1. A che serve una firma "insicura"?

Il 19 luglio scorso è scaduto il termine per il recepimento della direttiva 1999/93/CE "relativa ad un quadro comunitario per le firme elettroniche". La legge comunitaria 2000 (n. 422 del 29 dicembre, pubblicata sulla Gazzetta ufficiale il 20 gennaio 2001) dà al Governo un anno di tempo per emanare il decreto di recepimento, ed è quindi probabile che esso veda la luce tra la fine dell'anno e l'inizio del 2001.
Questo ritardo si aggiunge a quello del rinnovo delle "regole tecniche", che avrebbero dovuto essere emanate entro due anni dalle prime e cioè entro il 15 aprile scorso. Sia le attuali disposizioni legislative sia quelle regolamentari dovranno subire alcune modifiche per soddisfare le prescrizioni comunitarie: marginali per le regole tecniche, abbastanza rilevanti, su alcuni punti, per quanto riguarda il DPR 455/2000 (che, come si ricorderà, recepisce quasi testualmente il DPR 513/97 sul documento informatico).

Vediamo per sommi capi in quali punti le disposizioni di legge non sono del tutto coerenti con la direttiva.
Va detto prima di tutto che la normativa comunitaria si propone fini sostanzialmente diversi da quelli propri della previsione contenuta nella legge 59/97: gli obiettivi dell'iniziativa di Bruxelles sono in primo luogo gli scambi commerciali all'interno dello Spazio economico europeo e la prestazione transfrontaliera di servizi di certificazione. Invece il sistema italiano è  nato in primo luogo per assicurare il valore legale dei documenti scambiati tra le pubbliche amministrazioni nell'ambito della rete unitaria e tra gli uffici e i cittadini (anche se quest'ultimo obiettivo è ottenuto, in prospettiva, anche con la carta d'identità elettronica). Fondamento essenziale della normativa italiana è la validità e rilevanza del documento informatico a tutti gli effetti di legge, con una impostazione ancora innovativa, dopo cinque anni dalla sua formulazione: la completa equiparazione (in linea di principio) tra documento tradizionale e documento informatico.

Il testo della direttiva richiede una lettura molto attenta, perché a prima vista sembra invalidare alcuni passaggi della nostra normativa; in realtà, come vedremo tra poco, la situazione è diversa. Il fatto è che  l'articolato riflette la travagliata genesi del testo, anche attraverso qualche incertezza definitoria, perché nelle prime bozze la firma "sicura" - cioè certificata da un soggetto qualificato, generata con un dispositivo di firma ecc. - non era stata presa in considerazione, perché si asseriva che avrebbe limitato la concorrenza e la circolazione intracomunitaria dei prodotti. Solo nelle ultime stesure è stata aggiunta la firma "avanzata" o "sicura", con i quattro allegati che rispecchiano il sistema italiano.
Vediamo i passaggi sostanziali.

Articolo 2 - Definizioni
Ai fini della presente direttiva, valgono le seguenti definizioni:
1) "firma elettronica", dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;
2) "firma elettronica avanzata", una firma elettronica che soddisfi i seguenti requisiti:
a. essere connessa in maniera unica al firmatario;
b. essere idonea ad identificare il firmatario;
c. essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
d. essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;

E' chiaro che il paragrafo 2) descrive con precisione il sistema della firma digitale disegnato dalla normativa italiana. La prima definizione può invece riferirsi a qualsiasi sistema elettronico di validazione. Possiamo quindi dire che la firma digitale, così come è stata impostata con il DPR 513/97 e ripresa tale e quale nel DPR 445/2000, corrisponde alla "firma elettronica avanzata" prevista dalla direttiva.
Però ci si deve chiedere a che serve un "metodo di autenticazione" come quello previsto dal paragrafo 1), se il risultato non consente la connessione univoca con il firmatario,  non è generato con mezzi sui quali lo stesso firmatario non può conservare il proprio esclusivo controllo né, per finire, consente di capire se i dati sono stati alterati. E' vero che si potrebbe ipotizzare un sistema che soddisfi solo alcuni dei requisiti, ma è abbastanza evidente che una firma a cui manchi anche una sola delle tre caratteristiche essenziali non autentica un bel nulla (si veda, a questo proposito, anche l'articolo di Ugo Bechini Quando la smart card diventa un souvenir ).

C'è anche da rilevare una non trascurabile imprecisione nella lettera d): con la firma digitale "avanzata", non è tecnicamente possibile "consentire l'identificazione di ogni successiva modifica" dei dati. In realtà un eventuale risultato negativo della verifica della firma permette solo di sapere se qualcosa è cambiato nel testo, non "che cosa" è cambiato, ricostruendo precedenti versioni del testo. Infatti la verifica è operata dal software di cifratura, decifrando la firma e confrontando il risultato con il testo ricevuto: le risposte può essere solo "corrisponde, firma valida" o "non corrisponde, firma non valida" (per maggiori dettagli vedi Introduzione alla firma digitale, e in particolare l'articolo I fondamenti della firma digitale).

Un altro aspetto che deve essere considerato con attenzione è quello relativo alla "identificazione" del firmatario. Nelle disposizioni sul documento informatico non c'è scritto da nessuna parte che la firma digitale serve a identificare la persona che ha generato la firma stessa, tanto che il secondo comma dell'art. 38 del t.u. (modalità di invio e sottoscrizione delle istanze) precisa che "Le istanze e le dichiarazioni inviate per via telematica sono valide se sottoscritte mediante la firma digitale o quando il sottoscrittore è identificato dal sistema informatico con l'uso della carta d'identità elettronica". Si esclude quindi esplicitamente l'identificazione attraverso la firma digitale.

Una prima conseguenza delle previsioni dell'art. 2 della direttiva si trova nell'articolo successivo, nel quale si precisano le differenze tra i due tipi di firme. Vediamo i primi quattro paragrafi:

Articolo 3 - Accesso al mercato
1.Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.
2. Fatto salvo il paragrafo 1, gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie. Gli Stati membri non possono limitare il numero di prestatori di servizi di certificazione accreditati per motivi che rientrano nell'ambito di applicazione della presente direttiva.
3. Ciascuno Stato membro provvede affinché venga istituito un sistema appropriato che consenta la supervisione dei prestatori di servizi di certificazione stabiliti nel loro territorio e rilasci al pubblico certificati qualificati.
4. La conformità dei dispositivi per la creazione di una firma sicura ai requisiti di cui all'allegato III è determinata dai pertinenti organismi pubblici o privati designati dagli Stati membri. Secondo la procedura di cui all'articolo 9 la Commissione fissa i criteri in base ai quali gli Stati membri stabiliscono se un organismo può essere designato.
La conformità ai requisiti di cui all'allegato III accertata dagli organismi di cui al primo comma è riconosciuta da tutti gli Stati membri.
[.]

Qui si rinvengono tracce evidenti delle prime versioni della direttiva, perché il primo paragrafo vieta in generale la possibilità di sottoporre ad autorizzazione preventiva i prestatori di servizi di certificazione, mentre il secondo prevede "servizi di certificazione di livello più elevato" come un'eccezione alla regola generale; invece l'art. 2 ha messo sullo stesso livello la firma elettronica e la firma "avanzata". Con il terzo paragrafo si rende obbligatoria l'istituzione di un organismo di supervisione dei certificatori qualificati da parte di ogni Stato membro (in Italia è l'AIPA), condizione evidentemente necessaria per il reciproco riconoscimento delle conformità delle procedure e dei dispositivi, come si evince dal paragrafo successivo.
Va notato che i criteri per la designazione degli organismi di supervisione saranno stabiliti dalla Commissione.

2. L'identificazione del firmatario

Il punto c) del secondo paragrafo dell'art. 2 della direttiva prescrive che la firma "avanzata" deve essere "idonea a identificare il firmatario".  Nelle disposizioni italiane sul documento informatico non c'è scritto da nessuna parte che la firma digitale serve a identificare la persona che ha generato la firma stessa, tanto che il secondo comma dell'art. 38 del testo unico sulla documentazione amministrativa (modalità di invio e sottoscrizione delle istanze) precisa che "Le istanze e le dichiarazioni inviate per via telematica sono valide se sottoscritte mediante la firma digitale o quando il sottoscrittore è identificato dal sistema informatico con l'uso della carta d'identità elettronica". Si esclude quindi esplicitamente l'identificazione attraverso la firma digitale.
E' un punto delicato, con implicazioni non secondarie, che tratteremo a parte (nel frattempo si veda l'articolo di Paolo Ricchiuto Firma digitale e antiriciclaggio nell'interpretazione dell'UIC).

Nel prossimo numero vedremo i due punti veramente critici: le disposizioni sul valore probatorio dei documenti sottoscritti con la firma digitale e i requisiti dei certificatori accreditati.

 Articolo successivo