Il valore della firma digitale nel tempo

La sottoscrizione autografa apposta ai documenti cartacei riesce a mantenere nel tempo la sua leggibilità fintantoché il supporto su cui è stata eseguita viene preservato da agenti esterni quali incendi, inondazioni, esplosioni, batteri, etc. È possibile infatti consultare contratti o accordi commerciali perfettamente conservati, quali per esempio quelli redatti al tempo della Repubblica di Venezia oppure dai banchieri fiorentini. Il merito è da attribuire, oltre che agli archivisti, anche ai tecnici che con competenza e professionalità hanno saputo portare sino a noi documenti così delicati, e dimostrando come la sottoscrizione autografa sia stata la forma più semplice per concludere affari e far crescere l’economia.

La sottoscrizione autografa, così come aveva ben rilevato il giurista Francesco Carnelutti nei suoi Studi sulla sottoscrizione (1929), viene eseguita per soddisfare almeno due funzioni: una funzione indicativa, dato che consente di individuare l’autore del documento, e una funzione dichiarativa dato che vi è un’assunzione della paternità del documento.

Questo vale naturalmente anche per la firma digitale, rilevando che a norma dell’art.20, comma 1-bis del CAD, il documento informatico sottoscritto con firma digitale:

1. soddisfa il requisito della forma scritta;
2. ha l’efficacia prevista dall’art. 2702 del Codice civile, e quindi “fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.”

A differenza però della sottoscrizione autografa, dove appunto è il gesto fatto con la mano del firmatario a generare la sottoscrizione e la cui forma grafica in una persona adulta rimane pressoché simile nel corso dell’intera vita (salvo malattie, incidenti, dolori, etc), nel caso della firma digitale questa viene generata tramite due algoritmi (SHA-256 e RSA) che operano all’interno del dispositivo di firma, quale per esempio smart-card, Token USB, HSM. All’interno del dispositivo è poi racchiuso il certificato di firma del sottoscrittore, che a sua volta contiene la chiave pubblica RSA che consente di verificare in qualsiasi momento la validità della firma digitale, e che deve altresì indicare, così come previsto nell’allegato I del regolamento 910/2014, la data “dell’inizio e della fine del periodo di validità del certificato”.

Il certificato di firma ha infatti una durata limitata, ogni 3 anni va rinnovato, e questo essenzialmente perché vi è una crescita esponenziale della capacità computazionale dei computer che potrebbe compromettere l’autenticità e l’integrità della stessa firma e quindi dei dati contenuti nel documento informatico sottoscritto. È centrale quindi capire cosa succede a un documento informatico firmato digitalmente dopo che il certificato di firma è scaduto.

Va subito rilevato che a norma dell’art. 24, terzo comma del CAD, “Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso”, dato che in caso contrario equivarrebbe a “mancata sottoscrizione”. In sostanza quindi, il tool che consente la creazione della firma digitale tramite l’ausilio del dispositivo sicuro di firma conforme ai requisiti indicati nell’allegato II del regolamento 910/2014, non deve permettere la generazione di una firma digitale qualora il certificato di firma sia scaduto, oppure revocato o sospeso. Altro aspetto da considerare, è che la verifica dei certificati di firma va eseguita alla data della generazione della firma, e non quando viene eseguita la verifica.

Se quindi Caio e Sempronio firmano digitalmente in data 20 maggio 2021 un contratto in formato PDF, di certo in quella data i certificati di entrambi i firmatari erano validi, dato che se così non fosse, il tool impiegato per creare la firma digitale non risponderebbe alle indicazioni riportate all’art. 24, terzo comma del CAD.  È necessario però avere delle evidenze informatiche in grado di dimostrare che le firme furono create il 20 maggio 2021, cioè in una data in cui i certificati di entrambi erano validi e che sarà la data in cui eseguire la verifica dei certificati di firma.

Tale aspetto viene risolto inserendo nella busta crittografica la cosiddetta “data di firma”, che consiste in un’informazione che il tool impiegato per creare la firma digitale acquisisce dal computer su cui è installato, il quale a sua volta può essere sincronizzato per esempio con i server NTP dell’INRiM. Tale informazione è nella sostanza un riferimento temporale, cioè una “evidenza informatica, contenente la data e l’ora, che viene associata ad uno o più documenti informatici” (DPCM 22/2/2013), che però è sempre possibile modificare, e in questo caso la presenza di un valido sistema di log management consentirebbe di fare emergere l’imbroglio.

Ritornando invece alla domanda iniziale, e cioè quali sono le conseguenze sul documento informatico firmato digitalmente dopo che il certificato di firma è scaduto, è necessario riportare quanto indicato all’art. 62 del DPCM 22 febbraio 2013: “Le firme elettroniche qualificate e digitali, ancorchè sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato”.

Va subito chiarito che la firma digitale da un punto di vista tecnico rimane sempre valida ancorchè sia scaduto il certificato di firma, mentre ciò che cambia è il valore probatorio del documento informatico sottoscritto con una firma digitale il cui certificato è scaduto. Anziché infatti mantenere un’efficacia probatoria ex art. 2702 del Codice civile, si ritiene che il documento informatico sottoscritto con una firma digitale avente il certificato di firma scaduto, dato appunto che il documento sottoscritto diventa informaticamente “meno sicuro”, assuma un’efficacia probatoria ex art. 2712 del Codice civile (Riproduzioni meccaniche).

Con la scadenza del certificato di firma si attiva una sorta di “presunzione di inaffidabilità” che riduce l’efficacia probatoria del documento, e per evitare tale criticità la soluzione da adottare è di associare alla firma digitale un “riferimento temporale opponibile ai terzi”, quale per esempio una marca temporale, che ricordiamo è anch’essa una firma digitale, ma dove però le informazioni vengono conservate per almeno 20 anni in un archivio non modificabile da parte della Certification Authority. Da rilevare che l’associazione della marca temporale ai documenti informatici firmati digitalmente, può essere conseguita anche con la conservazione digitale, dato appunto che l’indice del pacchetto di archiviazione viene firmato digitalmente e marcato temporalmente dal responsabile della conservazione, e questo ci consente ancora una volta di sostenere l’estrema importanza della conservazione digitale.