Da qualche tempo non ci occupiamo di firma digitale, anche se continuano ad arrivare numerose e-mail con domande sull'argomento. Molti quesiti trovano ancora risposta nelle FAQ pubblicate due anni fa, ad altri è difficile rispondere, nel pasticcio di norme determinato dal decreto legislativo 23 gennaio 2002, che ha recepito (male) la già confusa direttiva 1999/93/CE sulle firme elettroniche.
Cerchiamo dunque di mettere in luce i problemi più gravi, anche in vista del fatto che l'intera materia dovrà essere rivista dal legislatore. Infatti senza un intervento normativo organico è difficile che possa diffondersi l'uso sia della firma digitale "all'italiana" sia delle firme elettroniche secondo la visione comunitaria.

1. Quanti livelli di firme sono previsti?

Il buonsenso suggerisce la considerazione che la firma digitale (o elettronica) o è legalmente sicura o non lo è. Quindi, visto che al legislatore europeo preme lo sviluppo del mercato indipendentemente dalle questioni giuridiche, dovremmo rispondere che di fatto sono previsti due livelli di firme, quella sicura (o "avanzata" o "qualificata") e quella che non lo è, che si può per contrasto definire "insicura", "arretrata" o "squalificata". Infatti, nelle definizioni dell'art. 2 della direttiva sono indicate due possibilità: la "firma elettronica" non meglio definita (e sostanzialmente non regolamentata) e la "firma elettronica avanzata". Questa deve:

a) essere connessa in maniera unica al firmatario;
b) essere idonea ad identificare il firmatario;
c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati.

Non è difficile riconoscere in queste indicazioni la firma digitale come è stata regolata in Italia dal DPR 513/97 (poi smembrato e trasfuso nel testo unico sulla documentazione amministrativa, DPR 445/200). Con un piccolo dettaglio: non esiste una firma digitale (o "elettronica" che dir si voglia) che consenta di identificare "ogni successiva modifica" del documento al quale è stata apposta: la verifica ammette solo una risposta "vero o falso". Il macroscopico errore (per fortuna corretto nel decreto di recepimento) la dice lunga sull'incompetenza tecnica del legislatore comunitario.

Potremmo fermarci qui. Ma nell'articolato della direttiva e nei "considerando" che lo precedono si trovano due diverse ipotesi di firma "avanzata" . Ecco le differenze, così come emergono dai "considerando":

(20) [...] le firme elettroniche avanzate basate su un certificato qualificato mirano ad un più alto livello di sicurezza; le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura possono essere considerate giuridicamente equivalenti alle firme autografe solo se sono rispettati i requisiti per le firme autografe.

Dunque le firme elettroniche avanzate sarebbero di due tipi:
a) quelle basate su un certificato qualificato (con le implicazioni che vedremo più avanti per quanto riguarda i certificatori);
b) quelle basate su un certificato qualificato  e create mediante un dispositivo per la creazione di una firma sicura. Si noti che tra le definizioni manca quella di "firma sicura", espressione che però compare diverse volte nell'articolato e in particolare negli allegati III e IV, che in sostanza riproducono le disposizioni della normativa italiana.

Se ne potrebbe dedurre che il legislatore comunitario abbia voluto regolamentare tre diversi livelli di firme:
a) firme elettroniche tout court;
b) firme elettroniche avanzate (basate su un certificato qualificato, ma non generate con un dispositivo per la firma sicura);
c) firme elettroniche sicure (come sopra, ma con in più l'uso del dispositivo).
Ma se andiamo a vedere di nuovo le definizioni dell'art. 2, vediamo che tra i requisiti della firma "avanzata" c'è quello che deve "essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo", cioè con un dispositivo per la firma sicura. Dunque per la firma avanzata ci sono due indicazioni contrastanti e la questione si può risolvere solo con una specie di ossimoro: "i due livelli di firma sono tre" oppure "i tre livelli sono due", con buona pace dell'aritmetica.

Vediamo ora come il legislatore nazionale ha recepito il pasticcio: si legge infatti nell'art. 2 del DLgv 10/02:

1. Ai fini del presente decreto si intende per:
a) "firma elettronica" l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
[...]
g) "firma elettronica avanzata" la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
[...]

Qui, in accordo con le corrispondenti definizioni comunitarie, ci sono due tipi di firma. E più avanti,  nell'art. 6, compaiono due previsioni: "Il documento informatico, sottoscritto con firma elettronica ..." e "Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura".
C'è quindi la conferma dell'esistenza di due livelli di firma e si evince che la firma "avanzata", basata su un certificato qualificato e generata con un dispositivo per la creazione di una firma sicura (cioè, fra l'altro, sul quale il firmatario può conservare il controllo esclusivo), corrisponde alla firma digitale come definita e regolata dal testo unico sulla documentazione amministrativa. A parte la farraginosità delle descrizioni e l'erroneo riferimento alla "autenticazione" invece che alla "validazione", la doppia previsione appare soddisfacente: la firma, come si è detto, o è sicura o non lo è (sui problemi creati dall'art. 6 si veda Lo schema governativo stravolge il processo civile di Gianni Buonomo).

Quanti livelli di certificatori?

Ma la situazione si complica subito se cerchiamo di confrontare le previsioni normative sulle firme con quelle che riguardano i certificatori, perché è logico pensare che la firma "insicura" possa essere certificata da un certificatore qualsiasi, mentre per quella sicura occorre un certificatore altrettanto sicuro.
Torniamo alla direttiva europea, dove troviamo nelle definizioni dell'art. 2 una duplice previsione:

11) "prestatore di servizi di certificazione", un'entità o una persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche; 
13) "accreditamento facoltativo", qualsiasi permesso che stabilisca diritti ed obblighi specifici della fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall'organismo pubblico o privato preposto all'elaborazione e alla sorveglianza del rispetto di tali diritti ed obblighi [...]

Ma prima, nel caos anche formale della direttiva, c'è un altro riferimento:

10) "certificato qualificato", un certificato conforme ai requisiti di cui all'allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti di cui all'allegato II.

Dunque anche qui ci sarebbero tre livelli:
a) prestatore di servizi di certificazione
b) prestatore di servizi di certificazione "accreditato"
c) prestatore di servizi di certificazione che rilascia certificati qualificati (allegato II).
Verrebbe spontaneo fare un parallelo fra i tre livelli di certificazione e i tre livelli di firma, ma nulla nella direttiva sembra giustificare questo accostamento logico.

Ritorniamo al decreto di recepimento. Nelle definizioni dell'art. 2 si riprendono, con maggiore chiarezza, le definizioni comunitarie e si prevedono due categorie:

b) "certificatori" coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche;
c) "certificatori accreditati" i certificatori accreditati in Italia ovvero in altri Stati membri dell'Unione europea, ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.

Ma poco più avanti compaiono i tre livelli:
Art. 3.1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva.
Art. 4.1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento.
Art. 5.1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati.

Sembra di capire, a prima vista, che il soggetto di cui all'art. 3 è il certificatore che possiamo chiamare "squalificato", definito alla lettera b) dell'art. 2, mentre all'art. 5 si dettano le regole per il soggetto che corrisponde alla lettera c) dell'art. 2. Ma allora manca la definizione per il certificatore al quale si riferisce l'art. 4!

In conclusione, dagli artt. 3, 4 e 5 si deduce che al livello più basso c'è il certificatore "screditato", al quale non viene imposto alcun obbligo preliminare; al secondo c'è il certificatore che deve "dare avviso" al Dipartimento se vuole rilasciare certificati qualificati; al terzo c'è il certificatore che "può chiedere di essere accreditato" (dunque un accreditamento facoltativo) per avere il riconoscimento dei requisiti più elevati.
Più avanti si evince che il terzo livello, con l'iscrizione nell'elenco pubblico, corrisponde ai "certificatori" della originaria normativa italiana.
Ma, ecco il busillis, nella direttiva l'accreditamento facoltativo è previsto per il livello intermedio e non si trova una previsione di avviso preventivo, come nell'art. 4 del decreto. E allora?

L'unica soluzione possibile è riscrivere da zero la normativa, a partire da alcuni aspetti ormai datati del DPR 455/2000. Il regolamento applicativo del DLgv 10/02 (che ancora non si vede all'orizzonte) potrà chiarire qualche dubbio, ma è tutto il sistema che deve essere rivisto. D'altra parte, la stessa direttiva 1999/93/CE sarà soggetta a una revisione (che si spera sostanziale) entro un anno, secondo il dettato dell'art. 12.

Continua sul prossimo numero

Per altre considerazioni sul recepimento della normativa europea vedi:
Il Governo cancella un vanto dell'Italia di Manlio Cammarata e Enrico Maccarone - 10.01.02
Gli errori tecnici dello schema di recepimento di Franco Ruggieri - 17.01.02
La Costituzione, la delega e le "disarmonie" del testo di Daniele Coliva - 17.01.02
Lo schema governativo stravolge il processo civile di Gianni Buonomo - 24.01.02
La "nuova" efficacia probatoria della firma digitale di Paolo Ricchiuto - 14.02.02