Amministrazioni digitali: i problemi del documento informatico

di Manlio Cammarata - 18.11.04

Lo schema approvato dal Governo costituisce senza dubbio un punto fermo nell'evoluzione della pubblica amministrazione (e non solo), perché racchiude in una visione organica tutti gli aspetti dell'uso delle tecnologie nel settore pubblico, aspetti fino a oggi dispersi in una miriade di provvedimenti di differente rango normativo (firma digitale, protocollo e archiviazione informatica, trasmissione telematica di documenti e via elencando). Ma è molto più di un testo unico, perché contiene in diversi punti disposizioni innovative di notevole rilievo.

L'aspetto più importante è nella definizione di precise scadenze per l'informatizzazione delle procedure, operata con un provvedimento di rango legislativo. Come ci insegna la recente esperienza del protocollo informatico, non è detto che alle date stabilite tutti gli uffici siano "a norma". Ma il solo fatto che ci sia un percorso definito per legge significa che prima o poi la sospirata digitalizzazione ci sarà e potrà dispiegare tutti i suoi effetti positivi per l'efficacia dell'azione amministrativa e la soddisfazione dei cittadini.
Vediamo quindi con soddisfazione le disposizioni del Capo I, che sanciscono i principi dell'informatizzazione della PA, come quelle del Capo III, che dettano le regole per l'informatizzazione stessa, coordinando diversi settori prima disciplinati da norme eterogenee. 

Tra le norme capaci di dare un effettivo impulso all'innovazione vanno ricordare quelle sulle banche dati pubbliche e l'accesso dei cittadini. E anche (udite, udite!) le disposizioni sull'acquisizione del software e sul suo riuso da parte delle amministrazioni, ora elevate a rango di norme di legge (art. 68 e seguenti): l'open source organicamente inserito nello sviluppo dell'amministrazione digitale

Firma digitale: tutto in ordine, o quasi

Vediamo ora i punti più interessanti che riguardano la firma digitale. Prima di tutto, come abbiamo anticipato in settembre, si fa chiarezza sull'efficacia della firma qualificata e sugli aspetti probatori del documento informatico (vedi Finalmente chiare le norme sull'efficacia probatoria). Il secondo comma dell'art. 17 stabilisce infatti che Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 72 che garantiscano l'identificabilità dell'autore e l'integrità del documento.
Si fa quindi piazza pulita delle regole, confuse e non coerenti con l'ordinamento, introdotte con il recepimento della direttiva europea e si ritorna alle (ovvie) disposizioni del DPR 513/97.

Per quanto riguarda l'efficacia probatoria, ecco la soluzione, chiara e lineare, scelta dal legislatore:
a)  il documento informatico con firma qualificata è equiparato al documento tradizionale sottoscritto (art. 18, c. 2);
b) il documento informatico con firma "debole" è rimesso alla libera valutazione del giudice (art. 18, c. 1), in accordo con la direttiva europea e con i princìpi del processo civile;
c) il documento non firmato è equiparato alla riproduzione meccanica, con una piccola integrazione all'art. 2172 c.c. (art. 20, c. 1).
Forse si sarebbe potuta adottare un approccio diverso (vedi le osservazioni di Andrea Monti Valore probatorio: a volte la firma non è necessaria), ma la giurisprudenza provvederà a colmare le lacune.

La chiarezza di queste disposizioni renderà molto difficili interpretazioni stravaganti come quelle che abbiamo visto nei mesi scorsi, che arrivavano ad affermare l'efficacia di scrittura privata del messaggio di posta elettronica, il più inaffidabile dei supporti.
Tutto bene, dunque?
Sarebbe troppo bello. Restano diverse inesattezze, contraddizioni, pesanti eredità di errori passati, che per fortuna possono essere corrette nell' esame del testo che dovrà essere compiuto dalle commissioni parlamentari.

Gli errori da correggere

Vediamo, in estrema sintesi, alcuni punti critici che saltano all'occhio a una prima lettura del testo.

1. La traduzione sbagliata. Art. 1, c. 1, lett. a): spunta una definizione, quella di "autenticazione informatica", che non era presente nella bozza diramata in luglio, dopo il lavoro di "ripulitura" compiuto dall'ufficio legislativo del ministro Stanca. Un colpaccio della burocrazia più pedante, che ha voluto "validare" una definizione errata introdotta nel codice della privacy, invece di correggere lo sbaglio iniziale.

Nel nuovo testo il termine "autenticazione" (errata traduzione dell'inglese authentication) dà luogo a una specie di filastrocca (...autenticazione informatica: la validazione dell'identificazione informatica...). Una formula corretta potrebbe essere: "Validazione informatica: la procedura tecnica che conferma l'identificazione informatica al fine di garantire la sicurezza dell'accesso".
Ricordiamo ancora una volta che l'autenticazione, nel nostro ordinamento, è un istituto riservato ai pubblici ufficiali e non ha nulla a che fare con la authentication della lingua inglese. Anche per questo il termine era stato espunto dalla prima versione del testo, per evitare le "disarmonie" con l'ordinamento, vietate dalla legge e dal buonsenso giuridico.

2. Un errore gravissimo, che è stato fonte di tanti equivoci, ricorre nella definizione della firma elettronica (art. 1, c. 1, lett.t).  Anche qui, nel testo unico sulla documentazione amministrativa, c'era l'uso errato della parola autenticazione. Ma il rimedio è peggiore del male: ora la firma elettronica diventa l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica. Come tutti dovrebbero sapere, la firma non qualificata serve sostanzialmente per la verifica dell'integrità del documento (data authentication) e non dell'identità dell'autore (entity authentication - vedi La firma elettronica non serve per l'identificazione di Roberto Manno): manca infatti una certificazione affidabile dell'identità del soggetto titolare della coppia di chiavi. Basta sostituire il termine "identificazione" con "validazione" per rimettere le cose a posto. E, per maggiore chiarezza, si dovrebbe scrivere "utilizzati come metodo di validazione dei dati stessi".

3. Il fax, una contraddizione. Le critiche rivolte alle prime norme in materia avevano convinto il Dipartimento per l'innovazione a eliminare, nella bozza del codice diramata in luglio, il telefax tra i mezzi ammessi per la trasmissione informatica dei documenti. Ma nella versione approvata la scorsa settimana si legge all'art. 49, c. 1: I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, ivi compreso il fax, idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale.
E' assurdo che un mezzo intrinsecamente insicuro come il fax possa essere equiparato alla "forma scritta", come se fosse firmato manualmente o digitalmente. E' intrinsecamente non "idoneo ad accertarne la fonte di provenienza", perché falsificare il numero telefonico del mittente è troppo facile. Per di più questa disposizione è contraddetta nella sostanza dal successivo art. 66, che recita: 

1. Le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell'articolo 38 del decreto del presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale, il cui certificato è rilasciato da un certificatore accreditato;
b) ovvero, quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente;
c) ovvero quando l'autore è identificato dal sistema informatico con i diversi strumenti di cui all'articolo 65, comma 2, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente e fermo restando il disposto dell'articolo 65, comma 3.
2. Le istanze e le dichiarazioni inviate secondo le modalità previste dal comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento.

Questi due commi sembrano indicare con chiarezza l'intenzione del legislatore di ammettere come validi solo i documenti che consentono l'identificazione "forte" del mittente. Intenzione confermata dal comma successivo:
3. Dalla data di cui all'articolo 65, comma 3 non è più consentito l'invio di istanze e dichiarazioni con le modalità di cui al comma 1, lettera c).
Però, e qui siamo alla confusione totale, il primo comma richiama anche l'art. 38, c. 2 del DPR445/00, che ammette il fax. E' necessario eliminare queste contraddizioni e considerare il fax per quello che è un mezzo comodo, ma che non offre alcuna sicurezza né sul contenuto né sulla provenienza del documento, come la posta elettronica non certificata.

4. "Con chiarezza e senza ambiguità". L'art. 32, c. 2, dice che .... I dispositivi sicuri e le procedure di cui al comma 1 devono garantire l'integrità dei documenti a cui la firma si riferisce. I documenti devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità.... Il testo dimentica i dispositivi e le procedure per la verifica della firma, contemplati originariamente nelle regole tecniche del '99.
Un "baco" di alcune attuali applicazioni per la firma digitale consiste proprio nel fatto che non fanno vedere obbligatoriamente il documento che viene verificato, con la possibilità di errori o imbrogli. Invece di correggere le applicazioni, si trasferisce il "baco" alla legge. Complimenti!

5. La certezza dell'identificazione. Abbiamo tante volte criticato la leggerezza di qualche certificatore nella fondamentale fase di identificazione del soggetto che chiede la certificazione delle chiavi. La vecchia formula recitava (art. 29-bis, c. 2 del TUDA) Il certificatore che rilascia, ai sensi dell'articolo 27, certificati qualificati è tenuto inoltre a: a) identificare con certezza la persona che fa richiesta della certificazione. "Identificare con certezza", un'espressione presa dal linguaggio notarile, indicava la particolare diligenza da impiegare nella verifica dell'identità. Ora la regola cambia: il certificatore deve provvedere con certezza alla identificazione della persona che fa richiesta della certificazione (art. 29, c. 3).
C'è una bella differenza tra "identificare con certezza" e "provvedere con certezza all'identificazione": è incredibile che sia stata attenuata proprio la regola che costituisce il fondamento della sicurezza, e quindi dell'efficacia giuridica, della firma qualificata.

6. E la validazione dei siti? Un dettaglio, se si vuole, ma importante anche in linea di principio. Gli artt. 56 e 57 dettano norme di grande importanza sui siti delle pubbliche amministrazioni e costituiscono uno dei molti passaggi positivi nello schema del codice. Ma non c'è una previsione di certificazione dei siti, affinché l'utente sia sicuro di non accedere a pagine-fantasma o a informazioni alterate da qualche burlone informatico.

E per ora ci fermiamo qui, in attesa di tornare sull'argomento nei prossimi numeri.