Valore probatorio e rimedi pratici
Quale potrebbe essere il valore probatorio di un documento informatico firmato digitalmente contenente (alla verifica) un certificato di firma scaduto?
Il quesito, tutt’altro che marginale, riguarda l’utilizzabilità di un documento informatico firmato digitalmente con un certificato di firma valido al momento dell’apposizione, ma scaduto al momento della verifica successiva, ipotizzandone l’eventuale valore probatorio. Questo tema è disciplinato dal Codice dell’Amministrazione Digitale (CAD) (D.Lgs. n. 82/2005) e dalle normative europee, in particolare il Regolamento eIDAS (Regolamento UE n. 910/2014).
Validità della firma digitale al momento della sottoscrizione:
• La firma digitale è valida se, al momento della sottoscrizione, il certificato era in corso di validità e non revocato o sospeso. Questo principio è sancito dall’art. 32 del Regolamento eIDAS, che stabilisce che la validità della firma deve essere valutata al momento della sua apposizione.
Effetti della scadenza del certificato:
• La scadenza del certificato di firma digitale non invalida automaticamente il documento firmato, purché si possa dimostrare che il certificato era valido al momento della firma. Questo è possibile attraverso l’uso di marche temporali o altri sistemi di validazione temporale che attestino la data e l’ora della sottoscrizione.
Valore probatorio del documento:
• Secondo l’art. 20 del CAD, un documento informatico firmato digitalmente ha la stessa efficacia probatoria di una scrittura privata ai sensi dell’art. 2702 del Codice Civile, se la firma è valida.
• Tuttavia, se il certificato è scaduto e non vi è una marca temporale o un altro sistema che attesti la validità della firma al momento della sottoscrizione, il documento potrebbe perdere la presunzione di autenticità. In tal caso, il documento avrà comunque valore probatorio, ma sarà necessario dimostrare la sua autenticità e integrità con altri mezzi.
Giurisprudenza e prassi:
• La giurisprudenza italiana ha più volte ribadito che la scadenza del certificato non incide sulla validità della firma, purché si possa dimostrare che il certificato era valido al momento della sottoscrizione. Ad esempio, il Consiglio di Stato ha confermato che la marca temporale è uno strumento essenziale per garantire la validità nel tempo delle firme digitali.
Conclusione
Un documento informatico firmato digitalmente con un certificato scaduto può mantenere il suo valore probatorio se:
• Si dimostra che il certificato era valido al momento della firma.
• È presente una marca temporale o un sistema equivalente che attesti la data e l’ora della sottoscrizione.
In assenza di tali elementi, il documento non perde automaticamente valore probatorio, ma sarà necessario fornire ulteriori prove per dimostrarne l’autenticità e l’integrità.
Quali potrebbero essere gli altri mezzi con cui provare l’autenticità della firma digitale apposta?
Quando un certificato di firma digitale è scaduto e non è presente una marca temporale o un sistema equivalente che attesti la validità della firma al momento della sottoscrizione, è comunque possibile provare l’autenticità della firma digitale attraverso altri mezzi. Questi strumenti devono dimostrare sia l’identità del firmatario sia l’integrità del documento.
Ecco i principali mezzi con cui è possibile provare l’autenticità della firma digitale:
Log dei sistemi di firma
• I sistemi di firma digitale conservano tracce delle operazioni effettuate, come i log di sistema. Questi registri possono dimostrare che la firma è stata apposta quando il certificato era ancora valido.
• I log devono essere conservati in conformità alle normative sulla conservazione dei documenti digitali e devono essere prodotti da un soggetto certificato.
Certificazioni del prestatore di servizi fiduciari qualificati (QTSP)
• Il prestatore di servizi fiduciari qualificati che ha emesso il certificato di firma può fornire una certificazione o una dichiarazione che attesti la validità del certificato al momento della firma.
• Questa certificazione può essere richiesta anche successivamente alla scadenza del certificato.
Verifica tramite software di validazione
• Esistono software certificati che consentono di verificare la validità di una firma digitale anche dopo la scadenza del certificato. Questi strumenti possono analizzare il documento e fornire informazioni sulla validità della firma al momento della sottoscrizione.
• È importante che il software sia conforme agli standard europei eIDAS.
Testimonianze o dichiarazioni del firmatario
• In alcuni casi, il firmatario stesso può confermare di aver apposto la firma digitale sul documento. Questa dichiarazione, se resa in forma scritta e autenticata, può costituire un elemento probatorio.
• Tuttavia, questa prova è soggetta alla valutazione del giudice e potrebbe non essere sufficiente in caso di contestazioni.
Analisi crittografica del documento
• La firma digitale utilizza algoritmi crittografici che garantiscono l’integrità del documento. Anche senza una marca temporale, è possibile dimostrare che il documento non è stato alterato dopo la firma.
• Un esperto in crittografia o un perito tecnico può analizzare il documento e confermare che la firma è autentica e che il contenuto non è stato modificato.
Conservazione digitale a norma
• Se il documento è stato conservato in un sistema di conservazione digitale a norma (ai sensi del CAD e delle regole tecniche AgID), il sistema stesso può fornire garanzie sull’autenticità e sull’integrità del documento.
• La conservazione digitale a norma prevede l’apposizione di marche temporali e firme elettroniche sui documenti conservati, garantendo la loro validità nel tempo.
Perizia tecnica
• In caso di contestazioni, è possibile richiedere una perizia tecnica da parte di un esperto in firme digitali. Il perito può analizzare il documento, il certificato e i metadati associati per determinare l’autenticità della firma.
• La perizia può essere utilizzata come prova in un procedimento giudiziario.
Conclusione
In assenza di una marca temporale o di un sistema equivalente, l’autenticità della firma digitale può essere provata attraverso:
• Log dei sistemi di firma.
• Certificazioni del prestatore di servizi fiduciari qualificati.
• Verifiche tramite software certificati.
• Dichiarazioni del firmatario.
• Analisi crittografica del documento.
• Conservazione digitale a norma.
• Perizia tecnica.
La scelta del mezzo probatorio dipende dal contesto specifico e dal grado di contestazione.
Riferimenti
• Fonte: Codice dell’Amministrazione Digitale (CAD)
Art. 20 – “Validità ed efficacia probatoria dei documenti informatici”.
Art. 21 – “Validità ed efficacia probatoria delle firme elettroniche avanzate, qualificate e digitali”.
• Fonte: Regolamento eIDAS
Art. 32 – “Validità delle firme elettroniche qualificate”.
Cass. Sez. 2, Ord. n. 21427/2023
Alessandro Polese
