La "legge di semplificazione 2001" (229/03), giunta in porto con incredibile ritardo, presenta alcune disposizioni che possono avere un impatto non indifferente sullo sviluppo della società dell'informazione. Ci sono, fra l'altro, una generica previsione di adeguamento delle procedure alle nuove tecnologie informatiche in tutti i procedimenti amministrativi (art. 1, c. 4, lett. f) e l'istituzione del registro informatico degli adempimenti amministrativi delle imprese (art. 16, con l'obbligo  della trasmissione informatica dei documenti da parte delle pubbliche amministrazioni), mentre l'art. 18 prevede la consultazione gratuita dei cittadini, per via telematica, sulle iniziative del Governo.

Questo, tuttavia, "può pubblicare su sito telematico le notizie relative ad iniziative normative del Governo, nonché i disegni di legge di particolare rilevanza, assicurando forme di partecipazione del cittadino", ma non c'è la previsione della pubblicazione sistematica di tutti i provvedimenti approvati, come vorrebbe l'elementare principio della trasparenza dell'azione di governo.
L'obbligo di mettere a disposizione degli interessati i dati identificativi delle pendenze e di pubblicare sull'internet tutte le decisioni è invece previsto dall'art. 19 per le i procedimenti davanti ai giudici amministrativi e contabili. E' un primo passo: sarà un grande giorno quello in cui sarà assicurato l'accesso a tutte le decisioni della magistratura ordinaria.

Qui ci occupiamo dell'art. 10, dedicato al "Riassetto in materia di società dell'informazione". Esso prevede il riordino dell'intera materia che riguarda il documento informatico, compresa "la sicurezza informatica dei dati e dei sistemi" e "le modalità di accesso informatico ai documenti e alle banche dati di competenza delle amministrazioni statali anche ad ordinamento autonomo". Alcune disposizioni vanno lette con attenzione, perché danno al legislatore la possibilità di correggere i non pochi punti critici della normativa attuale.
Partiamo dal comma 1, che delega il Governo a emanare "uno o più decreti legislativi" per regolare una serie di aspetti elencati in dettaglio. Vediamone alcuni.

a) graduare la rilevanza giuridica e l'efficacia probatoria dei diversi tipi di firma elettronica in relazione al tipo di utilizzo e al grado di sicurezza della firma;
Qui si deve aprire un discorso non semplice. Se da una parte è chiara e corretta la distinzione tra "la rilevanza giuridica e l'efficacia probatoria" (che sfugge a diversi commentatori), la "graduazione" degli effetti giuridici in funzione del tipo di utilizzo e del grado di sicurezza sembra fatta apposta per perpetuare l'attuale confusione sui "livelli" delle firme (vedi Sparita l'equivalenza tra firma autografa e digitale!).

All'origine del problema c'è l'insensata impostazione della direttiva 1999/93/CE. Essa infatti confonde in un unico calderone la firma digitale con pieni effetti legali (equivalente cioè alla firma autografa) con gli altri sistemi di riconoscimento e validazione informatica. L'equivoco è stato ripreso e aggravato nelle norme di recepimento,  forse a causa della sommaria traduzione del termine inglese signature. Esso infatti non significa solo "firma", ma anche "marchio", "sigillo" e persino "sigla musicale" (vedi Una catena di errori che parte da Bruxelles).
Partendo da questa elementare constatazione, è facile capire che il problema della "graduazione" è un falso problema: da una parte c'è la "firma", in senso stretto, che può essere una sola, dall'altra le varie forme di "sigilli digitali".

In sostanza è opportuno ritornare all'impostazione della normativa italiana del '97, che regolava solo la firma digitale come equivalente alla firma autografa e lasciava all'ordinamento esistente le regole per tutto il resto. Regole che, tranne qualche dettaglio, non erano in contrasto con le previsioni comunitarie. Messo in questi termini il compito del legislatore si presenta abbastanza facile, ma è necessario compiere uno sforzo di intelligenza per adeguare l'ordinamento agli obblighi comunitari, invece che applicarsi alla passiva e pedissequa copiatura degli articoli della direttiva.
Il punto successivo sembra quasi ovvio, ma nasconde tra le righe un altro problema delicato:

b) rivedere la disciplina vigente al fine precipuo di garantire la più ampia disponibilità di servizi resi per via telematica dalle pubbliche amministrazioni e dagli altri soggetti pubblici e di assicurare ai cittadini e alle imprese l'accesso a tali servizi secondo il criterio della massima semplificazione degli strumenti e delle procedure necessari e nel rispetto dei principi di eguaglianza, non discriminazione e della normativa sulla riservatezza dei dati personali;

Questa delega potrebbe servire a correggere una grave incongruenza del testo unico sulla documentazione amministrativa (DPR 445/00). L'accesso dei cittadini ai servizi delle pubbliche amministrazioni è previsto con procedure che offrono diversi livelli di sicurezza. Si legge infatti all'art. 38 del TU:
1. Tutte le istanze e le dichiarazioni da presentare alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi possono essere inviate anche per fax e via telematica.
2. Le istanze e le dichiarazioni inviate per via telematica sono valide:
a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura;
b) ovvero quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi.

E' nota a tutti la totale insicurezza del fax che, fra l'altro, non consente nemmeno l'identificazione a distanza attraverso la CIE o la CNS, imposta dal secondo comma per la validità dell'istanza o della dichiarazione. Ma comunque le carte che "identificano" il mittente (con quale certezza?) non rendono sicuro il documento, perché in assenza della firma digitale non si possono rilevare alterazioni, anche accidentali,  degli atti trasmessi. Se per la validità dell'atto cartaceo è necessaria la sottoscrizione autografa, e le eventuali alterazioni del contenuto sono facilmente rilevabili, nell'atto telematico non si può fare a meno della firma digitale, l'unica soluzione per garantire l'integrità del documento trasmesso per via telematica.
Senza contare che dovrebbe essere obbligatorio anche l'uso della posta elettronica certificata, per ottenere l'equivalente della ricevuta della "raccomandata" inviata attraverso la posta cartacea.

Nell'articolo 10 della legge 229 si incontra poi una disposizione che potrebbe comportare la scomparsa  di una norma del '97, una norma di grande rilevanza. Recita la lettera c) del primo comma dell'art. 1:
c) prevedere la possibilità di attribuire al dato e al documento informatico contenuto nei sistemi informativi pubblici i caratteri della primarietà e originalità, in sostituzione o in aggiunta a dati e documenti non informatici, nonché obbligare le amministrazioni che li detengono ad adottare misure organizzative e tecniche volte ad assicurare l'esattezza, la sicurezza e la qualità del relativo contenuto informativo;

Il DPR 513/97 stabiliva all'art. 18, ripreso dall'art. 9, comma 1, del TU
1. Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge.

Questa disposizione, che era stata considerata dai commentatori più attenti come un'innovazione di portata storica, potrebbe sparire. Ci troviamo di fronte a una delega che prevede solo  "la possibilità" di attribuire all'informazione pubblica in formato digitale "i caratteri della primarietà e originalità".
Un deludente passo indietro (che, fra l'altro, non è richiesto a livello europeo), che si può spiegare solo con l'ottusa resistenza della burocrazia a ogni forma di innovazione e alla sua insana passione per le carte, i fascicoli, i faldoni e la polvere degli archivi.

Ma in fondo è (forse) solo una questione di principio, o un intoppo "culturale" che, in questa fase, non cambia la sostanza dei problemi da risolvere. Problemi che riguardano le "disarmonie" con l'ordinamento introdotte dal DLgs 10/02, la scarsa chiarezza delle disposizioni, l'insicurezza delle applicazioni e, più in generale, la difficoltà dei cittadini e dei burocrati di capire la sostanza e i termini di quella che si può definire come una "innovazione inevitabile".
Con la delega contenuta nell'art. 10 della legge 229 si apre l'opportunità di risolvere almeno la parte che riguarda gli aspetti normativi. Ci sono diciotto mesi di tempo: troppi, considerando gli anni trascorsi dal DPR 513, durante i quali è stato possibile mettere a fuoco i veri aspetti critici della firma digitale.

Post scriptum
Ci era sfuggita una notizia ANSA del 4 luglio scorso, secondo la quale le carte di identità elettroniche rilasciate da alcuni comuni toscani saranno recapitate ai cittadini attraverso il servizio postale. Alla faccia della sicurezza! A un malintenzionato basterà poco per intercettare la missiva e poi farsi passare, a distanza, per un altro. Se la notizia corrisponde a verità, fa il paio con quella (verificata) sui dispositivi di firma digitale consegnati ai commercialisti all'insaputa dei titolari (vedi "Identificare con certezza": il problema).