Troppi problemi, ritorniamo alle origini

di Manlio Cammarata - 18.09.06

Invece i tecnologi conoscevano da molti anni uno strumento perfettamente adatto allo scopo: la firma digitale. Una procedura informatica basata sulla crittografia a chiavi asimmetriche, il cui principio è ormai noto a molti: cifrando un particolare "riassunto" del documento con una chiave segreta, il firmatario ne "sigilla" il contenuto; sicché, decifrando con la corrispondente chiave pubblica il riassunto stesso, e confrontando il risultato con la firma apposta sul documento, chiunque può verificare che a) provenga dal titolare della coppia di chiavi e b) non sia stato alterato dopo la generazione della firma stessa. Nell'impianto tecnologico, però, manca la certezza che la chiave segreta corrispondente alla chiave pubblica usata per la verifica sia nell'effettiva ed esclusiva titolarità del soggetto che appare come firmatario.

Tutti i problemi erano risolti dalla bozza del '96: la firma digitale come strumento di validazione dei documenti informatici, con una complicata gerarchia di autorità notarili per certificare l'appartenenza delle coppie di chiavi (non a caso il testo era stato impostato da due notai esperti di informatica, Enrico Maccarone e Mario Miccoli).
Trovato in qualche modo a punto il sistema per avere la certezza legale della titolarità delle chiavi, fu possibile formulare un principio generale di equivalenza del documento informatico alla scrittura tradizionale. Era una soluzione all'avanguardia nel mondo, perché alcune esperienze condotte all'estero si limitavano a riconoscere la validità del documento con firma digitale solo in alcuni ambiti particolari.

La "rivoluzione" trovò presto il suo sbocco normativo: con  il secondo comma dell'art. 15 della legge 15 marzo 1997 N. 59, il legislatore stabilì che "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge". Successivi regolamenti avrebbero determinato  i criteri di applicazione di questa norma, semplice quanto dirompente per la cultura giuridica dell'epoca (e non solo...).

Il primo dei regolamenti previsti dalla legge 59/97 fu il DPR 10 novembre 1997, n. 513. Stabiliva che la validità e rilevanza del documento informatico era subordinata alla presenza di una firma digitale, correttamente definita come "il risultato di una procedura informatica", basata sulla crittografia a chiave pubblica, che offre la certezza dell'integrità del contenuto e dell'identità del firmatario di un documento.
Col le "regole tecniche" (DPCM 8 febbraio 1999) si introduceva il "dispositivo di firma", si dettavano rigorose norme di sicurezza e si precisava il ruolo dei certificatori.

Col senno di poi, è difficile non riconoscere che l'impianto del DPR 513/97 era quasi perfetto: poche le norme di difficile interpretazione, chiara l'equiparazione del documento informatico al documento cartaceo. Solo le disposizioni sulla validità della firma digitale dopo la scadenza del certificato alteravano il parallelismo tra i due tipi di documenti, con un macchinoso sistema di apposizione periodica di marche temporali.

Alla fine del '99 l'Unione europea varava la direttiva 1999/93/CE, frutto di complicati compromessi tra civil law  e common law, di insistenze dell'industria e di eccessiva fretta. Un normativa corretta nella sostanza, ma scritta male, con diverse oscurità e incongruenze. La traduzione in italiano, piena di errori, la rendeva di interpretazione ancora più ardua (vedi La formazione del testo della direttiva sulle firme elettroniche di Pierluigi Ridolfi) . La sua attuazione, con il decreto legislativo 10/02 e il successivo DPR 137/03, scardinava i delicati meccanismi disegnati tra il '97 e il '99, provocando incertezze applicative e discussioni interpretative a non finire.

Il "Codice dell'amministrazione digitale" (DLgv 182/05, nato "provvisorio" e modificato con il DLgv 159/06) ha risolto una parte dei  problemi e ne ha aperti altri. Non sto qui a elencare tutti i punti critici del Codice: basti dire che in molti passaggi si fa confusione tra sistemi di validazione dei dati e sistemi di validazione dell'identità, tanto che non è chiaro se la "firma elettronica" appartenga alla prima o alla seconda categoria. La stessa firma digitale viene definita come un particolare tipo di firma elettronica qualificata, anche se sul piano tecnico è pacifico che sono la stessa cosa. L'equiparazione processuale tra documento cartaceo e documento digitale è scomparsa, nonostante la precisa indicazione della direttiva europea, i limiti della delega legislativa e le osservazioni del Consiglio di Stato, espresse in particolare nel parere del 30 gennaio 2006 .

Nonostante tutta questa confusione, l'Italia resta al primo posto per la diffusione della firma digitale. Almeno sulla carta. Un'indagine del Centro nazionale per l'informatica nella pubblica amministrazione (qui il comunicato) indica in oltre 2.600.000 i certificati emessi, il 75 per cento dei quali rilasciati a imprenditori. Il CNIPA però non si chiede, o non dice, quanti di questi dispositivi di firma sono effettivamente nelle mani dei titolari e quanti sono chiusi nei cassetti dei loro commercialisti (vedi Ha la firma digitale, ma non lo sa... ) né quanti dipendenti della pubblica amministrazione fanno effettivamente uso dei certificati distribuiti "a lotti". Ancora, sarebbe utile sapere quanti titolari sanno a che serve esattamente la firma digitale e quali possono essere le conseguenze dell'incauto affidamento a terzi del dispositivo di firma e della password.

Dai numerosi messaggi che arrivano alla redazione di InterLex, la maggior parte inviati da dipendenti pubblici, si manifesta un quadro poco incoraggiante (vedi La pubblica amministrazione chiede aiuto). Emergono due aspetti principali: in tanti non hanno ancora afferrato la sostanza della firma digitale (c'è ancora chi pensa che una firma autografa digitalizzata sia una firma digitale) e in molti casi si cerca di usare la firma digitale come la firma autografa, senza rendersi conto che il passaggio dal documento cartaceo a quello informatico richiede la "reingegnerizzazione" dei processi.

Un fatto va però salutato con soddisfazione: il CNIPA ha iniziato l'attività di vigilanza sistematica sui certificatori, prevista dall'ultima... release del Codice dell'amministrazione digitale in attuazione di una norma europea  (ma già con le norme precedenti avrebbe potuto svolgere qualche azione di sorveglianza). Il primo bollettino  va letto con attenzione, perché riserva qualche sorpresa.

Dieci anni sono passati invano? Certamente no, ma è evidente che la rivoluzione annunciata nel '96 non ha prodotto gli effetti attesi. Le stratificazioni normative che hanno seguito il DPR 513/97 hanno creato solo confusione. E' necessario ricordare che il documento informatico è indispensabile per far funzionare la pubblica amministrazione e semplificare i rapporti tra i privati, ma che il suo impiego su vasta scala richiede, oltre che la conoscenza dello strumento e la fiducia nel sistema, una struttura di norme semplici e chiare. Ci sono, in particolare,  tre punti essenziali che richiedono un urgente intervento legislativo:

1. E' necessario rivedere le definizioni del codice dell'amministrazione digitale  per fare chiarezza tra data authentication  e entity authentication (secondo la tecnica e secondo il dettato della direttiva europea). Questo comporta anche alcune correzioni nelle parti del codice che riguardano l'interscambio dei documenti. Non si possono mettere sullo stesso piano la firma digitale (che valida dati e identità), la carta d'identità elettronica (che non dà certezza sull'integrità dei dati) e il fax, che non dà la minima certezza. In seguito alla sistemazione delle definizioni del codice, si dovranno rivedere quelle della normativa connessa, in particolare quella fiscale, per eliminare i dubbi che oggi si verificano nel confronto tra le diverse normativa..

2. Si deve ricostruire l'equivalenza sostanziale e processuale del documento cartaceo e del documento tradizionale (come nel DPR 513/97). Fra l'altro questa equivalenza è specificamente richiesta dalla direttiva comunitaria e costituisce una semplificazione utile per facilitare la diffusione dei nuovi strumenti.

3. Anche nell'ottica dell'equivalenza tra documento tradizionale e documento informatico, la firma digitale si deve presumere valida (naturalmente fino a prova contraria) anche dopo la scadenza del certificato, almeno in presenza di una marca temporale verificabile. Un pubblico registro dei certificati scaduti consentirebbe la verifica senza limiti di tempo.

In sostanza, si dovrebbe ritornare alle semplici indicazioni del DPR 513/97, con le poche aggiunte imposte dalla direttiva 1999/93 e dall'esperienza di questi anni.
Un'altra felice esperienza di allora dovrebbe essere ripresa: la bozza del '96 e quella del '97 furono pubblicate dall'AIPA, sollecitando il contributo di tutti gli esperti. Le risposte furono molto utili. Oggi i testi si elaborano nelle segrete stanze del Palazzo e guai a chi si permette di dare qualche consiglio disinteressato. Con i risultati che vediamo.

Chi volesse approfondire le diverse questioni trova un'analisi sistematica nel mio libro Firme elettroniche - Problemi normativi del documento informatico, oltre che nei numerosi articoli elencati nell'indice di questa sezione di InterLex.