Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 Firma digitale

La firma digitale nel Regno Unito
di Roberto Manno - 03.07.03

Il recepimento della direttiva europea sulla firma digitale nel Regno Unito, patria del diritto consuetudinario (common law), presenta aspetti di enorme interesse.

Prima di analizzarne i passaggi più significativi, è opportuno tener presente che la sicurezza delle comunicazioni elettroniche era gia una realtà nel Regno Unito, grazie allo standard BS 7799, elaborato sulla base di un codice di comportamento per la gestione della sicurezza informatica (certificazione delle informazioni) recentemente adottato come standard dalla ISO. Le aree d'intervento tradizionali del BS 7799 ruotano attorno alle seguenti esigenze: documentazione e policy per l'information security; attribuzione delle responsabilità, formazione alla sicurezza informatica e sui rapporti di incidenti, controllo virus, salvaguardia dei dati aziendali, conformità con legislazione in materia di privacy, conformità con regole di sicurezza, ecc.

Come sappiamo, l'art. 5 della direttiva e i suoi allegati impongono agli Stati membri di adeguare le loro legislazioni affinché sia riconosciuta l'equivalenza, a tutti gli effetti di legge, sostanziale e processuale, tra la firma elettronica avanzata basata su certificato qualificato e la firma autografa. Le altre firme elettroniche non potranno subire alcuna discriminazione legale a causa della loro natura "immateriale".

L'Electronic Communication Act del 2000 recepiva tale direttiva nell'ordinamento britannico, in un modo completamente diverso rispetto a quanto avvenuto negli altri Stati Membri: non veniva proclamata l'equivalenza sul piano del diritto sostanziale tra forma scritta e forma elettronica, mentre si lasciava al giudice il compito di valutare la forza probatoria delle singole firme digitali che sarebbero giunte dinanzi alla sua cognizione. Infatti, queste venivano ritenute tutte ammissibili come prova in giudizio, avanzate o meno.
Si potrebbe accusare di superficialità tale approccio, ed infatti ciò è avvenuto. Tuttavia una vasta e interessante documentazione dimostra come si tratti in realtà dell'esito di un rigoroso percorso interpretativo, che ha affrontato a viso aperto tantissimi aspetti della firma digitale, e che ha visto la partecipazione corale dei rappresentanti del mondo industriale, politico e giuridico.

Nel diritto inglese manca una definizione normativa dei concetti "scritto" o "documento", sia dal punto di vista del diritto sostanziale che, logicamente, processuale.
E' il giudice a dover decidere se i comportamenti delle parti sono sufficienti alla produzione di determinati effetti giuridici e tale accertamento avviene quaestio facti, non sulla base di un giudizio di sussunzione della fattispecie concreta nelle ipotesi astrattamente previste dalle norme di diritto positivo.

La firma e il documento, quindi, non sono concepiti in termini formali, ma funzionali: tutto ciò che manifesta l'intenzione di un soggetto di sottoscrivere un documento fa prova, indipendentemente dalla forma in cui tale intenzione sia stata espressa.
Il precedente Goodman v. J Eban Ltd illustra la concezione funzionale della firma nell'ordinamento inglese: A signature can be made by a mark rather than a name as long as evidence can be given to identify the placer of the mark and the intention to sign; and words other than a name can amount to a signature if the necessary intention to sign can be proven. (dal VII rapporto della Commissione Industria e Commercio alla Camera dei Comuni sul progetto di Electronic Communication Bill).

Quindi, sarebbe stato oltremodo difficile recepire i dettami della direttiva, perché mancava il formalismo tipico dei sistemi di civil law e uno stravolgimento del diritto inglese non sembrava facilmente realizzabile.
Non solo, ma stando così le cose, come si poteva realizzare una distinzione peraltro non discriminatoria tra firma elettronica avanzata e firma elettronica semplice?
Ciò portò il Governo a chiedere "lumi" ai soggetti interessati: ...The Government would welcome views on the appropriate means of ensuring legal recognition of electronic signatures and writing (Building Confidence in E-commerce, 5 marzo 1999, Department of Trade and Industry).

Il primo tentativo di recepimento propose l'introduzione di una firma elettronica avanzata, e cioè "costruita" secondo le disposizioni degli allegati della direttiva, che avrebbe goduto di una presunzione di autenticità della sottoscrizione e di integrità della comunicazione effettuata tramite essa (la famosa rebuttable presumption).
Questa proposta provocò accese reazioni: una tale introduzione avrebbe introdotto una rigidità sconosciuta nel diritto consuetudinario britannico, operando un'inversione dell'onere della prova inaccettabile in un sistema in cui la legge è tradizionalmente estranea dall'attribuire questa o quell'efficacia probatoria a questa o quella forma.

Si trattava di una questione meramente processuale, di esclusiva competenza dei giudici.
If the Government were to create two classes of electronic signature, distinguished according to their form, this would represent a significant move away from English common law tradition towards a civil law approach to the treatment of signatures (VII rapporto DTI).
Inoltre sarebbe stato praticamente impossibile per le vittime di un'eventuale contraffazione informatica liberarsi dalle conseguenze di tale presunzione legale. Si trattava di situazioni già esaminate in precedenza in occasione di usi illeciti di carte di credito, che lasciavano i titolari con poche armi a disposizione per ribaltare la presunzione di infallibilità dei sistemi di cifratura degli sportelli automatici bancari.
Ad esprimere tali preoccupazioni erano qualificati rappresentanti del mondo imprenditoriale e sociale.

A sollevare altre critiche era il sistema di accreditamento dei fornitori di certificati qualificati proposto dal governo conservatore nel 1997, che stabiliva: Public encryption services "would be prohibited, unless they incorporated key escrow (or key recovery)."
I particolari requisiti previsti per accedere al registro,il fatto che solo una così qualificata avrebbe goduto della rebuttable presumption, avrebbero di fatto introdotto barriere alla circolazione dei servizi di certificazione e reso più difficile nel Regno Unito lo sviluppo di una tale industria, oltre a compromettere le libertà individuali, come denunciato dagli attivisti di Cyber Rights.

Il mutato quadro politico e la previsione da parte della direttiva di uno schema di accreditamento volontario, contribuirono a modificare l'approccio a tale problematica. Inoltre, l'affermazione dello standard di sicurezza informatica BS 7799 dimostrava invece l'efficacia dei sistemi di certificazioni che la stessa industria IT era in grado di sviluppare. Si arrivò quindi ad una seconda versione.
Recependo le preoccupazioni dei difensori del common law, la legge non sarebbe intervenuta sulla questione del riconoscimento della rilevanza formale della firma elettronica. Venne ribadito come il diritto inglese poteva tranquillamente reggere la direttiva comunitaria, senza necessità di interventi ad hoc: il concetto di firma nell'ordinamento inglese poteva ricomprendere tanto la firma tradizionale quanto quella elettronica.

Tuttavia, i riferimenti ai termini "scrittura" e "firma" contenuti in regolamenti e altre disposizioni speciali inglesi sono più di 40.000. Si tratta per la maggior parte di disposizioni che prevedono alcune modalità per effettuare determinate comunicazioni. Nel recepire la direttiva, senza modificare il significato o la definizione di tali termini in via generale e astratta, l'Electronic Communication Act autorizza i ministeri del Governo ad apportare modifiche di volta in volta ai testi che richiedono la forma scritta e la firma autografa, onde permettere di effettuare le relative comunicazioni in formato elettronico.
Si tratta dei cosiddetti Section 8 Orders, che sarebbero stati preceduti da attente analisi dei ministeri coinvolti, che avrebbero valutato l'impatto di tali modificazioni sul sistema economico e sociale.
E' stata pubblicata una guida all'emanazione degli order.

In punto di certificazione delle firme digitali, invece, la legge prevede (parte I dell'ECA) un registro tenuto sotto il controllo del Secretary of State, ma si riserva di introdurlo solo in caso di insuccesso del registro frutto degli sforzi dell'Alliance for Electronic Business, AEB, tra i cui membri figurano ACCA (Association of Chartered Certified Accountants),APACS, Baltimore Technologies, Barclays Bank, British Chambers of Commerce, BT Ignite, CBI; e-centre, experian, Hitachi, IBM, III (Institute for Information Industries, Taiwan); Intellect, Lloyds,TSB, Microsoft, Office of the e-envoy, Royal Mail, The Royal Bank of Scotland Group, Vodafone: si tratta del famoso tScheme.

Il tScheme si basa sull'esperienza acquisita grazie allo standard BS 7799, ma alle funzioni garantite da questo ne aggiunge altre, ai sensi della direttiva del '99 e degli standard EESSI.
Stephen Upton, CEO di tScheme, così si esprime: "La nostra iniziativa continua ad avere successo, e il nostro schema di accreditamento volontario resta il metodo più efficace per soddisfare la Part I dell'ECA del 2000. Vi sono molte richieste di accreditamento. Tramite l'iniziativa ViTAS intendiamo cooperare con i nostri partner ad un programma internazionale di mutuo riconoscimento per il lancio del commercio elettronico sicuro."
Ma torniamo al problema dell'efficacia probatoria della firma digitale.

Nel 1979 veniva istituito in Inghilterra in Judicial Studies Board, con lo scopo To convey in a condensed form the lessons, which experienced judges, have acquired from their experience...
Nel 2000 il Board pubblicava sul suo sito uno studio, sui problemi processuali che possono sorgere dall'uso della firma digitale. Per esempio, nel caso di una disputa sul contenuto di un documento firmato elettronicamente, un giudice dovrebbe considerare:
- se la coppia di chiavi è stata custodita e usata diligentemente;
- se il firmatario è stato truffato firmando un documento senza la consapevolezza sul suo contenuto (i campi dinamici.);
- se un terzo abbia "crakkato" il sistema del firmatario:
- e via discorrendo.

Le Guidelines avvisano, tuttavia, che la prova della conformità con gli schemi regolamentari e/o con gli standard in uso possono ridurre il bisogno di una prova approfondita, se riferiti ai seguenti aspetti:
Registration creation and issue of the means of authentication and of proving integrity, Keeping secure the means of authenticating and proving integrity, Authentication and integrity check at the time of the transaction.
Sebbene la legge dichiari l'ammissibilità in giudizio delle firme elettroniche, e sebbene siano state definite dalla legislazione e la loro affidabilità possa essere supportata dal certificato rilasciato da una Certification Authority accreditata, nessuno di questi fattori, da solo o in considerazione con gli altri, rende incontestabili le firme elettroniche.
Da un punto di vista processuale, tutto dovrà essere attentamente valutato allo stesso modo che per ogni altro mezzo di prova.

Questa è la conclusione cui sono arrivati i giudici di un sistema common-law, la firma digitale è normalmente contestabile. Invece nei sistemi di civil law la firma digitale qualificata ha un'efficacia probatoria altissima: si tratta di approccio diverso o di un esempio di eccesso di zelo del legislatore?