Lo studio n.1-2017/DI del Consiglio Nazionale del Notariato affronta la delicata questione della validità temporale dei documenti digitali e le indicazioni del legislatore a riguardo.
Con l’avvento dei formati elettronici in ambito documentale, sicuramente le informazioni vengono trasmesse più efficientemente e a costi minori rispetto ai formati cartacei ma, d’altro canto, è la conservazione delle stesse ad essere diventata argomento quantomeno complesso, non fosse altro che per la necessità di infrastrutture dedicate.
È intuitivo notare come documento analogico e documento digitale siano profondamente diversi dal punto di vista formale e tecnico, pur trasportando lo stesso contenuto e mantenendo lo stesso valore giuridico.
In ambito di sicurezza quindi, si può sintetizzare la differenza dei due formati in questo modo:

  • Formato analogico: ciò che bisogna maggiormente preservare è l’integrità del supporto, che consente la leggibilità del contenuto e l’identificazione dei contrassegni;
  • Formato digitale: il problema della validità del supporto esiste anche in questo caso, ma è secondario all’incorruttibilità del documento elettronico.

Queste differenze coinvolgono anche – e, forse, soprattutto – il concetto di firma, che è l’entità che tanto in digitale quanto in analogico assicura l’affidabilità e l’autenticità dei documenti.
Ma in ambiente digitale, ciò che cambia è che per quanto esistano versioni molto “simili” alla firma autografa, per esempio quella grafometrica, esse sono, sostanzialmente, successioni di stringhe di codice, governate da una logica puramente matematica. E non potrebbe essere altrimenti.

Nel caso di firme elettroniche e digitali, invece, l’operazione di firma si materializza attraverso un puro processo crittografico realizzato con l’utilizzo di un certificato di firma generalmente inserito su smart card, token, o altri tipi di supporto fisico, munito di specifiche credenziali e pertanto passibile di smarrimento o furto.
Questa logica, come si diceva, è molto delicata ed è necessariamente da proteggere se si vuole proteggere l’affidabilità e l’autenticità del documento su cui è apposta la firma. La protezione è possibile solo se i certificati di firma sono sicuri, obbiettivo che si raggiunge solamente grazie all’utilizzo rigoroso di sistemi di conservazione documentale che garantiscano questa sicurezza nel tempo.
Poiché a differenza di quelle autografe, le firme digitali perdono validità nel tempo a causa della loro natura tecnologica, con il passare del tempo e l’aumento di potenza di calcolo dei computer esse diventano sempre più deboli e vulnerabili.
Infatti la firma digitale è il risultato di un’operazione particolarmente complessa di crittografia e di codifica del documento o meglio “delle sue impronte a mezzo di chiavi di cifratura asimmetriche che consente – invertendo il procedimento crittografico di firma – di verificare a posteriori, ad un tempo, l’integrità e la provenienza di un documento”.
È dunque la complessità di tale procedimento matematico che stabilisce il grado di difficoltà necessario a replicare in maniera contraffatta la firma. Per cui, va da sè che all’aumentare della potenza delle macchine consegua un indebolimento della firma stessa: più il tempo passa e la tecnologia avanza, più sarà facile creare falsi.
L’aggiornamento e la validità del certificato di firma sono quindi i primi criteri disposti dal legislatore per garantire una firma valida e sufficientemente sicura. Un’adeguata conservazione di un certificato, necessariamente valido in partenza, permette poi di garantire la validità del documento su cui è apposto anche nel caso di corruzione successiva dello stesso; queste regole valgono indipendentemente dal soggetto firmatario, sia esso un pubblico ufficiale o un privato cittadino.
Segue poi una serie di norme che si trovano principalmente all’interno del Codice dell’Amministrazione Digitale e nelle Regole Tecniche del DPCM 22 febbraio 2013 che chiarificano e traducono i corretti processi e le giuste procedure operative per assicurare la validità e la corretta conservazione dei documenti con firma digitale.
La prima indicazione importante della normativa può considerarsi l’art. 24 del CAD “Firma digitale” che al comma 3 recita:

Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.

Intuitivamente quindi, il certificato al momento del suo utilizzo deve essere valido, non scaduto, non revocato o sospeso.
Il comma 4-bis aggiunge:

L’apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato.

Quest’ultima indicazione prevede dunque che, posto che al momento della firma il certificato fosse valido, se il certificato di firma viene lasciato scadere (o viene sospeso o revocato), il documento perde di validità e si considera non sottoscritto.

È importante notare che la norma, per stabilire la validità del documento, non giudica sufficiente che il certificato sia valido nel momento in cui viene apposta la firma, ma considera rilevante il momento del suo successivo utilizzo e quindi della sua successiva verifica: in questo modo viene statuito il principio secondo cui una volta scaduto, revocato o sospeso il certificato di firma, sussisterebbe una presunzione legale di sopravvenuta inaffidabilità del documento stesso.
Un ulteriore specificazione a riguardo è presente nell’articolo 62 delle Tegole Tecniche in materia di firma digitale di cui al DPCM 22 febbraio 2013, che precisa che se si associa un riferimento temporale opponibile a terzi (ad es. una marca temporale), in grado di stabilire l’esistenza del documento (e quindi la validità della firma) in data anteriore alla scadenza o revoca, l’effetto di cui all’art. 24 comma 4 bis (perdita della sottoscrizione) non si verifica:

Le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato.

Se è possibile datare il documento a un momento in cui il certificato di firma era valido, questo potrà essere considerato valido anche se il certificato, a oggi, è scaduto.
Quindi il valore della firma digitale può essere esteso applicando al documento una marca temporale, invece l’opponibilità a terzi si può raggiungere solo con l’inserimento del documento digitale in un sistema di conservazione a norma, come indicato dall’articolo 20 del CAD, al quale si adempie seguendo le Regole Tecniche di cui al DPCM 3 Dicembre 2013.
Infine, può essere utile ricordare che, tra i sistemi di validazione temporale opponibili a terzi, l’art. 41 del DPCM 22 febbraio 2013 indica anche la spedizione del documento a mezzo PEC.

Riassumendo, la presenza di riferimenti temporali opponibili a terzi in giudizio nel documento informatico firmato consentono al documento di mantenere la sua validità anche quando il certificato di firma risulti scaduto o revocato.
Al contrario, se questi riferimenti non sono presenti, il documento perde di validità e “degrada” da “originale” validamente sottoscritto a “riproduzione informatica di fatti o cose” con l’efficacia di cui all’art.2712 c.c..

Assistenza