|
L'Unione
europea verso regole comuni sulla firma digitale
di Antonio Preto* - 16.10.99
(Sintesi della relazione presentata al seminario e convegno di studi "Firma digitale e libere professioni" - Pontremoli, 15-16 ottobre 1999)
La
comunicazione elettronica e il commercio elettronico su
scala mondiale stanno acquistando una sempre maggiore
importanza. I prodotti e i servizi di questo settore
appartengono a un mercato in rapida crescita con un
incremento di oltre il 100% entro il 2001.
Il commercio elettronico tramite Internet costituirà uno
dei fattori chiave per lo sviluppo della società globale
dell’informazione. Ciò presuppone il miglioramento
della sicurezza delle reti pubbliche per prevenire
fenomeni di criminalità così facili a diffondersi per
via elettronica.
Per tenere il passo con questi sviluppi occorre creare
delle procedure per il miglioramento degli standard di
sicurezza e per il riconoscimento giuridico delle firme
elettroniche e dei servizi di certificazione. Esse sono
essenziali per garantire la sicurezza e la fiducia del
consumatore nel commercio elettronico.
In settori in cui grazie ai velocissimi progressi
tecnologici si sta assistendo a uno sviluppo senza
precedenti, l’Unione europea deve sforzarsi in
particolare di eliminare sul nascere gli ostacoli
determinati a livello del mercato interno da normative
nazionali divergenti e di mettere a disposizione per
tempo un quadro normativo europeo.
Oltretutto,
le diverse attività in seno alle istituzioni
internazionali dimostrano che a causa della globalità di
Internet non sarà sufficiente un complesso regolamentare
limitato all’Europa. Tuttavia regolamentazioni
uniformi a livello europeo possono svolgere un importante
ruolo di battistrada per accordi su scala mondiale in
sede OCSE e OMC.
Il 13 maggio 1998, su iniziativa di Martin Bangemann e di
Mario Monti allora Commissari responsabili
rispettivamente per le telecomunicazioni e per il mercato
unico, la Commissione europea ha avanzato una proposta di
direttiva che istituisce un quadro giuridico per l'uso
delle firme elettroniche.
Definendo regole minime in materia di sicurezza e
responsabilità, la proposta mira a garantire il
riconoscimento giuridico delle firme elettroniche in
tutta l'Unione europea, sulla base dei principi del
mercato unico concernenti :
a) la libera
circolazione dei servizi
b) il controllo da parte del paese d'origine ed il mutuo
riconoscimento.
"Il
commercio elettronico può divenire uno stimolo chiave
dell'economia mondiale nel prossimo secolo," ha
affermato l'allora Commissario Bangemann. "Ma, se si
vuole sfruttare questo potenziale in Europa, è
essenziale poter effettuare transazioni sicure. Una volta
adottata, la direttiva eliminerà uno dei principali
ostacoli che ancora si oppongono ad una diffusione su
larga scala del commercio elettronico."
La proposta sulla firma elettronica è associata proprio
a quella sul commercio elettronico adottata dalla
Commissione il 18 novembre 1998 e che giace ora al
Consiglio dei ministri in attesa della posizione comune
dopo che il Parlamento europeo si è espresso in prima
lettura il 6 maggio scorso. Su questa proposta potremo
soffermarci, se l'auditorio lo desidera, in fase di
dibattito.
Con questa
direttiva per la prima volta a livello europeo vengono
create condizioni quadro per i servizi di autenticazione
(autenticità dell’origine e integrità dei dati) e
viene garantito il riconoscimento giuridico delle firme
elettroniche.
Come abbiamo
già sentito ieri ed oggi le firme elettroniche
consentono a chi riceve dati sulle reti elettroniche di
determinare l'origine dei dati (identità) e di
verificare se i dati in questione sono stati o meno
alterati (integrità). I dati sono accompagnati da un
certificato rilasciato da un fornitore di servizi di
certificazione, che consente al destinatario del
messaggio di controllare l'identità del mittente.
Il progresso giuridico decisivo consiste nel fatto che
determinate firme elettroniche vengono riconosciute
giuridicamente nel quadro di prescrizioni di forma e come
prove in giudizio. Ciò vale in particolare anche per il
riconoscimento transfrontaliero di firme e certificati.
Sappiamo che
le firme elettroniche sono utilizzate anche nel settore
pubblico: nelle amministrazioni nazionali e nel dialogo
tra le amministrazioni nazionali e l'amministrazione
comunitaria e nei rapporti della pubblica amministrazione
con i cittadini per esempio nel settore degli appalti
pubblici, tributario (trasmissione on line delle
dichiarazioni dei redditi), nel settore sanitario,
previdenziale e giudiziario.
Esistono
differenti metodi per la firma elettronica: dai più
semplici, come ad esempio l'inserimento di un'immagine
scannerizzata di una firma fatta a mano in un documento
trattato, a più sofisticati, che utilizzano la
crittografia.
Le firme digitali basate sulla cosiddetta "public
key cryptography" sono allo stato attuale la forma
più diffusa di firma elettronica. Con questo sistema il
ricevente può determinare se, oppure no, la firma è
stata alterata e verificare l'origine dei dati
autenticando la loro origine. In ogni modo, il ricevente
può anche desiderare di sapere se colui che trasmette è
veramente la persona che dice di essere. Un modo per
farlo è quello di ottenere la conferma attraverso un
certificato prodotto da un terzo, ad esempio un soggetto
o istituzione riconosciuta sia da chi invia il messaggio
sia da chi lo riceve. Nell'ambito delle firme digitali il
terzo è chiamato prestatore di servizi di
certificazione.
Veniamo ora a
vedere assieme gli elementi principali della proposta di
direttiva come adottata dalla Commissione europea e le
principali modifiche successivamente apportatevi da
Parlamento europeo e Consiglio dei ministri UE nel corso
della procedura di codecisione cui la proposta è
sottoposta.
· Requisiti
essenziali: la proposta definisce requisiti
essenziali per i certificati relativi alla firma
elettronica e per i relativi servizi di certificazione,
in modo da garantire livelli minimi di sicurezza e
consentirne la libera circolazione in tutto il mercato
unico. Tali requisiti comprendono, tra l'altro,
l'affidabilità dei fornitori di servizi, l'uso di
sistemi degni di fiducia e il divieto di memorizzare le
chiavi di firma private.
· Responsabilità:
la proposta istituirà regole minime in materia di
responsabilità per i fornitori di servizi che, in
particolare, saranno responsabili della validità del
contenuto del certificato. Tale approccio garantirà la
libera circolazione dei certificati e dei servizi di
certificazione all'interno del mercato unico, consentirà
di conquistare la fiducia dei consumatori e di stimolare
gli operatori a sviluppare sistemi e firme sicuri, senza
che sia necessaria una regolamentazione restrittiva ed
inflessibile.
· Riconoscimento
giuridico: la proposta disporrà che la firma
elettronica non possa essere oggetto di discriminazioni
sul piano giuridico per il solo motivo che essa è in
forma elettronica in quanto, per poter realizzare un
sistema aperto e affidabile di firme elettroniche, è
essenziale che queste ultime abbiano effetti giuridici.
Se un certificato e il relativo fornitore di servizi
soddisfano determinati requisiti essenziali, si
presupporrà automaticamente che le firme elettroniche
basate sui servizi di questi ultimi siano riconosciute
sul piano giuridico esattamente come le firme autografe.
Inoltre, le firme elettroniche potranno essere usate come
prova nei procedimenti giudiziari.
· Un
quadro neutrale dal punto di vista tecnologico:
dato il ritmo dell'evoluzione tecnologica, la proposta
prevede il riconoscimento giuridico delle firme
elettroniche indipendentemente dalla tecnologia
utilizzata (ad esempio, le firme digitali basate sulla
crittografia asimmetrica o la biometria).
La direttiva è pertanto aperta a ulteriori sviluppi nel
campo delle procedure di autenticazione.
· Campo
d'applicazione: la proposta concerne la
fornitura al pubblico di certificati intesi ad
identificare il mittente di un messaggio elettronico, ma
non si applica ai gruppi chiusi di utenti, quali le
Intranet aziendali o i sistemi bancari, in cui sono già
stati instaurati rapporti di fiducia e in cui non vi è
ovviamente necessità di una regolamentazione.
Non si vuole in sostanza restringere la libertà delle
parti di concordare tra loro, sulla base dei limiti
fissati dalle legislazioni nazionali, i termini e le
condizioni in base alle quali essi accettano i dati
firmati elettronicamente.
· Certificazione:
in linea di principio, i servizi di certificazione
potranno essere offerti senza che sia necessaria
un'autorizzazione preventiva, in quanto la tecnologia e
il mercato sono in rapida evoluzione e, secondo la
Commissione europea, le forze di mercato incoraggeranno
lo sviluppo di elevati livelli di sicurezza per
soddisfare le preoccupazioni dei consumatori.
Gli Stati membri saranno liberi di istituire sistemi di
accreditamento facoltativi per i fornitori di servizi di
certificazione, ai fini di indicare misure o livelli di
sicurezza speciali.
Come abbiamo
visto, i fornitori di servizi di certificazione che
desiderano che gli utilizzatori dei rispettivi
certificati usufruiscano di un riconoscimento giuridico
delle firme sulla base dei certificati loro rilasciati,
dovranno comunque soddisfare determinati requisiti
essenziali.
Tale accreditamento non dovrà peraltro ridurre la
concorrenza tra servizi di certificazione.
· Dimensione
internazionale: per agevolare il commercio
elettronico su scala mondiale, la proposta include
meccanismi per la cooperazione con i paesi terzi in
materia di reciproco riconoscimento dei certificati,
sulla base di accordi bilaterali e multilaterali. I
requisiti previsti per il prestatore di servizi dovranno
peraltro essere quelli previsti dalla direttiva o
garantiti da un prestatore di servizi stabilito nella
Comunità.
Il 13
gennaio 1999 il Parlamento europeo si è espresso in
prima lettura sulla proposta di direttiva.
Le principali novità introdotte dal Parlamento sono
tre :
1) Un riesame
della direttiva nel 2003 al fine di assicurarsi che i
progressi tecnici o i cambiamenti del quadro giuridico
non creino ostacoli alla realizzazione degli obiettivi
della direttiva. La Commissione valuterà le incidenze
degli aspetti tecnici connessi, tra i quali la
riservatezza, e farà una relazione a questo proposito.
2) Gli
accordi multilaterali con i Paesi terzi sul mutuo
riconoscimento dei servizi di certificazione dovranno
rispettare il diritto comunitario e nazionale degli Stati
membri e consentire loro di mantenere e continuare a
sviluppare le regole esistenti relative alla protezione
dei dati.
Tali accordi dovranno anche rispettare la protezione dei
dati e la vita privata. Quello della protezione dei dati
è una ragione di confronto molto acceso con gli Stati
Uniti. La direttiva comunitaria sui dati personali
95/46/CE prevede che senza il consenso dell'interessato
non sia possibile trasferire dati a Paesi nei quali non
esiste un'adeguata protezione. Ed è notorio che gli
Stati Uniti non prevedono nel loro ordinamento la
protezione dei dati personali. E gli USA non vogliono
introdurre la protezione dei dati personali nel loro
ordinamento poiché la creazione di molte delle loro
banche dati, soprattutto di carattere commerciale, è
possibile unicamente in assenza di una normativa che
protegge i dati.
3) la
direttiva non dovrà inoltre pregiudicare le disposizioni
nazionali relative all'ordine pubblico o relative alla
fornitura di servizi a carattere riservato.
La proposta
di direttiva ora si trova di nuovo all'esame del
Parlamento dopo che il Consiglio dei Ministri ha definito
il 28 giugno 1999 la sua Posizione Comune.
Il
commissione giuridica del Parlamento Europeo ha approvato
la martedì scorso la sua raccomandazione per la seconda
lettura che sarà discussa e votata in sessione plenaria
il 25 e 26 ottobre prossimi.
Il Consiglio
dei ministri nella sua posizione comune ha fissato
ulteriori requisiti tecnici specifici richiesti, tuttavia
badando a non eccedere nel dettaglio e consentendo
pertanto che tali requisiti possano essere raggiunti in
modo differenti:
I requisiti sono divisi in tre allegati relativi a:
- I requisiti per i certificati qualificati (allegato I)
- I requisiti per i prestatori di servizi di
certificazione che emettono certificati qualificati
(allegato II);
- I requisiti per i dispositivi di creazione di una firma
elettronica sicura (allegato III).
Una quarta lista allegata raccoglie un certo numero di
raccomandazioni per la verifica della firma sicura.
Un'altra
innovazione apportata dal Consiglio dei ministri è
legata alla concretizzazione del principio di non
discriminazione tra firme elettroniche e firme autografe.
Come abbiamo già visto nella proposta della Commissione,
ad una firma non potrà essere negata la validità
solamente in considerazione del fatto che è in forma
elettronica.
Peraltro l'equivalenza è sottoposta dal Consiglio dei
Ministri a talune condizioni:
Deve essere una firma elettronica avanzata, vale a dire :
a) inequivocabilmente legata al firmatario
b) in grado di identificare il firmatario
c) creata usando i sistemi che il firmatario può
mantenere sotto il suo esclusivo controllo e
d) ogni modifica successiva deve essere identificabile.
Deve essere basata su un certificato qualificato e deve
essere creata da un dispositivo di creazione di firme
sicuro.
La posizione
comune prevede nuove regole relative alla responsabilità
del prestatore di servizi per garantire la sicurezza e
tanto per il prestatore di servizi che per il
consumatore.
Quest'ultimo sarà responsabile dei danni arrecati a chi
faccia ragionevole affidamento sulla validità del
certificato:
a) per quanto riguarda l’esattezza di tutte le
informazioni contenute nel certificato qualificato a
partire dalla data di rilascio
b) per la garanzia che, al momento del rilascio del
certificato, il firmatario identificato nel certificato
qualificato detenesse i dati per la creazione della firma
corrispondenti ai dati per la verifica della firma
riportati o identificati nel certificato
c) la garanzia che i dati per la creazione della firma e
i dati per la verifica della firma possano essere usati
in modo complementare, nei casi in cui il fornitore di
servizi di certificazione generi entrambi
Il prestatore di servizi sarà responsabile dei danni
provocati per la mancata registrazione o la revoca del
certificato.
L'onere della prova incombe sul prestatore di servizi il
quale sarà esonerato dalla responsabilità qualora provi
di aver agito senza negligenza.
Peraltro, il prestatore di servizi potrà indicare sul
certificato qualificato i limiti del suo utilizzo che
potranno anche riguardare i contratti per i quali può
essere usato. I limiti dovranno essere riconoscibili dai
terzi.
In questo caso il certificatore sarà esonerato da
responsabilità per un uso del certificato che ecceda i
limiti.
Tali disposizioni non derogheranno le norme sulle
clausole abusive nei contratti stipulati con i
consumatori introdotte dalla direttiva 93/13/CEE.
Infine, per
assicurare la segretezza la quale è un prerequisito per
stimolare le comunicazioni per via elettronica, ai
fornitori di servizi è richiesto di rispettare la
legislazione e sulla protezione dei dati e la privacy
individuale.
Ciò che la
direttiva non fa è di armonizzare le disposizioni
nazionali relative ai contratti.
Per questa ragione le disposizioni relative all'effetto
giuridico delle firme elettroniche non porteranno alcun
pregiudizio alle forme richieste dalle legislazioni
nazionali relative alla conclusione dei contratti. Penso
ad esempio alla forma richiesta per i contratti oppure
all'intervento del notaio per la conclusione dei
contratti relativi al trasferimento della proprietà dei
beni immobili o di mobili registrati.
La
commissione giuridica e mercato interno del Parlamento
europeo ha introdotto pochi emendamenti al testo del
Consiglio. Tra questi meritano attenzione:
a) per quanto riguarda la responsabilità del prestatore
dei servizi di certificazione, costui deve essere
responsabile che il certificato sia completo ed i dati
esatti, vale a dire che contenga tutti i requisiti
relativi a un certificato qualificato (Allegato I della
direttiva)
b) la riaffermazione della tutela dei dati personali
negli accordi con i Paesi terzi.
Il termine per la trasposizione della direttiva è di 18
mesi dalla sua entrata in vigore.
La proposta
credo sia in grado di creare un quadro atto a consentire
transazioni on-line sicure in tutto il mercato unito, e
in tal modo stimolerà l'investimento nei servizi di
commercio elettronico, garantendo vantaggi all'Unione
europea in termini di crescita, competitività e
occupazione
Parallelamente
alla proposta di direttiva, a livello europeo, si è
lavorato nell'ambito della standardizzazione. Infatti i
requisiti tecnici previsti dalla direttiva devono essere
supportati da dettagliati standard e specifiche tecniche
che incontrino l'accordo del mondo economico e europeo.
Sotto gli auspici dell'Information and Communications
Technologies Standards Board (ICTSB) l'industria e gli
uffici di standardizzazione hanno promosso l'
"Iniziativa Europea per la Standardizzazione della
Firma Elettronica." Un gruppo di esperti in materia,
rappresentanti il mondo industriale, giuridico e
scientifico-tecnologico ha prodotto un rapporto,
depositato il 20 luglio scorso nel quale si indicano
taluni standard con l'intenzione di favorire l'apertura
dei mercati di beni e servizi nello spirito della
direttiva.
Le linee
guida della relazione possono essere così sintetizzate:
- Necessità urgente di standard. Ove possibile impiego
degli standard già attualmente in uso.
- Evitare nella misura del possibile regolazioni di
dettaglio
- Due aree principali di intervento: standard qualitativi
e procedurali per la sicurezza dell'informazione e
standard tecnici per l'interoperabilità. Da utilizzare
in particolare la crittografia asimmetrica per il
software e dispositivi harwdare rivelatori delle
veridicità delle firme supportati da smart card.
(Il rapporto è disponibile per chi lo desidera).
Per
concludere, dobbiamo rilevare che il Commissario europeo
Mario Monti ha affermato al momento dell'adozione della
proposta di direttiva:
"La proposta è tempestiva, in quanto la maggior
parte degli Stati membri deve ancora istituire un quadro
legislativo per le firme elettroniche. Essa garantirà
quindi un quadro armonizzato per il mercato unico fin
dagli inizi, senza che sia necessario contrastare
iniziative nazionali divergenti".
Credo che tale dichiarazione sia assolutamente
condivisibile.
* Avvocato - Commissione giuridica
del Parlamento europeo
|
Pagina stampabile
