• La firma digitale cambierà radicalmente le procedure lavorative ed i rapporti tra cittadino e Pubblica Amministrazione. Ne parliamo con Enrico De Giovanni - Capo Ufficio Legislativo del DIT - Dipartimento per l'Innovazione e le Tecnologie

Se il D.Lgs n. 10 del 23 gennaio 2002 recepisce quanto stabilito dalla direttiva europea, lo schema del DPR, recante disposizioni regolamentari di coordinamento in materia di firme elettroniche (secondo quanto stabilito dall'art. 3 del 10/2002) sembra finalmente sbloccare l'impasse normativa che ha finora tanto ostacolato l'utilizzo della firma digitale. Eppure nella Pubblica Amministrazione c'è ancora confusione. Cominciamo dalla terminologia: firma elettronica, firma elettronica qualificata, firma digitale, firma debole o firma sicura. Può chiarirci meglio il significato di queste definizioni?

Il DPR, approvato definitivamente dal Consiglio dei Ministri il 31 gennaio scorso, disciplina e descrive le diverse tipologie di firma introdotte a seguito del recepimento della direttiva europea (D.Lgs 10/2002). La distinzione tra le varie modalità di firma è data sul piano tecnico dalla loro maggiore o minore sicurezza, cioè dall'essere sostanzialmente accompagnate da meccanismi di verifica più o meno intensi che danno luogo a conseguenze giuridiche diverse. Più una firma sarà sicura e più ci sarà un'equiparazione piena e totale alla sottoscrizione con firma autografa su cartaceo.
Le definizioni delle varie modalità di firma verranno incluse nell'articolo 1 del DPR attualmente in esame, che farà chiarezza sulla normativa in materia di firma digitale. In questo senso, le tipologie di firme preesistenti verranno modificate da questa disciplina.
Per quanto riguarda la firma elettronica, viene, in primo luogo, espresso il concetto generale di firma elettronica, visto come:
"l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica".
Si tratta quindi di un "genere" nel cui ambito si identificano tre "specie", caratterizzate da diversi livelli di sicurezza dei dati:
" La firma elettronica avanzata
" La firma elettronica qualificata
" La firma digitale
La firma elettronica avanzata è
"la firma ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati".
Il secondo tipo di firma elettronica è la firma elettronica qualificata, cioè una firma elettronica avanzata basata però su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione di una firma. Ancor più sicuro e più importante tipo di firma è la firma digitale, un particolare tipo di firma elettronica qualificata, basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente
"al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici".

Secondo il nuovo DPR attualmente in discussione, come sono disciplinati i certificatori e quali caratteristiche devono avere?

Si tratta di un argomento centrale del nuovo regolamento. L'attività dei certificatori è libera e tale disposizione vale anche per i certificatori di altri paesi dell'Unione europea, purché soddisfino alcuni requisiti relativi all'onorabilità e all'effettiva idoneità tecnica dell'organizzazione. Il fatto che l'inizio dell'attività non venga subordinata ad una preventiva autorizzazione, comunque, non vuol dire che sia esente da verifiche da parte del Dipartimento. Quello che è sottoposto, invece, ad un controllo più rigido è la possibilità di rilasciare al pubblico certificati qualificati, ovvero particolarmente sicuri. In questo caso, i certificatori devono poter dimostrare, ad esempio, l'idoneità a garantire riservatezza, integrità e sicurezza nella generazione di chiavi, utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni, etc. Esiste, in altre parole, una sorta di graduazione dei requisiti di affidabilità organizzativa richiesta ai certificatori qualificati a seconda delle tipologie di firma che intendono rilasciare. Il meccanismo amministrativo da seguire non è, come dicevo prima, quello dell'autorizzazione preventiva ma, più semplicemente, quello della cosiddetta DIA - Dichiarazione di inizio di attività - in base alla quale, il DIT viene a conoscenza dei certificatori qualificati e può effettuare controlli sulla loro attività.
Vi è, poi, una sorta di patente specifica per coloro che intendono dimostrare di avere dei requisiti di elevata sicurezza e professionalità per il rilascio della firma digitale con sistema di chiavi asimmetriche. Tale patente è una sorta di accreditamento volontario per l'iscrizione all'albo pubblico del DIT e viene rilasciata previa dichiarazione di possesso dei requisiti espressi nell'art. 28 del nuovo DPR . Anche in questo caso, non si tratta di una autorizzazione ma di una domanda di accreditamento secondo un meccanismo di silenzio-assenso. La domanda si considera accolta se non viene comunicato il diniego entro 90 giorni dalla ricezione della stessa. Al DIT resterà comunque il diritto in qualunque momento di richiedere chiarimenti in merito ai requisiti richiesti o di effettuare controlli sull'attività.
L'elenco pubblico dei certificatori comprenderà tutti i certificatori presenti sul territorio nazionale, suddivisi per tipologia di prodotto fornito. In questo modo, l'utente avrà modo di selezionare il certificatore in base alle proprie esigenze.

Le nuove disposizioni normative indicano il Dipartimento per le nuove Tecnologie con nuovo organo di controllo per i certificatori. In che tempi si prevede concluso il passaggio di competenze dall'AIPA al DIT?

La disciplina è contenuta nell'art. 29 del regolamento, dove si dice che il Dipartimento per l'Innovazione e le Tecnologie svolge funzioni di vigilanza e controllo sull'attività di certificazione. Questo passaggio di competenze dovrà essere contestuale all'entrata in vigore del regolamento. D'altronde, il Dipartimento lavora già in stretto contatto con l'Aipa e il Centro Tecnico, quindi non ci sarà alcun problema di tipo organizzativo. L'attività di controllo sui certificatori, poi, resterà sotto la diretta responsabilità del Dipartimento anche quando sarà nata l'Agenzia per l'Innovazione.

Una volta approvato anche questo regolamento, saranno necessari ulteriori passaggi normativi o con questo ultimo decreto si definiscono chiaramente le disposizioni necessarie per dare il via allo sviluppo della firma elettronica in Italia?

L'esperienza di lavoro di questi ultimi mesi mi insegna che l'evoluzione tecnologica in questo settore è talmente rapida da rendere molto difficile sostenere che una norma sia ormai definita e completa.
Possiamo dire che abbiamo tra le mani un testo aggiornato rispetto all'evoluzione tecnologica e alle politiche del resto d'Europa. Può darsi che tra qualche tempo l'individuazione di nuove forme di firma sul piano tecnico imponga la modifica di alcune definizioni. Ci tengo a sottolineare che le definizioni usate in questo testo non sono altro che la fotografia dell'esistente e non si può fare diversamente. Abbiamo preso atto di cosa la tecnica ad oggi ci offre come maggior grado di sicurezza possibile e lo abbiamo regolamentato. Quando noi parliamo della corrispondenza di chiavi, dei dettagli che differenziano le varie tipologie di firme non usiamo una terminologia di tipo astratto che piace al legislatore e che come tale è immutabile. Per definizione, quando si norma il settore delle nuove tecnologie, lo si fa allo stato degli atti riservandosi continui interventi di aggiornamento e di modifica. Per maggiore chiarezza, oltre questo regolamento, verrà emanato un ulteriore decreto, un DPCM, che detterà le regole tecniche di alcuni aspetti che nel regolamento sono disciplinati in maniera un po' più astratta.

In che modo la nuova disciplina della firma elettronica e della firma digitale va ad impattare il progetto di CNS, Carta Nazionale dei Servizi?

Un chiarimento su questo: la legge ha previsto l'introduzione della CIE e della CNS. Il cittadino che si rivolge tramite internet all'amministrazione deve avere uno strumento per farsi identificare, evitando di ritrovarsi ad amministrare decine di carte diverse. E' possibile che in una prima fase sperimentale, l'utente possa avvalersi alternativamente della CNS o della Carta d'Identità Elettronica per accedere agli stessi servizi ma l'ottica in cui stiamo lavorando è quella di associare la firma digitale ad un unico strumento che svolga anche la funzione di documento personale.