La firma digitale ed i sistemi di marcatura dei documenti informatici

Contributo dell'Avv. Mattia Zampieri

La firma elettronica qualificata (FEQ) - o digitale - è uno strumento che permette ai cittadini, ai professionisti ed alle imprese di firmare dei documenti facendoli diventare documenti con valore legale. Al pari di quanto avviene per la firma autografa apposta su un documento cartaceo, la firma digitale ha la funzione di collegare in maniera univoca un documento informatico a un determinato soggetto. Essa consiste nella creazione di un file associato ad un documento, creato dal software di firma in base al documento da firmare e al certificato del firmatario.

Caratteristiche principali della firma digitale sono le seguenti:

• ​validità legale, vale a dire che il documento firmato digitalmente acquisisce pieno valore legale;
• autenticità, da intendersi come garanzia dell'identità del sottoscrittore;
• integrità, ovvero l'inalterabilità del documento sottoscritto;
• non ripudio, caratteristica secondo cui il documento firmato non può essere disconosciuto dal firmatario.
  

​Firma CAdES e PAdES: quali sono le differenze?

Una firma digitale può essere apposta essenzialmente in modalità CAdES e PAdES. La differenza tra una firma di tipo CAdES e una firma di tipo PAdES consiste principalmente nel modo in cui la firma viene associata al documento.

​Firma CAdES

Nel caso di una firma digitale apposta con modalità CAdES, il documento firmato ed il file con la firma digitale vengono inseriti insieme in una busta (detta contenitore). Tale busta, che contiene il documento e il file della firma, si presenta come file avente estensione *.p7m. Le principali caratteristiche della firma CAdES possono essere così sintetizzate:

• permette di firmare qualsiasi tipo di documento (in primo luogo i documenti con estensione *.pdf, ma anche fogli elettronici di scrittura come *docx, fogli di calcolo *.xlsx, etc.);
• il documento, una volta firmato con modalità CAdES, modifica il suo nome. Ad esempio, il documento file.pdf, una volta firmato digitalmente con modalità CAdES modificherà il suo nome in file.pdf.p7m;
• per verificare una firma digitale apposta con modalità CAdES e per visualizzare il documento firmato, occorre utilizzare uno degli appositi software specifici.

​Firma PAdES

Nel caso di firma digitale apposta con modalità PAdES, invece, vengono sfruttate le caratteristiche dei documenti in formato .pdf e la FEQ viene inserita nel documento stesso. Le principali caratteristiche della firma PAdES sono le seguenti:

• ​a differenza della firma in CAdES, permette di firmare solo documenti in formato .pdf;
• il documento, una volta firmato con modalità PAdES, mantiene il suo nome;
• per verificare una firma digitale apposta con modalità PAdES e per visualizzare il documento firmato, è possibile utilizzare un qualsiasi software per la lettura dei file .pdf come Acrobat Reader DC.

​Validità di una firma digitale

Nell’ordinamento giuridico italiano, un documento sottoscritto con FEQ ha piena efficacia giuridica nel caso in cui siano rispettate le seguenti condizioni:

• ​la firma digitale deve essere apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario;
• la firma digitale deve essere apposta utilizzando un certificato di firma in corso di validità;
• il documento non deve essere modificato dopo l'apposizione della firma;

Qualora venga meno anche una delle tre condizioni sopra indicate, la firma digitale non è valida.

Si parla poi di autenticazione del firmatario per identificare quella caratteristica della firma digitale secondo cui, mediante l’analisi di un documento con firma digitale valida, è possibile verificare in modo certo l'identità di colui che lo ha firmato. Ciò avviene in ragione del fatto che, come sopra esposto, suddetta firma deve essere necessariamente apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario.

La validità di una FEQ, inoltre, è strettamente legata al fattore temporale, nel senso che la sua integrità ha una validità limitata nel tempo. La durata temporale del certificato di firma è una caratteristica che porta con sé una conseguenza molto rilevante, ma poco nota. Infatti, la firma digitale apposta su un documento utilizzando un certificato in corso di validità non ha più alcun valore dopo la scadenza del certificato stesso a meno che al documento non venga apposta una marcatura temporale prima della scadenza del certificato utilizzato per la firma.

DATA CERTA: marcature temporali e registro pubblico delle impronte informatiche

La marca temporale è un servizio che permette di associare data e ora certe e legalmente valide ad un documento informatico, consentendo quindi di associare una validazione temporale opponibile a terzi (cfr. Art. 20, comma 3 Codice dell’Amministrazione Digitale Dlgs 82/2005).

Il servizio di marcatura temporale può essere utilizzato anche su file non firmati digitalmente, garantendone una collocazione temporale certa e legalmente valida. Sui documenti informatici sui quali è stata apposta una firma digitale, la marca temporale attesta il preciso momento in cui il documento è stato creato, trasmesso o archiviato. Apporre una marca temporale ad un documento firmato digitalmente, pertanto, fa sì che la firma digitale risulti sempre e comunque valida anche nel caso in cui il relativo certificato risulti scaduto, sospeso o revocato, purché la marca sia stata apposta in un momento precedente alla scadenza, revoca o sospensione del certificato di firma stessa. Ai sensi dell'articolo 49 del Dpcm del 30.03.2009, le marche temporali emesse devono essere conservate in appositi archivi per un periodo non inferiore a 20 anni. L'apposizione di una marca temporale a un documento firmato digitalmente, quindi, ne garantisce la validità nel tempo.

Un diverso ed ulteriore servizio, molto utile per attribuire data certa a documenti digitali, è il Registro Pubblico delle Impronte Informatiche. Trattasi di uno strumento gratuito ideato per attribuire data certa a qualsiasi documento digitale o digitalizzato. Il suo meccanismo consiste nell’annotare l’impronta hash di un file all’interno di un registro. L'impronta hash di un file informatico è una sequenza di lettere e cifre, solitamente lunga 64 caratteri, ottenuta applicando un particolare algoritmo di calcolo alla sequenza di bit che formano il file. Per calcolare l’impronta hash di un file è possibile utilizzare uno dei numerosi tools reperibili online (ad esempio ai seguenti link Diritto_pratico, Avvocato_Andreani). 

Una volta ottenuta l’impronta del file a cui si intende attribuire data certa, sarà sufficiente annotarla nel registro pubblico delle impronte informatiche. In questo modo, il documento risulterà formato necessariamente in data anteriore a quella certificata dalla marca temporale. Ogni mese, infatti, il registro viene “chiuso”, marcato temporalmente e la sua impronta, a sua volta, annotata nel registro del mese successivo. In tal modo viene attribuita una data certa opponibile ai terzi a tutti i documenti cui si riferiscono le impronte annotate e la validazione temporale di ogni registro automaticamente estesa a quella dell’ultima marca temporale associata all’ultimo registro formando una “catena di registri”.​ 

Da ultimo è opportuno sottolineare che l'annotazione nel registro non sostituisce e non è equiparabile al versamento del documento informatico in un sistema di conservazione, né può costituirne un'alternativa quando ciò sia espressamente richiesto dalla legge.