Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Pubblica amministrazione e commercio elettronico,
il futuro non è dietro l'angolo
di Manlio Cammarata - 08.10.98

"Rivoluzione digitale": credo di aver usato diverse volte questa espressione a proposito del progetto sul documento informatico elaborato dall'Autorità per l'informatica nella pubblica amministrazione. In un articolo di qualche mese fa avevo osservato che la coincidenza temporale tra le innovazioni legislative in materia di firma digitale e i primi passi del commercio elettronico potrebbe determinare una convergenza molto favorevole per far diminuire il ritardo dello sviluppo delle tecnologie dell'informazione in Italia.

Una più attenta riflessione sull'argomento, stimolata soprattutto dalla lettura della bozza delle "regole tecniche" elaborata dall'AIPA, ha moderato il mio ottimismo. Non tanto per i suoi "difetti", ai quali l'AIPA sta ponendo rimedio con la versione definitiva del testo, ma perché rende evidenti alcuni limiti del quadro generale, che non apparivano con chiarezza nel DPR 513/97.
In esso è presente una visione complessiva molto avanzata, che si riassume nella formulazione dell'articolo 2:
Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento.
Il quale stabilisce le norme generali per la validità della firma digitale e, con l'articolo 3, rimanda la definizione dei dettagli operativi a un ulteriore regolamento tecnico.

I certificatori che non certificano

Si tratta appunto delle "Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513", pubblicate come bozza dall'AIPA (con un mai abbastanza lodato invito a esprimere critiche e suggerimenti). Un testo estremamente delicato, prima di tutto per quanto riguarda la quantità e la complessità degli adempimenti richiesti, poi perché traccia un solco tra l'impiego del documento digitale nella pubblica amministrazione e le applicazioni private, in primo luogo il commercio elettronico.

A prima vista sembra addirittura che ci sia una contraddizione tra il regolamento generale e le norme tecniche. Infatti il DPR 513/97, articolo 17, stabilisce che le pubbliche amministrazioni provvedono autonomamente, con riferimento al proprio ordinamento, alla generazione, alla conservazione, alla certificazione ed all'utilizzo delle chiavi pubbliche di competenza, ma l'articolo II.7 delle regole tecniche introduce una norma che appare in contrasto con la validità e rilevanza della firma digitale "a tutti gli effetti di legge": E' consentito ai certificatori definire accordi di certificazione mutua.
Dunque la firma certificata da una pubblica amministrazione può non valere per un'altra, se tra le due non c'è un accordo di mutuo riconoscimento. In pratica, se il Ministero delle finanze certifica una firma per gli adempimenti fiscali, questa può non essere valida per un altro ministero, o per il comune o per la ASL, anche se la certificazione è stata compiuta con la piena osservanza di tutte le regole. E ciò contrasta con l'articolo 2 del DPR 513/97, che vuole il documento digitale valido e rilevante ad ogni effetto di legge, se formato secondo le norme generali e specifiche.

In conseguenza di questa disposizione, un soggetto che volesse gestire tutti i rapporti con la pubblica amministrazione attraverso documenti digitali (e la cosa dovrebbe essere possibile nel giro di pochi anni, secondo il DPR 513/97) dovrebbe munirsi di una coppia di chiavi per ciascun ente con il quale dovesse trattare. Il che significherebbe anche il doversi recare di persona presso tutti gli uffici interessati, con il dispendio di tempo e lo spreco di risorse che si vorrebbe evitare proprio con l'adozione del documento digitale! Senza contare la complessità della gestione organizzativa e tecnica di un "portachiavi" tanto affollato, oltre al rischio che deriva dall'impossibilità di ricordare a memoria le password o le passphrase corrispondenti alle diverse chiavi.
Qualcuno dirà che il riconoscimento reciproco dei certificati è solo questione di tempo. Di quanto tempo? Non possiamo ignorare che l'introduzione della firma digitale è malvista, per vari e non sempre condivisibili motivi, da una parte non trascurabile della pubblica amministrazione, e che il ritardo nel mutuo riconoscimento dei certificati potrebbe essere un'arma efficace per ritardare l'innovazione.

A tutto questo si aggiunge un'altra complicazione. L'articolo V.1 delle regole tecniche stabilisce: Le Pubbliche Amministrazioni, anche in forma associata, possono istituire, con riferimento al proprio ordinamento, un servizio di certificazione delle chiavi pubbliche dei dipendenti e dei cittadini, utilizzate ai soli fini amministrativi, senza l'iscrizione dell'elenco pubblico di cui all'art. 8, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513.
Così, alla quantità di chiavi che potrebbe derivare dalla mancata validità generale dei certificati pubblicati da diverse amministrazioni, si aggiungono i "certificati non pubblicati" previsti da questa norma.

La chiave di lettura di queste disposizioni, che non appare esplicitamente nelle regole tecniche, è nel fatto che le pubbliche amministrazioni che certificano le firme digitali dei propri dipendenti e dei cittadini interessati, non sono "certificatori" ai sensi del comma 3 dell'articolo 8 del DPR 513/97 e quindi non sono iscritte all'albo pubblico tenuto dell'AIPA. Solo i certificati emessi da questi soggetti (che quindi costituiscono le sole "autorità di certificazione") hanno efficacia erga omnes e quindi devono essere riconosciuti da tutte le pubbliche amministrazioni.
Insomma, il cittadino che vorrà assumere una "identità digitale" a tutti gli effetti, dovrà rivolgersi a un certificatore iscritto all'albo, mentre i certificati rilasciati da una pubblica amministrazione avranno un'efficacia limitata a quella singola amministrazione e, eventualmente, alle altre che abbiano stipulato accordi di mutuo riconoscimento con la prima.
E' difficile capire il senso di questo complesso di norme. Che le pubbliche amministrazioni possano certificare, per il solo uso interno, le firme dei propri dipendenti, appare naturale. Un po' meno naturale è la facoltà del mutuo riconoscimento, invece dell'obbligo. Ma perché estendere la potestà certificatoria delle amministrazioni a soggetti esterni, se questi certificati non possono avere gli effetti previsti dall'articolo 2 del regolamento generale?

Forse l'obiettivo dell'AIPA è di facilitare l'avvio della diffusione del documento digitale, "acchiappando" i cittadini nel momento in cui vengono a contatto con le amministrazioni, invece che aspettare che si affermi la certificazione volontaria presso le apposite "autorità". Ma, come si osserva nell'articolo di Andrea Monti, le norme dovrebbero essere scritte in vista della loro applicazione "a regime", e non in funzione di situazioni temporanee.

Troppe complicazioni per il commercio elettronico

Al di là di questo problema, che però non diminuisce il valore innovativo dell'introduzione del documento digitale, resta la complessità e la rigidità delle regole tecniche per la certificazione. Che forse sono necessarie per conciliare la certezza tecnica e la certezza giuridica del documento digitale nell'ottica della pubblica amministrazione e degli atti pubblici in particolare, ma che si scontrano con le esigenze di rapidità e di semplificazione nei rapporti tra privati e soprattutto nel commercio elettronico.
Le prime, positive esperienze in questo settore dimostrano che non sono necessarie tante formalità e tante precauzioni per la sicurezza delle transazioni telematiche, anche in considerazione del loro valore, generalmente esiguo. Quindi è facile prevedere che i soggetti interessati al commercio elettronico continueranno sulla strada, già intrapresa con buoni risultati, dell'autenticazione diretta degli utenti attraverso i controlli sulle carte di credito e altre precauzioni relativamente semplici. Infatti le estenuanti procedure della firma digitale "valida e rilevante ad ogni effetto di legge" finirebbero col frenare, invece che favorire, la diffusione delle transazioni telematiche.

Dunque quella che si profila non è la convergenza, ma la "divergenza" tra lo sviluppo del commercio elettronico e l'evoluzione telematica della pubblica amministrazione. Certo non sarà una catastrofe, ma si offusca un po' la prospettiva della nascita dei "cittadini telematici" che le prime norme sul documento informatico avevano fatto sognare.

Che ne facciamo dell'imposta di bollo?

E ora una domanda semplice semplice: come si applicherà il bollo ai documenti informatici, nei casi in cui l'attuale ordinamento lo prevede (per esempio, sulle ricevute dell'affitto di un appartamento)? Si potrebbero escogitare diversi espedienti tecnici per un bollo "virtuale", ma poi come si farebbe a controllare l'assolvimento dell'obbligo? Forse autorizzando la Guardia di finanza a curiosare in tutti - tutti! - i PC dei cittadini o a intercettare "a campione" i messaggi posta elettronica? Altro che Grande Fratello!

In ultima analisi la risposta è semplice come la domanda: esonerando dall'imposta di bollo i documenti digitali. Era la previsione contenuta nella prima bozza dell'AIPA, giustificata anche dai consistenti risparmi nei costi amministrativi che possono essere determinati dalla diminuzione dell'uso della carta.
Ma la norma è scomparsa dalla versione definitiva del provvedimento. E non perché l'Autorità abbia cambiato idea (suppongo), ma perché per l'abolizione del bollo occorre una legge. Il primo testo era appunto un disegno di legge, che quindi avrebbe potuto dettare una norma ad hoc, ma poi è diventato un regolamento, che non può modificare una legge.
E' dunque opportuno che si intervenga, magari nella legge finanziaria in discussione, con una disposizione di buon senso, che non costa nulla.

Sicurezza: chi troppo e chi niente

Un'ultima considerazione. Le regole tecniche sul documento informatico costituiscono di fatto un dettagliato manuale di sicurezza dei sistemi e dei dati (anche troppo dettagliato: vedi l'articolo di Corrado Giustozzi). E ci fa notare l'assenza di un altro testo sulla sicurezza, quello previsto dall'articolo 15 della legge 675/96 sulla protezione dei dati personali, ormai in ritardo di un anno...