Dichiarazioni al certificatore: finalmente il falso è reato 

di Manlio Cammarata - 05.03.08

L'Italia sottoscrive la Convention on Cybercrime del Consiglio d'Europa, varata a Budapest il 23 novembre 2001. Il relativo disegno di legge (AS 2012) è stato approvato definitivamente dal Senato il 20 febbraio scorso ed è in attesa di essere promulgato dal presidente della Repubblica.
Si tratta dell'adesione a un trattato internazionale che prevede un coordinamento, tra gli stati firmatari, della normativa penale e di procedura penale in materia di reati informatici, in un'accezione molto ampia. E, naturalmente, della cooperazione tra gli stessi stati per la repressione di questi crimini.

E' bene ricordare che il Consiglio d'Europa (Council of Europe) è cosa diversa dall'Unione europea, che i suoi componenti non sono necessariamente membri dell'Unione e che la Convention non è una direttiva ma, appunto, un trattato internazionale, al quale possono aderire anche stati che non sono membri dello stesso Consiglio.
Dunque non si tratta di un "recepimento", con le conseguenze che conosciamo per le direttive comunitarie, ma di un adeguamento volontario dell'ordinamento interno a una serie di regole internazionali.

Dal momento che molte delle norme previste dalla convenzione sono già presenti nel nostro ordinamento, la legge appena approvata si limita ad aggiornarle, con una serie di modifiche al codice penale e al codice di procedura penale. Un aggiornamento che appare opportuno, fermo restando che in molti casi le norme italiane sono più restrittive di quelle della convenzione e che le pene appaiono a volte spropositate. Ma di questo ci occuperemo in un prossimo articolo.

Qui dobbiamo occuparci di una norma, estranea alla convenzione, che riguarda i servizi di certificazione delle firme elettroniche. Si tratta dell'art. 3, comma 2 che dice:

Dopo l’articolo 495 del codice penale è inserito il seguente: «Art. 495-bis. – (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri). – Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno».

E' la prima fattispecie di reato che viene introdotta in materia di firme elettroniche. Si tratta di una innovazione quanto mai opportuna, perché sanziona una prassi pericolosa quanto diffusa: la certificazione della firma (qualificata) operata "per interposta persona", in sostanza la consegna del dispositivo di firma e del PIN a un soggetto diverso dal richiedente il certificato. Questi dovrebbe essere "identificato" dal certificatore, a norma dell'art. 32, comma 3, del codice dell'amministrazione digitale. Anzi, il certificatore deve provvedere "con certezza" all'identificazione. Anche se la norma appare più vaga di quella originaria del 1997, che recitava "identificare con certezza", è chiara la criticità del riconoscimento ai fini della sicurezza di tutto il processo (vedi L'identificazione nello schema del "codice": ancora problemi).

Abbiamo scritto più volte che, in forza della "pubblica fede" sostanzialmente propria del certificato qualificato, la consegna del certificato stesso a un soggetto diverso dal titolare (di solito un commercialista) dovrebbe essere classificata come illecito penale; a questo scopo avevamo suggerito - inutilmente - la qualificazione dell'addetto all'identificazione e/o alla consegna del dispositivo di firma come "incaricato di pubblico servizio".
Il legislatore ha seguito una strada diversa, ponendo la responsabilità penale solo in capo al soggetto che dichiara il falso e non anche a quello che dovrebbe usare una "speciale diligenza" nel ricevere la dichiarazione. L'ennesimo favore ai certificatori, ma è meglio di niente.

Comunque la previsione di una sanzione penale per il falso in dichiarazione o attestazione nella fase di certificazione avrà un effetto salutare nella percezione generale del livello di sicurezza delle firme elettroniche, oggi piuttosto basso.

Un punto deve essere valutato con attenzione: la norma parla di "servizi di certificazione delle firme elettroniche", senza aggiungere l'aggettivo "qualificate". Non è (speriamo!) una svista. Infatti nell'ambito delle electronic signatures previste dalla direttiva 1999/93/ ci sono anche le "segnature" che non sono firme qualificate. Rientrano in questa categoria, per esempio, i certificati digitali che sono alla base delle transazioni telematiche "sicure". In questo settore una falsa dichiarazione a un certificatore può essere il primo passo verso una truffa telematica. Dunque, anche per questo la qualifica di reato è opportuna.

Peccato che, nel caos normativo che dovrebbe regolamentare le segnature elettroniche nel nostro Paese, la fattispecie appena descritta non esista. Anzi, non esiste nemmeno la segnatura elettronica prevista dalla direttiva come metodo di validazione dei dati (art. 2, 1).
Questo significa che il giudice penale potrebbe incontrare qualche difficoltà nell'interpretazione della nuova norma: un motivo in più per procedere, con la massima urgenza, alla correzione delle disposizioni in materia di firme elettroniche.