|
Al cuore del sistema: i requisiti dei
certificatori
di Francesco Cocco*
- 06.07.99
Con la pubblicazione, per ora solo sul sito
Internet, della circolare 3 giugno 1999, AIPA/CR/22,
l'Autorità per l'informatica nella pubblica amministrazione ha portato
pressoché a compimento il disegno di dotare il Paese di un sistema legale dell'atto
formato in via elettronica.
Com'è ben noto a quanti hanno seguito in
questi anni il tenace lavoro dell'AIPA, l'intuizione di creare la Rete
unitaria delle pubbliche amministrazioni, una sorta di Internet della P.A.
italiana, nasceva dall'esigenza di porre rimedio alla frammentarietà delle
reti esistenti, alla incomunicabilità delle stesse, foriera di inefficienza e
di costi crescenti, che rendevano pressoché vano qualsiasi tentativo di
rinnovamento nel modo di "fare amministrazione", attraverso l'uso
delle nuove tecnologie dell'informazione.
La realizzazione della Rete unitaria, consentendo l'interconnessione dei
sistemi e dando avvio ai servizi di interoperabilità, porta, come corollario, l'esigenza
di attribuire valore giuridico a tutto quanto viaggia sulla Rete o si genera da
essa. Diversamente, l'informatica che la governa altro non sarebbe che mera
automazione, ancorché spinta ai massimi livelli, ma mai vera e propria
"funzione", cioè a dire attività specifica, finalizzata all'apprendimento
e all'utilizzo della conoscenza indispensabile al corretto esercizio dell'azione
amministrativa.
I documenti scambiati in rete, gli atti formati
su di essa e con essa, i dati acquisiti per il suo tramite dovevano avere un
valore giuridico; se ciò non fosse avvenuto sarebbe stato necessario
materializzarli nel tradizionale supporto cartaceo, per poterli far rientrare
nella fenomenologia giuridica.
L'articolo
15, comma 2, della legge 59/97, detta
anche "Bassanini 1", ideato e suggerito dall'AIPA, ha operato questa
grande rivoluzione: nel concetto di fatto giuridico rientra, ora, anche il fatto
elettronico. In altri termini, il fatto elettronico non è più un mero
accadimento fisico cui la legge poteva ricollegare effetti giuridici solo in
determinate circostanze, come per qualsivoglia fenomeno fisico, ma diviene esso
stesso autonoma fonte produttiva di effetti giuridici, alla stregua di qualunque
manifestazione della volontà umana, come, ad esempio, quella diretta a
concludere un contratto. Le conseguenze che scaturiscono da questa norma che,
per felice intuizione dei suoi ideatori abbraccia anche il mondo dei rapporti
giuridici tra privati, non sono, oggi, neppure immaginabili e non è azzardato
sostenere che essa costituisce per il nostro Paese l'evento giuridico più
importante del secolo. Si tratta, infatti, della "prima pietra" di un
immenso edificio che verrà innalzato dalla dottrina, dalla giurisprudenza e
dalla scienza del diritto per testimoniare il passaggio del bit elettronico
dal mondo fisico a quello giuridico.
I passi successivi alla legge 59/97 sono stati l'elaborazione
dei criteri e delle modalità per la formazione, l'archiviazione e la
trasmissione dei documenti con strumenti informatici e telematici, portati dal DPR
10 novembre 1997, n. 513 e, a
completamento, le "Regole tecniche" di cui al DPCM
8 febbraio 1999, pubblicato nella G.U. n.
87 del 15 aprile 1999.
L'articolo
16, comma 1, del richiamato DPCM prevede
che "Chiunque intenda esercitare l'attività di certificatore (articolo
9, comma 2, del DPR 513/97), deve
inoltrare all'Autorità per l'informatica nella pubblica amministrazione,
secondo le modalità da questa definite con apposita circolare, domanda di
iscrizione nell'elenco pubblico di cui all'articolo
8, comma 3, del decreto del Presidente
della Repubblica 10 novembre 1997, n.513".
Con la circolare del 3 giugno 1999, resa disponibile anche sul sito
Internet dell'AIPA, nella continuazione
di una tradizione, avviata dall'AIPA, di valorizzazione degli apporti
contributivi da chiunque provenienti, sono illustrate le modalità con le quali
le società interessate ad esercitare l'attività di certificatore dovranno
inoltrare le domande, per essere incluse nell'elenco "consultabile in via
telematica", predisposto, tenuto e aggiornato a cura dell'AIPA.
Quanto alla natura giuridica del provvedimento,
con il quale l'AIPA accoglie la domanda di inclusione nell'elenco pubblico
dei certificatori, è da dire, a sommaria cognitio, che tale
provvedimento sembra potersi ascrivere alla categoria delle ammissioni, il cui
effetto, com'è noto, è quello di abilitare all'esercizio di un'attività
che, diversamente, sarebbe preclusa.
L'iscrizione nell'elenco, peraltro, ha effetti non soltanto abilitanti ma
anche costitutivi di uno status, senza il cui possesso non è possibile
esercitare l'attività di certificazione.
Appare evidente, allora, la diversa natura
giuridica di questa iscrizione rispetto a quella prevista dall'art.13, comma
2, del decreto
legislativo 39/93 per l'esercizio dell'attività
di monitoraggio, che, com'è noto, costituisce un mero riconoscimento di
idoneità tecnica, senza effetti preclusivi per le società non incluse, le
quali sono solo soggette all'onere di dimostrare, volta per volta, la propria
capacità tecnica, ove intendano partecipare a gare per l'affidamento di
contratti di monitoraggio.
Per le società che aspirano all'inclusione nell'elenco dei certificatori,
invece, l'inclusione, per come sopra detto, ha efficacia costitutiva.
Tralasciando, qui, di esporre tutte le
disposizioni normative del DPR 513/97, che disciplinano l'attività del
certificatore delle chiavi della firma digitale, qui solo si vuol evidenziare
che, trattandosi di attività capace di incidere nei rapporti intersoggettivi
patrimoniali in misura pressochè totale e, in quanto afferente al trattamento
dei dati personali, chiama in causa l'articolo
18 della legge 675/96 e, quindi, la
responsabilità di cui all'articolo 2050 del Codice Civile per attività
pericolosa, il rigore della Legge trova un adeguato riflesso negli adempimenti
istruttori, cui sono tenuti gli aspiranti all'inclusione nell'elenco.
A questo riguardo, prescrivendo la legge, che l'attività
di certificazione possa essere svolta solo da impresa organizzata in forma di
società per azioni, con capitale sociale non inferiore a quello necessario ai
fini dell'autorizzazione all'esercizio dell'attività bancaria (sempre che
trattisi di soggetti privati), con rappresentanti legali, amministratori,
dipendenti, organizzazione delle strutture operative e dei processi di servizio
coerenti con le prescrizioni di cui all'articolo 8 del DPR 513/97, la
circolare si fa carico di elencare, cadenzatamente, le formalità con le quali
deve essere predisposta la domanda di iscrizione e la documentazione richiesta.
Non è il caso qui di ricordare tali adempimenti,
bastando, al riguardo, la disamina diretta della circolare che, sotto questo
profilo, è puntuale e di chiara lettura. Ciò che preme, invece, di rimarcare
è che, alla fase legata all'istruttoria delle domande di iscrizione, è
ragionevole prevedere che si innesterà una specifica attività, diretta alla
soluzione di specifici casi concreti. Seguirà la fase di verifica della
conservazione e del mantenimento dei requisiti di iscrizione nell'elenco, che
farà carico all'Autorità della fase più delicata connessa a questa nuova
attività istituzionale. L'Autorità, infatti, dovrà organizzarsi per dotarsi
di adeguate professionalità e competenze per questo tipo di controllo e dovrà
mettere a punto un programma di verifiche e controlli volti ad accertare la
qualità e la rispondenza, alle prescrizioni di legge, dei processi di servizio
seguiti dai certificatori e ad assicurare l'utenza sulla correttezza degli
stessi.
Sotto questo profilo, l'aspetto più
qualificante della circolare, piuttosto che risiedere nella parte relativa alle
formalità di presentazione delle domande (punto
1) - che è volta a riscontrare la
sussistenza, in capo agli aspiranti all'iscrizione nell'elenco, dei
requisiti di legge per l'esercizio dell'attività di certificazione - è
tutta nella parte relativa ai requisiti tecnico-organizzativi (punto
2), che rappresentano, in un certo senso,
il cuore del sistema.
A ben vedere, infatti, tutto l'impianto è
ancorato alla verifica e al riscontro della permanenza dei requisiti tecnici in
costanza dell'attività di certificazione, allo scopo di garantire agli utenti
quella costante vigilanza sul corretto funzionamento del sistema.
Gli interessi coinvolti sono di così grande
rilievo che giustificano ampiamente le cautele connesse all'attività di
vigilanza, che deve far premio non solo sulla tutela dell'utenza, ma anche
sulla validità del processo.
Il nostro Paese, infatti, è il primo in Europa
che si è dotato di questi strumenti tecnici e normativi che mirano a far
nascere la negoziazione giuridica in via elettronica e non può certo
permettersi, al riguardo, improvvisazioni e pressappochismi che avrebbero
riflessi catastrofici sull'uso delle nuove tecnologie, con ripercussioni
drammatiche, anche in termini di immagine, per l'industria informatica
nazionale.
Questo spiega il rigore della circolare e siamo
certi che gli operatori di settore concorderanno sulla opportunità di questa
linea di condotta.
D'altro canto, l'aver previsto,
preventivamente, la pubblicazione della circolare sul sito Internet dell'AIPA,
mira proprio a compensare, in un certo senso, tale rigore, allo scopo di
coinvolgere, attraverso il meccanismo della partecipazione, tutte le
responsabilità nazionali su una iniziativa di grandissima portata per l'intero
Paese, abbandonando schemi tradizionali di sapore autoritativo, del tipo:
"Non disturbate il manovratore". È, quello della società delle nuove
tecnologie, un grande disegno, che coinvolge tutto il Paese e che deve far
carico a tutti di portare il proprio contributo di riflessioni e di esperienze.
L'AIPA non si è sottratta alle proprie
responsabilità istituzionali, ma fa affidamento, come da sempre, sul conforto
costruttivo degli operatori del settore.
-----------
*
Avvocato dello Stato e Capo di Gabinetto del presidente dell'Autorità per
l'informatica nella pubblica amministrazione
|
Pagina stampabile
