Firma autografa, digitale e sigillo elettronico

firma autografaPropria del contesto analogico, consiste nella personale apposizione del segno grafico corrispondente al nome e cognome del sottoscrittore in calce al documento. Costituisce piena prova della provenienza del documento e del suo contenuto, fino a querela di falso (1). La firma autografa apposta in presenza del pubblico ufficiale è legalmente considerata come riconosciuta dal sottoscrittore
firma elettronicaConferisce valore giuridico-probatorio al documento informatico validamente formato
L’intensità degli effetti giuridico-probatori varia in funzione dei requisiti di sicurezza, integrità, riservatezza e non ripudiabilità (2) della firma elettronica apposta sul documento
Ad una firma elettronica, tuttavia, non può essere negata efficacia giuridica e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate
Ogni atto pubblico redatto su documento informatico è sottoscritto dal pubblico ufficiale a pena di nullità con firma qualificata o digitale (3)
sigillo elettronicoConsiste nell’associazione al documento informatico di un file generato in base ad un certificato digitale in possesso della persona giuridica titolare, secondo un meccanismo simile a quello della firma elettronica
Il certificato, rilasciato da organismi pubblici o privati designati dagli stati UE (4), serve a garantire la provenienza, l’autenticità e l’integrità di un documento informatico o di un altro bene digitale cui è associato. Come per la firma elettronica, al sigillo elettronico non può essere negata efficacia giuridica e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati

Tipologia di firme elettroniche

La normativa vigente individua e disciplina quattro diverse tipologie di sottoscrizione elettronica. Le relazioni “genere-specie” intercorrenti tra le diverse tipologie di firma sono illustrate dallo schema seguente

Efficacia giuridica delle diverse tipologie di firma elettronica

tipologia di firma digitalerequisiti e caratteristiche della firmavalore giuridico-probatorio del documento informatico
assenza di sottoscrizionefirma assentesoggetto al libero apprezzamento del giudice, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (2)
firma elettronica semplice (6)è un insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare cui non può essere negata efficacia giuridica per il solo motivo della forma elettronica (5)

(esempio: pin, user name+password, firma biometrica)
soggetto al libero apprezzamento del giudice, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità (2)
firma elettronica avanzata (6)
° è connessa unicamente al firmatario e idonea ad identificarlo
° è creata mediante dati che il firmatario può utilizzare sotto il proprio esclusivo controllo, con un elevato livello di sicurezza
° è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati (esempio: firma grafometrica su tablet)

La firma elettronica avanzata è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione di firma elettronica avanzata al fine di utilizzarla nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali

Nei confronti della pubblica amministrazione la PEC, la CIE, la CNS, il passaporto elettronico (7) e degli altri strumenti ad essi conformi (SPID) (8) sostituiscono la firma elettronica avanzata (7) per i servizi erogati in rete (9) e le attività concernenti le istanze e le dichiarazioni ricevute (10), se utilizzate in conformità alle regole tecniche
possiede i requisiti della forma scritta e l’efficacia della scrittura privata (1), se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta

Il soggetto cui la firma elettronica avanzata afferisce può disconoscerla; è onere della parte che vuole avvalersi degli effetti giuridici di tale firma dimostrarne la conformità
firma elettronica qualificata (6)firma elettronica avanzata creata da un dispositivo qualificato e basata su un certificato elettronico qualificato

esempio: smart-card, token
ha effetti giuridici equivalenti a quelli della firma autografa e, in caso di querela di falso, comporta l’inversione dell’onere della prova a carico di colui contro il quale la scrittura è prodotta
firma digitale (12)particolare tipo di firma qualificata (11) basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici

esempio: smart-card, token
ha effetti giuridici equivalenti a quelli della firma autografa e, in caso di querela di falso, comporta l’inversione dell’onere della prova a carico di colui contro il quale la scrittura è prodotta

Formato CAdES e PAdES

Una firma digitale può essere apposta in modalità modalità CAdES o PAdES.
In generale, la firma digitale consiste nell’associazione al documento da sottoscrivere di un file generato in base al documento stesso ed al certificato in possesso del firmatario. La differenza tra i due formati consiste nel modo in cui questo nuovo file viene associato al documento.

La firma digitale apposta con modalità CAdES genera una “busta” contenente il documento e il file della firma. La stessa busta è, in realtà, un nuovo file con estensione “p7m“.
Caratteristiche della firma CAdES:

  • permette di firmare documenti elettronici di qualsiasi formato
  • l’apposizione della firma modifica il nome del file, con aggiunta dell’estensione “p7m”
  • la verifica di una firma digitale CAdES richiede l’uso di software specifici

La firma digitale apposta con modalià PAdES è incorporata nel documento stesso.
Da ciò derivano le seguenti caratteristiche della firma PAdES:

  • permette di firmare solo documenti in formato PDF
  • il documento firmato mantiene il suo nome, senza l’aggiunta di alcuna estensione
  • qualsiasi lettore di file PDF è idoneo alla verifica di una firma digitale PAdES

Modalità di firma

I documenti formati dalla AOO, secondo le modalità indicate dal presente manuale, sono prodotti in formato PDF/A e sottoscritti secondo il procedimento di firma CAdES. La firma PAdES è utilizzata nei particolari casi in cui il documento soggetto a sottoscrizione sia già firmato secondo modalità specifiche (in genere adottate da alcuni ordini professionali).

L’amministrazione dota i dipendenti specificamente individuati di un dispositivo di firma digitale, qualora non ne fossero dotati; il dispositivo è conforme ai requisiti di legge, per l’espletamento delle attività istituzionali naturalmente connesse alla gestione documentale e archivistica dell’ente. La funzione di apposizione della firma digitale è integrata nel sistema informatico di gestione documentale (Jiride).

L’utilizzo del dispositivo di firma è strettamente personale. Pertanto, il dispositivo non deve essere ceduto, né tantomeno devono essere diffuse le chiavi dei certificati. Ciascun titolare di dispositivo di firma verifica periodicamente la validità del certificato digitale, al fine di provvedere tempestivamente al rinnovo

L’associazione ad un documento informatico di una firma basata su un certificato non valido (revocato, sospeso o scaduto) equivale alla mancata sottoscrizione

In questo ultimo caso, tuttavia, se alla firma apposta utilizzando un certificato non valido è possibile associare un riferimento temporale opponibile ai terzi (sigillo elettronico di protocollo, PEC, marca temporale) capace di collocare la generazione della firma in un momento in cui il certificato ancora conservava piena validità, la firma è considerata valida ed il documento è dato per sottoscritto

Apposizione e verifica di una firma digitale

Per apporre una firma digitale, così come per verificare un documento informatico firmato e visualizzarne il contenuto, è sufficiente utilizzare un programma idoneo. Di norma, il programma per la lettura dei file a firma digitale è configurato di default sul PC di ciascun dipendente, altrimenti è installato a cura del servizio preposto alla gestione dei sistemi informativi dellAOO.

Riferimenti normativi

(1) art. 2702 del REGIO DECRETO 16 marzo 1942, n. 262

(2) art. 20, comma 1 bis, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(3) art. 21, comma 2 ter, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(4) Sezione 5 – Sigilli elettronici, artt. 35 – 40, del REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014

(5) art. 25 del REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014

(6) art. 3, punti 10), 11), 12) del REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014

(7) art. 61 del DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 22 febbraio 2013

(8) art. 64-bis, comma 2 bis, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(9) art. 64, comma 2 quinquies, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(10) art. 65, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(11) art. 1, comma 1, lett. s) del DECRETO LEGISLATIVO 7 marzo 2005, n. 82

(12) art. 24, del DECRETO LEGISLATIVO 7 marzo 2005, n. 82