E’ stato tante volte annunciato e finalmente e’ arrivato questo nuovo provvedimento sulle firme elettroniche che completa il recepimento della normativa europea nel nostro paese pubblicato sulla Gazzetta Ufficiale n. 138 del 17 giugno 2003 il D.P.R. n. 137 del 7 aprile 2003 contenente il “regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell’articolo 13 del decreto legislativo 23 gennaio 2002, n. 10”.
Il provvedimento, nel rispetto di quanto prescritto dalla direttiva europea 1999/93/CE ed attraverso un intervento integrativo e sostitutivo di diverse norme del D.P.R. 445/2000 disciplina in maniera piu’ dettagliata le c.d. firme elettroniche nelle quali ovviamente rientra anche la nostra firma digitale e liberalizza l’attivita’ di certificazione attraverso la riconfigurazione di nuovi servizi di certificazione e la fissazione dei requisiti necessari per lo svolgimento dell’attivita’ dei certificatori.

Il D.P.R. n. 137/2003 si presenta molto dettagliato e preciso addentrandosi in complesse definizioni di carattere tecnico che lo rendono piuttosto ostico almeno dopo una prima lettura. Diversi ed inevitabili sono gli interventi sul Testo Unico della documentazione amministrativa (D.P.R. n. 445/2000) dovuti all’introduzione di nuove figure come i certificati elettronici, il certificatore qualificato, il certificatore accreditato, la firma elettronica qualificata, ecc. ed anche all’avvento del Ministero per l’Innovazione e le Tecnologie al posto dell’AIPA (per la verita’ ancora non soppressa definitivamente).
Il nuovo sistema di firme elettroniche introdotto dal D.P.R. n. 137 si fonda su una categoria generale di firma elettronica nella quale rientrano diverse sottospecie.
La firma elettronica generica al di la’ della definizione canonica del d.lgs. n. 10/2002 ripresa anche dal nuovo D.P.R. (l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica) puo’ essere intesa come ogni sistema che puo’ funzionare come “chiave” per accedere ad un documento o a un dato informatico (password, PIN, tecniche biometriche, chiavi asimmetriche). Il documento informatico sottoscritto con la firma elettronica soddisfa il requisito legale della forma scritta ed e’ valutabile come prova. In ogni caso al documento informatico sottoscritto con la firma elettronica non puo’ essere negata rilevanza giuridica ne’ ammissibilita’ come mezzo di prova.

La firma elettronica “avanzata” si distingue dalla firma elettronica “debole” in quanto presenta particolari caratteristiche. Essa secondo l’articolo 2, comma 1, lettera g), del  d.lgs. n. 10 e’ “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario puo’ conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Assume quindi una rilevanza fondamentale per questo tipo di firma il fatto che la sottoscrizione identifichi il firmatario al quale deve poter essere attribuita in maniera univoca. Deve, inoltre, assicurare che l’atto non sia stato modificato, certezza che si ottiene se il firmatario ha il controllo esclusivo del sistema di sottoscrizione. La firma elettronica avanzata ha la stessa validita’ della firma elettronica “generica”, ma con il vantaggio che e’ piu’ sicura. Aumenta, quindi, la possibilita’ di utilizzarla come prova.

C’e’ poi la firma elettronica qualificata definita dal D.P.R. n. 137 come quella firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un
dispositivo sicuro per la creazione della firma. Si tratta, quindi, di un ambito piu’ ristretto che richiede due elementi: la firma deve essere associata ad un certificato qualificato (il certificato elettronico conferma l’identita’ del titolare della sottoscrizione) e deve essere creata mediante un sistema sicuro. La sicurezza dell’apparato strumentale utilizzato per creare la firma e’ data dal rispetto di una serie di criteri indicati nel Decreto Presidenziale (v. art. 15 che ha introdotto tra gli altri l’art. 29-sexies del D.P.R. 445/2000)
In base poi al certificato qualificato (al quale il D.P.R. in esame dedica diverse disposizioni fra cui l’art. 11 che ha sostituito l’art. 27 del Testo Unico, l’art. 12 che ha introdotto l’art. 27-bis del Testo Unico, l’art. 13 che ha sostituito l’art. 28 del T.U., l’art. 14 che ha sostituito l’art. 29 del T.U., l’art. 15 che ha introdotto gli artt.29-bis, 29-ter, 29-quater, 29-quinquies, 29-sexies, 29-septies, 29-octies del T.U.) possono esserci due tipi di sottoscrizione:
1. la firma qualificata con certificato rilasciato da certificatore accreditato (v. art. 13 del D.P.R. che ha sostituito l’art. 28 del T.U) che sarebbe in effetti la firma digitale. I certificatori accreditati sono quelli iscritti nell’elenco prima tenuto dall’AIPA (ora dal Dipartimento per l’Innovazione e le Tecnologie).

Questa firma garantisce il massimo della sicurezza e puo’ essere usata nei rapporti fra privato e pubblica amministrazione.
2. La firma qualificata con certificato rilasciato da certificatore notificato. Difatti, considerato che la prestazione di servizi di certificazione, alla luce di quanto prescritto dall’art. 10 del D.P.R. in esame che ha sostituito l’art. 26 del T.U., e’ libera e non necessita di autorizzazione preventiva, possono nascere certificatori che assicurano l’emissione di certificati qualificati, ma i cui livelli di qualita’ e sicurezza sono indicati dal mercato e non dalla legge.

Naturalmente tutte le firme qualificate rappresentano titolo di prova, fino a querela di falso, della volonta’ del sottoscrittore del documento.
Purtroppo questo nuovo sistema cosi’ concepito lascia intravedere subito alcune difficolta’ applicative fra cui principalmente il problema dell’interoperabilita’ che gia’ si era posto con l’avvento della firma digitale in Italia ed era stato risolto dall’AIPA con una circolare che aveva dettato regole comuni perche’ i sistemi presenti sul mercato potessero “dialogare”. In altri termini se chi genera firme elettroniche adotta standard propri, non e’ detto che il documento informatico regolarmente sottoscritto sia leggibile da chi lo riceve.
E’ ovvio che anche in questo caso possono essere adottate regole comuni e naturalmente in tale settore assumerebbero un’importanza fondamentale i certificatori, ma si sono gia’ viste, purtroppo, le enormi difficolta’ che incontra il nostro legislatore quando viene chiamato ad elaborare delle regole tecniche in materia di firma elettronica.

Scritto da