Una guida esperta che spieghi l’uso e la funzionalità della firma digitale facilmente consultabile da un pubblico dalle variegate abilità tecnologiche e diverse conoscenze di diritto è https://www.agendadigitale.eu/documenti/firma-digitale-cose-come-funziona-e-come-ottenerla/: l’Aranzulla degli informatici del diritto.
In questa sede, tuttavia, noi di Venti ci cimenteremo nella medesima impresa e cercheremo di spiegare il significato di alcune caratteristiche della firma digitale nella speranza di aiutarvi a comprendere il corretto utilizzo nonché scopo della stessa.
È opinione ormai diffusa che per attribuire paternità ad un’opera, o generalmente ad uno scritto, occorre apporvi la firma autografa.
Ciò a dire: “con la mia sottoscrizione mi assumo la responsabilità di quanto nel documento viene dichiarato”.
Invero, la Treccani definisce la sottoscrizione come “l’atto di sottoscrivere, di firmare, che conferisce, fino a prova di falso, carattere di autenticità giuridica alla scrittura”.
La struttura della scrittura privata si compone di diversi elementi tra i quali il corpo, la sottoscrizione e il testo.
Essa “fa piena prova, sino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta se colui contro il quale è prodotta ne riconosce la sottoscrizione ovvero se questa è legalmente considerata come riconosciuta” (art. 2702 c.c.).
La legge considera sempre riconosciuta la scrittura privata cosiddetta “autenticata”, che è stata sottoscritta alla presenza di un pubblico ufficiale che, a seguito di accertamento, attesta l’identità della persona che sottoscrive.
E fino a qui, nulla quaestio.
Qualche dubbio in materia sorge con l’introduzione del documento informatico (per il quale, ai sensi dell’art. 1 comma 1 del Codice dell’Amministrazione Digitale, si intende “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”):
Come si accerta la paternità di un documento in mancanza della tradizionale firma autografa?
Per tali motivi, il legislatore ha nel tempo creato quattro diverse tipologie di firme di natura informatica elencate all’interno del CAD:
a) per firma elettronica (c.d. semplice) si intende “l‘insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Si intende, per fare un esempio il PIN abbinato ad una carta magnetica e le credenziali di autenticazione (username e password);
b) per firma elettronica avanzata si intende “l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Quindi, la firma autografa apposta su tablet;
c) per firma elettronica qualificata si intende “un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma”. Come esempio si pensi al token utilizzato per accedere al proprio conto online;
d) per firma digitale si intende “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
Per quest’ultima, la normativa in vigore richiede l’uso della crittografia a chiavi simmetriche, una particolare modalità tecnologica, dove la chiave privata è conosciuta soltanto dal titolare e la chiave pubblica è resa di pubblico dominio dal certificatore.
In questo modo il soggetto interessato con l’utilizzo della sua chiave pubblica potrà inviare un messaggio criptato che potrà essere decifrato esclusivamente dal possessore della chiave privata: per questo motivo entrambe le chiavi vengono generate in modo da poter essere usate solo congiuntamente, garantendo quindi sia la segretezza del messaggio che la paternità dello stesso.
La distinzione fra le varie tipologie di firme è rilevante per quanto concerne il profilo del valore probatorio dei documenti sui quali vengono apposte.
L’art. 21 comma 2 del CAD specifica infatti che solo i documenti sottoscritti con firma elettronica avanzata (qualificata o digitale che sia) fanno piena prova ex art. 2702 c.c. fino a querela di falso, a differenza del documento firmato con firma elettronica semplice che invece è oggetto di libera valutazione del giudice.
Infine, si evidenzia come le firme qualificate e digitali, in qualità di strumenti informatici, non siano da sole idonee a garantire l’identità del firmatario: è altresì necessario l’intervento dei cosiddetti Certificatori che attestano la corrispondenza biunivoca tra l’identità del soggetto e la titolarità della chiave pubblica di cifratura.
Inoltre, l’art. 25 CAD disciplina la firma elettronica autenticata: il notaio o il pubblico ufficiale autorizzato hanno la facoltà di autenticare qualsiasi tipologia di firma elettronica ma esclusivamente mediante la loro firma digitale: pertanto, essi certificano che “la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità dell’eventuale certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l’ordinamento giuridico.”
Fra i formati più importanti di firma digitale ricordiamo la firma CAeDES (CMS Advanced Eletronic Signatures), che può essere apposta su un qualsiasi file avente diverse estensioni. La firma PAeDES (PDF Advanced Eletronic Signatures) è utilizzabile, al contrario, solo su file in formato pdf.
Brevi cenni merita, altresì, la disciplina relativa alla modalità di apposizione della firma digitale e la verifica della validità della stessa.
Occorrono due elementi: un dispositivo contenente un certificato di firma valido con valore legale e un software installato che possa firmare il documento.
Una volta aperto il software, si seleziona il documento da firmare; successivamente viene richiesto dove salvare il file firmato; infine viene richiesto il PIN del dispositivo che una volta inserito permette la firma del documento.
La penna, insomma, non serve più.
Welcome to the digital era!