Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

L'Europa della firma digitale
di Daniele Ricciardi - 25.10.99

Nei prossimi mesi l'Italia, in quanto membro dell'Unione Europea, si renderà conto, se non già lo ha fatto, di non essere solo un paese di sognatori, bensì di scienziati e giuristi d'avanguardia. Nessun paragone con personaggi della storia passata (Leonardo da Vinci) o recente (Francesco Carnelutti), tuttavia studiosi degni di rispetto nel mondo. Questa premessa introduce una materia estremamente seria: la firma digitale in Europa.

Entro la fine dell'anno una direttiva del Parlamento e del Consiglio Europeo, attribuirà valore giuridico alla firma elettronica stimolando gli Stati membri dell'Unione ad accelerare i tempi per l'introduzione dell'informatica e della telematica nel settore pubblico ed in quello privato. Il nostro Paese si è già regolato nella materia da alcuni anni per mezzo di una serie di regolamenti governativi, che trovano ispirazione nell'art. 15, comma 2, della legge 57/1997. Differente è la situazione degli altri Stati europei, i quali, anche a causa di differenze culturali e strutturali, vivono fasi diverse di quel processo che li condurrà ad adeguarsi all'evoluzione tecnologica. Il quadro dei lavori fino ad oggi compiuti, studiato dalle istituzioni comunitarie, mostra una eterogeneità che potrebbe creare serie difficoltà alla comunicazione delle informazioni ed al commercio sulle reti aperte come Internet. I propositi della direttiva sono indirizzati all'eliminazione degli ostacoli per il riconoscimento giuridico delle firme elettroniche e la libera circolazione dei servizi di certificazione. Naturali presupposti al conseguimento di questi risultati sono il corretto funzionamento del mercato interno per mezzo di un'armonizzazione delle discipline ed il mutuo riconoscimento delle firme elettroniche e dei soggetti coinvolti nel sistema.

Queste affermazioni, presenti nella relazione dell'atto normativo in oggetto, non sono sufficienti al giurista, il cui compito è studiare ed interpretare le norme. Senza dimenticare che le norme europee sono "emanande" e che una loro modifica comporterebbe differenti valutazioni, è opportuno effettuare un esame comparativo con le disposizioni "emanate" dal legislatore italiano nel d.P.R. 513/1997 (e nel collegato d.P.C.M 8 febbraio 1999).

Innanzitutto il titolo dei due atti chiarisce le prime ed essenziali differenze. Mentre la disciplina italiana ha per oggetto il documento informatico (meglio, i criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici), la direttiva è dedicata esclusivamente alla firma elettronica; di fatto, la normativa italiana si dedica principalmente alla disciplina della firma digitale ed al sistema di certificazione. Si è detto firma digitale e non firma elettronica: la distinzione non è meramente terminologica, ma ha radici nelle caratteristiche tecniche alla base dei tipi di firma. Senza perdersi nei meandri della tecnologia informatica, è sufficiente chiarire che firma elettronica e firma digitale si trovano in rapporto di genus a species. "Firma elettronica" è un insieme di "dati in forma elettronica allegati, oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione" (art. 2 n. 1, dir.). La firma digitale è una particolare firma elettronica che si fonda su sistemi digitali. L'intento del legislatore comunitario è di non limitare alla tecnologia basata sulla crittografia asimmetrica (scelta dal legislatore italiano), la possibilità degli Stati membri di adottare strumenti diversi (forse per l'eterogeneo stato della tecnica). L'art. 1 dir. limita il proprio campo di applicazione alle firme elettroniche ed a taluni servizi di certificazione, escludendo il riconoscimento giuridico dei contratti che richiedono l'apposizione di una firma. La necessità di una firma estremamente "sicura" ha indotto il legislatore ad introdurre la nozione di "firma elettronica avanzata" (art. 2, n. 2, dir.), ossia una firma elettronica connessa in maniera unica al firmatario, idonea ad identificarlo, creata su mezzi sotto il controllo esclusivo del firmatario e tali da permettere l'identificazione di ogni successiva modifica dei dati. Una firma elettronica così strutturata ha caratteri analoghi al sistema di firma digitale fondato sulla crittografia asimmetrica previsto dalle nostre norme e non sembra difficile ammettere che la disciplina italiana della firma digitale sia conforme e rientri nella definizione di firma elettronica avanzata.

Le regole relative all'accesso al mercato dei servizi di certificazione porta alla luce delle differenze tra sistema di certificazione europeo e quello nostrano. Per l'Unione, "gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione"; è tuttavia consentita la conservazione o l'introduzione di sistemi di "accreditamento facoltativi" per servizi di certificazione di livello più elevato, i quali vengano svolti da soggetti con i requisiti previsti dall'allegato III della direttiva e che possono fornire "certificati qualificati". Infatti, la disciplina europea distingue due tipi di certificato; "certificato" è un attestato elettronico che colleghi i dati di verifica della firma ad una persona e conferma l'identità di tale persona (art. 2 n. 9 dir.); "certificato qualificato" è un attestato elettronico con i requisiti previsti dall'allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti dell'allegato II (art. 2 n. 10 dir.).

Il legislatore italiano sembra aver scelto una strada diversa prevista dall'art. 8 d.P.R. 513. Il terzo comma afferma che "le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione". Questo procedimento è l'unico descritto dal Regolamento e permette il pieno riconoscimento giuridico alla documentazione informatica con firma digitale. La combinazione degli articoli del d.P.R. 513 e del d.P.C.M collegato, che ne stabiliscono i requisiti, permette di considerare il certificatore italiano quale prestatore di servizi di certificazione che rilascia un certificato qualificato.

In sostanza, la disciplina del nostro Paese non prevede una firma elettronica non basata su un sistema crittografico a chiave pubblica e la possibilità di esercitare l'attività di certificazione al di fuori del sistema di accreditamento. Allo stesso modo la direttiva comunitaria è carente a causa della mancata previsione dei requisiti di un certificato non qualificato o di un soggetto che voglia, senza essere accreditato presso Autorità nazionali, svolgere il ruolo di prestatore di servizi di certificazione.

Di particolare interesse è l'art. 5 della direttiva, in tema di effetti giuridici delle firme elettroniche, in base al quale gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e creato mediante un dispositivo per la creazione di una firma sicura posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per quelli cartacei e siano ammesse come prova in giudizio. Il secondo comma prevede che gli Stati membri provvedano affinché una firma elettronica non sia considerata legalmente inefficace ed inammissibile come prova in giudizio unicamente a causa della sua forma elettronica, o di non essere basata su un certificato qualificato, o di un certificato rilasciato da un prestatore qualificato o di non essere creata da un dispositivo per la creazione di una firma sicura. Quanto affermato chiarisce che la firma elettronica ha un riconoscimento giuridico da parte dell'Unione. Tuttavia mentre la firma elettronica avanzata va equiparata alla sottoscrizione autografa ai fini sia di forma sia di prova, la firma elettronica (non specificata) deve, in ogni caso, possedere una rilevanza giuridica che avrà meno "forza legale" rispetto alla precedente.

Diversa è la previsione del d.P.R 513, il quale crea un'equivalenza fra la firma digitale e la sottoscrizione autografa (art. 10, comma 2). Non sembra possibile attribuire, in base alle norme italiane, un riconoscimento giuridico a firme apposte od associate con strumenti differenti da quelli presenti nel Regolamento governativo. Inoltre la figura del certificatore ha dei caratteri estremamente dettagliati che mal si conciliano con il libero esercizio di questa delicata funzione di autenticazione prevista dalla direttiva europea. Mentre quest'ultima consente lo svolgimento dell'attività certificativa tanto a persone giuridiche quanto a persone fisiche (art. 2, n. 11 dir., prestatore di servizi di certificazione è "un'entità o una persona fisica o una persona giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche"), il decreto italiano ammette esclusivamente a tale qualifica soggetti pubblici o privati con forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione dell'attività bancaria (art. 8, comma 3, (a ). Già la dottrina aveva sollevato perplessità in merito al rigore dei requisiti perché rendono inevitabile l'esclusione di soggetti che potrebbero svolgere efficacemente l'attività di certificazione proprio per il loro ruolo e le loro funzioni tipiche, ad esempio i fornitori di accesso ad Internet (vedi Ciacci, La firma digitale, Il Sole24ore, 1999).

Dall'esame comparativo fin qui svolto sembra evidente che vi siano dei punti di frizione fra le emanande norme comunitarie e quelle italiane. Va sottolineato come la materia oggetto di studio sia una novità per molti degli ordinamenti degli Stati membri dell'Unione e di conseguenza per l'attività legislativa del Parlamento e del Consiglio Europeo, il cui obiettivo non è armonizzare le discipline statuali bensì dettare norme comuni per iniziare una fase legislativa nazionale nel segno dei principi disposti dagli organi sovranazionali. In questo caso l'Italia si è fatta trovare ben preparata (forse troppo), emanando prima delle istituzioni europee norme che da quanto analizzato, dovranno subire delle modifiche per armonizzarsi con le scelte del legislatore comunitario.

Questi ed altri interessanti aspetti comparativi hanno bisogno di essere sviluppati per comprendere il futuro del d.P.R. 513/1997 e del d.P.C.M 8 febbraio 1999, nel momento in cui dovrà essere attuata la direttiva europea relativa ad un quadro comunitario per le firme elettroniche.