Finalmente Assocertificatori rompe il silenzio sulla questione del "baco" delle applicazioni per la firma digitale qualificata. Paolo Cascino, direttore generale dell'associazione, rende a Itali@Oggi.it del 28 scorso alcune dichiarazioni che suscitano non poche perplessità.
Per inquadrare il problema sono opportune alcune considerazioni di ordine generale.

La validazione dei documenti informatici, il riconoscimento dei soggetti che operano a distanza, la certezza delle transazioni on line e, non ultimo, il pieno valore giuridico di alcune categorie di documenti sono essenziali per il progresso della società dell'informazione. Il loro impiego generalizzato è un passaggio obbligato per lo sviluppo delle attività on line e per la tanto declamata "modernizzazione" della pubblica amministrazione.

Ma la diffusione di questi strumenti presuppone tre condizioni essenziali, cioè l'affidabilità delle applicazioni, la facilità del loro impiego e la fiducia degli utenti. Quest'ultima non è una diretta conseguenza delle prime due, come dimostrano le esperienze del commercio telematico: il pubblico continua a non fidarsi dei pagamenti on line con le carte di credito, anche se è tecnicamente vero che sono più sicuri di quelli che si fanno tutti i giorni consegnando fisicamente la carta nelle mani di un esercente.

E' quindi necessario far capire a tutti i potenziali utilizzatori che i sistemi di validazione elettronica, e in particolare la firma digitale qualificata, possono essere usati con piena fiducia. Inoltre il loro impiego deve essere semplice e immediato, come sottoscrivere un foglio di carta. In più ci deve essere una chiarezza assoluta in tutti i passaggi, dalle basi normative alle informazioni che vengono rese agli utenti nei momenti della sottoscrizione e della verifica.
Dovrebbe essere difficile ignorare queste condizioni. Eppure la posizione di Assocertificatori, così come è stata espressa da Cascino pochi giorni fa, sembra lontanissima da questa concezione. E contiene qualche inesattezza.

Infatti il direttore generale dell'Associazione (che riunisce quasi tutti i certificatori accreditati) afferma che "non si tratta di un malfunzionamento dei dispositivi". E chi lo ha mai detto? Abbiamo sempre parlato di non rispondenza delle applicazioni alla normativa. Poi aggiunge che "il problema riguarda Word 2000", mentre è noto a tutti che si può verificare con moltissimi formati di documenti (Autocad, per fare un esempio, o le ultime versioni di Acrobat).

Poi, dice Cascino, "bisogna che il documento sia statico, cioè un immagine, e non un software che permette la sua elaborazione".
Addio documento informatico. A parte il fatto che nessuno, in questa fase, si sta preoccupando della firma digitale apposta al software, se escludiamo la possibilità di dare valore legale alle "scritture" buttiamo via tutto il lavoro fatto dal 1996 a oggi per l'equiparazione del documento informatico al documento cartaceo. Tanto vale restare alla carta e all'inchiostro.

Ancora Cascino: "L'art. 28-bis del DPR 445/200 stabilisce che spetterebbe ai certificatori dimostrare di aver agito senza colpa. Mentre si chiede di introdurre a carico del titolare del certificato la responsabilità degli effetti derivanti dall'applicazione di una firma elettronica a un documento contenente macroistruzioni o codice eseguibile".
E' incredibile. A parte il fatto che l'art. 28-bis si riferisce a tre precise fattispecie che non hanno nulla a che vedere con eventuali difetti delle applicazioni (vedi I limiti della responsabilità del certificatore), la sola ipotesi di attribuire agli utenti la responsabilità di danni derivanti dall'uso di applicazioni che non rispettano la normativa è giuridicamente insensata.
E, sul piano commerciale, costituisce un ottima ragione per una fuga di massa dalla firma digitale.

Come abbiamo detto all'inizio, ci sono  tre condizioni necessarie (ma non sufficienti) per la diffusione del documento informatico: l'affidabilità delle applicazioni, la loro semplicità d'uso e la fiducia degli utenti. Accettando una proposta come quella avanzata da Cascino si riconoscerebbe che le applicazioni possono tradire, che occorrono complicate verifiche e che non è il caso di fidarsi di questi strumenti. Per capire una parte di questi problemi è illuminante un articolo che abbiamo pubblicato quasi un anno fa: Firma digitale obbligatoria: fermate quella legge!

L'associazione dei certificatori, secondo Itali@Oggi.it, dice che "sarebbe necessario dare piena attuazione a quanto già previsto dall'art. 8 del DPR 445/2000, introducendo nelle regole tecniche una disciplina compiuta del documento informatico, che sino a ora è effettivamente mancata".
Che la normativa debba essere rivista lo scriviamo da tempo. Ma per quello che ci interessa in questa sede le disposizioni sono più che sufficienti: attraverso la firma digitale si deve poter verificare l'integrità del documento e l'applicazione in uso deve presentare, chiaramente e senza ambiguità, il documento da firmare o da verificare.

L'attuazione di queste norme, di cristallina chiarezza, non si può dettare per legge o per regolamento: deve essere fatta dai tecnici in stretta collaborazione con legali esperti della materia. Se invece la revisione delle regole dovesse rendere meno chiare e lineari le procedure della firma digitale, o se introducesse motivi di incertezza dell'utente, come chiedono i certificatori, l'effettiva equiparazione del documento informatico al documento cartaceo sarebbe rimandata sine die.

Non sarebbe il primo autogol dei certificatori: collaborando col Governo nella stesura del decreto 10/02, non si sono opposti al secondo comma del nuovo art. 10 del testo unico sulla documentazione amministrativa, che attribuisce il valore di scrittura privata ai documenti sottoscritti con firme insicure: ipotesi nemmeno prevista dalla direttiva comunitaria, in "disarmonia" con il nostro ordinamento e che rende inutile la firma digitale qualificata nella maggior parte degli atti per i quali era prevista dalla normativa originaria. Una specie di suicidio.

I precedenti:
Tra i "bachi" delle norme e quelli dei programmi di Manlio Cammarata - 19.09.02
La firma è sicura, il documento no di Andrea Gelpi - 19.09.02
InfoCamere: occorre un intervento normativo - 26.09.02
Non spetta all'utente risolvere il problema di Andrea Gelpi - 26.09.02
Funziona o non funziona? L'aspetto tecnico di Corrado Giustozzi - 26.09.02
Funziona o non funziona? L'aspetto legale di Manlio Cammarata - 26.09.02
La responsabilità del certificatore nel sistema di firma digitale di Gianni Buonomo - 03.10.02