Firme elettroniche e riferimenti normativi

Introduzione

In Italia in materia di firme elettroniche la normativa di riferimento è il CAD (Codice dell’Amministrazione Decreto Legislativo 7 marzo 2005, n. 82 successivamente modificato e integrato con il Decreto Legislativo 22 agosto 2016 n. 179 e il Decreto Legislativo 13 dicembre 2017 n. 217) che tra le varie riforme subite vede quella per l’adeguamento al Regolamento Europeo eIDAS (Electronic IDentification Authentication and Signature ovvero il Regolamento UE n. 910/2014).

In particolare nel Regolamento Europeo eIDAS sono definite le norme e procedure per le firme elettroniche in cui sono stabilite le condizioni per l’interoperabilità a livello comunitario.

Per l’adeguamento al Regolamento Europeo eIDAS nel CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma qualificata rimandando nell’art. 1 comma 1-bis del CAD alle definizioni contenute nell’art. 3 del Regolamento Europeo eIDAS. Mentre continua a rimanere presente nell’Art 24 del CAD la definizione di firma digitale.

Di seguito analizzeremo le diverse tipologie di firme ed il corretto utilizzo delle stesse in ordine di complessità e completezza cosi come previste dal CAD: Firma Elettronica (FE), Firma Elettronica Avanzata (FEA), Firma Elettronica Qualificata (FEQ) e Firma Digitale (FD).

Argomenti

Firma Elettronica (FE)

La Firma Elettronica è definita nell’Art 3 n. 10 del Regolamento Europeo eIDAS come segue:

“dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”

Da tale definizione si può notare come la Firma elettronica assume il valore di strumento esclusivo di sottoscrizione, mentre prima della riforma del CAD assumeva anche valore di mezzo di identificazione e di autenticazione.

Dalla definizione emerge anche che la Firma Elettronica è la forma più debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di integrità del dato firmato. In ogni caso sempre secondo il Regolamento Europeo eIDAS non possono essere negati effetti giuridici, l’ammissibilità come prova in procedimenti giudiziari.

A riguardo si veda l’Art. 25 n.1:

“A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.”

e l’Art. 46:

“A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.”

Un esempio di tale firma potrebbe è la scansione di una firma cartacea.

Firma Elettronica Avanzata (FEA)

La Firma Elettronica Avanzata è definita nell’Art 3 n. 11 del Regolamento Europeo eIDAS come una firma elettronica che soddisfi i requisiti enunciati nell’Art. 26:

“a) è connessa unicamente al firmatario;

b) è idonea a identificare il firmatario;

c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.”

Quindi la Firma Elettronica Avanzata è una Firma Elettronica che consente l’identificazione del firmatario, garantisce la connessione univoca con il firmatario,
è creata con mezzi sui quali il firmatario può conservare un controllo esclusivo che gli consente di rilevare eventuali modifiche dei dati cui è apposta.

Un esempio di tale firma potrebbe è la firma grafometrica su Tablet.

Firma Elettronica Qualificata (FEQ)

La Firma Elettronica Qualificata è definita nell’Art 3 n. 12 del Regolamento Europeo eIDAS come segue:

“una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”

In aggiunta alle informazioni previste dal Regolamento Europeo eIDAS, il CAD nell’art. 28 prevede che nel certificato di firma elettronica qualificata può essere inserito il codice fiscale o un analogo codice identificativo univoco, le qualifiche specifiche del titolare di firma elettronica (appartenenza ad ordini o a collegi professionali, la qualifica di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali e i poteri di rappresentanza), i limiti d’uso del certificato, i limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, uno pseudonimo.

Quindi la Firma Elettronica Qualificata rappresenta in pratica un attestato elettronico che collega i dati di una firma elettronica ad una persona fisica e per apporre tale firma su un documento si dovrà utilizzare un apposito dispositivo contenente dati e certificati in grado di identificare univocamente il firmatario.

Un esempio di tale firma è una card con chip che contiene alcuni dati anagrafici e il codice fiscale come la Tessera Sanitaria.

Firma Digitale (FD)

La Firma Digitale è definita nell’Art. 1 comma 1 lettera s del CAD come segue:

“un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”

Quindi la Firma Digitale è l’equivalente elettronico della firma autografa su carta, in quanto è associata al documento elettronico sulla quale è apposta e ne attesta l’integrità, l’autenticità e la non ripudiabilità. Ulteriori indicazioni sulla Firma Digitale sono contenute nell’Art. 24 del CAD e in particolare il comma 2 stabilisce che:

“L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.”

Per poter apporre una Firma Digitale è necessario un dispositivo di firma che si presenta sotto forma di una smart card da inserire in un apposito lettore o di una chiavetta USB corredato da un software di firma rilasciato da un’Autorità di certificazione.

Un esempio di Firma Digitale è la Carta Nazionale dei Servizi (CNS) della Camera di Commercio.

Formati di Firma Elettronica Qualificata e Firma Digitale

Quando si appone una Firma Elettronica Qualificata o una Firma Digitale viene creato un file, definito “busta crittografica“, che contiene il documento originale, l’evidenza informatica della firma e la chiave per la verifica della stessa. La chiave è, a sua volta, contenuta nel certificato emesso a nome del sottoscrittore.

L’autenticità del certificato è garantita da un’Autorità di certificazione e in Italia da certificatori accreditati ai sensi dell’Art 29 del CAD.

Quindi le buste crittografiche sono di fatto dei contenitori che racchiudono i documenti informatici firmati e i dati tecnici necessari al processo di firma.

Il file generato nel processo di sottoscrizione denominato “busta crittografica” può essere, in base alla Decisione della Commissione europea 2011/130/EU, di tre formati: PAdES, CAdES e XAdES.

Per un elenco dei software per la verifica della firma si veda AGID – Firma elettronica qualificata – Software di verifica.

Formato PAdES (PDF Advanced Electronic Signatures)

La firma in formato PAdES può essere apposta esclusivamente ai file in formato PDF e la busta PAdES mantiene l’estensione PDF.

Vantaggi:

  • Il documento informatico già firmato può contenere campi di testo in cui inserire ulteriori informazioni anche successivamente all’apposizione della firma senza invalidarla.
  • Prevede un sistema di mantenimento delle versioni documentali (versioning) che rende sempre disponibile la versione integrale, non modificata, del documento informatico precedente (comprese le firme digitali apposte).
  • Prevede anche la firma di eventuali documenti XML contenuti nel file PDF.
  • Non necessita di un software in grado di “sbustare” il documento per visualizzarlo.

Formato XAdES (XML Advanced Electronic Signatures)

La firma in formato XAdES può essere apposta esclusivamente ai file in formato XML e la busta XAdES ha estensione XML.

Vantaggi:

  • Possibilità di firmare singole parti del documento.
  • Non necessita di un software in grado di “sbustare” il documento per visualizzarlo, quindi è sempre possibile accedere ai “metadati” del documento ovvero al contenuto dei tag xml.

 

 

Formato CAdES (CMS Advanced Electronic Signatures)

La firma in formato CAdES può essere apposta su file di qualunque formato (Office, PDF, XML, audio, video, etc.), la busta CAdES ha estensione.p7m. e necessita di un software in grado di “sbustare” il documento per visualizzarlo.

Vantaggi:

  • Permette di firmare file di qualunque formato e non solo PDF o XML.

Validità temporale delle Firma Digitale e in generale delle Firme Elettroniche Qualificate

Per quanto riguarda la validità temporale delle Firma Digitale l’Art 24 comma 3 del CAD stabilisce quanto segue:

“Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.”

mentre al comma 4 bis viene stabilito che per la firma digitale o altro tipo di firma elettronica qualificata vale quanto segue:

“L’apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.”

Questo significa che se il certificato di firma è scaduto, revocato o sospeso al momento dell’apposizione della firma ad un documento informatico l’autenticità e l’integrità del documento non sono garantiti.

Per quanto riguarda invece la validità di un documento oltre la scadenza del certificato di firma le regole tecniche vigenti in materia firme elettroniche sono definite nell’Art. 41 del DPCM 22 febbraio 2013 che indicano diversi strumenti che certificano la data e l’ora del documento rendendolo opponibile a terzi come la marca temporale, la posta elettronica certificata, la segnatura di protocollo e la conservazione a norma.

Efficacia probatoria dei documenti sottoscritti con Firma Elettronica

Sulla base di quanto riportato nel Regolamento Europeo eIDAS, nel CAD e nel Codice Civile si può affermare che:

  • in base al principio di non discriminazione della firma elettronica (Considerando 49 e Art. 25 del Regolamento Europeo eIDAS) qualsiasi firma elettronica è liberamente valutabile dal Giudice;
  • in base al principio di non discriminazione del documento informatico (Art. 46 del Regolamento Europeo eIDAS) qualsiasi documento firmato elettronicamente è liberamente valutabile dal Giudice;
  • il documento sottoscritto con firma elettronica qualificata o avanzata soddisfa il requisito della forma scritta (Art. 20 del CAD commi 1-bis, 1-ter e 1-quater) ed acquista l’efficacia della scrittura privata (Art. 2702 del Codice Civile), a patto che siano garantite sicurezza, integrità e immodificabilità del documento e la sua riconducibilità all’autore;
  • il documento sottoscritto con firma qualificata o digitale soddisfa il requisito della forma scritta (Art. 21 del CAD commi 2-bis e 2-ter) previsto per la validità degli atti che devono farsi per atto pubblico o per scrittura privata (Art. 1350 del Codice Civile commi da 1 a 12).

Di seguito uno schema riassuntivo della valenza giuridica delle varie tipologie di firma in relazione ai documenti su cui sono applicate:

Tipo di
firma

Valore
probatorio

Atti in forma scritta
Codice Civile
Art. 1350 n. 1-12

Atti in forma scritta
Codice Civile
Art. 1350 n. 13

Trasmissione
documenti
tra PA

Istanze e
dichiarazioni
presentate alle PA

Art. CAD

21

21

21

47

65

FE

Valutato dal Giudice

No

No

No

No

FEA

No

No

No

FEQ

FD

Per un ulteriore approfondimento si veda anche Firma digitale verso eIDAS.

Riferimenti normativi – Regolamento Europeo eIDAS

Considerando 49 del Regolamento Europeo eIDAS
Il presente regolamento dovrebbe stabilire il principio secondo il quale alla firma elettronica non dovrebbero essere negati gli effetti giuridici per il motivo della sua forma elettronica o perché non soddisfa i requisiti della firma elettronica qualificata. Tuttavia, spetta al diritto nazionale definire gli effetti giuridici delle firme elettroniche, fatto salvo per i requisiti previsti dal presente regolamento secondo cui una firma elettronica qualificata dovrebbe avere un effetto giuridico equivalente a quello di una firma autografa.

Articolo 25 del Regolamento Europeo eIDAS – Effetti giuridici delle firme elettroniche
1.
A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.
2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.
3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.

Articolo 46 del Regolamento Europeo eIDAS – Effetti giuridici dei documenti elettronici
A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.

Riferimenti normativi – CAD

Art. 20 del CAD – Validità ed efficacia probatoria dei documenti informatici
1-bis.
Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.
1-ter. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria.
1-quater. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa, anche regolamentare, in materia di processo telematico.

Art. 21 del CAD – Ulteriori disposizioni relative ai documenti informatici, sottoscritti con firma elettronica avanzata, qualificata o digitale
2-bis. Salvo il caso di sottoscrizione autenticata, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori modalità di cui all’articolo 20, comma 1-bis, primo periodo.
2-ter. Fatto salvo quanto previsto dal decreto legislativo 2 luglio 2010, n. 110, ogni altro atto pubblico redatto su documento informatico è sottoscritto dal pubblico ufficiale a pena di nullità con firma qualificata o digitale. Le parti, i fidefacenti, l’interprete e i testimoni sottoscrivono personalmente l’atto, in presenza del pubblico ufficiale, con firma avanzata, qualificata o digitale ovvero con firma autografa acquisita digitalmente e allegata agli atti.

Art. 47 del CAD – Trasmissione dei documenti tra le pubbliche amministrazioni
1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento può essere, altresì, reso disponibile previa comunicazione delle modalità di accesso telematico allo stesso.
1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilità per danno erariale, comporta responsabilità dirigenziale e responsabilità disciplinare.
2. Ai fini della verifica della provenienza le comunicazioni sono valide se:
a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. È in ogni caso esclusa la trasmissione di documenti a mezzo fax;
d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
3. I soggetti di cui all’articolo 2, comma 2, lettere a) e b), provvedono ad istituire e pubblicare nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi almeno una casella di posta elettronica certificata per ciascun registro di protocollo. Le pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.


Art. 65 del CAD – Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1
. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante una delle forme di cui all’articolo 20;
b) ovvero, quando l’istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), nonché attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identità;
c-bis) ovvero se trasmesse dall’istante o dal dichiarante dal proprio domicilio digitale purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce elezione di domicilio speciale ai sensi dell’articolo 47 del Codice civile. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;
1-ter. Il mancato avvio del procedimento da parte del titolare dell’ufficio competente a seguito di istanza o dichiarazione inviate ai sensi e con le modalità di cui al comma 1 comporta responsabilità dirigenziale e responsabilità disciplinare dello stesso.
2. Le istanze e le dichiarazioni di cui al comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento;
4. Il comma 2 dell’articolo 38 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente: «2. Le istanze e le dichiarazioni inviate per via telematica sono valide se effettuate secondo quanto previsto dall’articolo 65 del decreto legislativo 7 marzo 2005, n. 82».

Riferimenti normativi – Codice Civile

Art. 2702 del Codice Civile – Efficacia della scrittura privata
La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa e legalmente considerata come riconosciuta.

Art. 1350 del Codice Civile – Atti che devono farsi per iscritto
Devono farsi per atto pubblico o per scrittura privata, sotto pena di nullità:
1) i contratti che trasferiscono la proprietà di beni immobili;
2) i contratti che costituiscono, modificano o trasferiscono il diritto di usufrutto su beni immobili, il diritto di superficie, il diritto del concedente e dell’enfiteuta;
3) i contratti che costituiscono la comunione di diritti indicati dai numeri precedenti;
4) i contratti che costituiscono o modificano le servitù prediali, il diritto di uso su beni immobili e il diritto di abitazione;
5) gli atti di rinunzia ai diritti indicati dai numeri precedenti;
6) i contratti di affrancazione del fondo enfiteutico;
7) i contratti di anticresi;
8) i contratti di locazione di beni immobili per una durata superiore a nove anni;
9) i contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo indeterminato;
10) gli atti che costituiscono rendite perpetue o vitalizie salve le disposizioni relative alle rendite dello Stato;
11) gli atti di divisione di beni immobili e di altri diritti reali immobiliari;
12) le transazioni che hanno per oggetto controversie relative ai rapporti giuridici menzionati nei numeri precedenti;
13) gli altri atti specialmente indicati dalla legge.

Conclusioni

Come è emerso dall’analisi delle diverse tipologie di firme possono essere rappresentate insiemisticamente come segue:

Di seguito invece uno schema dei formati di Firma Elettronica Qualifica e Firma Digitale:

Riferimenti