12. Domande e risposte sulla firma
digitale - prima parte
(FAQ, ovvero Frequently
Asked Questions)
di Manlio Cammarata e Enrico Maccarone -
aggiornamento 06.04.2000
Domande e risposte successive
Questa pagina conclude la serie di
articoli di introduzione alla firma digitale e rimane aperta per rispondere alle
domande che continuano ad arrivarci.
Per inviare un quesito basta fare clic sull'icona della busta:
Attenzione: giungono molte
domande su temi che sono già stati trattati in questa serie o in altri articoli
di InterLex. Per esempio: "E' possibile o sarà possibile inviare atti
giudiziari alle cancellerie dei vari tribunali via posta elettronica con la
firma digitale?" L'argomento è stato affrontato diverse volte (vedi l'indice della sezione) e quindi non sarà trattato
nuovamente in queste FAQ.
Le domande
25. |
Ancora sul time stamping. L'art. 16.6 del DPR 513/97 subordina la la
validità a tutti gli effetti di legge dei documenti presentati o depositati
presso una PA a due condizioni:
a) firma digitale; b) validazione temporale. Si chiede:
1) se quest'ultima debba caratterizzare tutti i "documenti" (art.
16.6) compresi i "documenti autenticati" (art. 16.4); per questi
ultimi non parrebbe necessaria la marcatura temporale in quanto l'opponibilità
ai terzi è in re ipsa nell'intervento del pubblico ufficiale autenticante (art.
2704 c.c.)
2) nel caso in cui il deposito presso la PA non riguardasse un documento ma un
insieme di documenti "veicolato" tramite un'unica domanda (si pensi al
deposito del bilancio presso il registro delle imprese ex art. 2435 c.c.), la
marcatura temporale deve caratterizzare il singolo documento (bilancio, verbale
di approvazione, eventuale relazione dei sindaci, eventuale relazione degli
amministratori, eventuale relazione di certificazione ..) oppure è sufficiente
apporre la validazione temporale all'insieme dei documenti (raggruppati nella
"domanda di deposito")?
|
24. |
Il disconoscimento della firma
digitale da parte del titolare: qualora gli avessero sottratto il dispositivo di
firma e lui non se ne fosse accorto e altri lo avessero utilizzato per firmare
un documento, in che tipo di responsabilità incorre l'utente?
Come si deve interpretare l'art.9 del DPR 513/97 che parla di "misure
tecniche ed organizzative idonee" nell'utilizzo della firma digitale?A che
tipo di risarcimento è tenuto nei confronti dei terzi che hanno fatto
affidamento su un contratto stipulato da chi non ne era legittimato? |
23. |
E' vero che i protocolli di sicurezza, come SSL, garantiscono
la segretezza ma non l'identità del mittente? |
22. |
L'ultimo comma dell'articolo 16 del DPR 513/97 prescrive la
procedura di validazione temporale del documento presentato su supporto
informatico o per via telematica ad una pubblica amministrazione. Tale
adempimento è necessario anche quando al documento è apposta una firma
digitale autenticata da un notaio secondo la procedura prevista dal secondo
comma dello stesso articolo, visto che normalmente l'autentica riporta anche la
data di sottoscrizione? |
21. |
In attesa del decreto del Ministero delle finanze sulle
modalità di assolvimento dell'imposta di bollo sul documento informatico è
possibile adottare la "pagina" quale unità di computo per formati
grafici di stampa come il TIFF e il PDF? |
20. |
Si parla sempre dell'utilizzo della firma digitale nei
messaggi di posta elettronica. Esiste la possibilità di firmare digitalmente i
questionari presenti nelle pagine web? |
19. |
Esiste una normativa che determina "l'obbligo" di
accettare la firma digitale? Oggi, se un ente di controllo deve inviare una
comunicazione "ufficiale", lo fa tramite posta raccomandata con Avviso
di ricevimento. Può, lo stesso ente, stabilire che a partire da una certa data
queste comunicazioni verranno trasmesse tramite posta elettronica con firma
digitale e quindi obbligare tutti a utilizzare la posta elettronica? |
18.
|
In due interessanti articoli di InterLex La rivoluzione informatica va avanti: l'Italia è pronta?"
e "La carta elettronica: una legge-quadro",
si afferma che attualmente è impossibile realizzare una carta d'identità
elettronica che che possa essere anche dispositivo di firma, per motivi tecnici,
dovuti alla attuale inesistenza di carte "multiprocessore".
Però si ha notizia di sperimentazioni a livello locale di carte multiservizi
nelle quali potrebbero essere memorizzate un gran numero di informazioni e in
più sarebbero in grado di funzionare anche come dispositivo di firma digitale.
Come stanno realmente le cose?
|
17.
|
La comunicazione fra un utente che inoltra la richiesta di
certificazione e il certificatore in che modo deve essere autenticata?
|
16.
|
Vorrei conoscere una vostra previsione, anche se di massima,
circa la concreta operatività della firma digitale. Quando l'AIPA iscriverà i
primi certificatori nel registro e quando il Ministero delle Finanze emanerà i
provvedimenti di cui all'articolo 4 punto 2 del DPR 513/97?
|
15.
|
Una Pubblica Amministrazione può divenire certificatore ed
essere iscritta nell'elenco pubblico tenuto dall'AIPA?
|
14.
|
I documenti firmati digitalmente da una PA che si avvale di un
certificatore saranno riconosciuti da un'altra PA che si avvale di un altro
certificatore? In che modo è risolto il problema del mutuo riconoscimento e
della certificazione incrociata (cross-certification)?
|
13.
|
Nel caso in cui una PA si avvale dei "servizi offerti
da certificatori inclusi nell'elenco pubblico" su chi ricadono le
responsabilità (civili, penali) di eventuali errori (tecnici o altro)?
|
12.
|
La persona fisica responsabile dell'atto di verifica e
registrazione dei dati del titolare della firma digitale, deve avere qualche
carica particolare (per esempio, un notaio), o i dati possono essere accettati
da qualsiasi impiegato a uno sportello?
|
11.
|
Anche lasciando da parte gli aspetti tecnici, si può utilizzare
la coppia di chiavi certificate per la firma digitale anche per la cifratura dei
documenti? Il DPCM 8 febbraio 1999 non vieta l'uso di una chiave per scopi
diversi da quelli certificati?
|
10.
|
La firma digitale permette l'archiviazione e la conservazione su
supporti magnetici dei documenti fiscali di un'azienda come alternativa alla
conservazione dei documenti cartacei, oppure le fatture e gli altri documenti
fiscali cartacei non possono in alcun modo essere trasferiti su supporti
magnetici, valendo la norma che ne impone la conservazione per determinati
periodi di tempo? In pratica, è possibile disfarsi dei documenti fiscali
cartacei previa "copia" su supporto magnetico con firma digitale?
|
9.
|
Come si applicano le disposizioni dell'art. 15 del DPR 513/97,
con riferimento alla formazione, ad esempio, del libro dei verbali di assemblea
di una società di capitali? Il libro dovrebbe essere composto da più documenti
informatici (singoli verbali) sottoscritti con firma digitale del presidente e
del segretario dell'assemblea. Come si fa a garantire che tale insieme di
documenti costituisce il libro, in assenza di un sistema di
"validazione" preventiva del supporto sulla falsariga della bollatura
e numerazione delle pagine prevista per i libri su supporto cartaceo dagli artt.
2421 e 2215 c.c.?
|
8.
|
La recente direttiva europea sulla firma digitale sembra meno
"stringente" della normativa italiana: le nostre norme dovranno essere
cambiate?
|
7.
|
L'articolo 11 del DPR 513/97 dice che "I contratti
stipulati con strumenti informatici o per via telematica mediante l'uso della
firma digitale secondo le disposizioni del presente regolamento sono validi e
rilevanti a tutti gli effetti di legge". Dunque le transazioni del
commercio via Internet, che oggi sono stipulate senza la firma digitale, non
sono valide a tutti gli effetti?
|
6.
|
Per archiviazione su supporto informatico si intende la
scansione?
|
5.
|
La copia su supporto informatico di un documento cartaceo
(articolo 6, comma 3, del Regolamento) deve essere generata acquisendo
l'immagine (tramite scanner) del documento cartaceo, oppure è sufficiente
riprodurne il contenuto? E che cosa significa e con quali modalità deve essere
eseguita la "asseverazione" di cui alla medesima norma?
|
4.
|
Hanno valore legale i certificati PGP e simili?
|
3.
|
Ci sono limiti in Italia all'uso della crittografia? E le chiavi
certificate per la firma digitale possono essere usate per cifrare documenti?
|
2.
|
Da che cosa deriva la "non ripudiabilità" della firma
digitale?
|
1.
|
Come dispositivo di firma si può usare un dischetto?
|
Le risposte
25. Ancora sul time stamping.
L'art. 16.6 del DPR 513/97 subordina la la validità a tutti gli effetti di
legge dei documenti presentati o depositati presso una PA a due condizioni:
a) firma digitale; b) validazione temporale. Si chiede:
1) se quest'ultima debba caratterizzare tutti i "documenti" (art.
16.6) compresi i "documenti autenticati" (art. 16.4); per questi
ultimi non parrebbe necessaria la marcatura temporale in quanto l'opponibilità
ai terzi è in re ipsa nell'intervento del pubblico ufficiale
autenticante (art. 2704 c.c.)
2) nel caso in cui il deposito presso la PA non riguardasse un documento ma un
insieme di documenti "veicolato" tramite un'unica domanda (si pensi al
deposito del bilancio presso il registro delle imprese ex art. 2435 c.c.), la
marcatura temporale deve caratterizzare il singolo documento (bilancio, verbale
di approvazione, eventuale relazione dei sindaci, eventuale relazione degli
amministratori, eventuale relazione di certificazione ..) oppure è sufficiente
apporre la validazione temporale all'insieme dei documenti (raggruppati nella
"domanda di deposito")?
Il pubblico ufficiale autenticante attesta data e ora, e la marca temporale
non va apposta sui suoi atti (anche se oramai l'orientamento è quello di
apporla in ogni caso).
L'art. 10 del DPR 513 parla di firma digitale anche con riferimento a un gruppo
di documenti informatici, con ciò accogliendo il concetto di insieme. Da un
punto di vista meramente tecnico, sottoscrivere un singolo documento o un
insieme di documenti è la stessa cosa; giuridicamente la situazione cambia
quando per disposizione normativa i documenti vanno sottoscritti nella loro
singolarità.
24. Il disconoscimento della firma digitale da parte del titolare:
qualora gli avessero sottratto il dispositivo di firma e lui non se ne fosse
accorto e altri lo avessero utilizzato per firmare un documento, in che tipo di
responsabilità incorre l'utente?
Come si deve interpretare l'art.9 del D.P.R. 513/97 che parla di "misure
tecniche ed organizzative idonee" nell'utilizzo della firma digitale?A che
tipo di risarcimento è tenuto nei confronti dei terzi che hanno fatto
affidamento su un contratto stipulato da chi non ne era legittimato?
L'utente di un sistema di firma digitale è per sua natura persona ben
informata e cosciente dello strumento; ciò sia per la peculiarità della
materia sia perché adeguatamente informato dal certificatore attraverso il
manuale operativo.
La certificazione nasce sempre da contratto (utente-certificatore). Le
responsabilità non potranno mai essere generiche, ma sempre qualificate, e non
potrà mai invocarsi una generica responsabilità aquiliana. Responsabilità
significa anche corretto uso e conservazione del dispositivo di firma: la prova
dovrà quindi comprendere anche il dolo e una normale "distrazione"
non potrà mai essere scusata.
23. E' vero che
i protocolli di sicurezza, come SSL, garantiscono la segretezza ma non l'identità
del mittente?
E' vero. I protocolli di sicurezza come SSL e SET, ormai molto
diffusi, non garantiscono l'identità del mittente, perché sono semplici
sistemi di crittografia. Invece danno qualche garanzia sul proprietario del sito
verso il quale avviene la transazione, perché presuppongono una certificazione
(non legale) del server (vedi la precisazione- FAQ
n. 27).
22. L'ultimo comma
dell'articolo 16 del DPR 513/97 prescrive la procedura di validazione temporale
del documento presentato su supporto informatico o per via telematica ad una
pubblica amministrazione. Tale adempimento è necessario anche quando al
documento è apposta una firma digitale autenticata da un notaio secondo la
procedura prevista dal secondo comma dello stesso articolo, visto che
normalmente l'autentica riporta anche la data di sottoscrizione?
Sono due aspetti diversi: l'autentica notarile riguarda il
momento in cui la firma è stata apposta, mentre la marca temporale attesta il
momento in cui è stata generata (in linea di principio, all'atto della
spedizione del documento).
21. In attesa del
decreto del Ministero delle finanze sulle modalità di assolvimento dell'imposta
di bollo sul documento informatico è possibile adottare la "pagina"
quale unità di computo per formati grafici di stampa come il TIFF e il PDF?
Sembra che l'emanazione del decreto sia imminente: non c'è
che da aspettare ancora un po'.
20. Si parla
sempre dell'utilizzo della firma digitale nei messaggi di posta elettronica.
Esiste la possibilità di firmare digitalmente i questionari presenti nelle
pagine web?
In teoria la firma digitale può essere associata a qualsiasi
sequenza di bit, e quindi anche alle informazioni contenute in modulo,
naturalmente a condizione che il destinatario sia attrezzato per verificarla. Ma
nel caso specifico sorge un problema: la sequenza di bit che viene trasmessa non
è la stessa della pagina Web che viene compilata dal mittente, quindi la
verifica darebbe sempre risultato negativo. Occorrono moduli appositamente
predisposti e procedure particolari.
19. Esiste una
normativa che determina "l'obbligo" di accettare la firma digitale?
Oggi, se un ente di controllo deve inviare una comunicazione
"ufficiale", lo fa tramite posta raccomandata con Avviso di
ricevimento. Può, lo stesso ente, stabilire che a partire da una certa data
queste comunicazioni verranno trasmesse tramite posta elettronica con firma
digitale e quindi obbligare tutti a utilizzare la posta elettronica?
Questa è una domanda molto frequente. La risposta è nell'articolo 21 decreto del Presidente della
Repubblica 20 ottobre 1998, n. 428, "Regolamento recante norme per
la gestione del protocollo informatico da parte delle amministrazioni
pubbliche", che prevede il 31 dicembre 2004 come data finale per l'adozione
generalizzata del protocollo informatico e della gestione totalmente
automatizzata dei documenti, naturalmente con la firma digitale. Nulla vieta che
singole amministrazioni siano pronte in tempi più brevi, dopo aver attuato
tutte le disposizioni del regolamento citato, nonché della Direttiva del Presidente del Consiglio dei
Ministri 28 ottobre 1999 "Gestione informatica dei flussi
documentali nelle pubbliche amministrazioni".
18. In due interessanti articoli di InterLex La rivoluzione informatica va
avanti: l'Italia è pronta?" e
"La carta
elettronica: una legge-quadro",
si afferma che attualmente è impossibile realizzare una carta d'identità
elettronica che possa essere anche dispositivo di firma, per motivi tecnici,
dovuti alla attuale inesistenza di carte "multiprocessore".
Però si ha notizia di sperimentazioni a livello locale di carte multiservizi
nelle quali potrebbero essere memorizzate un gran numero di informazioni e in
più sarebbero in grado di funzionare anche come dispositivo di firma digitale.
Come stanno realmente le cose?
Il problema è complesso. Di fatto,
e in particolare nel primo periodo, dispositivi di firma saranno rilasciati dai
certificatori - iscritti all'elenco dell'AIPA - anche se chiunque teoricamente
può acquistare sul mercato una cryptocard, generare la proprie chiavi e
poi farsi certificare la chiave pubblica.
Ma non ci risulta, fino a questo momento, che le carte-servizi (escluse quindi
le cryptocard) oggi in circolazione contengano anche il chip
crittografico indispensabile per generare firme digitali ai sensi della legge.
Quindi queste carte, reclamizzate come adatte per la firma digitale,
probabilmente possono servire per una firma "libera", che non può
essere valida e rilevante a tutti gli effetti di legge, ma che può essere
riconosciuta dall'ente che emette la carta per riconoscere l'utente dei servizi
propri della carta stessa.
17. La comunicazione fra un utente che inoltra la richiesta di
certificazione e il certificatore in che modo deve essere autenticata?
Se intendiamo
"autenticazione" in senso stretto, in nessun modo, perché l'utente
deve essere "identificato con certezza" e quindi recarsi di persona
dal certificatore o da un suo incaricato. Se ci riferiamo alle comunicazioni
successive alla fase della "identificazione certa del richiedente" ,
esse devono avvenire attraverso il
"canale sicuro" previsto dall'articolo
25 delle Regole tecniche, così come le comunicazioni tra l'elenco
pubblico e il certificatore. La normativa prevede solo l'istituzione del canale
da parte del certificatore, lasciandolo libero di scegliere il sistema che
ritiene più opportuno. Naturalmente il livello di sicurezza del canale viene
valutato dall'AIPA nell'istruttoria per iscrizione dell'aspirante certificatore.
16. Vorrei conoscere una vostra previsione, anche se di massima, circa la
concreta operatività della firma digitale. Quando l'AIPA iscriverà i primi
certificatori nel registro e quando il Ministero delle Finanze emanerà i
provvedimenti di cui all'articolo 4 punto 2 del DPR 513/97?
Ci sono già i primi certificatori
iscritti (si veda il sito dell'AIPA),
altri dovrebbero arrivare nelle prossime settimane. Quindi il documento
informatico è ormai una realtà vicina. Per quanto riguarda l'attuazione del
secondo comma dell'articolo 4, la domanda andrebbe rivolta al Ministero delle
finanze.
15. Una Pubblica Amministrazione può divenire certificatore ed essere
iscritta nell'elenco pubblico tenuto dall'AIPA?
E' espressamente previsto dalla
normativa, in particolare dall'articolo
17 del DPR 513/97 e dall'articolo
62 delle Regole tecniche. L'articolo 17 autorizza le PA ad esercitare
tale attività soltanto con riferimento al proprio ordinamento e per le chiavi
pubbliche di competenza, escludendo in tal modo la certificazione delle chiavi
di soggetti estranei alle stesse PA (con la conseguente doverosa limitazione di
responsabilità: un conto è certificare soltanto i propri dipendenti ed
interlocutori, ben altro è certificare chiunque e assumere il corrispondente
rischio d'impresa, inammissibile per una PA).
14. I documenti firmati digitalmente da una PA che si avvale di un
certificatore saranno riconosciuti da un'altra PA che si avvale di un altro
certificatore? In che modo è risolto il problema del mutuo riconoscimento e
della certificazione incrociata (cross-certification)?
Il problema non è delle PA ma dei
certificatori e, all'interno della Rete unitaria della pubblica amministrazione,
del centro tecnico di assistenza. Di fatto, l'adozione dei protocolli comuni
previsti dalle Regole tecniche facilita le cose. Resta solo un problema tecnico,
sul quale l'AIPA sta lavorando, per le cosiddette "estensioni" dei
certificati, cioè le annotazioni aggiuntive (poteri di rappresentanza, ecc.)
previste dalla normativa. Non è un problema da poco, ma tutto lascia pensare
che prima o poi le amministrazioni facenti capo alla RUPA dovranno per
necessità di cose utilizzare i servizi del medesimo certificatore o di un
gruppo di certificatori crossed.
13. Nel caso in cui una PA si avvale dei "servizi offerti da
certificatori inclusi nell'elenco pubblico" su chi ricadono le
responsabilità (civili, penali) di eventuali errori (tecnici o altro)?
Richiedere un servizio in outsourcing
non significa delega di responsabilità: queste sono e rimangono delle PA che
decidono di operare come certificatori. Se invece si sfrutta un servizio di
certificazione offerto da terzi, le responsabilità rimangono tutte del
certificatore.
12. La persona fisica responsabile dell'atto di verifica e registrazione
dei dati del titolare della firma digitale, deve avere qualche carica
particolare (per esempio, un notaio), o i dati possono essere accettati da
qualsiasi impiegato a uno sportello?
Su questo punto non ci sono
disposizioni specifiche. Le procedure devono essere indicate dal certificatore
nel manuale operativo, che l'AIPA deve approvare prima di iscrivere il
richiedente nell'albo. Il punto fermo è dato dalla necessità di riconoscere con
certezza l'utente che richiede il servizio di certificazione: una certezza
della quale il certificatore rimane unico e totale responsabile nei confronti di
chiunque (in qualsiasi modo si sia riconosciuto l'utente).
11. Anche lasciando da parte gli aspetti tecnici, si può utilizzare la
coppia di chiavi certificate per la firma digitale anche per la cifratura dei
documenti? Il DPCM 8 febbraio 1999 non vieta l'uso di una chiave per scopi
diversi da quelli certificati?
Il quarto comma dell'articolo 4
distingue tre tipi di chiavi: per la sottoscrizione, per la certificazione e per
la marca temporale, mentre il comma 5 dispone che non è consentito usare una
chiave per una funzione diversa da quella prevista.Volutamente né il DPR 513
né il Regolamento si occupano di crittografia per la cifratura di documenti,
poiché si tratta di materia estranea alla disciplina del documento informatico.
L'utilizzo di una chiave per scopi diversi da quelli previsti ha una importante
rilevanza formale perché incide sulla validità del documento, ma non
costituisce illecito (peraltro non sanzionato). La cifratura di documenti con
chiavi certificate è sconsigliabile non per motivi giuridici, bensì per motivi
tecnici connessi ai tentativi di rottura delle chiavi.
10. La firma digitale permette l'archiviazione e la conservazione su
supporti magnetici dei documenti fiscali di un'azienda come alternativa alla
conservazione dei documenti cartacei, oppure le fatture e gli altri documenti
fiscali cartacei non possono in alcun modo essere trasferiti su supporti
magnetici, valendo la norma che ne impone la conservazione per determinati
periodi di tempo? In pratica, è possibile disfarsi dei documenti fiscali
cartacei previa "copia" su supporto magnetico con firma digitale?
Sì, è possibile eliminare del
tutto la carta, secondo le indicazioni dell'articolo 15 del DPR 513/97, dell'articolo 61 del DPCM 8 febbraio 1999
e, di conseguenza, delle regole tecniche sui supporti ottici della deliberazione AIPA 24/98.
A questo proposito, per quanto concerne la documentazione fiscale, è stata già
ultimata la preparazione di un apposito provvedimento del Ministero delle
finanze, a norma dell'articolo 4 del
DPR 513/97.
9. Come si applicano
le disposizioni dell'art. 15 del DPR 513/97, con riferimento alla formazione, ad
esempio, del libro dei verbali di assemblea di una società di capitali? Il
libro dovrebbe essere composto da più documenti informatici (singoli verbali)
sottoscritti con firma digitale del presidente e del segretario dell'assemblea.
Come si fa a garantire che tale insieme di documenti costituisce il libro, in
assenza di un sistema di "validazione" preventiva del supporto sulla
falsariga della bollatura e numerazione delle pagine prevista - per i libri su
supporto cartaceo dagli artt. 2421 e 2215 c.c.?
La domanda è interessante, perché
riguarda il concetto stesso di "supporto". Nella normativa sul
documento informatico non si parla di vidimazione dei supporti, per il semplice
motivo che il supporto "non esiste" o, per essere più precisi, è
indifferente ai fini della certezza della scrittura. Il registro cartaceo deve
essere vidimato preventivamente e riempito secondo determinate regole per
garantire l'inalterabilità del contenuto, effetto che nel documento informatico
si ottiene semplicemente con la firma digitale.
In pratica il libro cartaceo viene sostituito da un supporto ottico formato
secondo le regole tecniche contenute nella deliberazione
AIPA 24/98. Il rispetto di queste norme è condizione essenziale per la
validità del "libro digitale".
Già nel DPR 513/97 si parla della tenuta di libri, repertori, etc., ma anche su
questo punto sarà bene attendere le norme fiscali sopra richiamate.
8. La recente
direttiva europea sulla firma digitale, sembra meno "stringente" della
normativa italiana: le nostre norme dovranno essere cambiate?
Il discorso è complesso e lo
affronteremo in altra sede. In linea di massima, tra la direttiva e le norme
italiane non ci sono contrasti sostanziali, se si considera che il DPR 318/97
regola solo la parte che nel testo comunitario è relativa ai "certificati
qualificati". Resta da vedere se l'assenza di norme sui certificati non
qualificati soddisfa le previsioni della direttiva, o se saranno necessarie
regole ad hoc.
Comunque è sempre utile ricordare che la normativa italiana non è finalizzata
al commercio elettronico (nel quale la firma digitale può costituire solo un
momento di maggior garanzia delle parti), ma alla razionalizzazione ed alla
semplificazione dei procedimenti amministrativi: si tratta in buona sostanza di
un fenomeno che nella direttiva europea viene visto come "interno", e
la direttiva stessa prevede di fatto la non applicabilità delle norme
comunitarie a tale contesto.
7. L'articolo 11 del DPR 513/97 dice che "I contratti
stipulati con strumenti informatici o per via telematica mediante l'uso della
firma digitale secondo le disposizioni del presente regolamento sono validi e
rilevanti a tutti gli effetti di legge". Dunque le transazioni del
commercio via Internet, che oggi sono stipulate senza la firma digitale, non
sono valide a tutti gli effetti?
No, sono perfettamente valide nei
limiti e per gli effetti propri della natura del contratto. Il requisito legale
della forma scritta, che viene soddisfatto anche con il documento informatico
provvisto della firma digitale a norma del DPR 513/97, non è necessario per le
normali attività di compravendita di beni o servizi. Quindi la firma digitale
non è necessaria per fare acquisti in rete. In pratica, la firma digitale è
necessaria per dare piena validità agli atti "digitali" che
richiedono la forma scritta. Dove la forma dell'atto è libera, la firma
digitale è superflua.
6. Per archiviazione su supporto
informatico si intende la scansione?
La scansione serve solo se si deve
archiviare su supporto informatico un documento originariamente formato su
carta, altrimenti si può conservare il documento informatico così com'è. Nel
primo caso, se il documento archiviato deve avere finalità amministrative o
probatorie, vanno seguite le "Regole tecniche per l'uso di supporti
ottici" definite dall'Autorità per l'informatica nella pubblica
amministrazione con la deliberazione 24/98
del 30 luglio 1998.
5. La copia su supporto informatico di un documento cartaceo
(articolo 6, comma 3, del Regolamento) deve essere generata acquisendo
l'immagine (tramite scanner) del documento cartaceo, oppure è sufficiente
riprodurne il contenuto? E che cosa significa e con quali modalità deve essere
eseguita la "asseverazione" di cui alla medesima norma?
La norma non precisa se la copia
debba essere "fotografica" o debba riprodurre solo il contenuto del
documento, quindi ambedue le forme sono ammesse. L'asseverazione consiste nella
dichiarazione, da parte del pubblico ufficiale, della conformità all'originale,
con la firma digitale dello stesso pubblico ufficiale generata sull'insieme
composto dal documento più la dichiarazione.
4. Hanno valore legale i
certificati PGP e simili?
Questa è una domanda molto
frequente che richiederebbe una trattazione estesa (che faremo in altra sede)
anche alla luce della recente direttiva
europea.
In estrema sintesi: se per "valore legale" s'intende l'opponibilità a
terzi, in sede civile, di un documento firmato con una procedura che non
risponde ai requisiti del documento informatico ex DPR 318/97, la
risposta è affermativa, tenendo presente che il documento stesso costituisce un
mezzo di prova come un altro. Invece, se si intendono la "validità e
rilevanza ad ogni effetto di legge", la risposta è "no": il requisito legale della forma scritta è soddisfatto
solo da una firma digitale generata a partire da una coppia di chiavi
certificata da un soggetto iscritto nell'elenco pubblico dell'AIPA, nel rispetto
di tutte le norme. Questo vale anche per i documenti scambiati con la pubblica
amministrazione e in ogni caso in cui sia necessaria la certezza legale
dell'identità del firmatario.
Altro discorso è quello della "affidabilità" della firma digitale
"libera", che dipende dall'affidabilità del certificatore e delle sue
procedure di identificazione del titolare. La valutazione, in questo caso, è
lasciata alle parti coinvolte.
3. Ci sono divieti in Italia
sull'uso della crittografia? E le chiavi certificate per la firma digitale
possono essere usate per cifrare documenti?
No, nessuna norma vieta di usare la
crittografia per comunicare informazioni segrete, come nulla vieta di usare per
la cifratura la stessa coppia di chiavi certificate per la firma digitale. Si
legge infatti nell'articolo 1 del DPR
513/97:
Ai fini del presente regolamento s'intende... d) per chiavi asimmetriche, la
coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra
loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di
documenti informatici.
Si deve comunque ricordare che la cifratura di un documento si fa con la
chiave pubblica del destinatario, mentre la firma si genera con la chiave
privata del mittente: non ha senso cifrare un documento con la propria chiave
privata, perché chiunque può decifrarlo con la corrispondente chiave pubblica.
2. Da che cosa deriva la "non ripudiabilità" della firma
digitale?
Dobbiamo distinguere tra "non
ripudiabilità" in senso tecnico e "disconoscimento" ai fini
processuali (articoli 2702 e 2712 del codice civile e 214 e seguenti del codice
di procedura civile).
In senso tecnico la non ripudiabilità deriva dal fatto che, essendo il titolare
il solo soggetto che dispone della chiave privata e del codice che attiva la
procedura, nessun altro può avere apposto quella firma. Naturalmente la
sicurezza dell'attribuzione della chiave pubblica con la quale viene verificata
la firma è in relazione all'affidabilità del soggetto che ha certificato la
coppia di chiavi.
Dal punto di vista processuale, il disconoscimento della firma digitale o del
contenuto della riproduzione digitale può risolversi o nella prova che la firma
è stata apposta da un soggetto che si è impossessato, all'insaputa del
titolare, del dispositivo e del codice di attivazione, o nella prova che il
certificatore ha agito con negligenza o in malafede.
1. Come dispositivo di firma si può
usare un dischetto?
Assolutamente no! Le definizioni
dell'articolo 1 delle Regole tecniche
sono chiare:
Ai fini delle presenti regole tecniche... si intende ...per "dispositivo
di firma", un apparato elettronico programmabile solo all'origine,
facente parte del sistema di validazione, in grado almeno di conservare in modo
protetto le chiavi private e generare al suo interno firme digitali.
Un dischetto non è un "apparato elettronico programmabile solo
all'origine", perché la programmabilità è una caratteristica dei si
sistemi di elaborazione (di fatto, dei microprocessori). Anche per la
generazione delle firme occorre un'unità di elaborazione, come per le
elaborazioni previste dai commi 3 e 4 dell'articolo 10:
3. La generazione della firma deve avvenire all'interno di un dispositivo
di firma così che non sia possibile l'intercettazione del valore della chiave
privata utilizzata.
4. Prima di procedere alla generazione della firma, il dispositivo di firma deve
procedere all'identificazione del titolare.
Dunque occorre un dispositivo "intelligente" e, per di più.
"programmabile solo all'origine". Quest'ultima indicazione significa
che occorre un processore "dedicato", cioè un cryptochip
espressamente destinato alle procedure crittografiche.
Il cryptochip può costituire il cuore di una carta a microprocessore (smart
card), che con ogni probabilità sarà il dispositivo di firma più diffuso.
Ma il processore crittografico può essere inserito anche in altri dispositivi,
come schede di computer o cryptobox. Questi ultimi sono dispositivi,
collegati a un computer, in genere usati per l'identificazione degli operatori
ai fini della sicurezza.
|