Brevi considerazioni sulla firma digitale (di Stefano Chiusolo)

Chi è abituato all'uso del computer conosce da tempo il documento elettronico e sa che questo può sostituire quello cartaceo. Tuttavia, gli effetti giuridici della formazione di un documento in formato elettronico, al posto del più tradizionale formato cartaceo, sono stati disciplinati e definiti solo in tempi più recenti: in primo luogo dalla Direttiva 1999/93/CE del Parlamento europeo, adottata il 13/12/99, che ha emanato norme di coordinamento comunitario in materia di firme elettroniche; in secondo luogo, dal D. Lgs. 23/1/02 n. 10, che ha finalmente dato attuazione, nel nostro Paese, a quella direttiva.

Il citato D. Lgs. contiene una norma fondamentale, che attribuisce al documento elettronico la medesima efficacia giuridica del documento cartaceo, purchè ricorrano determinate condizioni. A tale riguardo, l'art. 6 del D. Lgs. (che ha modificato l'art. 10 DPR 28/12/00 n. 445) prevede le seguenti ipotesi:

·        documento informatico privo di sottoscrizione. In questo caso, il documento fa piena prova dei fatti o delle cose che rappresenta, a meno che colui contro il quale il documento informatico è prodotto non ne disconosca la conformità ai fatti o alle cose che rappresenta;

·        documento informatico sottoscritto con firma elettronica. Questo tipo di documento soddisfa il requisito della forma scritta, quando richiesto dalla legge (in particolare, per espressa previsione della norma, questa ipotesi soddisfa l'obbligo dell'imprenditore di tenuta delle scritture contabili). Tuttavia, questo tipo di documento non ha un'efficacia probatoria assoluta, in quanto il giudice può valutarlo liberamente, in considerazione delle sue caratteristiche di qualità e sicurezza;

·        documento informatico sottoscritto con firma digitale avanzata, basata su un certificato qualificato e generata mediante un dispositivo per la creazione di una firma sicura. In questo caso, l'equiparazione con il documento cartaceo è assoluta, in quanto questo tipo di documento fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto.

L'art. 13 del D. Lgs. ha invece disposto l'emanazione di un apposito regolamento che coordini con la Direttiva della UE sopra citata e con il D. Lgs. 10/02 le norme contenute nel DPR 445/00, che dispone in materia di documentazione amministrativa, alcune delle quali applicabili però anche ai privati. Questo regolamento, che dovrebbe chiarire i concetti sopra enunciati, non è ancora stato approvato; tuttavia, esiste uno schema di regolamento abbastanza rappresentativo di quella che dovrebbe essere la versione finale.

Lo schema di regolamento distingue tra firma elettronica e firma digitale. La prima consiste in un insieme di dati elettronici, connessi ad altri dati elettronici utilizzati per autenticare la firma. La firma digitale è invece un particolare tipo di firma elettronica, costituita da una chiave asimmetrica, di cui una privata (destinata ad essere conosciuta solo dal titolare, mediante la quale si appone materialmente la firma digitale sul documento) e una pubblica che, associata alla prima, consente di accertare l'autenticità della firma.

La novità più importante dello schema di regolamento sta nella disciplina dei certificatori delle firme elettroniche. Costoro sono distinti in tre categorie: i certificatori in genere, i certificatori qualificati e i certificatori accreditati:

·        i primi svolgono il servizio di certificare le firme elettroniche. Per svolgere questa attività non è necessaria alcuna formalità o autorizzazione preventiva. Solamente, è previsto che il certificatore possegga i requisiti di onorabilità richiesti a chi svolga funzione di amministrazione, direzione e controllo presso istituti di credito. Il successivo accertamento dell'inesistenza o del venir meno di questo requisito comporta il divieto di proseguire l'attività di certificazione (la vigilanza è affidata al Dipartimento dell'innovazione e delle tecnologie presso la Presidenza del Consiglio dei Ministri);

·        il certificatore qualificato, invece, deve possedere i requisiti previsti dal regolamento (tra l'altro, dimostrare affidabilità organizzativa, tecnica e finanziaria; impiegare personale dotato di conoscenze, esperienze e competenze specifiche; utilizzare sistemi affidabili che garantiscano la sicurezza tecnica e crittografica dei procedimenti; adottare adeguate misure contro la contraffazione dei certificati) e, prima di iniziare l'attività, deve darne comunicazione al citato Dipartimento. Quest'ultimo può procedere, d'ufficio o su segnalazione, all'accertamento della sussistenza dei requisiti e, se del caso, dispone il divieto di prosecuzione dell'attività. Questa categoria di certificatori rilascia certificati qualificati, che devono contenere alcune informazioni obbligatorie, come ad esempio l'indicazione che si tratta - appunto - di un certificato qualificato, il suo numero di serie, l'identità del certificatore e del titolare del certificato, l'indicazione del termine iniziale e del termine finale di validità del certificato;

·        il certificatore accreditato è colui che ha il più elevato riconoscimento del possesso di requisiti di qualità e sicurezza. Per essere accreditati, non è sufficiente possedere i requisiti del certificatore qualificato, ma bisogna anche presentare un'apposita domanda al già citato Dipartimento, allegando il profilo professionale del personale responsabile della generazione dei dati per la creazione e la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati. Altri requisiti sono previsti se il richiedente è un soggetto privato (tra l'altro, deve trattarsi di una società di capitali, con un capitale sociale non inferiore a quello necessario per le attività bancarie). La domanda si considera accolta se non è rigettata nel termine di novanta giorni; all'accoglimento consegue l'iscrizione del richiedente in un apposito elenco tenuto presso il Dipartimento.

Naturalmente, la certificazione proveniente da un certificatore appartenente all'una o all'altra delle categorie sopra indicata presenta diversi gradi di sicurezza e, talvolta, è richiesto che la firma elettronica sia autenticata da un certificatore appartenente a una certa categoria. Per esempio, i contratti stipulati con strumenti informatici, per essere validi ad ogni effetto di legge, devono essere sottoscritti almeno con la firma elettronica autenticata con certificato qualificato. La necessità di un certificatore accreditato riguarda invece per lo più i rapporti con la pubblica amministrazione. Per esempio, questa, per la sottoscrizione di documenti informatici di rilevanza esterna, può rilasciare direttamente certificati qualificati, previo accreditamento con la procedura prevista per i certificatori accreditati (ma, in questo caso, il terzo può utilizzare il certificato solo nei confronti dell'Amministrazione certificante), oppure deve rivolgersi a certificatori accreditati. Inoltre, chi intende presentare istanze o dichiarazioni alla pubblica amministrazione per via telematica, e non disponga della carta d'identità elettronica, deve possedere una firma elettronica autenticata da un certificatore accreditato.