L'avvocato Enrico De Giovanni è il capo dell'ufficio legislativo del Dipartimento per l'innovazione e le tecnologie. Gli abbiamo posto una serie di domande sui problemi della firma digitale, sia per quanto riguarda l'assetto normativo sia in relazione alle recenti notizie su alcune "vulnerabilità" dei sistemi di firma.

D. Avvocato De Giovanni, a cinque anni dalla pubblicazione del decreto legislativo 513/97 la firma digitale stenta ancora a decollare. Si incontrano sempre nuove difficoltà, da ultimo quella dei "bachi" delle applicazioni. Ma forse in questo momento il problema più delicato viene dalle previsioni del decreto legislativo 10/02 che, nell'accogliere con qualche "esagerazione" le disposizioni europee, conferisce alla firma "forte" lo stesso valore della firma tradizionale autenticata e alla firma "debole" una certezza che darebbe al documento informatico la stessa validità e rilevanza della "forma scritta" del documento tradizionale. Tutto ciò stride non poco con il nostro ordinamento civilistico e lei stesso, in un convegno di alcuni mesi fa, ha accennato all'opportunità di una revisione legislativa. Si sta procedendo in questa direzione?

R. Le confermo che condividiamo le sue preoccupazioni. Non tanto sulla firma "debole", perché lì c'è una certa libertà di valutazione da parte del giudice, quanto sulle firme "forti". Nel decreto 10 c'è effettivamente un'efficacia probatoria, fino alla querela di falso, ci sembra troppo rigida. Stiamo riflettendo molto attentamente su questo argomento, coinvolgendo gli attori principali di questa vicenda sul piano dialettico, culturale direi: magistratura, avvocatura, rappresentanti dei certificatori, mondo accademico.
Abbiamo avviato un dibattito per dare norme che nascano da una riflessione attenta, approfondita e quanto più possibile aperta. Io credo sinceramente che la strumentazione che attualmente ci mette a disposizione l'ordinamento civilistico probabilmente non sia idonea a affrontare in modo opportuno questo problema.
E qui introduciamo un problema di ordine più generale. Le nuove tecnologie ci pongono sicuramente un problema di istituti giuridici, perché quelli su cui è basato il nostro ordinamento sono nati per realtà diverse. Ora non è detto che la strumentazione che il codice civile ci mette a disposizione sia di per sé idonea a soddisfare le nuove problematiche poste dall'uso delle tecnologie. Io credo che il legislatore debba avere uno scatto di coraggio e superare in qualche modo le vecchie terminologie, i vecchi steccati, e forse inventare qualcosa di nuovo. Per esempio, la firma digitale è indubbiamente un qualcosa che è ragionevole affermare abbia un qualcosa di più sul piano dell'efficacia probatoria, rispetto a una semplice sottoscrizione autografa. Ma da qui a costringere la persona contro cui viene esibita in giudizio a ricorrere a una querela di falso, ad affrontare una sorta di calvario processuale, un processo nel processo, ci sembra una soluzione troppo drastica. Quindi, nel dilemma se dargli questa fortissima efficacia, o retrocederlo a un'efficacia probatoria più ridotta, se si riuscisse a trovare una soluzione nuova, anche al di fuori di quelle che sono le attuali previsioni del codice civile, probabilmente avremo inventato uno strumento giuridicamente più aderente alla realtà dei fatti.

D. Vorrei provare a considerare la cosa da un diverso punto di vista. In fondo partire dal valore processuale è un po' partire da una prospettiva "patologica", invece che da quella "fisiologica" dell'efficacia della firma digitale (debole o forte che sia) nei rapporti giuridici. Nel codice civile, partendo dall'alto, abbiamo la firma autenticata, che dà all'atto un particolare valore perché c'è un pubblico ufficiale che attesta che "quella" persona ha apposto "quella" firma in calce a "quel" determinato atto in "quel" determinato momento: tutto questo non può essere sostituito dal riconoscimento "una tantum" del titolare da parte del certificatore, quindi l'equiparazione della firma digitale alla firma autenticata appare improponibile sul piano sistematico. Poi c'è la "forma scritta", cioè il documento tradizionale, che il codice impone per alcune categorie di atti, nel quale la sottoscrizione autografa costituisce in qualche modo un collegamento "fisico" tra il firmatario e il documento. E qui il riconoscimento "con certezza" da parte del certificatore accreditato e soprattutto il possesso (presunto) del dispositivo di firma e la conoscenza del PIN possono essere in qualche modo equiparati a una sorta di collegamento della persona alla firma digitale. Con la conseguente attribuzione dell'efficacia della "forma scritta" al documento informatico munito di firma "forte". Ma con la firma "debole" queste certezze vengono meno e a mio avviso l'equiparazione alla forma scritta è difficile da accettare.
Aggiungiamo che anche per la firma "forte", dopo essere incappati nei primi due "bachi", le certezze appaiono meno effettive di quanto potessimo pensare all'inizio. Che le vecchie normative possano essere prima o poi riviste in funzione del progresso tecnologico è vero, e sotto qualche aspetto è una prospettiva stimolante, ma allo stato dei fatti credo che sia più ragionevole, in un quadro di breve o medio termine, un passo indietro rispetto alle previsioni del '97, piuttosto che un passo avanti. Forse, se e quando le tecnologie basate sul riconoscimento biometrico saranno mature, una firma biometrica potrà essere considerata più efficace di una firma autografa.

R. Qui c'è un problema di requisiti tecnologici di sicurezza. Accantoniamo per un attimo il problema dei certificatori che, sono d'accordo, è un problema serissimo e da affrontare con rigore. Per quanto riguarda la firma in sé, è chiaro che nel regolamento appena approvato ci siamo preoccupati di attribuire una valenza giuridica a firme che comunque presentino un certo grado sicurezza, nel senso della riconducibilità a un soggetto determinato.
Già nelle definizioni del nuovo regolamento noi parliamo di firme "elettroniche" come categoria generale; poi diamo rilevanza giuridica alla firma elettronica avanzata, alla firma elettronica qualificata e alla firma digitale. Abbiamo cercato di dare delle definizioni che abbiano una congruenza tecnologica e siano chiare sul piano normativo. Quindi il primo tipo di firma, la più "leggera", che non dà luogo a quella particolare sicurezza probatoria che determina la necessità della querela di falso, è appunto la firma "avanzata".

D. Dunque la firma che viene definita "avanzata" è il livello più basso, cioè la firma "debole"? L'aggettivo "avanzata" fa pensare che ce ne sia un'altra più "arretrata", se mi passa la battuta.

R. Nella mia lettura sistematica, sì. Affinché una firma digitale sia giuridicamente apprezzabile nell'ordinamento italiano deve essere "avanzata".

D. Dunque, e molto semplicemente, la firma elettronica semplice non viene neanche presa in considerazione dall'ordinamento, se non per rimetterne il valore probatorio alla valutazione del giudice?

R. La definizione di "firma elettronica" data dal regolamento non mi pare che possa fotografare un tipo particolare di firma, è assolutamente generica.

D. Tanto più che, a stretto rigore, la scelta del legislatore europeo di usare l'aggettivo "elettronico" è assolutamente sbagliata. Oggi non si conosce altro tipo di firma che non sia "digitale" (indipendentemente dai suoi requisiti di certezza), né appare ragionevole immaginare qualcosa di diverso per il futuro.

R. D'altra parte la nostra difficoltà nello scrivere il regolamento è stata nel dover dare attuazione alla direttiva e rispettare il decreto legislativo numero 10. Andavano comunque rispettati determinati principi, in particolare nella previsione di due livelli di firma. Abbiamo dunque ribadito il concetto di firma elettronica presente nel decreto legislativo, che però dice tutto e non dice niente, perché ci rientra tutto.
Io non credo che il concetto di firma elettronica in quanto tale abbia una specifica rilevanza giuridica, non caratterizza una tipologia di firma distinguibile dalle altre. E' chiaro a questo punto che la lettura sistematica del nostro ordinamento ci deve condurre a riconnettere gli effetti giuridici previsti da varie norme alle tipologie di firme che, nell'ambito della categoria più generale delle firme elettroniche, sono poi puntualmente descritte nel nuovo regolamento: l'avanzata, la qualificata e la digitale. Si può discutere sull'opportunità del riferimento della parola "digitale" a una sola delle tre categorie: su questo alzo le mani, perché non sono un tecnico, sono un giurista.

D. Resta un problema di fondo. Appurato che la firma elettronica è il "genus" e le altre sono "species", nella normativa vediamo che esiste una firma debole, alla quale corrisponde la definzione di "firma elettronica avanzata" e due diversi tipi di firme forti, ambedue basate su un certificato qualificato, generate con un dispositivo di firma eccetera. La sola differenza è nella presenza delle chiavi asimmetriche, proprie della sola firma digitale. Ma allo stato della tecnologia non sembra che esistano firme forti che non fanno uso di chiavi asimmetriche, come nella definizione della firma qualificata; o, meglio, sono teoricamente realizzabili, ma di nessuna utilità pratica. Che significa dunque questa definizione?

R. Ripeto, non mi sento un tecnico e riconosco con me stesso di non avere una esatta cognizione o competenza in queste tecnologie. Mi sono fatto guidare dai tecnici, mi sono rigorosamente attenuto alle loro spiegazioni. Noi abbiamo una disciplina che dice che la firma digitale è quella basata sulle chiavi asimmetriche. Per la firma qualificata è detto che deve essere basata su un certificato qualificato (cioè rispondente ai quattro allegati della direttiva) e generata mediante un dispositivo sicuro.

D. Se ne deduce che dovrebbe esistere una firma "forte" non basata sulla cifratura a chiavi asimmetriche. Non mi risulta che esista, allo stato dell'arte, e i tecnici me lo hanno confermato.

R. E anche i nostri tecnici hanno detto la stessa cosa. Ma noi abbiamo cercato di creare una struttura in qualche modo aperta, che fotografasse l'esistente (in particolare il sistema delle chiavi asimmetriche), ma che consentisse comunque di far rientrare nel concetto di firma forte anche eventuali future soluzioni diverse da quella basata sulle chiavi asimmetriche. Per non ingessare il sistema, per non impedire la possibilità di attribuire da subito efficacia giuridica a eventuali future soluzioni di firma forte.

D. Allora forse ho capito: il giorno in cui fosse utilizzabile, per esempio, una firma forte basata sul dato biometrico invece che sulle chiavi asimmetriche, essa rientrerebbe nella "species" della firma elettronica qualificata, in presenza degli altri requisiti. In conclusione, e in barba all'ermeticità del dettato normativo: ci sono due tipi di firma digitale. La prima è debole e si chiama "firma elettronica avanzata", la seconda è forte e si chiama "firma digitale". Ne è prevista un'altra, detta "firma elettronica qualificata", ma per adesso non esiste.

R. Assolutamente sì, l'obiettivo ultimo è proprio questo. Ma forse non era possibile scriverlo in modo più chiaro.

D. Tutto questo, però, potrebbe avere un valore limitato nel tempo. La legge di semplificazione per il 2001, ormai in fase di approvazione definitiva, con l'articolo 10 delega il governo a rimettere ordine in tutta la materia, mentre l'articolo 1 prevede la possibilità di riunire in codici le normative di settore, e si è parlato anche di un "codice" delle tecnologie. Sono già in corso i lavori per questo codice o pensate di sfruttare la delega prima di tutto per rimettere un po' di ordine nella materia?

R. Sul punto è in corso una riflessione. Abbiamo sottoposto al ministro le varie opzioni, con le conseguenze che possono derivare dalle diverse scelte. La delega, tra l'altro, parla di "co-proponenza", cioè si tratta di emanare dei decreti legislativi che possono spaziare in un ambito estremamente ampio, purché riconducibile alle nuove tecnologie, alla diffusione dell'informatica e alla digitalizzazione nella PA e del Paese, ma sempre con forme di co-proponenza con i singoli ministri interessati. Questo è un primo dato da tener presente, perché noi ci occupiamo dello "strumento abilitante" a realizzare determinati obiettivi, ma è necessario il confronto con chi poi deve usare questo strumento per specifici interessi pubblici.
L'ottica in cui si muove il ministro è estremamente pragmatica. Noi cerchiamo di promuovere la digitalizzazione delle pubbliche amministrazioni, la diffusione delle nuove tecnologie nel Paese, tra i cittadini e nelle imprese. Evitiamo voli di fantasia o esercizi di stile, specie nel campo della produzione normativa. Se questa è l'ottica, probabilmente confrontarci da subito con una codificazione, che vuol dire cercare di raccogliere in un testo omogeneo organico, che si muova partendo da alcuni principi unificanti, una materia così complessa come la disciplina delle norme che riguardano la società dell'informazione, potrebbe essere un'operazione lunga e complessa. Che si può affrontare, forse, nell'arco di una legislatura, però il rischio è che per fare tutto insieme si perdano di vista obiettivi che possono essere pragmaticamente raggiunti in maniera più rapida. L'ipotesi che ho suggerito al ministro è di lavorare su decreti legislativi che intervengano in modo mirato su specifici settori, nell'ambito naturalmente delle deleghe previste dall'art. 10 della legge di semplificazione, avviando nel contempo un'opera di coordinamento dell'intero settore normativo, che potrebbe portare nel tempo all'emanazione di un codice.

D. Forse occorre anche un maggiore sforzo per la diffusione della conoscenza dei nuovi strumenti, per convincere le amministrazioni ad adottarli. Si sta facendo qualcosa in questa direzione?

R. In questo momento siamo impegnati, su precisa indicazione del ministro, a promuovere e sostenere, e in taluni casi direi quasi a "forzare" la digitalizzazione dell'attività della pubblica amministrazione. Perché sappiamo che ci sono resistenze anche culturali, vecchie abitudini che è duro rimuovere, ed è anche comprensibile che chi ha lavorato per tanti anni con certi strumenti e certi metodi fatichi un po' a convertirsi al nuovo. E' importante sottolineare che non basta fare le stesse cose di prima con i nuovi strumenti, occorre ripensare, "reingegnerizzare", come si dice oggi, gli stessi procedimenti. Tutto ciò presuppone un grande sforzo prima del legislatore e dopo di chi opera effettivamente nella pubblica amministrazione. Si dovrebbero poi introdurre delle date entro le quali debbano essere compiuti certi processi di riconversione.

D. Delle date precise erano previste anche dal DPR 513/97, ma sono rimaste lettera morta...

R. Il problema di fondo, secondo me, è che finché lo strumento informatico si potrà affiancare a quello cartaceo, le amministrazioni si adegueranno, metteranno in piedi gli archivi ottici, il protocollo informatico, ma in fondo la carta resterà sempre essenziale. Sto studiando qualche soluzione che sotto questo profilo sia più forte... Qualcosa di determinante, di importante, che potrebbe sollevare anche qualche preoccupazione, ma non possiamo aspettare le nuove generazioni, che usano il computer come un'estensione delle mani.

D. Torniamo al presente e ai problemi che sono emersi nelle prime esperienze reali. A parte i "bachi", che si possono in parte considerare come incidenti tipici di ogni partenza di sistemi complessi, ci sono forti perplessità proprio sulle procedure di certificazione, nell'identificazione di chi fa richiesta di un certificato.

R. Ci è molto presente questo problema. Sappiamo bene che è indispensabile un attento controllo innanzitutto sui sistemi di scurezza di chi emette i certificati e anche sul materiale rilascio della smart card in favore di persone la cui identità deve essere esattamente accertata.

D. Per esempio, non accettando che l'identificazione possa essere fatta dal commesso di un negozio o imponendo la consegna della smart card nelle mani dell'intestatario e non in quelle del suo commercialista? Siamo passati dall'eccesso di precauzioni della previsione originaria del '96, in cui solo i notai potevano accertare l'identità dei richiedenti, all'identificazione affidata ai commessi di un negozio, se non addirittura per interposta persona...

R. Esatto. Sono tutte problematiche che affrontiamo a mano a mano che emergono, ci stiamo riflettendo e ci stiamo lavorando. Queste segnalazioni non ci giungono nuove e consideriamo con grande attenzione questi problemi, che rischiano di minare alla base, in modo assoluto, la credibilità del sistema.

D. Nella normativa attuale non sembra che ci sia un efficace meccanismo di controllo dell'attività dei certificatori dopo la verifica del manuale operativo, svolta prima dell'iscrizione nell'elenco pubblico. Per esempio, sembra che nessuno si preoccupi di applicazioni che fanno acqua da tutte le parti, o addirittura non del tutto conformi alla normativa. Non si dovrebbe compiere un monitoraggio su questi aspetti?

R. La risposta è nel nuovo regolamento, che dedica grandissima attenzione all'attività di certificazione. Abbiamo un principio generale che rispetta quello europeo: l'attività dei certificatori è libera e non necessita di autorizzazione preventiva. Abbiamo poi però una norma che dice che i certificatori che rilasciano al pubblico certificati qualificati devono trovarsi in determinate condizioni, dimostrare un'affidabilità organizzativa, adottare rigorose misure di sicurezza e quant'altro. In questo caso vi è una dichiarazione di inizio di attività al Dipartimento con una serie di indicazioni che consentono una certa forma di controllo. Al livello superiore c'è l'accreditamento. Vi sono degli obblighi a carico dei certificatori accreditati, che tra l'altro riguardano l'identificazione della persona che fa richiesta della certificazione e l'adozione di misure di sicurezza. C'è un potere, direi un potere-dovere, di vigilanza sull'attività di certificazione in capo al Dipartimento per l'innovazione e le tecnologie.
Quindi il sistema, dal punto di vista normativo, c'è. Devo dire che a questo va aggiunto un altro elemento, estremamente importante: l'emanazione ormai prossima del cosiddetto "Schema nazionale per la valutazione e certificazione di sicurezza nel settore delle tecnologie dell'informazione". Tutto questo riguarderà anche, e fortissimamente, la firma digitale. Ci saranno organismi che sottoporranno a valutazioni e certificazioni anche i singoli prodotti e saranno a loro volta controllati da una struttura del Ministero delle comunicazioni.

D. Ci sarebbero ancora tante domande, ma non voglio approfittare troppo del suo tempo e della sua cortesia. Le chiedo solo una conclusione.

R. Cerchiamo di innovare il Paese anche con strutture normative che favoriscano l'innovazione tecnologica. Stiamo facendo un grosso sforzo, pur nella nostra... francescana povertà, di mezzi e di uomini, con il nostro impegno personale e quello del ministro: siamo una piccola struttura, nata da poco, con poche risorse sotto ogni punto di vista. Però cerchiamo di fare un lavoro per quanto possibile accurato, non sottraendoci, ma anzi cercando il dialogo su questi temi con la società civile.

(Intervista di Manlio Cammarata - 27 febbraio 2003)