Regole tecniche 2009: la solita confusione

di Manlio Cammarata - 09.07.09

Erano previste dal codice dell'amministrazione digitale del 2005. Sono state approvate il 30 marzo 2009 e pubblicate sulla Gazzetta ufficiale il 6 giugno. Non sono ancora disponibili sul sito del CNIPA. Voto: secondo l'indice di gradimento inventato dal ministro Brunetta per misurare il grado di soddisfazione dei cittadini per l'operato degli uffici pubblici. I suoi uffici, in questo caso.

Il decreto del Presidente del consiglio dei ministri 30 marzo 2009 è la terza edizione delle regole tecniche per l'uso della firma digitale. La prima risale al 1999, la seconda al 2004. E pensare che si era deciso di affidare ai regolamenti i dettagli tecnici dell'innovazione, perché in questo modo si possono dettare più rapidamente le norme che devono accompagnare il veloce progresso delle tecnologie!
Ma tutto il tempo trascorso non è bastato a scrivere un testo soddisfacente. Colpa anche delle norme di partenza, quelle del decreto legislativo 82/05 codice dell'amministrazione digitale, che hanno determinato la totale confusione nella materia dei documenti informatici.

Il primo dubbio che attraversa la mente di chi cerchi di capire le nuove regole tecniche è a quali "firme" le regole stesse si riferiscano. Come è noto, il codice distingue tra la "firma elettronica qualificata" e la "firma digitale". La seconda è presentata come "un particolare tipo" della prima, ma gli effetti non sono gli stessi, secondo la lettera delle norme.

Infatti la firma elettronica qualificata  è la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati...  mentre la firma digitale consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
Se ne deduce che la firma elettronica qualificata non consente di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. Il che è manifestamente assurdo. Ma è la conseguenza di norme scritte male.

In ogni caso, dal contesto si può evincere che le nuove regole si riferiscono alla firma digitale. "Nuove" per modo di dire, perché buona parte del testo riprende le regole precedenti. Con qualche variazione. La più rilevante è nell'art. 10 "Verifica delle firme digitali", nel quale manca la fondamentale prescrizione che il documento  deve essere presentato "chiaramente e senza ambiguità" a chi verifica la firma. La norma era presente nelle regole del '99, il cui art. 10 recitava al primo comma: Gli strumenti e le procedure utilizzate per la generazione, l’apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce e richiedere conferma della volontà di generare la firma.

La disposizione era già scomparsa nelle seconda edizione delle regole: semplicemente, si era scoperto che il software di qualche certificatore non faceva vedere il documento sottoposto alla verifica. Ma, invece di imporre il rispetto di una norma fondamentale per evitare facili imbrogli, si era eliminata la norma stessa.

Più difficile capire l'insieme di norme che riguardano la validazione temporale. Nella normativa di prima generazione era chiaramente definita la "marca temporale". Sparita nel codice, in parte sostituita dal "riferimento temporale", riappare misteriosamente in questa edizione delle regole tecniche come qualcosa di diverso dal "riferimento temporale opponibile a terzi". Ma la differenza tra le due fattispecie non è chiara.

Non vale la pena di esaminare il resto nei dettagli. Infatti il Governo è delegato, per l'ennesima volta, a modificare la normativa in materia di firma digitale al fine di semplificarne l’adozione e l’uso da parte della pubblica amministrazione, dei cittadini e delle imprese, garantendo livelli di sicurezza non inferiori agli attuali (art. 33 della legge 69/09). Quindi basta aspettare (altri cinque anni?) le regole tecniche di quarta generazione.

Nel frattempo possiamo esaminare alcune amenità della stessa legge: lo faremo nei prossimi giorni. E ci occuperemo anche di posta elettronica certificata. Un'altra innovazione tradita.