Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Firma digitale

L'identificazione nello schema del "codice": ancora problemi

di Manlio Cammarata e Enrico Maccarone - 10.01.05

 
Come abbiamo già scritto, lo Schema di codice della pubblica amministrazione digitale risolve diversi problemi sorti soprattutto con il recepimento della direttiva 199/93/CE sulle firme elettroniche. Ma il testo presentato dal Governo e in attesa dei pareri delle competenti commissioni parlamentari lascia aperti i vecchi dubbi sugli adempimenti e le responsabilità dei certificatori nella fase di riconoscimento del titolare.

La materia è stata oggetto di discussioni già con le norme di prima generazione (vedi Norme antiriciclaggio e identificazione del contraente e Ancora sulla "certezza dell'identificazione"  di Paolo Ricchiuto e Che significa "identificare con certezza"? di Enrico Maccarone). Il problema è stato posto anche in relazione alle procedure di riconoscimento "per interposta persona" adottate da almeno un certificatore (Ha la firma digitale, ma non lo sa...).

Su questo punto lo schema del codice introduce qualche novità. Abbiamo già rilevato la differente (e poco rassicurante) formulazione della norma sul riconoscimento contenuta nell'art. 29, c. 3, lett. a), che da "identificare con certezza" diventa "provvedere con certezza alla identificazione" (vedi Amministrazioni digitali: i problemi del documento informatico). Ora è opportuno esaminare l'insieme delle disposizioni che incidono sulla questione.

Art. 29 (Obblighi del titolare e del certificatore) 
...
3. Il certificatore che rilascia, ai sensi dell'articolo 26, certificati qualificati deve inoltre:
    a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
   
...
4. Il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.

La formulazione del terzo comma, lett. a), al di là del suo significato letterale, potrebbe essere dovuta proprio all'intenzione di attenuare il rigore "notarile" richiamato dalla vecchia dizione "identificare con certezza". E questo è esattamente il contrario dell'effetto che si dovrebbe ottenere: dare al certificato qualificato la più alta credibilità possibile (non a caso nella prima bozza di disegno di legge, Atti e documenti in forma elettronica, del 1996, solo i pubblici ufficiali potevano effettuare il riconoscimento del titolare del certificato).
Complica le cose il comma 4, perché legittima la prassi di effettuare il riconoscimento per il tramite di intermediari, anche se la responsabilità ricade comunque sul certificatore.

Ma la soluzione non è del tutto soddisfacente, tenendo conto della vitale importanza dell'identificazione del titolare in tutto il sistema della firma digitale. Infatti la responsabilità definita dal quarto comma dell'art. 29 sembra una "normale" responsabilità civile (in pratica, spetterebbe al danneggiato provare la colpa del certificatore). Mentre una precedente disposizione pone in capo al certificatore una responsabilità ben più pesante:

Art. 27 (Responsabilità del certificatore)
1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l'affidabilità del certificato è responsabile, se non prova d'aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento:
a) sull'esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;

Siamo quindi di fronte a un'inversione dell'onere della prova, cioè a una forma di responsabilità molto più forte. E in ogni caso si tratta di un sensibile alleggerimento rispetto alla previsione di responsabilità per "attività pericolosa" (riferimento all'art. 2050 c.c.) della normativa del '97. Ma il punto importante è un altro: non è chiaro se le "informazioni necessarie per la verifica della firma" sono solo i "dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare", come viene cervelloticamente definita la chiave pubblica all'art. 25, c. 1, lett. e).

La domanda non è peregrina, perché "dati" e "informazioni" possono non essere la stessa cosa: tra queste ultime, considerando la differenza terminologica rispetto all'art. 25, potrebbero essere comprese le informazioni sull'identità del titolare. In questo caso ci sarebbe un conflitto tra l'art. 29, c. 4 (responsabilità semplice) e l'art. 25, c. 1 (responsabilità aggravata dall'inversione dell'onere della prova)  per la stessa fattispecie. Se, invece, la nozione di "informazioni" coincide con quella di "dati", ci troviamo di fronte a un'altra e più forte incongruenza: la responsabilità per l'identificazione sarebbe meno forte di quella derivante un errore nella pubblicazione della chiave privata. Il che è chiaramente assurdo.

Dunque nella revisione finale del provvedimento sarà opportuno correggere queste disposizioni, nel senso che la responsabilità per l'identificazione (e si dovrebbe tornare alla formula originaria "identificare con certezza") risulti più forte di qualsiasi altra. E si dovrebbero aggiungere anche disposizioni stringenti sulla consegna del dispositivo di firma e del PIN nelle mani del titolare. In caso contrario, la presunzione dell'uso del dispositivo di firma da parte del titolare non sta in piedi (vedi Il disconoscimento della firma tra "diritto" e "fatto"). E si potrebbe arrivare alla paradossale conclusione ipotizzata da Gianni Buonomo alla fine del suo secondo articolo sull'argomento: "...perché utilizzare, per la sottoscrizione di un contratto, la firma digitale (che non può essere disconosciuta) al posto del supporto cartaceo che è sottoposto al normale (e più equilibrato) regime del possibile disconoscimento in giudizio?" (vedi Effetti probatori: si torna ai principi del processo civile - 2).

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2005 Informazioni sul copyright