Nonostante l’ampissima diffusione delle sottoscrizioni per mezzo della firma digitale, spesso quando si presenta per la prima volta la necessità di firmare elettronicamente un documento sono parecchi i dubbi che sorgono: che differenza c’è fra firma elettronica e firma digitale? Come si fa ad essere certi che il servizio di firma elettronica che stiamo utilizzando sia valido? E soprattutto: il documento sottoscritto con la firma elettronica avrà valore legale come quelli firmati manualmente? In questo articolo, cercheremo di rispondere alle domande pratiche più frequenti che si presentano nel momento in cui ci si trova a dover utilizzare servizi di firma elettronica.
Quali fonti normative regolano la firma elettronica?
Quando parliamo di firma elettronica, le leggi di riferimento più importanti sono sicuramente due: a livello nazionale il d.lgs. n. 82 del 2005, o Codice dell’Amministrazione Digitale e a livello europeo il regolamento UE n. 210 del 2014, ossia il regolamento eIDAS.
Come normativa di riferimento va sicuramente citato anche Il D.P.C.M. n. 117 del 2013 che detta le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, nonché per la validazione temporale, ed è quindi destinato ai certificatori qualificati, per i quali costituisce una sorta di “manuale tecnico”.
Quanti tipi di firma elettronica ci sono?
Il regolamento eIDAS delinea e riconosce, nella Sezione 4, tre tipi di firma elettronica:
- la firma elettronica semplice (o SES): si tratta del tipo di firma elettronica più basilare, la quale, in base al suo grado di sicurezza e complessità può essere legalmente applicabile ed ammissibile come prova in giudizio;
- la firma elettronica avanzata (o AES), che ha un livello di sicurezza più avanzato e deve soddisfare quattro requisiti:
- deve essere connessa unicamente al firmatario;
- deve essere idonea a identificare il firmatario;
- il titolare della firma ne deve avere l’esclusivo controllo;
- deve essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
- la firma elettronica qualificata (o QES), che è una firma elettronica avanzata creata da un dispositivo per la creazione di firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.
Perché in Italia parliamo di firma digitale? Che cos’è?
La firma digitale altro non è che un particolare tipo di firma elettronica qualificata, basato su una specifica tecnologia di chiavi crittografiche asimmetriche. Il termine “firma digitale” viene utilizzato in Italia, spesso a fianco o in sostituzione della più generale espressione “firma elettronica qualificata”, perché è stato introdotto dal CAD, che è antecedente di nove anni rispetto al regolamento eIDAS. Il CAD definisce la firma digitale all’art. 24, stabilendo che:
“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.
- L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
- Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
- Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d’uso. Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma”.
Chi può emettere firme elettroniche qualificate?
Affinché una firma elettronica si possa definire come tale, bisogna che i certificati qualificati siano rilasciati dai Qualified trust service providers, vale a dire da fornitori di servizi fiduciari accreditati dalle autorità locali designate da ogni Stato Membro UE (in Italia, l’autorità a ciò deputata è l’Agenzia per l’Italia Digitale o AgID).
ll regolamento eIDAS disciplina i Qualified trust service providers nella Sezione 3, stabilendo che, per poter essere tali, i certificatori devono rientrare negli “Elenchi di fiducia” tenuti dagli Stati membri dell’UE. Quando un certificatore è accreditato dall’Autorità di un paese membro dell’Unione Europea, e dunque è presente nel suo elenco, esso può emettere firme elettroniche qualificate valide per tutta l’Unione, ai sensi dell’art. 4 del regolamento eIDAS. Quindi, per verificare se il provider dei cui servizi ci si vuole avvalere sia abilitato o meno ad emettere QES, sarà sufficiente controllare che sia presente in uno degli elenchi pubblici di certificatori accreditati tenuti dalle varie autorità dei singoli Stati, reperibili sul sito web di eIDAS (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home), e che sia abilitato a fornire il servizio esatto di cui si ha bisogno, informazione sempre rinvenibile sul sito di eIDAS.
Qual è il valore legale di un documento sottoscritto con firma digitale?
Con riferimento alla validità dei documenti firmati digitalmente, il CAD stabilisce quanto segue all’art. 21, commi 1 e 2:
“Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, ha altresì l’efficacia prevista dall’articolo 2702 del Codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico”.
Il documento sottoscritto con una firma elettronica qualificata o avanzata soddisfa quindi il requisito della forma scritta, ha valore di scrittura privata e fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. Invece, l’idoneità delle SES a soddisfare tale requisito deve essere valutata dal giudice, sulla base delle caratteristiche della firma elettronica utilizzata in termini di sicurezza, integrità e immodificabilità.
Si è espressa in questo senso anche la Cassazione civile nella sentenza n. 5523 del 2018, la quale, riferendosi nel caso specifico alle e-mail, ha affermato che:
“In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (cd. e-mail) privo di firma elettronica non ha l’efficacia della scrittura privata prevista dall’art. 2702 c.c. quanto alla riferibilità al suo autore apparente, attribuita dall’art. 21 del d.lgs. n. 82 del 2005 solo al documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso è liberamente valutabile dal giudice, ai sensi dell’art. 20 del medesimo decreto, in ordine all’idoneità a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità”.