Dematerializzazione dei contratti e firma elettronica - Seconda Parte
Seconda Parte - Clicca qui per leggere la prima parte
Normativa e Legislazione
La norma fondamentale in materia è costituita dal CAD ovvero il Codice dell'Amministrazione Digitale (Decreto Legislativo 7 marzo 2005, n. 82 e successive modifiche ed integrazioni con particolare riferimento al Decreto Legislativo 30 dicembre 2010, n. 235) , nel quale viene stabilito che lo Stato, le regioni e le autonomie locali, nonché le società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della pubblica amministrazione, assicurano la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dell'informazione e della comunicazione.
Come è noto allo stato attuale il Codice dell'Amministrazione Digitale (Art. 1 "Definizioni") distingue tra quattro tipologie di firma e cioè:
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
Sebbene astrattamente vigenti le suddette disposizioni del CAD erano in pratica senza effetto a causa della mancata attuazione di quanto previsto agli artt. i articoli 20, 24, comma 4, 27, 28, 29, 32, 33, 35, comma 2, e 36, del CAD stesso circa l'individuazione delle regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, per la validazione temporale, nonché per lo svolgimento delle attività dei certificatori qualificati.
Il DPCM 22 febbraio 2013 ha finalmente colmato questa lacuna prevedendo – nel rispetto delle modalità previste dall'art 71 del CAD stesso- le suddette regole tecniche che rendendo possibile l'effettiva operatività delle firme elettroniche
Così come le quattro tipologie di firme sopradescritte si differenziano in ragione delle caratteristiche tecniche che sottendono a ciascuna di esse, anche dal punto di vista dell'efficacia probatoria ciascun tipo di firma possiede un proprio valore.
Infatti l'art. 21 del CAD stabilisce che ". Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità." Si lascia quindi all'apprezzamento del giudice la valutazione della sussistenza delle caratteristiche "di qualità, sicurezza, integrità e immodificabilità" citate nella norma.
Al 2° comma lo stesso art. 21 invece prevede che" il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria."
Si afferma quindi il principio che:
- I documenti informatici siglati con Firma Elettronica Avanzata, Firma Elettronica Qualificata, Firma Digitale, hanno la medesima efficacia probatoria della scrittura privata (tranne che per i contratti immobiliari nel caso si usi la Firma Elettronica Avanzata).
- I documenti informatici siglati con Firma Elettronica Qualificata e con Firma Digitale si presumono – salvo prova contraria che deve essere resa dal presunto firmatario – firmati mediante un dispositivo di firma riconducibile al titolare.
Giova sottolineare il permanere della responsabilità della firma (a prescindere dall'aspetto probatorio) in capo al titolare.
Inoltre il comma 2-bis del citato art. 21 stabilisce che " Salvo quanto previsto dall' articolo 25 , le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile , se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all'articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale."
Il Decreto Legislativo 30 dicembre 2010, n. 235 ha poi integrato e modificato il Codice dell'amministrazione digitale (Decreto Legislativo 7 marzo 2005, n. 82), introducendo i seguenti principali cambiamenti:
- Validità dei documenti informatici (art. 22, 23, 23-bis, 23-ter): viene precisata la validità delle copie informatiche di documenti e la descrizione delle loro varie tipologie (copia digitale del documento cartaceo, duplicazione digitale, ecc.);
- Conservazione digitale dei documenti (artt. 43-44 bis): viene individuato un "Responsabile della conservazione" ( che può avvalersi di soggetti pubblici o privati che offrono idonee garanzie) al quale incombe la gestione della conservazione dei documenti e del relativo processo;
- Customer satisfaction espressa dagli utenti tramite Internet (artt. 54 e 63): le PA sono tenute ad acquisire il grado di soddisfazione del servizio reso on-line mediante strumenti idonei alla rilevazione certa e immediata;
- Moduli on line (art. 57): viene stabilito l'obbligo per le PA di pubblicare online l'elenco i vari moduli formulari necessari per un procedimento sul web.
- Trasmissione delle informazioni via web (art. 58): le amministrazioni titolari di banche dati dovranno porre in essere specifici accordi per assicurare l'accessibilità delle informazioni da esse possedute agli altri organi della PA che ne avessero bisogno, ad evitare che il cittadino debba fornire più volte gli stessi dati ad amministrazioni diverse.
- Posta elettronica certificata (artt. 6 e 65): la PEC viene individuata come il mezzo privilegiato per la comunicazione con le PA.
- Siti pubblici e trasparenza (art. 54): sui siti istituzionali delle amministrazioni vanno pubblicati, in modo integrale, anche tutti i bandi di concorso.
Alla luce di quanto fin qui esposto è bene ribadire quanto , nel campo in argomento, sia importante per la reale applicabilità delle norme giuridiche in discussione, l'individuazione delle applicazioni informatiche destinate a rendere concrete le loro previsioni astratte
Per risolvere questa problematica è stato emanato da ultimo il DPCM 22 febbraio 2013, pubblicato sulla Gazzetta Ufficiale n. 117 del 21 maggio, che ha esplicitato le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, per la validazione temporale, nonché per lo svolgimento delle attività dei certificatori qualificati, nonché previsto le regole tecniche per la firma grafometrica, e le modalità di pubblicità delle liste dei certificati revocati e sospesi e dei certificati qualificati.
Firme elettroniche e certificatori
Nel processo di generazione della firma elettronica si utilizza l'algoritmo di hash SHA. In Italia, come anche in diversi Paesi europei, è previsto l'uso dello SHA256 (DPCM 22 febbraio 2013, articolo 63 comma 3 - Codifica dell'algoritmo di hash)
Le regole sulle codifiche DER e BER degli oggetti ASN.1 sono specificati nel documento ITU Standards (X.690). In particolare, per quanto riguarda la codifica DER, al paragrafo 11.5 (Set and sequence components with default value) viene esplicitamente riportato:
"The encoding of set value of sequence value shall not include an encoding for any component value which is equal to its default value".
Gli standard di riferimento prescrivono quindi che per default l'algoritmo di hash utilizzato nel processo di generazione della firma sia lo SHA256 e che, in questo caso, l'attributo contenente tale informazione (hashAlgorithm) non debba essere presente; peraltro, la presenza di tale informazione non introduce alcun problema di sicurezza.
Ciò premesso, chiarendo che i certificatori accreditati devono rispettare anche tale previsione nella realizzazione dei prodotti di generazione della firma digitale, ai sensi dell'articolo 63 comma 3 del DPCM 22 febbraio 2013, si informa che qualora tale informazione fosse comunque presente attraverso la codifica del campo ESSCerIDv2 (hashAlgorithm), le firme digitali prodotte sono valide.
A chi richiedere la firma digitale
La firma digitale consente di scambiare in rete documenti con piena validità legale. Possono dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni.
Per dotarsi di firma digitale è necessario rivolgersi ai certificatori accreditati autorizzati dall'Agenzia per l'Italia Digitale o DigitPA (www.digitpa.gov.it) che garantiscono l'identità dei soggetti che utilizzano la firma digitale.
I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva europea 1999/93/CE e alla normativa nazionale in materia. Devono aver richiesto e ottenuto il riconoscimento del possesso dei requisiti più elevati in termini di qualità e di sicurezza. I certificatori forniscono i servizi di certificazione inerenti alla firma digitale e possono emettere certificati di autenticazione per conto delle pubbliche amministrazioni che rilasciano smart card conformi alla Carta Nazionale dei Servizi (CNS) del CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione).
DigitPA svolge attività di vigilanza sui certificatori.
La tabella che segue contiene informazioni utili sulla tipologia dei certificatori, individuando i soggetti cui gli stessi forniscono dispositivi di firma digitale.
Si ricorda che giuridicamente non vi è alcuna differenza nell'uso dei dispositivi di firma forniti dai diversi certificatori. Questi si differenziano per l'offerta tecnologica commerciale (es. smartcard, token USB, firma remota) e per le modalità più o meno comode per effettuare la prevista identificazione del richiedente. Le informazioni disponibili nella tabella e disponibili attraverso i link riportati sono fornite direttamente dai certificatori che restano gli unici responsabili delle stesse.
La verifica della firma digitale
La verifica della firma digitale e la successiva estrazione degli oggetti firmati può essere effettuata con qualsiasi software in grado di elaborare file firmati in modo conforme alla Deliberazione CNIPA N. 45 - 21 Maggio 2009.
Si veda ad esempio la lista dei software del sito http://www.digitpa.gov.it/firme-elettroniche/software-di-verifica-della-firma-digitale
Tali applicazioni sono disponibili gratuitamente per uso personale.
Alcuni soggetti mettono a disposizione sul proprio sito web applicazioni utili per la verifica della firma digitale senza la necessità di installare alcun software.
Le norme Comunitarie impongono il riconoscimento dei documenti informatici sottoscritti conformemente alla Direttiva Europea 1999/93/CE e alla Decisione 130/2011. Attualmente non è ancora stato introdotto l'obbligo per i certificatori accreditati di aggiornare le applicazioni di verifica al fine di gestire firme digitali generate con strumenti resi disponibili da certificatori qualificati in Europa.
Preso atto di queste difficoltà, la Commissione europea ha emanato due Decisioni (la 130/2011/CE e la 767/2009/CE), ma ha anche fatto sviluppare una applicazione di verifica (e firma) open source, denominata Digital Signature Service, che è in grado di verificare la firma digitale basata su certificati emessi da qualunque certificatore autorizzato in Europa.
L'applicazione "Digital Signature Service" (DSS), liberamente scaricabile , per poter essere utilizzata deve essere installata su un server web. Al fine di agevolarne l'utilizzo, l'Ente la rende disponibile sul proprio sito.
L'applicazione europea "Digital Signature Service" (DSS), utilizzabile anche per verificare firme digitali basate su certificati emessi da certificatori stabiliti in altri Stati membri, resa disponibile sul sito, conta oltre mille accessi mensili.
Bibliografia
Per la parte tecnica la maggior parte dei riferimenti provengono da Wikipedia. Si prega di segnalare eventuali incongruenze.
Inoltre
1. http://www.funzionepubblica.gov.it/lazione-del-ministro/cad/nuovo-codice-dellamministrazione-digitale.aspx
2. http://www.digitpa.gov.it/firme-elettroniche-certificatori
3. http://www.agendadigitale.eu/
4. Guida alla Firma Digitale Versione 1.3 – aprile 2009
5. Deliberazione CNIPA N. 45 - 21 Maggio 2009
6. ITU Standards (X.690)
Per la parte normativa i documenti di riferimento sono:
1. DPCM 22 febbraio 2013, pubblicato sulla Gazzetta Ufficiale n. 117 del 21 maggio
2. Codice dell'Amministrazione Digitale (Decreto Legislativo n. 235/2010)
3. Decreto Legislativo 7 marzo 2005, n. 82
4. DIRETTIVA 1999/93/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche
5. Articolo 2702 del codice civile