Innovazione al contrario: sono state sconvolte o cancellate le norme essenziali sulla firma digitale.
Nel 1997 il legislatore italiano, primo al mondo, aveva sancito con l'art. 15, c. 2 della legge 59/97 la validità e rilevanza del documento informatico "a tutti gli effetti di legge". Due articoli del regolamento applicativo, il DPR 513/97 (che disciplinava solo la firma digitale "sicura") sancivano in modo inequivocabile l'equivalenza del documento informatico al documento cartaceo. Ora, dopo il recepimento della direttiva 1999/93/CE, operato con il DLgv 10/02, e con il recentissimo DPR 137/03, questi due pilastri sono crollati. Vediamo perché partendo dalla prima delle due disposizioni:

DPR 513/97, art. 4
1. Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta.

La disposizione era stata ripresa senza cambiamenti sostanziali nella prima versione del testo unico sulla documentazione amministrativa:

DPR 445/00, art. 10 - vecchio testo
1. Il documento informatico sottoscritto con firma digitale, redatto in conformità alle regole tecniche di cui all'articolo 8, comma 2 e per le pubbliche amministrazioni, anche di quelle di cui all'articolo 9, comma 4, soddisfa il requisito legale della forma scritta [...]

"I requisiti previsti dal presente regolamento" della prima versione (e, con una formulazione diversa, nella seconda) consistevano in sostanza nell'apposizione della firma digitale certificata da un certificatore iscritto nell'elenco pubblico e generata con il "dispositivo di firma": quella che oggi dovrebbe corrispondere alla "firma elettronica avanzata - o qualificata? -  basata su un certificato qualificato e generata mediante un dispositivo per la creazione di una firma sicura", secondo le intricate disposizioni comunitarie.

L'art. 6 del DLgv 10/02 ha cambiato la norma, che ora suona così:

DPR 445/00, art. 10 - nuovo testo
2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.

Con questa modifica (non richiesta dalla direttiva europea) qualsiasi firma elettronica, anche quella certificata da nessuno, né "qualificata" né "avanzata", dovrebbe equivalere alla firma autografa. Il che appare contrario a qualsiasi logica, oltre che incostituzionale per vizio di delega (vedi La Costituzione, la delega e le "disarmonie" del testo di Daniele Coliva).
Tralasciamo, in questa sede, le questioni sul valore probatorio, di cui ci siamo occupati più volte (vedi Lo schema governativo stravolge il processo civile di Gianni Buonomo).

Passiamo al secondo "pilastro" dell'edificio della firma digitale come era stata costruito dal legislatore del '97:

DPR 513/97, art. 10
2. L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo.

La disposizione, che riassumeva il fondamento stesso della firma digitale, era stata ripresa tale e quale nell'art. 23, c. 2 del TU. Ma con l'art. 9 del DPR 137/03 (che entra in vigore fra pochi giorni). l'art. 23 del TU è stato completamente riscritto e la norma è sparita.

A questo punto è forte la tentazione di smettere per sempre di occuparsi  di questa materia. Viene infatti il sospetto che con l'abolizione di questa norma, e con lo svuotamento sostanziale di quella che abbiamo esaminato prima, si sia voluto semplicemente abrogare il pieno valore legale del documento informatico.
Ma siccome la firma digitale è un argomento troppo importante per abbandonarlo nelle mani del legislatore, è utile andare avanti e tentare di capire almeno di che cosa stiamo parlando. Un primo, prudente tentativo, dal momento che mancano ancora le regole tecniche riferite al nuovo testo unico (ma la loro pubblicazione dovrebbe essere questione di giorni, perché il decreto del '99 contiene molte disposizioni in contrasto col nuovo sistema).

Partiamo da una domanda elementare e apparentemente inutile, soprattutto dopo le spiegazioni ottenute nell'intervista a Enrico De Giovanni, responsabile dell'ufficio legislativo del Dipartimento per l'innovazione: che cos'è la firma digitale?
Risponde la nuova definizione, contenuta nell'art. 1, c. 1, n): è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

C'è di che restare perplessi, perché qualsiasi firma elettronica serve a "rendere manifesta e a verificare" la provenienza e l'integrità di un documento informatico. Dunque non si comprende in che cosa la firma digitale sarebbe diversa dalle varie firme elettroniche, tanto più che la definizione non comprende alcun riferimento a caratteristiche specifiche, come il livello di attendibilità.

Vediamo se si capisce qualcosa dal combinato disposto delle altre definizioni. Che cos'è la firma elettronica qualificata di cui la firma digitale costituisce, secondo la norma citata, una particolare species? Partiamo dalla definizione della firma elettronica generica, definita dall' art. 1, c. 1, cc): l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica.
Fermi tutti, c'è qualcosa che non va. Il termine "autentificazione" non corrisponde ad alcun istituto contemplato da nostro ordinamento giuridico. La parola non esiste nemmeno sui vocabolari della lingua italiana. E allora?

Con ogni evidenza, il legislatore ha tenuto conto delle nostre ripetute osservazioni sull'uso erroneo della parola "autenticazione" (presente sia nel DLgv 10/02, sia nello schema dell'ultimo decreto, approvato dal Governo il 31 gennaio) come traduzione dell'inglese authentication della direttiva. Ma nella versione definitiva, invece di usare il termine "validazione", già presente con questo significato nel DPR 513/97, si è inventato l'assurdo "autentificazione". Che, non essendo presente nell'ordinamento e sconosciuto nei dizionari, a stretto rigore non ha un "significato proprio".
Nelle  "Disposizioni sulla legge in generale" che aprono il codice civile all'art. 12 si legge:  Nell'applicare la legge non si può ad essa attribuire altro senso che quello fatto palese dal significato proprio delle parole secondo la connessione di esse, e dalla intenzione del legislatore.

L'intenzione del legislatore, secondo buon senso e nel contesto della normativa, doveva essere quella di dire che la firma elettronica serve per la "validazione": in questo senso interpreteremo d'ora in poi la stravagante "autentificazione" del testo.
Andiamo avanti e troviamo la "firma elettronica avanzata", all'art. 1, c. 1, dd):  la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Siamo al cospetto di una più completa definizione della firma digitale-elettronica: niente di nuovo. Proviamo con la definizione successiva, quella di "firma elettronica qualificata", all'art. 1, 1, ee): la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma.

Eureka! Abbiamo una definizione che corrisponde alla sostanza della nostra vecchia, cara firma digitale del 1997. Ma rimane un grave dubbio: la definizione di "firma digitale", che abbiamo visto poco fa, parla di un particolare tipo di firma elettronica qualificata  - dunque ci sarebbero altri tipi di firme elettroniche qualificate  - basata su un sistema di chiavi asimmetriche a coppia  una pubblica e una privata - ecco l'ipotesi di firme elettroniche non basate sulla crittografia a chiavi asimmetriche - che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici - cioè ci sarebbero firme elettroniche qualificate che non servono a rendere manifesta e a verificare la provenienza e l'identità di un documento informatico o di un insieme di documenti informatici.

Suppongo che qualche lettore, particolarmente interessato, rileggerà più volte i paragrafi precedenti, nel tentativo di scoprire l'errore nel mio ragionamento. Gli sarà grato se vorrà segnalarmelo, perché a me sembra di aver semplicemente ordinato le diverse disposizioni in una successione logica, che lascia i dubbi che ho descritto: non è chiaro, in particolare, se si debba usare la "firma digitale" o se basti una "firma elettronica qualificata" (visto che la prima è classificata come una species della seconda) per sottoscrivere un documento informatico valido e rilevante a tutti gli effetti di legge. In altri termini, quale firma elettronica possa essere considerata equivalente alla firma autografa. Sempre che questa equivalenza esista ancora.

Le altre rinnovate disposizioni del TU non aiutano a capire, anzi aumentano i dubbi. Vediamo infatti che il certificato delle chiavi di sottoscrizione deve essere sottoscritto dal certificatore con firma "avanzata" (art. 27-bis, c. 1, g); mentre occorre la firma "qualificata" dei depositari pubblici e dei pubblici ufficiali che  rilasciano o spediscono documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private eccetera (art. 20, c. 2). In quest'ultima disposizione l'espressione "firma qualificata" sostituisce la precedente "firma digitale", ma in diversi altri passaggi del testo la firma digitale resta, sicché resta anche il dubbio se le disposizioni generali sulla firma digitale contenute nell'art. 23 si applichino anche alla firma elettronica qualificata.

E nello stesso art. 23, dove si parla sempre di "firma digitale" , il comma 3 torna alla menzione della "firma elettronica" (senza specificazioni) per dire che equivale a mancata sottoscrizione quella basata su un certificato revocato, scaduto o sospeso". Quale firma? Quali effetti? Se si parla di firma elettronica tout court, non si vede quale rilevanza possa avere l'eventuale invalidità di un certificato di cui nessuna norma prevede requisiti, scadenze o altre caratteristiche. Se aggiungiamo la già citata sparizione del vecchio comma 2 (L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo), ci troviamo nella confusione più totale.

Un'altra misteriosa sparizione  è quella del deposito della chiave privata, previsto dal precedente art. 26, ora dedicato a un altro argomento. Era una previsione significativa, perché sanciva l'importanza della totale segretezza della chiave privata. La soppressione fa sospettare future ipotesi di key escrow o di altre forme di "consegna" a terzi della chiave privata. Si deve ricordare che la previsione della custodia della chiave privata da parte del notaio, presente nella bozza del '96, era stata duramente criticata e quindi eliminata nel DPR 513/97 (vedi "Key escrow", una questione molto delicata).

Concludiamo, per il momento, segnalando un'altro passaggio scomparso: nell'art. 22, c. 1, b) non c'è più la previsione dell'uso delle chiavi di cifratura per la crittografia, oltre che per la sottoscrizione. Bene: per la eventuale cifratura dei documenti informatici è meglio usare una coppia di chiavi diverse o una "chiave di trasporto", che rende anche più rapide le operazioni di cifratura e decifratura.
Ancora un aspetto positivo: la fondamentale regola secondo la quale il software deve presentare chiaramente e senza ambiguità  i dati da firmare o da verificare è stata "promossa" dalle regole tecniche al regolamento. Qualche certificatore chiedeva una modifica normativa per il software che non rispetta questa disposizione: è servito.