Troppa
confusione sulle firme "elettroniche"
- 2
di Manlio Cammarata - 29.07.02
Occorrono regole nuove
Come abbiamo visto nell'articolo precedente,
la situazione della normativa sulla firma
digitale è molto confusa. E' necessario
ripartire praticamente da zero, cioè dalla
norma dell'art. 15 della legge 59/97,
aggiungendo la previsione (già allora implicita
quando la legge fu approvata) della liceità
delle firme insicure, per soddisfare la
normativa europea. Si deve tenere presente che
la direttiva 1999/93/CE dovrà essere
riesaminata a partire dal 19 luglio 2003 (cioè
tra meno di un anno, art.
12) e che in quell'occasione si potranno
correggere almeno gli errori più clamorosi e
chiarire i troppi punti oscuri.
Nell'indispensabile riordino della normativa il
legislatore italiano dovrà comunque porre
rimedio ad alcuni punti critici delle
disposizioni attuali: vediamone alcuni.
1. Le definizioni. E' necessario
adottare definizioni chiare e sintetiche, che
possano essere usate nel linguaggio comune. Per
esempio, l'interminabile tiritera della
"firma elettronica basata su... generata...
ecc., può essere sostituita dalla definizione
di "firma digitale sicura" o
"firma digitale avanzata"; per il
resto si può usare il termine generico di
"firma elettronica".
Per i certificatori si potrà distinguere tra
"certificatori qualificati" e
"certificatori non qualificati",
aggiungendo, se del caso, i "certificatori
accreditati" come livello intermedio.
I certificati potranno essere
"qualificati" o "non
qualificati" (qui è difficile immaginare
una via di mezzo).
in ogni caso sarà opportuno evitare l'aggettivo
"avanzato", che in italiano non
traduce solo l'inglese advanced, ma
indica anche qualcosa che si può buttare via
senza rimorsi...
2. Gli aspetti penali. Il DPR 513, in
mancanza di una delega specifica, non poteva
introdurre disposizioni di natura penale. E'
vero che in molti casi gli atti illeciti che
possono essere compiuti con la firma digitale
rientrano senza problemi nelle previsioni
dell'attuale codice penale, ma occorre almeno
una norma che punisca l'affidamento a una
persona diversa, da parte del titolare, del
dispositivo di firma. Deve essere chiaro che la
natura giuridica della firma digitale esclude
che un comportamento del genere possa
configurare una sorta di rappresentanza, sia
perché questa è prevista come causa di
emissione di un certificato specifico per il
rappresentante sia, e soprattutto, perché il
titolare deve avere il pieno controllo del
dispositivo, senza il quale non è possibile
ascrivere con certezza la firma al
soggetto che appare come firmatario (per l'uso
abusivo, all'insaputa del titolare, del
dispositivo di firma, si può configurare la
sostituzione di persona, se ricorrono le
condizioni previste dall'art. 494 c.p.).
Il discorso è in parte diverso per i reati
che possono essere commessi dai certificatori.
Qui sembra che possano essere applicate senza
forzature le norme già presenti nel codice
penale, e in particolare quelle sul crimine
informatico introdotte dalla legge 54793.
Queste, a loro volta, dovranno essere in buona
parte riscritte, sia in funzione del progresso
delle tecnologie sia per il recepimento della
decisione-quadro della Commissione europea
relativa agli attacchi contro i sistemi di
informazione, ora allo stadio di proposta.
3. La validità nel tempo dei documenti
informatici. Qui c'è una lacuna, o almeno
una scarsa chiarezza della normativa attuale. Il
DPR 445 stabilisce che "l'uso della firma
apposta o associata mediante una chiave
revocata, scaduta o sospesa equivale a mancata
sottoscrizione" (art. 23, c. 5) ed è
abbastanza facile individuare le conseguenze
giuridiche di questa previsione. Ma l'art.
60 delle regole tecniche detta una serie di
regole per prolungare la validità dei documenti
informatici, dopo la scadenza del certificato,
attraverso l'applicazione delle marche
temporali. Dunque il documento informatico non
vale più niente dopo la scadenza del
certificato? Per la pubblica amministrazione
esistono regole specifiche, in particolare per
la conservazione dei documenti su supporti
ottici, ma per il settore privato la
"perdita di validità" di un
documento, in assenza del prolungamento con le
marche temporali, può essere un problema serio.
Non è immaginabile che il contenuto del
documento informatico possa essere
"annullato" dopo pochi anni di vita,
mentre la firma autografa vale per sempre: è
necessario stabilire almeno la persistenza del
valore probatorio del documento, prevedendo
anche la consultabilità dei certificati a tempo
indeterminato, eventualmente con il loro
riversamento, dopo la scadenza, in un archivio
storico. La possibilità di "rottura"
delle chiavi, trascorso un certo tempo dalla
loro generazione, è un rischio concreto, ma
dovrebbe essere provata o almeno valutata sulla
base di indizi seri, con una specie di giudizio
di verificazione. Ma qui entriamo nel complicato
discorso degli aspetti processuali del documento
informatico, che affronteremo quando saranno
riviste le disposizioni del nuovo art.
10 del testo unico.
Gli aspetti processuali. Questo è un
altro campo in cui il legislatore deve
intervenire. Infatti, già le disposizioni
originarie del DPR 513/97, riprese nel testo
unico, lasciavano aperti molti dubbi
sull'applicabilità degli istituti del
disconoscimento e delle procedure di
verificazione, nel passaggio dal documento
tradizionale a quello informatico. Anche la
querela di falso richiede almeno qualche
precisazione per la sua applicazione alle nuove
"scritture".
Gli aspetti operativi. Per concludere
non si può trascurare un altra lacuna della
normativa, venuta alla luce nel primo periodo di
applicazione pratica della firma digitale. E'
necessario che i certificatori
"qualificati" siano obbligati a
stipulare gli accordi di certificazione
incrociata e a rendere interoperabili tutte le
procedure, soprattutto per quanto riguarda le
verifiche delle liste di sospensione e revoca e
delle marche temporali. Peraltro non si riesce a
capire come mai non lo abbiano già fatto
spontaneamente e non si rendano conto che il
caos attuale rallenta la diffusione dello
strumento e blocca anche quel po' di mercato che
potrebbe invece funzionare.
Per di più, alcuni operatori abbastanza
disinvolti incominciano ad approfittare della
confusione determinata dal decreto legislativo
di recepimento: prima fanno grandi discorsi
sulla firma digitale "a norma di
legge" (italiana) e subito dopo cercano di
vendere agli ignari acquirenti una serie di
prodotti di firma "a norma europea".
Con le conseguenze che è facile immaginare e,
ancora una volta, nell'inerzia dei certificatori
dell'unica firma sicura per l'ordinamento
italiano.
|
Pagina stampabile
