Nel nostro ordinamento, un documento sottoscritto con firma digitale ha piena efficacia giuridica nel caso in cui siano rispettate le seguenti condizioni:
- la firma digitale sia apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario;
- la firma digitale sia apposta utilizzando un certificato di firma in corso di validità;
- il documento non sia modificato dopo l'apposizione della firma.
Nel caso in cui venga meno anche una di queste tre condizioni, la firma digitale NON è valida.
Adesso vediamo queste condizioni nel dettaglio:
Certificato di firma rilasciato da un ente accreditato
Il fatto che la firma digitale debba essere apposta utilizzando un certificato di firma rilasciato da un ente accreditato in grado di identificarne in modo certo il proprietario, comporta che analizzando un documento con firma digitale valida è possibile verificare con certezza l'identità della persona che lo ha firmato (si parla di autenticazione del firmatario).
Ovviamente i certificati di firma rilasciati tramite il nostro Ateneo al personale docente e tecnico-amministrativo consentono di identificare in modo certo il proprietario del certificato e sono validi a tutti gli effetti (vedi Richiesta rilascio di una firma digitale remota).
Certificato di firma in corso di validità
Il fatto che la firma digitale sia apposta utilizzando un certificato di firma in corso di validità comporta che il firmatario di un documento con firma digitale valida non possa disconoscere il documento da lui firmato, salvo che non dia prova contraria (si parla di non ripudio del documento).
Questo avviene perché il certificato di firma ha una validità limitata nel tempo, e si ritiene che un eventuale malintenzionato non possa individuare la password necessaria per l'utilizzo del certificato prima della scadenza di quest'ultimo.
Inoltre, la firma digitale apposta su un documento utilizzando un certificato in corso di validità non ha più alcun valore dopo la scadenza del certificato stesso a meno che al documento non venga apposta una marcatura temporale prima della scadenza del certificato utilizzato per la firma. Si tenga presente, però, che il caricamento di un documento firmato digitalmente all'interno di un sistema di protocollo a norma (come Titulus) equivale a tutti gli effetti all'apposizione di una marcatura temporale e quindi, i documenti firmati digitalmente regolarmente protocollati restano validi anche dopo la scadenza del certificato utilizzato per la firma.
Infine, dal fatto che un firmatario non possa disconoscere un documento da lui firmato digitalmente, consegue l'importanza di mantenere segreta la password associata al proprio certificato di firma, in modo da non permettere a nessuno di apporre firme digitali per proprio conto.
Documento non modificato dopo la firma
Il fatto che il documento non possa essere modificato dopo l'apposizione della firma digitale, comporta che un documento con firma digitale valida è identico a quello all'atto della firma (si parla di integrità del documento).
Dato che una minima modifica in qualsiasi punto del documento comporterebbe l'invalidità della firma digitale, in caso di documenti firmati digitalmente non ha più senso l'atto di siglare le varie pagine di un documento (se vogliamo fare un parallelo con il cartaceo, possiamo considerare come se il documento digitale fosse scritto tutto su un unico foglio).
Dato che i documenti firmati digitalmente non devono più essere modificati dopo l'apposizione della firma digitale, richiamiamo la regola generale di firmare solo file in formato PDF e, laddove possibile, PDF/A.