Il testo normativo di riferimento quando si parla di Firma Elettronica Avanzata è il d. lgs. 30 dicembre 2010, n. 235, “Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell’Amministrazione Digitale, a norma dell’art. 33 della legge 18 giugno 2009, n.69”.

In queste ultime disposizioni normative, il legislatore italiano ha cercato di individuare dei criteri di collegamento fra le tecnologie disponibili e la sistematica del codice civile sull’efficacia probatoria dei documenti e sulla forma degli atti.
In particolare, proprio il Codice di Amministrazione Digitale definisce la Firma Elettronica Avanzata nel capo I, sezione I, comma 1, lettera q-bis) come:

“Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.”

Il legislatore ha anche disciplinato il valore giuridico e l’efficacia probatoria del documento con la nuova Firma Elettronica Avanzata.

Questo aspetto è trattato nel comma 2 dell’art. 21 dove si dispone sul valore giuridico dei documenti informatici con Firma Elettronica Avanzata, qualificata e digitale.

I documenti informatici con Firma Elettronica Avanzata, firma elettronica qualificata, firma digitale, hanno la medesima efficacia probatoria, quella prevista dall’art. 2702 c.c. per la scrittura privata.

Infatti nell’art. 21, comma 2, ove si dispone che il documento informatico, sottoscritto con Firma Elettronica Avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’art. 20, comma 3, che garantisca l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’art. 2702 del codice civile.

Il rispetto delle regole tecniche diventa così fondamentale per dare il necessario valore probatorio ai documenti sottoscritti.

Di seguito si riportano i commi dell’art. 55, 56, 57, 58, 59, 60, 61 di tali regole, nella loro versione definitiva notificata alla Commissione Europea (fonte DigitPA).

In particolare in tale schema di decreto, al Titolo V  Firma Elettronica Avanzata, troviamo i seguenti articoli:

Art. 55

(Disposizioni generali)

1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

2. I soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:

a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b);

b) coloro che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a).

Art. 56

(Caratteristiche delle soluzioni di firma elettronica avanzata)

1. Le soluzioni di firma elettronica avanzata garantiscono:

a) l’identificazione del firmatario del documento;

b) la connessione univoca della firma al firmatario;

c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;

d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;

e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;

f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a);

g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;

h) la connessione univoca della firma al documento sottoscritto.

2. La firma elettronica avanzata generata in violazione di quanto disposto da una o più disposizioni di cui alle lettere a), b), c), d), e), g), h) del comma 1, non soddisfa i requisiti previsti dagli articoli 20, comma 1‐bis, e 21, comma 2, del Codice.

Art. 57

(Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata)

1. I soggetti di cui all’articolo 55, comma 2, lettera a) devono:

a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’articolo 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità;

c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;

d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;

e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’articolo 56, comma 1;

f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto,

g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito internet;

h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all’utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza.

2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti di cui all’articolo 55, comma 2, lettera a), si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila.

3. Le modalità scelte per ottemperare a quanto disposto al comma 2 devono essere rese note ai soggetti interessati, pubblicandole anche sul proprio sito internet.

4. Il comma 2 del presente articolo non si applica alle persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni.

5. In ambito sanitario, limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni del servizio prevista al comma 1, lettera a) può essere fornita oralmente dall’utente all’esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma elettronica qualificata o firma digitale.

6. I commi 1 e 2 non si applicano alle soluzioni di cui all’articolo 61, commi 1 e 2, alle quali si applicano le norme vigenti in materia.

Art. 58

(Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi)

1. I soggetti di cui all’articolo 55, comma 2, lettera b) che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni, devono essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.

2. I soggetti di cui all’articolo 55, comma 2, lettera b) che offrono soluzioni di firma elettronica avanzata alle pubbliche amministrazioni, ovvero le società che li controllano, devono essere in possesso della certificazione di conformità del proprio sistema di qualità alla norma ISO 9001 e successive modifiche o a norme equivalenti.

3. I commi 1 e 2 non si applicano alle persone giuridiche private partecipate, in tutto o in parte, dalla pubblica amministrazione qualora realizzino per la stessa soluzioni di firma elettronica avanzata.

4. I commi 1 e 2 del presente articolo non si applicano alle persone giuridiche pubbliche che rendono disponibili soluzioni di firma elettronica avanzata a pubbliche amministrazioni.

5. I soggetti di cui all’articolo 55, comma 2, lettera b), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore, da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.

Art. 59

(Affidabilità delle soluzioni di firma elettronica avanzata)

1. I soggetti di cui all’articolo 55, comma 2, lettera a), al fine di dare evidenza del grado di conformità alla norma ISO/IEC 27001 del proprio sistema di gestione per la sicurezza delle informazioni a supporto della soluzione di firma elettronica avanzata proposta, possono richiederne la certificazione ad una terza parte indipendente autorizzata allo scopo secondo le norme vigenti in materia.

2. I soggetti di cui all’articolo 55, comma 2, lettera a), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, su base volontaria, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.

Art. 60

(Limiti d’uso della firma elettronica avanzata)

1. La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, comma 2, lettera a).

Art. 61

(Soluzioni di firma elettronica avanzata)

1. L’invio tramite posta elettronica certificata di cui all’articolo 65, comma 1, lettera c‐bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’articolo 1, comma 1, lettera i) del decreto 2 novembre 2005 recante “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.

3. I formati della firma di cui al comma 2 sono gli stessi previsti ai sensi dell’art. 4, comma 2.

4. Le applicazioni di verifica della firma generata ai sensi del comma 2 devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda ad uno degli strumenti di cui al medesimo comma.

5. I certificatori accreditati che emettono certificati per gli strumenti di cui al comma 2 rendono disponibili strumenti di verifica della firma.

6. Fermo restando quanto disposto dall’art. 55, comma 1, al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, DigitPa elabora Linee guida sulla base delle quali realizzare soluzioni.