Premessa
Un ente disconosce la firma digitale apposta su un documento adducendo che il certificato non è più valido. E’ possibile una cosa del genere? E’ un abuso? Ci sono delle contromisure? Cerchiamo di fare chiarezza su un problema piuttosto importante anche se non particolarmente diffuso e per farlo parleremo proprio di un caso specifico nel quale è incappato un nostro cliente essendo noi un centro autorizzato a rilasciare certificati di firma digitale tecnicamente chiamati RAO (Registred Authenticator Operator)
I FATTI
L’azienda che per comodità chiamaremo Alpha Srl circa 3 anni fa acquista una firma digitale presso di noi e con tale firma, pochi giorni prima della scadenza ( le firme digitali come noto durano tre anni) sottoscrive la domanda per un bando. Dopo qualche giorno la firma scade ed il cliente si rivolge a noi per rinnovare la firma digitale ma noi non rinnoviamo la stessa firma emettiamo una nuova SIM. Passano ancora dei giorni e l’Ente apre ed analizza la domanda ma gli viene rigettata in quanto secondo loro il certificato apposto non è valido (in realtà è solo scaduto). Ovviamente il cliente chiama la società emittente la quale gli fa presente che non gli era stato rinnovata la firma ma sostituita (cosa assolutamente vera). Questo è quanto successo.
La nostra risposta
Tutte le firme digitali hanno una duplice validità; quella legate al certificato intestato al cliente e quello relativo alla certificazione dei Chip inseriti nella SIM, la prima conosciuta la seconda assai meno ed ovviamente queste due date non sono quasi mai coincidenti, se lo sono è solo per casualità
Alla scadenza del certificato, il titolare del dispositivo di firma ha la possibilità di rinnovare o sostituire la SIM con un nuovo certificato. Il vantaggio nel primo caso è che nel caso in cui si firma un documento la validità del certificato si protrae per ulteriori 3 anni, nel secondo caso invece il documento firmato prima della scadenza risulta “potenzialmente” non valido se è aperto dopo la data di scadenza che è quello che è successo a voi (come da immagine )
Di contro c’è l’altro problema: la scadenza della certificazione del CHIP (la invitiamo in tal senso a visionare il ns articolo pubblicato a fine 2022 https://www.bbspratiche.it/certificati-di-firma-digitali-revocati-dopo-il-31-12-2022/, sicuramente sull’argomento ha ricevuto diverse ns. mail) ; alla luce delle problematiche emerse sulle SIM, noi da anni pratichiamo la sostituzione della SIM in quanto appunto riduce il rischio che il CHIP “scada”; malgrado per noi sia molto meno conveniente ovvero a noi converrebbe semplicemente aggiornare il certificato in quanto un operazione di pochi secondi rispetto alla sostituzione della SIM che peraltro comporta anche un nuovo riconoscimento.
Ma c’è un altro aspetto poco noto e non meno importante e che l’operatore del provider ha dimenticato di dirle ovvero che il certificato può essere rinnovato una sola volta. Quindi al secondo triennio il problema si presenterebbe di nuovoe a quel punto la sostituzione è obbligatoria…siamo certi che un documento non sia più utilizzato a distanza di 3-4 anni dal rinnovo?
Ulteriori considerazioni
Il problema del disconoscimento tuttavia non riguarda solo il caso del mancato rinnovo per scelta ma può dipendere anche da cause di forza maggiore come ad esempio (ed è il caso più diffuso) quello dello smarrimento o perdita del codice PUK. In tutti questi casi l’effetto sarebbe lo stesso, anche perché quasi nessuno va in polizia a fare la denuncia e poi la trasmette al provider. Inoltre come già precisato, il certificato risulterebbe ugualmente scaduto al secondo rinnovo; quindi secondo questa logica anche in questi casi la firma sarebbe non valida? E se non valida quanto tempo prima il titolare dovrebbe fermarsi a firmare con quel certificato? Questi dovrebbe proiettarsi avanti nel tempo e capire quando verrà utilizzato quel documento a distanza di anni…..in sostanza se la posizione dell’ente fosse corretta si arriverebbe all’assurdo che non ha proprio senso firmare perchè sappiamo che la firma non sarebbe comunque valida a distanza di 6 anni.
La soluzione
Effettivamente il problema sul piano giuridico esiste ed è legato ad un “buco” legislativo che a sua volta è strettamente correlato ad un problema tecnico. Quale? Quando si appone una firma su un documento, il programma utilizzano appone anche anche una data, ma non quella effettiva, ma quella del dispositivo che emette la firma (computer, smartphone, server, tablet,ecc); se quindi questa data fosse sbagliata per semplice errore o per dolo anche la data di firma risulterebbe errata. Ecco perché la data della firma non ha valore “legale” ovvero non può essere inquadrata come “data certa”; da qui il messaggio di attenzione riportato sulla foto. Tuttavia un conto è affermare che il certificato è scaduto ed un altro conto è ritenere invalida la firma apposta; a tal proposito s’invita al prendere visione del seguente articolo https://www.agendadigitale.eu/documenti/documento-informatico-che-cose-e-quale-validita-ha-con-la-firma-digitale/
Diciamo quindi che si è incappati con un’amministrazione che evidentemente applica la norma in maniera estremamente restrittiva (anzi eccessivamente restrittiva) o che non ha adottato le necessarie contromisure che altre amministrazioni hanno preso. Perché?
Infatti la soluzione al problema c’è e si chiama Marca Temporale o Data Stamp.
Noi di BBSPRATICHE abbiamo affrontato numerose volte con articoli e video ma purtroppo è stato solo fiato sprecato perché l’unico cliente al quale siamo riusciti a dare le marche temporali siamo noi stessi!!! A tal proposito qui di seguito riportiamo articoli e video sull’argomento
https://www.bbspratiche.it/data-certa-sui-documenti-digitali/
https://www.bbspratiche.it/conservazione-sostitutiva-e-manuale-della-conservazione
Insomma i clienti (tutti o quasi) non ne vogliono sentir parlare, e forse neanche hanno tanto torto; perché?
Infatti il problema non è molto sentito perché in realtà ci sono delle scappatoie più o meno note:
- E’ sempre possibile richiedere all’Ente emittente di poter effettuare le verifiche sul certificato di firma in quanto l’ente emittente ha l’obbligo di conservare i registri per vent’anni
- La legge non impone di appore le marche temporali, afferma solo che la loro mancanza potrebbero comportare la non opponibilità a terzi di quel documento, ovvero in caso di giudizio la data riportata sul documento potrebbe (anzi quasi certamente) essere disconosciuta;
- La legge non dice chi deve mettere la marca temporale, di conseguenza non è detto che la debba appore chi produce-sottoscrive il documento ma anche chi lo riceve o potenzialmente potrebbero apporle entrambi
Ed è proprio quest’ultimo caso il fatto più frequente; ovvero sono gli Enti riceventi che appongono la data certa alla ricezione del documento oppure usano strumenti digitali alternativi che se proprio non danno certezza giuridica alla data di fatto rappresentano una soluzione alternativa comunque valida almeno per fini interni.
E’ chiaro che in questo caso si dovrebbe parlare di data certa di ricezione e non di firma, ma nella stragrande maggioranza dei casi questo sarebbe comunque sufficiente ad affermare che quel documento è stato firmato prima di una certa data; quanto prima non importa sarebbe un aspetto del tutto secondario
Questo ovviamente non vuol dire che il problema non c’è e che ripetiamo potrebbe essere risolto dall’applicazione della marca temporale che ci auguriamo possa godere di maggior diffusione e considerazione, tuttavia in questo caso è l’ente al quale è stato inviato il documento che a ns. avviso dovrebbe adoperarsi per le opportune verifiche così come fanno tante altre amministrazioni, ovvero dotarsi di tutte quelle soluzioni tecnologiche che consentono di dare data certa ad un documento quando “entra” nell’organizzazione e generalmente nelle pubbliche amministrazioni uno dei strumenti più utilizzati anche perchè obbligatorio si chiama “protocollo informatico“
Problema risolto? Altre osservazioni
In linea di massima mentre le pubbliche amministrazioni, le grandi organizzazioni pubbliche o private dispongono di procedure e dispositivi che possono dare certezza alla data di un documento (certezza non significa automaticamente anche validità sul piano legale in quanto la data certa per avere piena validità deve avere certe caratteristiche), un privato o un piccolo studio professionale, una piccola impresa o comunque un soggetto che non dispone di certe procedure e tecnlogie come può risolvere il problema? A questo punto è necessario chiarire quale sia l’obiettivo finale: si vuole dare piena validità legale ad un documento digitale ovvero nel caso quel documento dovesse essere utilizzato di fronte ad un giudice? in questo caso l’unica strada da percorrere è quello della data certa o time stamp, che si possono acquistare a costi molto ma molto contenuti e per avere certezza assoluta che quel documento sia “leggibile” a distanza di molti anni bisognerebbe adottare la conservazione sostitutiva
Qualora invece si pensa che la certezza della data serva solo ad uso interno e si vuole evitare che delle impostazioni errate dei propri dispositivi possano alterare le date, a quel punto la cosa più ragionevole è quella di utilizzare uno strumento terzo, ad esempio utilizzare un servizio di Webmail o un servizio di Cloud Storage come Dropbox, Onedrive, GDrive, ecc; saranno questi che certificheranno la data; attenzione in questo ultimo caso si deve essere cosciente che in caso di giudizio quel documento non vale un fico secco
