Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 Firma digitale

Verso una "seconda generazione" di norme
di Manlio Cammarata  - 27.11.03
 

Sempre "in attesa di pubblicazione sulla Gazzetta ufficiale", circola da qualche tempo lo schema del futuro decreto del Presidente del Consiglio dei ministri con le "Regole tecniche per la generazione, apposizione e verifica delle firme digitali". La versione che pubblichiamo in questo numero dovrebbe essere molto vicina a quella finale. In pochi punti, ma significativi, si discosta dalle regole del '99: non è ancora la "seconda generazione", ma un'interessante premessa. Le prime valutazioni sul prossimo numero.

"Se la firma digitale serve per autenticare i documenti, allora per il passaggio di proprietà di un'automobile non si deve più andare dal notaio"?
La domanda veniva da un signore che aveva seguito con attenzione gli interventi che si erano susseguiti nel convegno sulla firma digitale organizzato a Roma nell'ambito della manifestazione OMAT il 13 novembre scorso. Poteva sembrare una richiesta provocatoria, ma in realtà rivelava l'onesta incertezza di un cittadino di media preparazione di fronte alla confusione normativa sulla firma digitale.
Semplicissima la risposta: nel testo legislativo c'è un errore di traduzione, legga "validazione" invece di "autenticazione"...

Un convegno, quello del 13 novembre, che forse segna un punto di svolta nella controversa evoluzione normativa della firma digitale. Relatori al massimo livello: Roberto Benzi (già componente dell'AIPA e ora consulente del ministro Stanca), Francesco Cocco (uno dei "padri" della firma digitale, ex capo di gabinetto del presidente dell'AIPA). Enrico De Giovanni (capo dell'ufficio legislativo del ministro)  e Paolo Soru (presidente di AssoCertificatori). Tutti concordi, anche se con  accenti diversi, sui difetti della direttiva europea sulle firme elettroniche e sull'opportunità di rivedere la normativa italiana, in attuazione della delega ex art. 10 della legge 229/03.

Ma... Our first recommendation is not to amend the Directive... Our main conclusion is that the test of the Directive is adequate enough to serve its purpose in the near future but that it needs re-interpretation and clarification. Così si legge in un ponderoso rapporto, prodotto dall'Università di Leuven su incarico della Commissione europea, che analizza lo stato di attuazione della direttiva (il testo - un PDF di 1,5 MB - può essere scaricato dal sito dedicato alle iniziative di e-Europe).
Analizzeremo nei prossimi numeri alcuni passaggi molto interessanti del documento (un primo sguardo nell'articolo di R. Manno Europa: a che punto sono le firme elettroniche?). Ora dobbiamo chiederci chi abbia ragione, tra gli studiosi belgi e i nostri più autorevoli "addetti ai lavori", nella valutazione della direttiva: un testo che richiede semplicemente "una re-interpretazione e un chiarimento", oppure un disastro, come ha ripetuto Francesco Cocco?

Probabilmente la prima cosa da fare è una rassegna dei punti critici che sono emersi in Italia nel primo periodo di applicazione delle norme del '97 e nell'attuazione della direttiva. Proviamo a tracciare un elenco schematico.

1. E' necessario chiarire che una cosa è la firma digitale come equivalente della firma autografa, un'altra sono i "contrassegni digitali" che nella direttiva sono definiti electronic signatures (vedi  la relazione di P. Soru al convegno del 13 novembre). La prima comporta una complessa serie di questioni giuridiche (in buona parte già risolte dal DPR 513/97); per i secondi nel nostro ordinamento basta l'ovvia affermazione che possono costituire elementi di prova nel processo civile. E l'argomento è praticamente esaurito. Può essere opportuno, ma non indispensabile, aggiungere qualche norma ad hoc nel codice di procedura civile, per quanto riguarda la querela di falso e il giudizio di verificazione.

2. Conseguenza (o premessa?) del primo punto è la correzione degli errori di traduzione e la revisione delle definizioni. "Autenticazione" al posto di "validazione" è forse l'esempio più significativo, ma ci sono diversi altri punti da sistemare.

3. E' necessario togliere di mezzo, senza incertezze, l'affermazione del valore probatorio "fino a querela di falso" del documento informatico munito di firma digitale, e di quello di scrittura privata per il documento con sottoscrizione "generica". Disposizioni (fra l'altro) incostituzionali, perché in disarmonia con l'ordinamento e non necessarie per l'attuazione della direttiva. Con l'equiparazione del documento con firma "forte" al documento cartaceo sottoscritto, e del documento informatico semplice alla riproduzione meccanica, tutto torna a posto con la massima semplicità.

4. Si devono scrivere norme chiare e vincolanti sulla "certezza giuridica" dell'attribuzione della firma digitale al titolare del certificato, con procedure rigorose per il riconoscimento del soggetto che chiede il certificato e per la consegna del dispositivo di firma esclusivamente nelle sue mani (dal rapporto dell'Università di Leuven si vede come alcuni Stati membri abbiano scelto procedure di certificazione di tipo notarile). Si deve poi valutare l'opportunità di introdurre, anche con un apposito provvedimento legislativo, sanzioni penali per chi appone una firma digitale senza essere titolare del certificato corrispondente e per chi dichiara di aver identificato "con certezza" qualcuno che non ha mai visto in faccia.

5. In tutto questo è opportuno mettere ordine nella gerarchia delle fonti normative: ora abbiamo disposizioni di natura "tecnica" nel testo unico sulla documentazione amministrativa, mentre nelle regole tecniche ci sono passaggi che meritano un superiore rango normativo. Forse nel testo unico andrebbero lasciate solo le norme che riguardano la pubblica amministrazione, mentre le disposizioni generali, comuni al settore pubblico e a quello privato potrebbero costituire un provvedimento a sé stante.

6. Si dovrebbero chiarire molti punti che stanno generando grande confusione. Per esempio, il fatto che un nome-utente e una password non sono una "firma" e che in molti casi l'uso della posta certificata non fa venir meno la necessità della firma digitale.

7. Si dovrebbe modificare l'art. 38 del testo unico, che mette erroneamente sullo stesso piano la firma digitale, il fax e l'identificazione a distanza del mittente con la carta d'identità elettronica e la carta dei servizi (solo la prima garantisce l'integrità del documento, il fax nemmeno l'identità del mittente).

Un'attenta lettura del rapporto dell'Università di Leuven può portare ad altri suggerimenti importanti, perché in un campo innovativo come quello della firma digitale è essenziale lo studio comparato delle prime esperienze. Un dato emerge con chiarezza: il nostro Paese è il solo in cui sia stato emesso un numero significativo di certificati qualificati e nessun altro Stato membro può vantare la nostra esperienza in questo campo.
Passano gli anni, ma l'Italia resta all'avanguardia nella concezione del documento informatico "valido e rilevante a tutti gli effetti di legge", inserito organicamente nell'ordinamento giuridico grazie alla geniale formulazione del secondo comma dell'articolo 15 della legge 59/97

Ora abbiamo tutti gli elementi per porre mano alla stesura di una seconda generazione di norme sulla firma digitale. Si possono rispettare le attuali disposizioni europee con un'interpretazione "intelligente", che induca gli stessi organismi comunitari a una riconsiderazione della direttiva 1999/93, o quanto meno a una seria re-interpretation and clarification. Abbiamo un primato di cui siamo orgogliosi e ci sono tutte le premesse per mantenerlo.