L’esigenza della firma elettronica è nata originariamente, nell’ambito della Pubblica Amministrazione, con

l’obiettivo di permettere la redazione sicura di atti amministrativi in forma elettronica ai quali riconoscere
garanzia di autenticità e integrità. La firma elettronica, con la tecnologia ad essa connessa, assume in tale
contesto un ruolo di grande importanza quale garanzia di autenticità di gran lunga superiore alla
tradizionale firma autografa. Venticinque anni sono ormai trascorsi da quando l’idea avveniristica di alcuni
luminari è stata esternata e significative sono state le riforme legislative che da quell’idea hanno preso
avvio finalizzate a riconoscere la validità giuridica della firma elettronica e dell’atto amministrativo in forma
elettronica. Quest’ultimo atto normativo, all'articolo 1, distingue i concetti di "firma elettronica", "firma
elettronica qualificata" e "firma digitale".

a) Per "firma elettronica" la legge intende qualunque sistema di autenticazione del documento informatico.

b) La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che
permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il
controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo. Qualunque tecnologia che permetta
tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".

c) La "firma digitale", è considerata dalla legge come una particolare specie di "firma elettronica
qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.

La firma digitale è l'unico tipo di firma elettronica avanzata oggi conosciuto e utilizzato, per cui i due
concetti tendono a coincidere.

La titolarità della firma digitale è garantita dai "certificatori": si tratta di soggetti con particolari requisiti di
onorabilità, accreditati presso il CNIPA (Centro nazionale per l'informatica nelle pubbliche amministrazioni),
che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di
un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è
quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere
l'attività bancaria. I certificatori non sono quindi soggetti singoli, ma piuttosto grosse società (per esempio,
un certificatore è l'ente "Poste italiane"). L'acquisizione di una chiave privata è a pagamento ed ha una
scadenza, nonostante il fatto che la firma sia un mezzo legale per l'esercizio di diritti naturali della persona.
Sono proprio queste considerazioni la base dalla quale è partita l’idea del presente lavoro il quale, uscendo
fuori dai confini nazionali e assumendo un punto di vista più internazionalistico, analizzerà quali sono stati i
contributi che gli altri Paesi hanno fornito per l’operare della firma elettronica quale metodo di
autenticazione. Più precisamente, l’obiettivo che ci si propone di raggiungere è quello di individuare
attraverso un’analisi legislativa comparativa in che modo le iniziative assunte dai Paesi membri dell’Unione
Europea, prima e dopo l’emanazione della direttiva 1999/93/CE sulle firme elettroniche, e gli Stati Uniti
d’America hanno contribuito o stanno contribuendo all’uso della firma elettronica sia nel settore privato
sia, e soprattutto, nel settore pubblico. Infatti, a partire dalla seconda metà degli anni 90, all’esigenza
originaria della firma elettronica nella Pubblica Amministrazione si è aggiunta l’esigenza di garantire,
nell’ambito del commercio elettronico, l’affidabilità dell’autenticazione nelle transazioni on line con la
sicura individuazione dell’autore della medesima. La comunicazione elettronica e soprattutto il commercio
elettronico tramite Internet stanno acquistando su scala mondiale un’importanza sempre maggiore,
costituendo uno degli elementi chiave per lo sviluppo della società globale dell’informazione e
dell’economia. Per tenere il passo con questi sviluppi occorre creare delle procedure per il miglioramento
degli standard di sicurezza e per il riconoscimento delle firme elettroniche e dei servizi di certificazione.
Esse sono indispensabili per garantire la sicurezza e la fiducia degli utenti nei nuovi sistemi di autenticazione
e di negoziazione. Il lavoro offrirà così anche spunti per fare qualche previsione futura circa la portata
rivoluzionaria che una crescente diffusione nell’uso della firma elettronica potrà causare sia nell’ambito
della Pubblica Amministrazione che nell’ambito della cosiddetta “new economy”. Nonostante le ragionevoli
difficoltà linguistiche riscontrate nella traduzione di testi e documenti legislativi relativi ai Paesi stranieri dei
quali si è portata analisi, si è cercato di fornire un quadro chiaro e aggiornato sulla firma elettronica e
un’idea circa l’importanza che la regolamentazione legislativa riveste in tale campo quale mezzo di
attribuzione di importanti conseguenze giuridiche e pratiche in assenza delle quali la firma elettronica non
avrebbe potuto affermarsi quale sostituto della tradizionale sottoscrizione autografa.

Quadro internazionale sulla firma elettronica

Modelli legislativi

Se puntiamo lo sguardo nel vasto panorama internazionale notiamo l’esistenza di un numero sempre
crescente di esistenti o proposte discipline legislative in materia di autenticazione elettronica. Prima di
analizzare, più dettagliatamente, le caratteristiche di queste normative con tutti gli aspetti e i problemi ad
essi connessi, risulta nondimeno interessante ed opportuno vedere quali sono stati gli approcci generali che
le legislazioni nazionali hanno adottato. Da uno studio condotto dall’ ILPF sono stati individuati tre approcci
legislativi base.

Effetti giuridici delle firme elettroniche

A livello legislativo l’aspetto basilare che bisogna garantire in tema di firma elettronica è che ad essa venga
riconosciuto effetto legale allo stesso modo della tradizionale sottoscrizione autografa. E così che, dopo
l’esempio dello Stato Americano dello Utah che, con l’“Utah Digital Signatures Law”, entrato in vigore il 27
Febbraio del 1995, ha riconosciuto alla firma digitale gli stessi effetti giuridici della firma autografa, si è
registrata un’esplosione di lavori legislativi e regolamentari da parte dei governi di alcuni paesi del mondo
in materia di firma elettronica. A livello internazionale, l’UNCITRAL, dopo aver emanato, come visto sopra,
una normativa sul commercio elettronico, ha recentemente adottato un “modello di legge”, specificamente
sulla firma elettronica, che provvede di fatto a dare effetto legale alla firma elettronica utilizzata
esclusivamente per le transazioni di tipo commerciale. Alcuni Stati come Australia, Colombia, Ecuador,
Hong Kong e Nuova Zelanda basano la loro legislazione, seppure con qualche divergenza, sul modello
fornito dall’UNCITRAL e in particolare sull’articolo 7. In particolare l’Australia attribuisce effetti legali alla
firma elettronica qualora il sistema utilizzato per generare la firma sia appropriato alle finalità per le quali le
informazioni vengono inviate. Nei paesi di “civil law” l’approccio prescrittivo adottato rende la situazione un
po’ più complessa. È facile rendersi conto di ciò se prendiamo come esempio la direttiva comunitaria
1999/93/CE, la quale pur ispirandosi fortemente al “Draft Uniform Rules on Electronic Signatures” fornita
dall’ UNCITRAL, detta standard più precisi e rigorosi.

Molti Stati hanno fatto un passo avanti riconoscendo ulteriori effetti legali associati all’uso della firma
elettronica e permettendo l’uso della firma elettronica in situazioni dove la legge richiederebbe,
normalmente, forme di autenticazione più sicure come il giuramento o documenti autenticati o sigillati. La
volontà dei legislatori nazionali di estendere questi effetti giuridici alla firma elettronica, o almeno a quelle
che vengono applicate conformemente agli standard prescritti, riflette il fatto che la firma elettronica non è
solamente un semplice sostituto della sottoscrizione autografa, ma è un sistema molto più affidabile e
sicuro. La misura in cui le diverse giurisdizioni hanno adottato o proposto queste misure varia.

Le Autorità di Certificazione
Le Autorità di Certificazione sono sorte in seguito all’esigenza di dare una risposta ad una lacuna della firma
digitale la quale da sola non garantirebbe l’identificazione personale dell’autore del documento. Il loro
compito principale è, quindi, quello di supplire a tale difetto garantendo la corrispondenza tra chiavi
asimmetriche e singolo utente. Più precisamente, un’Autorità di Certificazione è una “parte terza di fiducia”
che riceve un insieme di informazioni, le verifica e le garantisce rispetto a un’altra persona fisica o giuridica.
La funzione essenziale del certificatore è quindi, come sopra accennato, quella di assicurare la
corrispondenza tra un soggetto (o particolari attribuzioni del soggetto) e un dispositivo, in senso lato, di
firma, mediante la certificazione. La certificazione, a sua volta, consiste nell’attestazione, rilevabile
mediante sistemi informatici, che ad un determinato soggetto corrisponde un determinato certificato
digitale. Per quegli Stati che hanno specificamente optato per l’operare della infrastruttura a chiave
pubblica uno dei problemi centrali è stato se richiedere l’esistenza di un’Autorità di Certificazione
autorizzata o se prevedere qualche altra forma di autorizzazione volontaria o di accreditamento. Alquanto
singolare è il fatto che non sempre risulta chiaro se i Paesi richiedano o meno un’Autorità di Certificazione
“de facto” autorizzata. Per esempio, l’articolo 4 della legislazione della Malesia sembra richiedere che
ciascuna Autorità di Certificazione che conferma la validità della firma elettronica deve essere autorizzata,
sotto pena di sanzioni penali. Nello stesso tempo, l’articolo 13 stabilisce che alla firma elettronica non sarà
negata effetto legale semplicemente perché è stata confermata da un’Autorità di Certificazione che non ha
richiesto l’autorizzazione. Il risultato dei due articoli è paradossale in quanto, da un lato, la legislazione
sembra accettare la validità legale della firma digitale confermata da un’ Autorità di Certificazione non
autorizzata, che nello stesso tempo è passibile di sanzioni penali in quanto appunto non autorizzata. Un
altro esempio è la legge sulle transazioni economiche del 1998 di Singapore e i suoi regolamenti, che hanno
stabilito uno schema di autorizzazione volontaria per le Autorità di Certificazione determinando i requisiti
che tali Autorità devono possedere per poter ottenere l’autorizzazione. Nonostante sia previsto un sistema
di accreditamento volontario, ci sono certi benefici di cui godono soltanto le Autorità di Certificazione
autorizzate. Per esempio, soltanto le firme elettroniche che si basano su certificati che sono stati rilasciati
da Autorità di Certificazione autorizzate possono essere ammesse come prove in giudizio. La direttiva della
Comunità Europea, come vedremo, proibisce agli Stati membri di subordinare ad autorizzazione preventiva
l’attività delle Autorità di Certificazione. Questa disposizione ha avuto un impatto significativo soprattutto
sul sistema normativo italiano con diverse modifiche e correzioni, infatti inizialmente prevedeva che tutte le
Autorità di Certificazione dovevano essere obbligatoriamente autorizzate dall’AIPA la quale procede
all’iscrizione in appositi registri, previa verifica dell’esistenza di rigorosi requisiti tecnici e finanziari, non
meglio specificati. Oggi invece successivamente all’entrata in vigore del “Codice Digitale
dell’Amministrazione”, la titolarità della firma digitale è garantita dai "certificatori" (disciplinati dagli articoli
26-32): si tratta di soggetti con particolari requisiti di onorabilità, accreditati presso il CNIPA (Centro
Nazionale per l'Informatica nelle Pubbliche Amministrazioni), che tengono registri delle chiavi pubbliche,
presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico. Fra le
caratteristiche per svolgere l'attività di certificatore di firma digitale vi è quella per cui occorre essere una
società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria. I certificatori non
sono quindi soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un certificatore è
l'ente "Poste italiane"). In quanto, nello stesso tempo, nondimeno, la direttiva permetteva agli Stati membri
di “introdurre e/o conservare sistemi di accreditamento facoltativi volti a fornire sistemi di certificazione
più elevati” a patto che le condizioni relative a tali sistemi siano “obiettive, trasparenti, proporzionate e non
discriminatorie”. Un ultima considerazione che a questo proposito occorre rilevare riguarda il fatto che,
diversamente da quanto inizialmente ipotizzato da molti Stati, il panorama internazionale mette in evidenza
come la maggior parte delle Autorità di Certificazione appartengono al settore privato piuttosto che a
quello pubblico dimostrandosi più idonee allo svolgimento di questo ruolo.
La responsabilità

Una delle questioni più macchinose che circondano la creazione di un sistema di infrastruttura a chiave
pubblica è la misura in cui la legge definisce o limita la responsabilità delle tre parti basilari di una
transazione elettronica sicura. Tali parti sono: la persona che firma il documento digitalmente e che lo invia
al destinatario, la persona che riceve il messaggio e che deve fidarsi sulla sua identità, e infine l’Autorità di
Certificazione che garantisce l’identità o altri requisiti del mittente e che è la parte su cui ricade la
responsabilità nei confronti del destinatario che abbia riposto la sua fiducia in un certificato scaduto,
inesatto o falso. Il tema della responsabilità, elemento centrale di un sistema basato su una infrastruttura a
chiave pubblica, è considerato uno dei volani responsabili delle iniziative legislative in materia di firma
elettronica. Uno dei primi fondamenti logici che hanno portato alla regolamentazione giuridica in materia di
firma elettronica è stato, infatti, il fatto che, in assenza di una limitazione legislativamente imposta alla
potenziale responsabilità delle Autorità di Certificazione, il sistema dell’autenticazione elettronica non
sarebbe mai affiorato nel mercato globale. Tre giurisdizioni, e segnatamente, quella dell’Unione Europea,
della Malesia e di Singapore, hanno previsto un approccio che combina un rigido sistema di responsabilità
per i danni provocati a terzi a causa dell’inesattezza delle informazioni contenute nel certificato o a causa
dell’inaffidabilità dei sistemi o dei prodotti utilizzati per la generazione della firma elettronica, con un
sistema che permette all’Autorità di Certificazione di limitare, almeno sotto certe circostanze, la sua
responsabilità. Malesia e Singapore richiedono alle Autorità di Certificazione di specificare un “determinato
limite di fiducia” in ogni certificato da essi rilasciato. Con questo si limita la potenziale responsabilità delle
Autorità di Certificazione per le perdite causate o dalla fiducia posta in un certificato inesatto su fatti che
l’Autorità di Certificazione avrebbe dovuto confermare, o come la conseguenza della mancata osservanza
dei requisiti di legge prescritti per rilasciare il certificato. Altri Stati si sono comportati diversamente. La
Germania, per esempio, prima che entrasse in vigore la direttiva, non ha mai previsto nella sua legislazione
disposizioni che riguardassero la responsabilità per l’operare dell’infrastruttura a chiave pubblica e,
addirittura, si è energicamente opposta, in sede comunitaria, alle disposizioni che limitano la responsabilità
previste dalla direttiva. Questo comportamento nasce dall’opinione di molti giuristi tedeschi secondo i quali
i principi di responsabilità previsti dalla legge tedesca soddisfano pienamente le esigenze di sicurezza
cautelari di un sistema di infrastruttura a chiave pubblica. Da quanto detto è facile rendersi di conto di
come risulti complicato ottenere un consenso internazionale che investa gli aspetti della responsabilità.
Infatti, mentre alcuni Paesi credono che permettere ai prestatori di servizi di certificazione di limitare la loro
responsabilità sia un prerequisito per il diffondersi dell’autenticazione elettronica, altri credono che questa
limitazione sia non necessaria o prematura.

Armonizzazione internazionale

Il quadro che è emerso dalla precedente analisi pone in evidenza ancora tanta confusione, mancanza di
chiarezza e soprattutto mancanza di omogeneità tra le regole. Uno degli obiettivi più importanti che
occorre, a questo punto, raggiungere è quello dell’armonizzazione della pletora di leggi, normative e
regolamenti sull’autenticazione elettronica che, attuate o solo progettate in diversi Stati del mondo,
conducono semplicemente ad una Babele che rischia di mettere in pericolo l’interoperabilità della firma
elettronica. Soltanto attraverso un quadro legislativo internazionale unitario, la firma elettronica può
trovare il terreno fertile che le consenta di esplicare la sua efficacia al di là del suo ristretto confine
nazionale e di essere con ciò stesso riconosciuta in ogni Stato si trovi ad operare. Ciò che si auspica da più
parti è, quindi, la definizione di regole chiare, precise e soprattutto uniformi che permettano ai Paesi di
tutto il mondo di collaborare e di favorire lo sviluppo delle transazioni elettroniche.
La direttiva comunitaria 1999/93/CE

Precisazione terminologica: “Firma elettronica e firma digitale”

Prima di spingerci nell’analisi dettagliata della direttiva comunitaria è conveniente fare una precisazione
terminologica-concettuale che riguarda due espressioni come “firma elettronica” e “firma digitale” che a
volte vengono erroneamente considerati come sinonimi e che in realtà non lo sono.

La “firma elettronica” è un termine generale privo di qualsiasi prerogativa tecnico-giuridica che fa

riferimento a qualsiasi tecnica finalizzata all’autenticazione elettronica che consente di associare dati ad
altri dati (per esempio firma e documento). I metodi di autenticazione elettronica utilizzati per le firme
elettroniche possono essere raggruppate in tre categorie, “qualcosa che sai”, “qualcosa che sei”, “qualcosa
che hai”, a seconda che il meccanismo di autenticazione si basi sulle conoscenze dell’utente (per esempio,
la conoscenza di una parola chiave o di un numero di identificazione personale), sulle caratteristiche fisiche
dell’utente (come l’impronta digitale o della retina) o sul possesso di un oggetto da parte dell’utente (come
una tessera magnetica o una smart card). Al contrario la “firma digitale” è un termine di specie che si
riferisce a quella particolare firma elettronica che utilizza il sistema di crittografia a doppie chiavi
asimmetriche, una pubblica e una privata. La chiave privata è in genere memorizzata in un dispositivo di
firma normalmente costituito da una smart card, ossia da una carta dotata di un microprocessore e di una
memoria. A questo proposito occorre mettere in evidenza che la smart card può essere utilizzata da sola
oppure può essere associata a diversi metodi di autenticazione più o meno complessi, che vanno dalla
semplice digitazione di un PIN (o di una password) all’utilizzo di uno o, addirittura, più dati biometrici,
derivandone da ciò un diverso livello di sicurezza abbinabile al tipo e al valore delle operazioni che con essa
si intendono effettuare. Come possiamo notare la firma digitale è più specifica riferendosi ad un tipo ben
determinato di tecnologia di autenticazione elettronica, cioè quella della crittografia a chiave pubblica. È
molto importante mettere in evidenza la differenza tra i due termini in quanto l’adozione dell’una o
dell’altra delle espressioni ha significato una diversa scelta di politica legislativa. Scegliere la crittografia a
chiave pubblica come metodo di autenticazione elettronica significa adottare, nella propria normativa, una
tecnica ben delineata cui si riferiscono le disposizioni legislative che inevitabilmente necessitano di una
modifica ed aggiornamento legate alla rapida evoluzione tecnologica. Viceversa, preferire la firma
elettronica non comporta alcuna restrizione dal punto di vista della tecnologia, ma, nello stesso tempo,
presenta l’inconveniente di rendere difficile la regolazione giuridica di una generica tecnologia. La direttiva
comunitaria, ispirata al principio di “neutralità tecnologica” e contrariamente alla scelta fatta in precedenti
comunicazioni, ha optato per la firma elettronica avendo il legislatore adottato “un approccio aperto alle
varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico”. Infatti, il legislatore
comunitario nel predisporre la disciplina della firma elettronica si è preoccupato della funzione che tale
firma deve svolgere evitando qualsiasi riferimento alle tecniche informatiche utilizzate al fine della sua
creazione, permettendo così una facile apertura al progresso tecnologico.

La firma elettronica: definizioni

Secondo il testo della direttiva, la funzione della firma elettronica e dei connessi servizi di certificazione è
quella diretta alla “autenticazione dei dati”, diretta, cioè, ad assicurare la provenienza e la paternità
dell’atto. Infatti, nella direttiva la “firma elettronica” viene definita come un insieme di “dati in forma
elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come
metodo di autenticazione”. Come può agevolmente notarsi, la definizione indica due diversi metodi di
associazione tra firma elettronica e documento, la firma “allegata ai dati” che si riferisce ad una firma
contenuta nello stesso file, e la firma “ad essi connessa tramite associazione logica” che si riferisce ad una
firma contenuta in un diverso file. Se leggiamo la sopraccitata definizione in correlazione con quella di “dati
per la creazione di una firma” e con quella relativa al “dispositivo per la creazione della firma” si intuisce
come l’ordinamento comunitario attribuisce rilievo giuridico a firme elettroniche, non importa se eseguite
con un “software o un hardware”, che utilizzano dati peculiari, come codici o chiavi crittografiche private,
allegati oppure connessi (tramite associazione logica) ad altri dati elettronici come “metodo di
autenticazione”. Inoltre, dalla definizione relativa a “dati per la verifica della firma” si arguisce che la
direttiva ha voluto porre come presupposto necessario la verificabilità della firma elettronica attraverso
“codici o chiavi crittografiche pubbliche”. Oltre alla firma elettronica semplice la direttiva comunitaria
prevede un altro tipo di firma elettronica la cosiddetta “firma elettronica avanzata” che è “una firma
elettronica” che soddisfa i seguenti requisiti : a) essere connessa in maniera unica al firmatario; b) essere
idonea ad identificare il firmatario; c) essere creata con mezzi sui quali il firmatario può conservare il
proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l’identificazione
di ogni successiva modifica di detti dati. Ai sensi di tale definizione si richiede, quindi, che la firma
elettronica individui un unico firmatario rendendo impossibile l’eventualità che un altro soggetto realizzi la
stessa firma elettronica. Tale requisito è strettamente connesso con quello di cui al punto c) dove si fa
riferimento all’affidabilità dei mezzi sui quali il firmatario deve conservare il controllo esclusivo. Nel punto
b) ci si richiama, invece, alla cosiddetta funzione indicativa della firma cioè alla idoneità della sottoscrizione
ad identificare il suo autore. Il punto finale fa, invece, riferimento ad una caratteristica peculiare della firma
elettronica avanzata, non trovando riscontro ad una equivalente proprietà della firma autografa
tradizionale, ovvero all’idoneità della firma elettronica a rivelare l’integrità del documento cui è apposta. La
sua finalità è quella di impedire che, date le caratteristiche del documento in formato elettronico, l’insieme
dei dati che costituiscono la firma elettronica possa essere facilmente copiato e inserito in un altro
documento. La direttiva introduce un terzo ed ultimo tipo di firma elettronica, la “firma sicura” che viene
individuata con riferimento al dispositivo utilizzato per la creazione della firma stessa, il quale deve
soddisfare i requisiti di cui all’Allegato III della direttiva comunitaria e pertanto deve garantire che i dati per
la creazione della firma utilizzati nella generazione della stessa devono comparire una sola volta e non
devono essere derivati, inoltre deve essere protetta e tutelata adeguatamente da contraffazioni, anche
contro l’uso da parte di terzi. Si tratta di un tipo di firma i cui requisiti rafforzano e specificano quanto
previsto a proposito della “firma elettronica avanzata” con riferimento al requisito della identificabilità di
ogni successiva modifica dei dati collegati alla firma.

I prestatori di servizi di certificazione

La direttiva è volta a disciplinare i requisiti essenziali dell’attività dei prestatori di servizi di certificazione, al
fine di armonizzare il quadro giuridico e favorire lo sviluppo del settore. Si precisa, a questo riguardo, che il
termine “prestatori di servizi di certificazione” non si riferisce soltanto alle Autorità di Certificazione
strettamente intese, ma anche ai fornitori dei servizi di validazione temporale, ai notai elettronici e ai
fornitori dei servizi di archiviazione elettronica. Partendo dalla definizione di prestatore di servizi di
certificazione quale “entità o persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi
alle firme elettroniche”, contenuta nell’articolo 2, la direttiva regola, nel successivo articolo 3, il loro
accesso al mercato. Principio fondamentale, qui stabilito, è che gli Stati membri non possono subordinare
ad autorizzazione preventiva la prestazione di servizi di certificazione. Con autorizzazione preventiva non ci
si riferisce solamente ad una decisione da parte delle autorità nazionali che permette ai prestatori di servizi
di certificazione interessati di esercitare la loro attività, ma è compresa anche ogni altra misura avente
effetto equivalente. Infatti, la Commissione Europea, ha ritenuto superfluo predisporre ulteriori forme di
controllo, in quanto confida nelle capacità evolutive delle tecnologie e del mercato, in grado da sole di
assicurare elevati standard di sicurezza per gli utenti. È fatta, tuttavia, salva la facoltà per gli Stati membri di
introdurre o mantenere sistemi di accreditamento facoltativo in modo tale da incoraggiare un servizio di
certificazione di livello più elevato senza alcuna limitazione di carattere numerico e purché le condizioni
relative a tali sistemi di accreditamento siano obiettive, trasparenti, proporzionate e non discriminatorie.
Con riferimento alle caratteristiche del sistema di certificazione, la direttiva distingue tra “certificato”
definito come “un attestato elettronico che collega i dati di verifica della firma ad una persona e conferma
l’identità di tale persona” e “certificato qualificato” quale “certificato conforme ai requisiti di cui all’allegato
I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti di cui all’allegato II ”. È
possibile, infine, considerare almeno altre due categorie di certificatori non esplicitamente disciplinati dalla
direttiva e costituita dai prestatori di servizi di certificazione che rilasciano “certificati non qualificati” e dai
prestatori di servizi di certificazione che rilasciano certificati diversi dai certificati d’identità.

Efficacia giuridica delle firme elettroniche

Il principio, che è anche l’obiettivo, di maggior rilevanza affermato dalla direttiva è senza dubbio quello del
riconoscimento, o meglio, del non disconoscimento giuridico delle firme elettroniche, solennemente
sancito dall’articolo 1, comma 1° e, meglio precisato, nell’articolo 5. Tale articolo stabilisce che alle firme
elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione
di una firma sicura devono essere riconosciuti, dagli Stati membri, gli stessi effetti giuridici delle firme
autografe apposte su documenti cartacei. Il riconoscimento giuridico della firma elettronica si articola,
altresì, su un altro piano che è quello dell’efficacia probatoria del documento in cui è stata apposta la firma
elettronica, ammettendolo, quindi, come mezzo probatorio di autenticazione nei procedimenti giudiziari. Il
principio del non disconoscimento delle firme elettroniche stabilito dal legislatore comunitario implica,
dunque, che non si neghi valore giuridico alla firma unicamente a causa della sua forma elettronica. Ma lo
stesso principio reca anche un ulteriore importante specificazione: come risulta dal successivo comma 2,
l’equivalenza delle firme elettroniche che non soddisfano i requisiti di cui all’articolo 5, comma 1, non deve
essere automaticamente negata ma anche alle firme elettroniche che comportano l’automatica equivalenza
alla sottoscrizione autografa in base alla legislazione dello Stato potrà essere riconosciuto lo stesso valore
giuridico della tradizionale sottoscrizione autografa e la loro ammissibilità come prova in giudizio. La
direttiva, in pratica, affida ai legislatori nazionali il compito di provvedere affinché tale equivalenza non
venga negata a priori e il compito di stabilire il valore giuridico di tali firme sulla base di alcuni criteri di
riferimento che devono essere previamente stabiliti. Il principio stabilito dal comma 2 dell’articolo 5 trova
applicazione anche nel caso in cui la firma sia certificata da un prestatore di servizi di certificazione
operante al di fuori della Comunità Europea e non operino le clausole di cui all’articolo 7 della direttiva;
anche in tale circostanza dovrà essere valutato il valore giuridico della firma elettronica.

La responsabilità

La responsabilità dei prestatori di servizi di certificazione è regolata dall’articolo 6 della direttiva

comunitaria la quale detta una norma minimale lasciando ai singoli Stati membri un margine di
discrezionalità nella determinazione di forme di responsabilità più rigide. Tale norma si riferisce ai
prestatori di servizi di certificazione che rilasciano unicamente “certificati qualificati” i quali dovranno
rispondere per i danni provocati a entità o persone fisiche o giuridiche che facciano affidamento su detto
certificato circa “l’esattezza di tutte le informazioni in esso contenute a partire dalla data di rilascio e il fatto
che esso contenga tutti i dati prescritti per un certificato qualificato”, nonché su “la garanzia che, al
momento del rilascio del certificato, il firmatario identificato nel certificato detenesse i dati per la creazione
della firma corrispondenti ai dati per la verifica riportati o identificati nel certificati”, ed infine circa la
“garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in
modo complementare, nei casi in cui il fornitore di servizi di certificazione generi entrambi”. In questo
primo comma è prevista l’obbligazione più strettamente connaturata alla funzione propria del certificatore,
che consiste nell’accertare e pubblicare dati che siano attendibili. L’articolo, inoltre, prevede l’applicazione
del principio dell’inversione dell’onere della prova, principio che tende a favorire la parte lesa. Attraverso
questa regola, infatti, sarà il prestatore di servizi di certificazione a dover provare che le inesattezze
riscontrate nel certificato qualificato che siano state causa di danno nei confronti di terzi che in esso
avevano riposto fiducia, non sono dovute a cause a lui imputabili deve quindi, secondo le parole della
direttiva, provare di “di aver agito senza negligenza”. Il motivo per cui è stata introdotta la regola
dell’inversione dell’onere della prova è da ricercare nella natura di questa materia altamente tecnica e
complicata. Sarebbe, infatti, difficile per un fruitore ordinario della firma elettronica provare l’errore
occorso nell’uso del dispositivo per la creazione della firma. Il comma 3° dell’articolo 6 prevede, invece, che
il prestatore di servizi di certificazione possa indicare nel certificato qualificato i “limiti d’uso di detto
certificato” e non risponda dei danni derivanti dall’uso indebito. Allo stesso modo, il 4° comma, dello stesso
articolo 6, stabilisce che il prestatore di servizi di certificazione possa indicare nel certificato un valore limite
per i negozi per i quali il certificato può essere utilizzato e non risponde dei danni superiori a tale valore
limite a condizione che, in entrambi i casi citati, i limiti d’uso e il valore limite siano riconoscibili da parte dei
terzi. Il prestatore di servizi di certificazione è, inoltre, responsabile della piena osservanza dei requisiti
prescritti dalla direttiva riguardo al rilascio del certificato qualificato; dell’accertamento che il titolare del
certificato detiene il dispositivo di creazione della firma corrispondente al dispositivo di verifica della firma
riportato nel certificato o che, se il certificato ha generato i due dispositivi, essi funzionano in modo
complementare. Infine, bisogna evidenziare che la direttiva prevede che venga esercitato un controllo
sull’attività dei prestatori di servizi di certificazione che rilasciano certificati qualificati. Tale controllo può
venire esercitato o da parte di organismi pubblici o da parte di organismi privati che vengono designati dagli
Stati membri sulla base di alcuni criteri fissati dalla Commissione.

Conclusioni

La direttiva, che ha come destinatari gli attuali La titolarità della firma digitale è garantita dai "certificatori"
(disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità, accreditati presso
il CNIPA (Centro nazionale per l'informatica nelle pubbliche amministrazioni), che tengono registri delle
chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico.
Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è quella per cui occorre essere
una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria. I certificatori
non sono quindi soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un certificatore è
l'ente "Poste italiane"). Paesi membri dell’Unione Europea, sarebbe dovuta essere da questi recepita entro
il 19 Luglio 2001 mediante l’emanazione di disposizioni legislative, regolamentari ed amministrative
necessarie per la conformazione e dandone immediata comunicazione alla Commissione. È, inoltre,
previsto che entro due anni dall’attuazione della direttiva la Commissione presenti al Parlamento e al
Consiglio europeo una relazione in cui si dovrà esaminare se l’ambito di applicazione della stessa debba
essere modificato alla luce dei progressi tecnologici, dell’evoluzione del mercato e degli sviluppi giuridici.

ITALIA

L’Italia è stato il primo, tra i paesi membri dell’Unione Europea, ad aver approvato la più generale ed
organica disciplina della firma digitale con pieno riconoscimento dei suoi effetti giuridici assumendo così un
ruolo di battistrada senza precedenti. Come abbiamo già avuto modo di osservare, l’idea della firma
elettronica e della forma elettronica degli atti amministrativi risale al lontano 1978. Ma è solo nel 1991 che
questa rivoluzionaria idea ha avuto modo di svilupparsi in seguito alla presentazione di un progetto
denominato “teleamministrazione” basato su 10 capisaldi finalizzati ad attuare una gestione telematica del
procedimento realizzabile attraverso il riconoscimento della validità giuridica degli atti in forma elettronica.
In seguito agli studi e ai progetti sopra accennati si è così inaugurata l’emanazione di tutta una serie di
iniziative legislative finalizzate a concretizzare quelle idee. Si parte già dal 1994 con il DPR 20 aprile 1994, n.
367, che introduce i principi fondamentali della teleamministrazione nelle procedure di emissione dei
mandati informatici di pagamento e di controllo telematico della Corte dei Conti. A questo segue il D.Lgs. 12
febbraio 1993, n. 39 che implicitamente riconosce la validità dell’atto amministrativo in forma elettronica
che in qualche modo anticipa il riconoscimento definitivo che si ha con la rivoluzionaria Legge n. 59 del 15
marzo del 1997 (c.d. Bassanini uno), la quale, segnatamente, nell’articolo 15, comma 2, stabilisce il
principio generale della validità e rilevanza del documento informatico. In attuazione di tale articolo ed in
seguito alla pubblicazione da parte dell’AIPA di diverse bozze relative alla disciplina di “atti e documenti in
forma elettronica”, sui quali i cittadini erano direttamente chiamati a formulare proposte e commenti, è
stato adottato, da parte del Consiglio dei Ministri, il Decreto del Presidente della Repubblica (DPR) n. 513
del 10 novembre 1997 relativo al “regolamento contenente i criteri e le modalità di applicazione”
dell’articolo sopra citato. Il DPR 513/97, disciplinante l’archiviazione dei documenti in forma elettronica, la
loro trasmissione per via telematica e la loro sottoscrizione mediante la firma digitale, ha avuto il ruolo di
introdurre la crittografia nelle norme dello Stato. Si precisa che tale decreto è stato abrogato e le sue
norme sono state inserite nel recente Testo Unico approvato con Decreto del Presidente della Repubblica
n. 445 del 28 Dicembre del 2000 contenente le disposizioni legislative e regolamentari in materia di
documentazione amministrativa. Il Testo Unico è stato introdotto principalmente al fine di razionalizzare e
semplificare l’attività della Pubblica Amministrazione. Con successivo Decreto del Presidente del Consiglio
dei Ministri (DPCM) sono state fissate le regole tecniche relative alla formazione, trasmissione,
conservazione, duplicazione, riproduzione e validazione dei documenti informatici con le quali vengono
regolati gli aspetti tecnici ed organizzativi di chi usufruisce ed opera con i documenti informatici e la firma
digitale. Infine, oltre alla pubblicazione, nel giugno del 1999, di una circolare con la quale sono state
dettagliate le modalità con le quali una società possa essere inclusa nell’elenco dei Certificatori, si deve
segnalare, quale ultimo tassello del processo legislativo descritto, l’emanazione da parte dell’AIPA della
circolare con la quale è stata data attuazione all’articolo 14 , comma 2, del Decreto del Presidente del
Consiglio dei Ministri dell’8 febbraio 1999, concernente la determinazione dei codici identificativi relativi
alla chiave pubblica della coppia di chiavi del Presidente dell’AIPA. La certificazione della firma digitale del
presidente consente a quest’ultimo di valicare l’elenco pubblico dei certificatori portandosi così a
compimento la costruzione del sistema del documento informatico. Negli anni successivi, tale normativa è
stata più volte modificata, per conformare la disciplina italiana alla normativa comunitaria contenuta nella
Direttiva 99/93 in materia di firme elettroniche, infatti oggi, la legge che disciplina la firma digitale è il
decreto legislativo 7 marzo 2005, n. 82, recante "Codice dell'amministrazione digitale". Tale atto normativo,
all'articolo 1, distingue i concetti di "firma elettronica", "firma elettronica qualificata" e "firma digitale". a)
Per "firma elettronica" la legge intende qualunque sistema di autenticazione del documento informatico. b)
La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che permetta
di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo
esclusivo, e la cui titolarità è certificata da un soggetto terzo. Qualunque tecnologia che permetta tale
identificazione univoca, rientra nel concetto di "firma elettronica qualificata". c) La "firma digitale", è
considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla
tecnologia della crittografia a chiavi asimmetriche. Il decreto legislativo 82/2005, quindi, è impostato come
se si potessero avere più tipi di firma elettronica qualificata, ossia più sistemi che consentano
l'identificazione univoca del titolare, uno solo dei quali è la firma digitale a chiavi asimmetriche. Di fatto,
però, nella realtà concreta, la firma digitale è l'unico tipo di firma elettronica avanzata oggi conosciuto e
utilizzato, per cui i due concetti tendono a coincidere. All'articolo 21, il Decreto Legislativo 82/2005
stabilisce, con un rimando al Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena
prova fino a querela di falso, equiparando così il documento informatico sottoscritto con firma digitale alla
scrittura privata sottoscritta con firma autografa. La titolarità della firma digitale è garantita dai
"certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità,
accreditati presso il CNIPA (Centro nazionale per l'informatica nelle pubbliche amministrazioni), che
tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un
documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è
quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere
l'attività bancaria. I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse società
(per esempio, un certificatore è l'ente "Poste italiane"). L'acquisizione di una chiave privata è a pagamento
ed ha una scadenza, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per
l'esercizio di diritti naturali della persona.

La firma digitale e le chiavi biometriche

Nell’ordinamento italiano con l’entrata in vigore del nuovo Codice quando si parla di sistema di
autenticazione elettronica si deve parlare di firma digitale e firma elettronica, non prevedendo la
legislazione altre tipi di forme. Il nuovo codice, infatti all’art. 21 distingue due tipi di sottoscrizione:

- firma elettronica (equivalente alla firma elettronica “leggera” già vista, e comprende accesso ai siti con
password o PIN, invio di email, e-banking, riconoscimento biometrico): sul piano probatorio, un documento
informatico firmato in questo modo è liberamente valutabile in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità e sicurezza;

- firma digitale (o firma elettronica qualificata), che ha l’efficacia prevista dall’articolo 2702 del codice civile:
l’utilizzo del dispositivo di firma si presume riconducibile al titolare, “salvo che sia data prova contraria” (la
prova, dunque, non è più “fino a querela di falso”).

La firma digitale - cioè il tipo di firma più forte - serve a conferire piena efficacia ai documenti informatici ed
alle loro copie, secondo le prescrizioni del codice civile sulle copie degli atti (articoli 2714 e 2715 c.c.). Le
copie così sottoscritte sostituiscono anzi gli originali ad ogni effetto di legge. Pertanto, questa tecnologia
permette di rinunciare completamente a tutte le forme di validazione che sono legate alla carta: oltre alla
firma autografa, sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere (art. 24). La firma digitale è
strettamente personale, e deve riferirsi in maniera univoca ad un solo soggetto. Il suo titolare è tenuto ad
adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri ed a custodire e utilizzare
il dispositivo di firma “con la diligenza del buon padre di famiglia” (art. 32). Il dispositivo di firma può essere
infatti danneggiato, smarrito o, peggio, rubato, con tutto ciò che consegue. Per la generazione della firma
digitale serve un “certificato qualificato”, il quale viene fornito da un certificatore accreditato presso il
Centro Nazionale per l’Informatica nella PA (CNIPA). Attualmente sono attivi in Italia 17 certificatori, tra cui
il CNIPA stesso, ma si può ricorrere anche a certificatori accreditati in altri Stati membri dell’Unione
europea ai sensi della direttiva 1999/93/CE (art. 29 del Codice). Concretamente, la firma digitale viene
custodita all’interno di una carta dotata di microchip, la quale contiene i dati del titolare e la sua chiave
privata. Nel momento in cui c’è uno scambio di documenti, mittente e destinatario possono verificare
l’identità reciproca, grazie all’utilizzo delle rispettive chiavi pubbliche: lo scambio riesce solo se si
combinano chiave pubblica e chiave privata di ciascuno. Per il Codice della PA digitale, negli scambi tra o
con pubbliche amministrazioni, gli unici tipi di carte consentite sono la Carta d’Identità Elettronica e la Carta
Nazionale dei Servizi (art. 66). La seconda, che può essere utilizzata anche per i pagamenti informatici tra
soggetti privati e pubbliche amministrazioni, ha già cominciato ad avere parziale diffusione. Gli enti pubblici
che erogano servizi in rete devono consentirne l’accesso ai titolari della Carta Nazionale dei Servizi,
indipendentemente dall’ente di emissione, che è responsabile del suo rilascio. Per quanto riguarda la firma
elettronica “leggera”, il Codice - oltre a fornirne una definizione (art. 21), non cita alcuna forma di utilizzo.
Dobbiamo dunque dedurre che i privati, nelle reciproche relazioni informatiche, possono utilizzarla a
proprio piacimento (tenuto conto del valore probatorio che il Codice le conferisce). In questo modo sono
salvaguardate le consuetudini ormai consolidate nell’ambito del commercio elettronico. Anche le
amministrazioni possono ricorrervi, nelle situazioni in cui lo ritengano opportuno. E’ però specificato che, a
partire dal 1° gennaio 2008, l’unica forma di autenticazione consentita, per accedere ai servizi erogati in
rete dalle PA, sarà il ricorso alla Carta d’Identità Elettronica o alla Carta Nazionale dei Servizi. I servizi forniti
dal Ministero delle Finanze fanno eccezione. Quindi probabilmente potremo continuare a pagare le tasse
utilizzando il solo PIN fornito dall’Agenzia delle entrate. Un tipico esempio di firma elettronica “leggera”. Il
nuovo Codice, definisce pertanto la firma digitale come “il risultato della procedura informatica
(validazione) basata su un sistema di chiavi asimmetriche a copia, una pubblica e una privata, che consente
al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente di
rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di
documenti informatici”. Come si deduce facilmente dalla definizione, la caratteristica peculiare della firma
digitale rispetto ad altre forme di firma elettronica risiede nel sistema di “validazione”, intendendosi con ciò
un sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la
validità. L’espressione “chiave asimmetriche” fa riferimento, invece, alla coppia di chiavi crittografiche, una
privata, conosciuta soltanto dal soggetto titolare che se ne avvale per firmare digitalmente il documento
informatico, e l’altra pubblica, utilizzata per verificare la firma digitale apposta sul documento informatico.
Tale sistema permette di garantire la segretezza, l’autenticità e l’integrità del documento. Analizzando
attentamente il testo del DPR 445/00 notiamo, però, come il legislatore, quasi interrompendo la logica della
sequenza delle definizioni elencate nell’articolo 22, definisce anche la chiave biometrica: “la sequenza di
codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica
dell’identità personale basati su specifiche caratteristiche fisiche dell’utente”. In aggiunta l’articolo 8,
comma 3, prevede che “Con il medesimo decreto del Presidente del Consiglio dei Ministri (si riferisce al
DPCM 8 febbraio 1999) sono definite le misure tecniche, organizzative e gestionali volte a garantire
l’integrità , la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche
con riferimento all’eventuale uso di chiavi biometriche di cui all’articolo 22, lettera e)”. A questo punto
sorge un interrogativo: come mai il legislatore italiano, nonostante abbia riconosciuto valore legale alla
firma digitale quale unica tecnica finalizzata all’autenticazione elettronica, fa riferimento alla chiave
biometria e come devono essere interpretate queste disposizioni? La chiave biometrica consiste nella
memorizzazione all’interno dell’elaboratore elettronico di alcune caratteristiche fisiche dell’operatore quali
l’impronta digitale, l’articolazione delle vene della mano e la sua geometria, la retina dell’occhio, l’iride, i
tratti somatici del viso, la geografia osseo vascolare del volto, l’impronta vocale che essendo uniche ed
irripetibili per ogni soggetto identificano con assoluta certezza l’utente preposto all’uso di un determinato
servizio o il funzionario abilitato a compiere un determinato atto. L’identità dell’individuo viene, quindi,
rilevata automaticamente e inequivocabilmente attraverso il confronto tra alcune qualità fisiche specifiche
dell’individuo e il risultato di una rilevazione effettuata precedentemente e memorizzata all’interno
dell’elaboratore. Da quanto detto ne consegue che la chiave biometrica potrebbe conferire al sistema
quella impronta personale dell’utente che la firma digitale non può fornire dal momento che essa si
costruisce in modo estraneo a qualsiasi dato fisico del sottoscrittore. Allo stesso tempo si deve, però,
mettere in evidenza come un’autenticazione elettronica basata su una chiave biometrica possiede garanzia
di autenticità se e solo se rimane nella memoria del sistema nel quale è nato o nel quale è stato
definitivamente memorizzato, mentre le altre copie circolanti in forma elettronica non avranno alcuna
garanzia di autenticità o di conformità all’originale. Il documento, infatti, potrebbe essere facilmente
alterato dopo l’apposizione della firma biometrica dal momento che questa assicura la corrispondenza a
caratteristiche fisiche dell’operatore ma non la corrispondenza al documento informatico da sottoscrivere.
La firma digitale, invece, presenta il vantaggio di seguire l’atto ovunque esso vada e ovunque sia
memorizzato facendo corrispondere una firma ad un solo documento così come codificato.Un altro
vantaggio della firma digitale è rappresentato dal fatto è praticamente esclusa l’intercettazione tramite rete
dal momento che la criptazione con la chiave privata non avviene in via telematica ma localmente nel
computer stazione di lavoro remota rispetto al server dell’amministrazione al quale perverrà il documento
già criptato. Invece, tale sicurezza sembra essere esclusa per la chiave biometrica dal momento che in
primo luogo è essenziale disporre di una banca in cui conservare i dati biometrici che potrebbe essere
manomessa fraudolentemente; in secondo luogo ai fini dell’identificazione è necessario un momento di
confronto tra dato memorizzato nella banca dati della Pubblica Amministrazione e dato inviato. È proprio
questo momento di trasmissione che può essere intercettato costituendo un pericolo per la sicurezza del
sistema. In considerazione a quanto detto appare, quindi, giusta l’interpretazione secondo la quale il
legislatore definendo la chiave biometrica non ha voluto introdurre una chiave alternativa a quella
asimmetrica ma, semplicemente non ha voluto escludere la possibilità che in futuro possano essere
utilizzate chiave biometriche in aggiunta a quelle asimmetriche. Questo può essere realizzato, per esempio,
predisponendo il software in modo tale che una volta compiuta l’identificazione biometrica consenta
l’accesso e, quindi, attivi la chiave privata memorizzata su un dispositivo di firma, ad esempio una smart
card, o nell’hard disk del computer. Tale interpretazione è anche avvalorata dalla tesi, sostenuta in dottrina,
secondo la quale la rivelazione di una chiave biometrica non può essere considerata espressione di volontà
ma “…si applica alle firme apposte con procedura automatica, purché l’attivazione della procedura sia
chiaramente riconducibile alla volontà del sottoscrittore” e a condizione che “Prima di procedere alla
generazione della firma, il dispositivo di firma deve procedere all’identificazione del titolare”.

Efficacia giuridica della firma digitale

L'ordinamento giuridico italiano la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a

tutti gli effetti di legge alla firma autografa su carta. Il primo atto normativo che ha stabilito la validità della
firma digitale per la sottoscrizione dei documenti elettronici è stato il DPR 513 del 1997, emanato in
attuazione dell'articolo 15 della legge 15 marzo 1997, n. 59. Successivamente, tale normativa è stata
trasposta nel DPR n. 445 del 2000 (il Testo Unico sulla documentazione amministrativa), più volte
modificato negli anni successivi all'emanazione, per conformare la disciplina italiana alla normativa
comunitaria contenuta nella Direttiva 99/93 in materia di firme elettroniche. Oggi, la legge che disciplina la
firma digitale è il decreto legislativo 7 marzo 2005, n. 82, recante "Codice dell'amministrazione digitale" e
successive modificazioni ed integrazioni. Tale atto normativo, all'articolo 1, distingue i concetti di "firma
elettronica", "firma elettronica qualificata" e "firma digitale".

a) Per "firma elettronica" la legge intende qualunque sistema di autenticazione del documento informatico.

b) La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che
permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il
controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo. Qualunque tecnologia che permetta
tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".

c) La "firma digitale", è considerata dalla legge come una particolare specie di "firma elettronica
qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.

Il decreto legislativo 82/2005, quindi, è impostato come se si potessero avere più tipi di firma elettronica
qualificata, ossia più sistemi che consentano l'identificazione univoca del titolare, uno solo dei quali è la
firma digitale a chiavi asimmetriche. Di fatto, però, nella realtà concreta, la firma digitale è l'unico tipo di
firma elettronica avanzata oggi conosciuto e utilizzato, per cui i due concetti tendono a coincidere.
All'articolo 21, il Decreto Legislativo 82/2005 stabilisce, con un rimando al Codice Civile, che la firma digitale
(o altra firma elettronica qualificata) fa piena prova fino a querela di falso, equiparando così il documento
informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa. La titolarità
della firma digitale è garantita dai "certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti con
particolari requisiti di onorabilità, accreditati presso il CNIPA (Centro nazionale per l'informatica nelle
pubbliche amministrazioni), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare
la titolarità del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attività di
certificatore di firma digitale vi è quella per cui occorre essere una società con capitale sociale non inferiore
a quello richiesto per svolgere l'attività bancaria. I certificatori non sono quindi soggetti singoli (come i
notai), ma piuttosto grosse società (per esempio, un certificatore è l'ente "Poste italiane"). L’ordinamento
nazionale assegna alla firma digitale la funzione di sottoscrizione così come previsto per le firme
tradizionali. Infatti, la normativa stabilisce che “l’apposizione o l’associazione della firma digitale al
documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su
supporto cartaceo”. Tale disposizione afferma solennemente il principio dell’equivalenza tra la
sottoscrizione tradizionale e quella digitale. La funzione identificatrice (di individuazione della paternità del
documento) è garantita da disposizioni relative alla necessaria corrispondenza della firma digitale ad un
solo soggetto, ma in modo tale che il terzo sia posto in grado di controllare rapidamente tale univoca
corrispondenza. Infatti, attraverso la firma digitale devono potersi rilevare gli elementi identificativi del
soggetto titolare della firma, del soggetto che l’ ha certificata e del registro su cui è pubblicata la chiave
pubblica per permetterne la consultazione. Queste informazioni devono risultare dalla firma digitale in
modo tale da consentire di risalire, attraverso essa, al certificatore e, quindi, al registro da cui trarre i dati
della perdurante validità del certificato digitale. Come si nota dalla disposizione la firma digitale può essere
“apposta” oppure “associata”. La distinzione dovrebbe risiedere sulla diversa modalità informatica con cui
la firma digitale viene apposta ad un dato documento. Nel caso dell’ “apposizione” la chiave viene inserita
nel documento inviato (cioè nel file di dati in cui èmemorizzato il documento), mentre nel caso della
“associazione” la firma viaggia separatamente dal documento (cioè in un diverso file). In quest’ultimo caso
sarà il software installato nell’elaboratore ricevente ad associare in modo univoco la firma al documento
arrivato di pertinenza e a decrittografarlo. La legislazione nazionale, come sopra accennato, provvede a
riconoscere la validità e la rilevanza a tutti gli effetti di legge dei documenti informatici e telematici nonché
dei contratti stipulati nelle medesime forme. La legge disciplina in modo dettagliato le modalità attuative di
tali principi fornendo, tra l’altro, la nozione di documento informatico e i suoi requisiti, stabilendo un
principio generale in materia di forma e sancendo l’efficacia probatoria del documento informatico. Prima
di procedere occorre però fermarsi un attimo e precisare che cosa si intende per validità e rilevanza. La
nozione di validità attiene esclusivamente al profilo dell’osservanza del requisito di forma. Il concetto,
quindi, va determinato tenendo conto della ripartizione civilistica classica che distingue i contratti a forma
libera, contratti con forma ad substantiam e contratti con forma ad probationem. Per quanto concerne i
contratti a forma libera non esistono particolari problemi dal momento che se possono essere stipulati
anche oralmente, a maggior ragione sono validi se stipulati con strumenti informatici o per via telematica
mediante l’uso della firma digitale. Vi sono, al contrario, dei contratti, cosiddetti con forma ad substantiam,
la cui legge impone che la volontà, ai fini della validità dell’atto, sia dichiarata in forma scritta articolata
nelle due sub figure della scrittura privata e dell’atto pubblico. In questi contratti la forma costituisce un
elemento costitutivo e la sua eventuale mancanza costituisce causa di nullità del contratto. Qualora il
contratto informatico riguardi un atto rientrante in questa categoria, esso dovrebbe stipularsi come
scrittura privata se disponesse del necessario supporto cartaceo. Poiché la normativa sancisce l’equivalenza
tra sottoscrizione cartacea e digitale, riconoscendo al documento informatico sottoscritto con firma digitale
la stessa efficacia probatoria della scrittura privata, ne consegue la nascita di una nuova forma informatica
da ritenersi elemento costitutivo del contratto la cui forma scritta è richiesta ad substantiam. Questa figura
è appunto il documento informatico sottoscritto con firma digitale equivalente alla scrittura privata
cartacea; l’eventuale mancanza della firma digitale determinerà la nullità del contratto difettando un
elemento costitutivo del contratto stesso. Questa interpretazione è avvalorata anche dalla ratio che sta alla
base della prescrizioni delle forme legali, cioè assicurare un consenso responsabile nonché la certezza
dell’atto. Con la firma digitale si garantisce sia che il sottoscrittore presti particolare attenzione al contenuto
dell’atto da sottoscrivere, sia che l’atto, così firmato, possa diventare strumento di duratura ed
inequivocabile conoscenza delle dichiarazioni in esso contenute. L’ordinamento tace, invece, riguardo
l’equiparazione all’atto pubblico e difficilmente si può ricorrere ad un interpretazione analogica con gli
articoli legge in materia. In conseguenza di ciò non si può ricorrere ad un documento informatico per
effettuare una donazione o acquistare un immobile in quanto in questi casi la contestuale presenza fisica
delle parti, di un notaio e, nel caso della donazione di due testimoni risulta ancora necessaria. Infine,
quanto i contratti il cui requisito di forma è richiesto soltanto ai fini processuali (e non ai fini della validità
dell’atto), conosciuti come contratti con forma ad probationem, è ritenuto in dottrina che se si assume che i
contratti formali sono validi se stipulati mediante l’uso della firma digitale, ne consegue che anche i
contratti con forma ad probationem possono essere stipulati con le medesime modalità. Diverse sono le
norme riservate all’efficacia probatoria del documento informatico. Fondamentale principio è quello
sancito dall’articolo, il quale stabilisce che il documento informatico sottoscritto con la firma digitale ha
efficacia di scrittura privata ai sensi dell’articolo 2702 del codice civile e quindi fa “piena prova, fino a
querela di falso, della provenienza delle dichiarazioni da chi l’ ha sottoscritta, se colui contro il quale la
scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è considerata legalmente come
riconosciuta”. La normativa vigente, stabilisce, quindi, l’equivalenza della firma digitale alla sottoscrizione
prevista per gli atti e i documenti in forma scritta su supporto cartaceo. Al sistema di prova legale del
documento basato sulla sottoscrizione si è aggiuntaun’altra fattispecie di prova legale, che attribuisce la
stessa forza giuridica della sottoscrizione alla firma digitale. La firma digitale costituisce perciò un
equipollente della firma autografa essendo dotata della stessa efficacia giuridica ed essendo sottoposta alla
stessa disciplina della scrittura privata. Con piena corrispondenza al sistema della prova documentale
accolto nel codice civile, l’articolo 24, comma 1, stabilisce che “si ha per riconosciuta ai sensi dell’articolo
2703 del codice civile, la firma digitale, la cui apposizione è stata autenticata dal notaio o da un pubblico
ufficiale autorizzato” Il secondo comma dello stesso articolo prevede le caratteristiche che deve presentare
la suddetta autenticazione stabilendo che essa “consiste nell’attestazione da parte del pubblico ufficiale,
che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale,
della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alle volontà della
parte e non è in contrasto con l’ordinamento giuridico ai sensi dell’art. 28, comma 1°, n. 1, della legge 16
febbraio 1913, n. 89”. La portata dell’efficacia probatoria del documento informatico con firma digitale
risulta pertanto più ampia di quella prevista dall’art. 2703 c.c. perché in aggiunta assicura la corrispondenza
di quanto dichiarato alla volontà dell’autore e la sua conformità all’ordinamento giuridico. In chiusura di
analisi bisogna tener conto di un ultima disposizione normativa che considera il caso in cui l’ “evidenza
informatica” cui è associata la firma digitale rappresenti, anziché uno scritto contenente una
manifestazione di volontà, un’immagine o un suono generata automaticamente da un computer. Soltanto
se tale sequenza di bit è provvista di firma digitale sicura, ai sensi del Regolamento, viene a questa
riconosciuta il valore probatorio previsto dall’articolo 2712 del codice civile con tutte le conseguenze
derivanti dall’eventuale disconoscimento della parte contro la quale il documento stesso è opposto. Il
legislatore ha voluto, quindi, limitare l’equiparazione alla riproduzione meccanica della sola evidenza
informatica munita di firma digitale sicura.

Riproduzioni di atti e documenti informatici

Il codice contiene un’articolata disciplina che riguarda le copie di atti e documenti informatici. In particolare
stabilisce la validità, a tutti gli effetti di legge, dei duplicati, copie ed estratti del documento informatico
anche se riprodotti su diversi tipi di supporto se conformi alle disposizioni vigenti. La norma mette in luce la
differenza tra duplicato, copia ed estratto del documento informatico. Per duplicato, con riferimento ai
documenti cartacei, si intende la riproduzione integrale, in ogni particolare, anche grafico, del documento
originale. Per copia, invece, si intende la riproduzione fedele del contenuto e in tal senso si distingue
dall’estratto, che consiste nella riproduzione, pur sempre integrale, ma solo di una o più parti dell’atto,
accompagnata dalla dichiarazione che la parte omessa non contrasta con quella riportata. La normativa in
esame sancisce, quindi, la piena equiparazione tra copia e originale del documento informatico. A questo
punto ci si potrebbe chiedere che differenza c’è tra originale e copia di un documento dal momento che
entrambi vengono generati dal computer nello stesso modo. Tale interrogativo ha portato una parte della
dottrina a parlare di crisi dei concetti di originale e copia. Secondo altri, invece, può parlarsi ancora di copia
tutte le volte in cui la creazione del documento informatico sia riferibile ad un dato momento storico e
successivamente viene creato un nuovo esemplare conforme all’originale. Tutto ciò che viene creato dopo,
anche se in tutto fedele al primo documento costituisce copia nel significato tradizionale del termine. Copia
si ha, inoltre, in tutti quei casi in cui viene richiesta una copia informatica autenticata dell’originale dove
l’attività di autenticazione svolta dai pubblici ufficiali distingue l’originale informatico dai tutti i successivi
esemplari informatici. Infine, è possibile rilevare la sopravvivenza delle copie dalla locuzione “anche se
riprodotti su diversi tipi di supporto” e quindi anche cartacei. La copia cartacea, quindi, non può essere
confusa con l’originale, essendo questo uno degli elementi distintivi del supporto utilizzato. La disciplina
stabilisce che i documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e
documenti in genere, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno
piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata la firma
digitale di colui che li spedisce o li rilascia secondo le disposizioni vigenti in materia. Secondo un principio
generale appartenente all’ambito giuridico cartaceo, l’efficacia probatoria della copia dei documenti deriva
dalla loro conformità all’originale attestata attraverso l’autenticazione da parte dei depositari pubblici
autorizzati. In particolare, l’articolo 2714 c.c., prevede per gli atti pubblici, che tale autenticazione avvenga
ad opera dei depositari pubblici degli atti, mentre l’articolo 2715 consente, anche per le scritture private,
l’autenticazione delle copie, purché però tali scritture siano depositate presso un pubblico depositario
autorizzato. La copia autentica ha, quindi, la stessa efficacia probatoria dell’originale. Ora la stessa efficacia
è riconosciuta, grazie alla disciplina del nuovo Codice, anche al documento informatico che riproduce atti
pubblici, scritture private e documenti amministrativi se, però, l’autentica sia consacrata in una firma
digitale del pubblico ufficiale che rilascia copia. La normativa prevede anche la redazione di copie su
supporto informatico di documenti formati in origine su un supporto cartaceo o comunque diverso da
quello informatico. Affinché, però, le copie su supporto informatico si possano sostituire agli originali
formati su altri supporti occorre che la conformità all’originale venga autenticata da notaio o da altro
pubblico ufficiale a ciò autorizzato per via informatica attraverso una dichiarazione allegata al documento
informatico. Il termine “sostituire” potrebbe sembrare improprio in quanto sembra voglia significare che la
copia su supporto informatico supplirebbe l’originale su supporto cartaceo, che verrebbe meno. Da ciò
potrebbe essere dedotto che la norma intenda conferire alla copia la stessa efficacia probatoria
dell’originale e che il termine sostituzione è stato utilizzato in modo scorretto. La sostituzione, comunque,
non rappresenta un elemento di novità dal momento che già l’art. 25 della legge 4 gennaio 1968, n. 15,
sulla documentazione amministrativa e sulla legalizzazione e autenticazione di firme prevede che “le
pubbliche amministrazioni ed i privati hanno la facoltà di sostituire, a tutti gli effetti, ai documenti dei propri
archivi, alle scritture contabili, alla corrispondenza ed agli altri atti di cui per legge o regolamento è
prescritta la conservazione, la corrispondente riproduzione fotografica anche se costituita da fotogramma
negativo”. Dalla norma deriva, quindi, un incontestabile vantaggio che consiste nel possibilità di archiviare
documenti su un supporto informatico cui viene conferito il carattere di originalità, con la possibilità di
eliminare l’originale su supporto cartaceo. Un altro passo avanti nella strada dell’eliminazione della
documentazione cartacea viene fatto grazie al comma 4 della norma in esame la quale dispone che le copie
dei documenti informatici contenenti copia di atti pubblici, scritture private, e documenti in genere spediti
o rilasciati dai pubblici ufficiali con la loro firma digitale ed aventi piena efficacia ai sensi degli artt. 2714 e
2715 c.c., possono essere prodotte ed esibite al posto degli originali cartacei. Ciò implica che il cittadino non
sarà più obbligato a portare con sé l’originale cartaceo per consegnarlo al proprio interlocutore, ma sarà
sufficiente la produzione telematica della copia informatica debitamente autenticata che raggiungerà il suo
destinatario attraverso le reti telematiche e senza bisogno, quindi, di alcun accompagnatore. Per
completare il quadro dell’equivalenza del documento informatico con quello cartaceo, la disciplina
normativa stabilisce che gli obblighi di conservazione e di esibizione di documenti, previsti dalla legge, sono
soddisfatti a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche.
La possibilità di assolvere ad obblighi di conservazione di documenti utilizzando un supporto diverso da
quello cartaceo non costituisce un elemento di novità per il nostro ordinamento dal momento che, oltre al
già citato art. 25 della legge 15/68, anche l’art. 2, comma 15, della legge 24 dicembre 1993, n. 537 prevede
che “gli obblighi di conservazione di documenti, per finalità amministrative e probatorie, previsti dalla
legislazione vigente, si intendono soddisfatti se realizzati mediante supporto ottico, purché le procedure
realizzate siano conformi a regole tecniche dettate dall’autorità per l’informatica nella Pubblica
Amministrazione”. Come si può notare tale disposizione coincide in parte letteralmente con quella in
esame. Tra le regole tecniche cui fa riferimento la disposizione vi sono quelle previste dalla deliberazione
del CNIPA. La deliberazione in questione precisa, infatti, che gli obblighi di conservazione di documenti
previsti dalla legislazione vigente si ritengono soddisfatti e l’uso della tecnologia è consentito senza
preventiva autorizzazione, semprechè il tutto venga realizzato nel rispetto di quanto previsto dalla presente
deliberazione. Oltre alla disciplina sulla conservazione dei documenti prevede anche la possibilità di
soddisfare obblighi di esibizione previsti dalla legge, a mezzo di documenti informatici. Un articolo della
deliberazione del CNIPA prevede che tutte le “istanze di un documento archiviato su supporto ottico
devono essere rese leggibili in qualunque momento dall’utente del sistema e rese disponibili su supporto
cartaceo”. Inoltre, precisa, che “è consentita l’esibizione per via telematica purché sia garantita l’autenticità
e l’integrità dei documenti trasmessi”.