[ztopmcr.htm]
Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Introduzione alla firma digitale

12. Domande e risposte sulla firma digitale - prima parte
(FAQ, ovvero Frequently Asked Questions)
di Manlio Cammarata e Enrico Maccarone - aggiornamento 06.04.2000

Domande e risposte successive

Questa pagina conclude la serie di articoli di introduzione alla firma digitale e rimane aperta per rispondere alle domande che continuano ad arrivarci.
Per inviare un quesito basta fare clic sull'icona della busta:
 

Attenzione: giungono molte domande su temi che sono già stati trattati in questa serie o in altri articoli di InterLex. Per esempio: "E' possibile o sarà possibile inviare atti giudiziari alle cancellerie dei vari tribunali via posta elettronica con la firma digitale?" L'argomento è stato affrontato diverse volte (vedi l'indice della sezione) e quindi non sarà trattato nuovamente in queste FAQ.

Le domande

25.

Ancora sul time stamping. L'art. 16.6 del DPR 513/97 subordina la la validità a tutti gli effetti di legge dei documenti presentati o depositati presso una PA a due condizioni:
a) firma digitale; b) validazione temporale. Si chiede:
1) se quest'ultima debba caratterizzare tutti i "documenti" (art. 16.6) compresi i "documenti autenticati" (art. 16.4); per questi ultimi non parrebbe necessaria la marcatura temporale in quanto l'opponibilità ai terzi è in re ipsa nell'intervento del pubblico ufficiale autenticante (art. 2704 c.c.)
2) nel caso in cui il deposito presso la PA non riguardasse un documento ma un insieme di documenti "veicolato" tramite un'unica domanda (si pensi al deposito del bilancio presso il registro delle imprese ex art. 2435 c.c.), la marcatura temporale deve caratterizzare il singolo documento (bilancio, verbale di approvazione, eventuale relazione dei sindaci, eventuale relazione degli amministratori, eventuale relazione di certificazione ..) oppure è sufficiente apporre la validazione temporale all'insieme dei documenti (raggruppati nella "domanda di deposito")?

24. Il disconoscimento della firma digitale da parte del titolare: qualora gli avessero sottratto il dispositivo di firma e lui non se ne fosse accorto e altri lo avessero utilizzato per firmare un documento, in che tipo di responsabilità incorre l'utente?
Come si deve interpretare l'art.9 del DPR 513/97 che parla di "misure tecniche ed organizzative idonee" nell'utilizzo della firma digitale?A che tipo di risarcimento è tenuto nei confronti dei terzi che hanno fatto affidamento su un contratto stipulato da chi non ne era legittimato?

23.

E' vero che i protocolli di sicurezza, come SSL, garantiscono la segretezza ma non l'identità del mittente?

22.

L'ultimo comma dell'articolo 16 del DPR 513/97 prescrive la procedura di validazione temporale del documento presentato su supporto informatico o per via telematica ad una pubblica amministrazione. Tale adempimento è necessario anche quando al documento è apposta una firma digitale autenticata da un notaio secondo la procedura prevista dal secondo comma dello stesso articolo, visto che normalmente l'autentica riporta anche la data di sottoscrizione?

21.

In attesa del decreto del Ministero delle finanze sulle modalità di assolvimento dell'imposta di bollo sul documento informatico è possibile adottare la "pagina" quale unità di computo per formati grafici di stampa come il TIFF e il PDF?

20.

Si parla sempre dell'utilizzo della firma digitale nei messaggi di posta elettronica. Esiste la possibilità di firmare digitalmente i questionari presenti nelle pagine web?

19.

Esiste una normativa che determina "l'obbligo" di accettare la firma digitale? Oggi, se un ente di controllo deve inviare una comunicazione "ufficiale", lo fa tramite posta raccomandata con Avviso di ricevimento. Può, lo stesso ente, stabilire che a partire da una certa data queste comunicazioni verranno trasmesse tramite posta elettronica con firma digitale e quindi obbligare tutti a utilizzare la posta elettronica?

18.

In due interessanti articoli di InterLex La rivoluzione informatica va avanti: l'Italia è pronta?" e "La carta elettronica: una legge-quadro", si afferma che attualmente è impossibile realizzare una carta d'identità elettronica che che possa essere anche dispositivo di firma, per motivi tecnici, dovuti alla attuale inesistenza di carte "multiprocessore".
Però si ha notizia di sperimentazioni a livello locale di carte multiservizi nelle quali potrebbero essere memorizzate un gran numero di informazioni e in più sarebbero in grado di funzionare anche come dispositivo di firma digitale. Come stanno realmente le cose?

17.

La comunicazione fra un utente che inoltra la richiesta di certificazione e il certificatore in che modo deve essere autenticata?

16.

Vorrei conoscere una vostra previsione, anche se di massima, circa la concreta operatività della firma digitale. Quando l'AIPA iscriverà i primi certificatori nel registro e quando il Ministero delle Finanze emanerà i provvedimenti di cui all'articolo 4 punto 2 del DPR 513/97?

15.

Una Pubblica Amministrazione può divenire certificatore ed essere iscritta nell'elenco pubblico tenuto dall'AIPA?

14.

I documenti firmati digitalmente da una PA che si avvale di un certificatore saranno riconosciuti da un'altra PA che si avvale di un altro certificatore? In che modo è risolto il problema del mutuo riconoscimento e della certificazione incrociata (cross-certification)?

13.

 Nel caso in cui una PA si avvale dei "servizi offerti da certificatori inclusi nell'elenco pubblico" su chi ricadono le responsabilità (civili, penali) di eventuali errori (tecnici o altro)?

12.

La persona fisica responsabile dell'atto di verifica e registrazione dei dati del titolare della firma digitale, deve avere qualche carica particolare (per esempio, un notaio), o i dati possono essere accettati da qualsiasi impiegato a uno sportello?

11.

Anche lasciando da parte gli aspetti tecnici, si può utilizzare la coppia di chiavi certificate per la firma digitale anche per la cifratura dei documenti? Il DPCM 8 febbraio 1999 non vieta l'uso di una chiave per scopi diversi da quelli certificati?

10.

La firma digitale permette l'archiviazione e la conservazione su supporti magnetici dei documenti fiscali di un'azienda come alternativa alla conservazione dei documenti cartacei, oppure le fatture e gli altri documenti fiscali cartacei non possono in alcun modo essere trasferiti su supporti magnetici, valendo la norma che ne impone la conservazione per determinati periodi di tempo? In pratica, è possibile disfarsi dei documenti fiscali cartacei previa "copia" su supporto magnetico con firma digitale?

9.

Come si applicano le disposizioni dell'art. 15 del DPR 513/97, con riferimento alla formazione, ad esempio, del libro dei verbali di assemblea di una società di capitali? Il libro dovrebbe essere composto da più documenti informatici (singoli verbali) sottoscritti con firma digitale del presidente e del segretario dell'assemblea. Come si fa a garantire che tale insieme di documenti costituisce il libro, in assenza di un sistema di "validazione" preventiva del supporto sulla falsariga della bollatura e numerazione delle pagine prevista per i libri su supporto cartaceo dagli artt. 2421 e 2215 c.c.?

8.

La recente direttiva europea sulla firma digitale sembra meno "stringente" della normativa italiana: le nostre norme dovranno essere cambiate?

7.

L'articolo 11 del DPR 513/97 dice che "I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge". Dunque le transazioni del commercio via Internet, che oggi sono stipulate senza la firma digitale, non sono valide a tutti gli effetti?

6.

Per archiviazione su supporto informatico si intende la scansione?

5.

La copia su supporto informatico di un documento cartaceo (articolo 6, comma 3, del Regolamento) deve essere generata acquisendo l'immagine (tramite scanner) del documento cartaceo, oppure è sufficiente riprodurne il contenuto? E che cosa significa e con quali modalità deve essere eseguita la "asseverazione" di cui alla medesima norma?

4.

Hanno valore legale i certificati PGP e simili?

3.

Ci sono limiti in Italia all'uso della crittografia? E le chiavi certificate per la firma digitale possono essere usate per cifrare documenti?

2.

Da che cosa deriva la "non ripudiabilità" della firma digitale?

1.

Come dispositivo di firma si può usare un dischetto?

Le risposte

25. Ancora sul time stamping. L'art. 16.6 del DPR 513/97 subordina la la validità a tutti gli effetti di legge dei documenti presentati o depositati presso una PA a due condizioni:
a) firma digitale; b) validazione temporale. Si chiede:
1) se quest'ultima debba caratterizzare tutti i "documenti" (art. 16.6) compresi i "documenti autenticati" (art. 16.4); per questi ultimi non parrebbe necessaria la marcatura temporale in quanto l'opponibilità ai terzi è in re ipsa nell'intervento del pubblico ufficiale autenticante (art. 2704 c.c.)
2) nel caso in cui il deposito presso la PA non riguardasse un documento ma un insieme di documenti "veicolato" tramite un'unica domanda (si pensi al deposito del bilancio presso il registro delle imprese ex art. 2435 c.c.), la marcatura temporale deve caratterizzare il singolo documento (bilancio, verbale di approvazione, eventuale relazione dei sindaci, eventuale relazione degli amministratori, eventuale relazione di certificazione ..) oppure è sufficiente apporre la validazione temporale all'insieme dei documenti (raggruppati nella "domanda di deposito")?

Il pubblico ufficiale autenticante attesta data e ora, e la marca temporale non va apposta sui suoi atti (anche se oramai l'orientamento è quello di apporla in ogni caso). 
L'art. 10 del DPR 513 parla di firma digitale anche con riferimento a un gruppo di documenti informatici, con ciò accogliendo il concetto di insieme. Da un punto di vista meramente tecnico, sottoscrivere un singolo documento o un insieme di documenti è la stessa cosa; giuridicamente la situazione cambia quando per disposizione normativa i documenti vanno sottoscritti nella loro singolarità.

24. Il disconoscimento della firma digitale da parte del titolare: qualora gli avessero sottratto il dispositivo di firma e lui non se ne fosse accorto e altri lo avessero utilizzato per firmare un documento, in che tipo di responsabilità incorre l'utente?
Come si deve interpretare l'art.9 del D.P.R. 513/97 che parla di "misure tecniche ed organizzative idonee" nell'utilizzo della firma digitale?A che tipo di risarcimento è tenuto nei confronti dei terzi che hanno fatto affidamento su un contratto stipulato da chi non ne era legittimato?

L'utente di un sistema di firma digitale è per sua natura persona ben informata e cosciente dello strumento; ciò sia per la peculiarità della materia sia perché adeguatamente informato dal certificatore attraverso il manuale operativo.
La certificazione nasce sempre da contratto (utente-certificatore). Le responsabilità non potranno mai essere generiche, ma sempre qualificate, e non potrà mai invocarsi una generica responsabilità aquiliana. Responsabilità significa anche corretto uso e conservazione del dispositivo di firma: la prova dovrà quindi comprendere anche il dolo e una normale "distrazione" non potrà mai essere scusata.

23. E' vero che i protocolli di sicurezza, come SSL, garantiscono la segretezza ma non l'identità del mittente?

E' vero. I protocolli di sicurezza come SSL e SET, ormai molto diffusi, non garantiscono l'identità del mittente, perché sono semplici sistemi di crittografia. Invece danno qualche garanzia sul proprietario del sito verso il quale avviene la transazione, perché presuppongono una certificazione (non legale) del server (vedi la precisazione- FAQ n. 27).

22. L'ultimo comma dell'articolo 16 del DPR 513/97 prescrive la procedura di validazione temporale del documento presentato su supporto informatico o per via telematica ad una pubblica amministrazione. Tale adempimento è necessario anche quando al documento è apposta una firma digitale autenticata da un notaio secondo la procedura prevista dal secondo comma dello stesso articolo, visto che normalmente l'autentica riporta anche la data di sottoscrizione?

Sono due aspetti diversi: l'autentica notarile riguarda il momento in cui la firma è stata apposta, mentre la marca temporale attesta il momento in cui è stata generata (in linea di principio, all'atto della spedizione del documento).

21. In attesa del decreto del Ministero delle finanze sulle modalità di assolvimento dell'imposta di bollo sul documento informatico è possibile adottare la "pagina" quale unità di computo per formati grafici di stampa come il TIFF e il PDF?

Sembra che l'emanazione del decreto sia imminente: non c'è che da aspettare ancora un po'.

20. Si parla sempre dell'utilizzo della firma digitale nei messaggi di posta elettronica. Esiste la possibilità di firmare digitalmente i questionari presenti nelle pagine web?

In teoria la firma digitale può essere associata a qualsiasi sequenza di bit, e quindi anche alle informazioni contenute in modulo, naturalmente a condizione che il destinatario sia attrezzato per verificarla. Ma nel caso specifico sorge un problema: la sequenza di bit che viene trasmessa non è la stessa della pagina Web che viene compilata dal mittente, quindi la verifica darebbe sempre risultato negativo. Occorrono moduli appositamente predisposti e procedure particolari.

19. Esiste una normativa che determina "l'obbligo" di accettare la firma digitale? Oggi, se un ente di controllo deve inviare una comunicazione "ufficiale", lo fa tramite posta raccomandata con Avviso di ricevimento. Può, lo stesso ente, stabilire che a partire da una certa data queste comunicazioni verranno trasmesse tramite posta elettronica con firma digitale e quindi obbligare tutti a utilizzare la posta elettronica?

Questa è una domanda molto frequente. La risposta è nell'articolo 21 decreto del Presidente della Repubblica 20 ottobre 1998, n. 428, "Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche", che prevede il 31 dicembre 2004 come data finale per l'adozione generalizzata del protocollo informatico e della gestione totalmente automatizzata dei documenti, naturalmente con la firma digitale. Nulla vieta che singole amministrazioni siano pronte in tempi più brevi, dopo aver attuato tutte le disposizioni del regolamento citato, nonché della Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 "Gestione informatica dei flussi documentali nelle pubbliche amministrazioni".

18. In due interessanti articoli di InterLex La rivoluzione informatica va avanti: l'Italia è pronta?" e "La carta elettronica: una legge-quadro", si afferma che attualmente è impossibile realizzare una carta d'identità elettronica che possa essere anche dispositivo di firma, per motivi tecnici, dovuti alla attuale inesistenza di carte "multiprocessore".
Però si ha notizia di sperimentazioni a livello locale di carte multiservizi nelle quali potrebbero essere memorizzate un gran numero di informazioni e in più sarebbero in grado di funzionare anche come dispositivo di firma digitale. Come stanno realmente le cose?

Il problema è complesso. Di fatto, e in particolare nel primo periodo, dispositivi di firma saranno rilasciati dai certificatori - iscritti all'elenco dell'AIPA - anche se chiunque teoricamente può acquistare sul mercato una cryptocard, generare la proprie chiavi e poi farsi certificare la chiave pubblica.
Ma non ci risulta, fino a questo momento, che le carte-servizi (escluse quindi le cryptocard) oggi in circolazione contengano anche il chip crittografico indispensabile per generare firme digitali ai sensi della legge. Quindi queste carte, reclamizzate come adatte per la firma digitale, probabilmente possono servire per una firma "libera", che non può essere valida e rilevante a tutti gli effetti di legge, ma che può essere riconosciuta dall'ente che emette la carta per riconoscere l'utente dei servizi propri della carta stessa.

17. La comunicazione fra un utente che inoltra la richiesta di certificazione e il certificatore in che modo deve essere autenticata?

Se intendiamo "autenticazione" in senso stretto, in nessun modo, perché l'utente deve essere "identificato con certezza" e quindi recarsi di persona dal certificatore o da un suo incaricato. Se ci riferiamo alle comunicazioni successive alla fase della "identificazione certa del richiedente" , esse devono avvenire attraverso il "canale sicuro" previsto dall'articolo 25 delle Regole tecniche, così come le comunicazioni tra l'elenco pubblico e il certificatore. La normativa prevede solo l'istituzione del canale da parte del certificatore, lasciandolo libero di scegliere il sistema che ritiene più opportuno. Naturalmente il livello di sicurezza del canale viene valutato dall'AIPA nell'istruttoria per iscrizione dell'aspirante certificatore.

16. Vorrei conoscere una vostra previsione, anche se di massima, circa la concreta operatività della firma digitale. Quando l'AIPA iscriverà i primi certificatori nel registro e quando il Ministero delle Finanze emanerà i provvedimenti di cui all'articolo 4 punto 2 del DPR 513/97?

Ci sono già i primi certificatori iscritti (si veda il sito dell'AIPA), altri dovrebbero arrivare nelle prossime settimane. Quindi il documento informatico è ormai una realtà vicina. Per quanto riguarda l'attuazione del secondo comma dell'articolo 4, la domanda andrebbe rivolta al Ministero delle finanze.

15. Una Pubblica Amministrazione può divenire certificatore ed essere iscritta nell'elenco pubblico tenuto dall'AIPA?

E' espressamente previsto dalla normativa, in particolare dall'articolo 17 del DPR 513/97 e dall'articolo 62 delle Regole tecniche. L'articolo 17 autorizza le PA ad esercitare tale attività soltanto con riferimento al proprio ordinamento e per le chiavi pubbliche di competenza, escludendo in tal modo la certificazione delle chiavi di soggetti estranei alle stesse PA (con la conseguente doverosa limitazione di responsabilità: un conto è certificare soltanto i propri dipendenti ed interlocutori, ben altro è certificare chiunque e assumere il corrispondente rischio d'impresa, inammissibile per una PA).

14. I documenti firmati digitalmente da una PA che si avvale di un certificatore saranno riconosciuti da un'altra PA che si avvale di un altro certificatore? In che modo è risolto il problema del mutuo riconoscimento e della certificazione incrociata (cross-certification)?

Il problema non è delle PA ma dei certificatori e, all'interno della Rete unitaria della pubblica amministrazione, del centro tecnico di assistenza. Di fatto, l'adozione dei protocolli comuni previsti dalle Regole tecniche facilita le cose. Resta solo un problema tecnico, sul quale l'AIPA sta lavorando, per le cosiddette "estensioni" dei certificati, cioè le annotazioni aggiuntive (poteri di rappresentanza, ecc.) previste dalla normativa. Non è un problema da poco, ma tutto lascia pensare che prima o poi le amministrazioni facenti capo alla RUPA dovranno per necessità di cose utilizzare i servizi del medesimo certificatore o di un gruppo di certificatori crossed.

13. Nel caso in cui una PA si avvale dei "servizi offerti da certificatori inclusi nell'elenco pubblico" su chi ricadono le responsabilità (civili, penali) di eventuali errori (tecnici o altro)?

Richiedere un servizio in outsourcing non significa delega di responsabilità: queste sono e rimangono delle PA che decidono di operare come certificatori. Se invece si sfrutta un servizio di certificazione offerto da terzi, le responsabilità rimangono tutte del certificatore.

12. La persona fisica responsabile dell'atto di verifica e registrazione dei dati del titolare della firma digitale, deve avere qualche carica particolare (per esempio, un notaio), o i dati possono essere accettati da qualsiasi impiegato a uno sportello?

Su questo punto non ci sono disposizioni specifiche. Le procedure devono essere indicate dal certificatore nel manuale operativo, che l'AIPA deve approvare prima di iscrivere il richiedente nell'albo. Il punto fermo è dato dalla necessità di riconoscere con certezza l'utente che richiede il servizio di certificazione: una certezza della quale il certificatore rimane unico e totale responsabile nei confronti di chiunque (in qualsiasi modo si sia riconosciuto l'utente).

11. Anche lasciando da parte gli aspetti tecnici, si può utilizzare la coppia di chiavi certificate per la firma digitale anche per la cifratura dei documenti? Il DPCM 8 febbraio 1999 non vieta l'uso di una chiave per scopi diversi da quelli certificati?

Il quarto comma dell'articolo 4 distingue tre tipi di chiavi: per la sottoscrizione, per la certificazione e per la marca temporale, mentre il comma 5 dispone che non è consentito usare una chiave per una funzione diversa da quella prevista.Volutamente né il DPR 513 né il Regolamento si occupano di crittografia per la cifratura di documenti, poiché si tratta di materia estranea alla disciplina del documento informatico. L'utilizzo di una chiave per scopi diversi da quelli previsti ha una importante rilevanza formale perché incide sulla validità del documento, ma non costituisce illecito (peraltro non sanzionato). La cifratura di documenti con chiavi certificate è sconsigliabile non per motivi giuridici, bensì per motivi tecnici connessi ai tentativi di rottura delle chiavi.

10. La firma digitale permette l'archiviazione e la conservazione su supporti magnetici dei documenti fiscali di un'azienda come alternativa alla conservazione dei documenti cartacei, oppure le fatture e gli altri documenti fiscali cartacei non possono in alcun modo essere trasferiti su supporti magnetici, valendo la norma che ne impone la conservazione per determinati periodi di tempo? In pratica, è possibile disfarsi dei documenti fiscali cartacei previa "copia" su supporto magnetico con firma digitale?

Sì, è possibile eliminare del tutto la carta, secondo le indicazioni dell'articolo 15 del DPR 513/97, dell'articolo 61 del DPCM 8 febbraio 1999 e, di conseguenza, delle regole tecniche sui supporti ottici della deliberazione AIPA 24/98.
A questo proposito, per quanto concerne la documentazione fiscale, è stata già ultimata la preparazione di un apposito provvedimento del Ministero delle finanze, a norma dell'articolo 4 del DPR 513/97.

9. Come si applicano le disposizioni dell'art. 15 del DPR 513/97, con riferimento alla formazione, ad esempio, del libro dei verbali di assemblea di una società di capitali? Il libro dovrebbe essere composto da più documenti informatici (singoli verbali) sottoscritti con firma digitale del presidente e del segretario dell'assemblea. Come si fa a garantire che tale insieme di documenti costituisce il libro, in assenza di un sistema di "validazione" preventiva del supporto sulla falsariga della bollatura e numerazione delle pagine prevista - per i libri su supporto cartaceo dagli artt. 2421 e 2215 c.c.?

La domanda è interessante, perché riguarda il concetto stesso di "supporto". Nella normativa sul documento informatico non si parla di vidimazione dei supporti, per il semplice motivo che il supporto "non esiste" o, per essere più precisi, è indifferente ai fini della certezza della scrittura. Il registro cartaceo deve essere vidimato preventivamente e riempito secondo determinate regole per garantire l'inalterabilità del contenuto, effetto che nel documento informatico si ottiene semplicemente con la firma digitale.
In pratica il libro cartaceo viene sostituito da un supporto ottico formato secondo le regole tecniche contenute nella deliberazione AIPA 24/98. Il rispetto di queste norme è condizione essenziale per la validità del "libro digitale".
Già nel DPR 513/97 si parla della tenuta di libri, repertori, etc., ma anche su questo punto sarà bene attendere le norme fiscali sopra richiamate.

8. La recente direttiva europea sulla firma digitale, sembra meno "stringente" della normativa italiana: le nostre norme dovranno essere cambiate?

Il discorso è complesso e lo affronteremo in altra sede. In linea di massima, tra la direttiva e le norme italiane non ci sono contrasti sostanziali, se si considera che il DPR 318/97 regola solo la parte che nel testo comunitario è relativa ai "certificati qualificati". Resta da vedere se l'assenza di norme sui certificati non qualificati soddisfa le previsioni della direttiva, o se saranno necessarie regole ad hoc.
Comunque è sempre utile ricordare che la normativa italiana non è finalizzata al commercio elettronico (nel quale la firma digitale può costituire solo un momento di maggior garanzia delle parti), ma alla razionalizzazione ed alla semplificazione dei procedimenti amministrativi: si tratta in buona sostanza di un fenomeno che nella direttiva europea viene visto come "interno", e la direttiva stessa prevede di fatto la non applicabilità delle norme comunitarie a tale contesto.

7. L'articolo 11 del DPR 513/97 dice che "I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge". Dunque le transazioni del commercio via Internet, che oggi sono stipulate senza la firma digitale, non sono valide a tutti gli effetti?

No, sono perfettamente valide nei limiti e per gli effetti propri della natura del contratto. Il requisito legale della forma scritta, che viene soddisfatto anche con il documento informatico provvisto della firma digitale a norma del DPR 513/97, non è necessario per le normali attività di compravendita di beni o servizi. Quindi la firma digitale non è necessaria per fare acquisti in rete. In pratica, la firma digitale è necessaria per dare piena validità agli atti "digitali" che richiedono la forma scritta. Dove la forma dell'atto è libera, la firma digitale è superflua.

6. Per archiviazione su supporto informatico si intende la scansione?

La scansione serve solo se si deve archiviare su supporto informatico un documento originariamente formato su carta, altrimenti si può conservare il documento informatico così com'è. Nel primo caso, se il documento archiviato deve avere finalità amministrative o probatorie, vanno seguite le "Regole tecniche per l'uso di supporti ottici" definite dall'Autorità per l'informatica nella pubblica amministrazione con la deliberazione 24/98 del 30 luglio 1998.

5. La copia su supporto informatico di un documento cartaceo (articolo 6, comma 3, del Regolamento) deve essere generata acquisendo l'immagine (tramite scanner) del documento cartaceo, oppure è sufficiente riprodurne il contenuto? E che cosa significa e con quali modalità deve essere eseguita la "asseverazione" di cui alla medesima norma?

La norma non precisa se la copia debba essere "fotografica" o debba riprodurre solo il contenuto del documento, quindi ambedue le forme sono ammesse. L'asseverazione consiste nella dichiarazione, da parte del pubblico ufficiale, della conformità all'originale, con la firma digitale dello stesso pubblico ufficiale generata sull'insieme composto dal documento più la dichiarazione.

4. Hanno valore legale i certificati PGP e simili?

Questa è una domanda molto frequente che richiederebbe una trattazione estesa (che faremo in altra sede) anche alla luce della recente direttiva europea.
In estrema sintesi: se per "valore legale" s'intende l'opponibilità a terzi, in sede civile, di un documento firmato con una procedura che non risponde ai requisiti del documento informatico ex DPR 318/97, la risposta è affermativa, tenendo presente che il documento stesso costituisce un mezzo di prova come un altro. Invece, se si intendono la "validità e rilevanza ad ogni effetto di legge", la risposta è "no
": il requisito legale della forma scritta è soddisfatto solo da una firma digitale generata a partire da una coppia di chiavi certificata da un soggetto iscritto nell'elenco pubblico dell'AIPA, nel rispetto di tutte le norme. Questo vale anche per i documenti scambiati con la pubblica amministrazione e in ogni caso in cui sia necessaria la certezza legale dell'identità del firmatario.
Altro discorso è quello della "affidabilità" della firma digitale "libera", che dipende dall'affidabilità del certificatore e delle sue procedure di identificazione del titolare. La valutazione, in questo caso, è lasciata alle parti coinvolte.

3. Ci sono divieti in Italia sull'uso della crittografia? E le chiavi certificate per la firma digitale possono essere usate per cifrare documenti?

No, nessuna norma vieta di usare la crittografia per comunicare informazioni segrete, come nulla vieta di usare per la cifratura la stessa coppia di chiavi certificate per la firma digitale. Si legge infatti nell'articolo 1 del DPR 513/97:
Ai fini del presente regolamento s'intende... d) per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.
Si deve comunque ricordare che la cifratura di un documento si fa con la chiave pubblica del destinatario, mentre la firma si genera con la chiave privata del mittente: non ha senso cifrare un documento con la propria chiave privata, perché chiunque può decifrarlo con la corrispondente chiave pubblica.

2. Da che cosa deriva la "non ripudiabilità" della firma digitale?

Dobbiamo distinguere tra "non ripudiabilità" in senso tecnico e "disconoscimento" ai fini processuali (articoli 2702 e 2712 del codice civile e 214 e seguenti del codice di procedura civile).
In senso tecnico la non ripudiabilità deriva dal fatto che, essendo il titolare il solo soggetto che dispone della chiave privata e del codice che attiva la procedura, nessun altro può avere apposto quella firma. Naturalmente la sicurezza dell'attribuzione della chiave pubblica con la quale viene verificata la firma è in relazione all'affidabilità del soggetto che ha certificato la coppia di chiavi.
Dal punto di vista processuale, il disconoscimento della firma digitale o del contenuto della riproduzione digitale può risolversi o nella prova che la firma è stata apposta da un soggetto che si è impossessato, all'insaputa del titolare, del dispositivo e del codice di attivazione, o nella prova che il certificatore ha agito con negligenza o in malafede.

1. Come dispositivo di firma si può usare un dischetto?

Assolutamente no! Le definizioni dell'articolo 1 delle Regole tecniche sono chiare:
Ai fini delle presenti regole tecniche... si intende ...per "dispositivo di firma", un apparato elettronico programmabile solo all'origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali. 
Un dischetto non è un "apparato elettronico programmabile solo all'origine", perché la programmabilità è una caratteristica dei si sistemi di elaborazione (di fatto, dei microprocessori). Anche per la generazione delle firme occorre un'unità di elaborazione, come per le elaborazioni previste dai commi 3 e 4 dell'articolo 10:
3. La generazione della firma deve avvenire all'interno di un dispositivo di firma così che non sia possibile l'intercettazione del valore della chiave privata utilizzata.
4. Prima di procedere alla generazione della firma, il dispositivo di firma deve procedere all'identificazione del titolare.
Dunque occorre un dispositivo "intelligente" e, per di più. "programmabile solo all'origine". Quest'ultima indicazione significa che occorre un processore "dedicato", cioè un cryptochip espressamente destinato alle procedure crittografiche.
Il cryptochip può costituire il cuore di una carta a microprocessore (smart card), che con ogni probabilità sarà il dispositivo di firma più diffuso. Ma il processore crittografico può essere inserito anche in altri dispositivi, come schede di computer o cryptobox. Questi ultimi sono dispositivi, collegati a un computer, in genere usati per l'identificazione degli operatori ai fini della sicurezza.