11.1. Chi è la "terza parte fidata"?

Un aspetto della normativa sul documento informatico, che suscita ancora qualche perplessità, riguarda la funzione di certificazione che può essere svolta dalle pubbliche amministrazioni.
Recitano i primi due commi dell'articolo 17 del Regolamento:

1. Le pubbliche amministrazioni provvedono autonomamente, con riferimento al proprio ordinamento, alla generazione, alla conservazione, alla certificazione ed all'utilizzo delle chiavi pubbliche di competenza.
2. Col decreto di cui all'articolo 3 sono disciplinate le modalità di formazione, di pubblicità, di conservazione, certificazione e di utilizzo delle chiavi pubbliche delle pubbliche amministrazioni.

L'articolo 62 delle regole tecniche precisa:

1. Secondo quanto previsto dall'articolo 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, le pubbliche amministrazioni provvedono autonomamente alla certificazioni delle chiavi pubbliche dei propri organi ed uffici, nell'attività amministrativa di loro competenza, osservando le regole tecniche e di sicurezza previste dagli articoli precedenti. A tal fine possono avvalersi dei servizi offerti da certificatori inclusi nell'elenco pubblico di cui all'articolo 8 dello stesso decreto, nel rispetto delle norme vigenti per l'aggiudicazione delle pubbliche forniture.
2. Restano salve le disposizioni del decreto del Presidente della Repubblica 23 dicembre 1997, n. 522,
con riferimento ai compiti di certificazione e di validazione temporale del Centro Tecnico per l'assistenza ai soggetti che utilizzano la rete unitaria delle pubbliche amministrazioni, in conformità alle disposizioni dei regolamenti previsti dall'articolo 15, comma 2, della legge 15 marzo 1997, n. 59.
3. Restano salve le disposizioni contenute nel decreto del Ministero delle finanze 31 luglio 1998, pubblicato nella Gazzetta Ufficiale n. 187 del 12 agosto 1998, concernente le modalità tecniche di trasmissione telematica delle dichiarazioni e successive modificazioni ed integrazioni.

Dunque l'articolo 62 delle Regole tecniche attua la disposizione del secondo comma dell'articolo 17 del Regolamento, ma con qualche dettaglio che deve essere considerato con molto attenzione.
La norma di partenza può sollevare qualche dubbio interpretativo per quanto riguarda la relazione tra "il proprio ordinamento" e le chiavi "di competenza". A prima vista può significare che le pubbliche amministrazioni fungono da certificatori per le chiavi che servono a generare le firme dei singoli uffici, o dei dipendenti, in tutti gli usi del documento informatico. Cioè, per fare un esempio, che uno studente potrebbe avere una pagella sottoscritta con la firma digitale del direttore della scuola, firma certificata dalla scuola stessa (che è una pubblica amministrazione) o dal Ministero della pubblica istruzione.

Per alcuni si tratterebbe di una soluzione assurda, perché fa venire meno il principio della "terza parte fidata", indispensabile per la certezza dell'identificazione del firmatario e per la validità del certificato. Infatti firmatario e certificatore si identificherebbero in un solo soggetto.
Quasi a smentire questo assunto, le regole tecniche precisano che le chiavi che possono essere certificate dalle pubbliche amministrazioni sono quelle "dei propri organi e uffici".
Ma resta ancora qualche problema.
Infatti il terzo comma dello stesso articolo 62 contiene un salvacondotto per il sistema di sicurezza (pubblicizzato come sistema di certificazione) che il Ministero delle finanze ha messo in piedi nel '98 per rendere possibile l'invio telematico delle dichiarazioni fiscali, sistema che non soddisfa le Regole tecniche, alle quali sono invece tenute a uniformarsi tutte le pubbliche amministrazioni per la certificazione delle chiavi dei propri organi e uffici. E' proprio questa esplicita eccezione che conferma la regola della certificazione delle pubbliche amministrazioni solo a uso interno.

11.2. Il certificatore dei certificatori?

Un discorso a parte merita il secondo comma dell'articolo 62 delle regole tecniche, dove si richiamano i compiti di certificazione e validazione temporale del Centro tecnico della Rete unitaria della pubblica amministrazione. La norma è nel secondo comma dell'articolo 2 del DPR 522/97, dove si legge che il Centro tecnico ha il compito di "curare le procedure di certificazione delle chiavi di cifratura ed i sistemi di validazione temporale, secondo le norme tecniche dettate dall'Autorità, anche in conformità alle disposizioni dei regolamenti previsti dall'articolo 15, comma 2, della legge 15 marzo 1997, n. 59".
Un'interpretazione frettolosa porterebbe a identificare nel Centro il "certificatore dei certificatori". In realtà la norma citata non dice che il Centro "certifica", ma che "cura le procedure di certificazione". La conferma è nell'articolo 15 delle Regole tecniche, che elenca le informazioni che, per ogni certificatore, devono essere contenute nel registro pubblico: non c'è alcun accenno a un certificato di livello superiore a quelli che gli stessi certificatori generano per le proprie chiavi di certificazione.

La funzione dell'elenco (la cui tenuta costituisce chiaramente la "cura" prevista dal citato secondo comma dell'articolo 2 del DPR 522/97) è strettamente pubblicistica, anche se il fatto che "L'elenco pubblico è sottoscritto dall'Autorità per l'informatica nella Pubblica Amministrazione"(ultimo periodo dell'articolo 15 delle Regole tecniche) costituisce la certificazione delle informazioni che vi sono contenute e quindi, ma solo indirettamente, delle chiavi di certificazione dei certificatori (vedi anche Al cuore del sistema: i requisiti dei certificatori di Francesco Cocco, Capo di gabinetto dell'AIPA).
In un solo caso il Centro tecnico svolge il ruolo di certificatore (articolo 14 delle Regole tecniche): per le chiavi dell'Autorità per l'informatica nella pubblica amministrazione. Qui siamo di fronte a una forzatura del principio della "terza parte fidata", perché il Centro tecnico è sotto il controllo della stessa AIPA. Tuttavia, dal momento che non esiste un certificatore di livello superiore, la certificazione delle chiavi dell'AIPA da parte di un certificatore iscritto all'elenco sarebbe una forzatura ancora più seria, perché si verificherebbe la certificazione del controllore da parte di un controllato.

11.3. Altre certificazioni "particolari"

Torniamo all'articolo 17 del DPR 513/97. I commi 3 e 4 prevedono due situazioni particolari di certificazione, per i pubblici ufficiali non appartenenti alla pubblica amministrazione il comma 3 e per gli ordini e albi professionali il 4.
I "pubblici ufficiali non appartenenti alla pubblica amministrazione" sono, di fatto, i notai, anche se nella categoria rientrano altre figure, come i comandanti delle navi e degli aeromobili in navigazione. La norma affida dunque al Notariato (che, per la legge notarile, ha il compito di validare le firme dei notai), il compito di certificatore delle chiavi pubbliche dei notai stessi. In questo modo si concilia l'innovazione della firma digitale con l'ordinamento tradizionale della professione e non si toccano norme consolidate.

Una ratio simile ha probabilmente suggerito il quarto comma, che affida al Ministero della giustizia il ruolo di certificatore delle chiavi degli ordini e degli albi professionali. Essendo questi sottoposti al controllo del Ministero, l'affidamento al Ministero stesso dei compiti di certificatore rientra senza problemi nell'ordinamento esistente.
Ma è possibile un'altra chiave di lettura: poiché gli albi e gli ordini professionali non sono individui, non possono certo considerarsi soggetti abilitati a sottoscrivere (per questo ci sono i legali rappresentanti), si potrebbe affermare che il compito affidato al Ministero della giustizia si estende alla certificazione di tutti gli iscritti agli albi professionali posti sotto la sorveglianza dello stesso Ministero.

Dunque il Notariato (direttamente o per delega ministeriale) e il Ministero della giustizia devono attrezzarsi per la certificazione? Certamente sì, secondo alcuni, perché il Mistero "deve" svolgere attività di certificazione; non necessariamente, secondo altri, perché sia il Ministero, sia in suoi delegati,  "possono avvalersi dei servizi offerti da certificatori inclusi nell'elenco pubblico di cui all'articolo 8 dello stesso decreto, nel rispetto delle norme vigenti per l'aggiudicazione delle pubbliche forniture", come recita la seconda parte del primo comma dell'articolo 62 delle Regole tecniche.

A questo punto il quadro generale della certificazione nell'ambito delle pubbliche amministrazioni è completo, sia pure con le piccole anomalie e le incertezze alle quali abbiamo accennato e che meriterebbero una trattazione a parte. Ma, come abbiamo scritto altre volte, il compito che si prefiggono queste pagine è solo quello di offrire un quadro sintetico di tutto il sistema del documento informatico, senza scendere in dettagli che possono interessare solo gli studiosi del diritto.