E se le chiamassimo "segnature elettroniche"?

di Manlio Cammarata - 17.06.04

Il primo aspetto, quello tecnico-operativo, è affrontato con grande chiarezza. Si vedano, per esempio, i primi due capitoli, rispettivamente dedicati a un'introduzione sulle sottoscrizioni elettroniche e all'utilizzo della firma digitale. O quello dedicato alla firma digitale con procedure automatiche, un problema che suscita grandi perplessità in chi non ha una conoscenza abbastanza profonda della tecnologia.
Dunque queste "linee guida" sono uno strumento di grande utilità, anche per la fonte da cui provengono: si tratta infatti di una sorta di "interpretazione autentica", essendo il CNIPA l'organismo al quale è demandata la sorveglianza sulle attività dei certificatori.

Non abbastanza chiare, invece, sono le parti che affrontano i problemi giuridici, tanto che una lettura affrettata ha riaperto la querelle sui messaggi e-mail, confondendo ancora una volta gli effetti legali con l'efficacia probatoria e facendo dire al documento del CNIPA il contrario di quello che dice realmente (vedi La "firma elettronica" non basta per identificare l'autore di Roberto Manno).
Questi punti saranno certamente chiariti nelle future release delle linee guida (evidentemente già previste), ma è impossibile risolvere tutti i dubbi se non si interviene a livello legislativo per eliminare le molte questioni aperte dalla normativa attuale.

L'occasione per farlo è a portata di mano, con il "codice dell'informatica nella pubblica amministrazione" al quale il Governo sta lavorando in attuazione della delega contenuta nell'art. 10 della legge 229/03. Si dovrà incominciare col mettere ordine nelle definizioni, elemento essenziale per la comprensione di tutte le norme. A partire proprio da quelle che riguardano le  "firme elettroniche", come sono state definite nella frettolosa e imprecisa traduzione della direttiva europea.

Il termine della lingua inglese signature, come abbiamo scritto altre volte, non vuol dire solo "firma", ma ha molti altri significati. Compreso l'italiano "segnatura", che significa anche "apposizione di segni o contrassegni", quali sono appunto i metodi di validazione e identificazione diversi dalla "firma". Allora perché non chiamare segnature elettroniche questi sistemi, traducendo letteralmente la definizione della direttiva?
Si eviterebbe così qualsiasi equivoco con la "firma elettronica qualificata", che è l'unico metodo che consente sia la data authentication sia la entity authentication, cioè il controllo dell'integrità dei dati e l'identificazione del firmatario (si veda ancora il già citato articolo La "firma elettronica" non basta per identificare l'autore).

C'è, ancora, il problema costituito dalla presenza della firma elettronica "avanzata", che dovrebbe essere quella che "garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati". Ma, in assenza del certificato qualificato e del dispositivo sicuro per la creazione della "segnatura", questa procedura non "garantisce" un bel nulla sull'identità di chi l'ha generata, attesta solo l'integrità dei dati. E allora non è una "firma" nel senso in cui è intesa nel nostro ordinamento.

Nello stesso modo il  termine authentication non deve essere tradotto con "autenticazione". Questa parola deve sparire da tutti i testi normativi (compreso il "codice della privacy") in tutti i casi in cui non si riferisce alle specifiche attestazioni dei pubblici ufficiali. Va sostituita, a seconda dei casi, con espressioni come "validazione", "identificazione", "abilitazione" e così via.

Le definizioni devono essere il più possibile semplificate, anche per evitare equivoci. Un esempio è quella del "documento informatico", che adesso designa di volta in volta o il semplice file non segnato, o quello con firma "debole", o quello sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura: definiamo quest'ultimo documento informatico qualificato e tutto sarà chiaro, compresa la sua equiparazione alla forma scritta e alla  scrittura privata per quanto riguarda gli effetti legali e il valore probatorio.

Né si devono dimenticare alcuni aspetti più generali, come le regole per l'identificazione "certa" del soggetto che richiede il certificato e la "certezza legale" della consegna del dispositivo sicuro nelle mani del titolare. Abbiamo già accennato a questi problemi, presto li esamineremo più a fondo.