Il Vademecum aggiornato delle firme “elettroniche”
Prevedere una guida del genere a beneficio degli utenti non pare ad oggi anacronistico poiché le informazioni in materia non smettono mai di “riprodursi”, con l’effetto di alimentare la tenace diffidenza degli scettici (ancora molti) e di suggerire interpretazioni fantasiose e per lo più fuorvianti. Senza alcuna pretesa di esaustività, il vademecum si occuperà di evidenziare le caratteristiche principali dei nuovi strumenti di firma tentando un parallelismo con la tradizionale sottoscrizione “autografa” o quanto meno evidenziandone l’identità di effetti. Bando agli indugi. Il Vademecum Premesse Il breve compendio inizia con un altrettanto rapido riepilogo della storia della firma “elettronica”. L’avvento coincide con il graduale affermarsi degli strumenti informatici e telematici, e quindi del commercio elettronico e dei c.d. servizi della società dell’informazione. Il progresso tecnologico ha rinnovato anche la prospettiva “giuridica” dei suoi effetti, caricando di nuovo significato la certezza dei rapporti giuridici posti in essere con i nuovi strumenti “immateriali”, che hanno imposto la necessità dell’esatta identificazione dei soggetti che divengono parti di tali rapporti, delle possibilità di autenticazione dei dati trasmessi e di manifestazione della volontà espressa per via o tramite modalità elettroniche. L’inizio è lontano e risale, quanto meno, al 1997 e al D.P.R. n. 513 che introduceva una serie di prescrizioni relative alla formazione e alla valenza del documento informatico. Nello stesso si ritrovava la previsione della cd. firma elettronica che, per il tramite di chiavi criptate, era in grado di produrre i medesimi effetti giuridici della firma autografa. Secondo l’anzidetto decreto, la stessa assicurava l’identificazione dell’autore del documento, nonché l’integrità e la provenienza dello stesso equiparando lo scambio di documenti elettronici firmati elettronicamente alla forma della scrittura privata. Dello stesso avviso era l’”antenato” autorevole dell’attuale normativa in materia, ovvero il D.P.R. n. 445/2000 (Testo Unico in materia di documentazione amministrativa), che, con il suo articolo 10 (oggi abrogato) segnava un passaggio importante verso la concreta utilizzabilità dei nuovi mezzi di “scambio”. Esso stabiliva che:
- Il documento informatico ha l’efficacia probatoria prevista dall’articolo 2712 del codice civile, riguardo ai fatti ed alle cose rappresentate.
- Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l’obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.
- Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.
- Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura”.
L’iter legislativo anzidetto segue chiaramente un’unica ratio quando evidenzia i punti in comune tra forma informatica e forma scritta ritrovandoli in alcune caratteristiche dal cui concreto atteggiarsi dipendono gli effetti di una scelta non convenzionale. Come quella che si sta analizzando. Identica finalità persegue il D.lgs. n. 82/2005 e s.m.i. (il Codice dell’amministrazione digitale, di seguito il “Codice”) che codifica un vero e proprio percorso informatico prima di tutto delle Pubbliche amministrazioni e conseguentemente tra queste e i privati e altresì tra privati. Il Codice riproduce e consolida i presupposti del percorso in fieri, pur attenuando alcune delle conclusioni cui era giunto il Testo Unico, che saranno analizzate nel prosieguo. Le recenti novità in materia sono degli ultimi anni e le più rilevanti per la presente disamina si realizzano, dopo tanta attesa, nei D.P.C.M. del 22 febbraio 2013 e in quello del 3 dicembre 2013, rispettivamente recanti le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b) , 35, comma 2, 36, comma 2, e 71”; e le “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005”. Le firme “elettroniche” La sottoscrizione di un documento risponde, in via generale e in quanto compenetrata alla forma del documento stesso e alle sue caratteristiche sostanziali, ad una triplice funzione: indicativa ovvero l’identificabilità del suo autore; dichiarativa riferita al contenuto del documento e alla sua autenticità; e, infine, probatoria riferita in specie all’integrità del documento nel senso di una sostanziale immutabilità del suo contenuto e dei suoi effetti nel tempo. Il documento informatico viene riportato alle caratteristiche proprie del documento tradizionale (cartaceo) attraverso modalità compatibili con le particolari tecniche e regole di formazione e di sottoscrizione che lo riguardano; pertanto il documento informatico potrebbe rilevare che sia privo di sottoscrizione (art.20, comma 1-bis, del Codice), che sia sottoscritto con firma elettronica e, infine, che sia sottoscritto con firma elettronica avanzata, qualificata o digitale. Il problema del documento informatico è soprattutto quello di assicurare il legame tra il firmatario ed il dato di firma attraverso opportuni metodi. I metodi di firma sul documento informatico possono atteggiarsi in maniera diversa nei casi in cui comportino:
- l’identificazione del firmatario e la registrazione del dato che comprova tale identificazione (la c.d. firma elettronica, art. 1, comma 1, lett. q, del Codice);
- l’uso di algoritmi crittografici asimmetrici che consentono di generare prove riconducibili soltanto ad un determinato soggetto (c.d. firma elettronica qualificata e digitale, rispettivamente definite dall’art. 1, comma, 1, lett. r e lett. s, del Codice);
- l’uso di misure e metodologie alternative non dipendenti da una specifica tecnologia (c.d. firma elettronica avanzata definita dall’art. 1, comma 1, lett. q-bis del Codice.
Gli articoli del Codice appena richiamati riguardano nell’ordine: La firma elettronica corrisponde all’insieme dei dati in forma elettronica, allegati o connessi ad atti o fatti giuridicamente rilevanti contenuti in un documento informatico, utilizzati come metodo di identificazione informatica in quanto riconducibili all’autore. Valenza giuridica: l’anzidetta sottoscrizione elettronica attribuisce al documento informatico un valore probatorio liberamente valutabile dal giudice in fase di giudizio, in base alle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. La valutazione delle dette caratteristiche avviene in specie ex post poiché gli utilizzatori della firma elettronica non potranno conoscerne con certezza preventivamente gli effetti sotto il profilo probatorio e, nei limiti di legge, sotto il profilo sostanziale (idoneità della firma elettronica ad integrare la forma scritta). N.B.: Al corretto svolgimento del processo di identificazione consegue la possibilità di associare, con sufficiente certezza, il documento (considerato in senso lato quale la rappresentazione informatica di fatti, atti o dati giuridicamente rilevanti) al suo autore; il collegamento si rafforza grazie anche alla conservazione dei riscontri informatici, costituiti dai log di sistema e applicativi, che testimoniano il processo di identificazione e le conseguenti operazioni informatiche associate all’utente identificato. Ma le firme elettroniche possono assumere forme e modalità diverse purché capaci, quanto meno, di identificare l’autore dell’operazione informatica in concreto effettuata. Grazie anche alle misure adottate per rendere sicuro il processo di firma rispetto ad eventi non desiderati o azioni malevoli che sfruttino la vulnerabilità del processo o degli strumenti utilizzati allo scopo; o che inibiscano la modifica e l’alterazione del prodotto del processo che, altresì, deve condursi in base a standard qualitativi generalmente apprezzati e condivisi. La firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato – rilasciato da certificatori accreditati che garantisce l’identificazione univoca del titolare – realizzata mediante un dispositivo sicuro (token, usb, smart card o HSM) per la creazione della firma La firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato (n.d.r. la mancata indicazione del dispositivo sicuro per la generazione della firma digitale parrebbe ai più un errore oggi superabile con le prescrizioni al riguardo contenute nel D.P.C.M. del 22 febbraio 2013) e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, una diretta per cifrare e una inversa per decifrare, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, di garantire e verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. Valenza giuridica: Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’art. 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 c.c. Le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale (art. 21, commi 2 e 2-bis, del Codice). I processi di firma di che trattasi vengono utilizzati, per esempio, per la conclusione di: contratti di trasferimento della proprietà di beni immobili; contratti di costituzione o di modifica del diritto di usufrutto, di superficie, di servitù prediali, del diritto d’uso e di abitazione; contratti di locazione di beni immobili; atti di divisione di beni immobili e di altri diritti reali immobiliari. N.B.: Quel che rileva in ordine ai detti processi di firma è la predeterminazione del valore sostanziale (idoneità di forma scritta anche quando richiesta a pena di nullità) e quindi probatorio del documento informatico sottoscritto con la firma elettronica qualificata o digitale. Il legislatore, così facendo, imposta a priori i parametri di affidabilità degli strumenti e dei processi di firma. In ogni caso, riduce ab origine le incertezze e le ambiguità conseguenti per esempio all’uso della firma elettronica tout court, perché riconosce in essi, e per le loro concrete caratteristiche indipendentemente dal giudizio a posteriori rimesso al sindacato di un togato, i requisiti di qualità, sicurezza, integrità e immodificabilità. E altresì di non ripudiabilità nel senso che quanto meno la firma digitale è sempre vera e sostanzialmente ineludibile la sua associazione al titolare del certificato e/o del dispositivo di firma. La prova contraria, a carico del titolare (inversione dell’onere della prova) non può essere raggiunta mediante i comuni mezzi offerti dal legislatore (ovvero il disconoscimento e la conseguente procedura di verificazione di cui agli artt. 214 e s.s., c.p.c) ma deve basarsi sulla diligenza del suddetto nella conservazione e nell’utilizzo della chiave privata. La firma elettronica avanzata: è l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. La firma grafometrica: corrisponde alla soluzione di firma elettronica avanzata che sfrutta i dati biometrici del sottoscrittore. Ovvero decifra (mediante il c.d. template) le informazioni dinamiche associate all’apposizione di una firma autografa su appositi dispositivi di acquisizione (c.d. tavolette grafometriche o dispositivi tablet di uso generale). Per detto procedimento di firma si impongono cautele particolari quali quelle ad esempio:
- i modelli grafometrici, che risultano dalle operazioni di acquisizione dei dati biometrici, non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta, venendo memorizzati in forma cifrata, all’interno dei documenti informatici sottoscritti, tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata e certificato digitale emesso da un certificatore accreditato ai sensi dell’art. 29 del Codice dell’amministrazione digitale;
- l’accesso al modello grafometrico cifrato avviene nei soli casi in cui si renda indispensabile per l’insorgenza di un contenzioso sull’autenticità della firma e a seguito di richiesta dell’autorità giudiziaria. Le condizioni e le modalità di accesso alla firma grafometrica sono dettagliate nell’informativa resa agli interessati.
Valenza giuridica: vale quanto detto per firma elettronica qualificata e digitale fatto salvo che la firma elettronica avanzata può essere applicata assicurando i relativi effetti solo in riferimento agli atti di cui all’art. 1350, primo comma, n. 13, del codice civile ovvero a quelli non aventi ad oggetto beni immobili ma che pur sempre richiedono la forma scritta a pena di nullità come ad esempio: i contratti in ambito bancario, sanitario e assicurativo. Altresì la firma elettronica avanzata può essere utilizzata limitatamente ai rapporti giuridici intercorrenti tra il soggetto sottoscrittore e chi eroga la relativa soluzione (o ne fruisce per mezzo di fornitori specializzati e la mette a disposizione dei sottoscrittori). N.B.: Per la prima volta il D.P.C.M. del 22 febbraio 2013 provvede a specificare la reale portata della firma elettronica avanzata. Prima dell’adozione delle regole tecniche di cui al decreto richiamato essa era un ibrido indefinito e per lo più assimilata alla firma elettronica semplice di cui condivide, a tutt’oggi, l’assenza di una tecnologia specifica. In particolare: la firma elettronica avanzata Un approfondimento maggiore viene destinato, nel presente vademecum, alla firma elettronica avanzata per l’effetto dirompente che ha avuto dopo la sua definitiva disciplina. La disamina quindi prosegue con l’analisi de:
- le caratteristiche dominanti: la realizzazione di soluzioni di firma elettronica avanzata è, per espressa previsione del decreto (art. 55, comma 1, del D.P.C.M. del 22 febbraio 2013), libera e non è soggetta ad alcuna autorizzazione: ciò che rileva è il soddisfacimento di una serie di condizioni oggetto di indicazione, per lo più, tassativa, a prescindere da quali siano le modalità per garantirle.
- i requisiti essenziali: l’art. 55, comma 1, del decreto richiamato prevede che la soluzione in esame garantisca:
- l’identificazione del firmatario del documento;
- la connessione univoca della firma al firmatario;
- il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma (è il caso della c.d. firma grafometrica);
- le verifiche di immodificabilità del documento informatico sottoscritto;
- le possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
- l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, i fatti o dati nello stesso rappresentati;
- la connessione univoca della firma al documento sottoscritto.
N.B.: in assenza di una tecnologia assimilabile a quella dapprima analizzata in riferimento alla firma digitale e a quella elettronica qualificata, che, per intrinseca natura e anche per mezzo dei requisiti esteriori di qualità e di sicurezza, sono capaci di soddisfare, almeno presuntivamente, le condizioni dette, le garanzie richieste alla firma elettronica avanzata hanno bisogno di una organizzazione delle soluzioni prescelte e dei processi presupposti del tutto particolare. E sicuramente irrinunciabile visto che il decreto, all’art. 55, comma 2, stabilisce che la firma elettronica avanzata generata in violazione di quanto disposto da una o più delle prescrizioni ivi previste non soddisfa i requisiti di cui agli articoli 20, comma 1-bis, e 21, comma 2, del Codice; Gli attori principali: le garanzie richieste per i sistemi di generazione delle firme in esame e per le relative soluzioni applicative, devono essere adottate da: coloro che la erogano nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, commerciali e societari realizzandoli in proprio o mediante fornitori prescelti ad hoc; coloro che, in qualità di fornitori, erogano la soluzione quale oggetto di attività di impresa a favore della committenza abituale. L’onere in capo a tali soggetti si considera soddisfatto se essi organizzano il servizio in modo da garantire:
- l’identificazione certa dell’utente (tramite un valido documento di riconoscimento); la predisposizione di termini e condizioni per l’uso del servizio, comprese eventuali limitazioni di uso, e la dichiarazione di accettazione delle condizioni del servizio da parte dell’utente quale conditio sine qua non per l’attivazione del servizio medesimo (pertanto si impone la necessità di rendere la scelta libera a fronte di opportune alternative e, nel caso effettuata, rinunciabile);
- la conservazione per venti anni delle informazioni riferite all’utente, alla sua identificazione e alle sue dichiarazioni;
- la conoscenza e la reperibilità e la pubblicazione delle informazioni relative alle caratteristiche del sistema realizzato nel rispetto dei requisiti anzidetti;
- la disponibilità, ove possibile, di un servizio di revoca del consenso all’utilizzo di firma elettronica avanzata e di un servizio di assistenza;
- la copertura assicurativa per responsabilità civile per un ammontare non inferiore a 500.000,00 euro;
Gli standard: riguardano quelli di cui alle certificazioni ISO che, per i fornitori delle pubbliche amministrazioni, sono obbligatorie. Negli altri casi, l’affidabilità delle soluzioni di firma elettronica avanzata è rimessa a chi le eroga, che, al riguardo può richiedere:
- la certificazione (nello specifico la ISO/IEC 27001) di conformità del proprio sistema di gestione per la sicurezza delle informazioni a supporto della soluzione proposta;
- la certificazione (nello specifico la ISO/IEC 15408 livello EAL) della conformità della soluzione a quanto previsto dalle regole tecniche.
N.B.: Per le sue dichiarate peculiarità, che la differenziano dalle altre firme, per inficiare la sua efficacia probatoria sarà necessario contestare la firma elettronica avanzata in quanto tale per mancanza di uno dei requisiti previsti dal D.P.C.M. del 22 febbraio 2013. Per essa presumibilmente rivivrebbe la possibilità di attivare la procedura di disconoscimento/verificazione. Pertanto, sempre presumibilmente, se il disconoscimento andasse a buon fine e quindi superasse indenne l’eventuale verificazione di cui agli artt. 214 e ss. c.p.c., per espressa previsione del decreto richiamato, renderebbe inutilizzabile il documento ai fini di cui all’art. 21, comma 2, del Codice, e, altresì, renderebbe impossibile ricorrere al libero apprezzamento del giudice in ordine alle oggettive caratteristiche di qualità, sicurezza, integrità e immodificabilità di cui all’art. 20, comma 1-bis, del Codice. Ulteriori “adempimenti”: fin da prima dell’adozione delle regole tecniche di cui al D.P.C.M. del 22 febbraio 2013 della soluzione di firma elettronica avanzata si è occupata l’Autorità garante per la protezione dei dati personali asseverando le procedure applicative adottate allo scopo mediante l’uso di dati biometrici da parte di alcuni fornitori/erogatori. Nel rispetto degli artt. 17 e 37 del D.lgs. n. 196/2003 e s.m.i. le soluzioni di tal fatta devono necessariamente sottostare ad oneri specifici che coinvolgono l’Autorità nella verifica preliminare della conformità della soluzione adottata alle misure di sicurezza e di protezione dei peculiari dati personali coinvolti (ovvero i c.d. dati biometrici) e nella notificazione del relativo trattamento. Ad oggi non è ancora definitivo il provvedimento emanato dall’Autorità in tema di riconoscimento biometrico e firma grafometrica, i cui effetti, se confermati dopo la consultazione pubblica (ormai conclusa), comporteranno l’esclusione dell’obbligo di presentare interpello preventivo ex art. 17 del D.lgs. n. 196/2003 e s.m.i., allorchè i fornitori/erogatori garantiranno di aver adottato per la loro soluzione di sottoscrizione con firma elettronica avanzata e in particolare quella c.d. grafometrica le opportune e rigide cautele stabilite dall’Autorità.
Per completezza espositiva occorre rilevare che la peculiare natura del documento sottoposto alle procedure anzidette lo qualifica (ab origine o in seguito a giudizio ex post) quale documento (nativamente) informatico. In quanto tale esso non può essere conservato se non con le modalità stabilite dal Codice e dal D.P.C.M. del 3 dicembre 2013, pena la perdita dei suoi effetti per il periodo previsto in base alle norme di legge di specifico riferimento. Il sistema di conservazione digitale garantisce allo scopo: a) l’identificazione certa del soggetto che ha formato b) l’integrità del documento; c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative; d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196 , e dal disciplinare tecnico pubblicato in allegato B a tale decreto. Articolo pubblicato su AliasLab.net