|
Come abbiamo già scritto, lo Schema di codice della pubblica amministrazione
digitale risolve diversi problemi sorti soprattutto con il recepimento della
direttiva 199/93/CE sulle firme elettroniche. Ma il testo presentato dal Governo
e in attesa dei pareri delle competenti commissioni parlamentari lascia aperti i
vecchi dubbi sugli adempimenti e le responsabilità dei certificatori nella fase di riconoscimento del titolare.
La materia è stata oggetto di discussioni già con le norme di prima
generazione (vedi Norme antiriciclaggio e
identificazione del contraente e Ancora sulla "certezza
dell'identificazione" di Paolo Ricchiuto e Che significa "identificare con
certezza"? di Enrico Maccarone). Il problema è stato posto anche in
relazione alle procedure di riconoscimento "per interposta persona"
adottate da almeno un certificatore (Ha la firma digitale, ma non
lo sa...).
Su questo punto lo schema del
codice introduce qualche novità. Abbiamo già rilevato la differente (e poco
rassicurante) formulazione della norma sul riconoscimento contenuta nell'art. 29, c. 3, lett. a), che da
"identificare con certezza" diventa "provvedere con certezza alla
identificazione" (vedi Amministrazioni digitali: i
problemi del documento informatico). Ora è opportuno esaminare l'insieme
delle disposizioni che incidono sulla questione.
Art. 29 (Obblighi del titolare e del certificatore)
...
3. Il certificatore che rilascia, ai sensi dell'articolo 26, certificati
qualificati deve inoltre:
a) provvedere con certezza alla identificazione della persona che fa
richiesta della certificazione;
...
4. Il certificatore è responsabile dell'identificazione del soggetto che
richiede il certificato qualificato di firma anche se tale attività è delegata
a terzi.
La formulazione del terzo comma, lett. a), al di là del suo significato
letterale, potrebbe essere dovuta proprio all'intenzione di attenuare il rigore
"notarile" richiamato dalla vecchia dizione "identificare con
certezza". E questo è esattamente il contrario dell'effetto che si
dovrebbe ottenere: dare al certificato qualificato la più alta credibilità
possibile (non a caso nella prima bozza di disegno di legge, Atti e documenti in forma elettronica, del 1996,
solo i pubblici ufficiali potevano effettuare il riconoscimento del titolare del
certificato).
Complica le cose il comma 4, perché legittima la prassi di effettuare il
riconoscimento per il tramite di intermediari, anche se la responsabilità
ricade comunque sul certificatore.
Ma la soluzione non è del tutto soddisfacente, tenendo conto della vitale
importanza dell'identificazione del titolare in tutto il sistema della firma
digitale. Infatti la responsabilità definita dal quarto comma dell'art. 29
sembra una "normale" responsabilità civile (in pratica, spetterebbe
al danneggiato provare la colpa del certificatore). Mentre una precedente
disposizione pone in capo al certificatore una responsabilità ben più pesante:
Art. 27 (Responsabilità del certificatore)
1. Il certificatore che rilascia al pubblico un certificato qualificato o che
garantisce al pubblico l'affidabilità del certificato è responsabile, se non
prova d'aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto
ragionevole affidamento:
a) sull'esattezza e sulla completezza delle informazioni necessarie alla
verifica della firma in esso contenute alla data del rilascio e sulla loro
completezza rispetto ai requisiti fissati per i certificati qualificati;
Siamo quindi di fronte a un'inversione dell'onere della prova, cioè a una
forma di
responsabilità molto più forte. E in ogni caso si tratta di un sensibile
alleggerimento rispetto alla previsione di responsabilità per "attività
pericolosa" (riferimento all'art. 2050 c.c.) della normativa del '97. Ma il
punto importante è un altro: non è chiaro se le "informazioni necessarie per la verifica
della firma" sono solo i "dati per la verifica della firma, cioè i
dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per
verificare la firma elettronica corrispondenti ai dati per la creazione della
stessa in possesso del titolare", come viene cervelloticamente definita la
chiave pubblica all'art. 25, c. 1, lett.
e).
La domanda non è peregrina, perché "dati" e
"informazioni" possono non essere la stessa cosa: tra queste ultime,
considerando la differenza terminologica rispetto all'art. 25, potrebbero essere
comprese le informazioni sull'identità del titolare. In questo caso ci
sarebbe un conflitto tra l'art. 29, c. 4 (responsabilità semplice) e l'art. 25,
c. 1 (responsabilità aggravata dall'inversione dell'onere della prova)
per la stessa fattispecie. Se, invece, la nozione di "informazioni" coincide
con quella di "dati", ci troviamo di fronte a un'altra e più forte
incongruenza: la responsabilità per l'identificazione sarebbe meno forte di
quella derivante un errore nella pubblicazione della chiave privata. Il che
è chiaramente assurdo.
Dunque nella revisione finale del provvedimento sarà opportuno correggere
queste disposizioni, nel senso che la responsabilità per l'identificazione (e
si dovrebbe tornare alla formula originaria "identificare con
certezza") risulti più forte di qualsiasi altra. E si dovrebbero
aggiungere anche disposizioni stringenti sulla consegna del dispositivo di firma
e del PIN nelle mani del titolare. In caso contrario, la presunzione dell'uso del
dispositivo di firma da parte del titolare non sta in piedi (vedi Il disconoscimento della
firma tra "diritto" e "fatto"). E si potrebbe arrivare
alla paradossale conclusione ipotizzata da Gianni Buonomo alla fine del
suo secondo articolo sull'argomento: "...perché utilizzare, per la sottoscrizione di un contratto, la
firma digitale (che non può essere disconosciuta) al posto del supporto
cartaceo che è sottoposto al normale (e più equilibrato) regime del possibile
disconoscimento in giudizio?" (vedi Effetti probatori: si torna
ai principi del processo civile - 2).
|
Pagina stampabile
