Sebbene l’espressione “firma digitale” venga erroneamente utilizzata per indicare qualsiasi tipo di firma elettronica, nella realtà questa è una tipologia di Firma Elettronica Qualificata disciplinata esclusivamente dalla Legge Italiana.
Assodato che si tratta di due fattispecie differenti, è importante comprendere le caratteristiche di ognuna e la Legge di riferimento per essere certi di farne un uso consapevole e corretto.
Il contesto normativo da tenere in considerazione comprende sia la Norma Europea rappresentata dal Regolamento (UE) 910/2014 noto come Regolamento eIDAS, sia la Legge Italiana comprendente, per la maggior parte dei casi, il D. Lgs 7 marzo 2005 n.82 noto come Codice dell'Amministrazione Digitale, il D.P.C.M. 22 febbraio 2013, il D.P.C.M. 13/11/2014, il D.lgs 26 agosto 2016, n.179 e alcune norme del Codice Civile.
Firma Elettronica
La Firma Elettronica è in prima battuta un principio giuridico generale, disciplinata dall’art. 3 p.10 del Regolamento UE n.910/2014 eIDAS, definita come:
“dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.”
Questa definizione, piuttosto semplice e ampia, ha aperto le porte a livello nazionale all’implementazione di fattispecie diverse e distinte a seconda del loro livello di sicurezza e affidabilità (firma elettronica avanzata e firma elettronica qualificata [e firma digitale]) nel caso italiano).
Concretamente, nella versione “base” una firma elettronica può essere rappresentata da una mail ordinaria oppure dalla combinazione di User ID e Password, da qui la tendenza a definirla “semplice”, perché considerata vulnerabile, basica e carente in sicurezza.
Tuttavia, il fatto che la definizione sia ampia e generica non porta ad escludere l’idoneità del documento sottoscritto con firma elettronica “semplice” a soddisfare il requisito della forma scritta e il suo valore probatorio che, infatti, sono liberamente valutabili in giudizio in relazione alle caratteristiche di sicurezza, integrità ed immodificabilità (art. 20 comma 1 bis del Codice dell’Amministrazione Digitale).
Aspetto chiarito anche dal Regolamento eIDAS all’articolo 25, in cui è stabilito che non si negano gli effetti giuridici e l’ammissibilità in giudizio alla firma elettronica per il solo fatto di non essere avanzata o qualificata.
Infatti, è il processo attraverso il quale avviene l’apposizione della firma elettronica ad essere valutato in giudizio.
Firma Digitale
Secondo l’art. 1 del CAD lettera s) la firma digitale è “un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare ((di firma elettronica)) tramite la chiave privata ((e a un soggetto terzo)) tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.”
Facendo un passo indietro, quindi, si tratta quindi di un particolare tipo di Firma Elettronica Qualificata ossia di “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche” art. 3 punto 12 eIDAS che, in virtù della presenza di due vincoli per la sua creazione (quali l’uso di uno specifico dispositivo e l’uso di un certificato qualificato di firma rilasciato da un prestatore di servizi fiduciari) risulta più “forte” della firma elettronica perché generata con strumenti che garantiscono un più alto livello di sicurezza ed affidabilità.
Di questa categoria di Firma fa parte la Firma Digitale, esclusivamente disciplinata dall’ordinamento giuridico italiano, che in aggiunta ai due vincoli deve essere generata con un algoritmo crittografico asimmetrico RSA basato su chiavi di lunghezza minima pari a 1024bit.
Da un punto di vista tecnico, la coppia di chiavi crittografiche Ks, Kp necessaria per l’esecuzione dell'algoritmo crittografico asimmetrico RSA è generata all'interno del dispositivo di firma, costituito da una Smart Card o una business key con porta USB.
All'interno del dispositivo è anche memorizzato il certificato di firma qualificato in cui è riportata la chiave pubblica Kp ma non la chiave segreta Ks, appunto per creare un collegamento inscindibile tra questa e la titolare del certificato.
Quindi, se una Firma Digitale è convalidata con una chiave pubblica Kp e quindi esiste un certificato di firma che collega la chiave a una determinata persona, allora la firma sarà attribuita a quel soggetto.
Nel contesto italiano, quindi, la firma digitale è quella che viene definita “forte” in quanto presenta livelli di sicurezza e affidabilità superiori rispetto a quelli offerti da una firma elettronica nella sua definizione più “semplice”. Ciò non toglie che, un processo di generazione di firma elettronica (semplice) possa essere implementato in modo tale da essere sicuro, forte quindi robusto e da garantire l’integrità, l’autenticità e la non ripudiabilità del documento informatico sottoscritto. Infatti, ai fini della valutazione in giudizio di quest’ultimo, in accordo con l’art. 20 comma 1 bis del CAD, è il processo di apposizione di FE ad assumere rilevanza non la tipologia di firma in sé:
“Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 del Codice Civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore. In tutti gli altri casi, l'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l'ora di formazione del documento informatico sono opponibili a terzi se apposte in conformità alle Linee Guida."
In conclusione, l’utilizzo di “Firma Elettronica” nel linguaggio comune potrebbe far riferimento erroneamente a ciascuna delle tipologie di firma disciplinate dal Regolamento eIDAS e dalla Legge Italiana, ma Firma Digitale e Firma Elettronica non sono la stessa cosa.