Una catena di errori che parte da
Bruxelles
di Manlio Cammarata - 10.07.03Una notizia-notizia e una notizia mancata.
La notizia-notizia è che la "autentificazione" inserita nelle nuove
definizioni dell'art. 1 del DPR 445/00 era un errore. La Gazzetta ufficiale
del 3 luglio porta un errata corrige: leggasi
"autenticazione"... In più i "sistemi informativi
autorizzati" della lettera q) sono in realtà "automatizzati".
A quest'altro errore nessuno aveva fatto caso, nelle discussioni su altri e più preoccupanti
aspetti delle nuove norme sulle firme elettroniche.
La notizia mancata è quella dell'emanazione del DPCM con le nuove regole
tecniche. Il novellato testo unico è in vigore da tre giorni, ma le regole
sono sempre quelle che risalgono al vetusto DPCM 8 febbraio 1999 e in diversi punti
sembrano in conflitto con le nuove disposizioni conseguenti all'attuazione
della direttiva europea.
Intanto aumenta l'interesse per la materia. Le statistiche di
InterLex mostrano un record di accessi per le pagine che abbiamo dedicato alla
firma digitale nelle ultime settimane. SI moltiplicano le e-mail con richieste
di chiarimenti. Eccone una particolarmente significativa:
Mi sto occupando della gestione dei flussi documentale di una ASL di
*****. Vorrei capire in parole semplici:
1) il significato dell'espressione citata dell'art. 1 lettera cc) del novellato
DPR 445/2000: " ....l'insieme dei dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici utilizzati come
mezzo di autentificazione informatica".
2) I concetti relativi all'efficacia probatoria dei documenti cartacei, della forma scritta e della firma autografa erano ben definiti. Con i nuovi strumenti
faccio difficoltà ad orientarmi. Chiederei se possibile un prospetto di equiparazione tra vecchio (documenti cartacei) e nuovo (documenti informatici)
3) La modifica al DPR 445/2000 ha introdotto diversi concetti di firma: firma elettronica, digitale avanzata, qualificata, sicura. Quali sono in parole povere
le differenze?
La risposta, in parole semplici, in parole povere, è che non ci si capisce
più nulla. Ne sono prova i numerosi interventi che abbiamo pubblicato e
continuiamo a pubblicare (un elenco è alla fine della pagina). Al di
là delle differenti posizioni degli autori, appare evidente un'opinione
comune: "Gli è tutto da rifare", come diceva il grande Bartali.
La citazione non è casuale , perché i legislatori comunitario e nazionale
devono mettersi a pedalare di buona lena, se vogliono veramente la rapida
diffusione dei nuovi strumenti di validazione dei documenti e delle
transazioni informatiche.
Sembra infatti che almeno a Bruxelles qualcuno incominci a rendersi conto dei
pasticci creati con la direttiva 1999/93/CE
e stia pensando di mettere mano a una non marginale revisione. Ma qual è il
problema di fondo? Ecco, trascurando i dettagli, le linee essenziali. La
normativa italiana impostata fin dal 1996 (e sancita con l'art.
15 della L. 59/97, con il DPR 513
dello stesso anno e con le regole tecniche del '99) presentava un'impostazione
giuridicamente impeccabile: il problema era di assicurare la rilevanza ed
efficacia dei documenti informatici a tutti gli effetti di legge; la soluzione
fu trovata nello strumento tecnologico della firma digitale basata sulla
crittografia a chiave pubblica. Il rispetto di determinati requisiti
(certificazione, dispositivo di firma ecc.) consentiva l'equiparazione della
firma digitale alla firma autografa. Tutto qui.
Gli altri "livelli" della firma digitale (o, meglio, gli altri
sistemi di validazione e riconoscimento a distanza) non furono presi in
considerazione, per il semplice motivo che nulla ne vietava l'uso o ne
consigliava una particolare regolamentazione: infatti erano (e sono, e saranno
negli anni a venire) impiegati da sempre in ambito privato, con piena
soddisfazione degli utenti. L' impostazione del legislatore italiano era
fondata sul concetto che l'emanazione di qualsiasi regola giuridica deve
seguire i principi del diritto, assumendo la tecnologia come strumento. Ai
tecnologi spetta il compito (essenziale) di stabilire le regole tecniche, ma
le leggi devono essere scritte dai giuristi. Si veda, su questo punto,
l'intervento di E. Maccarone La supremazia del diritto
sulla tecnologia: L'importanza delle tecnologie - scriveva
Maccarone pochi mesi fa - è fondamentale ed innegabile, ma nessuna
società può fondare su di esse la propria esistenza: le regole deve darle il
diritto, cioè quella mistura di saggezza, moralità, compromesso, conoscenza,
equità, disumana umanità ed esperienza sulle quali si fonda ogni società.
Se ciò è vero, allora ben venga il contributo delle scienze e della
tecnologia, ma non pretendano esse di impossessarsi delle nostre regole di
convivenza civile, del diritto. Ebbene, con la direttiva del '99 l'Unione
europea ha fatto esattamente il contrario. Ha preso una tecnologia, quella
della firma digitale basata sulla crittografia a chiave pubblica, e su essa ha
tentato di costruire un sistema giuridico. Siccome questa tecnologia offre
diversi livelli di "certezza", a seconda di come viene utilizzata,
il legislatore europeo si è ingegnato a correlare questi livelli tecnici a
diversi gradi di efficacia giuridica, piegando il diritto alle sfumature della
tecnologia. Poi, per dare al tutto un'aura di imparzialità e neutralità, ha
sostituito l'aggettivo "digitale" con il più generico
"elettronico" (vedi Firme digitali e... analogie
elettroniche di C. Giustozzi). Infine ha scopiazzato confusamente le
regole tecniche italiane sui requisiti della firma digitale equivalente alla
firma autografa e le ha poste come "allegati". Ma si è dimenticato,
o non ha avuto il tempo, di rivedere l'intero testo per coordinare definizioni
e disposizioni.
Partendo da siffatto pasticcio, il legislatore italiano si è inevitabilmente
trovato in difficoltà. Ma tra diverse possibili soluzioni ha scelto la
peggiore. Avrebbe potuto operare un vero "recepimento", modificando
le poche disposizioni del nostro ordinamento non coerenti con le indicazioni
comunitarie; invece ha "copiato" un testo di per sé confuso; poi ha
cercato di adattare le norme esistenti a quelle pedissequamente riprodotte,
aumentando la confusione. Si deve considerare il fatto che la stessa
traduzione in italiano del testo della direttiva è concettualmente errata in
diversi punti. A parte il già più volte rilevato errore nella trasposizione
del termine authentication nell'italiano "autenticazione", la
stessa traduzione del termine digital signature con "firma
elettronica" è inesatta e fuorviante. Perché in inglese signature
non vuol dire soltanto "firma", ma anche "segno",
"vidimazione" e "marchio", fino alla "sigla
musicale". Nel linguaggio degli esperti di virus informatici significa
anche "impronta". Da qui possiamo arrivare al nocciolo del
problema, all'equivoco di fondo: quando in inglese si parla di digital
(o electronic) signature, non ci si riferisce solo al
concetto di "firma" come è presente nell'ordinamento italiano, dove
è sostanzialmente sinonimo di "sottoscrizione autografa" tracciata
da una persona fisica. L'espressione signature vale anche per una serie
di altri strumenti, fra i quali rientrano, per esempio, molti protocolli di
sicurezza delle transazioni telematiche. Dove a "firmare" non sono
gli uomini, ma le macchine, e quindi la qualificazione giuridica di
"firma" non è appropriata per il nostro ordinamento. Dunque il
concetto che dovrà essere tenuto presente nell'indispensabile revisione della
normativa è questo: una cosa è la firma digitale, come sostituto della firma
autografa, un'altra i vari sistemi di validazione e riconoscimento
informatico. Si deve eliminare l'errore fondamentale della direttiva, quello
di aver unito in una sola previsione normativa due fenomeni giuridicamente
differenti, sulla base della loro derivazione dallo stesso principio
tecnologico. Errore che si è trasmesso a catena, fino al refuso della "autentificazione".
Che ha generato persino disdicevoli motti di spirito.
|
Pagina stampabile
