La firma digitale

Print Friendly, PDF & Email

Last updated: maggio 4, 2017 at 18:11 pm

INDICE:

§ 1. Che cos’è?

§ 2. Che efficacia ha?

§ 3. Si può disconoscere?

§ 4. Che formato può avere?

§ 4.1. La firma CAdES.

§ 4.2. La firma PAdES.

§ 4. Ha data certa?

* * *

§ 1. Che cos’è?

La firma digitale è una sottoscrizione di tipo elettronico basata su un certificato digitale e su un sistema di chiavi crittografiche (una pubblica e una privata) correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici(1), indipendentemente dal tipo di supporto fisico sul quale è memorizzato(2).

Essa è rilasciata da Certificatori autorizzati(3) e può essere apposta ad un documento (ovviamente informatico, quindi un file) mediante un particolare dispositivo (smartcard, chiavetta USB, firma remota), i cui certificati elettronici hanno, per ragioni di sicurezza (potenzialmente violabile con il progresso tecnologico), una validità limitata nel tempo(4).

torna su

§ 2. Che efficacia ha?

La firma digitale attribuisce al documento informatico così sottoscritto:

a) la stessa efficacia probatoria della scrittura privata ex art. 2702 cc(5);

b) i requisiti di forma ad probationem e ad substantiam richiesti dalla Legge(6).

Entrambi i suddetti effetti giuridici sono subordinati al fatto che:

c) il dispositivo di firma adoperato abbia “un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso”(7);

d) il documento informatico sottoscritto sia privo di “macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati”(8).

torna su

§ 3. Si può disconoscere?

Edit: con sentenza n. 1127/2017, il tribunale di Roma ha ritenuto ammissibile il disconoscimento della firma digitale.

Anzitutto, non v’è dubbio che sia ammissibile il disconoscimento dell’uso, giacché “l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”(9): si tratta, pertanto, di una mera presunzione semplice (juris tantum), che può essere superata con ogni mezzo, ivi comprese prove testimoniali, presunzioni contrarie e financo semplici indizi(10).

Meno semplice è invece stabilire se, oltre alla querela di falso (esperibile nel caso, appena esaminato, di uso indebito del dispositivo di firma da parte di terzi), sia anche ammesso il disconoscimento della firma digitale in senso stretto (cioè ex art. 214 cpc).
In altri termini, occorre chiedersi se sia possibile disconoscere l’attendibilità degli algoritmi di firma apposti al documento sottoscritto, ovvero che essi non siano senz’altro riconducibili al dispositivo stesso, il che -data l’affidabilità dei sistemi di crittografia alla base della firma (i quali consentono di ricondurla in modo univoco e senza rilevanti margini di errore al relativo dispositivo di firma del titolare)- sarebbe come ammettere il disconoscimento delle impronte digitali o, peggio ancora, dell’esame del DNA (la cui attendibilità è prossima al 100%).

Ebbene, al quesito mi pare debba darsi, ciononostante, risposta positiva.

Infatti:
1) il disconoscimento riguarda le scritture private non autenticate né riconosciute(11);
2) il documento informatico sottoscritto con firma digitale ha l’efficacia prevista dall’articolo 2702 c.c.(12);
3) secondo l’art. 2702 cc, la scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta:
3a) se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, in modo espresso o tacito(13),
ovvero
3b) se questa è legalmente considerata come riconosciuta(14);
4) è legalmente considerata come riconosciuta la sottoscrizione autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato(15);
5) anche la firma digitale può essere autenticata (ai sensi dell’art. 2703 cc) da un notaio o da altro pubblico ufficiale(16), che in sostanza non farà altro che attestare che la firma digitale è stata apposta in sua presenza, chiudendo a sua volta l’atto di autentica con la sua firma digitale(17).

Ne deriva che la firma digitale, non autenticata dal notaio, non è legalmente considerata come riconosciuta (ex artt. 2072-3 cc) e può essere pertanto disconosciuta ex art. 214 cpc. Ove, invece, sia stata riconosciuta, in modo espresso o o tacito, ovvero sia stata autenticata, sarà necessario proporre la (sola) querela di falso.

Diversamente ragionando, cioè se non fosse necessaria l’autenticazione della firma digitale da parte del notaio al fine di ottenerne i relativi effetti giuridici (ivi compresa la trascrivibilità dell’atto), non avrebbe alcun senso prevederne invece espressamente la relativa disciplina(18).

Occorre pertanto distinguere l’aspetto tecnico da quello giuridico.
A fronte di questo quadro normativo, negare il disconoscimento della firma digitale sulla base di ragioni tecniche che inducono ad escluderne le possibilità di accoglimento, sarebbe come ritenere giuridicamente improponibile un atto di citazione sol perché assai presumibilmente infondato nel merito.

A conferma del fatto che, dal punto di vista tecnico, l’attendibilità QUASI assoluta (prossima al 100%, come il test del DNA) degli algoritmi alla base della firma digitale non basta di per sè sola ad escludere, dal punto di vista giuridico, l’ammissibilità del relativo disconoscimento, basti pensare che gli stessi risultati del test del DNA (affidabili anch’essi al 99,9%) possono comunque essere affetti da errore, come dimostra questo recente episodio di cronaca, sicché appare azzardato -anche da un punto di vista tecnico e non soltanto giuridico- escludere la possibilità di contestare (in astratto ed in diritto) l’esattezza di un dato tecnico, per quanto appaia ex ante improbabile (in concreto ed in fatto) che il dato stesso sia erroneo.

In definitiva, deve quindi ritenersi ammissibile anche il disconoscimento ex art. 214 cpc della firma digitale, anche perché l’affidabilità degli algoritmi è, in realtà, un atto di fede (e, non per niente, gli stessi subiscono periodici aggiustamenti, come dimostra la stessa durata necessariamente limitata -3 anni- dei certificati di firma, che non reggerebbero all’infinito ai progressi tecnologici ed informatici).
Ciò è tanto più vero ove si consideri che il CAD non attribuisce al documento firmato digitalmente una fede privilegiata, ma esclusivamente l’efficacia della scrittura privata (facendo appunto rinvio all’art. 2702 cc) e non quella dell’atto pubblico o con firme autenticate (art. 2703 cc): quest’ultimo documento non può essere disconosciuto, mentre il primo sì; se l’ordinamento avesse voluto sottrarre il documento sottoscritto digitalmente dalla procedura di verificazione, avrebbe dovuto espressamente dirlo, ed all’uopo sarebbe stato sufficiente rinviare all’art. 2703 cc, anziché all’art. 2702 cc.

Tale tesi, che trova peraltro il conforto nella dottrina che si è occupata dell’argomento(19), ridimensiona, in base alle regole del nostro ordinamento giuridico, il c.d. “principio di non ripudiabilità” della firma digitale, che in ambito nazionale può pertanto essere ricondotto, con buona approssimazione, al mito.

torna su

§ 4. Che formato può avere?

Il legislatore prevede e disciplina diversi tipi di firma digitale, di cui ai paragrafi che seguono.

torna su

§ 4.1. La firma CAdES.

La firma Cades (acronimo di CMS Advanced Electronic Signatures) è un particolare tipo di firma digitale.

Utilizzando ad esempio il software dike, la firma Cades viene apposta cliccando sul tasto cerchiato dell’immagine:

cades

Fino al 15/5/2014, data di entrata in vigore delle nuove specifiche tecniche(20), la firma Cades(21) era l’unica ammessa all’interno del PCT(22) ma rimane il formato di firma più diffuso(23) e tuttora comunque necessario, giacché la firma pades, sebbene -come accennato e come si vedrà meglio nel paragrafo che segue- ora ammessa nel PCT dalle citate specifiche tecniche, non può essere apposta in file diversi dai pdf, quindi per la firma, ad esempio, del file xml, sarà pur sempre ed ancora necessaria la Cades: a tal proposito, se si considera che molti redattori-atti prevedono l’opzione “firma tutto” in un clic solo, allora è evidente che con quell’unico clic si apporrà l’unica firma buona per tutti i file, e cioè la Cades(24).

Essa aggiunge al file così sottoscritto l’estensione “.p7m” (25) (ad es. [nomefile].pdf.p7m), che rappresenta la c.d. “busta crittografica” (26), giacché al suo interno contiene appunto il documento originale, l’evidenza informatica della firma e la chiave per la verifica della stessa (27).

Tale ultimo concetto ci permette di introdurre la distinzione tra firme “multiple” e “parallele”:
– le firme digitali multiple sono apposte da diversi soggetti allo stesso documento informatico (28)
– le firme digitali parallele sono apposte da diversi soggetti allo stesso documento informatico utilizzando la medesima busta crittografica (29).
Dunque, da un punto di vista tecnico(30), una stessa busta crittografica può contenere più firme digitali, quindi sarebbe possibile firmare digitalmente più volte un medesimo file, senza che questo stia necessariamente pure e sempre nella medesima “busta crittografica” con unica estensione finale in p7m, come appunto nel caso delle firme multiple.

Dalle firme multiple e parallele deve tenersi distinta la c.d. “controfirma”, che consiste nella “firma apposta ad una precedente firma” (31).
Quindi, si badi bene, la controfirma non viene apposta ad un “documento” (né ad una “busta crittografica”, cioè ad un documento già sottoscritto digitalmente(32) ), ma ad una “precedente firma”, ovvero si firma… una firma altrui. Ora, siccome, da che mondo è mondo, la firma è l’assunzione della GIURIDICA paternità di ciò che si sottoscrive(33), con la predetta controfirma si assumerebbe la paternità della firma altrui. Il che è, giuridicamente, aberrante.
Infatti, l’Agenzia per l’Italia Digitale(34) per “controfirma” intende semplicemente la firma successiva che “re-imbusta in una nuova busta CAdES la busta generata dalla sottoscrizione precedente (c.d firma matrioska)“, che -detta così- ha effettivamente un senso, il quale tuttavia non corrisponde alla definizione normativa della “controfirma” di cui si è appena detto, e di cui le due immagini che seguono ci forniscono un esempio operativo concreto di come sia possibile apporre due firme: una a sottoscrizione del documento (di cui in tal modo si assume la giuridica paternità) ed un’altra a controfirma di una firma altrui (di cui si assume, parimenti, la giuridica… paternità):

controfirma

controfirma2

A ciò si aggiunga che, nel caso di firme digitali plurime (siano esse multiple o parallele ovvero controfirme), vi è incertezza normativa sull’estensione finale che dovrebbe avere il file pluri-sottoscritto, giacché:
– secondo l’art. 21, co. 6, Delibera CNIPA del 2009, ad ogni nuova firma, al file si aggiungerebbe una nuova estensione p7m (ad es., nel caso di due firme, [nomefile].pdf.p7m.p7m);
– secondo l’art. 12 Specifiche tecniche del 2011, pur dopo ogni nuova firma, il file manterrebbe un’unica estensione p7m (ad es., nel caso di due firme, [nomefile].pdf.p7m)
Per tagliare la testa al toro, l’Agenzia per l’Italia Digitale(35) non distingue tra firme “plurime” e firme “parallele”, che accomuna entrambe sotto l’unica dicitura di firme “congiunte”. Si metta a verbale che l’uso di (presunti) sinonimi  di un medesimo concetto, se davvero di sinonimia si tratta, non fa onore al Legislatore ed ingenera notevole confusione.

Ad ogni modo, le applicazioni di verifica di firma digitale dei certificatori accreditati devono poter gestire almeno 5 firme plurime, parallele e controfirme(36).

torna su

§ 4.2. La firma PAdES.

La firma Pades (acronimo di PDF Advanced Electronic Signatures) è un particolare tipo di firma digitale, che, dal 15/5/2014, è tra i tipi di firma digitale ammesse nel PCT(37).

Utilizzando il software dike, la firma Pades viene apposta cliccando sul tasto cerchiato dell’immagine:

pades

Il tipo di firma digitale PAdES(38) consente di firmare solo file in formato pdf ai quali non aggiunge alcuna estensione (che pertanto rimangono “.pdf”: ad es., [nomefile].pdf), così restando leggibili con i comuni reader disponibili per questo formato(39).

Anche il file PAdES è un “contenitore” (al cui interno si trova il documento sottoscritto digitalmente e la relativa firma digitale), sicché, al pari del file Cades, può pertanto definirsi “busta crittografica”  (40).

torna su

§ 5. Ha data certa?

A differenza di quanto potrebbe ritenersi, la firma digitale non attribuisce al documento così firmato anche una data certa. A tal fine è ad esempio idonea la Marca o Validazione Temporale, che è uno strumento digitale, liberamente acquistabile (a parte) da un Certificatore Accreditato, il quale permette appunto di associare, ad un documento informatico, una data ed un’ora certe, quindi giuridicamente opponibili ai terzi(41). Tale marca temporale (che dal punto di vista tecnico si basa, al pari della firma digitale, su dei certificati aventi una scadenza determinata, ma comunque di volta in volta rinnovabili nel tempo) può essere apposta su qualsiasi tipo di documento informatico (che può essere già firmato o non firmato digitalmente) ed in qualunque tempo (cioè, al momento della formazione del documento o anche successivamente).

Nel caso di documento sottoscritto con firma digitale avente certificato valido ma successivamente scaduto, sospeso o revocato, l’eventuale apposizione della marca temporale in un momento precedente alla scadenza, revoca o sospensione del certificato consente di garantire nel tempo la validità della firma stessa, perché ne accerta la regolarità dei certificati al momento della sottoscrizione.
In mancanza di marca temporale, la successiva invalidità del certificato di firma (perché, ad es., semplicemente non rinnovato alla scadenza), secondo alcuni comporterebbe come conseguenza che il documento sarebbe da ritenersi giuridicamente senz’altro privo di firma digitale valida (perché appunto scaduta al momento del controllo).

La tesi non convince del tutto. Infatti, gli effetti giuridici della firma digitale sono subordinati al fatto che il dispositivo adoperato abbia “un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso”(42). Ebbene, ai sensi dell’art. 2704 cc (che ritengo applicabile anche in tale ambito)(43), la data certa del documento informatico sottoscritto digitalmente (ma privo di marca temporale) ben può accertarsi aliunde, come ad esempio dalla data della PEC in cui fosse allegato, specie nel caso di notifiche telematiche.

torna su

_____

Web-bibliografia utile:
Processo Civile Telematico, a cura del collega Luca Sileni
Il processo telematico, a cura del collega Maurizio Reale

NOTE:

  1. Art. 1, co. 1, lett. s, D.L.gs. 7 marzo 2005 n. 82 – c.d. Codice dell’Amministrazione Digitale (d’ora in poi: CAD). []
  2. Cfr. Ragioneria generale dello Stato, Circolare n. 3 del 20 gennaio 2014. []
  3. Art. 1, co. 1, lett. s, CAD, nonché art. 1, lett. n, DPR n. 445/2000. []
  4. L’art. 1 D.P.R. 10 novembre 1997 n. 513cit., ora abrogato, stabiliva che tale validità non poteva essere superiore a 3 anni; l’art. 15, co. 5, DPCM 30/3/2009, stabilisce ora che è lo stesso certificatore a determinare “il periodo di validità dei certificati qualificati anche in funzione della robustezza crittografica delle chiavi impiegate”. []
  5. Art. 21, co. 2 bisCAD; cfr. pure L. 15 marzo 1997 n. 59 – c.d. legge Bassanini, e D.P.R. 10 novembre 1997 n. 513, ora abrogato. []
  6. Art. 21, co. 2 bisCAD. []
  7. Art. 21, co. 3 e Art. 24, co. 3, CAD. []
  8. Art. 3, co. 3, DPCM 30 marzo 2009. In arg. cfr. pure DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali). []
  9. Art. 21, co. 2, CAD. []
  10. Cfr., per tutte, Cassazione civile, sez. II, 18/09/2013, n. 21387 e Cassazione civile, sez. II, 2/12/2008, n. 28618. []
  11. Cfr., per tutte, Cass. SSUU, n. 3734/1986, la quale ha altresì precisato che la querela di falso riguarda per lo più gli atti pubblici o le scritture private autenticate o riconosciute, il che non esclude l’ammissibilità della querela di falso avverso una mersa scrittura privata, specie per il falso ideologico. []
  12. Art. 21, co. 2, CAD. []
  13. Cfr. art. 215 cpc. []
  14. Art. 2702 cc, ultima parte. []
  15. Art. 2703 c.c. []
  16. Cfr. art. 25 CAD, già art. 24 T.U. 445/2000, già d.P.R. 513/97 – Regolamento per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici). []
  17. Art. 52-bis. D.Lgs. 2-7-2010 n. 110. []
  18. Cfr. art. 25 CAD, già art. 24 T.U. 445/2000, già d.P.R. 513/97 – Regolamento per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici). []
  19. Cfr. Rana Giuseppe, Il valore probatorio del documento elettronico;  Minussi Daniele, Valore legale della firma digitale; Graziano Nicola, Il disconoscimento del documento informatico sottoscritto con firma digitaleContra, Finocchiaro Giusella, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell’amministrazione digitale, nonché, ma espressamente riferita alla disciplina previgente al CAD, Bonanno Marisa, Azioni di disconoscimento del documento informatico. []
  20. Provvedimento DGSIA 16 aprile 2014. []
  21. Art. 1 lett. d Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  22. Art. 12 Specifiche tecniche PCT. []
  23. Firma digitale: il formato CAdES e il p7m []
  24. Si riproduce, nel testo, l’acuta osservazione pubblicata su OrdineAvvocatiAgrigento. []
  25. Art. 21, co. 6, Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  26. Art. 1, co. 1, lett. l e art. 24, co. 1, lett. a, Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  27. Cfr. note dell’Agenzia per l’Italia Digitale []
  28. Art. 1, co. 1, lett. i, Deliberazione CNIPA n. 45 del 21 maggio 2009 []
  29. Art. 1, lett. L, e art. 24, co. 1, lett. a, Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  30. In arg. cfr. wikipedia. []
  31. Artt. 1 lett f e 24 co. 1 lett. b, Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  32. Art. 21 Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  33. Cfr., per tutte, Cassazione civile, sez. VI, 01/08/2013, n. 18491. []
  34. note dell’Agenzia per l’Italia Digitale []
  35. Cfr. note dell’Agenzia per l’Italia Digitale []
  36. Art. 26 Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  37. Art. 12, co. 2, Provvedimento DGSIA 16 aprile 2014. []
  38. Art. 1, lett. u, Deliberazione CNIPA n. 45 del 21 maggio 2009. []
  39. Art. 1 lett. u, e art. 21, co. 6, Deliberazione CNIPA n. 45 del 21 maggio 2009; Art. 12 Provvedimento Ministero Giustizia del 18 luglio 2011 – Specifiche tecniche. []
  40. Art. 1, co. 1, lett. l, e 24 co. 1 lett. a Deliberazione CNIPA n. 45 del 21 maggio 2009; cfr. pure note dell’Agenzia per l’Italia Digitale. []
  41. Art. 1, co. 1, lett. i, DPCM 22 febbraio 2013; art. 20, co. 3, CAD. []
  42. Art. 24, co. 3, CAD []
  43. Del mio stesso avviso è il Consiglio Nazionale del Notariato – Commissione informatica (rel. Zagami R.), Il fattore tempo: la marcatura temporale. []