Nello schema di decreto legislativo "Codice
dell'amministrazione digitale" sono contenute interessanti modifiche su
aspetti fondamentali della firma elettronica. Persistono tuttavia alcune
pericolose incertezze che le discussioni degli ultimi tempi avevano individuato
con precisione.
Per riassumere i termini della questione, occorre riportarsi ancora una volta
alla definizione di firma elettronica data dalla direttiva 1999/93/CE:
electronic signature' means data in electronic form which are attached to
or logically associated with other electronic data and which serve as a method
of authentication;
Tale definizione è stata oggetto di critiche in tutta Europa. Lo studio più
importante condotto finora sulla firma elettronica comunitaria, dell'Università
di Leuven, ha chiarito i termini dell'espressione "method of
authentication": the term "electronic signature" relates to
"data authentication" and does not cover methods and
technologies "for entity authentication". For example, entering
a pin-code to get access to an electronic bank account will not fall within the
scope of the "electronic signature" definition" (vedi Europa: a che punto sono le firme elettroniche?).
Sebbene "per fortuna" la maggior parte dei servizi di firma
elettronica riguardi le applicazioni della più rigorosa firma qualificata, il
fatto che sulla firma elettronica semplice vi siano (non solo in Italia) ancora
profonde divergenze rischia di rallentare lo sviluppo delle comunicazioni
elettroniche tra i privati, che nella maggior parte dei casi avvengono in
assenza di specifiche prescrizioni formali.
Il TUDA aveva trasposto la definizione europea nei seguenti termini:
FIRMA ELETTRONICA ai sensi dell'articolo 2, comma 1, lettera a), del decreto
legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati elettronici,
utilizzati come metodo di autenticazione informatica.
Conosciamo i problemi che la nozione di autenticazione informatica, della quale
il TUDA non forniva alcuna definizione, ha posto. Infatti, la traduzione
nell'italiano "autenticazione" del termine inglese authentication,
come più volte ribadito, genera confusione con l'autenticazione di documenti ad
opera di pubblici ufficiali a ciò designati (procedimento disciplinato
dall'art. 22 dello schema del codice)
Veniamo dunque alle nuove definizioni introdotte dall'art. 1 dello schema:
Art. 1 (Definizioni)
Ai fini del presente decreto si intende per:
a) autenticazione informatica: la validazione dell'identificazione informatica
effettuata attraverso opportune tecnologie al fine di garantire la sicurezza
dell'accesso.
b) autorizzazione informatica: la verifica, attraverso opportune tecnologie,
della corrispondenza tra le abilitazioni esistenti in capo al soggetto
richiedente, identificato nei sistemi informativi, ed il tipo di operazione che
il soggetto intende eseguire [...]
v) identificazione informatica: l'insieme di dati attribuiti in modo esclusivo
ed univoco ad un soggetto che ne distinguono l'identità nei sistemi
informativi.
Dunque la cosiddetta "autenticazione informatica" altro non è che la
verifica - o validazione - dell'identificazione informatica (sul punto vedi
anche Amministrazioni digitali: i problemi del documento
informatico di Manlio Cammarata).
L'equivoco sul significato italiano dell'espressione method of
authentication ritorna più avanti, con effetti ancora più gravi sulla
chiarezza delle norme:
t) firma elettronica: l'insieme dei dati in forma elettronica, allegati
oppure connessi tramite associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione informatica.
La confusione è evidente.
Si passa dall'autenticazione informatica all'identificazione informatica. La
definizione di quest'ultima, è quella appena vista, che fa riferimento a
semplici dati identificativi, e non all'operazione compiuta attraverso essi.
Inoltre, sebbene l'autenticazione informatica sia scomparsa dalla definizione di
firma elettronica, l'art. 1 lett.a) ne fornisce una definizione, in termini
quanto meno poco chiari. Infatti l'autenticazione informatica non esiste: con la
firma elettronica "debole"può esistere solo la validazione informatica dei
dati.
Sebbene siamo in presenza di uno schema, per cui ci sarà tempo per eliminare
errori e imprecisioni, dalla nuova definizione sub art.1 lett.t) possiamo
trarre la conclusione - insostenibile - che la firma elettronica viene intesa in
termini di entity authentication. Dalla relazione del prof. Jos Dumortier,
che ha diretto il citato studio dell'Università di Leuven, emerge invece come
la direttiva intendesse le firme elettroniche come un concetto legale riferito a
tutti i tipi di validazione di dati (data authentication)e non di identificazione di soggetti.
|
Pagina stampabile
