Nel contesto della crescente digitalizzazione dei processi documentali, come si è visto vi sono varie firme “digitali” o meglio, elettroniche: firme a confronto.
Nello specifico la firma elettronica qualificata (FEQ) rappresenta uno strumento fondamentale per garantire validità legale ai documenti sottoscritti digitalmente. Il quadro normativo che disciplina questa materia è articolato e multilivello, trovando nel Regolamento eIDAS (Regolamento UE n. 910/2014, recentemente modificato dal Regolamento UE 2024/1183 dell’11 aprile 2024) il suo fondamento europeo, mentre a livello nazionale è il Codice dell’Amministrazione Digitale (D. Lgs. 82/2005) insieme al DPCM del 22 febbraio 2013 a completare l’impianto regolatorio. In particolare, il Regolamento eIDAS ha istituito un quadro europeo per l’identità digitale che consente il riconoscimento transfrontaliero dei servizi fiduciari qualificati. L’articolo 24 bis stabilisce che le firme elettroniche qualificate basate su certificati qualificati rilasciati in uno Stato membro siano riconosciute come tali in tutti gli altri Stati membri, creando così un sistema armonizzato a livello continentale. Di fondamentale importanza è anche l’articolo 25, che sancisce il principio secondo cui a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. Lo stesso articolo stabilisce inoltre che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa, equiparazione che ne determina la piena validità legale.
Dal punto di vista tecnico-giuridico, la firma elettronica qualificata viene definita dal Regolamento eIDAS come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato“. Per essere considerata valida e pienamente efficace, questa tipologia di firma deve soddisfare una serie di requisiti sostanziali. In primo luogo, deve esistere una stretta connessione tra l’oggetto sottoscritto e la firma stessa, nonché tra la firma e i dati contenuti nel certificato del titolare. Tale firma deve essere apposta mediante un “dispositivo per la creazione di una firma elettronica qualificata” sul quale il firmatario deve poter esercitare un controllo esclusivo.
Il processo di convalida di una firma elettronica qualificata, che ne conferma la validità legale, è disciplinato dall’articolo 32 del Regolamento eIDAS e deve rispettare gli atti di esecuzione emanati dalla Commissione Europea ai sensi del paragrafo 5 degli articoli 27 o 37 dello stesso regolamento. Tra i requisiti fondamentali per la validità del processo di convalida, è necessario verificare che: i) il certificato associato alla firma fosse, al momento della firma, un certificato qualificato conforme all’allegato I; ii) il certificato qualificato sia stato rilasciato da un prestatore di servizi fiduciari qualificato e fosse valido al momento della firma; iii) i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione; iv) l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; v) l’eventuale impiego di uno pseudonimo sia chiaramente indicato; la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata; vi) l’integrità dei dati firmati non sia stata compromessa; vii) e infine che fossero soddisfatti i requisiti dell’articolo 26 al momento della firma.
Proprio l’articolo 26 definisce le caratteristiche che deve possedere una firma elettronica avanzata per essere considerata tale: a)dev’essere connessa unicamente al firmatario; dev’essere idonea a identificare il firmatario; b) dev’essere creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; c) e dev’essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Dal punto di vista operativo, l’implementazione di una firma elettronica qualificata richiede l’utilizzo di strumenti software certificati e conformi alle normative vigenti. Tra le soluzioni tecnologiche disponibili, quelle basate su dispositivi mobili come smartphone o tablet rappresentano un’opzione particolarmente diffusa.
Questi strumenti consentono di registrare la firma di una persona utilizzando parametri biometrici come accelerazione, velocità e ritmo, caratteristiche che possono essere analizzate forensicamente in caso di controversia. Aspetto fondamentale è anche la “rilegatura documenti”, processo mediante il quale la firma, comprensiva di tutti i parametri biometrici, viene incorporata in modo sicuro utilizzando una crittografia a chiave pubblica asincrona e associata in modo univoco al documento PDF di destinazione, prevenendo così possibili attacchi di tipo copia/incolla. I documenti sottoscritti con firma elettronica qualificata risultano compatibili con i visualizzatori PDF standard come Adobe Acrobat, essendo sigillati con una firma digitale conforme agli standard ISO per PDF.
La validità della firma digitale può essere così convalidata con Adobe Reader e molti altri visualizzatori PDF. Un elemento determinante per la validità della firma elettronica qualificata è il ruolo del certificatore, ovvero la terza parte fidata che, in qualità di Qualified Trust Service Provider (QTSP) ai sensi del Regolamento eIDAS, garantisce la corrispondenza tra le chiavi di firma e il sottoscrittore. In Italia, questi certificatori devono essere riconosciuti dall’Agenzia per l’Italia Digitale (AgID) e inseriti nell’apposita lista europea dei prestatori di servizi fiduciari qualificati. L’algoritmo di firma generalmente utilizzato è lo SHA-256, standard predefinito per la firma digitale di documenti PDF in Acrobat dalla versione 9.1 e standard adottato dai certificatori accreditati per la sottoscrizione di certificati elettronici.
Un aspetto particolarmente rilevante sotto il profilo giuridico è quello relativo all’onere probatorio. L’articolo 21, comma 2, del Codice dell’Amministrazione Digitale stabilisce che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria“. Si tratta di una previsione di fondamentale importanza, in quanto introduce un’inversione dell’onere probatorio a carico del titolare del dispositivo di firma, il quale, in caso di contestazione, deve fornire la prova di non averlo utilizzato. Questa disposizione rafforza notevolmente il valore probatorio della firma elettronica qualificata, conferendole una presunzione di autenticità che può essere superata solo attraverso una prova contraria specifica.
In conclusione, la firma elettronica qualificata rappresenta uno strumento giuridicamente robusto per la sottoscrizione di documenti digitali, garantendo un livello di sicurezza e certezza legale equivalente a quello della firma autografa tradizionale. La sua validità è assicurata da un articolato sistema normativo e tecnico che, attraverso l’interazione tra regolamenti europei e legislazione nazionale, definisce requisiti stringenti sia per i prestatori di servizi fiduciari qualificati sia per i processi di generazione e verifica della firma stessa.
La crescente diffusione di soluzioni tecnologiche conformi a tali requisiti sta contribuendo a rendere sempre più agevole e sicuro l’utilizzo della firma elettronica qualificata, favorendo così la digitalizzazione dei processi documentali in ambito pubblico e privato.