Decreto legislativo - 7/03/2005 - n. 82 art. 24 - Firma digitaleFirma digitale Art. 24. 1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. 2. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente. 3. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso. 4. Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d'uso. Le linee guida definiscono altresi' le modalita', anche temporali, di apposizione della firma 1 2. 4-bis. L'apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era gia' a conoscenza di tutte le parti interessate 3. 4-ter. Le disposizioni del presente articolo si applicano anche se la firma elettronica e' basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni: a) il certificatore possiede i requisiti previsti dal regolamento eIDAS ed e' qualificato in uno Stato membro; b) il certificato qualificato e' garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui al medesimo regolamento; c) il certificato qualificato, o il certificatore, e' riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali 4.
[1] Per le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali di cui al presente comma, vedi il D.P.C.M. 22 febbraio 2013. [2] Comma modificato dall'articolo 22, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179 e successivamente dagli articoli 26, comma 1, e 66, comma 1, del D.Lgs. 13 dicembre 2017, n. 217. [3] Comma aggiunto dall'articolo 22, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179. [4] Comma aggiunto dall'articolo 22, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179. InquadramentoLa Sezione II del Capo I del CAD riporta la regolamentazione delle «firme elettroniche, certificati e prestatori di servizi fiduciari». Con l'espressione firma digitale, disciplinata dall'art. 24 del CAD, si intende un particolare tipo di firma elettronica: ossia quella fondata su un sistema di crittografia asimmetrica. La firma digitale deve riferirsi in maniera univoca a un solo soggetto e al documento o all'insieme di documenti cui è apposta o associata; per la sua generazione è necessario adoperare un certificato qualificato, che al momento della sottoscrizione non risulti scaduto, revocato o sospeso. Da un punto di vista più prettamente tecnico la firma digitale è il risultato di una procedura informatica che garantisce l'autenticità e l'integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari di quanto svolto dalla firma autografa per i documenti tradizionali. La differenza tra firma autografa e firma digitale è che la prima è legata alla caratteristica fisica della persona che appone la firma, vale a dire la grafia, mentre la seconda al possesso di uno strumento informatico e di un PIN di abilitazione, da parte del firmatario. La firma digitale è il risultato di una procedura informatica (validazione) che consente al sottoscrittore di rendere manifesta l'autenticità del documento informatico ed al destinatario di verificarne la provenienza e l'integrità. In sostanza i requisiti assolti sono: Autenticità: con un documento firmato digitalmente si può essere certi dell'identità del sottoscrittore; Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione; non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore (Iaselli, p. 32). In merito, dunque, alla natura e al funzionamento delle firme elettroniche è necessario introdurre il concetto di crittografia. La crittografia.Con il termine crittografia, che deriva dal greco antico, da κρυπτóς [kryptós] “nascosto”, e γραφία [graphía], “scrittura”, si intende la conversione dei dati da un formato leggibile in un formato codificato che può essere letto o elaborato solo dopo che è stato decriptato, e che garantisce la paternità e l'assoluta integrità del messaggio cifrato. La crittografia si fonda su due elementi essenziali che sono l'algoritmo e la chiave di lettura (su algoritmo e crittografia, tra gli altri Carullo, 431; Simoncini, 529; Tresca, 545). L'algoritmo è lo strumento che permette di scomporre un messaggio in modo tale da renderlo incomprensibile a chi non conosca la chiave di lettura. La chiave di lettura, di conseguenza, è un codice che permette di decodificare e comprende il contenuto del messaggio precedentemente crittato. Dunque, mediante l'uso di un algoritmo matematico, è possibile trasformare un messaggio leggibile in una forma illeggibile e decifrabile esclusivamente dal soggetto che possiede la chiave di decifrazione. In particolare, i sistemi crittografi si distinguono in: - I sistemi a chiave simmetrica, si tratta di sistemi che usano la stessa chiave segreta sia per la cifrazione che per la decifrazione del messaggio. Quindi chi è in grado di compiere una delle due operazioni (cifrazione o decifrazione) è allo stesso modo in grado di compiere anche l'altra; - I sistemi a chiave asimmetrica, sono sistemi che usano due diverse chiavi, tra loro complementari. Con una di esse si effettuerà la cifrazione e con l'altra la decifrazione. La crittografia asimmetrica ha alla base del suo funzionamento un sistema di chiavi di lettura doppie. La prima chiave è pubblica e sarà utilizzata dal mittente per crittare il messaggio; la seconda chiave è privata, custodita solo dal destinatario, e questa servirà a decrittare il messaggio. Le tipologie di firma elettronica.È possibile così distinguere due macro-categorie di firma elettronica: La firma elettronica «debole» o «semplice», consistente in una serie di codici identificativi (come password, usernames, pin) associati ad un documento informatico che consentono di individuare la provenienza del messaggio ma che, tuttavia, non danno certezza di identificazione del suo autore. Rappresenta la forma più leggera di sottoscrizione elettronica dei documenti poiché costituisce un tipo di firma non assistita da un sistema di certificazione accreditato. Infatti, l'utilizzo di un codice segreto, quale può essere una password, non è sicuro in modo assoluto, in quanto da un lato è dato conosciuto anche da persone diverse rispetto al firmatario, come ad es. avviene con il gestore del sistema con cui l'utente interagisce ed inoltre, si tratta di un dato facilmente accessibile da terzi. La Firma elettronica (c.d. semplice), prima del Regolamento eIDAS, veniva definita dal CAD all'art. 1, comma 1, lett. q), come: «l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica». Quindi la funzione della firma elettronica semplice, ossia delle credenziali di accesso, di una password o di un pin, era essenzialmente identificativa. Tuttavia, per effetto delle modifiche apportate al CAD, dal d.lgs. n. 179/2016, tale definizione di firma elettronica, è stata eliminata in quanto sostituita da quella espressa dal Regolamento eIDAS. Art. 3, comma 1, n. 10 Regolamento eIDAS: «Firma elettronica: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare». Con tale definizione muta la funzione della firma elettronica, che passa da mera funzione identificativa, a funzione dichiarativa. Il firmatario con la firma non si identifica, ma manifesta semplicemente la sua volontà firmare un dato documento e quindi un dato contenuto (manifestazione di volontà). L'art. 3 n. 10 del Regolamento eIDAS contiene un'enunciazione di principio che, differentemente delle altre tipologie di firma, non è idonea a descrivere un preciso servizio di idoneità del documento informatico. Un classico esempio di scuola di firma elettronica semplice è quello della firma elettronica contenuta in un messaggio di posta elettronica ordinaria, quale può essere sia il semplice nome del mittente inserito alla fine di un messaggio, sia la copia (l'immagine) della firma autografa, ripresa mediante uno scanner e inserita in calce alla lettera. Ovviamente questo tipo di firma elettronica non è idoneo a garantire l'identità del mittente e l'integrità del messaggio. In ogni caso, si tratta di una categoria che ricomprende tutte quelle sottoscrizioni che non presentano i requisiti delle altre sottoscrizioni di livello superiore. La firma elettronica «forte» avanzata, qualificata, digitale, permette una forte connessione tra l'oggetto sottoscritto e la firma apposta. Il riferimento a questa tipologia di firme è contenuto nella prima parte comma 1-bis dell'art. 20 del CAD. Per Firma elettronica avanzata (FEA) è definita dal Regolamento eIDAS, ex art. 3, comma 1, n. 11 come una firma elettronica che soddisfi i requisiti di cui all'art. 26 dello stesso Regolamento. Pertanto, ai sensi dell'art. 26 del Regolamento eIDAS, la firma elettronica avanzata deve soddisfare i seguenti requisiti: - Deve essere connessa unicamente al firmatario; - Deve essere idonea a identificare il firmatario - Deve essere creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; - Deve essere collegata ai dati sottoscritti in modo da consentire l'identificazione di ogni successiva modifica di tali dati. In sostanza qualsiasi strumento o processo che soddisfi tali requisiti di sicurezza, che consistono sostanzialmente nell'identificazione del firmatario del documento, nella connessione univoca tra la firma ed il firmatario, nella possibilità di controllo esclusivo dei dati da parte del firmatario e di verifica che il documento non abbia subito modifiche dopo l'apposizione della firma tali requisiti, può essere considerato una firma elettronica avanzata. È di fondamentale importanza, quindi, che il soggetto che eroga soluzioni di firma elettronica avanzata proceda ad identificare in modo certo l'utente, tramite valido documento di riconoscimento (di cui dovrà conservare copia), nonché ad informarlo in merito agli esatti termini e condizioni d'uso del servizio medesimo. Un esempio diffuso di FEA è la firma grafometrica utilizzata su tablet nei contesti bancari o assicurativi (Finocchiaro, 1; Vitrani, 1) La Firma elettronica qualificata (FEQ) è, invece, un particolare tipo di firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. Ai sensi dell'art. 3, comma 1, n. 12 Regolamento eIDAS si intende per ««firma elettronica qualificata» una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche». Si tratta quindi di una tipologia di firma creata su un dispositivo qualificato, ossia un dispositivo sicuro quale può essere ad es. token o smart card, per la creazione di una firma elettronica ed è basata su un certificato elettronico qualificato, che a sua volta deve essere rilasciato da un prestatore di servizi fiduciari qualificato, pubblico o privato. La FEQ è il risultato di una procedura informatica detta validazione, volta a garantire autenticità, integrità e il non ripudio dei documenti informatici. Tale tipologia di firma costituisce la più forte istanza di sottoscrizione informatica, perché può essere utilizzata in ogni contesto in sostituzione della sottoscrizione autografa della quale è giuridicamente equivalente. A tal proposito si veda l'art. 25, comma 2 del Regolamento eIDAS, secondo il quale «Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa». La Firma digitale (FD) è l'unica tipologia di firma direttamente e unicamente definita dal CAD. In particolare, ex art. 1, comma 1, lett. s) del CAD, la firma digitale è qualificata come «un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici». Dunque si tratta di un particolare tipo di firma elettronica qualificata, basata anch'essa su certificato qualificato e, inoltre, su un sistema di chiavi crittografiche di tipo asimmetrico, cioè una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. Dal punto di vista tecnico le firme digitali si distinguono in: CADES, apponibile a qualsiasi formato di file e ne modifica l'estensione rendendolo .p7m; PADES, apponibile solo sui file PDF e non modifica l'estensione; XADES, apponibile solo sui file XML e non modifica l'estensione. Il meccanismo di firma digitale si basa dunque sul fatto che, se con una delle due chiavi si cifra (o codifica) un messaggio (chiave privata), allora quest'ultimo sarà decifrabile e reso intellegibile solo con l'altra (chiave pubblica). Il meccanismo di firma digitale. Più precisamente, il meccanismo di firma digitale è riassumibile nelle seguenti fasi: 1. Il mittente, avviando lo strumento di firma digitale sul proprio computer, crea innanzitutto l'impronta digitale del testo in chiaro del documento informatico, attraverso una procedura informatica chiamata «funzione hash» (pubblica), detta anche message digest o evidenza informatica che consiste in una funzione logico-matematica che partendo da una sequenza di bit di qualsiasi lunghezza restituisce una sequenza univoca di un certo numero di caratteri alfanumerici. Tale impronta digitale si concretizza in un file di dimensioni relativamente piccole (128, 160 o più bit), che contiene un codice di controllo relativo al documento stesso. In questo modo si garantisce l'univocità dell'impronta, quindi da testi diversi la funzione di hash estrarrà impronte diverse; essa è fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre, è one-way, a senso unico, ovvero dall'impronta è impossibile ottenere nuovamente il testo originario, è «non invertibile»; 2. L'utente utilizza, poi, la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma digitale del testo in chiaro. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente; 3. Viene creata la “busta elettronica”, contenente il documento informatico, la firma digitale ed il certificato della chiave pubblica. A questo punto la firma viene allegata al documento che si intende sottoscrivere, insieme alla chiave pubblica, e il mittente le spedisce; 4. Il destinatario del documento su cui è apposta una firma digitale può verificarne l'autenticità: per farlo, applica al testo in chiaro la funzione di hash estraendone una nuova impronta; a questo punto, mediante l'uso della chiave pubblica del mittente, decifra l'impronta cifrata ricevuta con il messaggio; infine procede a confrontare l'impronta estratta dal testo in chiaro con quella ottenuta attraverso la decifrazione. Se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite. Nel loro uso combinato, dunque, le due chiavi servono a garantire e a verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. La firma digitale, dunque, rappresenta l'equivalente elettronico della tradizionale firma autografa su carta ed è univocamente associata al documento elettronico sul quale è apposta, attestandone con certezza, l'integrità, l'autenticità, la non ripudiabilità. In sintesi, il processo di verifica consiste nelle seguenti fasi fondamentali: la decifratura della firma digitale con la chiave pubblica del mittente, contenuta nel certificato allegato; si ottiene così l'impronta in precedenza generata dal mittente del documento – l'esito positivo di questa operazione assicura l'autenticità dell'origine dei dati; la creazione, a partire dal documento informatico ricevuto, dell'impronta univoca, utilizzando la stessa funzione di hash precedentemente utilizzata dal mittente; il confronto tra le due impronte, quella ricevuta in maniera cifrata – e decifrata utilizzando la chiave pubblica – e quella calcolata utilizzando la funzione di hash, dà la garanzia che il documento non è stato alterato (Iaselli, 32). La garanzia che una firma digitale appartenga realmente a chi appare esserne il titolare può essere invece è conferita da un certificatore, che fornisce al titolare della firma digitale un certificato, cioè un documento elettronico che attesta l'identità del titolare, la chiave pubblica attribuitagli, nonché il periodo di validità del certificato stesso. Ciò è ad esempio particolarmente rilevante in tema di impugnazioni. Si veda in proposito, Cass. III, n. 26599/2021, secondo la quale, in tema di impugnazioni, la legge di conversione del c.d. «Decreto Ristori» consente il deposito a mezzo PEC degli atti di impugnazione di qualsiasi tipo, degli atti di opposizione e dei reclami giurisdizionali proposti successivamente alla data della sua entrata in vigore, mentre conservano efficacia le impugnazioni in formato elettronico proposte anteriormente a tale data solo se sottoscritte digitalmente e trasmesse alla casella di posta elettronica certificata del giudice competente. La Cassazione ribadisce che la necessità della firma digitale, conforme alle specifiche tecniche stabilite dalla normativa di riferimento, è funzionale ad assicurare la provenienza dell'impugnazione dal suo autore e per tale motivo è prevista a pena di inammissibilità dell'impugnazione, al pari dell'invio della medesima da un indirizzo riferibile al suo sottoscrittore o verso una casella di posta corretta). Alla luce di ciò è evidente che l'utilizzatore di firma elettronica qualificata o di firma (qualificata) digitale dovrà prestare particolare attenzione ai casi di scadenza temporale del proprio certificato di firma, di revoca o sospensione dello stesso. Infatti, l'apposizione di una firma digitale con «certificato scaduto, revocato o sospeso equivale a mancata sottoscrizione». È ciò che stabilisce l'art. 24 comma 4-bis del CAD, prevedendo per la validità della sottoscrizione l'utilizzo di un certificato qualificato in corso di validità, attraverso il quale si possano rilevare gli elementi identificativi del titolare e del certificatore. In tal caso, il giudizio di verificazione che consegue ad un eventuale disconoscimento della firma digitale si risolve nel controllo della firma attraverso gli strumenti di software di uso comune. BibliografiaCarullo, Decisione amministrativa e intelligenza artificiale, in Diritto dell'Informazione e dell'Informatica (Il), fasc. 3, Milano, 2021; Finocchiaro, La metafora e il diritto nella normativa sulla cosiddetta firma grafometrica, in Il Diritto dell'informazione e dell'informatica, Milano, 2013; Iaselli, Codice dell'amministrazione digitale annotato, Milano, 2019; Simoncini, Lo «stato digitale» l'agire provvedimentale dell'amministrazione e le sfide dell'innovazione tecnologica, in Riv. trim. dir. pubbl., fasc. 2, 2021; Tresca, Lo «Stato digitale» big data, open data e algoritmi: i dati al servizio della pubblica amministrazione, Riv. trim. dir. pubbl., fasc. 2, 2021; Vitrani, Nota a: Cassazione civile, 09 aprile 2021, n. 9412, sez. I, La firma elettronica dei contratti bancari, in Il processotelematico.it, 2021. |
