La solita confusione sulla firma digitale

di Manlio Cammarata - 28.02.05

Una procedura singolare, se vogliamo, che avrà come risultato l'entrata in vigore di un testo già rattoppato, con le conseguenti difficoltà per gli operatori di reperire a distanza di tempo il testo vigente (vedi,a questo proposito, La Gazzetta on line di può e si deve fare, di una settimana fa). Forse lo stesso risultato si sarebbe potuto raggiungere se le bozze del codice fossero state pubblicate durante la preparazione, invece che elaborate nelle segrete stanze dei ministeri: un altro vecchio discorso. Comunque, vista la complessità della materia e il tempo a disposizione, la Corte "promuove" lo schema governativo,  come si legge nelle premesse del parere:

Si tratta di un'opera di indubbio rilievo sistematico, che può fornire ai cittadini, alle imprese e alle stesse pubbliche amministrazioni uno strumento normativo ampio, tale da orientare in maniera organica i processi di innovazione in atto.
Uno strumento, quello del codice, che - vista la assoluta peculiarità della materia trattata - può contribuire non soltanto alla erogazione di servizi più efficienti e veloci, ma anche a consentire forme innovative di partecipazione alla vita amministrativa e politica. Che può avvicinare i destinatari dell'innovazione (i cittadini, le imprese, la società civile) ai suoi protagonisti (gli amministratori, i funzionari e gli impiegati pubblici), nella nuova "amministrazione digitale", attraverso un intervento più tradizionale e di chiara leggibilità come è un codice, ossia una raccolta organica di disposizioni legislative.
La Sezione ritiene, quindi, di dover dare atto alla riferente Amministrazione di essersi data carico con impegno di tale opera generale di riordino - indicata, sin dal parere n. 7904/04, come l'unica in grado di attuare compiutamente la delega in questione - e di avere effettuato uno sforzo consistente per accelerare il più possibile, fino quasi a forzare, il cambiamento e l'innovazione...

Però al Consiglio di Stato non piacciono diversi punti dello schema. Per alcuni aspetti le critiche sono condivisibili: per esempio, quando si osserva che andrebbero comprese nel codice le discipline del sistema pubblico di connettività, della posta certificata e dell'indice generale delle anagrafi. Anche le osservazioni sulla "perimetrazione" del codice e sui collegamenti con il testo unico sulla documentazione amministrativa appaiono fondate (vedi, per esempio Amministrazione digitale: cosa resta della funzione documentaria di Maria Guercio).

Ancora condivisibili appaiono le considerazioni al punto 12.2, nel quale si criticano le affermazioni inutili o pleonastiche - in alcuni casi non coerenti con la natura del codice - contenute negli articoli da 3 a 13.
Meno condivisibili, o quantomeno meritevoli di una discussione più ampia, sono le osservazioni sui rischi di un digital divide che può essere determinato dalla completa digitalizzazione dell'amministrazione. Il  tema non può essere considerato solo nell'ambito dei rapporti tra cittadini e PA: ne parleremo nei prossimi numeri.
Per gli aspetti più spiccatamente pubblicistici si veda La PA digitale nel parere del Consiglio di Stato di Carmelo Giurdanella ed Elio Guarnaccia, in questo stesso numero).

Vediamo ora la parte che più ci interessa, quella relativa al documento informatico. Dispiace dover dire che qui il Consiglio di Stato ha combinato un pasticcio che si pone sullo stesso piano di quello creato dal legislatore con il recepimento della direttiva europea (DLgs 10/02). Se lo schema di codice ha un merito, è quello di fare chiarezza su molti punti che nella normativa precedente erano confusi e avevano generato interpretazioni fantasiose. Ora, se qualcuno prendesse sul serio le note del Consiglio in materia di firma digitale, si ricadrebbe nella confusione più totale.

Nel valutare le norme sulla firma digitale (articolo 17 e seguenti dello schema) giudici di Palazzo Spada partono da impostazioni teoriche che appaiono superate, come quella del documento informatico come genus sé stante, che richiederebbe una disciplina particolare, diversa da quella del documento tradizionale. Questa teoria, avanzata da qualcuno nelle prime discussioni sulla firma digitale, non è priva di fondamento, ma nella sostanza si rivela del tutto inutile, perché si è visto che l'equiparazione del documento informatico con firma digitale forte al documento cartaceo con firma autografa consente di mantenere praticamente intatto il nostro ordinamento civilistico. E il Consiglio contraddice le sue stesse considerazioni in materia di atti e documenti, quando suggerisce una modifica dell'art. 18, c. 2, con l'espressione "Al documento informatico sottoscritto con firma digitale si applica l'articolo 2702 c.c.", ritornando così di fatto alla vecchia e chiarissima disposizione del DPR 513/97.

Appare invece non privo di fondamento (e ne abbiamo discusso su queste pagine, vedi Il disconoscimento della firma tra "diritto" e "fatto") il passaggio in cui si osserva che il meccanismo introdotto della presunzione della riconducibilità dell'utilizzo del dispositivo della firma al titolare, salvo che sia data prova contraria, indebolisce la suddetta equiparazione e genera il dubbio che la fiducia nell'atto informatico, che in questi anni è andata diffondendosi, possa notevolmente ridursi.
Alla stessa conclusione era giunto Gianni Buonomo nella sua prima analisi dello schema governativo (Effetti probatori: si torna ai principi del processo civile - 2): "...perché utilizzare, per la sottoscrizione di un contratto, la firma digitale (che non può essere disconosciuta) al posto del supporto cartaceo che è sottoposto al normale (e più equilibrato) regime del possibile disconoscimento in giudizio?".

Ma c'è un punto in cui sembra di rilevare una insufficiente conoscenza degli aspetti tecnologici della firma digitale. E' quello (10.4) in cui si rileva come la sicurezza sulla firma digitale appaia, allo stato, temporanea, con la conseguente necessità di modificare la chiave privata piuttosto frequentemente.... Risultano, però, allo studio sistemi più sicuri (quali impronte digitali, impronte retiniche, etc.)... dovrebbe, pertanto, valutarsi l'opportunità di inserire fin d'ora previsioni che limitino la normativa introdotta fino al momento in cui sarà tecnicamente possibile imprimere agli atti e ai documenti informatici impronte antropometriche (o, in ogni caso, sistemi più sicuri di quelli ora previsti), che consentano senza possibilità di errore di stabilire la provenienza, la firma, etc.

Ora, come tutti dovrebbero ormai dovrebbero sapere,  per accertare l'integrità e la provenienza di un documento informatico non c'è oggi (né appare all'orizzonte) un sistema più sicuro della firma digitale basata sulla crittografia a chiavi asimmetriche. I dati biometrici (e non "antropometrici", che sono un'altra cosa!) se "impressi" su un documento possono facilmente essere catturati e riportati su un altro. Essi invece possono servire, in una prospettiva ragionevole di tempo, per attivare il dispositivo di firma insieme o invece dell'insicuro PIN, offrendo così la certezza che la firma è stata generata proprio dal titolare. L'impronta biometrica non ha senso se non è connessa in qualche modo a una procedura di firma digitale.

Devono essere invece considerate con attenzione le osservazioni espresse al punto 12.1, sulle definizioni che aprono il codice. Il problema è determinato dalla confusa direttiva 1999/93/CE e dalla sua pessima traduzione in italiano. La perplessità dei giudici di Palazzo Spada nel constatare la confusione tra gli aggettivi "elettronico" e "digitale" è giustificata e deriva dalle imprecisioni terminologiche della direttiva. Ma anche loro, nel "contare" i tipi di firma, cadono nel comune errore di ritenere che la firma digitale sia una specie particolare di firma elettronica qualificata e nel concludere che vi sono due tipi di firma - quella semplice e quella qualificata - della quale la firma digitale sarebbe una specie.

E' il momento di prendere atto della realtà: la procedura informatica che consente di accertare l'integrità del documento e la sua provenienza è una e una sola: la firma digitale (e non "elettronica": vedi Firme digitali e... analogie elettroniche di Corrado Giustozzi e Attenzione: sono tutte firme "digitali"). I diversi "livelli" di questa unica procedura informatica, e i conseguenti diversi effetti giuridici, sono legati al grado di certezza nell'identificazione del titolare e di sicurezza nella procedura di generazione.
Abbia dunque il legislatore il coraggio di buttare nella spazzatura l'aggettivo "elettronica" e parli di "firma digitale", nelle due specie di "semplice" e "qualificata", chiarendo nelle definizioni le corrispondenze con le "segnature elettroniche" comunitarie.

La chiarezza di questa soluzione, con la sua totale rispondenza alla realtà tecnologica e ai suoi prevedibili sviluppi, eviterà che anche persone di altissima cultura giuridica, come i giudici del Consiglio di Stato, incorrano in infortuni interpretativi come quelli contenuti nel parere sullo schema di codice dell'amministrazione digitale.
Se poi, nei secoli a venire, qualcuno inventerà una firma "non digitale" per validare i documenti informatici, ci sarà tutto il tempo per adeguare la normativa.

Post-scriptum. A proposito della necessità di correggere le definizioni contenute nell'art. 1 dello schema del codice, va rilevato come la "autenticazione informatica" che appare al primo posto (misteriosamente aggiunta nell'ultima bozza) non compaia in alcun punto del testo. Vista la sua incongruenza tecnica, giuridica e sistematica, deve essere cancellata.