Documento digitale a firma multipla

In questi giorni pare mi sia imbattuto in uno problema tecnologico a cui, salvo non mi sfugga qualcosa, gli ideatori delle firme digitali non avevano ancora pensato.
La firma digitale è stata creata per firmare un/il documento, nel senso di uno soltanto. Ma può capitare che all'interno di un documento vi siano molteplici dichiarazioni di volontà.

Cosa accade se mi accingo a firmare un modulo ove mi si richiedono molteplici firme? Il caso di specie era una procura con incorporata dichiarazione e consenso secondo la legge privacy, ma ugualmente e a maggior ragione penso ad un contratto che faccia richiamo, e da sottoscrivere separatamente, alla specifica approvazione delle clausole vessatorie.

La cosa, confesso, ha creato qualche scompiglio e ho dovuto mettermi a fare qualche ricerca per capire cosa viene suggerito per questi casi, ad esempio, da Acrobat o dall'Agenzia per l'Italia Digitale (AgID).
E, fatalità, proprio quest'ultima aveva pubblicato di recente (aprile 2014) un testo che spiega l'arcano. Si tratta del documento titolato "Firme multiple e campi testo" che avrebbe dovuto chiarire alcuni aspetti generali sui formati di firma CAdES (file con estensione p7m) e PAdES (file con estensione pdf) e la loro attitudine a ospitare più firme.

Qui si pone la necessità di effettuare una prima importante distinzione. Se da un lato per firma multipla generalmente si intende la firma fatta su un documento da più persone, diverso è il caso nel quale una stessa persona debba effettuare più firme per approvare diverse parti del documento digitale.

 

Nella confusione terminologica proporrei di distinguere, quindi, i due casi denominandoli:
a) documento a firma multipla (più firme di diversi soggetti);
b) documento a firma ripetuta (dal medesimo soggetto).

Nel primo caso, inoltre, si dovrebbe aggiungere la distinzione fra
a1) documento statico a firma multipla e
a2) documento incrementato o a formazione progressiva, a firma multipla.

Per quanto riguarda il documento statico a firma multipla la soluzione suggerita dall'Agenzia per l'Italia Digitale è semplice (e ne avevamo già sentito parlare in merito alla firma del verbale d'udienza da parte di più soggetti). Si tratta di sottoscrivere in modo seriale. Vale a dire provvedere ad apporre una firma dopo l'altra, nel senso di firmare il documento precedentemente firmato da altro sottoscrittore. Ad ogni firma il programma creerà una busta contenente il documento e una firma.

Per quanto riguarda, invece, il documento a formazione progressiva a firma multipla, l'AgID distingue il caso a seconda che si tratti di una firma CADES o di una firma PADES.

Per la firma CADES la procedura di aggiunta seriale delle firme non porta al risultato voluto.
Ben si comprende che salva la eventuale creazione di più estensioni p7m non vi sono indicazioni più specifiche relativamente a quali parti del documento si è inteso manifestare la volontà di sottoscrivere. L'intero documento viene firmato, punto.
Questa soluzione rimane valida solamente per l'ipotesi che sopra abbiamo inserito nella lettera a1), vale a dire il "documento statico a firma multipla".

Si può provare a fare un esempio: se cliente e avvocato devono sottoscrivere una procura alle liti, siamo nell'ipotesi sub a2), quella del documento incrementato o a formazione progressiva a firma multipla; se mi accingo a sottoscrivere una autentica di procura devo effettuare questi passaggi:
a) primo passaggio: il documento digitale contiene a procura alle liti e viene firmato dal cliente formando una busta crittografica;
b) secondo passaggio: nel documento avrò prevista la dizione "per autentica" e l'autenticante farà seguire una seconda firma, quella del legale.

Sono due diverse dichiarazioni. Tuttavia, nessuna indicazione viene fornita per individuare quale sia l'esatta dichiarazione sottoscritta: entrambi i sottoscrittori hanno sottoscritto un documento composto da due dichiarazioni (così formato il documento in realtà è statico). Il cliente potrebbe avere sottoscritto la dichiarazione di autentica e l'avvocato invece sottoscritto la procura; ben si vede come mancando l'ausilio grafico, sarà solo il buon senso a far collegare esattamente la manifestazione di intento all'una o all'altra parte del documento.
Ma non tutti i casi potrebbero essere di buon senso come quello appena visto.
 

Si dovrà esaminare la possibilità di modificare il documento firmato, apportandovi delle variazioni e aggiunte. Soltanto in questo caso si parlerà di documento a reale formazione progressiva.
E quando un documento non sia statico, nella formazione di aggiunte al documento originario si rischia di infrangere la validità della sottoscrizione apposta prima della modifica.

L'Agenzia per l'Italia Digitale pure rileva la problematica e scrive questa interessante sintesi: " ... in entrambi i casi è presente un’unica versione del documento, che pertanto può solo essere oggetto di ulteriori firme digitali senza modificarne il contenuto. Nel caso di documenti sottoscritti in formato CAdES, come si è detto, non è possibile gestire diverse versioni di uno stesso documento all’interno della busta crittografica, pertanto, nell’ipotesi in cui si voglia riportare sul documento delle annotazioni successive alla sottoscrizione (ad esempio i dati della segnatura di protocollo), sarà necessario esportare il documento nel formato originario, ossia non firmato, per apportarvi le annotazioni. Tali modifiche, infatti, sarebbero apportate nell’unica versione del documento presente all’interno della busta CAdES, operazione questa che renderebbe le firme invalide.
E’ evidente il limite di questa tipologia di firma. Nell’esempio fatto, si avrebbero due documenti: uno con la firma digitale del sottoscrittore del documento, l’altro con la segnatura di protocollo ma privo della firma digitale del sottoscrittore
".

In aiuto arriva la struttura tecnologica del formato PADES.
Per risolvere il problema del documento incrementato a firma multipla, il suggerimento che arriva dall'AgID è quello di usare la firma PADES e scrive: "Il formato PAdES implementa la funzione della gestione delle versioni (versioning): ogni versione successiva alla prima, contiene la versione integrale, non modificata, del documento precedente (comprese le firme digitali). Ogni modifica al documento (ulteriore firma o aggiunta di testo o immagini) produce, infatti, una nuova versione che contiene la versione originale non modificata".

Il problema, tuttavia, non è completamente risolto. Primo, per le modifiche (versioning) serve un programma apposito e a pagamento. In secondo luogo, a procedere come suggerito, è la stessa AgID a confermare che alla verifica della firma un lettore Pdf ci darà questo segnale di errore: "Il documento dopo la firma è stato modificato o si è danneggiato".

Ho provato a vedere cosa accade a firmare un documento per poi appore una modifica allo stesso con l'inserimento di un commento (così come possibile dalla versione XI di Acrobat Reader, vedi questo articolo "Scrivere del testo dentro un PDF, come si fa?").

Dopo l'inserimento di un commento testuale alla verifica della firma con acrobat si leggerà un messaggio secondo il quale il documento è firmato "ma dopo la sottoscrizione sono state effettuate delle aggiunte". Se invece lo stesso documento lo sottoponiamo alla verifica di Aruba_Sign, alla verifica avremo una rispota come questa: "La firma Risulta non Valida".

Ciò significa solamente che il documento che si presenta è stato alterato. Tuttavia sappiamo che il formato PADES contiene anche il documento originario.

Se, quindi, insistiamo e andiamo a sottoscrivere il documento che abbiamo modificato otterremo la convalida di entrambe le firme. All'apertura con Acrobat Reader un'apposita area ci segnalerà che il documento è stato firmato e che tutte le firme sono valide. Aggiungerà : "Il documento è stato aggiornato dopo la firma. Aprire il pannello Firma per visualizzare la cronologia delle modifiche del documento". 

Se apriamo il pannello di firma di Acrobat Reader, o usando un altro programma di verifica (come appunto ArubaSign) effettivamente entrambe le versioni del documento saranno presenti, esaminabili entrambe in modo separato ma, e ciò ci interessa particolarmente, con sottoscrizioni riferibili ciascuna ad una diversa parte del documento.
Questa soluzione pare essere particolarmente interessante avendo l'unica e rilevante pecca di dover inserire manualmente e in modo postumo le aggiunte al documento. Il documento non potrà essere formato fin dall'inizio con entrambe le dichiarazioni non essendo possibile, come sopra abbiamo detto, riferire la firma ad una o l'altra dichiarazione.


Fino ad ora ci stavamo riferendo all'ipotesi di un documento a firma multipla.
Vediamo il caso del "documento a firma ripetuta".
In questo caso, come nel caso del documento a formazione progressiva, siamo in presenza, in realtà, di più dichiarazioni di volontà. Il problema è lo stesso, vale a dire, come fare a riferire una sottoscrizione ad una sola e determinata manifestazione di volontà fra quelle contenute nel file. Il caso è quello del contratto in formato .pdf che contiene, dopo un congruo spazio grafico, anche la dichiarazione di specifica sottoscrizione delle clausole vessatorie.
Tralasciando la firma CADES, che abbiamo visto non aiuta, si può pensare che la possibilità che ci fornisce la firma PADES di inserire un elemento grafico della firma in un determinato punto del documento possa aiutare ad identificare l'oggetto della sottoscrizione.
Qualche programma, infatti, chiede di esprimere l'opzione di collocazione all'interno del documento .pdf dell'elemento grafico che esprime la firma digitale, e ciò si fa disegnando con il mouse un rettangolo sul documento.
Dopo vari tentativi ho dovuto realizzare che raramente l'elemento grafico si posiziona esattamente dove richiesto. Senza contare che più spesso, invece, l'elemento grafico si posiziona autonomamente in una lunga striscia verticale nel bordo destro del foglio.

Ma non è tanto questo il dato definitivo. Non si deve dimenticare che quell'elemento grafico è soltanto un ausilio fittizio non avente alcun reale valore certificativo; la vera firma digitale è una procedura tecnologica non visibile ad occhio e solamente il programma di verifica ci da il vero responso.

Va ricordato, infine, che la sottoscrizione digitale va a formare come abbiamo visto una busta crittografata e non vi è alcun supporto tecnico o normativo che possa far intendere che quell'elemento grafico, apposto con la firma PADES, sia effettivamente rilevante, vale a dire abbia una qualche conseguenza o rilevanza tecnico-giuridica.
Quindi, non abbiamo un supporto normativo che possa indicare che la firma ripetuta di uno stesso soggetto in uno stesso documento vada effettivamente a sottoscrivere le diverse dichiarazioni di volontà ivi contenute.

Il Codice dell'Amministrazione Digitale (Decreto legislativo n. 235/2010) non pare dare indicazioni utili a risolvere la questione.

Salvo smentita, pertanto, pare mi sia imbattuto in un problemino non da poco. E richiamo l'attenzione, quale esempio eclatante, sulla sottoscrizione per la specifica approvazione delle clausole vessatorie in aggiunta alla sottoscrizione del contratto.
Quale soluzione opportuna, sembra evidenziarsi la necessità di dover formare documenti separati per ogni singola dichiarazione che necessiti di specifica sottoscrizione, lasciando sul tappeto la ovvia difficoltà del legare fra di loro i diversi documenti così sottoscritti.