dircomm.it luglio-agosto 2002 |
Studî e commenti |
ALESSIA MONTONESE
Attuazione della direttiva n. 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche
In attuazione della Direttiva comunitaria 1999/93/CE (relativa ad un quadro comunitario per le firme elettroniche) il Decreto legislativo 23 gennaio 2002, n. 10 (d’ora in avanti per brevità semplicemente Decreto legislativo) ha introdotto nel nostro ordinamento l’effettivo utilizzo della firma elettronica. Innanzitutto si deve evidenziare che alcune precedenti disposizioni legislative e regolamentari sono da considerarsi, per espressa disposizione, sostituite. Si tratta, in particolare, di alcune disposizioni del Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (DPR n. 445 del 2000).Infine, per comprendere meglio l’esatta portata innovativa del decreto in esame è doveroso ricordare alcune definizioni, tra tutte la definizione di firma digitale, poiché quest’ultima rappresenta, come si dirà anche in seguito, una firma elettronica avanzata.
Per firma digitale (1) si intende il risultato di una procedura informatica basata su un sistema di codifica crittografica del documento che garantisce la corrispondenza tra il soggetto titolare della firma e il documento a cui essa è apposta o associata. In tal modo la firma digitale soddisfa i requisiti di sicurezza, quali l’autenticazione, ovvero la possibilità di verifica l’identità del soggetto che appone la firma ed anche l’integrità, cioè la garanzia che l’informazione contenuta nel documento non è stata alterata e, non da ultimo certamente, la riservatezza e la segretezza dell’informazione contenuta nel documento.
Secondo quanto previsto nella direttiva di riferimento lo sviluppo dei servizi di certificazione per il rilascio dei certificati è volto a consentire l’identificazione del mittente dei dati elettronici. La figura del certificatore, il prestatore di servizi di certificazione, sarà responsabile non solo dell’esattezza di tutte le informazioni contenute nel certificato qualificato ma anche della completezza di tutte le informazioni prescritte perché un certificato qualificato sia considerato tale. Con tali garanzie e condizioni, si avrà il riconoscimento giuridico della firma elettronica che sarà equivalente a quello della firma autografa e il documento informatico avrà l’efficacia probatoria prevista riguardo ai fatti ed alle cose rappresentate. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata e protetta da un certificato qualificato, farà inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.
La firma digitale rappresenta dunque un tipo di firma elettronica avanzata, che garantisce la connessione univoca al firmatario e la sua univoca identificazione (articolo 2.1, lettera g, del Decreto in esame). Essa si colloca pertanto al livello più avanzato quanto a sicurezza, efficacia probatoria e utilizzo erga omnes anche nei confronti della pubblica amministrazione.
Tra le principali novità del Decreto legislativo si deve in primo luogo segnalare l’introduzione della firma elettronica leggera, per la quale si deve intendere, secondo l’ampia definizione dell’articolo 2.1, lettera a), l’insieme di dati elettronici utilizzati come metodo di autenticazione informatica.
È la firma digitale ad attribuire ad una sequenza di bit, privi di ogni rilevanza giuridica, il valore di documento informatico a cui la normativa italiana attribuisce la stessa validità del documento sul supporto cartaceo. Nel caso dei documenti elettronici per attribuire con certezza la paternità all’autore si deve dunque far ricorso agli strumenti della crittografia, alla metodologia della doppia chiave (2). L’innovazione più rilevante è contenuta nell’articolo 6, in particolare nel 3 comma, del Decreto legislativo in esame. Secondo tale disposizione il documento informatico ha il valore della scrittura privata legalmente riconosciuta.
È da considerarsi sostituito a tutti gli effetti di legge l’articolo 10 del Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (D.P.R. 445 del 2000). Nell’art. 6 del decreto legislativo in esame si prevede che «Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto». Con tale disposizione si è voluto conferire al documento sottoscritto con la firma digitale (o equivalente firma elettronica avanzata) il valore di scrittura privata legalmente riconosciuta (art. 2702 cod. civ.), non ammettendo per lo stesso il disconoscimento (possibilità invece prevista per la tradizionale scrittura privata cartacea).
Un’osservazione a parte merita la scelta del legislatore delegato di sostituire la precedente disposizione, in tal modo infatti consente che la attuale disposizione abbia il rango di disposizione legislativa e come tale sia idonea ad incidere su una materia regolata da norme di legge, come è il caso dell’art. 2702 del nostro codice civile.
La stessa scelta è stata attuata anche per gli articoli relativi alla carta di identità elettronica. Il Decreto legislativo si preoccupa infatti anche di disciplinare i rapporti telematici con la pubblica amministrazione, soprattutto per quel che concerne i rapporti telematici.
Un’ulteriore elemento di novità è da ravvisarsi nell’utilizzo alternativo della carta d’identità elettronica (o della carta nazionale dei servizi) e della firma digitale (ma non anche di analoga firma elettronica) solo se rilasciata da un certificatore accreditato (articolo 5). Il legislatore italiano si è avvalso pertanto della possibilità prevista dalla direttiva (articolo 3.7 Direttiva 1999/93/CE) di assoggettare il settore pubblico a ulteriori requisiti supplementari (certificatore accreditato e uso della sola firma digitale).
La nuova disciplina comporta un rafforzamento dell’attuale firma digitale rilasciata dai certificatori iscritti nell’elenco tenuto dallAIPA, in quanto caratterizzata dal massimo livello di efficacia giuridico-probatoria e dell’utilizzabilità erga omnes anche nei confronti della pubblica amministrazione (articolo 11).
Per completezza si può in tale contesto segnalare che, per ottemperare a una richiesta della Organizzazione mondiale per il commercio-WTO posta a condizione della sua adesione a tale Organizzazione, la Russia si è dotata dal 23 gennaio 2002 di una legge sulla firma digitale, parte di un pacchetto normativo che riguarda le-commerce (3). All’esame della Duma vi sono infatti le leggi in materia di commercio elettronico, di documenti digitali e di fornitura di servizi finanziari attraverso il canale digitale.
La normativa russa non si discosta in maniera sostanziale da quanto previsto in Italia dal D.P.R. 513/97, secondo cui la firma digitale è il risultato di una procedura informatica basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico. L’apposizione della firma digitale al documento informatico equivale alla sottoscrizione per gli atti e i documenti redatti nella tradizionale forma cartacea e attribuisce loro valore probatorio.
Per apporre la firma digitale il firmatario deve essere quindi in possesso di una chiave privata, ovvero una combinazione nota al solo titolare e destinata alla sottoscrizione dei documenti digitali. La firma digitale così apposta è successivamente verificata attraverso una chiave pubblica la quale è costituita ugualmente da un algoritmo corrispondente alla chiave privata, ma è nota a ogni utente del sistema informatico in questione. La chiave pubblica è soggetta a certificazione, ovvero a una procedura informatica mediante la quale si garantisce la corrispondenza tra chiave pubblica e il titolare cui essa appartiene che viene così identificato.
Certificatore è, come in Italia, il soggetto pubblico o privato che effettua la certificazione e rilascia il certificato della chiave pubblica. La certificazione di firma digitale effettuata all’estero, in ottemperanza alle norme vigenti nel Paese estero, sarà riconosciuta in Russia a condizione che siano osservate le procedure relative alla legalizzazione di un documento straniero.
In sintesi, perché alla firma digitale sia riconosciuto il medesimo valore riconosciuto alla firma tradizionale, la certificazione di chiave di firma deve essere valida, l’autenticità della firma digitale deve essere confermata dalla chiave pubblica e, infine, la firma digitale deve essere usata in conformità a quanto previsto dal certificato, ivi inclusa l’apposizione della firma digitale ai fini specificati nel certificato stesso.
I certificatori, che sono autorizzati a pubblicare e aggiornare i certificati di chiave pubblica e presso cui sono conservati gli elenchi dei certificati, sono soggetti a licenza e alle norme tecniche in materia, ancora non entrate in vigore. La legge traccia infine una distinzione tra l’uso di firme digitali in un sistema informatico pubblico (aperto a qualsiasi utente del sistema) e in un sistema informatico societario (il cui accesso e funzionamento è limitato a discrezione del titolare, ovvero è regolato contrattualmente).
In conclusione può affermarsi che a fronte della vastità del campo operativo della firma digitale si è inteso realizzare un alto livello di sicurezza e affidabilità, garanzie queste che non possono essere offerte se non da una forma di certificazione su un documento che avrà la stessa validità del documento cartaceo legalmente riconosciuto.
(1) Cfr. MONTONESE, La firma digitale, in Impresa, n. 6 del 1999; e L’interoperatibilità della firma digitale, in Impresa, n.7/8 del 2000.
(2) Per il documento cd. tradizionale, cioè il documento in forma cartacea, si è sempre saputo che la scrittura è il mezzo con cui si rappresenta il contenuto dell’atto stesso, e che la stessa ha sempre fornito la garanzia di autenticità e non modificabilità del contenuto, costituendo essa stessa un tutto unico con il contenente. È con la firma che si certifica il contenente ed il contenuto.
La firma apposta in calce ad un documento cartaceo esprime sino a prova contraria il consenso dell’autore sul contenuto dell’atto sottoscritto e serve ad attribuire con certezza la paternità dello stesso al suo autore. Nella normale pratica l’autenticità della firma apposta ad un documento viene verificata attraverso il confronto con un’altra firma dello stesso autore, depositata in genere su un documento certificato da un’autorità.
Davanti ad un file, invece, le osservazioni sono inevitabilmente diverse e l’aspetto principale, che evidenzia con immediata chiarezza la differenza, consiste proprio nella possibilità che il contenente sia modificato, riprodotto anche infinite volte e senza alcuna difficoltà, ma soprattutto che il contenuto sia totalmente svincolato dal contenente. Ecco dunque la vera importanza della firma digitale: essa è generata sul contenuto di un documento, l’autenticazione è cioè richiesta per il contenuto.(3) L’unico paese ad aver finora emanato una normativa sulla firma digitale è stata la Germania. L’art. 3 della cd. Multimedia Gesetz si prefigge proprio lo scopo di creare condizioni di sicurezza per l’uso della firma digitale.