“Me lo dimostri allora.”
Il ministro Brunetta fa un brutto sogno!
Riepiloghiamo i fatti (del sogno, ndr.): Brunetta, il Ministro, viene convocato in tribunale per una denuncia a suo carico fatta da un funzionario della pubblica amministrazione, che lo accusa di mancata applicazione del CAD, portando come prova una lettera a firma di Renato Brunetta, nel quale il medesimo esorta le pubbliche amministrazioni ad abbandonare i “falsi miti della chimera digitale” e ritornare ai buoni, e molto più sicuri, vecchi metodi di comunicazione ed archiviazione cartacea. In particolare il Ministro conclude la lettera con l’augurio “di mantenere come prassi quotidiana, quello che è stata prassi secolare: l’uso della carta!”
Brunetta, ancor prima di entrare nel vivo del dibattimento, con tanto di Consulenza Tecnica d’Ufficio da parte di DigitPA, relativa alla applicazione delle regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche (D.P.C.M. XX MMMM 2011), ribadisce al giudice la non paternità del documento in quanto “io, signor giudice, firmo sempre in maniera autografa (vero, vedere a tal proposito “L’innovazione della dematerializzazione autografa atto II“), si figuri se posso essere stato io a firmare con una firma elettronica, per di più avanzata!”.
Ed eccola la lettera “incriminata”:
Pofff, fine del sogno …
1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.
Art. 55 – Disposizioni generali TITOLO V -FIRMA ELETTRONICA AVANZATA Bozza D.P.C.M. xx mmmm 2011 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, firme elettroniche qualificate, firme elettroniche digitali e validazione temporale dei documenti informatici.
Come avevamo avuto modo di sostenere in “Papocchio all’italiana?” la firma elettronica avanzata viene posta allo stesso livello della firma qualificata, e della firma digitale, in pratica può essere portata in giudizio e avere lo stesso valore probatorio delle seconde. E’ abbastanza evidente, nel contenzioso di cui sopra, che una firma elettronica avanzata così debole, come quella del fantomatico Ministro, farebbe molta poca strada in sede di giudizio, in quanto disattende tanti, se non tutti gli obblighi per i soggetti che realizzano soluzioni di firma elettronica avanzata. Peccato però che tutti questi obblighi, a monte del processo/momento di firma non rientrano nelle caratteristiche che la firma deve “mostrare” di avere al momento della verifica, in altre parole se il mio Reader mi dicesse “Firmato, tutte le firme sono valide.” (si noti che la FEA, trattandosi di firma elettronica non necessita di certificati qualificati emessi da CA riconosciute, e dei relativi controlli di revoca) potrei considerare quella firma, per me che la verifico, come valida, sarà poi onere del mio interlocutore portarmi in tribunale e dimostrare che quella firma non vale (la c.d. inversione dell’onere della prova).
La vicenda del brutto sogno di Brunetta vuole essere ulteriore stimolo alla riflessione per ribadire una volta di più quanto ormai si va ripetendo da tempo: la firma elettronica avanzata, così pensata, rischia di dare molto lavoro agli avvocati nei processi, non di dematerializzazione, ma quelli in sede giudiziale.
L’intento del legislatore di volersi uniformare ai dettami europei indicati nella Direttiva 1999/93/CE è assolutamente condivisibile, ma siamo andati ben oltre in quanto solo la firma elettronica qualificata è riconosciuta dalla Direttiva come equivalente ad una sottoscrizione tradizionale. Il rischio è quello che, in un paese di furbi (non necessariamente l’Italia), fatta la legge, trovato lo spiraglio, meglio, il portone aperto, trovato l’inganno.
Se proprio non si potrà re-invertire l’onere della prova, forse, per evitare di percorrere strade affollate da circuiti di certificazione paralleli, o sovrapposti, potrebbe valere la pena valutare se si debba trasformare da volontaria ad obbligatoria “l’evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche” mediante la certificazione dell’intero processo da parte di enti terzi e considerare, quale elemento qualificante, le caratteristiche intrinseche di robustezza della firma con l’uso di dispositivi di firma certificati Common Criteria, indicandolo nell’Art. 59 – Affidabilità delle soluzioni di firma elettronica avanzata – Bozza regole tecniche.
Tutto ciò non potrebbe evitare frodi, ma sicuramente ne restringerebbe l’ambito, in quanto “tarperebbe le ali” a tutto il mondo delle applicazioni dal certificato “fai da te”.
Grazie come al solito Andrea per i tuoi commenti, preciso che non ho taroccato nulla, ma semplicemente ho aggiunto come identità affidabili la firma elettronica avanzata creata, ed ho deliberatamente usato la formula ipotetica “se mi dicesse”, per non incorrere in fallo con te ;-). E’ verissimo quello che tu dici, in qualsiasi altro Reader del mondo apparirebbe come eseguita con un certificato non affidabile, ma mi chiedo, lato utente Reader, se dato lo status di Firma Elettronica della FEA, verranno esperiti dai Reader i controlli di revoca, o se i certificati emessi da un ente piuttosto che un altro (che non siano CA riconosciute come affidabili da Reader) verranno a quel punto riconosciuti come validi. Se sarà questo il caso, forse tu ci potrai illuminare con importanti anteprime, visto che hai qualche contatto con i “Reader” :-).
Sull’esigenza di rendere la firma più usabile sai che sfondi una porta aperta, rimango perplesso sul fatto di metterla sullo stesso piano della digitale e della qualificata; forse però il mercato ci dimostrerà che le preoccupazioni per i furbi erano eccessive, e magari l’emergere di alcune prassi indirizzerà meglio l’operato del legislatore, dei fornitori di soluzioni di FEA, dei client di verifica e fornitori di Reader, della giurisprudenza e degli stessi utilizzatori.
Sul fatto che in 12 anni la firma non sia decollata, io ho il mio pensierò in merito, che è legato all’usabilità di una tecnologia, più volte ribadito sin dal titolo di questo blog, sia con esempi di casi di successo di usabilità (ne cito solo due per ricordarli, Google ed Apple), che evidenziando le farraginose e complicate linee guida che ogni tanto ci troviamo a leggere sui siti delle CCIIAA che cercano di spiegarci “in quali circostanze può presentarsi l’errore “Corrupt cabinet file, cos’è il codice di emergenza ERC, o cos’è il codice IUT”.
Per citare Brunetta, credo che lo sforzo che il Ministro e i suoi stiano cercando di compiere, nel bene, o nel male, sia quello di dare un forte impulso alla digitalizzazione, ivi compresa la diffusione dell’uso, e delle necessità d’uso, della firma digitale (sono sempre più gli ambiti dove diventa obbligatoria la presentazione di documentazione solo in digitale). Se i tre milioni e passa di firme prima li si utilizzava una sola volta all’anno per “firmare” i bilanci (in realtà a firmare erano e restano i commercialisti), adesso non è più così. Su questo poi forse ci potrebbero illuminare le CA con i trend dei volumi di vendita delle firme digitali.
Aulo Augerio e Numerio Negidio
Il valore probatorio della FEA non è affatto quello della firma elettronica qualificata o digitale.
Lo ha imparato Aulo Augerio a proprie spese nella seguente causa:
Augerio: chiedo mi venga pagato il corrispettivo di questo contratto sottoscritto da Negidio.
Giudice: signor Negidio, lei ha firmato questo contratto?
Negidio: no.
Augerio: ma è una firma elettronica avanzata, l’utilizzo del dispositivo si presume ricondotto al titolare.
Giudice: è una firma elettronica avanzata? Ma che carina… Signor Augerio, lei può PROVARE che questa firma garantisce quanto previsto dall’art 56 comma 1, punti a, b, c , d, g delle regole tecniche sulla firma elettronica?
Avete notato? E’ Augerio che dice che la firma è una FEA, è Augerio che ha l’onere di provare che lo sia, cioè di convincere il giudice. Negidio è nella comoda posizione di poter attaccare qualunque punto debole delle affermazioni di Augerio ed instillare nel giudice il ragionevole dubbio che quella firma possa essere stata creata da altri.
A questo punto del processo Augerio sviene, gli avvocati si fregano le mani pregustando un lavoro remunerato senza fine a colpi di perizie, controperizie, carte bollate e rinvii.
Nel caso invece della firma qualificata ecco cosa sarebbe successo;
Augerio: ma è una firma elettronica qualificata, è un certificato qualificato su SSCD, l’utilizzo del dispositivo si presume ricondotto al titolare.
Giudice: Signor Negido, lei può provare di NON avere messo questa firma?
E’ chiaro che nel caso di firma qualificata Negidio eviterà di andare in tribunale, se non è certo di poter provare l’uso fraudolendo del dispositivo.
Nel caso della FEA le cose funzionano come per le firme su carta, solo che per Augerio potrebbe essere più complicato (e costoso) riuscire a dimostrare che Negidio ha effettivamente firmato il contratto.
In conclusione. Il valore probatorio delle FEA è lo stesso della firma qualificata? Direi proprio di no.
Gianni Sandrucci
Ps. Aulo Augerio e Numerio Negidio sono i personaggi immaginari che i Romani (antichi) usavano per gli esempi di come funziona la legge quando si va in tribunale. Augerio è quello che afferma in tribunale il proprio diritto, Negidio è quello che lo nega. Erano gente pratica, i Romani antichi. Quelli moderni un po’ meno.