Le Firme Elettroniche

Premessa:

Vi è mai capitato di andare alle Poste e vi chiedano di firmare qualcosa su un piccolo tablet ?!

Ecco, spesso gli operatori vi dicono: ‘Deve fare la firma digitale..’ . → QUELLA NON E’ UNA FIRMA DIGITALE! È una firma elettronica!

Firma Digitale non è sinonimo di firma elettronica.

La firma di contratti e documenti in formato digitale ha suoi vantaggi oggettivi. La digitalizzazione dei processi di firma consente infatti di:

• firmare i documenti anche da remoto e da più persone
• conservare con maggiore sicurezza e ordine tutta la documentazione, risparmiando spazio
• risparmiare i soldi della carta

Ha inoltre molti altri vantaggi legati all’accelerazione dei processi interni e nella chiusura delle compravendite.

L’errore più comune tra gli utenti non esperti è pensare che la firma digitale (o la firma elettronica, vedremo di seguito la differenza), abbia a tutti gli effetti l’aspetto di una firma e sia eseguita con una sorta di “penna digitale”. Come vedremo, non è così: usiamo sistemi di firma da remoto molto più spesso di quanto immaginiamo.

I principali riferimenti normativi:

Per quanto riguarda la formazione, gestione e conservazione dei documenti informatici, esistono tre regolamentazioni principali, a livello europeo e nazionale:
– eIDAS (o regolamento UE 910/2014): il regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, ha valore in tutta Europa;
– CAD (Codice Amministrazione Digitale): istituito con il Decreto Legislativo del 7 marzo 2005 n. 82, ha valore in Italia e si appoggia alla normativa del Codice Civile;
– linee guida AGID (Agenzia per l’Italia Digitale), che a settembre 2020 ha emanato delle nuove linee guida;

La definizione di “documento informatico”

La normativa in materia di documenti e firme, si è detto, è molto precisa. Per sciogliere ogni dubbio sulla rilevanza di un documento informatico rispetto a un documento cartaceo – che agli occhi di molti risulta ancora “più valido” – il Codice dell’Amministrazione Digitale (CAD), Art. 1 lettera p) definisce il “documento informatico” come un “documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

Ad avvalorare questa definizione del CAD, l’Art. 46 dell’eIDAS stabilisce anche il principio di non discriminazione tra un documento elettronico e uno cartaceo: “A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.”
In pratica: il documento elettronico ha lo stesso valore del documento cartaceo in tutta l’UE.

Il Codice della Amministrazione digitale, il c.d. CAD, emanato con D. Lgs. 7 marzo 2005, n. 82 in attuazione della legge n. 229 del 2003, è la fonte normativa più importante quando parliamo di firme elettroniche perché è quella che le definisce e che stabilisce il valore di questi strumenti informatici e giuridici nel nostro Ordinamento Giuridico. Il D.LGS. 26 AGOSTO 2016, N. 179 ha soppresso diverse lettere e commi dei vari articoli del C.A.D., facendo sì che la Normativa, confaciente le Firme Elettroniche, fosse riorganizzata. Tuttavia, alcune di queste lettere soppresse contenevano le definizioni originali e pertanto, nel corso di questo articolo, verranno riproposte per semplicità espositiva.

Le Firme Elettroniche:

Nel nostro Ordinamento vi sono 5 tipi di firme elettroniche:

La Direttiva Europea 93/1999 ha introdotto le prime 3 tipologie di firme elettroniche che ogni Stato Membro avrebbe dovuto adottare nel proprio Ordinamento Giuridico.
Tuttavia, nel nostro Paese, quest’ ultime si sono aggiunte a un’altra che era già presente nell’Ordinamento italiano fin dal 1997: la c.d. “Firma digitale”.

Pertanto, nel nostro Ordinamento abbiamo 5 tipologie di firme: 3 di origine europea, una tipica italiana, la firma digitale e infine la Firma con SPID:

1. Firma elettronica (generica, o semplice) per non confonderla con la categoria generale delle firme elettroniche;
2. Firma elettronica avanzata;
3. Firma elettronica qualificata;
4. Firma digitale;
5. Firma con SPID;

→ Le prime 4 firme elettroniche sono messe in ordine di sicurezza crescente, ovverosia la firma elettronica (generica o semplice) assicura il più basso grado di sicurezza mentre la firma digitale, il più alto.
La Firma con SPID è un caso a sè e sarà oggetto di un successivo articolo.

Da punto di vista giuridico perché è importante questo ?

• Perché ovviamente, più è “delicato” l’atto o il documento a cui bisogna apporre una firma, maggiore deve essere la sicurezza dello strumento con cui si firma.

La Firma Elettronica Semplice:

ART.1 C.A.D. definisce la Firma elettronica GENERICA o SEMPLICE come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

Anche se nel sopracitato Codice la troviamo definita come semplicemente firma elettronica; la distinzione con ‘generica o semplice‘ è per distinguerla dalla categoria di firma elettronica.


Questa è una delle tipologie di firma che usiamo più spesso. Per firma elettronica semplice infatti si intende un insieme di dati elettronici associati ad altri dati elettronici per l’identificazione informatica.
L’esempio più banale di firma elettronica semplice? Nome utente e password per accedere a un servizio online, ma anche il pin del bancomat.
Ma attenzione: la firma elettronica semplice non può considerarsi sicuramente valida dal punto di vista legale, perché il suo valore probatorio è determinato dal giudice. Non prevede, infatti, un’identificazione sicura e univoca di chi firma.

Ragioniamo insieme:

• Un semplice accesso con le credenziali non può essere una firma elettronica. infatti, per esempio, La PEC è un qualcosa di più complicato e ulteriore, e non è una firma elettronica generica così come vedremo nel dettaglio successivamente;
• Voi con la firma che cosa fate ? Che cosa firmate? Nome, cognome ? Facciamo così: voi avete un bancomat ? Allora, quando vi servono dei soldi,usate il bancomat ma lo potete usare semplicemente utilizzando un PIN: questa è la differenza tra la firma elettronica generica e firme elettroniche più robuste: Quando voi usate il bancomat e lo inserite nell’ATM che cosa state facendo ? State usando un metodo di identificazione che vi richiede un pin e nel momento in cui voi digitate quel pin state apponendo una firma elettronica.
  Questa firma è associata a dei dati, ovverosia: ci sono dei dati che corrispondono ad un certa tessera magnetica da bancomat che devono corrispondere ad altri dati ( il PIN) , QUINDI AVETE APPENA UTILIZZATO UNA FIRMA ELETTRONICA GENERICA – dati associati a dati – ma nessuno vi viene a chiedere di dimostrare che siete in reale titolare della bancomat, non c’è un modo in questo caso di assicurarsi che chi sta usando il bancomat sia il legittimo titolare del contocorrente.
• Voi usate dei servizi con lo smartphone; alcuni servizi sono a pagamento, ad esempio mandando un SMS; quando vi abbonate a un servizio, avete stipulato un contratto quindi quando mandate un sms con lo scritto ‘si ‘, voi avete espresso un consenso e per concludere quel contratto è sufficiente UN SMS, in cui dati sono associati ad una certa sim; anche qui non vi è accertamento di una persona→
  Avete appena concluso un contratto con una firma elettronica generica. Potete essere chiunque a mandare quel sms.
  

Finchè si tratta di un semplice servizio di pagamento, le sopracitate modalità vanno bene ma se dovessimo acquistare una carta di credito, potremmo utilizzare tali metodi?
Assolutamente no! Avremmo bisogno di una firma elettronica con una sicurezza maggiore.

→ La firma elettronica semplice comporta esclusivamente una associazione tra dati. ( tessera bancomat – PIN ; Carta telefono – SMS ecc)

La Firma Elettronica Avanzata:

La domanda è? Allora le altre firme che cosa associano ? Associano qualcos’altro di ben diverso:

La firma elettronica avanzata è un gradino sopra in termini di sicurezza rispetto alla firma elettronica semplice, perché prevede:
– l’identificazione di chi sta firmando;
– la corrispondenza univoca tra chi sta firmando e la firma;
– il controllo esclusivo, da parte di chi sta firmando, sul sistema di generazione della firma;
– l’integrità del documento, che non può più essere modificato una volta firmato (e chi firma deve essere in grado di verificare che non ci siano stati cambiamenti).

L’esempio più comune di firma elettronica avanzata è la firma grafometrica (in questo caso, disegnata su un tablet con un pennino).
Molte aziende si avvalgono invece delle OTP (One Time Password), codici univoci e temporanei inviati via SMS o con una notifica push a chi deve firmare il documento.
Dal punto di vista legale, la firma elettronica avanzata ha lo stesso valore di una firma autografa, cioè non è più valida nel momento in cui chi ha firmato presenta una querela di falso: in questo caso chi ha accettato la firma come valida dovrà dimostrarne l’originalità e la validità.

Il vecchio art. 1, lett. q-bis) recitava così:

In sintesi:
Queste firme vengono associate a un documento informatico e non semplicemente ad altri dati associati come le precedenti tipologie di firme:

‘Identificazione firmatario ‘ + ‘connessione univoca’ =

io ho nome e cognome del firmatario, dati connessi ad un nome quindi il firmatario può creare un controllo esclusivo in quanto solo il firmatario può apporre quella firma; non è come il caso del bancomat dove vi basta sapere il pin, qui no! Qui il firmatario deve essere l’esclusivo detentore di queste credenziali.
In questo caso stiamo parlando di una firma elettronica avanzata! C’è un gradino di sicurezza in più.
Ci sono dei dati associati ad una persona quindi si parla di un firmatario che deve avere un controllo esclusivo su queste credenziali.

Perché sono definite firme elettroniche avanzate?

Teoricamente una firma grafometrica piò essere fatta semplicemente dal titolare effettivo.

Hai mai firmato al posto di tuo padre sotto pressione del corriere? Beh, Teoricamente hai commesso un illecito!

Il corriere che arriva non ti chiede il documento, metti la firma e lì finisce: Questa firma ha valore fino a quando l’interessato non riesco a disconoscerla instaurando un apposito procedimento giudiziale.

Le Firme Elettroniche Qualificate:

Anche la firma elettronica avanzata non assicura un alto livello di sicurezza informatica.

Per tale ragione, l’Ordinamento Giuridico Europeo ha previsto un’altra tipologia di firma elettronica con un grado di sicurezza superiore.

LA FIRMA ELETTRONICA QUALIFICATA secondo il vecchio art. 1, lett. r) del C.A.D.

La firma elettronica qualificata ha tutte le caratteristiche della firma elettronica avanzata, ma deve essere creata da un dispositivo sicuro (con token o smart card) e con l’intervento di una terza parte, un ente certificatore che emetterà un certificato di integrità del documento.

Cosa significa? E Cosa sono i token e le smart card? Solitamente i token e le smart card sono rilasciate dall’ente certificatore stesso, e hanno la forma di una tessera o di una pennetta usb, al cui interno è inserita una sim. Tramite un programma installato sul computer, e l’inserimento della smart card o del token nello stesso computer, si potrà poi procedere alla firma del documento.
Dal punto di vista legale la firma elettronica qualificata è più sicura, perché nel caso in cui chi firma non riconosca di aver firmato quel documento dovrà poi lui stesso provare la falsità della firma.

Come è possibile leggere dalla definizione, una firma elettronica qualificata è una firma che rinvia ad un certificato e quindi un’autorità di certificazione.

• Qualcuno di voi usa l’home banking ? Facciamo questo esempio:

Partiamo dall’inizio: voi avete avete un conto corrente gestibile online. La prima cosa che dovete fare è autentificarvi sul sito con un nome utente ed una password.
Quelle credenziali sono sufficienti per fare un bonifico ? NO!

Voi semplicemente entrate sulla vostra pagina del sito e vedete magari quanti soldi vi sono rimasti sul conto ma non potete disporre di questi soldi. Infatti non basta solo il nome utente e la password, che sono semplici dati associati a dati, ma è necessario qualche cosa di più:
Quella famosa chiavetta come l’avete avuta voi ? Vi è arrivata per posta ? Dove l’avete ritirata ? (-In banca) E in banca che cosa vi hanno chiesto ? Un Documento quindi siete stati identificati e l’impiegato della banca certifica che ha consegnato l’oggetto a voi e non ad altri; il certificato dov’è? Voi forse non vi ricordate ma quando vi è stato consegnato, voi avete anche firmato un documento con il contraente che non è la banca, ma è un’autorità di registrazione.

In questo contratto voi vi impegnate a custodire lo strumento e questo può essere associato anche a ulteriori strumenti dei quali dovete comunque mantenere l’utilizzo esclusivo.

Cosa fanno queste autorità? Certificano che una certa utenza appartiene a un certo soggetto e non ad altri; inoltre, il tutto è associato a un certificato digitale che corrisponde essenzialmente al vostro token.

Queste sono tutte garanzie di sicurezza che vi tutelano dalle truffe di home banking, ma che sono anche , più in generale, a tutela di uno strumento che può avere una validità giuridica superiore rispetto alla firma elettronica generica(dati associati a dati) o alla firma elettronica avanzata(dati associati ad un documento).

La Firma digitale:

Come già anticipato, tale tipologia non è stata dettata dall’UE ma era già presente in Italia dal 1997.

Prima di affrontare questo argomento che è un po’ complicato, facciamo una sintesi di quanto fin qui detto, mostrando le differenze principali fra le varie firme elettroniche fin qui viste:

Tornando alla nostra Firma Digitale, possiamo dire che questa è una firma elettronica qualificata con una particolarità:
Un sistema di chiave crittografiche asimmetriche.

• L’art.24 C.A.D. ci fornisce la definizione di Firma Digitale e ne stabilisce le caratteristiche principali:

Praticamente quest’ultima Norma stabilisce che la firma digitale può sostituire tutta una serie di strumenti che ormai appartengono alla preistoria e che possono essere sostituiti con la firma digitale.

Che cos’è la firma digitale?

Ovviamente è diversa da una firma autografa, e non tanto per il valore giuridico ( che è identico ) ma perché materialmente consiste in qualcosa di diverso.
Non è il prodotto diretto di un comportamento umano. E’ una fattispecie giuridica complessa, che risulta da una combinazione di comportamenti di diversi attori, in particolare tra voi e il certificatore.
Da un punto di vista meramente tecnico, questa firma digitale è una lunghissima stringa di caratteri, priva di senso di per sé.
Ha senso soltanto perché questa lunghissima striscia di caratteri è associata ad una identità digitale.

La firma digitale rispetto alla firma elettronica qualificata condivide il discorso del certificato, tuttavia ha qualcosa in più: La criptazione asimmetrica.

La chiave che permette di criptare un messaggio e la relativa chiave di decriptazione sono distinte e non è possibile risalire dall’una all’altra.

E’ questo il significato banale di criptazione asimmetrica: Esistono due chiavi e non soltanto una.

Ricapitolando:

La firma digitale è un particolare tipo di firma elettronica qualificata, che utilizza un sistema di “chiavi asimmetriche”: ogni firmatario dovrà avere una chiave crittografica, di cui una parte pubblica e una parte privata. Chi invia il documento lo “tradurrà” in codice sulla base della parte pubblica della chiave che gli è stata fornita dal firmatario, il quale lo de-cifrerà a sua volta con la parte privata.

Che cos’è la criptazione:

La Criptazione è una codificazione particolare che viene utilizzata per nascondere e per non fare leggere un certo messaggio a chiunque; questo è un messaggio scritto in codice, un messaggio criptato.

Voi come fate a decriptare un messaggio in codice ? Dovete sapere o avere che cosa ?

Esistono due metodi:

Storicamente, le tecnologie di criptazione, la criptografia, nasce per uso militare.
Gaius Iulius Caesar è stato il primo ad inventare un metodo di criptazione. Ha inventato il cifrario di Caesar che serviva per mandare dei messaggi alle proprie unità militare; anche se fossero caduti nelle mani dei nemici, sarebbero stati illeggibili: Funzionava con uno sistema di criptazione simmetrica ovverosia la chiave, con cui viene criptato uno messaggio, è la stessa chiave con cui tu puoi decriptare il messaggio.

Se io uso le lettere le lettere del alfabeto A, B, C, io posso scrivere un messaggio dove in realtà la ‘ A’ è spostata di una posizione ( cioè A diventa B ; poi B diventa C ecc) . Questo è un sistema assolutamente banale; è un sistema veramente facile anche se può disorientare qualcuno. → questo è un sistema di criptazione simmetrica, perché voi criptate il messaggio.

Io scrivo ‘ CASA’ , ma invece di scrivere ‘CASA’ scrivo : DBTB ) perché è simmetrico ? Perché così come io ho criptato con questa chiave, (la lettera spostata di una posizione), per decriptarlo farò l’inverso. Torno indietro di una posizione e ritrovo il testo originale.

Quelli a criptografia simmetrica sono tutti sistemi che assicurano una sicurezza relativa. Nel senso che se il messaggio cade in mano al nemico, questo prima o poi riesce a decriptarlo sopratutto se ha a disposizione un computer che ha una serie di opzioni così come lo era la macchina enigma di Alan Turing durante la Seconda Guerra Mondiale.

I sistemi più efficaci funzionano con una criptografia asimmetrica, ovverosia vi è una chiave per cifrare ed un altra chiave per decifrare.

Per esempio: CIA → KGB → B

Voi siete degli agenti infiltrati nella CIA nella Mosca e dovete fare arrivare un messaggio in codice tramite una posta elettronica primitiva ( oppure classica) a qualcuno negli USA. Non potete scrivere un messaggio in inglese, perché tutti lo sanno , Putin conosce bene l’inglese. Dovete fare arrivare questo messaggio in codice perchè questo messaggio può essere intercettato.
Come fate ad essere veramente sicuri che questo messaggio, anche se dovesse arrivare nelle mani della KGB , non potrà essere decriptato ?

Vi fate prima spedire dal agente segreto B un pacco, in questo pacco c’è un lucchetto aperto quindi voi avete un lucchetto aperto e cosa fate ? Prendete il vostro messaggio lo mettete in una scatola che chiudete con il lucchetto di B e la chiave che il lucchetto di B ce l’ha esclusivamente lui. Insieme al pachetto di B mettete anche il vostro lucchetto aperto.

QUINDI:
in quello che voi mandate a B ci sarà un pacco chiuso con il lucchetto di cui la chiave che ha solo B più un lucchetto aperto con la chiave che avete soltanto voi.

Cosa succede ?

Se aveste mandato questo pacco con la chiave inserita del lucchetto e il lucchetto vostro e la chiave inserita è la vostra, la KGB non ci mette molto ad aprire questo lucchetto.

Invece voi che cosa avete fatto ? Avete chiuso il vostro lucchetto con un sistema di criptazione la cui chiave è custodita solo da B.

E voi conserverete la chiave per aprire il lucchetto che voi avete spedito a B e che B vi manderà indietro con il suo messaggio di risposta. Quel lucchetto che chiude il pacchetto che B vi manda indietro può essere aperto esclusivamente con la chiave che voi avete. La chiave che B ha per aprire il vostro lucchetto e la chiave che voi avete per aprire il lucchetto di B, sono chiavi che non si muovono da queste due posizioni: Per questa ragione si chiamano Chiavi private, le quali rimangono sempre e soltanto ai titolari di un certo strumento.

Questo è il modo in cui funziona esattamente la firma digitale: Voi fate partire un messaggio con una chiave pubblica, che può anche essere intercettata, ma quella chiave da sola non è sufficiente ad aprire il messaggio.

Per aprire il messaggio B ha bisogno della sua chiave privata. Poi che cosa farà per rispondervi ?

CRIPTERA’ il messaggio con la chiave pubblica che le avete mandato, con la chiave che è transitata, rimanda indietro e a quel punto voi potete leggere quel messaggio che è stato criptato con la chiave pubblica solo e soltanto con la vostra chiave privata. = CRIPTAZIONE ASIMMETRICA.

Quando voi usate una firma digitale, ad esempio LA PEC, state facendo esattamente questo: Voi criptate un messaggio con una chiave pubblica e il destinatario la recepterà con la sua chiave privata.

La Firma con SPID:

Che cos’è la Firma con SPID?

Questa è novità introdotta dal recente “Decreto Semplificazioni” e sarà oggetto specifico di un altro articolo.
Pe ora possiamo dire che l’art. 20 C.A.D. sposta il giudizio sulla validità di questa firma in mano ai giudici, che valuteranno di volta in volta se le modalità con cui è stato firmato il documento sono sicure o meno.
È importante quindi valutare bene la sicurezza del processo con cui la Firma con SPID viene apposta al documento informatico (discorso identico per le altre firme qualificate).

Gli effetti giuridici delle Firme Elettroniche:

Gli effetti giuridici di FEA, FEQ, Firma Digitale e firma con SPID sono definiti dall’Art. 20 del CAD, che equipara a tutti gli effetti questo tipo di firme alla firma analogica: un documento a cui è apposta una firma elettronica digitale, avanzata, qualificata o con SPID sarà considerata “vera” fino che il firmatario (chi ha firmato) non esporrà una querela di falso.

La validità delle Firme Elettroniche in base alla tipologia di documento:

Alcune tipologie di documento o atto elettronico richiedono, per legge, l’apposizione di una Firma Elettronica Qualificata.
In questo caso possiamo fare riferimento all’Art 21 del CAD, che a sua volta fa riferimento all’art. 1350 del Codice Civile.

I documenti elettronici che devono essere obbligatoriamente sottoscritti, pena nullità, con una Firma Elettronica Qualificata sono quelli elencati proprio all’art 1350 del Codice Civile comma 1, numeri da 1 a 12.

Per i contratti elencati dal numero 13 in poi, c’è invece la possibilità di sottoscriverli con Firma Elettronica Avanzata o con SPID. 

Questi sono i casi in cui la forma scritta è richiesta ad substantiam.

tutte le altre scritture informatiche, in cui la forma scritta è richiesta esclusivamente ad probationem, per le quali è possibile utilizzare ogni tipo di firma (art. 1325, n. 4, c.c.).

Ad probationem che cosa significa ?

Per capire meglio riprendiamo l’art.21 C.A.D. già menzionato in precedenza:

Il documento informatico sottoscritto con le 3 tipologie di firma elettronica più robuste vale come scrittura privata ai sensi dell’art. 2702 c.c.

L’utilizzo di dispositivo di firma qualificata o digitale si presume riconducibile al titolare, salvo che questo vi dia prova contraria.
Attenzione dall’elenco cosa manca? L’avanzata!!

Quindi solo la firma qualificata e la firma digitale sono riconducibili al titolare. Quindi se un giudice se trova un contratto con firma digitale non può mettere in discussione il valore di quella firma, si presume che sia del titolare. Bisogna dimostrare, ci vorrà una prova che dimostri che non era il titolare:
Il Disconoscimento della firma.

Quando voi firmate un contratto e lo firmate con la firma digitale o qualificata si ha la presunzione che quella sia davvero vostra firma e per dimostrare che non è la vostra firma, perché voi tra l’altro vi siete impegnati a mantenere il controllo esclusivo di quel mezzo di firma, non è così semplice.

Sei un’impresa, libero professionista o Start up innovativa e
hai bisogno di un team di professionisti che ti segua passo passo nella tua attività di impresa?
Scopri la nostra rete mista tra professionisti e imprenditori


Vuoi ulteriori chiarimenti sull’argomento o semplicemente fare delle domande?
Scrivici qui sotto e ti risponderemo nel più breve tempo possibile

[bbp-single-topic id=8163]