Non si contano più i messaggi che giungono in questi giorni, dopo la pubblicazione dello schema di regolamento sulle firme elettroniche varato dal Consiglio dei ministri il 31 gennaio scorso. La domanda è sempre la stessa: che differenza c'è tra la "firma digitale" e le varie "firme elettroniche" previste dalla nuova normativa?

La settimana scorsa in Troppe "firme" nell'attuazione della direttiva abbiamo dato una prima, parziale lettura del testo e torneremo sull'argomento appena saranno note le nuove "regole tecniche" che devono completare il quadro normativo. Ora cerchiamo di chiarire i termini generali di una situazione confusa, nella quale rischiano di perdersi i principi innovativi introdotti per la prima volta in Italia con il DPR 513/97, poi trasfuso nel testo unico sulla documentazione amministrativa, ora modificato in diversi punti per l'attuazione delle disposizioni comunitarie (direttiva 1999/93/CE).

Si pone, prima di tutto, una questione di definizioni: che relazione c'è tra l'aggettivo "digitale" attribuito originariamente alla firma "all'italiana" e quello "elettronico" che il legislatore europeo ha imposto a una fattispecie che appare sostanzialmente identica?
In linea di massima possiamo dire che la scelta comunitaria di adottare la dizione di "firme elettroniche" deriva dalla visione comune del "digitale" come una specie particolare di "elettronico", con la conseguenza che quest'ultimo aggettivo dovrebbe comprendere una più vasta gamma di possibili soluzioni, includendo quindi anche improbabili firme "analogiche". Una decisione senza senso, come ci spiega con divertente ferocia Corrado Giustozzi in Firme digitali e... analogie elettroniche.

Comunque, sul piano tecnico e allo stato dell'arte, le firme elettroniche previste dalla direttiva sono firme digitali in tutto e per tutto: la differenza è negli effetti sul piano giuridico e deriva dai diversi livelli di "certezza" assicurati dalla qualità dei certificatori e delle procedure.
Per capire in che cosa consistono le differenze dobbiamo dunque parlare di "firme digitali sicure" e "firme digitali meno sicure": queste ultime corrispondono in qualche modo alle "firme elettroniche" della normativa. Purtroppo il legislatore italiano, con le definizioni di "firma elettronica avanzata" e "firma elettronica qualificata" ha creato una grande confusione, perché queste due espressioni si sovrappongono alla "firma digitale [sicura]" senza chiarire i rapporti che intercorrono fra le tre definizioni. Se in qualche modo avesse conservato la distinzione, di uso comune da anni, tra "firma pesante" e "firma leggera", tutto sarebbe più chiaro.

Fra l'altro, le definizioni contenute nell'art. 2 della direttiva, sono soltanto due e non è difficile farle coincidere con i concetti di "firma leggera", cioè dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione e "firma pesante", cioè una firma elettronica che soddisfi i seguenti requisiti: a) essere connessa in maniera unica al firmatario; b) essere idonea ad identificare il firmatario; c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati.

Tra parentesi, è il caso di ricordare ancora una volta che al posto di "autenticazione" si deve leggere "validazione" e che il requisito della lettera d) è un'idiozia sul piano tecnico, perché la firma digitale consente solo di verificare se il documento è stato alterato, non di identificare eventuali modifiche.

Ritorniamo al punto. Il livello di sicurezza di una firma digitale deriva da una lunga catena di certezze "materiali", che possono essere riassunte in due punti:
a) la certezza che il documento sia stato effettivamente sottoscritto da chi appare come firmatario, certezza che è abbastanza forte se la firma è generata all'interno un dispositivo sicuro, che si presume nell'esclusivo possesso del titolare, il solo a conoscenza del codice segreto che attiva la procedura di firma;
b) la certezza che il certificato delle chiavi di sottoscrizione è stato emesso da un certificatore conosciuto e assolutamente affidabile, in qualche modo a sua volta "certificato", e che opera secondo procedure rigorose e controllabili.

Queste certezze ricorrono nella firma digitale "pesante", cioè la firma digitale che risponde ai requisiti dettati dalla nostra normativa sul documento informatico. Infatti è prescritto l'uso del dispositivo, all'interno del quale viene generata la firma e dal quale non può essere portata all'esterno la chiave privata, certificata da un soggetto iscritto in un elenco pubblico dopo che ne è stata verificata l'affidabilità. La qualifica del certificatore e la validità della sua chiave di certificazione sono verificabili appunto attraverso l'elenco pubblico.
Secondo il legislatore italiano, e in accordo con la normativa europea, solo se ricorrono questi requisiti la firma digitale ha la stessa efficacia di quella autografa e può costituire documenti "validi e rilevanti a tutti gli effetti di legge".

Se, invece, non sono rispettati tutti i requisiti della firma pesante, il livello di sicurezza non è sufficiente per attribuire il documento a chi ne appare come firmatario con una certezza abbastanza forte da poterlo considerare come sottoscritto con una firma autografa.
Infatti la mancanza del dispositivo sicuro non dà la garanzia che la firma non sia stata generata da un'altro soggetto, venuto casualmente o fraudolentemente a conoscenza della chiave privata e del PIN dell'apparente firmatario. La mancanza di un adeguato controllo sul certificatore rende invece incerta l'attribuzione del certificato.
Per questi motivi la firma "leggera" non può essere equiparata alla firma autografa e quindi non dà luogo a documenti validi e rilevanti a tutti gli effetti di legge.

Riassumendo: la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi e rilevanti a tutti gli effetti di legge, come una firma autografa.
Dunque in tutti gli atti in cui le leggi italiane richiedono la "forma scritta" per la validità di un atto (per esempio un contratto di assicurazione) è necessaria la firma pesante.
Ma allora a che serve la firma leggera ("firma elettronica", secondo la cervellotica definizione della normativa)? Serve in ambiti definiti in cui i diversi soggetti coinvolti siano d'accordo nel riconoscere a tale firma una sufficiente attendibilità per l'identificazione del firmatario di un documento.

Per fare un esempio: se una banca certifica una coppia di chiavi a un suo cliente (o accetta il certificato emesso da un certificatore non accreditato, ma che ritiene affidabile), dovrà accettare come firmati da quel cliente i documenti la cui firma digitale (leggera) sia stata generata a partire dalla coppia di chiavi certificata. Lo stesso può accadere nell'ambito di una società, di un ente, di qualsiasi organizzazione che decida di fidarsi dei certificati di sottoscrizione emessi da un certificatore non accreditato e/o di firme non generate attraverso un dispositivo sicuro.

Naturalmente in una causa la firma pesante e la firma leggera non possono avere lo stesso valore probatorio. Ma su questo punto l'attuale normativa è chiaramente sbagliata e bisogna aspettare l'annunciata revisione delle disposizioni del decreto legislativo 10/02 (vedi Lo schema governativo stravolge il processo civile e Con le nuove norme ci sarà più chiarezza).

C'è un'altra domanda ricorrente: che differenza c'è tra i certificati "elettronici" contemplati dall'attuale normativa e i "certificati digitali" usati in diverse applicazioni definite come "sicure"?
Ancora una volta siamo di fronte alla confusione definitoria. Quelli che oggi sono definiti dalle disposizioni comunitarie come "certificati elettronici" sono certificati (digitali) relativi a chiavi di sottoscrizione (usabili quindi per firmare documenti) e attestano l'attribuzione di una coppia di chiavi a un determinato soggetto.
Invece quelli comunemente noti come "certificati digitali" servono per identificare "entità" che operano a distanza, in sostanza per dare la certezza che una comunicazione avviene tra determinati soggetti. Nulla in comune con le firme digitali (o elettroniche che dir si voglia).

Al momento non ci sono disposizioni sulle caratteristiche di affidabilità di questi certificati, ma il problema si porrà abbastanza presto, forse con l'avvio della "e-mail sicura" per l'invio di atti di particolare rilevanza giuridica. C'è solo da sperare che il legislatore non approfitti dell'occasione per aumentare la confusione.