La disciplina giuridica della “firma digitale”: dall’attuazione della direttiva europea del 1999 al codice dell’amministrazione digitale del 2005

         § 1) La “firma digitale”: la sua natura e le fonti della sua disciplina giuridica.
 
            La “firma digitale” è un software, cioè un programma informatico che permette al suo titolare di firmare dei documenti informatici (files) ed, in questo modo, attribuire ad essi valore legale di manifestazione di volontà proveniente da lui come se vi avesse apposto una firma autografa, garantendo così la provenienza e l’integrità del documento stesso da eventuali manomissioni.
            Il processo informatico di apposizione e di riconoscimento della firma digitale si basa sulla tecnica della c.d. “crittografia asimmetrica”. La crittografia è una scrittura cifrata, che si può decifrare solo se si conosce la chiave, cioè il metodo di decifrazione. E’ asimmetrica quella basata non su una, ma su una coppia di chiavi[1]:
 
  • una privata, custodita sulla Smart Card del titolare, protetta da un codice di accesso (PIN), emessa da un Ente Certificatore, che serve ad apporre sul documento informatico la firma digitale del titolare e ad applicargli un’impronta elettronica unica attraverso la funzione di Hash;
  • l’altra pubblica, creata e custodita dallo stesso Ente Certificatore (per esempio, Unioncamere o Postecom di Posta Italiana, i più importanti oggi in Italia), che viene utilizzata per la verifica della firma e della relativa impronta poiché essa permette di decifrare solo quanto cifrato dalla chiave privata corrispondente.
 
            L’associazione tra la chiave pubblica ed il titolare della corrispondente chiave privata si basa sull’emissione di un “certificato elettronico” o “digitale” (sempre un documento informatico), da parte dell’Ente Certificatore, che avviene solo dopo l’identificazione certa del firmatario attraverso la verifica con la chiave pubblica della firma apposta con la chiave privata e che attesta con certezza l’identità di questo e, pertanto, la provenienza del documento.
 
La disciplina del valore legale della firma digitale, emanata per la prima volta nel DPR n° 445 del 2000 (Testo Unico sulla documentazione amministrativa) è stata poi riformata dal Decreto Legislativo n. 10 del 2002 (che ha sostituito le norme originarie nel primo), attuativo della Direttiva CE n° 93 del 1999 relativa al “quadro comunitario per le firme elettroniche” e che ha regolato anche l’attività dei certificatori.
Il Decreto Legislativo n° 10 del 2002 è stato poi abrogato, assieme agli articoli da 22 a 29 – octies del DPR n° 445 del 2000 sulla disciplina delle firme elettroniche, dal Decreto Legislativo n° 82 del 2005, il c.d. “Codice della (Pubblica) Amministrazione Digitale”, che agli articoli da 20 a 37 ha assorbito e coordinato le precedenti discipline del valore legale del documento informatico, di quello delle firme elettroniche e dell’attività dei certificatori.
L’articolo 24 del Decreto Legislativo (Dlgs) 82/2005 riconosce espressamente che il tipo più importante (perché più sicuro) di firma elettronica è la “firma digitale” (come faceva già l’art. 23 del DPR n° 445 del 2000) per la sua capacità di “riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata” (1° comma).
Per la generazione della firma digitale deve adoperarsi un “certificato qualificato” (su cui vedi oltre nel paragrafo successivo) che, al momento della sottoscrizione, non risulti scaduto di validità, revocato o sospeso. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente (art. 24, commi 3° e 2°).
 
 
§ 2) La disciplina dell’attività dei certificatori delle firme elettroniche.
 
Per quanto riguarda l’attività dei certificatori delle firme elettroniche stabiliti in Italia o in un altro Stato membro dell’Unione Europea, l’articolo 24 del Dlgs 82/2005 stabilisce che essa è libera e non necessita di autorizzazione preventiva. L’attività di vigilanza e controllo nel settore è affidata al CNIPA – Centro Nazionale per l’Informatica nella Pubblica Amministrazione[2] (art. 27).
I “certificati elettronici” rilasciati dai certificatori possono essere semplici o “qualificati” (art. 2, lettere d) ed e), del Dlgs 10/2002, ora art. 28 del Dlgs 82/2005, il cui primo comma elenca il contenuto minimo di informazioni che un certificato qualificato deve contenere), se essi e chi li rilascia rispondono ai requisiti di qualità e sicurezza degli allegati I e II della Direttiva CE n. 93 del 1999. Solo i certificatori che intendono rilasciare al pubblico certificati qualificati devono dare avviso dell’inizio dell’attività al CNIPA (art. 4 del Dlgs 10/2002, ora 3° comma dell’art. 27 del Dlgs 82/2005).
Inoltre, i certificatori che intendono conseguire dal CNIPA il riconoscimento del possesso dei requisiti di qualità e sicurezza del livello più elevato, possono chiedere a questo di essere accreditati ai sensi dell’art. 29 del Dlgs 82/2005. L’accreditamento è stato introdotto dall’art. 5 del Dlgs 10/2002: è il c.d. “accreditamento facoltativo”: in forza dell’art. 11, comma 2°, dello stesso Dlgs divennero automaticamente certificatori accreditati tutti quelli che erano iscritti nell’elenco pubblico tenuto dall’AIPA – Autorità per l’Informatica nella Pubblica Amministrazione (ora CNIPA).
 
La responsabilità civile del certificatore è disciplinata dall’art. 30, 1° comma, Dlgs 82/2005, che riproduce quasi testualmente l’art. 7, 1° comma del Dlgs 10/2002,  stabilendo che il certificatore che rilascia al pubblico un certificato qualificato o che garantisce l’affidabilità del certificato è responsabile, se non prova di aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento:
 
a) sull’esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati dall’art. 28;
b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato (si garantisce in tal modo l’identità del firmatario);
c) sulla garanzia che i dati per la creazione e la verifica della firma possano essere usati in modo complementare (cioè corrispondano), nei casi in cui il certificatore generi entrambi;
 d) sull’adempimento degli obblighi a suo carico previsti dall’articolo 32, che prevede una serie di misure organizzative e tecniche da adottare nella gestione dell’attività di certificazione delle firme elettroniche che garantiscano la sicurezza delle operazioni ed evitino danni alle parti coinvolte nei rapporti giuridici in cui quelle firme sono utilizzate.
 
Il certificatore che rilascia certificati qualificati è responsabile verso i terzi che hanno fatto affidamento su questi dei danni provocati per effetto della mancata o non tempestiva registrazione (informatica) della revoca o della sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all’art. 71[3], a meno che non provi di aver agito senza colpa (2° comma).
Sempre il certificatore può limitare la sua responsabilità per i certificati qualificati che emette se segnala su di essi in modo riconoscibile dai terzi i limiti d’uso od il valore limite dei negozi giuridici per cui può essere usato il certificato stesso e li evidenzi chiaramente nel processo (informatico) di verifica della firma (3° comma).
Il c.d. “titolare”, cioè la persona fisica cui è attribuita la firma elettronica e che ha accesso ai dispositivi per la creazione della firma elettronica, è, dal canto suo, “tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri e a custodire ed utilizzare il dispositivo di firma (cioè l’hardware ed il software utilizzati per apporre la firma elettronica su un documento informatico) con la diligenza del buon padre di famiglia (art. 32, 1° comma, che riprende il principio generale dell’art. 1227 del Codice Civile).
In luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l’obbligo di conservare le informazioni sulla reale identità del titolare per almeno dieci anni dalla scadenza del certificato (art. 33).
 
L’art. 36 del Dlgs 82/2005 stabilisce che il certificatore deve revocare il certificato qualificato emesso in caso di cessazione dell’attività, mentre deve revocarlo o sospenderlo:
 
a) in esecuzione di un provvedimento dell’Autorità (Amministrativa o Giudiziaria);
b) a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare;
c) in presenza di cause limitative della capacità (di agire) del titolare o di abusi o falsificazioni;
e) nei casi previsti dalle regola tecniche di cui all’art. 71, che disciplinano anche le           modalità della revoca o della sospensione.
 
La revoca o la sospensione del certificato qualificato ha effetto dal momento della pubblicazione della lista (informatica) che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale (informatico).
 
Il certificatore accreditato o qualificato che intende cessare l’attività deve darne avviso al CNIPA ed ai titolari dei certificati da lui emessi almeno sessanta giorni prima della data di cessazione e, contestualmente, deve comunicare la rilevazione della documentazione (informatica) da parte di un altro certificatore o l’annullamento (cioè la revoca) della stessa. Il certificatore cessante deve anche indicare un altro depositario del registro dei certificati e della relativa documentazione informatica (art. 37).
 
 
§ 3) Il valore giuridico della firma digitale e del documento informatico su cui è        apposta.
 
 Per quanto riguarda il valore giuridico della firma digitale apposta ad un documento informatico, l’art. 6, comma 1°, del Dlgs 10/2002 (che sostituì l’art. 10 del DPR 445/2000, intitolato “Forma ed efficacia del documento informatico”, ora abrogato dal Dlgs 82/2005) stabilì che “il documento informatico ha l’efficacia probatoria prevista dall’articolo 2712 del Codice Civile, riguardo ai fatti ed alle cose rappresentate”. La norma è oggi sostanzialmente riprodotta dall’art. 23 del Dlgs 82/2005.
L’art. 2712 c.c. riguarda le c.d. “Riproduzioni meccaniche” (alle cui tipologie previste dall’art. 2712 c.c. il primo comma dell’art. 23 del Dlgs 82/2005 ha aggiunto espressamente quelle “informatiche”) che “formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”.
 
L’art. 6, comma 2°, del Dlgs 10/2002, stabilì inoltre che “il documento informatico sottoscritto con firma digitale soddisfa il requisito legale della forma scritta (ora art. 20, 2° comma, del Dlgs 82/2005 che richiede il rispetto delle regole tecniche di cui all’art. 71). Sul piano probatorio esso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza” (ora art. 21, 1° comma, del Dlgs 82/2005).
“Il documento informatico, quando è sottoscritto con firma digitale, basata su un certificato qualificato (rilasciato da un certificatore accreditato o non) ed è generato mediante un dispositivo elettronico per la creazione di una firma sicura (è un hardware – periferica che risponde ai requisiti fissati dall’allegato III della Direttiva CE 93/1999[4], la firma sicura è poi verificata coi criteri fissati dall’allegato IV della stessa Direttiva) fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto” (comma 3° dell’art. 6 del Dlgs 10/2002, oggi riportato nel 2° comma dell’art. 21 del Dlgs 82/2005). Esso ha, pertanto, l’efficacia della scrittura privata con sottoscrizione autenticata o, meglio in questo caso, legalmente considerata come riconosciuta, prevista dagli articoli 2702, 2703 e 2704 (quest’ultimo sulla data della scrittura) del Codice Civile.
“Al documento informatico, sottoscritto con firma digitale, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova (da parte del Giudice) unicamente a causa del fatto che è sottoscritto con firma elettronica od in quanto la firma non è basata su un certificato qualificato” (comma 4° dell’art. 6 del Dlgs 10/2002, abrogato e non riportato nel Dlgs 82/2005, ma sostanzialmente inutile).
L’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sottoscrizione hanno effetto dal momento della pubblicazione, salvo che il revocante o chi richiede la sospensione non dimostri che essa era già a conoscenza di tutte le parti interessate (norma introdotta dal 4° comma dell’art. 21 del Dlgs 82/2005).
 
La firma digitale o un altro tipo di firma elettronica qualificata può essere autenticata da un notaio o da un altro pubblico ufficiale a ciò autorizzato. In tal caso essa si ha per legalmente riconosciuta ai sensi dell’art. 2703 del Codice Civile e la scrittura privata così sottoscritta “fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta”, ai sensi dell’art. 2702 c.c. L’autenticazione della firma digitale o di un altro tipo di firma elettronica qualificata consiste nell’attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità del certificato elettronico utilizzato e del fatto che il documento elettronico sottoscritto non è in contrasto con l’ordinamento giuridico (art. 25 Dlgs 82/2005, i cui contenuti erano in precedenza riportati nell’art. 24 del DPR 445/2000).
 
Queste disposizioni si applicano alle firme elettroniche basate su di un certificato qualificato rilasciato da un certificatore avente sede nell’Unione Europea o fuori di essa, se accreditato in uno Stato di essa o garantito da un certificatore comunitario o riconosciuto in forza di un accordo fra la Comunità e Paesi terzi (comma 5° del Dlgs 10/2002, ripreso dal comma 4° dell’art. 21 del Dlgs 82/2005).
 
Ricordiamo poi l’art. 9 del Dlgs 10/2002, che sostituiva l’art. 38 del DPR n° 445 del 2000 (tuttora in vigore, non essendo stato abrogato dal Dlgs 82/2005) sui rapporti telematici tra cittadini e Pubblica Amministrazione, stabilendo che “le istanze e le dichiarazioni inviate per via telematica alla P.A. od ai gestori di pubblici servizi sono valide:
 
a) se sottoscritte mediante firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato e generata mediante un dispositivo per la creazione di una firma sicura (è richiesto quindi il massimo grado di affidabilità e sicurezza);
 b) quando l’autore è identificato dal sistema informatico (della Pubblica Amministrazione a cui si è rivolto) con l’uso della carta d’identità elettronica o della carta nazionale dei servizi”.
 
 
§ 4) La disciplina delle copie informatiche degli atti giuridici.
 
            Infine, sulle copie informatiche degli atti giuridici l’art. 23 del Dlgs 82/2005 stabilisce che “i duplicati, le copie, gli estratti del documento informatico, anche se riprodotti su diversi tipi di supporto, sono validi a tutti gli effetti di legge, se conformi alle vigenti regole tecniche. I documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi gli atti e i documenti amministrativi di ogni tipo, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del Codice Civile, se ad essi e’ apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o un’altra firma elettronica qualificata.
         Le copie su supporto informatico di documenti originali non unici formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all’originale e’ assicurata dal responsabile della conservazione di essi mediante l’utilizzo della propria firma digitale e nel rispetto delle regole tecniche di cui all’articolo 71.
            Le copie su supporto informatico di documenti originali unici, formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all’originale e’ autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell’articolo 71.
            La spedizione o il rilascio di copie di atti e documenti informatici su cui è apposta la firma digitale o altra firma elettronica qualificata da parte di colui che li spedisce o rilascia, esonera dalla produzione e dalla esibizione dell’originale formato su supporto cartaceo quando richieste ad ogni effetto di legge.
            Gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi dell’articolo 71”.
 
 
 
Gianfranco Visconti
Consulente di direzione aziendale
 


[1] E, pertanto, più sicura della “crittografia simmetrica”, basata su due chiavi identiche.
[2] Già AIPA – Autorità per l’Informatica nella Pubblica Amministrazione.
[3] Che saranno emanate con una serie di DPCM – Decreti del Presidente del Consiglio dei Ministri.
[4] L’art. 35 del Dlgs 82/2005 sui dispositivi sicuri e le procedure per la generazione della firma stabilisce che essi “devono presentare requisiti di sicurezza tali da garantire che la chiave privata sia riservata, non possa essere derivata o contraffatta e possa essere sufficientemente protetta dal titolare dall’uso da parte di terzi. Essi devono inoltre garantire l’integrità dei documenti informatici su cui è apposta la firma ed essere strutturati in modo tale da chiedere conferma della volontà di generare la firma o da ricondurre chiaramente tale generazione alla volontà del titolare (questo nel caso di procedura automatica).

Visconti Gianfranco

Scrivi un commento

Accedi per poter inserire un commento