Difficilmente prima della fine dell'anno sarà possibile avere una normativa europea sull'utilizzazione e la validità giuridica della firma elettronica(¹). La proposta di direttiva della Commissione europea attende di passare il vaglio della seconda lettura del Parlamento europeo, secondo la procedura legislativa della co-decisione, dopo che, lo scorso 28 giugno, il Consiglio dei Ministri aveva adottato la propria posizione comune. Il testo licenziato è di gran lunga differente rispetto alla versione originale adottata dalla Commissione il 13 maggio 1998.
Infatti, successivamente alla sua adozione, la proposta era stata affidata ad un gruppo di lavoro del Consiglio delle telecomunicazioni, che aveva il compito di mediare tra gli interessi giuridici ed economici dei diversi Stati membri, al fine di raggiungere compromessi politici.

Verso la fine del 1998 il gruppo di lavoro dovette riferire al Comitato dei rappresentanti permanenti (COREPER) di essere incapace a trovare un accordo in grado di risolvere le forti divergenze politiche, soprattutto con riferimento all'introduzione di un ulteriore allegato, l'allegato III.0 contenente le specifiche tecniche della firma elettronica.
Nonostante gli intensi negoziati che seguirono, il commissario europeo Bangemann dovette arrendersi di fronte all'evidenza che nessun compromesso era stato raggiunto e che l'analisi del testo sarebbe ripresa nel 1999.

Nei primi mesi del 1999 il testo originale, è stato presentato, in prima lettura al Parlamento europeo che vi ha apportato ben 32 emendamenti, di cui 22 sono stati accolti dalla Commissione nella versione del 29 Aprile 1999. Quest'ultima ha adottato, tra gli altri, l'emendamento che impegna l'istituzione comunitaria a rivedere la Direttiva prima del 2003, per adeguarla agli sviluppi tecnologici ed a esaminare gli aspetti tecnici connessi, quale la riservatezza.
Sono inoltre stati accolti gli emendamenti sulla necessità di assicurare la disponibilità della comunicazioni elettroniche nel quadro della libera circolazione delle persone; sulla possibilità per gli Stati membri di riconoscere dei sistemi di accreditamento gestiti da organismi amministrativi indipendenti e sull'obbligo per i fornitori del servizio di certificazione di raccogliere dati personali unicamente presso la persona cui i dati si riferiscono, ovvero con il consenso esplicito di quest'ultima.

La Commissione, invece, non ha accolto la proposta del Parlamento relativa alla modificazione del "comitato consultivo" ex art.9 in un "comitato di contatto", né l'emendamento che richiede alla Commissione di sottoporre, non solo al Consiglio ma anche al Parlamento, proposte relative ai mandati per la negoziazione di accordi bilaterali e multilaterali con Paesi terzi ed organizzazioni internazionali.
Su questo testo emendato, lo scorso 26 giugno, il Consiglio ha adottato la sua posizione comune, introducendo ulteriori modifiche che hanno intaccato gli aspetti sostanziali del testo legislativo.

In primo luogo è stato esteso il campo di applicazione della norma. Infatti, originariamente la proposta non assoggettava la firma elettronica utilizzata da gruppi chiusi di utenti ai requisiti tecnici e giuridici previsti. Essa infatti stabiliva non solo che un quadro regolamentare non era necessario per le firme elettroniche utilizzate in gruppi chiusi di utenti, come le banche, ma, all'articolo 2 definiva l'autorità di certificazione come un soggetto che fornisce esclusivamente servizi al pubblico. Ciò faceva sorgere nelle industrie il dubbio che le firme utilizzate in questi contesti non producessero gli effetti giuridici stabiliti dalla proposta comunitaria.

Al fine di fugare qualsiasi dubbio, la precedente definizione di "prestatore di servizi di certificazione", che legava appunto il servizio alla fornitura di certificati al pubblico, è stata modificata: è tale "una persona o un'entità che rilascia certificati o provvede ad altri servizi connessi alle firme elettroniche". In questo modo i gruppi chiusi di utenti vengono compresi nell'ambito di applicazione della direttiva, senza però essere sottoposti ai requisiti tecnici.
In secondo luogo, sono state modificate le previsioni dell'articolo 8 sulla protezione dei dati personali. Ci si è chiesto infatti se fosse utile costringere il prestatore di servizi di certificazione a comunicare alle autorità pubbliche lo pseudonimo utilizzato dal firmatario in luogo del nome. La nuova formulazione limita in qualche modo l'oggetto dell'articolo 8: viene fatto divieto agli Stati membri di proibire l'utilizzazione dello pseudonimo ed è stato abrogato conseguentemente il paragrafo 4 in cui si obbligava l'autorità di certificazione a comunicare lo pseudonimo qualora richiesto dalle autorità pubbliche.

Rispetto al testo tradizionale viene introdotta una clausola generale di esclusione della responsabilità nelle ipotesi in cui non sia possibile ascrivere alle autorità di certificazione comportamenti negligenti e viene introdotto l'obbligo per queste ultime di registrare la revocazione del certificato. In caso contrario si darà luogo a responsabilità a meno che non venga dimostrato che il proprio comportamento non sia stato negligente. La conseguenza di queste modificazioni è che viene ridotta la responsabilità civile delle autorità di certificazione, obbligando il titolare del certificato a provare la condotta negligente del fornitore del servizio.

È stato più volte affermato che la proposta di direttiva fornisce tutela non solo alla crittografia asimmetrica ma anche ad altre tecniche di autenticazione. Tale posizione è stata criticata da alcuni Stati Membri perché, è stato sostenuto, gli effetti giuridici devono essere attribuiti esclusivamente alla firma digitale, in quanto è l'unica tecnica che riesce ad assicurare un grado di sicurezza assimilabile alla firma autografa.
Al fine di mantenere una posizione giuridica "neutra" e nello stesso tempo offrire una maggiore garanzia di sicurezza del sistema, è stato introdotto, tra le definizioni (art.2) il concetto di "firma elettronica avanzata". In realtà ci sono ancora molti dubbi interpretativi su cosa debba intendersi con questo termine. Si sostiene che mentre il testo originale richiedeva che la firma elettronica avesse dei requisiti minimi di sicurezza, invece adesso deve possedere dei particolari standard.

A questo proposito l'articolo 5, primo comma, è stato modificato al fine di riconoscere valore legale alla "firma elettronica avanzata" mentre le delegazioni francesi e tedesche hanno preparato un testo provvisorio per l'allegato III, che contiene i requisiti tecnici che il nuovo modello di firma elettronica deve possedere per avere valore giuridico.

Argomenti contrari all'introduzione di tale allegato III sono:
- la necessità di una legislazione nazionale particolarmente vincolante in grado di controllare se i software in commercio possiedono i requisiti tecnici previsti e conseguente introduzione di un sistema autorizzatorio obbligatorio (mentre la proposta di direttiva si ispira ad un modello di accreditamento volontario, ed anzi, l'art.3 proibisce agli Stati membri di subordinare l'esercizio dell'attività di certificazione ad una previa autorizzazione);
- la sensazione che tale allegato sia voluto soprattutto per motivi economici da quei paesi che intendono proteggere le proprie industrie produttrici di hardware particolari, quali le smart card.

Come si può facilmente intuire, gli interessi in gioco sono molteplici e le conoscenze tecniche dei legislatori sono spesso insufficienti per regolare un settore specifico come quello in questione.

^{* Studio legale Tonucci}

¹ L'unione Europea ha stabilito di usare l'espressione "firma elettronica" invece di "firma digitale" per non porre limiti alle tecnologie impiegabili. Di fatto, come ha opportunamente stabilito il legislatore italiano, solo la firma digitale derivante dalla crittografia a chiave pubblica offre sufficienti garanzie di sicurezza.