Viviamo in Italia, e sappiamo (forse più di altri) che ogni sistema normativo, nel momento in cui passa il vaglio della realtà operativa, è esposto a storture pratiche tali da vanificare anche i migliori propositi del migliore dei legislatori. L’unico antidoto consiste nella ricognizione di strumenti di tutela tali da poter debellare il virus della approssimazione esecutiva, e garantire la tenuta formale e sostanziale dell’intero apparato.

Le notizie pubblicate da InterLex relativamente al problema della identificazione con certezza (Ha la firma digitale, ma non lo sa...), da un lato confermano come le pericolose lassità legislative denunciate da tempo (vedi Norme antiriciclaggio e identificazione del contraente e  Ancora sulla "certezza dell'identificazione" ) prestino il fianco alle più assurde manipolazioni; dall’altro stimolano una riflessione circa i possibili rimedi che il complesso panorama normativo e regolamentare mette a disposizione per auto-difendersi dalle distorsioni che emergono nella pratica.

Rivediamo, per comodità di consultazione, il fatto (che utilizzeremo come punto di riferimento per la presente analisi, senza entrare in nessun modo, ed ovviamente, nel merito della veridicità o meno degli accadimenti che ne costituiscono il substrato): un commercialista, operando come incaricato dell’ufficio di registrazione di un certificatore, fa firmare ad un suo cliente il modulo per la richiesta di certificazione delle chiavi, non lo informa sulle reali caratteristiche dello strumento, mantiene presso di sé il dispositivo di firma ed il relativo PIN.

La prima domanda da porsi è se sia legittimo l’utilizzo di un cosiddetto "incaricato della registrazione" anche ai fini dell'identificazione del richiedente. Non esistendo alcun punto di riferimento nel TU 445/00 e nelle regole tecniche (che, improvvidamente, prescrivono soltanto la identificazione "certa", al pari del recente schema di DPR approvato dal Consiglio dei ministri il 31.01.03), e partendo dall’assunto che l’AIPA, in sede di iscrizione al registro pubblico dei certificatori, abbia valutato sufficienti le procedure di identificazione previste nel manuale operativo dall’aspirante certificatore, non sembra possano esistere dubbi sulla legittimità formale di tale iter.

Stesso risultato, se alla vicenda si guarda dal punto di prospettiva dettato dall’art. 18 delle regole tecniche: ed infatti l’AIPA può ordinare la cancellazione del certificatore dall’elenco pubblico soltanto qualora siano "venuti meno" uno o più requisiti tra quelli indicati nell’art. 16: considerato come, nel caso di specie, non è in questione la persistenza o meno di tali requisiti, bensì il modo attraverso il quale le procedure previste da uno dei medesimi (il manuale operativo) sono state attuate, allora emerge chiaro come sia difficilmente configurabile un provvedimento così tranchant quale la cancellazione del certificatore dal registro ad opera del Dipartimento.
Ma al di là di ciò, il successivo quesito al quale tentare di dar risposta è il seguente: è possibile individuare negli istituti della revoca e/o della sospensione dei certificati, gli strumenti attraverso i quali curare le patologie operative del sistema?

Proviamo a rispondere, circoscrivendo innanzitutto i principi violati dalla anomala operatività in commento. A norma dell’art. 24 delle regole tecniche il certificatore deve informare espressamente il richiedente la registrazione riguardo agli obblighi da quest’ultimo assunti in merito alla protezione della segretezza della chiave privata ed alla conservazione ed all’uso dei dispostitivi di firma. Recita poi l’art. 29-bis TU 445/00, introdotto dal recente schema di DPR approvato il 31.01.03: il certificatore deve: o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all’uso del certificato, compresa ogni limitazione dell’uso, l’esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie.

Al di là della formulazione sintattica delle norme, è evidente che l’obbligo di informazione debba concretarsi, prima di ogni altra cosa, nella spiegazione circa la natura dello strumento: in altri termini, il commercialista non può certo limitarsi a dire che gli serve una firmetta su un modulo di richiesta, ad esempio per poter poi inviare telematicamente i bilanci al registro delle imprese, ma deve rendere edotto il suo cliente del fatto che, chiedendo la certificazione delle chiavi, lo stesso entra in possesso della prerogativa di firmare digitalmente qualsiasi atto, con effetti equiparabili alla firma autografa (anzi, secondo la incredibile formulazione del DLgs 10/02, con effetti ancora più forti).

Pur condividendo le riflessioni operate da E. Maccarone su queste pagine circa la necessità di un attento ruolo attivo anche da parte dell’utenza (Il "baco" di PosteCom e le funzioni di vigilanza) , non sembra proprio che alcuna censura possa esser mossa,in questo caso, ad un soggetto tenuto completamente all’oscuro non solo delle conseguenze, ma anche della funzione e della natura stessa della firma digitale.
Ma non basta: in virtù dell’art. 28 lett. g) TU 445/00 (anche nel testo dettato dallo schema di DPR 31.01.03), il certificatore non può rendersi depositario di chiavi private (sul punto, cfr. anche art. 8 delle regole tecniche). Se quindi il commercialista (che, nel rapporto con l’utente, opera come se fosse il certificatore) trattiene presso di sé il dispositivo di firma, non premurandosi di consegnarlo all’effettivo titolare, opera in marchiana violazione di tale principio.

Ora, al di là dei profili di responsabilità del commercialista nei confronti del certificatore (per violazione degli obblighi previsti nella convenzione che lo abilita alla registrazione degli utenti), e tenendo da parte i profili squisitamente risarcitori connessi al rapporto tra il malcapitato utente ed il certificatore, concentriamo l’attenzione sugli istituti della revoca e/o della sospensione dei certificati.

Recita l’art. 28 lett. h) del TU (con disposizione confermata integralmente dallo schema di DPR) : il certificatore è tenuto a procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest’ultimo, di perdita del possesso della chiave, di provvedimento dell’autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni.
Per come è formulata la norma, pertanto, la revoca (o la sospensione) del certificato può esser disposta dal certificatore motu proprio (ove sussistano determinate condizioni), ovvero su ordine dell’autorità, ovvero su istanza del titolare.

Partiamo da quest’ultimo caso, per evidenziare la (ennesima) asimmetria tra il TU e le regole tecniche. A norma degli artt. 31 e 35 la richiesta del titolare deve essere redatta per iscritto, specificando la motivazione della revoca (o della sospensione) e la sua decorrenza. Da un lato, quindi, secondo il TU il titolare della chiave sembra abilitato a richiedere la revoca sempre e comunque (anche in assenza di motivazioni specifiche); dall’altro, le regole tecniche sembrano subordinare la esperibilità della richiesta di revoca alla sussistenza di una motivazione.

Si tratta di una formulazione quantomeno ambigua: cosa accade, infatti, se perviene al certificatore una richiesta immotivata? Per aggirare il problema, il nostro inconsapevole titolare della firma farà bene ad inviare la propria richiesta di revoca, adducendo esplicitamente, come motivo, il fatto che il certificatore (non conta se per il tramite del commercialista suo mandatario) ha violato tutti i possibili obblighi connessi alla corretta gestione della fase della registrazione.
Primo rimedio, dunque, la revoca del certificato su istanza del titolare.

Ma proviamo a guardare la questione sotto un diverso punto di vista: cosa può fare per riparare la situazione il certificatore che acclari la veridicità di fatti quali quelli in commento? Secondo il citato disposto dell’art. 28 lett. h) - e secondo l’art. 30 delle regole tecniche - il certificatore può provvedere alla revoca del certificato, adducendo motivi specifici. Tra questi motivi, è espressamente previsto il sospetto di abusi o falsificazioni. Sospetto, non già certezza! Di tal che, legittimamente (e forse opportunamente) il certificatore che si fosse avveduto delle descritte anomalie procedurali, potrebbe disporre la revoca di tutti i certificati emessi per il tramite del commercialista suo mandatario, sussistendo quantomeno il fondato sospetto di un abuso.

È una strada che, vista dall’esterno, appare certamente consigliabile, anche se - è inutile negarlo - percorrendo la stessa il certificatore andrebbe incontro ad una sorta di riconoscimento di responsabilità, tanto intriso di coraggio quanto gravido di pericoli (anche semplicemente in termini di impatto sul mercato e di perdita di posizione nei confronti dei competitor).

Esiste poi un’ultima possibilità: che alla revoca il certificatore sia costretto a provvedere, ex art. 28 TU, per "provvedimento della autorità". Ora c’è da chiedersi: a cosa si riferisce la lett. h) parlando genericamente di autorità? Si tratta esclusivamente dell’autorità giudiziaria? Oppure la elasticità del concetto (che non si premura di fare riferimento, come accade di solito, alla "pubblica autorità") fa sì che nel medesimo possa rientrare anche un organo come l’AIPA o il Dipartimento per l’innovazione e le tecnologie? La domanda non è peregrina: basti considerare il disposto dell’art. 4 DLgs 10/02 (confermato integralmente dallo schema di DPR) che espressamente rimette al Dipartimento il compito di "vigilanza e controllo nel settore".

In cosa si concretizza tale controllo? Posto che il Dipartimento, una volta acclarata una situazione quale quella in commento, non può - a parere di chi scrive - cancellare il certificatore dal registro pubblico per i motivi sopra riportati, lo stesso DIT può adottare un provvedimento autoritativo di revoca (e/o sospensione) dei certificati che siano stati emessi in dispregio della legge, dei regolamenti e dei manuali operativi? A parere di chi scrive, decisamente sì: non si vede, altrimenti, a cosa mai potrebbe servire quel compito di vigilanza rimesso al DIT, se neanche rispetto ad una situazione tanto assurda come quella che esaminiamo, lo stesso non abbia gli strumenti per poter intervenire fattivamente.

Concludendo: da quanto è emerso, sembra proprio che la revoca del certificato possa svolgere il ruolo di un vero e proprio anticorpo contro le storture pratiche del sistema.

Ma forse esiste ancora il modo per evitare di arrivare a tanto: tutti i soggetti interessati possono infatti, congiuntamente, esaminare e risolvere i problemi che, inevitabilmente, vanno emergendo in questa lunghissima prima fase di start-up.
La tentazione che bisogna contrastare, è quella di chiudere gli occhi. Questo sì, porterebbe tutto il sistema fuori dal binario, provocando l’avvio di contenziosi che non farebbero altro che disorientare oltremodo gli aspiranti o potenziali utenti, con l’unica conseguenza di lasciare al palo la rivoluzione che la firma digitale può (ne siamo ancora, incrollabilmente convinti in molti) portare con sé.