Addio firma digitale "all'italiana", addio alla normativa che aveva posto il nostro Paese all'avanguardia nel mondo nel difficile campo dell'accoglimento delle innovazioni tecnologiche nell'ordinamento giuridico.

In questo numero pubblichiamo il primo articolo di una serie che affronta I veri problemi della firma digitale, ma c'è da chiedersi se sia il caso di continuare, visto che l'oggetto dell'analisi praticamente non esiste più. Come abbiamo annunciato una settimana fa, il 21 dicembre scorso il Consiglio dei ministri ha approvato  l'atteso decreto legislativo per il recepimento della direttiva 1999/93/CE "relativa ad un quadro comunitario per le firme elettroniche". Il provvedimento approvato, che non dovrebbe essere molto diverso dal testo definitivo, non è ancora reperibile, ma c'è uno schema inviato il giorno prima (20 dicembre) ai capi degli uffici legislativi dei ministeri. Schema sul quale basiamo le nostre considerazioni e che, se corrisponde al testo finale, cancella in un colpo solo i punti fermi della normativa introdotta con il secondo comma dell'art. 15 della legge 59/97.

Un testo confuso, farraginoso, lacunoso e ridondante nello stesso tempo, che azzera tutto il lavoro compiuto in oltre cinque anni dall'Autorità per l'informatica nella pubblica amministrazione. Certo, il DPR 513/97 (poi trasfuso nel testo unico sulla documentazione amministrativa) non era perfetto, ma aveva il grande merito di disegnare un sistema coerente, basato su un assunto innovativo: il riconoscimento dell'efficacia legale di processi tecnologici capaci di garantire un livello di sicurezza almeno pari a quello delle procedure tradizionali, fondate sul vecchio armamentario delle firme autografe, dei timbri, sigilli e punzoni e di quant'altro la burocrazia aveva saputo inventare nel corso dei secoli. Il documento informatico "valido e rilevante a tutti gli effetti di legge" era un'innovazione di portata epocale, addirittura un salto in avanti troppo lungo per le strutture dello Stato e la cultura dei cittadini e delle imprese.

Poi è venuta la direttiva 1999/93/CE, fondata su quella prospettiva bottegaia che, purtroppo, costituisce un aspetto ricorrente nel pur grande e nobile progetto dell'Unione europea. Una direttiva che all'origine aveva l'unico obiettivo di assicurare libertà di azione nell'ambito comunitario a chiunque si mettesse in testa di "certificare" qualsiasi cosa, senza alcun riguardo né all'affidabilità dei soggetti, né alla sicurezza delle procedure, né alle garanzie per gli utenti, in linea con la congerie degli ordinamenti giuridici vigenti in Europa. Un compromesso irraggiungibile.
Solo nella fase finale della discussione sono state aggiunte le previsioni sulla firma "avanzata", ricopiando confusamente nei tre allegati le innovative disposizioni italiane e introducendo alcuni commi ad hoc nell'articolato, ma senza poi preoccuparsi di coordinare meglio le due fattispecie così disegnate e, almeno, di fornire definizioni coerenti e univoche dei nuovi istituti.

Il legislatore italiano vuole aggravare la situazione. Lo schema inizia addirittura con un errore di diritto: si legge infatti nell'art. 2 che s'intende per  "firma elettronica" l'insieme dei dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica. E' sbagliato. La firma elettronica serve per la "validazione" di un documento, mentre nell'ordinamento italiano con il termine "autenticazione" si indica una complessa procedura, compiuta da un pubblico ufficiale, che accerta l'identità del sottoscrittore, la legittimità dell'atto e via discorrendo.

Un'altra definizione crea una grave frattura con il nostro ordinamento, perché dice che s'intende per  "dispositivo per la creazione di una firma sicura" il programma informatico o l'apparato strumentale, usato per la creazione di una firma elettronica eccetera. La nostra vecchia definizione (ancora non abrogata) parlava invece di un "dispositivo programmabile solo all'origine", escludendo quindi software, dischetti e altri mezzi di totale insicurezza. Il regolamento tecnico potrà sistemare un po' le cose, ma tanto basta a capire come i ferrei principi del DPR 513/97 siano destinati al dimenticatoio.
Eppure non ci voleva molto a conciliare la serietà della normativa italiana con l'allegra confusione delle disposizioni comunitarie (vedi i due articoli I problemi del recepimento della direttiva 1999/93/CE).

Un altro errore (e siamo ancora alle definizioni!) riguarda proprio l'oggetto principale del provvedimento. Dimenticando (???) che recepire una direttiva non significa copiarla, il legislatore ha dissennatamente ripreso la definizione di "firma elettronica  avanzata" per indicare la firma digitale sicura. Ma nel prosieguo dell'articolato ha usato di nuovo la definizione di "firma digitale" o ha inutilmente elencato i requisiti del "dispositivo per la creazione di una firma sicura", del "certificato qualificato" e via specificando, quasi consapevole della necessità di fare chiarezza dopo aver introdotto tanta confusione. Si poteva benissimo scrivere per "firma digitale", o "firma digitale sicura", si intende la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da rilevare se i dati stessi siano stati successivamente modificati". Sarebbero state salve sia la direttiva sia la chiarezza e la coerenza con l'ordinamento esistente.

Tralasciamo altri aspetti criticabili dello schema, la cui analisi richiederebbe pagine su pagine, per fissare la nostra attenzione su un passaggio che non è esagerato definire devastante: l'art. 6, che riscrive l'art. 10 del testo unico su "Forma ed efficacia del documento informatico".
Il primo comma sancisce che il documento informatico (con o senza firma digitale sicura) ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile, riguardo ai fatti e alle cose rappresentate. E' una modifica opportuna e ineccepibile.
Ma il comma 2, capovolgendo l'impostazione di fondo della nostra normativa, attribuisce l'efficacia della "forma scritta", rigidamente regolata dal codice civile, anche al documento con firma elettronica "debole".

Si noti che questa soluzione non "recepisce", ma va ben oltre le previsioni europee contenute nell'art. 5 della direttiva. Come se non bastasse, la firma elettronica "insicura" (per definizione, visto che l'altra è definita "sicura"), è efficace anche ai fini degli articoli 2214 e seguenti del codice civile e da ogni altra analoga previsione legislativa o regolamentare. Cioè per la tenuta dei libri obbligatori, delle altre scritture contabili delle società e per tutte le altre situazioni del genere.
Il risultato di questa "liberalizzazione selvaggia" non può essere che l'insicurezza elevata a sistema, il caos nelle verifiche, l'impossibilità di avere qualsiasi ragionevole certezza sull'autenticità delle scritture, visto che la certificazione "leggera" non è soggetta ad alcun controllo.

Aggiungiamo che l'art. 9, innovando in parte l'art. 38 del TU, sancisce che Le istanze e le dichiarazioni inviate [alla pubblica amministrazione] per via telematica sono valide:
a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato e generata mediante un dispositivo per la creazione di una firma sicura;
b) quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi.
La quale carta (l'Italia è notoriamente il paese della fantasia), non esiste ancora nell'ordinamento, ma solo nelle dichiarazioni programmatiche di un qualificato ministro.

Così si conclude che la firma digitale sicura non è necessaria per il dialogo con la pubblica amministrazione (e sarà presumibilmente più semplice e meno costoso avere la carta dei  servizi), né quando il codice civile prescrive la forma scritta, né per la tenuta dei libri obbligatori. In sostanza non serve a nulla.
Si cancellano cinque anni di lavoro. Il vanto dell'Italia  per aver innovato l'ordinamento in funzione delle tecnologie, prima di ogni altra nazione, diventa quasi una vergogna.

La firma digitale "all'italiana" muore bambina, uccisa nella culla dall'insipienza e dalla burocrazia o forse da schegge impazzite di un sistema refrattario a qualsiasi progresso, a qualsiasi innovazione. Un tentativo era già stato fatto un anno e mezzo fa, con le prime versioni del testo unico sulla documentazione amministrativa. Come qualche lettore ricorderà, allora InterLex denunciò la situazione  (vedi Si vuole abrogare la firma digitale?, Così si distrugge il documento informatico e gli altri articoli della serie), quindi l'AIPA intervenne con gli stessi argomenti e il testo fu corretto.

Riusciremo anche questa volta a evitare il disastro? C'è da dubitarne, visto che proprio dallo schema in questione appare esplicita l'intenzione del Governo di esautorare l'Autorità per l'informatica. Una delle poche strutture dello Stato che in questi anni ha saputo produrre innovazione e progresso, e certo l'unica che ha proposto via internet alla pubblica discussione i progetti delle iniziative più importanti.