Con il Dlgs. 23 gennaio 2002 n.10[1] in vigore nel nostro ordinamento dal 2 marzo 2002, il Governo,   in attuazione della legge comunitaria 2000[2], ha dato corso al recepimento[3] della  direttiva  del Parlamento europeo e del Consiglio 13 dicembre 1999  n.1999/93/CE relativa ad un quadro comunitario per le firme elettroniche[4].

Prima del neo emanato Dlgs.n.10/02, la materia -come già disciplinata nel nostro ordinamento dalla L.n.59/97[5], dal DPR n.513/97[6], dal DPCM 8 febbraio 1999[7] e poi ripresa nel T.U. sulla  documentazione amministrativa di cui al DPR n.445/2000[8]- era ispirata all’obiettivo di realizzare la massima sicurezza  nella formazione e nell’uso del documento informatico e prevedeva un sistema di cautele (i.e. il sistema di accreditamento obbligatorio) per l’emissione di una firma elettronica sicura (i.e. la firma digitale) facente capo  ai soli soggetti abilitati a certificare la firma digitale come figuranti nell’apposito elenco tenuto dall’AIPA[9]; la nostra normativa trascurava in particolare il fatto che la direttiva comunitaria, aveva tracciato indirizzi diversi perseguendo l’obiettivo della massima semplificazione e liberalizzazione delle transazioni on-line, nell’intento di facilitare e promuove il progresso del commercio elettronico; in particolare essa: i) riconosce rilevanza anche alla mera firma elettronica (c.d. firma debole o leggera); ii) prevede la possibilità di emettere i certificati anche da parte di chi non abbia richiesto autorizzazioni preventive e, proprio a seconda  del livello di sicurezza scelto dagli interessati e del ricorso o meno di questi alla procedura di accreditamento dei certificatori, iii) differenzia il valore delle firme e dei certificati; detto ricorso alla procedura di accreditamento essendo peraltro previsto dall’atto comunitario come meramente facoltativo.

Il “cuore” del Dlgs.n.10/02 consiste  dunque  nell’aver affrontato il problema della necessità di una rivisitazione della nostra normativa nazionale che, nel rispetto del disposto già di cui alla direttiva n.1999/93/CE consentisse l’uso della firma elettronica la cui “efficacia probatoria non può essere esclusa a priori a causa della sua natura”[10] di firma debole, in affiancamento a quello della firma digitale (i.e. firma elettronica forte)[11].

Altra novità dal Dlgs.n.10/02 riguarda la certificazione della firma che, sempre nel rispetto della direttiva CE è ora libera e scevra da autorizzazioni preventive; fatta eccezione infatti per l’ipotesi in cui un certificatore (al fine di ottenere un livello più  elevato di certificazione) intenda chiedere di essere “accreditato” presso il Dipartimento per l’innovazione e le tecnologie[12]  della Presidenza del Consiglio dei Ministri, la “procedura di accreditamento” non sarà  più affidata esclusivamente agli enti iscritti nell’elenco pubblico tenuto dall’AIPA.

Infine, il Dlgs.n.10/02 innova nei rapporti P.A. .- privati, riconoscendo la possibilità dell’inoltro/interscambio di documenti per via telematica, nonché la possibilità dell’utilizzo della carta d’identità elettronica e della carta nazionale dei servizi  per i pagamenti.

 

Vediamo, più in dettaglio le predette novità di cui al Dlgs n.10/02.

 

Le nuove definizioni di cui al Dlgs. n.10/02:

L’art.2 del Dlgs.n.10/02 contiene alcune definizioni di rilievo che allineano quelle già di cui alla normativa nazionale vigente in materia, con quelle previste dalla direttiva n.1999/93/CE[13]; spicca in particolare  quella che, tenuto conto del diverso grado di sicurezza correlato al meccanismo della sua formazione/certificazione, individua due  diversi tipi di firma elettronica consistenti, ora nella (mera) firma elettronica (c.d. firma debole o libera), ora nella firma elettronica avanzata (c.d. firma sicura o forte, corrispondente alla firma digitale già precedentemente regolamentata dal pacchetto di norme vigenti in materia, nel nostro ordinamento).

Più precisamente, nel nuovo sistema delineato dal Dlgs.n.10/02:

· alla “firma elettronica”, si contrappone/affianca la diversa “firma elettronica avanzata” ove la prima consiste “nell'insieme dei dati in forma elettronica, allegati  oppure  connessi  tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” mentre la firma  elettronica  avanzata  è “la firma elettronica ottenuta attraverso  una  procedura  informatica che garantisce la connessione univoca  al  firmatario  e la sua univoca identificazione, creata con mezzi  sui quali il firmatario puo' conservare un controllo esclusivo e  collegata  ai  dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”;

· ai “certificatori"  (ossia a coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche) si affiancano i "certificatori  accreditati"  (tali essendo i  certificatori accreditati in Italia  ovvero  in  altri  SM dell'UE ai sensi dell'art.3, par.2, della direttiva n.1999/93/CE);

·  ai "certificati  elettronici"  (consistenti negli  attestati  elettronici  che  collegano  i  dati utilizzati per verificare le firme elettroniche ai titolari, e confermano l'identita' dei titolari stessi) si aggiungono i  "certificati  qualificati" (i.e. i certificati elettronici conformi ai  requisiti  di  cui  all'allegato  I  della  direttiva n.1999/93/CE, rilasciati  da  certificatori  che  rispondono  ai  requisiti fissati dall'allegato II della medesima direttiva).

Vengono inoltre date la definizione di  "dispositivo per la creazione di una firma sicura” (consistente nell'apparato strumentale,  usato  per  la  creazione  di  una  firma  elettronica, rispondente ai requisiti di cui alla procedura c.d. di accreditamento prevista all'articolo 10 del Dlgs. n.10/02) e quella di "accreditamento  facoltativo", per tale intendendosi il riconoscimento del possesso, da parte del certificatore che lo richieda, dei requisiti del livello piu' elevato -in termini di qualita' e di sicurezza- di una firma elettronica, tra le diverse esistenti.

 

L’attività dei certificatori ed i nuovi poteri di vigilanza del Dipartimento presso la Presidenza del Consiglio dei Ministri:

Il Dlgs.n.10/02 si allinea al disposto della direttiva n.1999/93/CE[14] primariamente per quanto concerne l’attività dei certificatori, per la quale si prevede la libertà di stabilimento e di prestazione di servizi, senza necessità di autorizzazione amministrativa, in relazione alla verifica della mera firma elettronica, salva la conclusione di un procedimento amministrativo di verifica (di maggiori garanzie di sicurezza) da condursi da parte della Presidenza del Consigli dei Ministri, per tramite di un apposito Dipartimento (con funzioni di controllo e di vigilanza del settore) per i certificatori c.d. “qualificati” (ossia per i certificatori  che intendano emettere attestati aventi un rilevante livello di qualità e sicurezza di firma).

Più in particolare il Dlgs.n.10/02 prevede che i certificatori stabiliti in Italia che intendano rilasciare al pubblico  certificati  qualificati:

i) debbano  darne avviso (anche in via telematica) prima dell'inizio dell'attivita', al Dipartimento per l'innovazione e le tecnologie istituito presso la Presidenza del Consiglio dei Ministri (che può operare di concerto con l’AIPA ed eventualmente   con altre  strutture  pubbliche  individuate  con DPCM, o, per delega del Presidente del Consiglio, del  Ministro  per  l'innovazione  e le tecnologie, di concerto con i Ministri interessati), al fine di consentire al Dipartimento di verificare[15] se il certificatore che intende emettere al pubblico  certificati  qualificati,  soddisfi  i  requisiti tecnici ed organizzativi  previsti da un  regolamento di prossima emanazione, integrativo delle disposizioni di cui al Dlgs.n.10/02[16];

ii) possano  chiedere di essere “accreditati”  mediante apposita domanda indirizzata al Dipartimento, ove intendano conseguire dallo stesso, il predetto riconoscimento  del  possesso dei requisiti del livello piu' elevato (in  termini  di  qualita'  e di sicurezza) della firma elettronica.

Il Dipartimento, ove accolga domanda, disporrà l'iscrizione del richiedente in un apposito elenco pubblico, consultabile anche in via telematica, tenuto presso il Dipartimento stesso[17].

 

Quanto alla verifica della rispondenza delle procedura di accreditamento con i canoni di cui alla direttiva CE: il Dlgs.n.10/02 prevede inoltre che  la  conformita'  dei  dispositivi per la creazione di una firma sicura  ai  requisiti  prescritti  dall'allegato  III della direttiva n. 1999/93/CE verrà accertata, in Italia, in base allo schema nazionale per la  valutazione  e  certificazione  di  sicurezza  nel  settore della tecnologia  dell'informazione[18], fissato con DPCM[19] o,  per  delega del Presidente del Consiglio dei Ministri,  dal  Ministro  per l'innovazione  e  le  tecnologie,  di  concerto  con i Ministri delle comunicazioni,  delle  attivita'  produttive  e dell'economia e delle finanze. Detta conformità  verrà  inoltre  riconosciuta  se certificata da un organismo all'uopo  designato  da  un  altro SM e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva stessa[20].

 

L’introduzione di una disposizione nazionale concernente la responsabilità dei certificatori:

L'art. 28 del TU di cui al DPR n. 445/2000, prevede  che chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, e' tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare un danno a terzi. A tal fine, l’articolo introduce una serie di obblighi di controllo e di verifica in capo al certificatore, al quale si richiede in particolare di:

a) identificare   con  certezza  la  persona  che  fa richiesta della certificazione;

b) rilasciare   e  rendere  pubblico  il  certificato avente  le  caratteristiche  di legge;

c) specificare,  su  richiesta dell'istante, e con il consenso  del  terzo interessato, la sussistenza dei suoi poteri di  rappresentanza o di altri titoli relativi all'attivita' professionale o a cariche da lui rivestite;

d) attenersi  alle regole tecniche di cui all'art. 8, comma 2 del DPCM 8 febbraio’99;

e) informare   i  richiedenti,  in  modo  compiuto  e chiaro,  sulla  procedura di certificazione e sui necessari requisiti tecnici per accedervi;

f) attenersi  alle  misure minime di sicurezza per il trattamento  dei dati personali, emanate ai sensi dell'art.15, comma 2 della legge 31 dicembre 1996, n. 675;

g) non rendersi depositario di chiavi private;

h) procedere  tempestivamente  alla  revoca  od  alla sospensione  del  certificato, in caso di richiesta da parte del  titolare  o  del  terzo,  di  perdita  del  possesso  della chiave, di provvedimento   dell'autorita',   di   acquisizione   della conoscenza   di   cause   limitative  della  capacita'  del titolare, di sospetti abusi o falsificazioni;

i) dare  immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche;

l)  dare  immediata  comunicazione  all'AIPA ed  agli utenti,   con  un  preavviso  di  almeno  sei  mesi,  della cessazione  dell'attivita'  e della conseguente rilevazione della  documentazione, da parte di altro certificatore o del suo annullamento.

Ricalcando il disposto di cui all’art.6[21] della direttiva n.1999/93/CE, il Dlgs.n.10/02 aggiunge ora, dopo  l'articolo  28 di cui sopra, l’art. 28-bis sulla responsabilita'  del  certificatore.

In particolare si prevede che, ove il certificatore  rilasci al pubblico un certificato qualificato ovvero garantisca  al  pubblico  l'affidabilita'  del  certificato, salvo non  provi  d'aver  agito  senza  colpa,  egli sarà responsabile del danno cagionato a chi abbia fatto ragionevole affidamento: i) sull'esattezza  delle informazioni contenute nel certificato qualificato alla data del  rilascio,  e sulla loro completezza, rispetto ai requisiti di legge fissati per i certificati qualificati; ii) sulla  garanzia che al momento del rilascio del certificato, il firmatario   detenesse   i   dati   per   la  creazione  della  firma corrispondenti  ai  dati  per  la  verifica  della  firma riportati o identificati nel certificato; iii) sulla  garanzia che i dati per la creazione e per la verifica della  firma  possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.

Il  certificatore sarà  altresì responsabile  nei  confronti dei terzi che facciano ragionevole  affidamento  sul certificato stesso, dei danni provocati per  effetto  della  mancata registrazione della revoca o sospensione del certificato, salvo che provi d'aver agito senza colpa.

La norma si conclude prevedendo che il certificatore possa indicare, in un certificato qualificato, i limiti  d'uso  di  detto  certificato  ovvero  un valore limite per i negozi per i quali puo' essere usato il certificato stesso (purche' i limiti  d'uso  o  il  valore  limite siano riconoscibili da parte di  terzi).

In ogni caso si esclude che  il certificatore  possa essere tenuto responsabile  dei danni derivanti dall'uso  di  un  certificato  qualificato  che ecceda i limiti posti dallo stesso ovvero che derivino dal superamento del valore limite.

 

Il documento informatico e la previsione della sua efficacia probatoria variabile a seconda del tipo di firma apposta:

Altro punto qualificante del recepimento della direttiva n.1999/93/CE[22] da parte del Dlgs.n.10/02, è quello che riconosce la diversa efficacia del documento informatico a seconda del tipo di firma che esso riporta. In sostituzione dell’attuale disposto dell’ art.10 del TU di cui al DPR n. 445/2000, il nuovo articolo 10 introdotto dall’art.6 del Dlgs.n.10/02, con specifico riferimento alla forma ed all’efficacia del documento informatico, prevede infatti che:

1) ove esso sia sottoscritto con (mera) firma elettronica, avrà l'efficacia  probatoria  prevista dall'articolo  2712[23] del codice civile, riguardo ai fatti ed alle cose rappresentate, riconoscendo anche che  “il  documento  informatico, sottoscritto con firma elettronica, soddisfa   il   requisito  legale  della  forma  scritta.  Sul  piano probatorio  il  documento  stesso  e'  liberamente valutabile, tenuto conto  delle  sue  caratteristiche oggettive di qualita' e sicurezza; esso  inoltre  soddisfa  l'obbligo  previsto  dagli  articoli  2214[24] e seguenti  del  codice  civile  e  da  ogni altra analoga disposizione legislativa o regolamentare”;

2) ove esso sia diversamente  sottoscritto con firma digitale  o  con  un  altro  tipo di firma elettronica avanzata, e la firma  sia  basata  su  di  un  certificato qualificato e sia generata mediante  un  dispositivo  per  la  creazione di una firma sicura, esso farà piena prova, fino a querela di falso, della provenienza delle dichiarazioni, da parte di chi l'ha sottoscritto.

Fermo restando che,  in ogni   caso   non   potrà   essere   negata  la rilevanza  giuridica  -ne'  l’ammissibilita'  come  mezzo di prova- al documento informatico (riportante la sola firma leggera),  unicamente a causa del fatto che esso e' sottoscritto in forma elettronica, ovvero in quanto la firma non e' basata su di un certificato qualificato (oppure non e' basata su di un certificato qualificato rilasciato da un certificatore accreditato) o, infine,  perche'  la  firma  non  e'  stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura.

In altri termini, il livello più elevato della valenza probatoria del documento informatico, è riconosciuto nel nuovo testo normativo, a quello che riporterà una firma elettronica avente le caratteristiche di “firma forte” (quale è la firma digitale già prevista disciplinata dalla nostra normativa nazionale come basata su un certificato qualificato e generata mediante dispositivo per la creazione di firma sicura), indipendentemente dal fatto che il certificatore abbia richiesto ed ottenuto l’accreditamento, che pertanto diviene meramente facoltativo);  prevedendosi al contempo che il documento che riporti la diversa mera firma elettronica (c.d. debole o libera), sarà ugualmente valido  e rilevante in quanto tale (l’efficacia di tale firma non potendo essere esclusa a priori a causa della sua natura elettronica), ma la sua efficacia sarà quella che, in base ai principi di diritto comune, è ricollegata all’atto avente forma scritta, e, in ogni caso, il valore (probatorio) del documento così sottoscritto, ove prodotto in giudizio, sarà liberamente valutato dal giudice tenuto conto delle caratteristiche intrinseche del documento stesso.

 

Quanto agli aspetti internazionali della firma elettronica: conformemente al disposto dell’art.7[25] della direttiva n.1999/93/CE, le previsioni di cui al nuovo testo dell’art.10 del TU di cui al DPR n.445/00, si applicano anche se la firma  elettronica  e'  basata  su  di  un  certificato  qualificato rilasciato  da  un  certificatore  stabilito in uno Stato non facente parte   dell'UE,  quando  ricorra  una  delle  seguenti condizioni: i) il  certificatore  possiede  i requisiti di cui alla direttiva n.1999/93/CE, ed e' accreditato in uno SM; ii) il  certificato  qualificato  e' garantito da un certificatore stabilito  nella  Comunita' europea, in possesso dei requisiti di cui alla medesima direttiva; iii) il   certificato   qualificato,   o   il  certificatore,  e' riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunita' con Paesi terzi o con organizzazioni internazionali.

 

 

 

Le  future carte elettroniche che permetteranno di fruire dei servizi on-line della P.A.:

Ulteriore elemento di novità introdotto dal Dlgs.n.10/02 è quello che facilita “il dialogo in forma telematica” nei rapporti dei privati con la P.A.. L’attuale T.U. di cui al DPR n.445/2000 prevede già l’impiego della carta d’identità elettronica[26] per accedere ai servizi della pubblica amministrazione; il processo di sostituzione delle carte d’identità tradizionali e la dimestichezza degli utenti con le strutture che abiliteranno all’uso di quella “virtuale” richiederanno tuttavia un certo lasso di tempo; si è pertanto previsto di avviare temporaneamente ed in via sperimentale, in sostituzione della carta d’identità elettronica, l’uso della diversa carta nazionale dei servizi, quale strumento di più agevole diffusione, che consentirà agli utenti di fruire dei servizi già offerti in rete dalla P.A..

Più precisamente, a modifica del disposto dell’art. 36 del  T.U. di cui al DPR n.445/2000, il Dlgs.n.10/02 rimette ad un decreto del Presidente  del  Consiglio  dei  Ministri (da adottarsi  su proposta del Ministro  dell'interno,  di  concerto con il Ministro per la funzione pubblica,  con il Ministro per l'innovazione e le tecnologie e con il Ministro  dell'economia  e  delle  finanze, sentito il Garante per la protezione dei dati personali[27]) il compito di definire le caratteristiche e le modalita' per il rilascio della carta d'identita'  elettronica,  del  documento  d'identita'  elettronico e della  carta  nazionale  dei  servizi, prevedendo in particolare che: i)  la  carta  d'identita'  elettronica  e  la carta nazionale dei servizi  potranno essere utilizzate ai fini dei pagamenti tra soggetti privati  e  pubbliche amministrazioni, secondo le modalita' stabilite dal predetto DPCM, ovvero, per sua delega,  del  Ministro per l'innovazione e le tecnologie, di concerto con  il  Ministro  dell'economia  e  delle  finanze, sentita la Banca d'Italia, mentre ii) le regole tecniche  e  di  sicurezza  relative  alle  tecnologie e ai materiali utilizzati  per  la  produzione delle carte e del documento predetti, verranno dettate da un decreto  del  Ministro  dell'interno,  del  Ministro  per l'innovazione  e  le  tecnologie e del Ministro dell'economia e delle finanze, sentiti il Garante per la protezione dei dati personali e la Conferenza  Stato-citta'  ed autonomie locali.

Si tratta di una previsione programmatica; spetterà pertanto alle pubbliche  amministrazioni - nell'ambito dei rispettivi ordinamenti, e nel rispetto della disciplina generale fissata dai futuri decreti  oltre ché  dalle  vigenti disposizioni  in  materia di protezione dei dati personali- il compito di   sperimentare  le    modalita'    di utilizzazione dei documenti citati per l'erogazione dei futuri servizi o utilita' pubblici.

 

Quanto ai nuovi rapporti telematici tra P.A. e privati: anche il futuro dei rapporti cittadino - P.A. subirà una trasformazione, nell’ottica dell’applicazione dei principi amministrativi di snellimento e di accelerazione dei procedimenti a quelli che si svolgono per via elettronica. Secondo il nuovo disposto dell'art. 38 del T.U. di cui al DPR n.445/00  come modificato  dall’art.9 del Dlgs.n.10/02 infatti, tutte  le  istanze  e le dichiarazioni da presentare  alla  pubblica  amministrazione  o ai gestori o esercenti  di pubblici servizi, potranno essere inviate anche per fax e via telematica; prevedendosi che in quest’ultima ipotesi le  istanze e le dichiarazioni saranno valide: a) ove sottoscritte  mediante  la firma digitale, basata su di un certificato  qualificato, rilasciato da un certificatore accreditato, e  generata  mediante  un  dispositivo  per la creazione di una firma sicura, ovvero, b) quando l'autore sarà identificato dal sistema informatico con l'uso della carta d'identita' elettronica o della carta nazionale dei servizi[28].

Si ricorda che, ai sensi dell’art.12 del Dlgs.n.10/02, le  disposizioni  vigenti  che già ad oggi  consentano  di  presentare per via telematica istanze  o dichiarazioni alla pubblica amministrazione (o ai gestori o esercenti  di  pubblici  servizi)  secondo procedure diverse da quelle da esso indicate, continueranno ad avere applicazione fino alla data  che verrà fissata,  con  riferimento  ai singoli settori, con DPCM da adottarsi di concerto con i  Ministri  interessati, entro il 30 novembre 2002 e comunque non oltre il 31 dicembre 2005.

 

 

 

[1] Il Dlgs.n.10/2002 (attuazione della direttiva1999/93/CE  relativa ad un quadro comunitario per le firme elettroniche) è reperibile in GU n.39 del 15 febbraio 2002.

[2] La legge 29 dicembre 2000, n. 422 (recante disposizioni per l'adempimento  di  obblighi derivanti dall'appartenenza dell'Italia alla  Comunita'  europea) è pubblicata in GU 20 gennaio 2001, S.o. n.14.

[3]  In ragione del fatto che la disciplina vigente in materia di documento informatico e firma digitale –il cui adeguamento interverrà per “novellazione”- è contenuta nel T.U. di cui al DPR n.445/2000 che raccoglie tanto disposizioni di natura legislativa che atti di natura regolamentare, per realizzare l’integrale recepimento della direttiva, per coordinare le nuove disposizioni con quelle già vigenti sul piano nazionale e per fissare i requisiti  necessari allo svolgimento dell’attività dei certificatori, occorrerà provvedere all’emanazione di un futuro regolamento, nel termine previsto dall’art.13 del Dlgs.n.10/02 (i.e. 30gg. dalla sua entrata in vigore). 

[4]  Pubblicata in GUCE n. L 013 del  19 gennaio  2000. 

[5]  La legge (Delega al Governo per il conferimento di funzioni e compiti alle regioni e agli enti locali per la riforma della P.A. e per la semplificazione amministrativa) è reperibile in GU 17 marzo 1977 n.63.

[6]  Il Regolamento (recante i criteri e le modalità di applicazione dell’art.15 comma 2 della legge n.59/97 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici) è reperibile in GU 13 marzo 1998 n.60.

[7]  Il DPCM (recante le regole tecniche concernenti la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione (anche temporale) dei documenti informatici (nonché le misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni in essa contenute) è reperibile in GU 15 aprile 1999.

[8]  In GU 20 febbraio 2001 n.41, S.o. n.30L.

[9]  Ai sensi dell'art. 27, comma 3  del  T.U. di cui al DPR n.445/2000: "Salvo quanto previsto dall'art. 29, le attivita' di certificazione  sono  effettuate  da certificatori inclusi, sulla   base  di  una  dichiarazione  anteriore  all'inizio dell'attivita',  in  apposito elenco pubblico, consultabile in  via  telematica, predisposto tenuto e aggiornato a cura dell'Autorita'    per    l'informatica    nella    pubblica amministrazione,   e   dotati   dei   seguenti   requisiti: a) forma  di  societa'  per azioni e capitale sociale non    inferiore    a    quello    necessario    ai    fini dell'autorizzazione  all'attivita'  bancaria,  se  soggetti privati; b) possesso  da parte dei rappresentanti legali e dei soggetti  preposti  all'amministrazione,  dei  requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche; c) affidamento  che,  per competenza ed esperienza, i responsabili  tecnici  del  certificatore  e  il  personale addetto  all'attivita'  di certificazione siano in grado di rispettare  le  norme  del presente regolamento e le regole tecniche di cui al DPCM 8 febbraio ‘99; d) qualita'  dei  processi informatici e dei relativi prodotti,  sulla  base  di  standard riconosciuti a livello internazionale.".

[10]  Cfr. Relazione di accompagnamento del Dlgs.n.10/02.

[11]  Per ulteriori approfondimenti, si rimanda al contributo già pubblicato in questa rivista sul sito  www.Diritto.it in data 23 febbraio 2002, Brevi note sulla firma digitale e sulla firma elettronica, nell’attuale contesto normativo di riferimento.

[12]  L'articolo   unico   del  DPCM 27 settembre 2001 (Istituzione   del  Dipartimento  per  l'innovazione  e  le tecnologie)  ha previsto che il Dipartimento funga da struttura di supporto  al  Ministro per l'innovazione e le tecnologie ai fini  del coordinamento delle politiche di promozione dello sviluppo  della  societa'  dell'informazione, nonche' delle connesse  innovazioni  per  le amministrazioni pubbliche, i cittadini e le imprese. 

Spetta in particolare al Dipartimento il compito di supportare: la definizione di una strategia unitaria per  la  modernizzazione del Paese attraverso le tecnologie dell'informazione  e della comunicazione, che si traduca in piani  di  azione e progetti coordinati; l'elaborazione, il monitoraggio   e  la  verifica  dell'attuazione  dei  piani d'azione  volti,  attraverso  il  ricorso  alle  tecnologie dell'informazione   e  della  comunicazione,  a  migliorare l'efficienza,  l'efficacia e l'economicita' delle pubbliche amministrazioni,  a riorientare i servizi resi ai cittadini e  alle imprese utenti, a sperimentare l'uso avanzato delle nuove    tecnologie;    l'elaborazione,    la   promozione, l'aggiornamento,  il  monitoraggio e la verifica del piano d'azione "governo elettronico; l'impulso, l'indirizzo e il coordinamento  dei  progetti  innovativi  che,  attraverso l'interoperabilita'  dei sistemi informativi, riguardano le attivita'   di   piu'  amministrazioni; l'assistenza  alle singole   amministrazioni   per   la   progettazione  e  la realizzazione     di    progetti    di    informatizzazione dell'attivita'  e  di  fornitura  di  servizi  di rete agli utenti; l'utilizzo e l'accelerazione della diffusione delle tecnologie  dell'informazione  e  della  comunicazione  nei settori  della  vita economica e sociale del Paese, nonche' il  coordinamento  della  ricerca  applicata nelle medesime tecnologie; le  attivita' del Comitato dei Ministri per la societa'   dell'informazione,  nonche'  l'attuazione  delle relative  decisioni;  le  attivita'  di  concertazione  del Governo   con   le   parti  sociali,  per  gli  aspetti  di competenza; (salve le competenze attribuite al Dipartimento per   il   coordinamento   delle   politiche   comunitarie) l'attuazione  delle decisioni degli organismi comunitari ed internazionali  e l'elaborazione delle proposte governative nelle sedi comunitarie ed internazionali.

[13]  Come noto la direttiva n.1999/93/CE, volta   ad  agevolare  l'uso  delle  firme elettroniche   ed   a  contribuire  al  loro  riconoscimento, istituisce un quadro giuridico per le firme elettroniche  e taluni servizi di certificazione al fine di garantire il corretto funzionamento del mercato interno; anch’essa introduce pertanto definizioni di rilievo, contenute nel disposto di cui all’art.2 e qui di seguito riassunte:

· "firma  elettronica”: s’intendono i dati in forma elettronica, allegati  oppure  connessi  tramite  associazione logica ad altri   dati  elettronici  ed  utilizzata  come  metodo  di autenticazione;

·"firma   elettronica   avanzata”: consiste in  una   firma elettronica che si caratterizza per il fatto di essere: i)  connessa in maniera unica al firmatario ed idonea ad identificalo;  ii) creata con mezzi sui quali il firmatario puo' conservare il proprio controllo esclusivo; iii) collegata  ai  dati cui si riferisce, in modo  da  consentire  l'identificazione  di ogni successiva  modifica di detti dati;

· "firmatario”: trattasi  della   persona   che  detiene  un dispositivo  per  la  creazione  di  una firma e che agisce per conto  proprio o per conto della persona fisica o giuridica o dell'entita' che rappresenta;

·"dati  per  la  creazione  di  una  firma”: s’intendono i  dati peculiari,  come i codici  o le  chiavi crittografiche private, utilizzati dal firmatario, per creare una firma elettronica;

·"dispositivo  per  la  creazione di una firma”:  si tratta di un software  configurato  o  un hardware usato per applicare i dati per la creazione di una firma;

·"dispositivo  per la creazione di una firma sicura”: consiste nel dispositivo per la creazione di una firma che soddisfa i requisiti di cui all'allegato III della direttiva;

· "dati  per  la  verifica della firma”: s’intendono i dati – quali i codici  o  le chiavi  crittografiche pubbliche- utilizzati per verificare una firma elettronica;

· "dispositivo di verifica della firma”: consiste in un software configurato  o  un  hardware  usato per applicare i dati di verifica della firma;

·  "certificato”: è l’attestato  elettronico  che collega  i  dati  di  verifica della firma ad una persona determinata, e conferma l'identita' di tale persona;

·  "certificato   qualificato”: è il  certificato  conforme ai requisiti di cui all'allegato I della direttiva e fornito da un prestatore  di  servizi  di  certificazione,  che soddisfa i requisiti di cui all'allegato II della direttiva;

· "prestatore  di  servizi  di  certificazione”: s’intende l'entita'/ la persona fisica o giuridica che rilascia certificati  o  fornisce  altri servizi connessi alle firme elettroniche;

·"prodotto  di  firma  elettronica”: s’intendono l’hardware o il software,  oppure  i  componenti  pertinenti  dei medesimi, destinati  ad essere utilizzati da un prestatore di servizi di  certificazione  per  la prestazione di servizi di firma elettronica, oppure per la creazione o la verifica di firme  elettroniche;

·"accreditamento facoltativo”: l’espressione si riferisce a qualsiasi permesso che stabilisca   diritti   ed  obblighi  specifici  della fornitura  di  servizi  di  certificazione,  il  quale  sia concesso,   su  richiesta  del  prestatore  di  servizi  di certificazione   interessato,   dall'organismo  pubblico  o privato  preposto  all'elaborazione ed alla sorveglianza del rispetto di tali diritti ed obblighi; fermo restando che il prestatore  di servizi di certificazione non e' autorizzato ad  esercitare  i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell'organismo.

[14]  In tal senso, l’art.3 della direttiva prevede che gli SM: i) non debbano subordinare  ad autorizzazione preventiva la prestazione di servizi di certificazione, nè  possano limitare   il   numero   di   prestatori   di   servizi  di certificazione; ii) possano introdurre   o   conservare   sistemi   di   accreditamento facoltativi  volti  a  fornire servizi di certificazione di livello  piu'  elevato (tutte le condizioni relative a tali sistemi dovendo peraltro essere obiettive, trasparenti, proporzionate e   non  discriminatorie); iii)   operare affinche'  venga istituito   un   sistema   appropriato   che   consenta  la supervisione  dei  prestatori  di servizi di certificazione stabiliti   nel  loro  territorio  e  rilasci  al  pubblico certificati qualificati; iv) provvedano a designare i pertinenti organismi pubblici o privati per determinare la  conformita' dei dispositivi per la creazione di una  firma  sicura  ai requisiti di cui all'allegato III (la quale  conformita', una volta accertata,  sarà riconosciuta da tutti gli SM); v) possano assoggettare l'uso delle firme   elettroniche  nel  settore  pubblico  ad  eventuali requisiti  supplementari (tali  requisiti  dovendo  essere obiettivi,  trasparenti, proporzionati e non discriminatori e   riguardare  unicamente  le  caratteristiche  specifiche dell'uso  di  cui  trattasi).

La direttiva prevede inoltre che ciascuno SM  applicherà  le  disposizioni  nazionali da esso adottate  in  base alle sue disposizioni, ai prestatori di servizi di certificazione stabiliti nel suo territorio e ai servizi  da  essi  forniti, esclusa la   possibilità per gli  SM di limitare   la  prestazione  di  servizi  di  certificazione originati   in   un   altro   SM nella  materia disciplinata di cui trattasi; gli  SM sono infatti tenuti a  consentire  ai prodotti di firma elettronica  conformi  alle sue prescrizioni, di circolare liberamente nel mercato interno (cfr. art 4).

[15]    I  controlli sono effettuati d'ufficio ovvero su segnalazione motivata di soggetti pubblici o privati.

[16]  Trattasi in sostanza del sistema di notifica all’organo di vigilanza previsto anche dalla direttiva CE sul sistema comunitario di firma elettronica, da effettuare da parte dei certificatori nell’immediatezza dell’inizio dell’esercizio della loro attività, la quale peraltro, alla data prevista, potrà essere avviata  senza necessità di attendere permessi o autorizzazioni.

[17]  Recependo la terminologia di cui alla direttiva, viene cioè definito come accreditamento il procedimento -ed il provvedimento di esso conclusivo- già previsto nel nostro ordinamento come “procedimento di verifica preventiva” del possesso dei requisiti necessari per operare a livello più elevato.

[18]  Lo  schema  nazionale  non  recherà  oneri  aggiuntivi  per il bilancio  dello Stato ed individuerà l'organismo pubblico incaricato di accreditare  i  centri di valutazione e di certificare le valutazioni di   sicurezza; esso potrà prevedere  altresi'  la valutazione  e  la  certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto.

[19]  Il  decreto fisserà la data sino alla quale per l'accertamento, si procederà in base al regime transitorio già previsto  dall'art.63 dal DPCM 8 febbraio 1999,  e prorogato, da ultimo,  con  il  DPCM 3 ottobre  2001 (ai sensi dell’articolo unico di quest’ultimo DPCM (Differimento del termine che autorizza l’autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al DPCM 8 febbraio 1999) “il termine stabilito dall'art. 63…. gia' differito al  30  settembre  2001,  e'  ulteriormente differito al 31 maggio 2002”).

[20]  Secondo il disposto dell’art.11 della direttiva gli  SM sono infatti tenuti a comunicare  alla  Commissione  ed agli altri SM le informazioni concernenti: a. i sistemi di accreditamento facoltativi nazionali ed ogni requisito supplementare a norma dell'art. 3, paragrafo 7; b. i nomi   e gli  indirizzi   degli  organismi  nazionali responsabili   dell'accreditamento   e  della  supervisione nonche' degli organismi pubblici o privati designati dagli SM per la verifica dei dispositivi per la creazione di una firma sicura ai requisiti di cui all’allegato III della stessa direttiva; c. i  nomi  e  gli indirizzi di tutti i prestatori di servizi di certificazione nazionali accreditati.

[21]  L’art.6 della direttiva n.1999/93/CE, nel disciplinare la responsabilità dei certificatori, rimette infatti agli SM il compito di provvedere affinché il  prestatore  di  servizi  di certificazione che rilasci al pubblico un certificato come certificato  qualificato/o che garantisca al pubblico tale certificato: i) sia responsabile per danni provocati a entita' o  persone  fisiche  o  giuridiche che facciano ragionevole affidamento su detto certificato; ii) sia responsabile, nei confronti di entita' o di persone fisiche o  giuridiche  che  facciano  ragionevole  affidamento  sul certificato,   dei   danni   provocati,   per   la  mancata registrazione  della  revoca  del  certificato,  a meno che provi di aver agito senza negligenza.

Sempre per disposto della direttiva, gli SM sono inoltre tenuti a provvedere a che un prestatore di servizi di certificazione: i) possa indicare, in un certificato qualificato,  i  limiti d'uso di detto certificato, purche' tali  limiti  siano  riconoscibili  da  parte dei terzi (fermo restando che il prestatore   di   servizi  di  certificazione  deve  essere esentato   dalla  responsabilita'  per  i  danni  derivanti dall'uso  di un certificato qualificato che ecceda i limiti posti nello stesso); ii) abbia la facolta' di indicare nel  certificato  qualificato un valore limite per i negozi per  i quali puo' essere usato il certificato, purche' tali limiti siano riconoscibili da parte dei terzi (fermo restando che il prestatore  di  servizi  di  certificazione  non sarà responsabile  dei danni risultanti dal superamento di detto limite massimo); il tutto, impregiudicata l’applicabilità del disposto della direttiva del Consiglio 5 aprile 1993  n.93/13/CEE, concernente le clausole abusive nei contratti stipulati con i consumatori.

[22]  Quanto agli  effetti giuridici delle firme elettroniche, l’art.5 della direttiva n.1999/93/CE  prevede che gli SM, provvedono a che: 1)  le firme  elettroniche avanzate  basate  su  un  certificato  qualificato e create mediante  un  dispositivo  per  la  creazione  di una firma sicura posseggano  i  requisiti  legali  di  una firma in relazione ai dati in forma elettronica cosi' come una firma autografa li possiede per dati cartacei e siano ammesse come prova in giudizio; 2)  una firma elettronica,  non  sia  considerata  legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che e' fornita in forma elettronica, ovvero non  è basata su un certificato qualificato (o non è basata  su un certificato qualificato rilasciato da  un prestatore di servizi di certificazione accreditato) o, ancora, non  creata da un dispositivo per la creazione di una firma sicura.

[23]  Ex art. 2712  c.c.(Riproduzioni meccaniche) “ Le riproduzioni fotografiche    o    cinematografiche,   le   registrazioni  fonografiche  e,  in  genere,  ogni  altra rappresentazione meccanica  di fatti e di cose formano piena prova dei fatti e  delle  cose rappresentate, se colui contro il quale sono prodotte  non  ne disconosce la conformita' ai fatti o alle cose medesime".

[24]  Ai sensi dell’art. 2214  c.c. (Libri  obbligatori  e  altre  scritture contabili) “L'imprenditore  che  esercita  un'attivita' commerciale  deve tenere il libro giornale e il libro degli inventari. Deve  altresi'  tenere le altre scritture contabili che siano   richieste   dalla   natura   e   dalle   dimensioni dell'impresa  e conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute,  nonche' le copie delle lettere, dei telegrammi e delle fatture spedite. Le disposizioni di questo paragrafo non si applicano ai piccoli imprenditori”. Integrativo è poi  il disposto degli articoli seguenti, i.e. artt.2215 c.c. (Libro giornale e libro degli inventari),  2216  c.c. (Contenuto   e   vidimazione   del  libro giornale), 2217 c.c. (Redazione dell'inventario)  2218 c.c.  (Bollatura  e  vidimazione  facoltative) 2219  c.c. (Tenuta  della  contabilità) e 2220 c.c.  (Conservazione  delle scritture contabili).

[25]  L’art.7 della direttiva prevede infatti che SM provvedano  a che i certificati rilasciati al pubblico come certificati  qualificati  da  un  prestatore  di servizi di certificazione   stabilito   in   un   Paese   terzo  siano riconosciuti   giuridicamente  equivalenti  ai  certificati rilasciati  da  un  prestatore di servizi di certificazione stabilito   nella  Comunita',  in  presenza  di  una  delle  seguenti condizioni: a) il   prestatore   di   servizi  di  certificazione possieda  i  requisiti di cui alla presente direttiva e sia stato accreditato in virtu' di un sistema di accreditamento facoltativo stabilito in uno SM, oppure b) il  certificato  sia  garantito da un prestatore di servizi  di  certificazione  stabilito  nella Comunita', in possesso  dei  requisiti  di  cui  alla presente direttiva, oppure c) il  certificato  o  il  prestatore  di  servizi di certificazione  sia  riconosciuto  in  forza  di  un accordo bilaterale o multilaterale tra la Comunita' e Paesi terzi o organizzazioni internazionali.  Al  fine  di  agevolare  servizi  di certificazione transfrontalieri   con  Paesi  terzi  ed  il  riconoscimento giuridico  delle  firme  elettroniche  avanzate  che  hanno origine  in  Paesi  terzi,  la direttiva aggiunge che la Commissione presenterà proposte miranti all'effettiva attuazione di norme e di   accordi   internazionali applicabili  ai  servizi  di certificazione (in   particolare essa presenterà al  Consiglio  proposte relative a mandati per la negoziazione  di  accordi  bilaterali  e  multilaterali con Paesi  terzi  e organizzazioni internazionali) e, ogniqualvolta   essa verrà  informata  di difficolta'  che le imprese comunitarie incontrino riguardo all'accesso  al  mercato  di  Paesi  terzi,  la Commissione potrà presentare al Consiglio proposte in merito ad un appropriato  mandato  di  negoziato  per  ottenere  diritti paragonabili  per  le  imprese  comunitarie  in  tali Paesi terzi. 

Più in generale la direttiva dispone che  la Commissione (assistita da un  "Comitato  per  la  firma  elettronica”, con il compito di precisare i requisiti  di cui agli allegati della direttiva, i criteri e le norme in essa riportate) sia tenuta entro il 19 luglio 2003 a  riesaminare   l'applicazione   della  direttiva,  e a presentare una relazione in merito al Parlamento europeo e al Consiglio, tenuto conto  dei  progressi  tecnologici, dell'evoluzione  del mercato e degli sviluppi giuridici nel frattempo intervenuti; tale relazione  includerà  in  particolare  una valutazione, sulla base  dell'esperienza  acquisita,  degli  aspetti  relativi all'armonizzazione, e sarà corredata, se del caso, di proposte legislative.

[26]  Secondo il disposto del T.U. di cui al DPR n.445/2000 la   carta  d'identita'  elettronica  (o l'analogo documento d’identità), verrà rilasciata a seguito della denuncia di nascita e prima   del   compimento   dei  quindicesimo  anno,  e conterrà i dati identificativi della persona ed il codice fiscale.

La  carta  d'identita'  e  il documento elettronico potranno inoltre contenere: l'indicazione del gruppo sanguigno; le  opzioni di carattere sanitario previste dalla legge; i  dati  biometrici del titolare, con esclusione, in ogni caso, del DNA; tutti   gli   altri   dati   utili   al   fine  di razionalizzare  e  semplificare l'azione amministrativa e i servizi resi al cittadino, anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza; le  procedure  informatiche  e  le  informazioni che possano o debbano  essere  conosciute dalla pubblica amministrazione e da altri soggetti, occorrenti per la firma elettronica.

[27]  In tema di rispetto della tutela dei dati personali si ricorda che la direttiva n.1999/93/CE  prevede che gli SM debbano provvedere  a che i prestatori di servizi di certificazione e  gli organismi nazionali responsabili dell'accreditamento o  della supervisione si conformino alla direttiva del  Parlamento  europeo  e  del  Consiglio, del 24 ottobre 1995 n. 95/46/CE,  relativa  alla  tutela  delle  persone  fisiche  con riguardo  al  trattamento  dei dati personali, nonche' alla libera circolazione di tali dati; in particolare essi devono consentire a  un prestatore di servizi  di  certificazione  che  rilasci  certificati  al pubblico,  di  raccogliere  dati personali solo direttamente dalla  persona  cui  si  riferiscono o previo suo esplicito consenso,  e soltanto nella misura necessaria al rilascio ed al  mantenimento del certificato (i dati non potranno peraltro essere raccolti  o  elaborati,  per  fini  diversi, e senza l'espresso  consenso della persona cui si riferiscono).

Fatti   salvi   gli   effetti   giuridici  che  la legislazione  nazionale  attribuisce  agli  pseudonimi, la direttiva prevede inoltre che gli SM  non  vieteranno  al  prestatore  di  servizi di certificazione  di riportare sul certificato, uno pseudonimo in luogo del nome del firmatario (cfr. art.8).

[28]  L’articolo si conclude prevedendo che le istanze e le dichiarazioni sostitutive di atto di notorieta'  da  produrre  agli organi della amministrazione pubblica  (o ai gestori o esercenti di pubblici servizi) devono essere sottoscritte  dall'interessato  in  presenza del dipendente addetto ovvero sottoscritte e presentate unitamente a copia fotostatica  non  autenticata  di un documento di identita' del  sottoscrittore (la quale ultima copia fotostatica verrà inserita  nel  fascicolo dell’utente). Le istanze e la copia fotostatica del  documento  di identita' potranno essere inviate anche per via telematica; tuttavia, nei procedimenti di aggiudicazione di contratti pubblici, detta facolta' sarà consentita solo nei limiti stabiliti dal  regolamento  di  cui  all'art. 15, comma 2 della legge 15 marzo 1997, n. 59.