Introdotta dal 1° marzo 2002 la firma elettronica

Con il D.Lgs. 23 gennaio 2002, n.10 entrato in vigore il 1° marzo u.s., intitolato “Attuazione della direttiva europea 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche” e pubblicato sulla Gazzetta Ufficiale n. 39 del 15/02/2002 è stata introdotta nel nostro ordinamento giuridico la firma elettronica, novità che va ad integrare il sistema italiano di validazione delle dichiarazioni rese in forma elettronica. Inoltre il D.Lgs. assicurando la diffusione dei prodotti di firma elettronica, garantisce che non possa essere negata una rilevanza legale ad un documento sottoscritto con uno di questi, liberalizza l’attività di certificazione e prevede che la carta di identità elettronica e la carta nazionale dei servizi possano essere utilizzate per i pagamenti tra privati e pubbliche amministrazioni.

 

La direttiva comunitaria 1999/93/CE

Elementi fondamentali quali l’esigenza di assicurare la certezza e la sicurezza nelle transazioni commerciale effettuate attraverso Internet, nonché la diffidenza dei consumatori nei confronti delle nuove tecnologie, come pure la necessità di evitare un sistema di norme nazionali divergenti tra loro in quanto a efficacia e validità attribuita alla firma elettronica ed alla firma digitale, hanno indotto il legislatore comunitario ad adottare una direttiva finalizzata, appunto all’armonizzazione della disciplina sulle firme elettroniche tra i Paesi membri.

La direttiva comunitaria 1999/93/CE, pubblicata sulla G.U.C.E. n. L013 del 19 gennaio 2000, del Parlamento europeo e del Consiglio, relativa ad un quadro comunitario per le firme elettroniche, ha soprattutto dato una risposta alle esigenze commerciali (la rapida diffusione dello shopping on-line ne è la prova) e introdotto una serie di opportunità per il cittadino/consumatore per l’ottenimento di servizi a distanza dalle amministrazioni pubbliche.

La firma elettronica viene definita come un insieme di “dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione”

In Italia le troviamo già impiegate anche per cose non di poco conto, quali ad esempio le transazioni bancarie o il trading on-line, ecc.

Rappresenta una firma elettronica, ad esempio, la scansione della firma autografa e apposta come immagine ad un documento, la chiave biometrica, la quale è costituita da una sequenza di codici informatici utilizzati nell’ambito dei meccanismi di sicurezza che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente come, ad esempio, la retina dell’occhio o l’impronta digitale. La portata della definizione consente tuttavia l’adattamento della normativa alle nuove tecnologie che si susseguono nel tempo, rivelandosi flessibile e aperta.

 

La normativa italiana in materia

  1. a) Il documento informatico

Con la crescente diffusione delle sempre nuove e moderne tecnologie, il documento scritto sarà generalmente superato e sostituito dal documento elettronico in grado di perseguire i medesimi risultati.

Tale documento è definito e disciplinato dal d.P.R. n. 445 del 28 dicembre 2000, relativo al Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (di seguito T.U.) il quale ha espressamente abrogato e assorbito, tra le altre norme, il precedente d.P.R. n. 513 del 10 novembre 1997 che disciplinava la validità giuridica del documento informatico. Il T.U., nonostante qualche lacuna, ha avuto il grande merito di disegnare un sistema coerente, basato su un assunto innovativo: il riconoscimento dell’efficacia legale di processi tecnologici capaci di garantire un livello di sicurezza almeno pari a quello delle procedure tradizionali, fondate sul vecchio sistema delle firme autografe, dei timbri, sigilli e punzoni e di quant’altro la burocrazia aveva saputo inventare nel corso dei secoli. Il documento informatico, come definito all’art.1, lett. b) del T.U. quale “la rappresentazione informatica di atti, fatti, o dati giuridicamente rilevanti” nella cui definizione rientrano, senza dubbio, i testi e le immagini ha indubbiamente introdotto una innovazione di portata epocale in quanto il documento è “valido e rilevante a tutti gli effetti di legge“.

Una volta stabilito che il documento informatico vale come scrittura, è ovvio che lo stesso assuma una rilevante e diversa efficacia probatoria a seconda del tipo di firma ad esso accompagnata.

  1. b) La firma digitale

Il T.U. in questione ha avuto altresì per obiettivo il riordino della normativa in materia di firma digitale, documentazione informatica ed amministrativa.

La normativa in tale materia aveva posto il nostro Paese all’avanguardia nel mondo nel difficile campo dell’accoglimento delle innovazioni tecnologiche nell’ordinamento giuridico. Questa, maggiormente selettiva di quella comunitaria, aveva altresì attribuito, fino al recepimento della direttiva de quo, solo alla firma digitale l’efficacia probatoria equiparabile alla scrittura privata. La firma digitale nella sua operatività pratica è il risultato di una procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. La sua funzione principale è pertanto quella di conferire al documento informatico i requisiti di integrità, paternità e riservatezza.

Ciò significa che, attualmente, il documento informatico, redatto secondo le regole tecniche e munito di firma digitale secondo le disposizioni legislative e regolamentari raccolte nel T.U. ha in giudizio lo stesso valore della scrittura redatta e sottoscritta sul foglio cartaceo.

Il “parallelismo” esistente tra scrittura su supporto informatico e scrittura su supporto cartaceo è rafforzato inoltre dalla previsione di un documento informatico munito di firma digitale autenticata secondo le forme dell’articolo 24 del predetto T.U. per cui “Si ha per riconosciuta ai sensi dell’articolo 2703 del codice civile, la firma digitale la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.

In questo modo il notaio in sostanza attesta che la firma digitale è stata apposta in sua presenza dal titolare, previamente identificato, che il documento sottoscritto risponde alla volontà della parte, non è in contrasto con l’ordinamento giuridico ed infine attesta la validità della cosiddetta “chiave utilizzata”.

Il notaio a sua volta appone la firma digitale sostitutiva di sigilli, timbri ed altro.

 

La firma elettronica “debole” e la firma elettronica “forte”

Il D.Lgs. n. 10/2002 ha introdotto in Italia la c.d. firma elettronica “leggera” o “debole” intesa come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” che si affianca alla firma elettronica “avanzata” o “forte” in quanto “ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Tipico esempio in tal senso è la nota firma digitale del nostro ordinamento, che rimane pienamente efficace.

Va precisato, tuttavia, che la firma elettronica serve per la “validazione” di un documento e non per la sua autenticazione.

 

La diversa efficacia probatoria

Le principali differenze tra le due firme riguardano il grado di sicurezza relativo alla possibilità di accertare la provenienza e l’autenticità del documento elettronico collegato. Tale differenza è rilevante per le conseguenze in materia di prove processuali.

Sancisce infatti l’articolo 6 del D.Lgs. in parola, che ha completamente riscritto l’art. 10 del T.U.:

1.Il documento informatico ha l’efficacia probatoria prevista dall’articolo 2712 del codice civile, riguardo ai fatti ed alle cose rappresentate.

  1. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l’obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.
  2. Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.
  3. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura.
  4. Le disposizioni del presente articolo si applicano anche se la firma elettronica e’ basata su di un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell’Unione europea, quando ricorre una delle seguenti condizioni:
  5. a) il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed è accreditato in uno Stato membro;
  6. b) il certificato qualificato è garantito da un certificatore stabilito nella Comunità europea, in possesso dei requisiti di cui alla medesima direttiva;
  7. c) il certificato qualificato, o il certificatore, è riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunità e Paesi terzi od organizzazioni internazionali.

 (…)

Analizzando le singole disposizioni si può notare che innanzitutto il documento informatico, con o senza firma digitale sicura, può essere equiparato alle riproduzioni meccaniche di cui all’articolo 2712 c.c. le quali fanno piena prova fino a quando colui contro il quale sono prodotte non ne disconosce la paternità.

Il secondo comma attribuisce innanzitutto l’efficacia della “forma scritta”, rigidamente regolata dal codice civile, anche al documento con firma elettronica “debole” e prevede che lo stesso documento informatico, pur essendo considerato dall’ordinamento giuridico comunque scritto, potrà essere liberamente valutato dal giudice ai fini processuali.

Inoltre, nel caso di firma elettronica “insicura” il documento è efficace anche ai fini degli articoli 2214 e seguenti del codice civile e da ogni altra analoga previsione legislativa o regolamentare. Ci si riferisce alla tenuta dei libri obbligatori, delle altre scritture contabili delle società e per tutte le altre situazioni del genere.

È doveroso qui rilevare la contraddizione tra il comma 2 ed il successivo comma 4 in quanto il primo stabilisce che come prova è liberamente valutabile dal giudice, quando il secondo prevede che comunque non ne possa essere negata rilevanza giuridica o ammissibilità come mezzo di prova.

Per contro, nel caso di apposizione della firma elettronica “forte”, come la vecchia firma digitale il documento informatico assume l’efficacia probatoria della scrittura privata riconosciuta, e non sarebbe quindi disconoscibile, se non attraverso l’esperimento della querela di falso (art. 2702 del c.c.). Infatti, ai sensi di quest’ultima disposizione del nostro codice civile, la scrittura, e quindi anche il contratto informatico, “fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto, se colui contro cui la scrittura è prodotta ne riconosce la sottoscrizione ovvero se questa è legalmente considerata come riconosciuta.” Ciò significa che il valore probatorio di un documento informatico sottoscritto con firma “forte” è, dal 1° marzo 2002, equipollente a quello di una scrittura con firma autenticata dal notaio poiché essa non dovrà essere riconosciuta da colui contro il quale viene utilizzata e farà piena prova in giudizio sino ad impugnazione di falso.

Questa previsione introduce sicuramente un’innovazione non indifferente rispetto al sistema precedente ed attribuisce indirettamente un significato ben preciso all’art. 24 del T.U. il quale, prescrive che si ha per riconosciuta la firma digitale, la cui apposizione sia autenticata da notaio o da altro pubblico ufficiale.

 

Il sistema delle certificazioni

L’articolo 3 della Direttiva 1999/93/CE ha stabilito che gli stati membri non possono subordinare ad autorizzazione preventiva la prestazione di servizi di certificazione. La ratio di tale disposto è da ricercare nell’intento del legislatore comunitario di confermare il principio del libero mercato in cui lo stesso utente/consumatore possa scegliere il livello di sicurezza insito in un sistema di certificazione, comunque conforme ai requisisti tecnici previsti. In sintesi l’utente potrà aderire alle offerte dei servizi dei certificatori in base alle proprie esigenze economiche e di sicurezza.

Secondo la direttiva chiunque, soggetto pubblico o privato, può effettuare l’attività di certificazione, in presenza naturalmente dei requisiti previsti.

La differenza tra i certificati è da rinvenirsi nel grado di sicurezza garantito. I certificati maggiormente sicuri avranno un costo più elevato, ma tutti devono garantire la validità probatoria del documento informatico sottoscritto con firma elettronica o firma elettronica avanzata.

Con l’approvazione del D.Lgs. n. 10/2002 di recepimento, il sistema delle certificazioni è stato profondamente innovato. Fino al 28 febbraio u.s. le certificazioni erano effettuate dai 12 enti specializzati e riconosciuti, inclusi in un apposito elenco predisposto e tenuto a cura dell’A.I.P.A. (Autorità per l’Informatica nella Pubblica Amministrazione), d’intesa con un alto funzionario dello Stato delegato dal Presidente del Consiglio dei Ministri in qualità di Autorità nazionale per la sicurezza. Il D.Lgs in parola ha disciplinato la figura agli artt. 3, 4 e 5:

Art. 3.

  1. L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva.
  2. La Presidenza del Consiglio dei Ministri – Dipartimento per l’innovazione e le tecnologie, di seguito denominato: “Dipartimento”, svolge funzioni di vigilanza e controllo nel settore, anche avvalendosi dell’Autorità per l’informatica nella pubblica amministrazione e di altre strutture pubbliche individuate con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l’innovazione e le tecnologie, di concerto con i Ministri interessati.

 

Art. 4.

  1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell’inizio dell’attività, al Dipartimento.
  2. I controlli volti ad accertare se il certificatore che emette al pubblico certificati qualificati soddisfa i requisiti tecnici ed organizzativi previsti dal regolamento di cui all’articolo 13 sono demandati al Dipartimento, che all’uopo può avvalersi degli organismi indicati nell’articolo 3, comma 2.
  3. I controlli di cui al comma 2 sono effettuati d’ufficio ovvero su segnalazione motivata di soggetti pubblici o privati.

 

Art. 5.

  1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati.
  2. Il richiedente deve essere dotato di ulteriori requisiti, sul piano tecnico, nonché in ordine alla solidità finanziaria ed alla onorabilità, rispetto a quelli richiesti per gli altri certificatori ai sensi del regolamento di cui all’articolo 13.
  3. Il Dipartimento, per il vaglio delle domande presentate ai sensi del comma 1, può avvalersi degli organismi indicati nell’articolo 3, comma 2.
  4. Quando accoglie la domanda, il Dipartimento dispone l’iscrizione del richiedente in un apposito elenco pubblico, consultabile anche in via telematica, tenuto dal Dipartimento stesso.

In altri termini sono state introdotte tre figure di certificatore, ossia i soggetti pubblici o privati che certificano la corrispondenza chiave-titolare.

Il primo, ove voglia semplicemente prestare servizi di certificazione di “base” o altri servizi connessi, non avrà bisogno di alcun tipo di autorizzazione preventiva e lo potrà fare liberamente.

Nel caso in cui invece il certificatore voglia rilasciare attestati con un rilevante livello di qualità e sicurezza, dovrà semplicemente dare avviso dell’inizio dell’attività al citato Dipartimento, anche per via telematica. Su questo tipo di certificatori “qualificati” il controllo sarà solo successivo, d’ufficio o dietro segnalazione motivata.

Infine i certificatori “accreditati” sono quelli con i requisiti di qualità e sicurezza più elevati, che hanno chiesto di essere riconosciuti tali e che, avendo soddisfatto i requisiti richiesti sono stati inseriti in apposito elenco. Su questi, ovviamente, il controllo sarà maggiore, preventivo e successivo.

In sintesi si può dedurre che le firme elettroniche “forti” potranno solo essere certificate dal secondo e terzo tipo di certificatori (qualificati e accreditati) mentre quelle “deboli” anche dai semplici certificatori del primo tipo.

 

La responsabilità dei certificatori

Nell’intento del legislatore comunitario di garantire la certezza del diritto per prestatori e utenti onde favorire la fiducia nelle transazioni telematiche, è stato espressamente prevista la responsabilità dei certificatori.

L’articolo 7 del D.Lgs n. 10/2002 ha introdotto il nuovo l’articolo 28-bis al Testo Unico:

  1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l’affidabilità del certificato è responsabile, se non prova d’aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento:
  2. a) sull’esattezza delle informazioni in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
  3. b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
  4. c) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.
  5. Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato, salvo che provi d’aver agito senza colpa.
  6. Il certificatore può indicare, in un certificato qualificato, i limiti d’uso di detto certificato ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d’uso o il valore limite siano riconoscibili da parte dei terzi. Il certificatore non è responsabile dei danni derivanti dall’uso di un certificato qualificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.”

 

Carta d’identità elettronica

Tra le ulteriori novità, l’articolo 8 del D.Lgs. n. 10/2002 ha ridefinito l’art. 36 del T.U. in quanto ha previsto che sia la carta d’identità elettronica (CIE) sia la carta nazionale dei servizi (CNS) potranno essere utilizzate per i pagamenti tra privati e la Pubblica Amministrazione (in pieno clima di e-government), secondo modalità che saranno stabilite in un successivo provvedimento. Ad un futuro decreto sono anche affidate le regole tecniche e di sicurezza delle tecnologie da utilizzare per la produzione della carta di identità elettronica, del documento di identità elettronico e della carta nazionale dei servizi.

 

Vantaggi per il cittadino/consumatore

Inoltre l’Art. 9, sostituendo il secondo comma dell’articolo 38 del T.U. sancisce:

“2. Le istanze e le dichiarazioni inviate per via telematica [alla pubblica amministrazione] sono valide:

  1. a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura;
  2. b) ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi.”

Questa disposizione ripete un errore già presente nel T.U. Infatti le dichiarazioni inviate con l’uso della carta d’identità elettronica o della carta nazionale dei servizi hanno solamente una validità istantanea. Queste infatti se riescono a far pervenire alla Pubblica Amministrazione un documento in modo sicuro, assicurando l’identità del mittente, in realtà una volta giunto a destinazione lo stesso potrebbe essere alterato in quanto non sufficientemente protetto (come avviene invece per il documento sottoscritto mediante firma digitale).

 

Conclusione

Allo stato attuale, quindi, a seguito dell’emanazione del D.Lgs. n. 10/2002 sono state sicuramente chiarite alcune incongruenze del precedente sistema, ma sono nati alcuni inevitabili problemi di coordinamento che potranno essere risolti solo tramite un apposito regolamento la cui emanazione è prevista nel termine di 30 gg. a decorrere dall’entrata in vigore del decreto stesso.

Se da una parte infatti rende più razionale il sistema della validazione della documentazione elettronica affermando che il documento informatico possa essere senza alcuna firma, ovvero accompagnato a firma “debole”, o “forte” è pur vero che il testo altera in misura sensibile il quadro normativo esistente, che si fonda sull’accoglimento delle “certezze tecniche” della firma digitale sicura per ottenere “certezze legali”: si attribuisce infatti piena validità e un valore probatorio al documento sottoscritto con firma “leggera”, sconvolgendo le regole del processo civile.

Dall’altra complica la struttura del sistema delle certificazioni, delle figure dei certificatori e delle loro competenze. È stata infatti esautorata l’Autorità per l’informatica, una delle poche strutture dello Stato realmente indipendente che in questi anni ha saputo produrre innovazione e progresso, divenuta ora mero organo di supporto del Dipartimento per l’innovazione e le tecnologie.

Il concreto timore è che la carenza di un controllo preventivo, il caos nelle verifiche, l’impossibilità di avere qualsiasi ragionevole certezza sull’autenticità delle scritture, visto che la certificazione “leggera” non è soggetta ad alcun controllo porti alla insicurezza certa!

In conclusione chi redigerà i dispositivi attuativi di tipo giuridico e tecnico di cui all’art.13 del decreto in parola dovrà far chiarezza su disposizioni concluse forse un po’ troppo precipitosamente.

 

Contattaci, risponderemo al Tuo quesito

Invia una email

 

 

Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata. Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.

Copyright © Studio Legale Bressan 2020 – 2021

Questo elemento è stato inserito in News. Aggiungilo ai segnalibri.
error: Il contenuto è protetto da copyright