Nel presente articolo ci si sofferma sul valore giuridico della firma digitale e della marca temporale nello spazio e nel tempo.
In particolare, ci è chiesto di far valere un documento informatico con firma digitale italiana, in un Paese membro della Comunità Europea, a distanza di n. 10 anni dalla sua sottoscrizione.
Al fine di poter compiutamente rispondere, occorre ripercorrere brevemente le FONTI NORMATIVE e gli ULTIMI APPRODI in materia, che di seguito, in dettaglio, si riassumono:
Sulla firma digitale:
Art. 1 lett s CAD (Codice dell’Amministrazione Digitale _ D.lgs n. 82 del 7 marzo 2005), la firma digitale è “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”;
Art. 24 CAD firma digitale:
“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.
2. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell’articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d’uso”.
Art. 3, punto 12, Reg. eIDAs, (EIDAS: electronic Identification, Authentication and trust Services), la firma elettronica qualificata è “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;”
Art.29, co.1, CAD, qualificazione dei fornitori di servizi:
“1. I soggetti che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata presentano all’AgID domanda di qualificazione, secondo le modalità fissate dalle Linee guida. [I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida.]”
- Per quanto concerne la validità della firma digitale si analizza quanto segue:
- IN ITALIA: Artt. 2702 c.c: “La scrittura fa piena prova, fino a querela di falso [221 c.p.c.], della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”;
- IN EUROPA: Reg UE n. 910/2014 (EIDAS: electronic Identification, Authentication and trust Services).
- Art. 25, co.3, Reg. eIDAS, per la qualificazione della firma elettronica: “Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.;
- Art. 26, Reg. eIDAS, per i requisisti che la firma elettronica avanzata deve avere;
- DPR 445/2000- Testo unico sulle disposizioni legislative in materia di documentazione amministrativa;
- DPCM 98/2004- Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici;
- Cassazione Civile, sez. un., 27/04/2018, n.10266 “In tema di processo telematico, le firme digitali di tipo « CAdES » e di tipo « PAdES » sono entrambe ammesse ed equivalenti, sia pure con le differenti estensioni « .p7m » e « .pdf » anche nel ricorso per cassazione.”
Sulla marca temporale:
- Art. 1 let bb CAD, la validazione temporale è “il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi”;
- Art.3 punto 3, reg. eIDAS, 3 la validazione temporale elettronica corrisponde ai “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”;
- D.P.C.M. 21/03/2013 N. 117 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”.
In dettaglio, art.62: “Le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato”;
- Per quanto concerne gli effetti giuridici e i requisiti per la validazione temporale si adottano, rispettivamente, agli articoli 41 e 42 del Reg. eIDAS :
Art. 41, reg. eIDAS:
“1. Alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata.
2. Una validazione temporale elettronica qualificata gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate.
3. Una validazione temporale elettronica rilasciata in uno Stato membro è riconosciuta quale validazione temporale elettronica qualificata in tutti gli Stati membri.”
Art.42, reg. eIDAS:
“1. Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti:
- collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati
- si basa su una fonte accurata di misurazione collegata al tempo universale coordinato; e
- è apposta mediante una firma elettronica avanzata o sigillata co un sigillo elettronico avanzato dal prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.
2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al collegamento della data e dell’ora ai dati e a fonti accurate di misurazione del tempo. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il collegamento della data e dell’ora ai dati e alla fonte accurata di misurazione del tempo rispondano a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”
– DPCM n.117 del 2013, art.41 per quanto concerne i riferimenti temporale opponibili ai terzi.
Art. 49 adottato per le chiavi di marcature temporale prevede che:
“1. Dal certificato relativo alla coppia di chiavi utilizzate per la validazione temporale deve essere possibile individuare il sistema di validazione temporale.
2. Al fine di limitare il numero di marche temporali generate con la medesima coppia, le chiavi di marcatura temporale sono sostituite ed un nuovo certificato è emesso, in relazione alla robustezza delle chiavi crittografiche utilizzate, dopo non più di tre mesi di utilizzazione, indi- pendentemente dalla durata del loro periodo di validità e senza revocare il certificato corrispondente alla chiave precedentemente in uso. Detto periodo è indicato nel manuale operativo e, previa valutazione, ritenuto congruente dall’Agenzia.
3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale sono utilizzate chiavi di certificazione appositamente generate.
4. Le chiavi di certificazione e di marcatura temporale possono essere generate esclusivamente in presenza dei responsabili dei rispettivi servizi.”
*
Ai fini della disamina del presente articolo, preme evidenziare come la firma digitale sia uno strumento tecnologico sostitutivo dell’autografia adottato in Italia a seguito dell’introduzione dall’articolo 1 lett. s del CAD, e qualificata a livello europeo come una firma qualificata avanzata come delineato all’art.3 punto 12 del Regolamento eIDAS, che:
- garantisce l’integrità e l’autenticità del documento sottoscritto mediante l’utilizzo di chiavi crittografiche (una pubblica e una privata) che, correlate tra loro, consentono di verificarne la provenienza e l’integrità;
- ha valore di scrittura privata (articolo 2702 c.c.) e per tale motivo costituisce piena prova della provenienza del documento da parte del sottoscrittore, sino a querela di falso;
- trascorsi tre anni dalla data di emissione del certificato, i documenti sottoscritti digitalmente perdono la loro validità legale1;
Inoltre, per quanto sopra riportato in ordine al Regolamento eIDAS, la firma digitale vanta riconoscimento anche a livello comunitario e, di conseguenza, è possibile far valere un documento informatico digitalmente sottoscritto mediante certificato CAdES, PAdES e XAdES in tutti i Paesi della Comunità Europea secondo gli standard ETSI. Questi, applicabili a livello globale, mirano a garantire un approccio uniforme alle tecniche e alla sicurezza delle buste crittografiche destinate a contenere il documento sottoscritto.
In dettaglio, La firma CAdES crea una busta crittografica avente come seconda estensione che si aggiunge all’estensione del file “file.pdf.p7m”. Questa tipologia di sottoscrizione può essere apposta su qualsiasi tipo di file e dà la possibilità di apporre più firme allo stesso.
La firma PAdES è un formato specifico che può essere apposto esclusivamente su file .pdf. I documenti sottoscritti con questo tipo di firma possono rimanere validi per lunghi periodi di tempo.
In merito all’efficacia giuridica circa l’utilizzo di queste due tipologie di firme sopracitate, la Cassazione a Sezioni Unite con sentenza numero 10266 del 2018 rileva la stessa validità ed efficacia ad entrambe.
Alla luce di quanto sopra, resta quindi il solo problema della limitata durata nel tempo del certificato, che potrebbe perdere di validità anche solo qualche giorno dopo la sottoscrizione del documento (i.e. ove avvenuto in prossimità della scadenza dei 36 mesi).
Si deve, quindi, richiamare la normativa nazionale, art. 1 let. Bb. CAD e comunitaria, art.3 punto 3, reg, eIDAS, riguardo la marca temporale. Quest’ultima, in inglese digital time stamp, è uno strumento informatico, in grado di generare, mediante un apposito sistema di validazione temporale, la marca temporale, volta a garantire l’attribuzione di data e ora certa al documento oggetto della stessa operazione.
Come sopra osservato, la certificazione, per essere valida, deve essere adottata da un ente certificatore (Qualified Trust Service Provider) ovvero un prestatore di servizi fiduciari, terzo, imparziale e qualificato, idoneo a fornire e preservare i certificati digitali.
Inoltre, si rileva che l’apposizione della marca temporale sia generata da una coppia di chiavi crittografiche come previsto all’art. 49, co. 2 e co.3, dpcm n.117 del 2013: “2. […] nuovo certificato è emesso, in relazione alla robustezza delle chiavi crittografiche utilizzate, dopo non più di tre mesi di utilizzazione, indipendentemente dalla durata del loro periodo di validità e senza revocare il certificato corrispondente alla chiave precedentemente in uso. […]. 3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale sono utilizzate chiavi di certificazione appositamente generate.”
Ai fini di questo ragionamento si ritiene interessante analizzare i diversi formati di marca temporale.
Il formato .PDF è tra quelli più noti ma porta con sé una criticità, la marcatura temporale può avvenire solo contestualmente alla sottoscrizione digitale.
L’appena citato formato e i formati .M7M e .TSD, contengono sia l’evidenzia della marca temporale che il file stesso sottoposto a marcatura.Il formato .M7M non può essere letto da tutti i software. Mentre il formato .TSD è quello che rispetta gli standard ampiamente riconosciuti, è infatti preferibile usare questo tipo di formato.
Pertanto, l’apposizione della marca è in grado di soddisfare l’esigenza della validità nel tempo ai soli documenti informatici sottoscritti con firma digitale al verificarsi di determinati elementi:
- documento deve essere informatico, ovvero essere stato creato da un’elaborazione elettronica di qualsiasi contenuto, mentre ai fini della validità non si considera la scansione di un documento cartaceo;
- il documento deve essere convertito in formato di PDF/A, non modificabile e deve essere firmato digitalmente dai soli soggetti contraenti;
Da questo momento data e ora sono validamente opponibili ai terzi fino alla scadenza della stessa marca temporale.
Tali marche temporali emesse dopo il 3 dicembre 2009 hanno una validità minima garantita di 20 anni, al termine dei quali si procederà al rinnovo del certificato.
*
In conclusione, si può legittimamente sostenere che un documento digitale, derivante da un’elaborazione elettronica, cui è stato apposto una firma digitale, ovvero una firma elettronica qualificata atta a garantire integrità e autenticità della sottoscrizione da parte del soggetto firmatario, nel formato Cades, Pades o Xades, e al quale, entro il termine di scadenza del certificato di firma, sia apposta una marca temporale emessa da un ente certificato, possa essere validamente fatto valere in giudizio in un Paese membro della Comunità europea entro il termine di anni 20.
Inoltre, ove fosse necessaria una validità temporalmente più ampia, è necessario che si proceda a nuova marcatura temporale prima della scadenza della prima e allo scopo si suggerisce di avvalersi della conservazione sostitutiva del documento.
Francesca Sancineti
Note:
1 https://assistenza.ufficiocamerale.com/guide-firma/come-verificare-validita-firma-infocert.html per quando riguarda la validità temporale del certificato di firma digitale, si rileva che “ Sì, la firma digitale è valida esclusivamente per 3 anni dalla data di attivazione e va rinnovata nei 90 giorni precedenti ed entro il giorno antecedente la data di scadenza (per ulteriori 3 anni). Una firma digitale scaduta non è più valida e non può essere più rinnovata.”
***
Bibliografia:
- E. Gabrielli, Commentario Codice Civile,15a ed., sub art. 2702 c.c., pag. 3585-3591;
- Art. 1 lett s CAD (Codice dell’Amministrazione Digitale _ D.lgs n.82 del 7 marzo 2005);
- Reg UE n. 910/2014 (EIDAS: electronic Identification, Authentication and trust Services );
- D.P.C.M. 21/03/2013 N. 117 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”;
- DPR 445/2000- Testo unico sulle disposizioni legislative in materia di documentazione amministrativa;
- DPCM 98/2004- Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici;
- Artt. 2702 c.c., La Tribuna, 50a ed., 2022;
- https://assistenza.ufficiocamerale.com/guide-firma/come-verificare-validita-firma-infocert.html
- https://www.to.camcom.it/marcatura-temporale
- https://www.mise.gov.it/images/stories/normativa/CCIAA_CE_marcatura_temporale.pdf
- https://assistenza.ufficiocamerale.com/marca-temporale/formati-della-marcatura-temporale.html