*** Con il Dlgs. 23 gennaio 2002 n.10[1] in vigore nel nostro ordinamento dal 2 marzo 2002, il Governo, in attuazione della legge comunitaria 2000[2], ha dato corso al recepimento[3] della direttiva del Parlamento europeo e del Consiglio 13 dicembre 1999 n.1999/93/CE relativa ad un quadro comunitario per le firme elettroniche[4]. Prima del neo emanato Dlgs.n.10/02, la materia -come già disciplinata nel nostro ordinamento dalla L.n.59/97[5], dal DPR n.513/97[6], dal DPCM 8 febbraio 1999[7] e poi ripresa nel T.U. sulla documentazione amministrativa di cui al DPR n.445/2000[8]- era ispirata all’obiettivo di realizzare la massima sicurezza nella formazione e nell’uso del documento informatico e prevedeva un sistema di cautele (i.e. il sistema di accreditamento obbligatorio) per l’emissione di una firma elettronica sicura (i.e. la firma digitale) facente capo ai soli soggetti abilitati a certificare la firma digitale come figuranti nell’apposito elenco tenuto dall’AIPA[9]; la nostra normativa trascurava in particolare il fatto che la direttiva comunitaria, aveva tracciato indirizzi diversi perseguendo l’obiettivo della massima semplificazione e liberalizzazione delle transazioni on-line, nell’intento di facilitare e promuove il progresso del commercio elettronico; in particolare essa: i) riconosce rilevanza anche alla mera firma elettronica (c.d. firma debole o leggera); ii) prevede la possibilità di emettere i certificati anche da parte di chi non abbia richiesto autorizzazioni preventive e, proprio a seconda del livello di sicurezza scelto dagli interessati e del ricorso o meno di questi alla procedura di accreditamento dei certificatori, iii) differenzia il valore delle firme e dei certificati; detto ricorso alla procedura di accreditamento essendo peraltro previsto dall’atto comunitario come meramente facoltativo. Il “cuore” del Dlgs.n.10/02 consiste dunque nell’aver affrontato il problema della necessità di una rivisitazione della nostra normativa nazionale che, nel rispetto del disposto già di cui alla direttiva n.1999/93/CE consentisse l’uso della firma elettronica la cui “efficacia probatoria non può essere esclusa a priori a causa della sua natura”[10] di firma debole, in affiancamento a quello della firma digitale (i.e. firma elettronica forte)[11]. Altra novità dal Dlgs.n.10/02 riguarda la certificazione della firma che, sempre nel rispetto della direttiva CE è ora libera e scevra da autorizzazioni preventive; fatta eccezione infatti per l’ipotesi in cui un certificatore (al fine di ottenere un livello più elevato di certificazione) intenda chiedere di essere “accreditato” presso il Dipartimento per l’innovazione e le tecnologie[12] della Presidenza del Consiglio dei Ministri, la “procedura di accreditamento” non sarà più affidata esclusivamente agli enti iscritti nell’elenco pubblico tenuto dall’AIPA. Infine, il Dlgs.n.10/02 innova nei rapporti P.A. .- privati, riconoscendo la possibilità dell’inoltro/interscambio di documenti per via telematica, nonché la possibilità dell’utilizzo della carta d’identità elettronica e della carta nazionale dei servizi per i pagamenti.
Vediamo, più in dettaglio le predette novità di cui al Dlgs n.10/02.
Le nuove definizioni di cui al Dlgs. n.10/02: L’art.2 del Dlgs.n.10/02 contiene alcune definizioni di rilievo che allineano quelle già di cui alla normativa nazionale vigente in materia, con quelle previste dalla direttiva n.1999/93/CE[13]; spicca in particolare quella che, tenuto conto del diverso grado di sicurezza correlato al meccanismo della sua formazione/certificazione, individua due diversi tipi di firma elettronica consistenti, ora nella (mera) firma elettronica (c.d. firma debole o libera), ora nella firma elettronica avanzata (c.d. firma sicura o forte, corrispondente alla firma digitale già precedentemente regolamentata dal pacchetto di norme vigenti in materia, nel nostro ordinamento). Più precisamente, nel nuovo sistema delineato dal Dlgs.n.10/02: · alla “firma elettronica”, si contrappone/affianca la diversa “firma elettronica avanzata” ove la prima consiste “nell'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” mentre la firma elettronica avanzata è “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario puo' conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”; · ai “certificatori" (ossia a coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche) si affiancano i "certificatori accreditati" (tali essendo i certificatori accreditati in Italia ovvero in altri SM dell'UE ai sensi dell'art.3, par.2, della direttiva n.1999/93/CE); · ai "certificati elettronici" (consistenti negli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari, e confermano l'identita' dei titolari stessi) si aggiungono i "certificati qualificati" (i.e. i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva n.1999/93/CE, rilasciati da certificatori che rispondono ai requisiti fissati dall'allegato II della medesima direttiva). Vengono inoltre date la definizione di "dispositivo per la creazione di una firma sicura” (consistente nell'apparato strumentale, usato per la creazione di una firma elettronica, rispondente ai requisiti di cui alla procedura c.d. di accreditamento prevista all'articolo 10 del Dlgs. n.10/02) e quella di "accreditamento facoltativo", per tale intendendosi il riconoscimento del possesso, da parte del certificatore che lo richieda, dei requisiti del livello piu' elevato -in termini di qualita' e di sicurezza- di una firma elettronica, tra le diverse esistenti.
L’attività dei certificatori ed i nuovi poteri di vigilanza del Dipartimento presso la Presidenza del Consiglio dei Ministri: Il Dlgs.n.10/02 si allinea al disposto della direttiva n.1999/93/CE[14] primariamente per quanto concerne l’attività dei certificatori, per la quale si prevede la libertà di stabilimento e di prestazione di servizi, senza necessità di autorizzazione amministrativa, in relazione alla verifica della mera firma elettronica, salva la conclusione di un procedimento amministrativo di verifica (di maggiori garanzie di sicurezza) da condursi da parte della Presidenza del Consigli dei Ministri, per tramite di un apposito Dipartimento (con funzioni di controllo e di vigilanza del settore) per i certificatori c.d. “qualificati” (ossia per i certificatori che intendano emettere attestati aventi un rilevante livello di qualità e sicurezza di firma). Più in particolare il Dlgs.n.10/02 prevede che i certificatori stabiliti in Italia che intendano rilasciare al pubblico certificati qualificati: i) debbano darne avviso (anche in via telematica) prima dell'inizio dell'attivita', al Dipartimento per l'innovazione e le tecnologie istituito presso la Presidenza del Consiglio dei Ministri (che può operare di concerto con l’AIPA ed eventualmente con altre strutture pubbliche individuate con DPCM, o, per delega del Presidente del Consiglio, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri interessati), al fine di consentire al Dipartimento di verificare[15] se il certificatore che intende emettere al pubblico certificati qualificati, soddisfi i requisiti tecnici ed organizzativi previsti da un regolamento di prossima emanazione, integrativo delle disposizioni di cui al Dlgs.n.10/02[16]; ii) possano chiedere di essere “accreditati” mediante apposita domanda indirizzata al Dipartimento, ove intendano conseguire dallo stesso, il predetto riconoscimento del possesso dei requisiti del livello piu' elevato (in termini di qualita' e di sicurezza) della firma elettronica. Il Dipartimento, ove accolga domanda, disporrà l'iscrizione del richiedente in un apposito elenco pubblico, consultabile anche in via telematica, tenuto presso il Dipartimento stesso[17].
Quanto alla verifica della rispondenza delle procedura di accreditamento con i canoni di cui alla direttiva CE: il Dlgs.n.10/02 prevede inoltre che la conformita' dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva n. 1999/93/CE verrà accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione[18], fissato con DPCM[19] o, per delega del Presidente del Consiglio dei Ministri, dal Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attivita' produttive e dell'economia e delle finanze. Detta conformità verrà inoltre riconosciuta se certificata da un organismo all'uopo designato da un altro SM e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva stessa[20].
L’introduzione di una disposizione nazionale concernente la responsabilità dei certificatori: L'art. 28 del TU di cui al DPR n. 445/2000, prevede che chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, e' tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare un danno a terzi. A tal fine, l’articolo introduce una serie di obblighi di controllo e di verifica in capo al certificatore, al quale si richiede in particolare di: a) identificare con certezza la persona che fa richiesta della certificazione; b) rilasciare e rendere pubblico il certificato avente le caratteristiche di legge; c) specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei suoi poteri di rappresentanza o di altri titoli relativi all'attivita' professionale o a cariche da lui rivestite; d) attenersi alle regole tecniche di cui all'art. 8, comma 2 del DPCM 8 febbraio’99; e) informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi; f) attenersi alle misure minime di sicurezza per il trattamento dei dati personali, emanate ai sensi dell'art.15, comma 2 della legge 31 dicembre 1996, n. 675; g) non rendersi depositario di chiavi private; h) procedere tempestivamente alla revoca od alla sospensione del certificato, in caso di richiesta da parte del titolare o del terzo, di perdita del possesso della chiave, di provvedimento dell'autorita', di acquisizione della conoscenza di cause limitative della capacita' del titolare, di sospetti abusi o falsificazioni; i) dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche; l) dare immediata comunicazione all'AIPA ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attivita' e della conseguente rilevazione della documentazione, da parte di altro certificatore o del suo annullamento. Ricalcando il disposto di cui all’art.6[21] della direttiva n.1999/93/CE, il Dlgs.n.10/02 aggiunge ora, dopo l'articolo 28 di cui sopra, l’art. 28-bis sulla responsabilita' del certificatore. In particolare si prevede che, ove il certificatore rilasci al pubblico un certificato qualificato ovvero garantisca al pubblico l'affidabilita' del certificato, salvo non provi d'aver agito senza colpa, egli sarà responsabile del danno cagionato a chi abbia fatto ragionevole affidamento: i) sull'esattezza delle informazioni contenute nel certificato qualificato alla data del rilascio, e sulla loro completezza, rispetto ai requisiti di legge fissati per i certificati qualificati; ii) sulla garanzia che al momento del rilascio del certificato, il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; iii) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi. Il certificatore sarà altresì responsabile nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato, salvo che provi d'aver agito senza colpa. La norma si conclude prevedendo che il certificatore possa indicare, in un certificato qualificato, i limiti d'uso di detto certificato ovvero un valore limite per i negozi per i quali puo' essere usato il certificato stesso (purche' i limiti d'uso o il valore limite siano riconoscibili da parte di terzi). In ogni caso si esclude che il certificatore possa essere tenuto responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti dallo stesso ovvero che derivino dal superamento del valore limite.
Il documento informatico e la previsione della sua efficacia probatoria variabile a seconda del tipo di firma apposta: Altro punto qualificante del recepimento della direttiva n.1999/93/CE[22] da parte del Dlgs.n.10/02, è quello che riconosce la diversa efficacia del documento informatico a seconda del tipo di firma che esso riporta. In sostituzione dell’attuale disposto dell’ art.10 del TU di cui al DPR n. 445/2000, il nuovo articolo 10 introdotto dall’art.6 del Dlgs.n.10/02, con specifico riferimento alla forma ed all’efficacia del documento informatico, prevede infatti che: 1) ove esso sia sottoscritto con (mera) firma elettronica, avrà l'efficacia probatoria prevista dall'articolo 2712[23] del codice civile, riguardo ai fatti ed alle cose rappresentate, riconoscendo anche che “il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso e' liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualita' e sicurezza; esso inoltre soddisfa l'obbligo previsto dagli articoli 2214[24] e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare”; 2) ove esso sia diversamente sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma sia basata su di un certificato qualificato e sia generata mediante un dispositivo per la creazione di una firma sicura, esso farà piena prova, fino a querela di falso, della provenienza delle dichiarazioni, da parte di chi l'ha sottoscritto. Fermo restando che, in ogni caso non potrà essere negata la rilevanza giuridica -ne' l’ammissibilita' come mezzo di prova- al documento informatico (riportante la sola firma leggera), unicamente a causa del fatto che esso e' sottoscritto in forma elettronica, ovvero in quanto la firma non e' basata su di un certificato qualificato (oppure non e' basata su di un certificato qualificato rilasciato da un certificatore accreditato) o, infine, perche' la firma non e' stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura. In altri termini, il livello più elevato della valenza probatoria del documento informatico, è riconosciuto nel nuovo testo normativo, a quello che riporterà una firma elettronica avente le caratteristiche di “firma forte” (quale è la firma digitale già prevista disciplinata dalla nostra normativa nazionale come basata su un certificato qualificato e generata mediante dispositivo per la creazione di firma sicura), indipendentemente dal fatto che il certificatore abbia richiesto ed ottenuto l’accreditamento, che pertanto diviene meramente facoltativo); prevedendosi al contempo che il documento che riporti la diversa mera firma elettronica (c.d. debole o libera), sarà ugualmente valido e rilevante in quanto tale (l’efficacia di tale firma non potendo essere esclusa a priori a causa della sua natura elettronica), ma la sua efficacia sarà quella che, in base ai principi di diritto comune, è ricollegata all’atto avente forma scritta, e, in ogni caso, il valore (probatorio) del documento così sottoscritto, ove prodotto in giudizio, sarà liberamente valutato dal giudice tenuto conto delle caratteristiche intrinseche del documento stesso.
Quanto agli aspetti internazionali della firma elettronica: conformemente al disposto dell’art.7[25] della direttiva n.1999/93/CE, le previsioni di cui al nuovo testo dell’art.10 del TU di cui al DPR n.445/00, si applicano anche se la firma elettronica e' basata su di un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'UE, quando ricorra una delle seguenti condizioni: i) il certificatore possiede i requisiti di cui alla direttiva n.1999/93/CE, ed e' accreditato in uno SM; ii) il certificato qualificato e' garantito da un certificatore stabilito nella Comunita' europea, in possesso dei requisiti di cui alla medesima direttiva; iii) il certificato qualificato, o il certificatore, e' riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunita' con Paesi terzi o con organizzazioni internazionali.
Le future carte elettroniche che permetteranno di fruire dei servizi on-line della P.A.: Ulteriore elemento di novità introdotto dal Dlgs.n.10/02 è quello che facilita “il dialogo in forma telematica” nei rapporti dei privati con la P.A.. L’attuale T.U. di cui al DPR n.445/2000 prevede già l’impiego della carta d’identità elettronica[26] per accedere ai servizi della pubblica amministrazione; il processo di sostituzione delle carte d’identità tradizionali e la dimestichezza degli utenti con le strutture che abiliteranno all’uso di quella “virtuale” richiederanno tuttavia un certo lasso di tempo; si è pertanto previsto di avviare temporaneamente ed in via sperimentale, in sostituzione della carta d’identità elettronica, l’uso della diversa carta nazionale dei servizi, quale strumento di più agevole diffusione, che consentirà agli utenti di fruire dei servizi già offerti in rete dalla P.A.. Più precisamente, a modifica del disposto dell’art. 36 del T.U. di cui al DPR n.445/2000, il Dlgs.n.10/02 rimette ad un decreto del Presidente del Consiglio dei Ministri (da adottarsi su proposta del Ministro dell'interno, di concerto con il Ministro per la funzione pubblica, con il Ministro per l'innovazione e le tecnologie e con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali[27]) il compito di definire le caratteristiche e le modalita' per il rilascio della carta d'identita' elettronica, del documento d'identita' elettronico e della carta nazionale dei servizi, prevedendo in particolare che: i) la carta d'identita' elettronica e la carta nazionale dei servizi potranno essere utilizzate ai fini dei pagamenti tra soggetti privati e pubbliche amministrazioni, secondo le modalita' stabilite dal predetto DPCM, ovvero, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con il Ministro dell'economia e delle finanze, sentita la Banca d'Italia, mentre ii) le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione delle carte e del documento predetti, verranno dettate da un decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, sentiti il Garante per la protezione dei dati personali e la Conferenza Stato-citta' ed autonomie locali. Si tratta di una previsione programmatica; spetterà pertanto alle pubbliche amministrazioni - nell'ambito dei rispettivi ordinamenti, e nel rispetto della disciplina generale fissata dai futuri decreti oltre ché dalle vigenti disposizioni in materia di protezione dei dati personali- il compito di sperimentare le modalita' di utilizzazione dei documenti citati per l'erogazione dei futuri servizi o utilita' pubblici.
Quanto ai nuovi rapporti telematici tra P.A. e privati: anche il futuro dei rapporti cittadino - P.A. subirà una trasformazione, nell’ottica dell’applicazione dei principi amministrativi di snellimento e di accelerazione dei procedimenti a quelli che si svolgono per via elettronica. Secondo il nuovo disposto dell'art. 38 del T.U. di cui al DPR n.445/00 come modificato dall’art.9 del Dlgs.n.10/02 infatti, tutte le istanze e le dichiarazioni da presentare alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi, potranno essere inviate anche per fax e via telematica; prevedendosi che in quest’ultima ipotesi le istanze e le dichiarazioni saranno valide: a) ove sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura, ovvero, b) quando l'autore sarà identificato dal sistema informatico con l'uso della carta d'identita' elettronica o della carta nazionale dei servizi[28]. Si ricorda che, ai sensi dell’art.12 del Dlgs.n.10/02, le disposizioni vigenti che già ad oggi consentano di presentare per via telematica istanze o dichiarazioni alla pubblica amministrazione (o ai gestori o esercenti di pubblici servizi) secondo procedure diverse da quelle da esso indicate, continueranno ad avere applicazione fino alla data che verrà fissata, con riferimento ai singoli settori, con DPCM da adottarsi di concerto con i Ministri interessati, entro il 30 novembre 2002 e comunque non oltre il 31 dicembre 2005.
[1] Il
Dlgs.n.10/2002 (attuazione della direttiva1999/93/CE
relativa ad un quadro comunitario per le firme elettroniche) è
reperibile in GU n.39 del 15 febbraio 2002.
[2] La legge 29 dicembre 2000, n. 422 (recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alla Comunita' europea) è pubblicata in GU 20 gennaio 2001, S.o. n.14. [3] In ragione del fatto che la disciplina vigente in materia di documento informatico e firma digitale –il cui adeguamento interverrà per “novellazione”- è contenuta nel T.U. di cui al DPR n.445/2000 che raccoglie tanto disposizioni di natura legislativa che atti di natura regolamentare, per realizzare l’integrale recepimento della direttiva, per coordinare le nuove disposizioni con quelle già vigenti sul piano nazionale e per fissare i requisiti necessari allo svolgimento dell’attività dei certificatori, occorrerà provvedere all’emanazione di un futuro regolamento, nel termine previsto dall’art.13 del Dlgs.n.10/02 (i.e. 30gg. dalla sua entrata in vigore). [4] Pubblicata in GUCE n. L 013 del 19 gennaio 2000. [5] La legge (Delega al Governo per il conferimento di funzioni e compiti alle regioni e agli enti locali per la riforma della P.A. e per la semplificazione amministrativa) è reperibile in GU 17 marzo 1977 n.63. [6] Il Regolamento (recante i criteri e le modalità di applicazione dell’art.15 comma 2 della legge n.59/97 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici) è reperibile in GU 13 marzo 1998 n.60. [7] Il DPCM (recante le regole tecniche concernenti la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione (anche temporale) dei documenti informatici (nonché le misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni in essa contenute) è reperibile in GU 15 aprile 1999. [8] In GU 20 febbraio 2001 n.41, S.o. n.30L. [9] Ai sensi dell'art. 27, comma 3 del T.U. di cui al DPR n.445/2000: "Salvo quanto previsto dall'art. 29, le attivita' di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attivita', in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorita' per l'informatica nella pubblica amministrazione, e dotati dei seguenti requisiti: a) forma di societa' per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attivita' bancaria, se soggetti privati; b) possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche; c) affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attivita' di certificazione siano in grado di rispettare le norme del presente regolamento e le regole tecniche di cui al DPCM 8 febbraio ‘99; d) qualita' dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale.". [10] Cfr. Relazione di accompagnamento del Dlgs.n.10/02. [11] Per ulteriori approfondimenti, si rimanda al contributo già pubblicato in questa rivista sul sito www.Diritto.it in data 23 febbraio 2002, Brevi note sulla firma digitale e sulla firma elettronica, nell’attuale contesto normativo di riferimento. [12] L'articolo unico del DPCM 27 settembre 2001 (Istituzione del Dipartimento per l'innovazione e le tecnologie) ha previsto che il Dipartimento funga da struttura di supporto al Ministro per l'innovazione e le tecnologie ai fini del coordinamento delle politiche di promozione dello sviluppo della societa' dell'informazione, nonche' delle connesse innovazioni per le amministrazioni pubbliche, i cittadini e le imprese. Spetta in particolare al Dipartimento il compito di supportare: la definizione di una strategia unitaria per la modernizzazione del Paese attraverso le tecnologie dell'informazione e della comunicazione, che si traduca in piani di azione e progetti coordinati; l'elaborazione, il monitoraggio e la verifica dell'attuazione dei piani d'azione volti, attraverso il ricorso alle tecnologie dell'informazione e della comunicazione, a migliorare l'efficienza, l'efficacia e l'economicita' delle pubbliche amministrazioni, a riorientare i servizi resi ai cittadini e alle imprese utenti, a sperimentare l'uso avanzato delle nuove tecnologie; l'elaborazione, la promozione, l'aggiornamento, il monitoraggio e la verifica del piano d'azione "governo elettronico; l'impulso, l'indirizzo e il coordinamento dei progetti innovativi che, attraverso l'interoperabilita' dei sistemi informativi, riguardano le attivita' di piu' amministrazioni; l'assistenza alle singole amministrazioni per la progettazione e la realizzazione di progetti di informatizzazione dell'attivita' e di fornitura di servizi di rete agli utenti; l'utilizzo e l'accelerazione della diffusione delle tecnologie dell'informazione e della comunicazione nei settori della vita economica e sociale del Paese, nonche' il coordinamento della ricerca applicata nelle medesime tecnologie; le attivita' del Comitato dei Ministri per la societa' dell'informazione, nonche' l'attuazione delle relative decisioni; le attivita' di concertazione del Governo con le parti sociali, per gli aspetti di competenza; (salve le competenze attribuite al Dipartimento per il coordinamento delle politiche comunitarie) l'attuazione delle decisioni degli organismi comunitari ed internazionali e l'elaborazione delle proposte governative nelle sedi comunitarie ed internazionali. [13] Come noto la direttiva n.1999/93/CE, volta ad agevolare l'uso delle firme elettroniche ed a contribuire al loro riconoscimento, istituisce un quadro giuridico per le firme elettroniche e taluni servizi di certificazione al fine di garantire il corretto funzionamento del mercato interno; anch’essa introduce pertanto definizioni di rilievo, contenute nel disposto di cui all’art.2 e qui di seguito riassunte: · "firma elettronica”: s’intendono i dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione; ·"firma elettronica avanzata”: consiste in una firma elettronica che si caratterizza per il fatto di essere: i) connessa in maniera unica al firmatario ed idonea ad identificalo; ii) creata con mezzi sui quali il firmatario puo' conservare il proprio controllo esclusivo; iii) collegata ai dati cui si riferisce, in modo da consentire l'identificazione di ogni successiva modifica di detti dati; · "firmatario”: trattasi della persona che detiene un dispositivo per la creazione di una firma e che agisce per conto proprio o per conto della persona fisica o giuridica o dell'entita' che rappresenta; ·"dati per la creazione di una firma”: s’intendono i dati peculiari, come i codici o le chiavi crittografiche private, utilizzati dal firmatario, per creare una firma elettronica; ·"dispositivo per la creazione di una firma”: si tratta di un software configurato o un hardware usato per applicare i dati per la creazione di una firma; ·"dispositivo per la creazione di una firma sicura”: consiste nel dispositivo per la creazione di una firma che soddisfa i requisiti di cui all'allegato III della direttiva; · "dati per la verifica della firma”: s’intendono i dati – quali i codici o le chiavi crittografiche pubbliche- utilizzati per verificare una firma elettronica; · "dispositivo di verifica della firma”: consiste in un software configurato o un hardware usato per applicare i dati di verifica della firma; · "certificato”: è l’attestato elettronico che collega i dati di verifica della firma ad una persona determinata, e conferma l'identita' di tale persona; · "certificato qualificato”: è il certificato conforme ai requisiti di cui all'allegato I della direttiva e fornito da un prestatore di servizi di certificazione, che soddisfa i requisiti di cui all'allegato II della direttiva; · "prestatore di servizi di certificazione”: s’intende l'entita'/ la persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche; ·"prodotto di firma elettronica”: s’intendono l’hardware o il software, oppure i componenti pertinenti dei medesimi, destinati ad essere utilizzati da un prestatore di servizi di certificazione per la prestazione di servizi di firma elettronica, oppure per la creazione o la verifica di firme elettroniche; ·"accreditamento facoltativo”: l’espressione si riferisce a qualsiasi permesso che stabilisca diritti ed obblighi specifici della fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall'organismo pubblico o privato preposto all'elaborazione ed alla sorveglianza del rispetto di tali diritti ed obblighi; fermo restando che il prestatore di servizi di certificazione non e' autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell'organismo. [14] In tal senso, l’art.3 della direttiva prevede che gli SM: i) non debbano subordinare ad autorizzazione preventiva la prestazione di servizi di certificazione, nè possano limitare il numero di prestatori di servizi di certificazione; ii) possano introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello piu' elevato (tutte le condizioni relative a tali sistemi dovendo peraltro essere obiettive, trasparenti, proporzionate e non discriminatorie); iii) operare affinche' venga istituito un sistema appropriato che consenta la supervisione dei prestatori di servizi di certificazione stabiliti nel loro territorio e rilasci al pubblico certificati qualificati; iv) provvedano a designare i pertinenti organismi pubblici o privati per determinare la conformita' dei dispositivi per la creazione di una firma sicura ai requisiti di cui all'allegato III (la quale conformita', una volta accertata, sarà riconosciuta da tutti gli SM); v) possano assoggettare l'uso delle firme elettroniche nel settore pubblico ad eventuali requisiti supplementari (tali requisiti dovendo essere obiettivi, trasparenti, proporzionati e non discriminatori e riguardare unicamente le caratteristiche specifiche dell'uso di cui trattasi). La direttiva prevede inoltre che ciascuno SM applicherà le disposizioni nazionali da esso adottate in base alle sue disposizioni, ai prestatori di servizi di certificazione stabiliti nel suo territorio e ai servizi da essi forniti, esclusa la possibilità per gli SM di limitare la prestazione di servizi di certificazione originati in un altro SM nella materia disciplinata di cui trattasi; gli SM sono infatti tenuti a consentire ai prodotti di firma elettronica conformi alle sue prescrizioni, di circolare liberamente nel mercato interno (cfr. art 4). [15] I controlli sono effettuati d'ufficio ovvero su segnalazione motivata di soggetti pubblici o privati. [16] Trattasi in sostanza del sistema di notifica all’organo di vigilanza previsto anche dalla direttiva CE sul sistema comunitario di firma elettronica, da effettuare da parte dei certificatori nell’immediatezza dell’inizio dell’esercizio della loro attività, la quale peraltro, alla data prevista, potrà essere avviata senza necessità di attendere permessi o autorizzazioni. [17] Recependo la terminologia di cui alla direttiva, viene cioè definito come accreditamento il procedimento -ed il provvedimento di esso conclusivo- già previsto nel nostro ordinamento come “procedimento di verifica preventiva” del possesso dei requisiti necessari per operare a livello più elevato. [18] Lo schema nazionale non recherà oneri aggiuntivi per il bilancio dello Stato ed individuerà l'organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza; esso potrà prevedere altresi' la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto. [19] Il decreto fisserà la data sino alla quale per l'accertamento, si procederà in base al regime transitorio già previsto dall'art.63 dal DPCM 8 febbraio 1999, e prorogato, da ultimo, con il DPCM 3 ottobre 2001 (ai sensi dell’articolo unico di quest’ultimo DPCM (Differimento del termine che autorizza l’autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al DPCM 8 febbraio 1999) “il termine stabilito dall'art. 63…. gia' differito al 30 settembre 2001, e' ulteriormente differito al 31 maggio 2002”). [20] Secondo il disposto dell’art.11 della direttiva gli SM sono infatti tenuti a comunicare alla Commissione ed agli altri SM le informazioni concernenti: a. i sistemi di accreditamento facoltativi nazionali ed ogni requisito supplementare a norma dell'art. 3, paragrafo 7; b. i nomi e gli indirizzi degli organismi nazionali responsabili dell'accreditamento e della supervisione nonche' degli organismi pubblici o privati designati dagli SM per la verifica dei dispositivi per la creazione di una firma sicura ai requisiti di cui all’allegato III della stessa direttiva; c. i nomi e gli indirizzi di tutti i prestatori di servizi di certificazione nazionali accreditati. [21] L’art.6 della direttiva n.1999/93/CE, nel disciplinare la responsabilità dei certificatori, rimette infatti agli SM il compito di provvedere affinché il prestatore di servizi di certificazione che rilasci al pubblico un certificato come certificato qualificato/o che garantisca al pubblico tale certificato: i) sia responsabile per danni provocati a entita' o persone fisiche o giuridiche che facciano ragionevole affidamento su detto certificato; ii) sia responsabile, nei confronti di entita' o di persone fisiche o giuridiche che facciano ragionevole affidamento sul certificato, dei danni provocati, per la mancata registrazione della revoca del certificato, a meno che provi di aver agito senza negligenza. Sempre per disposto della direttiva, gli SM sono inoltre tenuti a provvedere a che un prestatore di servizi di certificazione: i) possa indicare, in un certificato qualificato, i limiti d'uso di detto certificato, purche' tali limiti siano riconoscibili da parte dei terzi (fermo restando che il prestatore di servizi di certificazione deve essere esentato dalla responsabilita' per i danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti nello stesso); ii) abbia la facolta' di indicare nel certificato qualificato un valore limite per i negozi per i quali puo' essere usato il certificato, purche' tali limiti siano riconoscibili da parte dei terzi (fermo restando che il prestatore di servizi di certificazione non sarà responsabile dei danni risultanti dal superamento di detto limite massimo); il tutto, impregiudicata l’applicabilità del disposto della direttiva del Consiglio 5 aprile 1993 n.93/13/CEE, concernente le clausole abusive nei contratti stipulati con i consumatori. [22] Quanto agli effetti giuridici delle firme elettroniche, l’art.5 della direttiva n.1999/93/CE prevede che gli SM, provvedono a che: 1) le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica cosi' come una firma autografa li possiede per dati cartacei e siano ammesse come prova in giudizio; 2) una firma elettronica, non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che e' fornita in forma elettronica, ovvero non è basata su un certificato qualificato (o non è basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato) o, ancora, non creata da un dispositivo per la creazione di una firma sicura. [23] Ex art. 2712 c.c.(Riproduzioni meccaniche) “ Le riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformita' ai fatti o alle cose medesime". [24] Ai sensi dell’art. 2214 c.c. (Libri obbligatori e altre scritture contabili) “L'imprenditore che esercita un'attivita' commerciale deve tenere il libro giornale e il libro degli inventari. Deve altresi' tenere le altre scritture contabili che siano richieste dalla natura e dalle dimensioni dell'impresa e conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute, nonche' le copie delle lettere, dei telegrammi e delle fatture spedite. Le disposizioni di questo paragrafo non si applicano ai piccoli imprenditori”. Integrativo è poi il disposto degli articoli seguenti, i.e. artt.2215 c.c. (Libro giornale e libro degli inventari), 2216 c.c. (Contenuto e vidimazione del libro giornale), 2217 c.c. (Redazione dell'inventario) 2218 c.c. (Bollatura e vidimazione facoltative) 2219 c.c. (Tenuta della contabilità) e 2220 c.c. (Conservazione delle scritture contabili). [25] L’art.7 della direttiva prevede infatti che SM provvedano a che i certificati rilasciati al pubblico come certificati qualificati da un prestatore di servizi di certificazione stabilito in un Paese terzo siano riconosciuti giuridicamente equivalenti ai certificati rilasciati da un prestatore di servizi di certificazione stabilito nella Comunita', in presenza di una delle seguenti condizioni: a) il prestatore di servizi di certificazione possieda i requisiti di cui alla presente direttiva e sia stato accreditato in virtu' di un sistema di accreditamento facoltativo stabilito in uno SM, oppure b) il certificato sia garantito da un prestatore di servizi di certificazione stabilito nella Comunita', in possesso dei requisiti di cui alla presente direttiva, oppure c) il certificato o il prestatore di servizi di certificazione sia riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunita' e Paesi terzi o organizzazioni internazionali. Al fine di agevolare servizi di certificazione transfrontalieri con Paesi terzi ed il riconoscimento giuridico delle firme elettroniche avanzate che hanno origine in Paesi terzi, la direttiva aggiunge che la Commissione presenterà proposte miranti all'effettiva attuazione di norme e di accordi internazionali applicabili ai servizi di certificazione (in particolare essa presenterà al Consiglio proposte relative a mandati per la negoziazione di accordi bilaterali e multilaterali con Paesi terzi e organizzazioni internazionali) e, ogniqualvolta essa verrà informata di difficolta' che le imprese comunitarie incontrino riguardo all'accesso al mercato di Paesi terzi, la Commissione potrà presentare al Consiglio proposte in merito ad un appropriato mandato di negoziato per ottenere diritti paragonabili per le imprese comunitarie in tali Paesi terzi. Più in generale la direttiva dispone che la Commissione (assistita da un "Comitato per la firma elettronica”, con il compito di precisare i requisiti di cui agli allegati della direttiva, i criteri e le norme in essa riportate) sia tenuta entro il 19 luglio 2003 a riesaminare l'applicazione della direttiva, e a presentare una relazione in merito al Parlamento europeo e al Consiglio, tenuto conto dei progressi tecnologici, dell'evoluzione del mercato e degli sviluppi giuridici nel frattempo intervenuti; tale relazione includerà in particolare una valutazione, sulla base dell'esperienza acquisita, degli aspetti relativi all'armonizzazione, e sarà corredata, se del caso, di proposte legislative. [26] Secondo il disposto del T.U. di cui al DPR n.445/2000 la carta d'identita' elettronica (o l'analogo documento d’identità), verrà rilasciata a seguito della denuncia di nascita e prima del compimento dei quindicesimo anno, e conterrà i dati identificativi della persona ed il codice fiscale. La carta d'identita' e il documento elettronico potranno inoltre contenere: l'indicazione del gruppo sanguigno; le opzioni di carattere sanitario previste dalla legge; i dati biometrici del titolare, con esclusione, in ogni caso, del DNA; tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino, anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza; le procedure informatiche e le informazioni che possano o debbano essere conosciute dalla pubblica amministrazione e da altri soggetti, occorrenti per la firma elettronica. [27] In tema di rispetto della tutela dei dati personali si ricorda che la direttiva n.1999/93/CE prevede che gli SM debbano provvedere a che i prestatori di servizi di certificazione e gli organismi nazionali responsabili dell'accreditamento o della supervisione si conformino alla direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995 n. 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati; in particolare essi devono consentire a un prestatore di servizi di certificazione che rilasci certificati al pubblico, di raccogliere dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio ed al mantenimento del certificato (i dati non potranno peraltro essere raccolti o elaborati, per fini diversi, e senza l'espresso consenso della persona cui si riferiscono). Fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce agli pseudonimi, la direttiva prevede inoltre che gli SM non vieteranno al prestatore di servizi di certificazione di riportare sul certificato, uno pseudonimo in luogo del nome del firmatario (cfr. art.8). [28] L’articolo si conclude prevedendo che le istanze e le dichiarazioni sostitutive di atto di notorieta' da produrre agli organi della amministrazione pubblica (o ai gestori o esercenti di pubblici servizi) devono essere sottoscritte dall'interessato in presenza del dipendente addetto ovvero sottoscritte e presentate unitamente a copia fotostatica non autenticata di un documento di identita' del sottoscrittore (la quale ultima copia fotostatica verrà inserita nel fascicolo dell’utente). Le istanze e la copia fotostatica del documento di identita' potranno essere inviate anche per via telematica; tuttavia, nei procedimenti di aggiudicazione di contratti pubblici, detta facolta' sarà consentita solo nei limiti stabiliti dal regolamento di cui all'art. 15, comma 2 della legge 15 marzo 1997, n. 59. |
|