Firma elettronica
Nell'ordinamento italiano la firma elettronica è definita come[1] "un insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": è quindi la forma più debole di firma in ambito informatico, in quanto non prevede di per sé meccanismi di autenticazione del firmatario o di integrità del dato firmato.
Descrizione[modifica | modifica wikitesto]
Una firma elettronica qualificata è definita[1] invece come una "firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma": è quindi una forma di firma sicura, che esaudisce le richieste della Direttiva europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified electronic signature" definita da ETSI.
La suddetta direttiva 1999/93/CE, pubblicata nella G.U.C.E. 19 gennaio 2000, n. L 13. è entrata in vigore il 19 gennaio 2000. Particolare importanza ha l'articolo 5 della direttiva, che prevede obblighi degli Stati membri relativi sia alle «firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura» sia ad altri sistemi di firma (che oggi vengono genericamente chiamati deboli o semplici). Si rinvia alla voce Teleamministrazione. L'Italia si è adeguata alla direttiva solo nel 2002 (D. lg. 23 gennaio 2002, n. 10). Nel 2014 la direttiva 93 è stata abrogata ed assorbita («per motivi di certezza del diritto e di chiarezza») dal regolamento del Parlamento Europeo e del Consiglio del 23 luglio 2014, n. 910/2014 (denominato brevemente regolamento eIDAS) in GUCE 28 agosto 2014, che per altro non rinnegò il principio della accettazione anche delle cosiddette “firme deboli.
In ultimo, ma più importante di tutte, almeno nell'ordinamento italiano, c'è la firma digitale definita sempre nel CAD[1] "un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a chiave pubblica. Nell'ordinamento italiano, la firma digitale è un sistema di sottoscrizione di documenti informatici, che garantisce autenticità e integrità del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato qualificato.
Un certificato per la firma elettronica può essere rilasciata da Certification Authority senza formalità; è previsto invece un processo obbligatorio di accreditamento da parte di una autorità pubblica preposta (per l'Italia è il DigitPA (già CNIPA), per qualificare una Certification Authority a emettere certificati qualificati.
I fornitori di soluzioni software di firma elettronica spesso la denominano firma elettronica semplice (definizione non prevista dalla legislazione) per distinguerla con maggior efficacia comunicativa dalla firma elettronica avanzata e dalla firma elettronica qualificata.
Caratteristiche[modifica | modifica wikitesto]
Per collocare nel tempo la firma di un documento non basta, però, la sola firma. In questo viene in aiuto un'altra entità che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella autografa cartacea. L'entità è la Stamping Authority che interviene nella creazione dell'hash del documento da firmare.
Per ogni altra caratteristica ulteriore si rimanda alla firma digitale in quanto, per le rimanenti tematiche, è del tutto analoga.
Differenza con la firma autografa[modifica | modifica wikitesto]
Un qualsiasi atto scritto di tipo tradizionale fa prova in giudizio fino al disconoscimento della firma. Per una firma autenticata, cioè apposta in presenza di un notaio, non è possibile il disconoscimento, ma solo la querela di falso.
Viceversa, nel caso delle firme elettroniche si deve distinguere tra "firma elettronica", "firma elettronica qualificata" e "firma digitale" (cfr. art. 1 del Codice dell'Amministrazione digitale):
- Per firma elettronica la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
- La firma elettronica qualificata è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un certificato qualificato. È inoltre richiesto l'uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado di rilevare qualsiasi alterazione del documento avvenuta dopo l'apposizione della firma stessa. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".
- La firma digitale è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.
All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta, equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata).
Tuttavia secondo un orientamento vi sarebbe una significativa differenza tra firma autografa e firma digitale rispetto alla procedura di disconoscimento. Nel primo caso infatti sarebbe sufficiente che il convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere probatorio. Con riguardo al secondo caso (firma digitale), si nota che l'articolo 21 del D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. Vi sarebbe quindi un'inversione dell'onere della prova dall'attore verso il convenuto.
Un altro orientamento, peraltro, ha posto in evidenza che la presunzione della riconducibilità della firma al titolare del dispositivo di firma si deve formare "ai sensi dell'art. 21, comma 2" (art. 20, comma 2, del D.Lgs. 82/2005), secondo il quale "il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria". Se ne ricava che, come nel caso della scrittura tradizionale, anche la scrittura elettronica munita di firma digitale farebbe piena prova della provenienza delle dichiarazioni solo se la firma digitale che vi è apposta è riconosciuta da colui contro il quale è prodotta in giudizio. Altrimenti, colui che la produce deve fare istanza di verificazione, da sostenere con qualsiasi mezzo di prova utile (art. 216 c.p.c.). In tale prospettiva, solo nel corso del giudizio di verificazione colui che vuol fare valere la scrittura può provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare, fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art. 21, comma 2, cit. in ordine alla riconducibilità di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine all'imputazione della firma apposta a quel soggetto.
| Firma autografa | Firma elettronica | |
|---|---|---|
| Creazione | manuale | mediante algoritmo di creazione |
| Apposizione | sul documento: la firma è parte integrante del documento | fuori dal documento, ad esempio in una firma elettronica semplice l'autenticazione attraverso user id o password o come allegato: in tal caso il documento firmato è costituito dalla coppia (documento, firma) |
| Verifica | confronto con una firma autenticata: metodo insicuro basato su perizia calligrafica | uso di valutazioni tecniche (metodo insicuro) o mediante algoritmo di verifica pubblicamente noto e certificazione (metodo sicuro) |
| Documento copia | distinguibile | indistinguibile |
| Validità temporale | illimitata | limitata |
| Automazione dei processi | non possibile | possibile |
Nota bene
Spesso, sui documenti (nell'area riservata alla firma) compare, accanto al riferimento di colui il quale ha redatto/approvato il testo contenuto, la dicitura "documento firmato elettronicamente" (o diciture equivalenti), eventualmente la funzione/ruolo, nome e cognome "in chiaro" dell'autore, seguiti dalla scansione della firma autografa. Quest'ultimo elemento è solo un orpello "estetico" aggiunto per finalità comunicative. Le applicazioni informatiche di elaborazione o stampa di documenti e ovviamente quelle per firmare elettronicamente, possono aggiungere la scansione della firma autografa, nella posizione prescelta, ai documenti firmati o marcati. È fondamentale comprendere che questo segno grafico non ha alcun valore legale, non rappresentando la firma elettronica e potrebbe essere tranquillamente omesso (il suo scopo è unicamente accessorio/scenografico).
Differenza tra firma elettronica e firma digitale[modifica | modifica wikitesto]
| Firma elettronica | Firma qualificata/digitale | |
|---|---|---|
| Creazione mediante algoritmo di creazione | non specificato | sì |
| Ripudiabilità in sede di giudizio | Liberamente valutabile dal giudice | querela di falso |
| Documento copia indistinguibile dall'originale | no | sì |
| Opponibilità in sede di giudizio (durante un processo) | no | sì |
| Emessa da una Certification Authority qualificata | no | sì |
Formato dei documenti firmati con firma elettronica[modifica | modifica wikitesto]
L'estensione dei file firmati elettronicamente è:
- .p7m per le firme in formato CAdES
- .PDF per le firme in formato PAdES
- .XML per le firme in formato XAdES
Note[modifica | modifica wikitesto]
- ^ a b c Codice dell'amministrazione digitale - Definizioni, su agid.gov.it. URL consultato il 28 aprile 2014 (archiviato dall'url originale il 6 marzo 2014).
Voci correlate[modifica | modifica wikitesto]
Collegamenti esterni[modifica | modifica wikitesto]
- AgID Agenzia per l'Italia Digitale, su cnipa.gov.it.
- legge 10/2002, su parlamento.it.
- Legislazione corrente in materia di Firme Elettroniche, CyberLaws.it
| Controllo di autorità | Thesaurus BNCF 7674 · GND (DE) 4269037-7 · BNF (FR) cb137363100 (data) · NDL (EN, JA) 00928755 |
|---|
