Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

A chi conviene la certificazione insicura?
di Manlio Cammarata e Enrico Maccarone - 17.01.02

Ovvio silenzio del Governo sulle nostre osservazioni di una settimana fa, mentre le reazioni ufficiose, in tono seccato, sono del tipo "non disturbare il manovratore"...
Dei "difetti" dello schema di decreto legislativo di recepimento della normativa europea sulle firme elettroniche, varato dal Governo il 21 dicembre scorso, si discute in molte sedi.
Esponenti del notariato esprimono in via informale forti preoccupazioni; alcuni certificatori sono decisamente contrariati e si chiedono a che cosa porterà il caos normativo disegnato dal testo del 20 dicembre, tenendo anche conto dei forti investimenti, soprattutto economici, fatti in questi anni.
Assocertificatori tace. Un silenzio in linea con l'inerzia dimostrata nel suo primo anno di vita, trascorso senza riuscire ad assicurare un minimo accettabile di coordinamento e di interoperabilità tra i sistemi attivi fino a oggi.

Tace ufficialmente anche l'Autorità per l'informatica, che ormai lotta per la sopravvivenza. A mezza voce qualcuno fa notare che è in atto una sistematica opera di demolizione di quanto di buono è stato fatto negli ultimi anni, e non solo per quanto riguarda la firma digitale. Se oggi l'Italia può vantare una legislazione di tutto rispetto nel panorama mondiale in materia di informatica e pubblica amministrazione, lo deve al lavoro di un'autorità realmente indipendente, alle intuizioni di pochi politici illuminati e all'apporto di alcuni esperti che alla stessa AIPA hanno dato un prezioso contributo di proposte e di idee.

Ma qual è la sostanza dei problemi sollevati dallo schema di decreto legislativo per l'accoglimento della  direttiva 1999/93/CE? Al di là della confusione definitoria, al di là delle imprecisioni tecniche e dei dubbi di costituzionalità (vedi gli articoli di Franco Ruggieri e Daniele Coliva), il testo fa compiere un passo indietro di parecchi anni al nostro sistema normativo, perché annulla buona parte della costruzione legislativa che nel nostro ordinamento assicura il pieno valore legale del documento informatico, purché provvisto di una validazione rispondente a severissimi criteri di sicurezza: la firma digitale sicura.

Invece la direttiva ha un obiettivo diverso: assicurare la diffusione dei prodotti di firma elettronica, evitando che possa essere negata una rilevanza legale a un documento sottoscritto con uno di questi. Come ha dichiarato a PuntoCom Antonio A. Martino, professore di scienza della politica all'Università di Pisa, "Sono soprattutto le lobbies delle compagnie americane che premono per una 'firma libera' e che hanno provocato nell'Unione europea non poche difficoltà. Leggete semplicemente l'art. 1 della direttiva sulla firma elettronica e vedrete che è contraddittorio. Seguite quanto sta accedendo in Spagna che ha creduto di avere una legge copiando la direttiva e in questi giorni ha dovuto redigere una legge (sul serio), che è in Parlamento, perché quella attualmente in vigore non regolamenta praticamente nulla".

Ma la direttiva, pur nella contraddittorietà e nella confusione terminologica che la distingue, riconosce comunque l'esistenza di due tipi di firme elettroniche: quella che noi chiamiamo "leggera" e che, allo stato dei fatti, può essere certificata da chiunque al di fuori di qualsiasi controllo e di qualsiasi requisito minimo  di attendibilità, e quella "sicura", che in buona sostanza ricalca quasi per intero la normativa italiana discendente dall'art. 15 della legge 59/97.

La differenza tra i due tipi di firma è sostanziale: alla firma leggera non può essere negato valore legale, mentre il documento informatico con  firma sicura ha pieno valore legale.
Il nocciolo della questione è tutto qui, ed è espresso con sufficiente chiarezza nell'art. 5 della direttiva:

Articolo 5. Effetti giuridici delle firme elettroniche
1. Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura:
a) posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei; e
b) siano ammesse come prova in giudizio.

Dunque questo primo paragrafo corrisponde quanto stabilito dalla normativa italiana, all'art. 10 del testo unico sulla documentazione amministrativa, che riprende letteralmente le vecchie disposizioni del  DPR 513/97:

Articolo 10 (R) Forma ed efficacia del documento informatico
1. Il documento informatico sottoscritto con firma digitale, redatto in conformità alle regole tecniche di cui all'articolo 8, comma 2 e per le pubbliche amministrazioni, anche di quelle di cui all'articolo 9, comma 4, soddisfa il requisito legale della forma scritta e ha efficacia probatoria ai sensi dell'articolo 2712 del Codice civile.
...

3. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 23, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.
4. Il documento informatico redatto in conformità alle regole tecniche di cui all'articolo 8, comma 2 soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.

Non c'è alcuna incompatibilità tra le disposizioni comunitarie e quelle italiane: il documento informatico con firma sicura ai sensi del testo unico possiede i requisiti legali di un documento provvisto di firma autografa e, come quest'ultimo, è ammesso come prova in giudizio.

Stabilisce poi il secondo comma dello stesso art. 5 della direttiva:

2. Gli Stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è
- in forma elettronica, o
- non basata su un certificato qualificato, o
- non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero
- non creata da un dispositivo per la creazione di una firma sicura
.

Questo significa che un documento provvisto di firma "leggera" può considerarsi - ma non obbligatoriamente - ammissibile come prova in giudizio. E correttamente l'art. 6 dello schema di recepimento accoglie questa disposizione:

4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura.

In termini strettamente giuridici questa precisazione non è necessaria, in quanto nulla, nel nostro attuale ordinamento, nega rilevanza giuridica o valore probatorio a una qualsiasi evidenza informatica. Un solo problema può sorgere dalla possibile interpretazione restrittiva dell'ultima frase del comma 1 dell'art. 10 del TU, nel senso che solo il documento informatico provvisto di firma sicura abbia l'efficacia probatoria della rappresentazione meccanica, ai sensi dell'art. 2712 del codice civile. Ma il problema è risolto in un attimo.

Invece il Governo cosa cerca di fare? Cerca di attribuire l'efficacia della forma scritta (necessaria per determinate categorie di contratti) e di riconoscere validità a particolari tipi di documenti (come le scritture contabili, art. 2714 e seguenti c.c.) in presenza di firma leggera, per la quale nessuna disposizione stabilisce requisiti di certezza e affidabilità! In questo modo è chiaro che la firma digitale sicura resta obbligatoria per pochissimi adempimenti e che il castello giuridico del documento informatico "valido e rilevante a tutti gli effetti di legge" crolla miseramente. In più si mina alla base l'affidabilità delle scritture per le quali ogni ordinamento sancisce determinati livelli di certezza giuridica. Per non parlare dei problemi connessi all'invio di documenti alla pubblica amministrazione con l'uso della carta d'identità elettronica o della carta dei servizi, senza una firma sicura che ne garantisca il contenuto (vedi il punto 3 dell'articolo di Ruggieri).

Tutto il resto è contorno, anche rilevante (come l'aspetto definitorio), ma la sostanza è la demolizione della costruzione tecnico-giuridica del documento informatico. Un passo indietro di almeno sei anni, per di più non necessario ai fini del recepimento della direttiva. Utile solo per le lobby straniere della certificazione insicura.