Le regole tecniche per la firma digitale - 1

Un progetto gigantesco
di Manlio Cammarata - 15.03.99

Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli non sono più attuali.

Il decreto del Presidente del Consiglio dei Ministri "Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici..." completa la normativa sulla firma digitale, aperta dall'articolo 15, comma 2, della legge n. 59 del 15 marzo 1997 e delineata dal DPR 10 novembre 1997, n. 513.
Si tratta, come è stato più volte scritto su queste pagine, di innovazioni di grandissima portata. Una vera rivoluzione, destinata a incidere profondamente sulla pubblica amministrazione e sui rapporti civili.
E' una materia estremamente complessa, la cui comprensione richiede uno studio combinato dei fondamenti giuridici e di quelli tecnici. Con questo articolo apriamo una serie di analisi e interventi sui diversi aspetti della normativa sul documento informatico, nella convinzione di poter dare un contributo alla rapida affermazione di uno strumento innovativo, che pone il nostro Paese all'avanguardia in un settore determinante per la società del prossimo futuro.

Ma, prima di affrontare l'argomento, si deve aprire una parentesi, rilevando il fatto che il testo del regolamento è già stato approvato da qualche settimana, ma non è ancora stato pubblicato sulla Gazzetta Ufficiale.
Si sta forse verificando la stessa situazione che ha ritardato di ben quattro mesi il DPR 318/97 (che di questo regolamento è la fonte), trattenuto dalla Corte dei Conti con causidiche argomentazioni. E' una prassi singolare, perché i giudici contabili dovrebbero limitarsi a un controllo formale, che non richiede certo mesi e mesi di tempo. Prassi singolare, che porta a risultati singolari, come la recente pubblicazione di un altro regolamento (il DPR 501/98 sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali), firmato dal Presidente della Repubblica il 31 marzo '98 e pubblicato dopo quasi un anno, con diversi omissis e addirittura un intero articolo "censurato"!
Sarebbe interessante l'intervento di un costituzionalista, che ci spiegasse il meccanismo per il quale la Gazzetta Ufficiale pubblica un testo diverso da quello firmato dal Presidente della Repubblica, oppure perché il Presidente della Repubblica pone la sua firma sotto una normativa che non ha superato tutti i dovuti controlli!

Chiusa la parentesi, dedichiamo questo primo articolo a una sommaria presentazione delle "regole tecniche" sul documento informatico. E' un testo lungo e complesso, opportunamente diviso in due parti: tre articoli di contenuto normativo (che potrebbero essere oggetto di discussioni per la loro collocazione in un regolamento tecnico) e le regole tecniche vere e proprie, presentate come "allegato".

La storia di questa normativa è interessante. Nell'autunno del '96 l'Autorità per l'informatica nella pubblica amministrazione ha diffuso dal suo sito uno schema di disegno di legge sul "documento elettronico", sollecitando una discussione. Mentre era in corso l'esame dei contributi giunti da diverse parti, il Parlamento ha approvato la legge 59/97, che con il secondo comma ha introdotto la nozione del documento digitale, rimandando a un successivo regolamento la definizione degli aspetti applicativi. L'AIPA ha quindi trasformato in regolamento l'originario schema di disegno di legge, accogliendo molte delle critiche sollevate alla prima versione (vedi "Proposta di modifiche alla bozza dell'AIPA").
Questo testo (il DPR 513/97) determina in sostanza i requisiti giuridici del documento digitale e con l'articolo 3 rimanda a un ulteriore regolamento la definizione degli aspetti strettamente tecnici, comprese "le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all'eventuale uso di chiavi biometriche".
Di nuovo l'AIPA pubblica una bozza, esamina le critiche e predispone il testo da sottoporre al Governo. Si tratta di una prassi del tutto inconsueta in Italia, dove leggi e decreti vengono elaborati in gran segreto, senza tener conto del parere di chi poi dovrà applicarli (con i risultati che spesso vediamo!). Basta confrontare la versione finale con la prima stesura delle regole tecniche per capire quanto questa procedura sia utile per predisporre norme più chiare e per eliminare incertezze e incongruenze.

Torniamo agli aspetti generali del decreto governativo. Esso, come ho detto all'inizio, è un elemento essenziale della riforma della pubblica amministrazione, tenacemente sostenuta dal ministro Bassanini, che si fonda - fra l'altro - su un principio tanto elementare quanto ignorato fino a poco tempo fa: gli uffici pubblici devono scambiarsi direttamente i documenti di cui dispongono, senza costringere i cittadini a procurarsi e a produrre i "certificati".
Lo strumento per il trasporto di queste e di altre informazioni è stato opportunamente identificato in una sorta di grande intranet, la Rete Unitaria della Pubblica Amministrazione (RUPA). Ma è necessario che i documenti che passano sulla RUPA abbiamo valore legale: da qui le regole sul documento informatico e la firma digitale.

Uno dei punti fondamentali di questa normativa è che essa non è destinata solo agli uffici pubblici (per i quali, comunque, ci sono alcune disposizioni particolari), ma anche ai rapporti privati. Di fatto si introduce nell'ordinamento giuridico un'innovazione di grandissima portata, che sconvolge norme vecchie di secoli, separando l'informazione dal supporto che la contiene e spostando la validazione dal supporto all'informazione stessa.
Le conseguenze di questa vera e propria rivoluzione sono enormi, perché attribuiscono al soggetto che adotta la firma digitale un'identità che non è riconosciuta sulla base della sua evidenza fisica e delle sue manifestazioni (come la firma autografa, la presenza in un determinato luogo e in un determinato momento, il riconoscimento della fisionomia da parte di un testimone eccetera), ma sulla base di una "evidenza informatica".
Resta il problema di collegare l'evidenza informatica all'evidenza fisico-giuridica di un soggetto, e quindi la necessità di un punto di contatto tra la "persona" (fisica o giuridica, ma non dimentichiamo che le persone giuridiche agiscono in virtù della rappresentanza di persone fisiche) e l'insieme di bit che costituisce la coppia delle chiavi pubblica e privata, che identificano il soggetto stesso.

All'inizio si è pensato alla inevitabilità di un "contatto fisico" tra l'interessato e il certificatore della coppia di chiavi. Ma la prima lettura delle "regole tecniche" esclude, in linea di principio, l'obbligatorietà della compresenza dei due soggetti. Infatti l'articolo 22, comma 2, lascia al certificatore la scelta della procedura di identificazione del titolare, perché si limita a prescrivere: "Al momento della registrazione il certificatore deve verificare l'identità del richiedente. È data facoltà al certificatore di definire, pubblicandole nel manuale operativo, le modalità di identificazione degli utenti".
E' chiaro che questa formulazione lascia spazio a future evoluzioni oggi solo lontanamente immaginabili.

Un altro punto che salta agli occhi al primo esame del testo è la previsione dell'uso della firma digitale (con valore legale ai sensi dell'articolo 2 del DPR 513/97) esclusivamente attraverso un "dispositivo di firma", definito come "un apparato elettronico programmabile solo all'origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali". Oggi in questa definizione riconosciamo in sostanza la chip card, ma gli sviluppi futuri sono forse imprevedibili.

Ed è difficilmente prevedibile il tempo che dovrà trascorrere prima che la rivoluzione immaginata dall'AIPA possa realizzarsi e tutte le implicazioni del documento informatico diventino realtà quotidiana. Il progetto è gigantesco: per capirlo si leggano come parti di un unico disegno le norme già note sulla rete unitaria, sull'archiviazione ottica dei documenti e sulla tenuta del protocollo amministrativo con procedura informatica, e quelle, ancora in itinere, sul telelavoro nelle pubbliche amministrazioni.