Firme elettroniche: tipologie e valore probatorio del documento sottoscritto

Prima di analizzare il quadro normativo delle firme elettroniche, è opportuna e indispensabile una digressione sul documento informatico partendo dalla sua definizione, contenuta nel d.lgs. 7 marzo 2005, n. 82 (cd. Codice dell'amministrazione digitale).

In particolare, proprio nel Codice dell'amministrazione digitale, ritroviamo all'art. 1, comma 1, lett. p), la definizione di documento informatico, quale «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti». Sempre nel CAD viene introdotta la definizione di documento analogico quale «rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti» (art. 1, lett. p-bis), d.lgs. 7 marzo 2005, n. 82).

Il documento informatico può essere inoltre munito di sottoscrizione ed il suo valore legale muta a seconda della tipologia di firma elettronica che vi viene apposta.

La normativa italiana in materia di firme elettroniche contenuta nel codice dell'amministrazione digitale è stata di recente adeguata al Regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, (cd. Regolamento eIDAS), direttamente applicabile in tutti gli Stati membri dal 1° luglio 2016.

Il Regolamento Europeo, fissa norme e procedure per le firme elettroniche, l'autenticazione web ed i servizi fiduciari per le transazioni elettroniche, definendo le condizioni per il riconoscimento reciproco e la piena interoperabilità a livello comunitario. Pertanto a seguito dell'emanazione del predetto regolamento, nel d.lgs. 7 marzo 2005, n. 82 (CAD), sono state soppresse le precedenti definizioni di firma elettronica, firma elettronica avanzata e firma qualificata e l'art. 1 comma 1-bis rimanda alle definizioni contenute nell'art. 3 del Regolamento eIDAS, mentre rimane presente, leggermente corretta, la definizione di firma digitale, che costituisce un unicum dell'ordinamento giuridico italiano.

Ad oggi, sulla base del regolamento eIDAS sussistono nel nostro ordinamento quattro tipologie di firme elettroniche che, a seconda delle loro caratteristiche di qualità e sicurezza, attribuiscono un valore probatorio più o meno forte ai documenti informatici sottoscritti.

Il regolamento eIDAS definisce, all'art. 3, n.10, la firma elettronica come “l'insieme dei dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”.

La firma elettronica semplice è detta anche “debole” o “leggera”, perché costituisce la sottoscrizione meno sicura ed affidabile ma alla quale, per espressa previsione di legge, non possono essere negati effetti giuridici (cd. principio di non discriminazione).

Si è affermato in dottrina e giurisprudenza che, anche l'invio di una semplice mail, comportando l'inserimento di una username e una password possa costituire un tipico esempio di firma elettronica semplice.

L'art. 3, n. 11 del Regolamento definisce Firma Elettronica Avanzata quella che soddisfa i requisiti di cui all'art. 26:

a) è connessa unicamente al firmatario;

b) è idonea a identificare il firmatario;

c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

d) è collegata ai dati sottoscritti in modo da consentire l'identificazione di ogni successiva modifica di tali dati.

La normativa eIDAS segue il principio di neutralità tecnologica: non individua specifici formati, ma solo standard tecnici di riferimento, ai quali possono ricondursi diverse soluzioni di firma.

Un esempio classico di firma elettronica avanzata è proprio la Firma Grafometrica.

Infatti, utilizzandosi un pennino ed un tablet, dotati di specifiche caratteristiche tecniche, vengono memorizzate delle caratteristiche biometriche che vanno ben oltre la semplice riproduzione grafica della firma autografa. Viene infatti analizzata la velocità di scrittura, la pressione del pennino sulla tavoletta nonchè l'accelerazione del movimento.

Pertanto, la firma grafometrica, rilevata previa identificazione del firmatario nel rispetto delle regole tecniche vigenti, soddisfa il requisito della connessione univoca e della identificazione certa del firmatario e del suo controllo esclusivo sullo strumento di firma.

Tuttavia, la firma elettronica avanzata può anche essere apposta mediante ulteriori strumenti tecnici quali appunto tecnologie OTP (one time password) a patto che il rilascio delle credenziali avvenga mediante una procedura che soddisfi la connessione univoca al firmatario.

Tale connessione univoca consiste di fatto nel rilascio del dispositivo di firma previa identificazione del soggetto o personalmente oppure in remoto attraverso una videochiamata o rilevazioni fotografiche.

Infine, l'art. 3, n. 12 del Regolamento eIDAS definisce la Firma Elettronica Qualificata come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”.

In aggiunta alle informazioni previste dal Regolamento, ai sensi dell'art. 28 del CAD, nel certificato di firma elettronica possono essere inseriti il codice fiscale, un codice identificativo univoco o anche altri dati pertinenti e non eccedenti rispetto alle finalità di firma come, ad esempio, l'appartenenza ad Ordini professionali, l'iscrizione in Albi, la qualifica di pubblico ufficiale.

Si tratta, ad esempio, di un attestato elettronico che collega i dati di una firma elettronica ad una persona fisica: ad esempio una SIM card con chip che contiene alcuni dati anagrafici e il codice fiscale (es: tessera sanitaria).

Come si è detto la firma digitale costituisce un unicum dell'ordinamento giuridico italiano e viene definita dall'art. 1, lett. s), CAD (recentemente modificato dal d.lgs. 26 agosto 2016, n. 179) come «un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica ed una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici».

La firma digitale, quindi, rientra nel novero delle firme elettroniche qualificate che, a propria volta, rappresentano una tipologia di firma elettronica avanzata. Tale ultima categoria di sottoscrizione elettronica raccoglie quelle firme (tra cui anche la firma digitale) in grado di incorporare, in virtù dei requisiti prescritti dall'art. 26 Reg. eIDAS, le seguenti caratteristiche:

a) connessione univoca al firmatario;

b) idoneità all'identificazione del firmatario;

c) creazione mediante dati che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

d) collegamento diretto ai dati sottoscritti, in modo da consentire l'identificazione diretta di ogni successiva modificazione agli stessi.

La firma elettronica qualificata (e quindi anche la firma digitale che ne costituisce a tutti gli effetti una species) rispetto alla semplice firma elettronica avanzata avrà due ulteriori caratteristiche fondamentali (art. 25 Reg. eIDAS):

1) gode del medesimo valore giuridico attribuito a una firma autografa;

2) qualora sia basata su di un certificato qualificato rilasciato in uno Stato membro dell'Unione Europea, sarà pienamente riconosciuta in tutti gli Stati di detta Unione.

Nella recentissima modifica del Codice dell'amministrazione digitale ad opera del d.lgs. 13 dicembre 2017, n. 217, il documento informatico assume l'efficacia di scrittura privata ai sensi dell'art. 2702 c.c. non solo quando sottoscritto con firma digitale, ma anche quando sottoscritto con altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, quando viene formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'art. 71 CAD con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore.

Solo laddove il documento informatico non presenti queste caratteristiche, l'idoneità di tale documento a soddisfare il requisito della forma scritta e il suo valore probatorio saranno liberamente valutabili in giudizio, in relazione alle citate caratteristiche di sicurezza, integrità e immodificabilità.

In virtù delle disposizioni contenute nell'art. 20 CAD, la firma digitale potrà essere definita come una tipologia di sottoscrizione elettronica connessa in maniera univoca al titolare, in grado di identificare quest'ultimo in via diretta e con il medesimo valore giuridico attribuito alla firma autografa.

L'apposizione della firma digitale su di un documento informatico ha dunque l'obiettivo di soddisfare tre distinte esigenze:

• che il ricevente possa verificare l'identità del mittente (autenticità);

• che il mittente non possa disconoscere un documento da lui firmato (non ripudiabilità);

• che il ricevente non possa modificare il contenuto del documento firmato dal mittente (integrità) (ulteriori informazioni e approfondimenti sull'argomento Firma digitale e sulle varie normative nazionali e comunitarie, sono disponibili sul sito internet dell'Agenzia per l'Italia Digitale all'indirizzo http:// www.digitpa.gov.it/firme-elettroniche-certificatori).

Ne consegue che, fatto salvo il caso in cui si scelga di utilizzare una firma elettronica leggera, in tutti gli altri casi la validità dei contratti sottoscritti con Firma Elettronica Avanzata, Firma Elettronica Qualificata o Firma Digitale assumerebbero la validità prevista dall'articolo 2702 c.c. ovvero scrittura privata facente piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.

Tuttavia, a seconda del grado di sicurezza della firma, sarà più o meno complessa per il sottoscrittore la procedura di disconoscimento.