Il valore legale della firma digitale

di Marcella Uricchio

scritto il

Tecnologie e leggi per garantire l'autenticità ed il valore legare dei documenti digitali in Italia e In Europa, alla luce del nuovo Regolamento sulla firma elettronica e digitale.

Di recente è stato pubblicato in G.U. il nuovo regolamento per la generazione, apposizione e verifica della firma elettronica, avanzata, grafometrica, qualificata e digitale, ma il processo di digitalizzazione e dematerializzazione è stato avviato già da tempo.

Le nuove tecnologie dell’informatica e delle telecomunicazioni hanno infatti comportato con il tempo la sostituzione del tradizionale documento cartaceo con il suo “equivalente” informatico. La sua esistenza è stata legittimata dall’art. 15 della legge n. 59 del 1997: «gli atti, dati e documenti, formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge».

=> Vai al dettaglio del nuovo Regolamento per la firma digitale ed elettronica

Ciò premesso, non pochi problemi sono sorti sin dagli albori dell’utilizzo di tale strumento, primo tra i quali la necessità di stabilire le caratteristiche fondamentali che il documento informatico dovesse rispettare per avere pieno valore legale.

A tal fine è stato emanato il D.P.R. 445 del 28 dicembre 2000, recante «disposizioni legislative in materia di documentazione amministrativa» che, dopo aver definito il documento informatico come «la rappresentazione informatica di atti, fatti o dati guridicamente rilevanti», dispone che lo stesso «da chiunque formato, (nonché) la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico.

Autenticazione e firma digitale

Ora, il problema fondamentale che il legislatore è stato chiamato e risolvere è quello inerente alla c.d. “autenticazione” del documento informatico. Ed infatti, mentre nel documento cartaceo la persona che ne assume la paternità viene identificata tramite la sottoscrizione autografa, garantendone l’autenticità, il documento informatico può essere invece modificato o riprodotto infinite volte, ottenendo copie assolutamente identiche all’originale, essendo il contenuto svincolato dal supporto. E allora, come si fa ad essere sicuri che la copia del documento informatico sia veramente uguale a quello originale (quello del primo estensore) e come si fa, altresì, ad essere certi che in tutti i vari passaggi il documento non sia stato in qualche modo manipolato?

=> Leggi di più sulla firma digitale

Al problema appena descritto è stata data soluzione introducendo l’istituto della firma digitale, un sistema di autenticazione di documenti digitali analogo alla firma autonoma su carta, basato sulla tecnologia della “crittografia a chiavi asimmetriche”, ove per crittografia si intende un sistema di “scrittura in codice”, finalizzata a rendere un messaggio “offuscato”, ovvero non comprensibile a persone non autorizzate a leggerlo.

Crittografia

Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche dei sistemi crittografici a due chiavi. Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non sia in possesso di una “chiave” per interpretarli. Nei sistemi crittografici a due chiavi, detti anche “a chiave pubblica” o “asimmetrici”, ogni utente ha una coppia di chiavi: una chiave privata, da non svelare a nessuno, con cui può decodificare i messaggi che gli vengono inviati, e una chiave pubblica, che altri utenti utilizzano per codificare i messaggi da inviargli. Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decodificare correttamente i messaggi codificati con la chiave pubblica associata.

In pratica: il mittente utilizza la chiave pubblica del destinatario per la codifica del messaggio da spedire, quindi spedisce il messaggio codificato al destinatario; il destinatario riceve il messaggio codificato e adopera la sua chiave privata per ottenere il messaggio “in chiaro”.

Se un utente vuole creare una firma per un documento, procederà con l’ausilio di una funzione hash. Trattasi di una funzione matematica che genera, a partire da una sequenza di simboli binari, una impronta digitale del documento, il c.d. “message digest”, un file di dimensione fissa che riassume le informazioni contenute nel documento. A questo punto l’utente utilizzerà la propria chiave privata per codificare quest’impronta, creando una firma, che verrà allegata al documento.

Chiunque potrà verificare l’autenticità di un documento: per farlo, decodifica la firma del documento con la chiave pubblica del mittente, ottenendo l’impronta digitale del documento e poi confronta questa con quella che si ottiene applicando la funzione hash, pubblica, al documento; se le due impronte sono uguali, l’autenticità del documento è garantita.

Grazie alla tecnologia appena descritta, il destinatario del documento ha la garanzia di disporre di un testo integro e proveniente da una fonte ben precisa.

Da un punto di vista legislativo, il nostro ordinamento è stato uno dei primi a ad emanare un normativa sulla firma elettronica, il D.P.R. 513/1997, di cui si è già accennato, cui ha fatto seguito il DPCM dell’8 febbraio 1999, contenente una serie di regole tecniche. Successivamente, l’intera materia è stata riordinata con il TU delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, il DPR n. 445 del 2001 (testo che, nonostante il titolo, ha trovato applicazione anche ai rapporti tra privati).

=> Leggi la nuova normativa UE sulla Firma digitale

Tuttavia, mentre il nostro paese si dotava precocemente di una propria normativa sulla firma digitale, l’Unione europea stava considerando l’ipotesi di regolare la materia in ambito comunitario per evitare che le diversità esistenti tra le normative nazionali potessero costituire un ostacolo all’utilizzo e allo sviluppo delle firme elettroniche.

Firme elettroniche

Veniva così approvata la direttiva 1999/93/CE, con importanti novità rispetto alla nostra normativa interna. La normativa italiana, infatti, contemplava una sola tipologia di firma, la c.d. firma digitale, mentre la direttiva distingueva tra la “firma elettronica” (semplice) e la “firma elettronica avanzata”, talché nella direttiva si può parlare non già di firma elettronica, ma di “firme elettroniche“.

A seguito del recepimento della suddetta direttiva, il legislatore italiano ha modificato la disciplina interna, con l’emanazione di una serie di norme, sfociate nel D.lgs. 7 marzo 2005, n. 81, ovvero il “Codice dell’amministrazione digitale” (c.d. CAD), così come modificato dal D.lgs. 4 aprile 2006, n. 159.

Il Codice distingue i concetti di “firma elettronica”, “firma elettronica qualificata” e “firma digitale”, ove con “firma elettronica” ci si riferisce a qualunque sistema di autenticazione del documento informatico; la “firma elettronica qualificata” è definita, invece, come quella procedura che permette di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di “firma elettronica qualificata”.

Infine, la “firma digitale“, è considerata dalla legge come una particolare specie di “firma elettronica qualificata”, basata sulla tecnologia della crittografia a chiavi asimmetriche.

=> Scopri anche la firma grafometrica

Il decreto legislativo 82/2005, quindi, è impostato come se si potessero avere più tipi di firma elettronica qualificata, ossia più sistemi che consentano l’identificazione univoca del titolare, uno solo dei quali è la firma digitale a chiavi asimmetriche. Di fatto, però, nella realtà concreta, la firma digitale è l’unico tipo di firma elettronica avanzata oggi conosciuto e utilizzato, per cui i concetti tendono a coincidere.

Certificatori

Un tassello fondamentale per comprendere il valore della firma digitale è quello relativo agli organi di certificazione (Certification Authority), ovvero soggetti estranei che attribuiscono le firme digitali ai singoli soggetti richiedenti, solo previa identificazione fisica degli stessi, che verrà fatta al momento della richiesta delle chiavi. In particolare, i certificatori devono attestare che il soggetto detentore della chiave privata corrisponda alla relativa chiave pubblica, garantendo la sua identità. Altra funzione importante è attestare la validità del certificato mediante l’aggiornamento degli elenchi di dominio pubblico.

Firme digitali => Scopri il ruolo dei certificatori

Queste funzioni sono racchiuse nella produzione del certificato della firma elettronica, costituito da un documento digitale che contiene il nominativo del titolare della firma e altre informazioni inerenti, come la durata della stessa; questo certificato deve essere reso pubblico insieme alla chiave pubblica.

Smart card

Per consentire la “trasportabilità” della firma (che nelle intenzioni del legislatore deve poter servire per un’infinità di circostanze) è compito dell’organo certificatore trasportarla, dopo averla generata, in una smart card, per cui chi ne avrà interesse potrà “firmare” un documento elettronico semplicemente introducendo in un lettore smart card la propria tesserina. Un apposito software leggerà il codice identificativo e sigillerà il documento, garantendone provenienza e immodificabilità.

=> Scopri la firma digitale su PDF certificata

Efficacia probatoria

Per completare la panoramica, occorrono brevi cenni sull’efficacia probatoria di un documento informatico firmato elettronicamente.

L’articolo 6 del decreto di recepimento delle Direttiva 1999/93/CE, modificando l’articolo 10 del D.P.R. n. 445/00, stabiliva che il documento informatico ha l’efficacia probatoria prevista dall’articolo 2712 del codice civile. Con l’entrata in vigore del Codice dell’amministrazione digitale, il valore probatorio del documento informatico ha subito una ulteriore modifica, in quanto il comma 2 dell’articolo 21, come modificato dal D.Lgs. 4 aprile 2006, n. 159, prevede che «Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria».

Pertanto, la firma elettronica qualificata e/o digitale garantisce l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento; ha l’efficacia probatoria piena della scrittura riconosciuta o autenticata, mentre è oggetto di una presumptio iuris tantum solo in ordine alla sua riconducibilità al titolare del dispositivo di firma; si tratta di un livello di efficacia probatoria meno forte in quanto vincibile con ogni mezzo di controprova. Ciò in considerazione della astratta possibilità di utilizzo non autorizzato del dispositivo da parte di terzi.

Concludendo, potremmo condividere la tesi di chi sostiene che l’avvento del documento elettronico “firmato” potrebbe comportare la fine di quello cartaceo, anche se l’atteso decollo dell’utilizzo della firma digitale nelle comunicazioni commerciali si scontra ancora con un certo grado di diffidenza del consumatore, che continua a dubitare che smart-card, carte dei servizi e carte di credito elettroniche siano univocamente riconducibili al loro titolare, al pari della vecchia sottoscrizione autografa alla mano del dichiarante.