Le recenti modifiche al Codice dell’Amministrazione Digitale (CAD), pubblicate sulla Gazzetta Ufficiale del 10 gennaio 2011, che entreranno in vigore dal prossimo 25 gennaio, hanno introdotto una nuova ed ulteriore tipologia di firma: la firma elettronica avanzata.
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
Capo I – Sezione I – Art.1 del CAD – Testo vigente
La firma elettronica avanzata recepisce la definizione della medesima presente nella Direttiva 1999/93/CE relativa al quadro comunitario per le firme elettroniche.
La definizione è abbastanza neutra rispetto alla tecnologia, ma rispetto al valore probatorio del documento informatico sottoscritto con firma elettronica, il CAD conferma che il medesimo è liberamente valutabile in sede di giudizio (dal giudice, ndr.), tenendo conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e non modificabilità.
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata, o digitale, ha l’efficacia prevista dall’articolo 2702 del codice civile.
L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.
La scrittura privata fa piena prova, fino a querela di falso (Cod. Proc. Civ. 221 e seguenti), della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta (Cod. Proc. Civ. 214, 215; Cod. Nav. 178, 775).
2-bis. […] le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale.
Capo II – Sezione I – Art.21 del CAD – Testo vigente
Per sapere come dovrà essere fatto il summenzionato dispositivo di firma bisognerà attendere l'”acquisizione obbligatoria del parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente) che si sostanzierà nell’elaborazione delle nuove regole tecniche entro 12 mesi dall’entrata in vigore del nuovo CAD. Fino a quella data “le regole tecniche vigenti nelle materie del presente codice restano in vigore fino alla adozione” … delle nuove, in altre parole nulla cambia.
In un ottica di sempre più crescente (e anche pressante) spinta verso una interoperabilità europea, è facile immaginare che DigitPA, nel definire i requisiti che dovrà avere il dispositivo di firma per apporre firme elettroniche avanzate, si ispirerà alla Direttiva 1999/93/CE che recita:
Articolo 3 par.4 Accesso al mercatoLa conformità dei dispositivi per la creazione di una firma sicura ai requisiti di cui all’allegato III è determinata dai pertinenti organismi pubblici o privati designati dagli Stati membri (in Italia l‘OCSI, ndr.).
Ci sarà da chiedersi se l’iPad su cui Obama ha apposto la sua firma, o altri dispositivi, potranno essere , o sono già da considerarsi adeguati per la firma elettronica avanzata.
Anche per la firma elettronica avanzata il legislatore riconduce “l’utilizzo del dispositivo al titolare salvo che questi dia prova contraria”. Tradotto: se ti trascinano in tribunale e ti mettono sotto il naso una firma elettronica avanzata in cui c’è scritto il tuo nome, sei tu che devi provare che non l’hai messa.
Quindi un dispositivo c’è, e deve anche essere abbastanza sicuro per poter appioppare l’onere della prova contraria al suo titolare e, soprattutto, per non generare tsunami di firme truffaldine. La definizione formale “dispositivo sicuro” porta poi, come conseguenza, un certo livello di certificazione. Ma la legge delega in base alla quale il governo ha operato, indicava la necessità di intervenire sulla firma elettronica, ma senza abbassare il livello di sicurezza.
Quindi, quanto sicuro deve essere questo dispositivo? Lo dice la direttiva europea dalla quale è presa la definizione di firma elettronica avanzata: “l’allegato III prevede requisiti relativi a dispositivi per la creazione di una firma sicura al fine di assicurare la funzionalità delle firme elettroniche avanzate”.
Per brevità non riporto i requisiti di sicurezza descritti dall’allegato III della direttiva che è disponibili in rete. Osservo invece che, per i motivi detti sopra, sarebbe insensato lasciare che siano i produttori a dichiarare la conformità dei propri dispositivi ai requisiti dell’allegato III.
Su questo punto dovremo aspettare le regole tecniche che DigitPA dovrà, ai sensi della nuova normativa, emanare.
In ogni caso mi permetto di osservare che in Italia c’è già un dispositivo di firma con le caratteristiche di sicurezza dichiarate ufficialmente adeguate a soddisfare i requisiti dell’allegato III. E’ CoSign, prodotto da Algorithmic Research. Lo scorso settembre OCSI, l’organismo pubblico che in Italia è dedicato alla certificazione della sicurezza informatica, si è già espresso in questo senso.
Io credo quindi che il mercato della firma elettronica possa effettivamente allargarsi, i costi abbassarsi ed i progetti di dematerializzazione arrivare più facilmente a buon fine.
Trovo davvero interessante l’analisi del Dott. Sandrucci e a tal proposito vorrei chiedere un parere su un altro articolo del nuovo CAD che sembra voler “sdoganare” in modo esplicito la firma elettronica qualificata remota.
Mi riferisco all’art. 22 comma 1:
“All’articolo 32, comma 3, del decreto legislativo 7 marzo 2005, n. 82, sono apportate le seguenti modificazioni:
a) la lettera f) è soppressa”.
Ricordo che la lettera in questione recitava:
“Articolo 32 – Obblighi del titolare e del certificatore
…
3. Il certificatore che rilascia, ai sensi dell’articolo 29, certificati qualificati deve inoltre:
…
f. non rendersi depositario di dati per la creazione della firma del titolare”
Dunque sembra che adesso il certificatore possa conservare una parte dei dati per la creazione della firma del titolare, quale ad es. la chiave privata afferente ad una coppia di chiavi asimmetriche di firma digitale, purché almeno uno dei dati (il PIN e probabilmente anche un codice OTP) resti nella disponibilità esclusiva del titolare (cfr. DPCM 30 Marzo 2009).
@Daluiso Al fine di ottenere maggiore visibilità alla sua richiesta le consiglierei di postarla nel gruppo Fima Facile su Linkedin per cui trova icona in alto nella barra laterale destra del presente blog.