La firma elettronica e trattata nel Capo I del CAD, che ne fornisce i principi generali, mentre i particolari sono precisati dalle regole tecniche, emanate con DPCM del 22 febbraio 2013 e pubblicate nella Gazzetta Ufficiale del 21-5-2013. Si noti comunque che la normativa sulla firma digitale era preesistente al CAD, ed è stata da questo recepita , anche se precisata ed estesa.

Discutiamo in questa sede i soli aspetti normativi. Per comprendere il funzionamento della firma digitale si rimanda invece alla dettagliata illustrazione che ne è fornita nel modulo didattico Firma digitale e marcatura temporale.

Il CAD distingue tra quattro tipi di firma:

• firma elettronica: “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite
  associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“;
• firma elettronica avanzata: “insieme di dati in forma elettronica allegati oppure connessi a
  un documento informatico che consentono l’identificazione del firmatario del documento e
  garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può
  conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da
  consentire di rilevare se i dati stessi siano stati successivamente modificati“;
• firma elettronica qualificata: “un particolare tipo di firma elettronica avanzata che sia basata
  su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della
  firma“;
• firma digitale: “un particolare tipo di firma elettronica avanzata basata su un certificato
  qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro,
  che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica,
  rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento
  informatico o di un insieme di documenti informatici“.

Il primo tipo, la firma elettronica ‘semplice’, può essere qualsiasi cosa, anche un’immagine della firma olografa incollata sul documento. E infatti vale quello che vale, e cioè poco. Il vero salto di qualità è costituito dalla firma elettronica avanzata, per la quale si pretendono sia la necessità di garantire la connessione univoca al firmatario, sia la necessità del controllo esclusivo dei mezzi di firma da parte del firmatario e sia il collegamento della firma con i dati, per garantirne la non modificabilità. Tra l’altro, questa seconda tipologia di firma è stata introdotta nel CAD nella versione del 2010 per accogliere nella normativa italiana anche la firma elettronica come specificata dalla direttiva europea.

Nella definizione di firma elettronica avanzata, non viene però specificato con quali mezzi i requisiti richiesti vengano soddisfatti. Nella definizione di firma elettronica qualificata si specifica invece un particolare schema ceh fa riferimento ad un certificato digitale qualificato, e quindi, in base alla definizione che di questo si da nel CAD, si precisa indirettamente l’uso di un particolare schema crittografico (vedi il modulo didattico  Firma digitale e marcatura temporale).

La firma digitale non è poi altro che la firma avanzata così come realizzata nell’infrastruttura italiana, sulla base di quanto previsto dal CAD. Nel merito le regole tecniche specificano anche al tipologia dei dispositivi sicuri che possono essere usati per apporre la firma, sia quelli controllati direttamente dal firmatario (smart-card) che quelli utilizzati remotamente su server, i cosiddetti  HSM (Hardware Security Module), specificandone dettagliatamente anche le procedure di omologazione.

La versione del 2010 del CAD e le regole tecniche del 2013 (che gli riservano l’intero titolo V) presentano notevoli aperture sul versante della firma elettronica avanzata. In particolare le regole tecniche precisano bene cosa si debba intendere per firma avanzata elencando una serie di requisiti per la soluzione di firma e di obblighi per i soggetti che le erogano, con uno schema in alcuni aspetti simile a quello previsto per i certificatori accreditati. Inoltre vengono indicate una serie di soluzioni di firma elettronica avanzata:

• invio tramite PEC con ricevuta completa (solo nei confronti della PA);
• utilizzo della Carat di Identità Elettronica e della Carta dei Serrvizi;
• utilizzo del passaporto elettronico (e di altri strumenti conformi).

Oltre a queste, sono già disponibili sul anche altre soluzioni di firma elettronica avanzata, in particolare la cosiddetta firma grafometrica, ottenuta su tablet tramite una speciale pen dirive e idonea a memorizzare alcune caratteristiche biometriche: velocità della firma, pressione, accelerazione.

Vala anche la pena di citare la firma elettronica remota, un particolare tipo di firma digitale, apposta tramite dispositivo HSM (Hardware Security Module), e basato sull’identificazione ed autenticazione sicura del titolare tramite vari metodi, tra cui:

• token OTP (One Time Password) del tipo quelli usati nell’home banking;
• riconoscimento grafometrico della firma autografa;
• scambio di SMS su telefono cellulare (con SIM registrata) seguito da PIN.

Per quanto riguarda il valore probatorio del documento informatico al quale è apposta firma elettronica (anche quella semplice), il CAD all’art. 21 stabilisce che esso è “liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità“. Mentre alla firma elettronica qualificata o avanzata è riconosciuta “l’efficacia prevista dall’articolo 2702 del codice civile“, e che “l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria“. Tuttavia, per le scritture private, se fatte con documento informatico, si prevede, pena la nullità l’uso della firma elettronica qualificata o della firma digitale.

Le regole tecniche dettagliano anche una serie di questioni specifiche come la generazione delle chiavi di cifratura, gli algoritmi usati per generare l’hash, le informazioni contenute nei certificati digitali, le norme di rilascio, revoca e sospensione dei certificati nonché  l’omologazione dei dispositivi per l’apposizione della firma. Inoltre vengono specificati il ruolo e gli obblighi dei certificatori e le procedure di accreditamento.

Una parte delle regole tecniche è anche dedicata alla marcatura temporale. Questo sistema è previsto dal CAD per associare ad un documento informatico una data certa, ed è basato sullo stesso schema di cifratura della firma digitale, salvo che, tramite un’apposito servizio l’impronta del documento è firmata da un soggetto accreditato (tipicamente un certificatore di firma digitale). Per la marca viene prevista una serie di informazioni che devono essere in essa contenute, e l’obbligo da parte del certificatore di conservarla per almeno 20 anni

APPROFONDIMENTI

Per approfondimenti si rimanda alla sezione del sito dell’AgID dedicata alla firma elettronica, oltre che al già citato modulo didattico Firma digitale e marcatura temporale.