

Altro caso pratico, supponiamo che tu debba firmare un documento cartaceo di più pagine…che fai firmi l’ultima? Beh se vuoi essere sicuro dovresti firmarle tutte, ma ciò non è semplice se il documento consta di centinaia di pagine o se un malintenzionato sostituisce tutte le pagine tranne l’ultima e cambia il contenuto di una delle pagine intermedie creandoti delle noie in caso di contenzioso.

Tutte queste problematiche, tipiche del cartaceo, sono di profondo interesse e riflessione per chi intende avviare una gestione informatica attraverso la formazione di un documento sottoscritto con firme elettroniche.

In relazione al valore probatorio della firma, è utile richiamare l’articolo 2702 del codice civile che recita:

“La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”

in sostanza, nel caso di firma non autenticata, se io disconosco o riconosco una firma che mi si attribuisce, starà a chi sostiene il contrario provare che sto mentendo, il quale dovrà intentare una querela di falso. Nel caso di firma autenticata il discorso è diverso in quanto lì c’è un notaio o un pubblico ufficiale, quindi un soggetto cui è attribuita fede pubblica, che sostiene di avermi visto apporre la firma in sua presenza, per cui non mi sarà semplice disconoscere una firma. Bene tieni in mente quest’articolo del codice civile in quanto ci ritorneremo tra poco dopo aver distinto le varie tipologie di firma.

Tipologie di firma elettronica

Il CAD riconosce 4 differenti tipi di firma elettronica: la firma elettronica, la firma elettronica avanzata, la firma qualificata e la firma digitale che nel proseguo sarà la più importante di tutte. In realtà, vi è anche la firma elettronica autenticata ma non sarà oggetto dell’approfondimento.

Firma Elettronica

Il CAD definisce la firma elettronica come: l’insieme dei dati  in  forma  elettronica, allegati oppure connessi tramite associazione logica  ad  altri  dati elettronici, utilizzati come metodo di identificazione informatica; notiamo che in questa definizione non c’è nessun riferimento al termine “documento”, cioè la firma elettronica è un insieme di dati usato per autenticarsi. Morale: la tua utenza e password per accedere a facebook sono un esempio di firma elettronica. Nulla si dice sulla sua attendibilità ed essa non è necessariamente riferita ad un documento.

Firma Elettronica Avanzata (FEA)

Il CAD la definisce come: insieme  di  dati  in  forma elettronica allegati oppure connessi a un documento informatico  che consentono  l’identificazione  del firmatario   del   documento   e garantiscono la connessione univoca al firmatario, creati  con  mezzi sui quali il  firmatario  può  conservare  un  controllo esclusivo, collegati ai dati ai quali  detta  firma  si  riferisce  in  modo  da consentire di rilevare se i dati stessi siano  stati  successivamente modificati.

In sostanza la FEA è una firma riferita ad un documento specifico che permette dal documento di identificare in maniera certa il firmatario e di rilevare anche se il documento stesso è stato modificato dopo la firma. Il firmatario, ovviamente, deve avere il controllo esclusivo sui mezzi per apporre questo tipo di firma. Un esempio di tale firma è il processo di firma grafometrica che soddisfa i requisiti prescritti dalle regole tecniche di cui al D.P.C.M. 22 febbraio 2013. Ti sarà sicuramente capitato di vederla quando apponi delle firme su un tablet per esempio negli uffici postali o in banca. Senza entrare troppo nei particolari e, premesso che possono esistere diverse soluzioni di firma grafometrica, un principio generale di queste tipologie di firma grafometrica è che esse collezionano dati biometrici del firmatario (es. pressione, velocità di firma, tratto ecc.) e li “fondono” in maniera permanente al documento da firmare in maniera tale che questi dati biometrici non siano più intellegibili a chi accede al documento. È chiaro che inizia già un bel dilemma…il trattamento dei dati biometrici presuppone:

  • il rispetto del D.Lgs. 196/2003 e del Provvedimento Garante per la Privacy n. 513 del 12 novembre 2014
  • il consenso al trattamento del firmatario il quale “fornisce” i suoi dati esclusivamente per le finalità di firma del documento in questione.

La legge riconosce alla firma elettronica avanzata un ambito di applicabilità inferiore a quello della firma digitale, in quanto la firma elettronica avanzata non può essere usata per i contratti che trattano vendite o locazioni di immobili e hanno valenza solo nei rapporti tra firmatario e controparte che gli ha proposto di usare quella particolare soluzione di firma, non ha cioè una valenza verso tutti come la firma digitale. Questo motivo la rende non adatta per i documenti di una pubblica amministrazione e, dunque, il CAD limita la sua usabilità solo ai documenti interni ad un procedimento amministrativo.

Firma elettronica qualificata

Il CAD la definisce come: un  particolare  tipo  di  firma elettronica avanzata che sia basata su un certificato qualificato  e realizzata mediante un dispositivo sicuro  per  la  creazione  della firma. In sostanza siamo di fronte comunque ad una firma elettronica avanzata, ossia una firma che garantisce di poter risalire univocamente da un documento al suo sottoscrittore, ma stavolta ci sono due elementi addizionali:

  • un certificato;
  • un dispositivo fisico sicuro per la creazione della firma.

Il certificato, come vedremo tra poco a proposito delle firme elettroniche digitali altro non è che un documento informatico contenente un’attestazione dell’identità, proveniente da un soggetto terzo fiduciario dotato degli opportuni criteri di affidabilità di una persona fisica, che ci permette di “fidarci” del meccanismo che stiamo andando a scegliere per identificare il firmatario. Non è chiaro vero??? Tranquillo sarà tutto più chiaro appena riprenderemo il discorso sui certificati parlando delle firme digitali… Quanto al dispositivo si tratta di un dispositivo fisico sicuro, può essere un token USB che inserito nel PC permette di firmare il documento o può essere un dispositivo ubicato presso un certificatore accreditato, in entrambi i casi parliamo di dispositivi che devono garantire la conformità a requisiti di sicurezza molto stringenti fissati dalla normativa vigente, per assicurare il controllo esclusivo del firmatario sulla propria firma.

Firma digitale

Il CAD la definisce come: un  particolare  tipo  di  firma  elettronica avanzata basata su un certificato qualificato  e  su  un  sistema  di chiavi crittografiche, una pubblica  e  una  privata,  correlate  tra loro, che consente  al  titolare  tramite  la  chiave  privata  e  al destinatario tramite la chiave pubblica, rispettivamente, di  rendere manifesta e  di  verificare  la  provenienza  e  l’integrità  di  un documento informatico o di un insieme di documenti informatici.

Bene anche la firma digitale è una particolare firma elettronica avanzata, quindi da essa si può risalire univocamente al firmatario di un documento. Rispetto alla firma elettronica qualificata è sempre presente il concetto di certificato qualificato, ma stavolta si fa riferimento ad un sistema di chiave pubblica e privata.

Senza entrare troppo nei concetti matematici di chiave pubblica e privata che avrebbero bisogno di una lunga premessa sui principi della crittografia, ciò che ti basta sapere è che, in sostanza, ciascun soggetto firmatario di un documento deve disporre di:

  • una chiave privata, nella disponibilità solo di colui che firma, che gli permette per l’appunto di firmare i documenti;
  • una chiave pubblica, nota a tutti coloro che intendano leggere il documento e tramite la quale essi possono verificare che il documento sia stato effettivamente firmato dal soggetto in questione e non sia stato alterato nel tempo.

Potremmo quindi sintetizzare dicendo che la chiave privata serve a firmare il documento mentre la chiave pubblica serve a verificare l’identità del firmatario del documento.

Ok ok mi dirai:” va bene mi fido…c’è qualche meccanismo magico in base al quale, conoscendo questa chiave pubblica posso verificare chi è il firmatario, mentre quest’ultimo con quella privata può firmarlo, ma come faccio a sapere qual è la chiave pubblica del firmatario presunto?”. Ottima domanda, come facciamo…la pubblichiamo sul giornale? E chi mi dice che posso fidarmi??…allora la pubblico su un sito Internet? Noooo con quello che si sente dire oggi di attacchi ai siti web un buon hacker e un malware potrebbe dirottare il mio browser su un sito contraffatto…Ecco che subentrano quindi i “certificatori” che sono soggetti dotati di alta affidabilità (vedremo tra poco che significa, che certificano e firmano un documento informatico contenente la chiave pubblica dei firmatari (soggetti fisici o giuridici)…ricordi che avevo detto che avrei approfondito il discorso sui certificatori…bene promessa mantenuta. Vediamo più in dettaglio chi sono questi soggetti. A norma del CAD l’attività di certificazione è libera e non necessita di particolari autorizzazioni per essere eseguita. Ciò significa che in teoria io posso scegliere se fidarmi o meno di un certificatore che mi attesta qual è la chiave pubblica di un soggetto, tuttavia ci sono particolari soggetti ai quali l’Agenzia per l’Italia Digitale (AgID) ha riconosciuto particolari requisiti di affidabilità ed integrità morale, e, pertanto, ad essi sono attribuite grosse responsabilità, i cui certificati hanno un valore legale di maggior fede. Questi certificatori vengono denominati dal CAD certificatori “accreditati” proprio perchè hanno affrontato un processo di accreditamento presso l’AgID che può comunque sempre disporre visite ispettive presso gli stessi. Potremmo dire che la differenza tra un certificatore qualunque ed uno certificatore accrediato da AgID è similare alla differenza sul piano della pubblica fede che intercorre tra un cittadino qualunque ed un notaio o un pubblico ufficiale. Quali sono dei casi specifici, non esaustivi, in cui la legge impone che la firma digitale debba essere di un fornitore di firma accreditato? A puro titolo esemplificativo ne elenchiamo alcuni:

  • a norma dell’articolo 65 del CAD le istanze presentate alla PA se firmate digitalmente, le firme devono essere fornite da certificatori accreditati (esistono anche altre soluzioni per presentare istanze telematicamente alla PA contemplate nello stesso art. 65, ma adesso desidero parlarti di firme)
  • se scansiono un documento cartaceo e un ufficiale dotato degli opportuni poteri vuole attestare tale copia come conforme al documento originale a tutti gli effetti di legge, allora questi deve adoperare una firma digitale di un certificatore accreditato. Ricordiamo, a tal proposito, che una scansione di un documento cartaceo firmata autografamente ha lo stesso valore dell’originale cartaceo solo se il presunto firmatario non disconosce la sua firma.

Notiamo che una caratteristica comune della firma digitale e della firma elettronica avanzata è che esse permettono entrambe di conservare l’integrità del documento, cioè se un documento firmato con firma elettronica avanzata o digitale viene successivamente modificato, un software per il riconoscimento delle firme se ne accorgerà immediatamente segnalando di aver trovato un falso, ossia un documento non integro.

Ritengo opportuno chiudere questo paragrafo con un breve schema riassuntivo delle tipologie di firma:

news_image_3

come puoi osservare le firme digitali e qualificate sono particolari tipologie di firme elettroniche avanzate che, a loro volta, rientrano nell’ambito più vasto delle firme elettroniche. Per quanto riguarda il rapporto esistente tra le firme qualificate e quelle digitali si può dire che alcune firme digitali possono essere anche qualificate (la loro intersezione non è vuota) se la soluzione di firma digitale in questione presuppone l’esistenza di un qualche dispositivo fisico per firmare i documenti.

Lo schema seguente, invece, illustra per grandi linee la valenza giuridica delle varie tipologie di firma, senza alcuna pretesa di completezza e ricordandoti che in caso di contenzioso ogni caso va valutato attentamente.

news_image_3

Per completezza, si ricorda che le disposizioni del CAD in merito alle firme elettroniche devono essere attuate seguendo le regole tecniche dettate dal D.P.C.M. 22 febbraio 2013.

La firme elettroniche e l’articolo 2702 del codice civile

Ritorniamo adesso ad analizzare l’articolo 2702 del codice civile sulla valenza delle firme nella scrittura privata alla luce di ciò che abbiamo imparato sulle varie tipologie di firma. Il CAD all’articolo 21 recita testualmente ai commi 1 e 2:

“Art. 21 Documento informatico sottoscritto con firma elettronica.

1. Il documento informatico, cui è apposta una firma  elettronica, sul piano probatorio è liberamente valutabile  in  giudizio,  tenuto conto delle sue caratteristiche  oggettive  di  qualità,  sicurezza, integrità e immodificabilità.
2.  Il  documento  informatico  sottoscritto  con  firma  elettronica avanzata, qualificata o digitale, formato nel rispetto  delle  regole tecniche  di  cui  all’articolo  20,  comma   3,   che   garantiscano l’identificabilità dell’autore, l’integrità  e  l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo  che  questi dia prova contraria”.

Che significa? In sostanza se su un documento è apposta una firma elettronica allora un giudice valuterà l’attendibilità del documento e la veridicità sulla paternità dell’autore presunto in base a caratteristiche tecniche della soluzione di firma del documento; probabilmente nominerà un perito per l’analisi della soluzione di firma e del documento.

Nel caso in cui il documento sia stato firmato con una soluzione di firma digitale, qualificata o avanzata conforme alle regole tecniche che discendono dal CAD allora tale documento ha l’efficacia prevista all’articolo 2702 c.c. Nel caso particolare della firma digitale, il presunto firmatario, se intende disconoscere la propria firma, deve dimostrare che qualcuna altro abbia potuto usarla al suo posto (onere inverso della prova).

In ogni modo, intendo concludere il mio approfondimento sulle firme indicando che l’utilizzo delle diverse tipologie di firme elettroniche deve essere incoraggiato sempre più in quanto oggi questi strumenti di validazione permettono di garantire al documento caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità superiori rispetto ad una gestione cartacea.

Inoltre, l’emanazione del recente regolamento europeo eIDAS (n. 910/2014) sui documenti elettronici, le firme elettroniche ed i servizi fiduciari permetterà da luglio del 2016 di avere un quadro normativo comunitario unico ed omogeneo, rendendo necessaria un’ulteriore modifica sostanziale del Codice dell’Amministrazione Digitale, come già previsto dalla legge di riforma della pubblica amministrazione.

di dott. Alfonso Pisani

Service Responsible for Digital Protocol and Electronic Document Archiving System Provincia di Salerno e autore di ebook sulla materia

[Contributor DocPaperless]

2 commenti

  1. michele scrive:

    Buongiorno, complimenti per la sua spiegazione che ritengo la migliore per quanto mi riguarda, tra quelle trovate su internet fino ad ora.
    Detto questo mi permetto di chiederle ulteriormente se con la mia tessera sanitaria, dotandomi del software apposito (nel mio caso quello di lombarda informatica crs) posso apporre la firma qualificata e quindi firma equiparabile a quella digitale.
    Grazie

    • admin scrive:

      Buonasera
      intanto grazie per gli apprezzamenti.
      Può seguire le news DocPaperless anche nel nuovo Gruppo LinkedIN “Digitale e Dematerializzazione” o su Facebook e Twitter.

      In relazione al quesito, mi serve sapere se la tessera sanitaria in questione contiene una firma digitale su CRS (Carta Regionale dei Servizi)/CNS (Carta Nazionale dei Servizi) come indicato in http://www.lispa.it/cs/Satellite?childpagename=Lispa%2FLILayout&c=Page&p=1213366019032&pagename=LIWrapper&cid=1213366019032

      Se la risposta è sì allora la firma elettronica qualificata soddisfa l’art. 21 del Codice dell’Amministrazione Digitale e quindi garantisce la piena efficacia probatoria prevista dall’art. 2702 Cod. Civ ai documenti e dati su cui viene apposta.

      A presto

      Cordialmemnte

      Fabrizio

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Captcha Garb (1.5)