Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale
I problemi del recepimento della direttiva 1999/93/CE (2)
di Manlio Cammarata e Enrico Maccarone - 27.09.01

 Articolo precedente

3. Il valore probatorio

Affrontiamo ora il vero punto critico del recepimento della direttiva, che coinvolge proprio il principio del documento informatico nella normativa italiana e i suoi effetti processuali. Ricordiamo che la firma digitale "all'italiana" serve a produrre documenti "validi e rilevanti a tutti gli effetti di legge" e in particolare che "Il documento informatico sottoscritto con firma digitale, redatto in conformità alle regole tecniche [.] soddisfa il requisito legale della forma scritta e ha efficacia probatoria ai sensi dell'articolo 2712 del Codice civile" (art. 10 del TU) e che "Il documento informatico, sottoscritto con firma digitale [.], ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.
Stabilisce la direttiva:

Articolo 5 - Effetti giuridici delle firme elettroniche
1. Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura:
a) posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei; e
b) siano ammesse come prova in giudizio.
2. Gli Stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è
- in forma elettronica, o
- non basata su un certificato qualificato, o
- non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero
- non creata da un dispositivo per la creazione di una firma sicura.

Nessun problema per il paragrafo 1: il documento informatico ai sensi della normativa italiana soddisfa ambedue le condizioni; invece il problema è nel secondo paragrafo: una ragionevole (ma non del tutto soddisfacente) interpretazione dell'art. 10 del TU, porta alla conclusione che il nostro legislatore abbia inteso negare un valore probatorio civilistico ai documenti non provvisti della firma digitale sicura, circostanza esplicitamente esclusa dal legislatore comunitario. Dunque il decreto di recepimento della direttiva dovrà fare chiarezza su questo importantissimo aspetto, o con la previsione esplicita del valore probatorio di qualsiasi firma elettronica, o con un "allargamento" delle previsioni dell'art. 10 del TU (per alcune considerazioni più approfondite su questo aspetto vedi Il valore probatorio del documento informatico).

4. La firma digitale nel settore pubblico

Non dovrebbe costituire un ostacolo il requisito della firma sicura nell'ambito dei rapporti con la pubblica amministrazione, perché l'ultimo paragrafo del già citato articolo 3 della direttiva dispone:

7. Gli Stati membri possono assoggettare l'uso delle firme elettroniche nel settore pubblico ad eventuali requisiti supplementari. Tali requisiti debbono essere obiettivi, trasparenti, proporzionati e non discriminatori e riguardare unicamente le caratteristiche specifiche dell'uso di cui trattasi. Tali requisiti non possono rappresentare un ostacolo ai servizi transfrontalieri per i cittadini.

Se il requisito della firma "avanzata" è "supplementare" rispetto alla firma semplice, allora il sistema italiano è perfettamente compatibile con le disposizioni comunitarie. In caso contrario si dovranno esaminare i vari fattori in gioco e in particolare l'interoperabilità dei sistemi adottati dai diversi Stati, che a oggi costituisce l'ostacolo più rilevante alla diffusione della firma digitale su vasta scala.

5. I requisiti dei certificatori

Un altra difformità della normativa italiana dalle prescrizioni della direttiva si riscontra nei requisiti dei "prestatori di servizi di certificazione qualificati" (i nostri "certificatori"). Infatti l'art. 27 del TU, comma 1, lettera a) stabilisce che i certificatori devono avere "forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati". Il capitale minimo richiesto è quindi pari a 12,5 miliardi di lire, secondo le "Istruzioni" della Banca d'Italia, pubblicate sulla Gazzetta ufficiale 21 febbraio 1994. La direttiva è più generica:

ALLEGATO II
Requisiti relativi ai prestatori di servizi di certificazione che rilasciano certificati qualificati
I prestatori di servizi di certificazione devono:
[.]
d) disporre di risorse finanziarie sufficienti ad operare secondo i requisiti previsti dalla direttiva, in particolare per sostenere il rischio di responsabilità per danni, ad esempio stipulando un'apposita assicurazione;
[.]

Il problema è capire se la cifra tassativamente prescritta dalla Banca d'Italia sia compatibile con il concetto generico delle "risorse sufficienti" previste dalla direttiva. La soluzione che sarà adottata nel decreto di recepimento potrebbe essere argomento di contenzioso, nel caso in cui il nostro legislatore scegliesse di mantenere il requisito del capitale minimo pari a quello necessario per l'esercizio dell'attività bancaria. E' quindi logico immaginare che il riferimento diretto al capitale minimo (come quello relativo alla forma di società per azioni) sarà cancellato dal decreto.

6. Il problema delle definizioni

Un altro aspetto tutt'altro che marginale che dovrà essere affrontato nel decreto di recepimento riguarda le definizioni. L'attuale normativa italiana parla di "firma digitale", quella europea distingue tra "firme elettroniche" senza ulteriori specificazioni e firma elettronica "avanzata" o "sicura". Manca un aggettivo che aiuti a classificare le prime, mentre per la seconda sarebbe stato opportuno usare sempre un solo aggettivo, preferibilmente il più efficace "sicura".
Nel testo del decreto si dovrebbe comunque evitare di usare l'aggettivo "elettronica" per la firma sicura, o di considerare come sinonime le espressioni "firma elettronica sicura" e "firma digitale", come se la firma digitale fosse una varietà più affidabile di firma elettronica: di fatto possono esistere firme digitali assolutamente insicure: basta non rispettare uno solo dei quattro requisiti elencati dalla direttiva, come abbiamo visto nell'articolo precedente.

Un problema analogo si pone per la qualificazione delle entità di certificazione: non c'è dubbio che i nostri "certificatori" sono i "prestatori di servizi di certificazione qualificati" della direttiva, ma come definire le strutture che emettono certificati "non qualificati"?
Tenendo presente che i trattati comunitari non obbligano gli Stati membri a "copiare" letteralmente le direttive, il legislatore italiano farebbe bene a riscrivere alcuni punti dell'articolo 22 del TU in modo di evitare confusioni: la firma digitale "all'italiana" potrebbe sempre essere definita con l'aggettivo "sicura", mentre si potrebbe definire l'altra come "firma elettronica semplice", visto che l'aggettivo "insicura" desterebbe molte perplessità, anche se perfettamente adeguato alla realtà delle cose.

Per quanto riguarda i certificatori, si potrebbe distinguere tra "certificatori accreditati" e "certificatori non accreditati", evitando la chilometrica definizione della direttiva. E ancora, si dovrà distinguere tra "certificato qualificato" e "certificato non qualificato", mentre il dispositivo di firma dovrà diventare "dispositivo di firma sicura" e via discorrendo.
In questo modo si eviteranno facili equivoci, dei quali potrebbe approfittare qualche disinvolta "certification authority", appostata in un remoto angolo del web. Ma in primo luogo si dovrà assolutamente evitare di identificare i certificatori accreditati con la definizione in inglese, estranea alla nostra normativa, come purtroppo ha già fatto qualcuno dei primi certificatori iscritti (e la stessa AIPA in qualche documento ufficiale).