Firma digitale: ancora l'ottusa arroganza del legislatore

di Manlio Cammarata - 22.05.06

Il testo emendato presenta diverse novità. Alcune senz'altro opportune, nel contesto generale della "amministrazione digitale". Altre, purtroppo, che non risolvono i tante volte segnalati problemi del documento informatico, cardine essenziale di tutto il processo di ammodernamento delle amministrazioni e delle attività private.

Incominciamo dagli aspetti positivi.
Il "diritto all'uso delle tecnologie" (art. 3) non è più limitato, in linea di principio, ai rapporti con  le amministrazioni centrali. Ma per quelle  regionali e locali vale "nei limiti delle risorse tecnologiche ed organizzative disponibili e nel rispetto della loro autonomia normativa" (un colpo al cerchio e uno alla botte...), sicché l'opportuna previsione del ricorso al giudice amministrativo per le controversie sul diritto all'uso delle tecnologie si rivela efficace solo nei confronti delle amministrazioni centrali.

Due commi aggiunti all'art. 12, con la previsione delle responsabilità dei dirigenti per l'osservanza e l'attuazione delle disposizioni del codice, rendono in qualche modo più concrete le sue prospettive di applicazione. Non male, anche se si dovrà vedere come queste prescrizioni saranno fatte valere. Un altro comma aggiunto, il 5-bis, ipotizza l'intervento di privati nel processo di modernizzazione delle amministrazioni. E i fondi?

Saltiamo altre disposizioni di dettaglio e troviamo "trapiantato" l'intero decreto legislativo 42/05 sul sistema pubblico di connettività. Ma il quadro normativo dell'amministrazione digitale descritto dal codice è ancora incompleto, perché manca tutta la parte - essenziale - relativa alla posta elettronica certificata, nonostante sia citata in diversi punti.
E con la posta certificata entriamo nella materia del documento informatico e delle firme elettroniche, alla base della "dematerializzazione" dei documenti, dell'informatizzazione delle procedure e, in ultima analisi, di tutto l'edificio dell'informatica pubblica.

Come ormai tutti dovrebbero sapere, l'ordinamento italiano è stato il primo al mondo a riconoscere il pieno valore legale dei documenti informatici (in presenza di determinate condizioni) con il DPR 513 del 1997. Normativa non solo di concezione avanzatissima per quel tempo, ma anche perfettamente coerente con l'ordinamento e di esemplare chiarezza, pur con qualche dettaglio ancora "immaturo".
Nel 2002, con il decreto legislativo n. 10 è stata attuata la direttiva comunitaria 1999/93/CE (confusa e, soprattutto, viziata da gravi errori nella traduzione italiana) e il quadro si è fatto incoerente, contraddittorio e in molti punti sospettabile di incostituzionalità, sia per evidenti "disarmonie" con il nostro ordinamento sia per l'erronea trasposizione delle norme europee.

Con il codice dell'amministrazione digitale sarebbe stato possibile correggere gli errori e, grazie anche all'esperienza acquisita negli anni, riportare la normativa italiana all'avanguardia. Ma, nonostante le osservazioni via via formulate sulle varie "bozze" (più o meno segrete), sul testo promulgato l'anno scorso, sulle bozze del decreto correttivo... la situazione è peggiorata. E tutto questo nonostante i suggerimenti avanzati dagli esperti più qualificati e persino dal Consiglio di Stato, nel parere sul primo testo e in quello sul decreto correttivo, che risale al 30 gennaio scorso.

Ma con il decreto appena pubblicato la situazione si è fatta, se possibile, ancora più critica.

L'originario errore, tante volte sottolineato su questa pagine, di tradurre electronic signature con "firma elettronica" produce adesso un risultato peggiore di tutte le precedenti brutture. Infatti il testo in inglese della direttiva (art.1) recita: 1. "electronic signature" means data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication. Il che significa (occorre ripeterlo per l'ennesima volta!) che la electronic signature è uno strumento per la sola validazione dei dati, poiché non c'è alcun riferimento all'identità del firmatario. Invece la nuova versione del codice dice:

q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

Mentre dal testo iniziale era faticosamente possibile raggiungere un'interpretazione ragionevole (data authentication, validazione dei dati), la nuova definizione sancisce l'errore: validazione dell'identità (entity authentication). Si è creduto di correggere l'uso improprio della parola "autenticazione", ottenendo una definizione in contrasto con la normativa comunitaria. In questo modo non solo non sono state risolte le contraddizioni del testo precedente, ma è stata scritta un'altra norma incostituzionale, per evidente contrasto con la direttiva europea.

Resta ancora la definizione della firma digitale come di "un particolare tipo di firma elettronica qualificata", mentre dal testo della direttiva, dai lavori preparatori della stessa e dalla conoscenza della tecnologia è assolutamente chiaro che si tratta di una differenza meramente lessicale: firma digitale e firma elettronica sono la stessa cosa.
Il problema si riflette in diversi punti del codice. Per esempio, mentre in diversi articoli il testo contempla la "firma digitale o altro tipo di firma elettronica qualificata", l'art. 24 detta alcune regole solo sulla "firma digitale", senza citare "altro tipo di firma elettronica qualificata". Il che pone un problema di applicabilità delle disposizioni in questione all'"altro tipo" (che peraltro esiste solo come irreale ipotesi legislativa).

Su questo aspetto si deve registrare un'altra "stranezza". E' ovvio che il certificato delle chiavi di sottoscrizione deve essere firmato dal certificatore con una firma "forte" (comunque la si voglia chiamare). E dunque, nella versione iniziale del codice,si sarebbe dovuto scrivere, per coerenza con il resto, "con firma digitale o altro tipo di firma elettronica qualificata". Ma l'art. 28, 1, g), citava solo la seconda. Una "svista" così corretta nel nuovo testo: 

Cioè la firma digitale "forte"! Tutte queste contorsioni lessicali (o perversioni normative?) si risolverebbero da sole, se semplicemente venissero corrette le definizioni dell'art. 1.

Qui dobbiamo aprire una parentesi. Il Centro nazionale per l'informatica nella pubblica amministrazione (il cui ruolo di organo tecnico consultivo è opportunamente ribadito e reso più effettivo dalla nuova versione del codice) ha pubblicato una bozza di "glossario giuridico delle tecnologie", allo stato attuale utile soprattutto per verificare il caos definitorio della normativa vigente. Si tratta di un "documento di lavoro" che potrebbe costituire il punto di partenza di un dizionario ufficiale di termini standard da impiegare negli atti normativi e tecnico-normativi, risolvendo una volta per tutte gli equivoci definitori che affliggono leggi e regolamenti riguardanti le tecnologie e il loro impiego, all'interno e all'esterno della pubblica amministrazione.

Torniamo al codice "integrato e corretto". In materia di firma digitale le critiche più forti erano state sollevate a proposito delle disposizioni sul valore giuridico e l'efficacia probatoria dei documenti informatici (disposizioni che avevano causato qualche discussione interpretativa fin dal decreto del 1997). Lo stesso Consiglio di Stato, nel parere sul decreto correttivo, aveva rilevato la probabile incostituzionalità delle norme che alterano l'equivalenza del documento informatico "qualificato" al documento cartaceo, fra l'altro espressamente imposta dalla direttiva europea.
Ebbene, il nuovo testo accentua le "disarmonie" e rende la materia ancora più confusa (artt. 20 e 21). Inutile, in questa sede, entrare nei dettagli¹: la semplice lettura del testo basta a intuire i problemi che dovranno affrontare i giudici quando dovranno determinare il valore probatorio di documenti informatici, con il prevedibile rinvio delle norme alla Corte costituzionale.

In... controtendenza c'è il comma 2-bis dell'art. 23: potrebbe eliminare la questione sorta in seguito alla proditoria introduzione, nell'ultima legge finanziaria, di una norma che autorizzava persino gli autisti dei mezzi di trasporto pubblici ad autenticare le copie dei documenti (vedi Emendamenti in libertà: se l'autista autentica...). Ora è chiaro che l'autenticazione (quella vera!) di una copia di documento può essere fatta solo da un pubblico ufficiale espressamente autorizzato.

E' stato anche accolto  il suggerimento (uno fra i tanti) di rivedere l'articolo 32, eliminando l'antinomia tra la previsione di una responsabilità "forte" per l'uso del dispositivo di firma e la diligenza "debole" del buon padre di famiglia per la sua custodia. Ora è più chiaro anche l'obbligo di utilizzare personalmente il dispositivo di firma, tanto che si sarebbe potuta eliminare la tanto discussa presunzione dell'art. 21, comma 2 (criticata anche dal Consiglio di Stato, ma ora solo parzialmente riscritta. senza cambiarne la sostanza).

La conclusione rimane quella formulata dopo la lettura del parere del consiglio di Stato: Firme elettroniche, il codice è da rifare. Ed è una conclusione desolante: dopo anni di lavoro, dopo che non solo gli studiosi della materia, ma lo stesso Consiglio di Stato avevano indicato con chiarezza la strada da seguire, il legislatore ha insistito con ottusa arroganza nella scrittura e riscrittura di norme che non stanno in piedi sia sul piano strettamente giuridico sia su quello della realtà tecnologica.
Da pochi giorni quel legislatore è stato mandato a casa dagli elettori. Possiamo sperare che il nuovo rimetta mano alla normativa in questione, nel rispetto dell'ordinamento giuridico, delle basi tecnologiche e, possibilmente, anche della lingua italiana?
 

 1. Per un'analisi dettagliata degli errori del codice si veda il libro di Manlio Cammarata, Firme elettroniche - Problemi normativi del documento informatico, Monti&Ambrosini Editori, 2005.