Prendo spunto da un recente articolo dal titolo “Nuova firma digitale dal Ministero della Giustizia“, dove l’ing. Andrea Caccia, commentando il decreto appena pubblicato del Ministero della Giustizia n.44 del 21 febbraio 2011 , recante il “Regolamento concernente le regole tecniche per l’adozione nel processo civile e nel processo penale, delle tecnologie dell’informazione e della comunicazione…” si avvede con un po’ di stupore di una nuova definizione di firma digitale, “generata mediante un dispositivo per la creazione di una firma sicura“:

    g) firma digitale: firma elettronica avanzata, basata su un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura, di cui al decreto legislativo 7 marzo 2005, n. 82;

    L’errore consiste nel fatto, come fa notare l’attento Caccia, che non esiste nessun “dispositivo per la creazione di una firma sicura”, ma semmai un “Secure signature-creation device – dispositivo sicuro per la creazione di una firma” (trattasi di conclamato errore di traduzione dell’Annex III – Requirements for secure signature-creation devices della direttiva 93/1999/CE sulla firma elettronica, che era finito nel d.lgs 10/2002 di recepimento e che è stato corretto nelle norme successive, ma che ancora oggi risulta essere presente nella documentazione pubblicata da DigitPA e, ahimè, ancora oggi in circolazione).

    Ancora, la recente decisione del tribunale di Prato (sentenza non ancora pubblicata, ma preannunciata dal solerte studio legale Finocchiaro) definisce l’email come un documento informatico con firma elettronica, dal momento che lo username e la password integrano la definizione di firma elettronica di cui all’art. 1 lett.q, del CAD.

    Senza entrare nel dettaglio delle definizioni, per cui si rimanda in parte al CAD testo vigente, facciamo due conti:

    1. firma elettronica (realizzabile con qualsiasi strumento – password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc. – in grado di conferire un certo livello di autenticazione a dati elettronici);
    2. firma elettronica avanzata (new entry nel nuovo CAD ereditata di peso dalla direttiva Europea, in attesa delle nuove regole tecniche per “spiccare il volo”);
    3. firma elettronica qualificata (firma elettronica avanzata basata su un certificato qualificato e realizzata tramite dispositivo sicuro);
    4. firma digitale (la “vecchia” firma digitale, buona per tutte le stagioni, ma sopratutto per la stagione del deposito telematico obbligatorio dei bilanci c/o le Camere di Commercio).
    5. firma sicura (in questa tipologia/categoria facciamo rientrare l’universo mondo delle definizioni fuorvianti, infelici, invalide, o che non trovano riscontri, che lo stesso legislatore, o altri, introducono per “fare ammuina“).

    C’e’ poi l’Europa, dove 27 Stati membri utilizzano terminologie eterogenee.

    Nel suo recente position paper di aprile 2011 (Contribution to the EC consultation on electronic identification, authentication and signatures) ChamberSign, Associazione Europea delle Camere di Commercio e Industria che fornisce servizi connessi alla firma elettronica, evidenzia come alcuni Stati membri hanno introdotto concetti di firma elettronica unici per i loro paesi:

    • la “firma elettronica universale” in Bulgaria;
    • la “firma elettronica sicura” in Lituania e Polonia;
    • la differenziazione RGS (Référentiel Général de Sécurité) di “firma digitale media, standard, o rafforzata” in Francia;
    • la “firma elettronica garantita” in Slovacchia.

    Queste ulteriori definizioni creano un duplice problema. In primo luogo, la mancanza di una terminologia comune confonde gli utenti finali e complica la strategia di comunicazione dei provider dei servizi di certificazione, che devono personalizzare i propri servizi. In secondo luogo, è spesso irragionevolmente complesso e costoso determinare se una firma straniera soddisfa i requisiti del quadro nazionale.

    Il proliferare di definizioni e terminologie suggerirebbe l’imposizione, attraverso la nuova direttiva europea sulle firme digitali che verrà, di una identica terminologia in tutti gli Stati membri, con una chiara definizione dei termini ed un chiaro riferimento ad un livello minimo di requisiti tecnici che devono essere soddisfatti, accompagnata da un lexicon delle definizioni con il loro equivalente in 27 lingue della UE, allo scopo di aiutare gli utenti finali a districarsi nel complesso e incomprensibile mondo delle diverse “marche” … di firma digitale.