Prime riflessioni sul decreto legislativo 23 gennaio 2002, n. 10 di recepimento della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche

31.01.2002

La concreta informatizzazione dei flussi documentali non può prescindere dal pieno riconoscimento del valore giuridico del documento informatico, sia sotto il profilo della validità dell’atto, sia sotto il profilo del valore probatorio del documento. Per questo motivo, lo snodo fondamentale dell’intera disciplina è rappresentato dalla previsione di una tecnica di imputazione del documento compatibile con il supporto informatico di rappresentazione documentale. La sottoscrizione informatica, al pari di quella autografa, svolge alcune funzioni tipiche riconducibili all’esigenza di assicurare certezza ai rapporti giuridici. L’indicazione dell’autore del documento, l’assunzione di paternità delle dichiarazioni rappresentate, nonché la specifica funzione probatoria assolta dalla sottoscrizione, non potevano essere sacrificate in nome della virtualizzazione dei rapporti giuridici. La sottoscrizione informatica rappresenta, dunque, il fondamentale strumento di certezza dei rapporti giuridici virtuali.
Il legislatore italiano ha disciplinato la materia in modo organico e corposo. Da ultimo, le norme in tema di documento informatico e firma digitale sono state trasfuse nel testo unico sulla documentazione amministrativa, il D.P.R. 28 dicembre 2000, n. 445. La disciplina italiana, tuttavia, presentava forti discrasie con quella dettata dal legislatore comunitario, contenuta nella direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Le discrasie sono riconducibili al diverso approccio di politica del diritto che ha guidato, rispettivamente, il legislatore italiano e quello comunitario. La disciplina dell’informatizzazione trae origine, nel sistema italiano, nell’ambito del più generale processo di riforma della pubblica amministrazione tendente a sancire la transizione da un’amministrazione di garanzia ad un’amministrazione di risultato. L’orientamento al risultato, tuttavia, non poteva prescindere dal mantenimento di un sistema di garanzie fondamentali. L’informatizzazione, dunque, non poteva implicare un orientamento meramente efficientistico del sistema amministrativo, ma andava inquadrata in un fascio di garanzie. Da qui la previsione di un’unica tecnologia di sottoscrizione informatica utilizzabile, la firma digitale basata sul sistema delle chiavi asimmetriche, ad altissima affidabilità; ed ancora, conseguentemente, una disciplina dell’attività di certificazione basata sul sistema delle autorizzazioni preventive. In definitiva, un’informatizzazione ammansita dall’esigenza garantista. L’approccio adottato a livello comunitario è invece profondamente diverso. L’orizzonte che ha orientato il legislatore comunitario è quello dell’e-commerce, più che la prospettiva dell’informatizzazione dell’amministrazione. Sul piano applicativo, al garantismo cui si riconduce la disciplina interna della firma digitale è dunque preferita un’ ampia liberalizzazione: l’unico, ed altamente affidabile, dispositivo di generazione della sottoscrizione informatica è superato dalla previsione di un insieme differenziato, per livello di affidabilità e di sicurezza, di firme elettroniche; l’attività di certificazione è liberalizzata e non più sottoposta al sistema delle autorizzazioni preventive.
La normativa interna sulla sottoscrizione informatica si è adeguata alla disciplina comunitaria sulle firme elettroniche con l’emanazione del d. lgs. 23 gennaio 2002, n. 10 (pubblicato nella Gazzetta Ufficiale n. 39 del 15 febbraio 2002 e reperibile sul sito Internet www.parlamento.it -leggi attuative di direttive comunitarie), adottato in base alla delega contenuta nella legga comunitaria 2000, la legge 29 dicembre 2000, n. 422. Entro trenta giorni dall’entrata in vigore del d. lgs. n. 10/2002 sarà inoltre emanato il regolamento d’esecuzione del decreto di recepimento (art. 13, comma 1, d. lgs. n. 10/2002). Premettiamo che, in questa sede, non vogliamo esprimere alcun giudizio di merito sul decreto di recepimento, bensì introdurre le principali modificazioni che esso ha indotto nel panorama normativo previgente.
La previsione dell’unico dispositivo di generazione della sottoscrizione informatica è sostituita dalla previsione di un insieme differenziato di firme elettroniche (art. 2, d. lgs. n. 10/2002): la firma elettronica “semplice”, la firma elettronica avanzata e la firma sicura. I tre dispositivi sono differenziati in relazione al livello di affidabilità e di sicurezza. Al documento informatico sottoscritto con firma elettronica non può essere negata rilevanza giuridica, né ammissibilità come mezzo probatorio unicamente a causa della forma elettronica del documento, della tipologia di sottoscrizione informatica utilizzata, ovvero a causa del certificato su cui la firma è basata (art. 10, comma 4, testo unico sulla documentazione amministrazione, come modificato dall’art. 6 del d. lgs. n. 10/2002). Tuttavia, perché un documento informatico faccia piena prova della provenienza delle dichiarazioni da chi l’ha sottoscritto, è necessario che esso sia corredato di firma digitale, ovvero di firma sicura basata su di un certificato qualificato (art. 10, comma 3, testo unico sulla documentazione amministrativa, come modificato dall’art. 6 del d. lgs. n. 10/2002). Nell’ambito delle forme volontarie di conclusione del negozio è sicuramente possibile il ricorso a documenti informatici sottoscritti tramite firme non sicure. Al documento informatico così sottoscritto, tuttavia, poiché privo di una sottoscrizione equivalente alla firma autografa, non può essere assicurato il medesimo valore probatorio della scrittura privata. Il documento informatico farà piena prova, se corredato di firma sicura; se, invece, esso reca una firma non sicura, il valore del mezzo probatorio addotto è liberalmente valutato dal giudice nell’ambito del giudizio di attendibilità. Il valore giuridico e l’efficacia probatoria del documento informatico dipende, dunque, dalla tecnica di generazione del documento utilizzata che, a sua volta, si ricollega, sostanzialmente, alla tipologia di firma elettronica prescelta.
In definitiva, gli atti per cui la forma scritta è richiesta ad substantiam ovvero ad probationem trovano rappresentazione in documenti informatici necessariamente corredati di firma sicura. L’ambito di utilizzabilità dei dispositivi non sicuri di generazione delle firme elettroniche va dunque ristretto ai casi in cui si può accedere a forme volontarie di conclusione del negozio. Dalla norma in esame scompare, tuttavia, il riferimento all’istituto del disconoscimento di firma. Infatti, ai sensi del comma 4, art. 10, del testo unico sulla documentazione amministrativa, come modificato dall’art. 6 del d. lgs. n. 10/2002, il documento informatico corredato di firma sicura fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto. La sottoscrizione della scrittura privata informatica, essendo insuscettibile di disconoscimento, parrebbe riconducibile a quanto dispone l’art. 2703 c.c., in tema di sottoscrizione autenticata. Le perplessità concernenti la mancata previsione del disconoscimento di firma sicura possono comunque essere sciolte ricordando che, di fatto, la piena applicazione della disciplina di cui all’art. 2702 c.c. finirebbe per addossare al ricorrente un onere probatorio insostenibile. In particolare, con riferimento alla firma digitale, identificato il documento informatico nella fase di ispezione, attraverso la procedura informatica di validazione, se il contemplato potesse disconoscere la firma digitale apposta, nulla potrebbe il producente non potendosi ricorrere, nel caso di documenti informatici, alle scritture di comparazione. L’esigenza di non gravare il ricorrente di un onore probatorio sproporzionato giustificherebbe, dunque, la difformità di disciplina tra sottoscrizione della scrittura privata tradizionale e della scrittura privata informatica.
Riguardo all’attività di certificazione, recependo la direttiva comunitaria, il legislatore delegato ha dettato una disciplina finalizzata alla liberalizzazione dell’attività: ai sensi dell’art. 3, comma 1, d. lgs. n. 10/2002, l’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva. I certificati sono tuttavia differenziati, sia in relazione alla qualità del certificato, sia in relazione al certificatore che lo emette. Più analiticamente, i certificati “semplici”, su cui sono basate le firme non sicure, possono essere emessi da qualsiasi certificatore. I certificati qualificati possono invece essere emessi soltanto da certificatori che rispondono ai requisiti fissati dall’allegato II della direttiva 1999/93/CE. I certificatori che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell’inizio dell’attività, al Dipartimento per l’innovazione e le tecnologie (art. 4, comma 1, d. lgs. n. 10/2002). L’avviso non va confuso con l’autorizzazione preventiva: i certificatori possono infatti avviare l’attività alla data prevista, essendo l’avviso funzionale all’attivazione dei controlli (art. 4, commi 2 e 3, d. lgs. n. 10/2002), svolti dal Dipartimento, finalizzati ad accertare il rispetto, da parte dei certifiacatori qualificati, dei requisiti di cui all’allegato II della direttiva. La disciplina dell’attività di certificazione prevede inoltre la facoltà, in capo ai certificatori, di ottenere, da parte del Dipartimento per l’innovazione e le tecnologie, l’accreditamento, ossia il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza (art. 5, comma 1, d. lgs. n. 10/2002). Il richiedente, al fine di ottenere l’accreditamento, deve essere dotato di ulteriori requisiti, sul piano tecnico, nonché in ordine alla solidità finanziaria ed alla onorabilità, rispetto a quelli richiesti agli altri certificatori (art. 5, comma 2, d. lgs. n. 10/2002), in base al regolamento di esecuzione del decreto di recepimento. Precisiamo che, vigendo un sistema di accereditamento facoltativo, il certificatore che emette certificati su cui basare firme sicure non deve necessariamente esercitare la facoltà di richiedere l’accreditamento al Dipartimento. In proposito, sia consentito rilevare una probabile imprecisione della norma in commento: l’art. 9, modificativo dell’art. 38, comma 2, del testo unico sulla documentazione amministrativa, stabilisce che “Le istanze e le dichiarazioni inviate per via telematica sono valide: a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura”. In questo caso si fa obbligo al certificatore che volesse emettere certificati su cui basare firme digitali utilizzabili per presentare istanze e dichiarazioni alla pubblica amministrazione, di ottenere l’accreditamento. La norma in commento, inoltre, ripropone il digitale come opzione tecnologica necessitata. In realtà, a parte il ricorso, anche in prospettiva, a sistemi di sottoscrizione sicuri seppure non digitali, rileviamo che una firma digitale che non rispettasse determinati requisiti di sicurezza sarebbe comunque inaffidabile come metodo di identificazione informatica. In particolare, sarebbe ben poco affidabile una firma digitale che non garantisse la connessione univoca al firmatario e la sua univoca identificazione, ovvero che non fosse creata con mezzi sui quali il firmatario può conservare un controllo esclusivo, ovvero che non fosse collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
Il legislatore delegato ha inoltre affrontato la problematica della responsabilità dei certificatori. L’art. 7 del d. lgs. n. 10/2002, recependo quanto disposto dall’art. 6 della direttiva 1999/93/CE, stabilisce che il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l’affidabilità del certificato è responsabile, se non prova d’aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento: a) sull’esattezza e sulla completezza delle informazioni contenute nel certificato alla data del rilascio; b) sulla garanzia della corrispondenza tra i dati utilizzabili per la creazione e quelli utilizzabili per la verifica della firma; c) sulla garanzia che i dati per la creazione e quelli per la verifica della firma non possano essere utilizzati in modo complementare, nel caso in cui il certificatore generi entrambi. Il certificatore è inoltre responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul certificato, salvo che provi d’aver agito senza colpa, dei danni provocati per effetto della mancata registrazione della revoca o della sospensione del certificato. Rileviamo, infine, che il certificatore può indicare, in un certificato qualificato, i limiti d’uso di detto certificato ovvero un valore limite per i negozi per i quali esso può essere utilizzato. Il certificatore non è responsabile dei danni derivanti dall’uso di un certificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite. Riguardo alla disciplina della responsabilità dei certificatori, qualche perplessità suscitano le clausole di limitazione della responsabilità previste dall’art. 7. Infatti, rispetto ai terzi che agiscono in buona fede, la responsabilità del certificatore, non potendo essere inquadrata nell’ambito di applicazione dell’art. 1218 c.c., sarà di tipo extracontrattuale e troverà dunque applicazione l’art. 2049 c.c.. La limitazione della responsabilità aquiliana desta tuttavia alcuni dubbi poiché, posta la natura aquiliana della responsabilità e considerando la natura di ordine pubblico dell’interesse al corretto funzionamento del dispositivo di firma, non ne sarebbe ammissibile alcuna limitazione convenzionale, salvo previsione di un’assicurazione ex lege e conseguente limitazione della responsabilità civile del certificatore nei limiti contenuti in un massimale.
Il decreto di recepimento sancisce, inoltre, il passaggio di competenze dall’AIPA al Dipartimento per l’innovazione e le tecnologie in materia di controllo, vigilanza e supervisione nel settore. Oltre alle competenze in materia di certificazione, rileviamo che il Ministro per l’innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell’economia e delle finanze, fissa con decreto, su eventuale delega del Presidente del Consiglio, lo schema nazionale per la valutazione e la certificazione di sicurezza nel settore della tecnologia dell’informazione, in base al quale viene valutata la conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall’allegato III della direttiva 1999/93/CE. Lo schema nazionale individua, inoltre, l’organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza (art. 10, comma 1, d. lgs. n. 10/2002).
Il d. lgs. n. 10/2002 riforma anche la disciplina della carta d’identità elettronica contenuta nel testo unico sulla documentazione amministrativa. Il legislatore delegato ha optato, almeno nel breve termine, per una versione semplificata della carta d’identità elettronica: la carta nazionale dei servizi. La carta dei servizi rappresenterà, in prospettiva, lo strumento di identificazione informatica degli utenti dei servizi on line erogati dalla pubblica amministrazione. L’unificazione delle procedure di identificazione degli utenti, funzionale a consentire l’accesso ai servizi in rete, è infatti un’esigenza imprescindibile al fine di consentire l’effettiva erogazione di servizi on line. La carta dei servizi, a norma dell’art. 36, comma 4, del testo unico sulla documentazione amministrativa, come modificato dall’art. 8, comma 3, del d. lgs. n. 10/2002, può essere inoltre utilizzata ai fini dei pagamenti tra soggetti privati e pubbliche amministrazioni, secondo modalità stabilite con D.P.C.M. o, per delega del Presidente del Consiglio, con decreto del Ministro per l’innovazione e le tecnologie, di concerto con il Ministro dell’economia e delle finanze, sentita la Banca d’Italia. La carta d’identità elettronica e la carta nazionale dei servizi consentono, infine, l’identificazione, giuridicamente valida, dell’autore di istanze e dichiarazioni presentate alla pubblica amministrazione (art. 38, comma 2, testo unico sulla documentazione amministrativa, come modificato dall’art. 9, comma 1, d. lgs. n. 10/2002).
La disciplina del regime transitorio dettata dal d. lgs. n. 10/2002 è contenuta agli artt. 10, comma 2 (sull’accertamento della conformità delle firme sicure ai requisiti di cui all’allegato III della direttiva 1999/93/CE), 11, comma 1 (sui documenti sottoscritti con firma digitale basata su certificati rilasciati dai certificatori iscritti nell’elenco pubblico tenuto dall’AIPA) e commi 2 e 3 (sull’attività di certificazione), e 12, comma 1 (in tema di istanze e dichiarazioni presentate alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi).
Riepilogando, il decreto di recepimento della direttiva 1999/93/CE ha modificato l’intera disciplina della sottoscrizione informatica: dalla firma digitale alle firme elettroniche; dalla certificazione vincolata ad autorizzazione preventiva alla liberalizzazione dell’attività; dall’AIPA al Dipartimento per l’innovazione e le tecnologie; infine, dalla carta d’identità elettronica alla carta nazionale dei servizi.

di Giuseppe Cammarota