Documenti informatici e firme elettroniche: caratteristiche, tipologie e funzioni

Che cosa si intende per documento informatico

Il giurista Francesco Carnelutti negli anni ’50 definiva il documento come “una cosa che fa conoscere un fatto”, aprendo alla possibilità di impiegare la fotografia quale prova nei processi civili e non solo. L’evoluzione tecnologica iniziata negli anni ’90 e diventata sempre più pervasiva con il finire del vecchio millennio, ha portato il legislatore a dover intervenire in più occasioni per dare una nuova definizione al documento informatico. L’attuale art. 1, comma 1, lettera p) del D.Lgs 7 marzo 2005 n. 82, definisce infatti il documento informatico come “il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

È necessario però chiarire almeno un aspetto, diversamente si rischia di dare una fuorviante interpretazione al concetto di documento informatico. Se infatti nel mondo analogico la rappresentazione dell’atto o del fatto che si intende comunicare avviene tramite segni prodotti sulla carta con una biro e creando in questo modo un tutt’uno tra carta e inchiostro, nel caso del documento informatico la rappresentazione degli atti e dei fatti è più articolata. In effetti essa si svolge tramite l’ausilio di almeno tre elementi: i bit, che sono l’unità elementare del documento informatico e che possono essere memorizzati su server localizzati a centinaia di chilometri dal luogo ove si svolge la rappresentazione, il software in grado di elaborare i bit ed estrarne una rappresentazione del documento informatico, e infine il video che consente all’occhio umano di visualizzare realmente il documento informatico. In definitiva quindi, ciò che vediamo nel video e che possiamo con estrema semplicità leggere o modificare, non è altro che la rappresentazione visiva dei bit opportunamente trattati dal software, che sono quindi la componente base del documento informatico.

La firma elettronica

Nell’ambito degli studi sulla sottoscrizione, Carnelutti attribuiva alla firma oltre che una funzione indicativa, in quanto consente di “discernere dagli altri l’autore del documento”, anche una funzione dichiarativa, dato appunto che sottoscrivere un documento significa “assunzione della paternità del documento”. Questi aspetti non sono variati negli anni, nemmeno con l’introduzione delle firme elettroniche da utilizzare per sottoscrivere contratti redatti in modalità informatica. A norma infatti dell’art. 3, primo comma, n. 10 del regolamento 910/2014, con firma elettronica si intende “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. Considerato poi che le firme elettroniche sono intrinsecamente connesse alle diverse tecnologie impiegate per generarle, il legislatore ha previsto diverse tipologie di firme elettroniche aventi naturalmente un diverso valore probatorio, e che possiamo raggruppare nelle seguenti sei categorie:

• firma elettronica semplice
• firma elettronica avanzata
• firma elettronica qualificata
• firma digitale
• firma identificata
• firma autenticata.

Ma oltre a essere impiegata quale strumento di sottoscrizione, la firma elettronica, in particolare la firma digitale, viene adottata anche per garantire l’autenticità e l’integrità di un documento informatico. È il caso per esempio della fattura elettronica, dove appunto l’art. 21 del DPR 633/72 prevede la possibilità di apporre al file XML la firma digitale del soggetto emittente, che può essere il cedente/prestatore, il cessionario/committente, oppure un terzo.

La firma grafometrica

Con firma grafometrica si intende la generazione, tramiti appositi dispositivi, dell’immagine grafica della sottoscrizione autografa, a cui possono eventualmente essere associati anche i dati biometrici di tipo comportamentale in forma elettronica del firmatario.

La notevole diffusione della firma grafometrica, soprattutto in alcuni settori quali la logistica oppure il settore finanziario e assicurativo, è essenzialmente dovuta all’assenza di barriere tecnologiche, dato che la sottoscrizione continua a essere eseguita manualmente dal firmatario. Per quest’ultimo quindi non cambia nulla, anziché apporre la sottoscrizione su un supporto cartaceo, questa viene apposta su un tablet in grado di generare l’immagine grafica della firma oltre che intercettare i dati biometrici di tipo comportamentale del firmatario, quali la velocità, l’accelerazione, la decelerazione, la pressione, i tratti e i movimenti aerei, l’angolo di inclinazione e di rotazione della penna.

A seconda del loro impiego, è quindi possibile avere almeno due diverse tipologie di firma grafometrica: una che si limita a generare la sola immagine grafica della sottoscrizione senza acquisire alcun dato biometrico, e un’altra che oltre all’immagine grafica è in grado di intercettare e incapsulare all’interno del documento sottoscritto, i dati biometrici di tipo comportamentale del firmatario.

Il sigillo elettronico

Mentre la firma elettronica è riconducibile a una persona fisica, il firmatario appunto, il sigillo elettronico è invece riconducibile a una persona giuridica, e viene definito dall’art. 3, primo comma, n. 25 del regolamento 910/2014 come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”. Un classico esempio di utilizzo del sigillo elettronico è quando viene utilizzato per sigillare le fatture elettroniche, oppure per sigillare l’indice del pacchetto di archiviazione, che congiuntamente alla marca temporale, stabilisce il momento esatto di quando è conclusa la conservazione digitale.

Anche nel caso dei sigilli elettronici, a secondo della tecnologia impiegata, potremmo avere diverse tipologie di sigillo:

• sigillo elettronico semplice
• sigillo elettronico avanzato
• sigillo elettronico qualificato
• sigillo digitale.

La validazione temporale elettronica

Così come avviene per la scrittura privata redatta su carta, ove oltre alla sottoscrizione delle parti è necessario indicare altresì la data (art. 2704 del codice civile), anche in caso di redazione della scrittura privata tramite documento informatico, è necessario associare una validazione temporale elettronica, definita dall’art. 3, primo comma, n. 33 del regolamento 910/2014 come “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”.

Così come già visto per il sigillo elettronico e la firma elettronica, anche in questo caso, a seconda della tecnologia impiegata, potremmo avere diverse tipologie di validazione temporale elettronica:

• validazione temporale elettronica semplice;
• validazione temporale elettronica qualificata;
• marca temporale.

Il servizio elettronico di recapito certificato

L’art. 3, primo comma, n. 36 del regolamento 910/2014, definisce il servizio elettronico di recapito certificato, “un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate”.

La caratteristica principale del servizio, è quindi quella di fornire una prova in grado di dimostrare che il messaggio è stato regolarmente trasmesso al destinatario e che questi lo ha effettivamente ricevuto. La posta elettronica certificata (PEC) è quindi un servizio elettronico di recapito certificato, dato appunto che è in grado di soddisfare alle suddette garanzie. In tema di PEC, è utile poi rammentare almeno i seguenti due aspetti:

• l’art. 2220 del codice civile prevede un obbligo di conservazione della corrispondenza, il che significa che i messaggi PEC emessi/ricevuti devono essere conservati in sola modalità digitale, evitando di mantenerli nei sistemi PEC del gestore, oppure stamparli su carta dato che in questo modo perderebbero molte informazioni rilevabili solo se mantenute in formato digitale;
• è necessario che il mittente conservi la ricevuta di accettazione e la ricevuta di avvenuta consegna, dato che a norma dell’art. 4, sesto comma, DPR 11 febbraio 2005 n. 68 “la validità della trasmissione e ricezione del messaggio di posta elettronica certificata è attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna, di cui all’articolo 6”.

I formati di un documento informatico: strutturati o non strutturati

Il formato di un documento informatico, così come definito nell’allegato 1 delle linee guida sulla formazione, gestione e conservazione dei documenti informatici, è la “modalità di rappresentazione della sequenza di bit che costituiscono il documento informatico”. È possibile quindi impiegare  formati strutturati (detti anche elaborabili) quali per esempio l’XML oppure il TXT, oppure formati non strutturati quali per esempio il formato PDF oppure TIFF. Aspetto centrale è impiegare formati in grado di garantire il principio di interoperabilità tra diversi sistemi informatici, evitando di utilizzare formati che sono stati oggetto di brevetto.

Con riguardo ai formati strutturati, essenziali se si intende digitalizzare i processi, è necessario dedicare particolare attenzione agli standard, intesi sia in termini di semantica che di sintassi, e in ambito amministrativo è utile evidenziarne almeno due: lo standard UBL (ISO/IEC 19845: 2015) e il CII XML dell’UN/CEFACT.

L’importanza della geolocalizzazione

Sebbene non contemplato dal regolamento 910/2014, la geolocalizzazione di quando si svolgono specifiche attività collegate al documento informatico, è certamente un aspetto rilevante. Al pari dei documenti cartacei, dove per esempio quando viene sottoscritta una scrittura privata viene aggiunto oltre alla data anche il “luogo”, perché serve appunto a stabilire “dove” l’atto si è concluso, lo stesso vale per i documenti informatici. In caso per esempio di firma grafometrica apposta dal cessionario a un documento di trasporto tramite l’utilizzo di un palmare, sarà certamente utile avere anche la prova del luogo di generazione della suddetta firma elettronica, tramite l’associazione al documento informatico delle coordinate GPS in termini di latitudine e longitudine. Lo stesso dicasi in caso di digitalizzazione delle note spese a piè di lista, ove alla foto della spesa sostenuta sono spesso associate anche le coordinate GPS quale prova che il trasfertista si trovava realmente in quel luogo, oppure in caso di controlli ispettivi oppure in ambito assicurativo o immobiliare.

Tracciare gli eventi con i file di log

I file di log, conosciuti anche come log, sono dei file di testo riportanti gli eventi accaduti in un sistema informatico a seguito dell’esecuzione di specifiche attività, come per esempio la registrazione in un sistema contabile di una fattura di acquisto, oppure l’accesso da remoto a un sistema di conservazione digitale. In tutti questi casi, vengono generati e memorizzati nei server, dei log in grado di tracciare diversi aspetti del singolo evento, quale l’utente, l’attività svolta, la data e l’ora di inizio e termine, etc.

Sebbene storicamente i log siano stati impiegati soprattutto in ambito debug (permettere allo sviluppatore del software di identificare errori di funzionamento) e in ambito warning (avvertire che è successo un evento nel sistema informatico), negli ultimi anni è cresciuto un forte interesse al loro impiego perché consentono di disegnare in modo puntuale i processi aziendali. La tecnica, conosciuta come process mining, consente infatti, partendo per esempio dai log generati da un sistema ERP, di creare una mappa dei reali processi presenti all’interno dell’azienda, dato appunto che il tool viene alimentato da dati prodotti da eventi realmente accaduti.

La cifratura

La crittografia è la scienza che studia le tecniche per rendere segreto un messaggio, evitando quindi che un terzo soggetto, qualora ne venga in possesso, possa leggerne il contenuto. È il caso per esempio della Scitala usata dagli spartani e che scrivevano i messaggi su un nastro di papiro avvolto intorno a un bastone e quindi era necessario avere un identico bastone per leggere il messaggio, oppure Enigma, una macchina a rotori utilizzata dai tedeschi nella seconda guerra mondiale per cifrare le comunicazioni. Quanto detto vale anche per i documenti informatici, e in questo caso avremo che il testo originale (testo in chiaro), viene trattato da un apposito algoritmo (algoritmo di cifratura), che tramite l’impiego di una chiave segreta rende il documento inintelligibile (testo cifrato), dopodiché, tramite il medesimo algoritmo e la stessa chiave segreta, viene decifrato e reso leggibile.

In molti contesti, la cifratura dei documenti informatici è un obbligo (si pensi ad esempio ad alcuni documenti sanitari), in altri è una opzione (ad esempio particolari verbali CdA di istituti bancari e finanziari), in altri sono vietati (come ad esempio le fatture elettroniche).

FAQ correlate

• In ambito fiscale, la generazione della copia per immagine di documenti cartacei, deve prevedere la firma digitale?
• La firma con OTP è una firma elettronica semplice oppure avanzata?