Scopo del presente breve contributo è quello di riprendere ed ampliare le considerazioni già svolte in un precedente articolo (premere qui per leggerlo) con il quale si esprimevano perplessità circa la solidità strutturale dello strumento della firma digitale.
Giova fare una rapidissima distinzione tra i vari meccanismi di firma (per una più completa, anche se non del tutto esaustiva, disamina si rimanda ad un precedente contributo, premere qui per leggerlo).
Cominciamo con la forma tradizionale di sottoscrizione: la firma autografa. Essa consiste nella scrittura a mano del nome e cognome o di un segno distintivo utilizzato per manifestare la propria volontà.
Si caratterizza per la sua unicità, ogni firma autografa è unica per tratti e stile, rendendola difficilmente replicabile, oltre che per la sua funzione giuridica, consistente nell’attestazione dell’identità del sottoscrittore e la sua volontà di aderire al contenuto del documento, e naturalmente per la sua validità legale, come sappiamo, infatti, la firma autografa ha piena efficacia probatoria ai sensi dell’art. 2702 c.c., salvo impugnazione per falsità.
La firma elettronica, invece, possiamo definirla come un insieme di dati in forma elettronica che servono ad identificare il firmatario di un documento digitale. Tale ampia definizione comprende varie modalità, dalle firme digitali semplici (es. scansione di una firma su PDF) alle forme più avanzate.
Può assumere diverse forme, come un semplice clic su un pulsante di accettazione o l’inserimento di un PIN, e di conseguenza ha un valore probatorio limitato, o meglio, liberamente valutabile dal giudice (art. 2702 c.c.), rendendola meno sicura rispetto alle firme avanzate o qualificate. Ma comunque è ampiamente impiegata per l’accettazione di termini e condizioni on-line o per firmare documenti aziendali interni.
Non tutti sono infatti pienamente consapevoli del fatto che quando si firma digitalmente un contratto di servizio su una piattaforma on-line semplicemente cliccando su “Accetto”, si sta utilizzando una firma elettronica. Questa modalità è valida, ma in caso di contenzioso potrebbe essere difficile provare l’effettiva identità del sottoscrittore.
La firma elettronica qualificata (FEQ) è la forma più evoluta e sicura di firma digitale, in quanto garantisce l’identità del firmatario e l’integrità del documento sottoscritto. Viene creata utilizzando dispositivi sicuri, come smart card o token USB, e si basa su certificati rilasciati da prestatori di servizi fiduciari qualificati.
Ai sensi del Regolamento eIDAS (UE n. 910/2014), ha lo stesso valore probatorio della firma autografa.
Utilizza chiavi crittografiche asimmetriche per garantire l’identificazione del firmatario, garantendo inoltre che il documento non sia modificato dopo la sottoscrizione.
Ricapitolando:
| Caratteristica | Firma Autografa | Firma Elettronica | Firma Elettronica Qualificata |
|---|---|---|---|
| Forma | Manuale su carta | Digitale (varie forme) | Digitale con certificato qualificato |
| Validità legale | Piena efficacia probatoria | Valutabile dal giudice | Equivalente alla firma autografa |
| Sicurezza | Media (verificabile con perizia) | Variabile (da bassa ad alta) | Molto alta (crittografia asimmetrica) |
| Utilizzo tipico | Contratti immobiliari, testamenti | Accettazione termini on-line | Atti notarili, contratti digitali vincolanti |
A differenza della firma autografa, però, la firma qualificata soggiace ad un termine di validità, il quale è indicato nel certificato qualificato di firma. Se il certificato è stato revocato, è scaduto o è stato temporaneamente sospeso, la firma può essere comunque apposta, mancando un meccanismo automatico di controllo. In questi casi, tuttavia, ciò equivale a mancata sottoscrizione, quindi l’atto non produrrà alcun effetto dal punto di vista dell’imputazione; solo nell’ipotesi di sospensione successivamente annullata, grazie all’effetto retroattivo dell’annullamento, la sottoscrizione effettuata può invece riacquistare valore giuridico.
Quindi, se il certificato è scaduto o è stato revocato o sospeso temporaneamente, la firma digitale qualificata può comunque essere apposta, ma tale firma non avrà valore giuridico. In altre parole, la firma digitale qualificata deve essere valida al momento dell’apposizione per avere valore legale.
Dall’altro lato la firma autografa produce un segno permanente sul supporto materiale, lasciando un’impronta fisica e inequivocabile dell’atto di sottoscrizione. La sua validità deriva dal fatto che l’inchiostro si fissa in modo indelebile sul foglio, garantendo che l’integrità del documento resti inalterata, poiché qualsiasi tentativo di alterazione risulterebbe evidente, oltre che l’autenticità della firma possa essere verificata tramite perizia grafologica.
Per preservare il valore giuridico della firma autografa, è essenziale qundi garantire la conservazione fisica del supporto in ambienti sicuri per evitare deterioramenti o manipolazioni e la protezione da contraffazioni, ad esempio mediante l’utilizzo di carta filigranata o timbri di sicurezza.
Ad esempio in un contratto di compravendita immobiliare su carta, la firma autografa dell’acquirente e del venditore testimonia l’accordo raggiunto e rende difficile contestare l’autenticità del documento. Una eventuale alterazione del contenuto o una sostituzione delle pagine sarebbe rilevabile grazie all’integrità del supporto fisico e dei segni grafici.
A differenza dei documenti cartacei, il documento informatico è invece totalmente dematerializzato. Non si tratta di un supporto fisico, ma di una stringa numerica composta da bit organizzati in modo logico attraverso un procedimento tecnico-matematico. Di per sé, il documento informatico è illeggibile senza l’ausilio di un dispositivo tecnologico (computer, smartphone, server).
Per garantire allora il valore legale di un documento informatico, è necessario assicurare l’inalterabilità della logica matematica che ne costituisce la struttura digitale, e la leggibilità nel tempo, indipendentemente dall’evoluzione tecnologica e dai cambiamenti degli standard informatici.
Ad esempio, un contratto digitale firmato elettronicamente deve rimanere leggibile e verificabile anche dopo anni, nonostante l’eventuale obsolescenza dei software o dei formati di file utilizzati.
La firma digitale è uno strumento tecnico-informatico basato su algoritmi di crittografia asimmetrica, che garantisce integrità del documento, impedendo modifiche non rilevabili dopo la firma e autenticità e non ripudio, certificando in modo certo l’identità del firmatario.
Il procedimento crittografico si svolge essenzialmente in due fasi:
- codifica del documento attraverso una chiave privata univoca del firmatario;
- verifica della firma mediante la chiave pubblica corrispondente.
L’affidabilità della firma digitale dipende quindi inevitabilmente dalla potenza di calcolo degli strumenti informatici. Ed il problema, in questo caso, è che con l’evoluzione tecnologica, aumenta proporzionalmente la capacità di decodifica, rendendo potenzialmente vulnerabili i documenti firmati con algoritmi meno avanzati. Senza voler fare alcun annuncio tragico, con l’avvento del calcolo quantistico, l’integrità di tutti i documenti su cui è apposta (o non apposta) tale firma è seriamente compromessa.
Ecco che allora diventa essenziale garantire la data certa di un documento informatico al fine di tutelarne l’efficacia probatoria. La data certa attesta che il documento esisteva in un momento specifico e non è stato modificato successivamente.
Ai sensi dell’art. 20, comma 3 del CAD (D.Lgs. n. 82/2005), la data e l’ora di formazione del documento informatico sono opponibili ai terzi solo se apposte conformemente alle Linee guida AgID, che prevedono essenzialmente due tipi di riferimenti temporali: la marca temporale e la validazione temporale elettronica.
La prima la possiamo definire come un collegamento crittografico tra documento e data, certificato da un prestatore di servizi fiduciari qualificato. La seconda, invece, prevista dal Regolamento eIDAS (UE n. 910/2014), garantisce che il documento esisteva in una data specifica mediante un sigillo elettronico avanzato.
Anche il sistema di conservazione a norma assicura autenticità, integrità, affidabilità, leggibilità e reperibilità del documento informatico. Ai sensi dell’art. 44, comma 1-ter CAD, tale sistema deve essere conforme alle Linee guida AgID.
Infine vi è la PEC, che fornisce data certa mediante una ricevuta che attesta l’invio e la ricezione del messaggio, firmata digitalmente dal gestore del servizio.
Ora, volendo tirare le somme, possiamo affermare che la differenza tra documenti cartacei e documenti informatici risiede principalmente nel supporto materiale e nella modalità di conservazione dell’integrità. Se la carta garantisce immutabilità fisica, i documenti digitali richiedono invece aggiornamento costante degli algoritmi crittografici per resistere all’evoluzione tecnologica, sistemi di crittografia avanzata per assicurare autenticità e integrità e validazione temporale per garantire la data certa.
Quindi sebbene la firma digitale rappresenti uno strumento fondamentale nell’ecosistema giuridico e commerciale digitale, presenta forti criticità strutturali che ne limitano l’affidabilità nel tempo. La vicenda delle smart-card francesi (di cui al precedente contributo, premere qui per leggere) ha dimostrato come la validità dei certificati possa essere compromessa da decisioni unilaterali dei certificatori, esponendo documenti firmati digitalmente al rischio di perdita di valore giuridico.
Questa precarietà evidenzia una dipendenza intrinseca dalla volontà dei fornitori di certificati, i quali potrebbero decidere di ritirare o invalidare certificati in qualsiasi momento, compromettendo l’efficacia della firma. Tale vulnerabilità è ulteriormente aggravata dall’obsolescenza tecnologica: la crescente potenza di calcolo e l’evoluzione degli algoritmi crittografici possono infatti rendere insicure firme digitali precedentemente ritenute affidabili.
Inoltre, l’art. 24 comma 4-bis del Codice dell’Amministrazione Digitale stabilisce che la firma basata su un certificato scaduto, revocato o sospeso equivale a mancata sottoscrizione. E ciò ha alimentato un dibattito interpretativo su una possibile perdita di validità retroattiva delle firme apposte con certificati successivamente invalidati, mettendo in discussione la certezza del diritto in ambito digitale.
Si rende quindi necessario, a nostro sommesso avviso, un intervento legislativo che chiarisca tali aspetti e che, al contempo, promuova l’evoluzione delle modalità di autenticazione e sottoscrizione digitale. L’approccio dovrebbe guardare oltre l’equiparazione tra documento informatico e documento analogico, valorizzando nuove tecnologie come la Carta d’Identità Elettronica per l’identificazione certa delle parti e garantendo una maggiore resilienza dei sistemi di validazione.
L’ecosistema giuridico digitale richiede dunque strumenti normativi innovativi e una costante attenzione all’evoluzione tecnologica, affinché la firma elettronica possa continuare a svolgere il suo ruolo di garante di autenticità, integrità e valore probatorio dei documenti informatici, senza incorrere nei limiti e nelle criticità emerse sino ad oggi.
Per approfondire:
A. FUMAGALLI & G. SANTINELLI, La firma elettronica e il diritto, Torino, 2018;
A. MARCHETTI & F. ZANICHELLI, La firma digitale e le altre firme elettroniche: aspetti teorici, giuridici e tecnici, Milano, 2015;
A. LANZA, Firma digitale e firma elettronica qualificata: profili di diritto comparato, Torino, 2017;
P. CERAVOLO, La firma digitale e la sua valenza giuridica, Napoli, 2018;
G. DE VINCENTIIS, La firma elettronica, Padova, 2016;
A. SCIALO' & G. VELTRI, La firma elettronica: aspetti giuridici e tecnici, Roma, 2018;
R. GRISERI & R. SARDELLA, La firma elettronica: aspetti giuridici e tecnologici, Milano, 2019;
S. CANTARELLA, Firma elettronica e documento informatico, Milano, 2018;
G. CORRADI & L. DOSSENA, La firma digitale e la conservazione dei documenti informatici, Milano, 2015;
R. DI PIETRO, La firma elettronica: profili teorici e applicativi, Napoli, 2019;
G. BALDINI & G. SANTUCCI, Le firme elettroniche: aspetti tecnici e giuridici, Milano, 2010.
CEN/TC 224, Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates, Bruxelles, 2004.
A. D'ANGELO & M. LIGUORI, La firma elettronica nel diritto italiano ed europeo, Torino 2018;
F. GALLUCCI & A. ZORZELLA, La firma digitale: guida pratica all'uso, Roma, 2017;
F. RICCIARDELLI, La firma elettronica avanzata nel processo civile telematico, Napoli, 2019.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Quando l’algoritmo prende il posto del giudice: realtà o finzione giuridica? - 7 Aprile 2025
- Giustizia predittiva: promessa evolutiva o rischio sistemico? - 31 Marzo 2025
- Perché l’intelligenza artificiale nel diritto può cambiare tutto (ma non da sola) - 24 Marzo 2025
- Data poisoning: l’avvelenamento silenzioso dell’intelligenza artificiale - 17 Marzo 2025
- Minori e intelligenza artificiale: opportunità straordinarie e rischi nascosti - 10 Marzo 2025
