Idee sempre più confuse sulle firme elettroniche

di Manlio Cammarata - 30.11.05

Il testo accoglie solo alcuni dei suggerimenti avanzati nella riunione. Per quanto riguarda il documento informatico e le firme elettroniche molti cambiamenti vanno nel senso opposto: le nuove proposte aumentano la confusione e si allontanano sempre più dalla direttiva europea.
L'articolato è sempre più contorto. Una sorta di perversione normativa ha portato gli estensori della bozza a ricercare le forme più complicate possibili per esprimere principi semplici, del tutto pacifici nel nostro ordinamento. Ecco un esempio:

Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale, formato nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71, che garantiscano l'identificabilità dell'autore, l'integrità e immodificabilità del documento, soddisfa il requisito della forma scritta anche quando è richiesto dalla legge o dalle parti sotto pena di nullità.

Che significa? Il congiuntivo (garantiscano) fa pensare che siano previste anche regole tecniche che "non garantiscano"...  E allora a che servirebbero? E che motivo c'è di richiamare - senza citarlo, ché sarebbe troppo semplice - l'art. 1350 del codice civile sugli atti che devono farsi per iscritto?
La disposizione è la stessa che era stata formulata nel DPR 513/97: "Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta". Anche una matricola della facoltà di Giurisprudenza capiva al volo che, in assenza dei requisiti, la forma scritta non c'era, con tutti i riferimenti impliciti, ma chiarissimi, all'art. 1350 c.c.

Ma in altri punti il legislatore è sceso ancora più in basso. Si è convinto (finalmente) che l'ermetica definizione di "firma elettronica", nel combinato disposto con quella (errata) di "autenticazione informatica", dava luogo a un testo delirante, che è stato per mesi il "tormentone" della prima pagina di InterLex:
Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne distinguono l'identità nei sistemi informativi, effettuata attraverso opportune tecnologie al fine di garantire la sicurezza dell'accesso.

Allora che cosa ha fatto? Invece di eliminare la definizione di "autenticazione informatica", come era stato suggerito da tutti (o quasi) gli esperti della materia, e di correggere di conseguenza tutte le disposizioni che la richiamavano, si è limitato a mutilarla, mutilando anche la definizione della firma elettronica. Con questo risultato:

firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici.

Un'espressione che non significa nulla. Perché, per fare un solo esempio, l'indice di un libro in formato digitale (dati in forma elettronica) con i link (associazione logica) ai capitoli (altri dati elettronici), secondo questa definizione sarebbe una firma elettronica. Già dalla precedente formulazione erano state dedotte interpretazioni strampalate, figuriamo che cosa potrebbe succedere se passasse questa sciocchezza.

E' il caso di ricordare, ancora una volta, che nella realtà tecnologica e nelle previsioni della direttiva europea esistono due categorie di validazione: quella dei soli dati (data authentication) e quella dell'identità (entity authentication), che non devono essere confuse. La electronic signature appartiene alla prima (e quindi non è una "firma"), la firma digitale alla seconda. E che se la firma digitale possiede determinati requisiti (che non attengono alla sua sostanza tecnica), allora il documento acquista la piena efficacia legale. E che non c'e alcuna differenza tecnica tra la firma digitale e la firma elettronica, sicché mantenere la doppia definizione nel testo serve solo a creare equivoci.

Ma a questo punto non vale la pena di ripetere cose troppe volte scritte su queste pagine, tanto nessuno ne tiene conto. Ci limitiamo a segnalare un altro paio di orrori della bozza. Il primo riguarda la previsione del valore probatorio del documento informatico sottoscritto con firma qualificata, alla quale era stata aggiunta la discussa disposizione "L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria".
Era stato suggerito di cancellarla, ma invece è stata maldestramente "completata":

In caso di disconoscimento della sottoscrizione l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.

In caso di disconoscimento? Ma allora, se non c'è disconoscimento, l'utilizzo del dispositivo non si deve presumere come riconducibile al titolare? In ogni caso, la disposizione è in contrasto con la direttiva 1999/93/CE, che all'art. 5. c. 1,  prescrive: "Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei" (errori di traduzione a parte). Così si crea una disparità con il regime della firma autografa, disparità che può anche condurre a ulteriori difficoltà interpretative.

Ancora:
Dopo il comma 1 dell'articolo 20 è inserito il seguente: "1 bis. Il documento informatico formato in modo da garantire la permanenza temporale e la non modificabilità automatica del documento è idoneo a soddisfare il requisito della forma scritta."

Ma come si fa a "formare un documento informatico in modo da garantire la permanenza temporale" del documento stesso? Non si può. E non ha senso l'espressione "garantire la non modificabilità automatica" del documento (se mai della sua rappresentazione). E poi questa prescrizione si scontra con quella, già citata, per la quale l'efficacia di forma scritta è attribuita al documento con firma qualificata. Insomma, la confusione più totale.
E' chiaro che con norme di questa fatta dovranno passare anni prima che l'amministrazione "digitale" possa funzionare. Il Dipartimento per l'innovazione sembra sia riuscito a compiere un'impresa difficilissima: progettare il caos.

In conclusione, ancora una volta sorge il sospetto che qualcuno, e chissà per quale motivi, si ostini a cercare di demolire quel formidabile edificio giuridico che era stato costruito con il DPR 513/97, sulla base del secondo comma dell'articolo 15 della legge 59/97. Ricordiamo alcuni titoli comparsi su queste pagine: Si vuole abrogare la firma digitale? (7 settembre 2000), Il Governo cancella un vanto dell'Italia (10 gennaio 2002), La Costituzione, la delega e le "disarmonie" del testo (17 gennaio 2002), Lo schema governativo stravolge il processo civile (24 gennaio 2002), fino a Un serial killer si nasconde nel Palazzo (17 marzo 2005).

E fino a un articolo del 25 ottobre scorso, che si intitolava Idee chiare sulle firme elettroniche. Finalmente!
Quale errore! Dovremmo cancellarlo, se fosse possibile cancellare anche la memoria delle persone che hanno preso parte alla riunione del 17 ottobre presso il Dipartimento per l'innovazione e le tecnologie, nella quale era sembrato che la soluzione di tanti problemi fosse a portata di mano. 
Dovremmo anche cancellare anni di analisi, di discussioni, di proposte. Ma questo archivio storico che è ormai InterLex manterrà le tracce del percorso di una ricerca giuridica che oggi può sembrare del tutto inutile.