In sintesi
L'
articolo 24 del CAD disciplina la firma digitale, la più rigorosa tra le firme elettroniche disponibili in Italia. La firma digitale è una particolare forma di firma elettronica qualificata, basata su tecnologia crittografica a chiavi asimmetriche, in cui ogni firmatario possiede una chiave privata (custodita nel dispositivo di firma) e una chiave pubblica (resa accessibile tramite certificato qualificato).
Il comma 1 stabilisce due requisiti essenziali: la firma deve riferirsi in maniera univoca a un solo soggetto (riconducibilità) e al documento o all'insieme di documenti cui è apposta o associata (integrità). È la garanzia tecnica del legame tra firmatario e contenuto.
Il comma 2 attribuisce alla firma digitale una funzione sostitutiva piena: l'apposizione di firma digitale «integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere» ad ogni fine previsto dalla normativa vigente. Significa che ogni volta che una norma richiede un sigillo o un timbro su un atto, la firma digitale è equivalente.
Il comma 3 prescrive l'uso di un «certificato qualificato» che, al momento della sottoscrizione, non sia scaduto, revocato o sospeso. Il certificato è il documento elettronico emesso da un prestatore di servizi fiduciari qualificato (in Italia accreditato presso l'AgID) che attesta il legame tra firmatario e chiave pubblica.
Il comma 4 rinvia alle Linee guida AgID per la rilevazione di validità del certificato, identificazione del titolare e del certificatore, eventuali limiti d'uso, modalità anche temporali di apposizione della firma.
Il comma 4-bis stabilisce un'importante regola: l'apposizione a un documento di una firma digitale o di altra firma elettronica qualificata basata su un certificato revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o sospensione hanno effetto dal momento della pubblicazione, salvo che il revocante dimostri che era già a conoscenza delle parti.
Il comma 4-ter disciplina il riconoscimento delle firme rilasciate da certificatori extra-UE: requisiti eIDAS, garanzia di certificatore UE, accordi bilaterali. La norma dialoga con il Regolamento eIDAS, con gli articoli 20-21 del CAD, con la disciplina dei prestatori di servizi fiduciari.
Art. 24 D.Lgs. 82/2005 CAD — Firma digitale
In vigore dal 01/01/2006
1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata.
2. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le ((Linee guida)) , la validità del certificato stesso, nonché gli elementi identificativi del titolare ((di firma digitale)) e del certificatore e gli eventuali limiti d'uso. ((Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma.))
4-bis. L'apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
4-ter. Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni: a) il certificatore possiede i requisiti previsti dal regolamento eIDAS ed è qualificato in uno Stato membro; b) il certificato qualificato è garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui al medesimo regolamento; c) il certificato qualificato, o il certificatore, è riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali.
Commento
La firma digitale è l'invenzione giuridica forse più importante dell'amministrazione digitale italiana. Introdotta già nel 1997 con il D.P.R. 513, ben prima del CAD, ha rappresentato per molti anni l'unica forma di firma elettronica con piena equivalenza alla sottoscrizione autografa. L'articolo 24 ne codifica la disciplina in modo organico, evidenziandone la natura tecnica (crittografia asimmetrica), la funzione probatoria (riconducibilità e integrità) e i requisiti operativi (certificato qualificato valido). Il legislatore ha mantenuto la denominazione «firma digitale» anche dopo l'entrata in vigore del Regolamento eIDAS, che parla genericamente di «firma elettronica qualificata»: in pratica, ogni firma digitale italiana è una firma qualificata eIDAS, ma non ogni firma qualificata UE è una firma digitale in senso tecnico (perché la firma digitale richiede crittografia asimmetrica specifica).
Il principio di univocità del comma 1 è la base dell'imputabilità: il titolare del certificato è univocamente identificato e la firma è inscindibilmente legata al documento. Tecnicamente, la firma digitale è il risultato di una funzione di hash applicata al documento e successivamente cifrata con la chiave privata del firmatario. Chiunque, conoscendo la chiave pubblica (contenuta nel certificato), può verificare la firma: se l'hash decifrato corrisponde all'hash calcolato sul documento, la firma è valida e il documento non è stato alterato. Qualsiasi modifica successiva del documento, anche di un singolo carattere, invalida la firma: questa è la garanzia matematica dell'integrità che il diritto traduce in efficacia probatoria.
L'equivalenza al sigillo del comma 2 ha avuto conseguenze straordinarie nella pratica amministrativa. Atti che storicamente richiedevano il timbro del Comune, della Questura, del notaio o del giudice oggi sono firmati digitalmente senza più sigillo cartaceo. La portata della disposizione è universale: «ad ogni fine previsto dalla normativa vigente». L'unica eccezione è la firma autografa autenticata, che richiede la presenza fisica del pubblico ufficiale; ma anche questa fattispecie è progressivamente dematerializzata tramite atto pubblico notarile informatico ai sensi del D.Lgs. 110/2010.
Il comma 4-bis disciplina uno dei profili più delicati: l'effetto della revoca o sospensione del certificato. La regola è chiara: una firma apposta con certificato scaduto, revocato o sospeso è giuridicamente equiparata alla mancata sottoscrizione. Il documento è privo di efficacia probatoria di scrittura privata. La revoca o sospensione hanno effetto dal momento della pubblicazione nella lista di revoca (CRL) del prestatore, accessibile pubblicamente. Tuttavia, il revocante che dimostri di aver portato a conoscenza altre parti interessate prima della pubblicazione può opporre la revoca anche per il periodo anteriore: è un'eccezione che bilancia certezza del traffico e tutela del titolare. I problemi applicativi tipici riguardano: la verifica della validità del certificato al momento della firma (oggi automatizzata dai software di firma e verifica); la conservazione di lungo periodo del documento firmato, perché il certificato scade dopo qualche anno e il valore probatorio richiede marca temporale (validazione temporale qualificata); il riconoscimento transfrontaliero, disciplinato dal comma 4-ter e dall'articolo 25 del Regolamento eIDAS. Il coordinamento con il Regolamento (UE) 2016/679 sulla protezione dei dati impone inoltre che i prestatori di servizi fiduciari trattino i dati personali del titolare con misure adeguate, in particolare quelli biometrici raccolti in fase di identificazione. La firma digitale resta il presidio fondamentale della sicurezza dei traffici giuridici digitali, e la sua disciplina dell'articolo 24 ne assicura la robustezza tecnica e giuridica.
Prassi e linee guida
· 25/01/2024
AgID
Leggi il documento su www.agid.gov.itCasi pratici
Caso 1: Firma di un contratto con certificato scaduto
Un libero professionista firma digitalmente un contratto di consulenza usando una smart card il cui certificato è scaduto da due giorni. Il software di firma non aveva ricevuto l'aggiornamento della lista di revoca e non ha segnalato l'errore. Il committente, scoprendo la scadenza, contesta l'efficacia del contratto ai sensi del comma 4-bis dell'articolo 24 del CAD. Il giudice, verificata la scadenza del certificato al momento della firma, conclude che la sottoscrizione è giuridicamente inesistente: il contratto è privo del requisito di forma scritta e non produce gli effetti di scrittura privata. Per superare il problema il professionista deve rinnovare il certificato presso il prestatore di servizi fiduciari (operazione che richiede nuova identificazione) e rifirmare il contratto. La lezione operativa è di verificare sempre la data di scadenza prima di firmare atti rilevanti.
Caso 2: Riconoscimento di una firma digitale francese in Italia
Una società italiana stipula un contratto di fornitura con una società francese. Il legale rappresentante francese firma con un certificato qualificato emesso da un prestatore francese (Certinomis), iscritto nella «trusted list» UE. Ai sensi dell'articolo 24, comma 4-ter, del CAD e dell'articolo 25, paragrafo 3, del Regolamento eIDAS (UE 910/2014), la firma qualificata francese è riconosciuta in Italia come firma qualificata, con gli stessi effetti probatori dell'articolo 2702 c.c. La società italiana verifica la firma tramite software conforme eIDAS, consultando la trusted list UE per accertarsi che Certinomis sia ancora qualificato. Il contratto è valido in entrambi i Paesi senza necessità di apostille o legalizzazione: l'integrazione UE in materia di servizi fiduciari ha eliminato gli ostacoli burocratici per gli scambi transfrontalieri.
Domande frequenti
Qual è la differenza tra firma digitale e firma elettronica qualificata?
La firma digitale è un sottoinsieme della firma elettronica qualificata. Tecnicamente, la firma digitale italiana usa crittografia a chiavi asimmetriche (tipicamente RSA o ECDSA) e una funzione di hash. La firma elettronica qualificata del Regolamento eIDAS è più generale: qualsiasi tecnologia che soddisfi i requisiti eIDAS (creata con dispositivo qualificato, basata su certificato qualificato, identificazione univoca del firmatario, controllo esclusivo) è una firma qualificata. In Italia ogni firma digitale è anche firma qualificata, ma una firma qualificata estera potrebbe non essere tecnicamente una «firma digitale» nel senso italiano. Sul piano degli effetti giuridici, sono equivalenti.
Cosa succede se firmo digitalmente con un certificato scaduto?
Il comma 4-bis dell'articolo 24 è esplicito: la firma apposta con certificato scaduto, revocato o sospeso equivale a «mancata sottoscrizione». Il documento è privo di efficacia di scrittura privata ai sensi dell'articolo 2702 c.c., e tutti gli effetti giuridici che la legge collega alla sottoscrizione (per esempio la nullità per difetto di forma per atti dell'articolo 1350 c.c.) si producono come se la firma non ci fosse. Per evitare il problema occorre verificare la validità del certificato prima di firmare (i software di firma lo fanno automaticamente) e, in caso di scadenza imminente, rinnovare il certificato presso il prestatore di servizi fiduciari prima di apporre nuove firme.
Come posso verificare se una firma digitale è valida?
Esistono software di verifica gratuiti rilasciati dai prestatori di servizi fiduciari (Aruba, InfoCert, Namirial, Poste Italiane) e dall'AgID. Caricando il file firmato (con estensione .p7m, .pdf o .xml a seconda del formato di firma), il software controlla: la validità del certificato al momento della firma (consultando la lista di revoca CRL o il protocollo OCSP), l'integrità del documento (riapplicando la funzione di hash), l'identità del firmatario, l'eventuale validazione temporale tramite marca. Il risultato della verifica è un report che attesta la validità della firma. La verifica può essere eseguita anche online, tramite portali dedicati.
Posso firmare digitalmente per conto di un'altra persona?
No. La firma digitale è personale e non delegabile: il certificato qualificato è intestato a una specifica persona fisica e legato a un dispositivo (smart card, token USB, HSM) di cui solo il titolare ha il controllo. L'uso da parte di terzi viola gli obblighi contrattuali con il prestatore di servizi fiduciari e può integrare reati come la sostituzione di persona (articolo 494 c.p.) o l'uso di atto falso (articolo 489 c.p.). L'unica eccezione è la procura: chi firma in nome e per conto di un'altra persona deve avere una procura ad hoc, ma firma con il proprio certificato indicando di agire per altri. Esistono anche certificati di firma per «rappresentanti legali» di società, ma sono intestati alla persona fisica che riveste la carica.
Vedi anche