Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Verso una direttiva europea sulla firma digitale
di Natasha Montanari* - 30.04.98

Bruxelles. Tra meno di un mese sarà resa pubblica una proposta di direttiva comunitaria sulla firma digitale, che porterà gradualmente alla compatibilità tra le normative di tutti gli stati membri.
Come sappiamo, l'Italia è all'avanguardia in questo settore, avendo sancito la validità legale del documento elettronico, sia per il settore pubblico, sia per quello privato. Anche altri paesi si sono dati norme su questa materia, mentre alcuni sono in procinto di adottarle, ma per ora nessuno ha creato un quadro sistematico come quello disegnato dal DPR 10 novembre 1997, n.513, in attuazione della della legge 15 marzo 1997 n.59.

In Germania è stata approvata, nel giugno 1997, una legge che disciplina la firma digitale. Ma a differenza di quella italiana, la normativa tedesca non disciplina direttamente il problema della validità giuridica della firma digitale. Essa si limita a di stabilire i requisiti generali della sicurezza della firma digitale.
In Francia non esiste una disciplina organica: alcune disposizioni normative consentono l’utilizzo, limitato a specifiche finalità, dei documenti informatici.
In Belgio e in Danimarca sono in corso di elaborazione alcuni progetti di legge, mentre in Inghilterra il dipartimento del Commercio e dell’industria sta elaborando un progetto di legge sulla Trusted Third Parties (TTP), un servizio che offre garanzie sulla qualità dei dati che transitano in rete.

Di fronte alle iniziative dei singoli stati membri, nel dicembre 1997 il Consiglio della UE ha invitato la Commissione a elaborare una proposta di direttiva sulla firma elettronica, da sottoporre al vaglio del Parlamento e dello stesso Consiglio, in quanto normative divergenti nei vari Stati membri potrebbero creare una barriera significativa allo sviluppo del commercio elettronico e del mercato interno.
La Commissione ha accolto positivamente la richiesta del Consiglio, elaborando nei primi giorni di marzo una proposta di direttiva che attribuisce valore legale alla firma digitale. La proposta distingue tra firma elettronica e firma digitale. I due termini infatti non sono sinonimi: la "firma elettronica" designa qualunque mezzo elettronico di identificazione (ad ex. firma biometrica, firma apposta con penna digitale) mentre la "firma digitale" indica un particolare sistema che si avvale della crittografia a chiavi asimmetriche: si tratta dunque solo di una delle tecniche utilizzabili. Essa può assolvere anche altre funzioni. Infatti, oltre che per l'autenticazione dei documenti, può servire per certificare l'identificazione di un sito Web, o addirittura per certificare che una data società esiste e svolge attività commerciali.

L’articolo 2 della proposta di direttiva stabilisce che per firma digitale si intende "una firma elettronica che utilizza la tecnica di crittografia a chiavi asimmetriche in modo che la persona che possiede la chiave pubblica del sottoscrittore possa determinare se: a) la modificazione sia avvenuta utilizzando la chiave privata del sottoscrittore corrispondente alla chiave pubblica; b) se i dati modificati siano stati a sua volta alterati". Essa ha dunque lo scopo di verificare la provenienza e l’integrità del documento informatico.
In realtà, a differenza della normativa italiana (art. 2 DPR .513/97), la proposta europea non attribuisce alcun valore legale al documento informatico in sé, limitandosi solamente a stabilire che l’insieme di dati a cui è apposta una firma elettronica, rilasciata da una "qualificata" autorità di certificazione, soddisfano i requisiti di legge e possono essere utilizzati a fini probatori nell’ambito di un processo. Infatti, qualora sia apposta la firma elettronica, si presume che:

1. i dati non siano stati alterati;
2. la firma elettronica è la firma della persona a cui si riferisce;
3. la firma elettronica è stata apposta da quella persona con l’intenzione di sottoscrivere quei dati.

E' stato obiettato che la proposta di direttiva non è tecnologicamente neutra, in quanto fa riferimento alla firma digitale, cioè a una particolare tecnica di identificazione a chiavi asimmetriche. In realtà in tutto il testo è menzionata sempre la firma elettronica e mai quella digitale, elencata solo tra le definizioni. Dunque la Commissione ha voluto solamente riconoscere che la tecnica utilizzata per la firma digitale può essere una delle tecniche valide a fini legali, senza comunque escluderne altre.

Ciascuno stato membro dovrà sottoporre il sistema di fornitura del servizio di certificazione ad un general accreditation scheme, una procedura con la quale sono stabiliti gli obblighi ed i diritti delle autorità di certificazione. Il sistema di accreditamento è volontario: l’autorità di certificazione accreditata viene iscritta in un apposito albo e i certificati da essa rilasciati sono ritenuti "qualificati", senza escludere comunque la validità giuridica dei certificati forniti da autorità che non hanno richiesto l’accreditamento. In pratica si tratta di una sorta di marchio comunitario che garantisce che il certificato ha tutte le peculiarità previste nella direttiva.

Questa procedura deve essere concepita in modo tale da facilitare il riconoscimento di certificati emanati da autorità di certificazione di stati non appartenenti all’Unione europea, alle seguenti condizioni:

1. accreditamento da parte di uno degli Stati membri; oppure
2. riconoscimento del certificato del fornitore non comunitario da parte di un’autorità di certificazione accreditata e garanzia che tale certificato abbia la stessa validità del proprio; oppure
3. riconoscimento del certificato sulla base di un accordo bilaterale o multilaterale.

Affinché l’intero sistema funzioni, è necessario che le parti abbiano fiducia nelle autorità di certificazione. Alla procedura di certificazione viene quindi affidata la validità dell’intero processo. Per questa ragione la proposta della Commissione richiede che questi organi siano tra l'altro composti da persone con una particolare competenza tecnica, in grado di prevenire ogni eventuale contraffazione e nello stesso tempo possano garantire la riservatezza della chiave privata.
L’autorità di certificazione attesta che il certificato è regolare, sia per la data di emissione, sia per le informazioni in esso contenute. Proprio per questo motivo il fornitore del servizio deve ritenersi giuridicamente vincolato al terzo che fa affidamento su tutto ciò che è attestato nel certificato. In caso di inadempienza, il fornitore sarà responsabile per i danni economici, ma potrà essere esonerato da tale responsabilità qualora dimostri che abbia preso tutte le misure ragionevolmente necessarie per evitare errori nella certificazione (inversione dell'onere dalla prova). La Commissione prevede anche la possibilità di limitare tale responsabilità ad un certo ammontare, purché indicato nel certificato.

A dire il vero però, la normativa comunitaria sembra poco incoraggiante per gli operatori commerciali. Se è vero che la procedura di certificazione è il cuore del sistema, a giudizio di alcuni esperti le garanzie offerte sembrano poche. Infatti in primo luogo si fa riferimento ai danni economici, senza specificare se questa nozione riguardi solo il danno emergente o anche il lucro cessante; in secondo luogo l’esonero di responsabilità è sottoposto alla semplice dimostrazione che sono state prese "tutte le misure ragionevolmente necessarie", il che attenua l'inversione dell'onere della prova, almeno come è concepito nell'ordinamento italiano. Ma sotto altri punti di vista questa previsione viene ancora considerata eccessiva.

La proposta di direttiva avrebbe dovuto essere presentata il 23 aprile alla conferenza di Copenaghen, dove si sono riuniti i rappresentanti degli stati membri, delle associazioni di consumatori e del mondo industriale. In realtà il testo non è stato reso pubblico a causa delle recenti modificazioni che sono state apportate alla normativa. Le modifiche non sono solo formali ma sostanziali. Qui di seguito elenchiamo alcune di quelle più significative:

1. la firma digitale non è più menzionata, si parla solo di firma elettronica eliminando sul nascere qualsiasi critica su un’eventuale mancanza di neutralità tecnica;
2. viene attribuita validità probatoria esclusivamente alla firma elettronica senza fare alcun riferimento esplicito al documento informatico;
3. scompare il punto in cui si parla di responsabilità economica per danni dell’autorità di certificazione;

4. scompare il punto sulla possibilità di porre delle limitazioni economiche di responsabilità, ma viene aggiunto un paragrafo in cui si stabilisce che l’autorità di certificazione risponde esclusivamente del valore economico della transazione previsto nel certificato.

Questa proposta modificata di direttiva sarà adottata dalla Commissione il prossimo 13 maggio, per poi passare al vaglio del Consiglio il 22 maggio.

* Consulente legale, diritto della Comunità europea, Geater & Co - Bruxelles