***
Il riconoscimento della validità e della rilevanza giuridica del documento informatico nel nostro ordinamento si deve all’art. 15, comma 2, della legge 15 marzo 1997, n. 59 (c.d. Bassanini uno)[1], il cui testo dispone che gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge.
A seguito di tale disposizione, venne emanato il noto D.P.R. 513/1997, “Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59”[2], il cui testo è poi recentemente confluito nel D.P.R. 445/2000 (testo unico sulla documentazione amministrativa)[3].
A completamento della disciplina, è stato infine emesso il D.P.C.M. 8 febbraio 1999, recante le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici[4].
Con il D.L.vo 23 gennaio 2002, n. 10, il legislatore italiano è intervenuto sulla normativa sopra citata per dare attuazione alla direttiva 1999/93/CE, relativa ad un “quadro comunitario per le firme elettroniche” (G.U.C.E. n. L 13 del 19 gennaio 2000)[5].
Verranno nel prosieguo analizzate brevemente le novità introdotte con il provvedimento, con riguardo in particolare alla forma ed efficacia del documento informatico, previo accenno al sistema di firma digitale adottato dal legislatore italiano con il D.P.R. 513/1997 – oggi trasfuso nel D.P.R. 445/2000.
2. Documento informatico e firma digitale
Ai sensi dell’art. 1, lett. b, del D.P.R. 445/2000, per documento informatico deve intendersi la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.
Ai sensi dell’art. 8, comma 1, D.P.R. 445/2000, il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del medesimo provvedimento[6].
L’art. 23 del testo unico sulla documentazione amministrativa prevede che a ciascun documento informatico, o a un gruppo di documenti informatici, nonché al duplicato o copia di essi, possa essere apposta, o associata con separata evidenza informatica, una firma digitale.
La firma digitale è definita dal testo unico come il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici (art. 1, lett. n, D.P.R. 445/2000).
L’apposizione o associazione della firma digitale al documento informatico equivale, secondo il testo unico, alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo (art. 23, comma 2). Essa deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata (art. 23, comma 3).
2.1. La crittografia asimmetrica
Il sistema di firma digitale adottato dal legislatore italiano è basato sulla tecnologia della crittografia a chiave pubblica, che consente di ottenere uno strumento idoneo ad assicurare le stesse funzioni svolte dalla sottoscrizione autografa del documento cartaceo, vale a dire le funzioni indicativa, dichiarativa e probatoria (G. Rognetta)[7].
Tale sistema prevede l’attribuzione al soggetto che voglia servirsi della firma digitale di una coppia di chiavi, una chiave privata e una chiave pubblica.
La chiave privata è segreta, e pertanto conosciuta solo dal relativo titolare; la chiave pubblica è invece resa conoscibile da chiunque.
Le due chiavi sono tra loro: - complementari: il documento cifrato con una può essere decodificato solo usando l’altra; - indipendenti: la conoscenza della chiave pubblica non consente di risalire alla corrispondente chiave privata.
La crittografia asimmetrica consente di assicurare:
- la segretezza di un documento: il mittente cifra il documento con la chiave pubblica del destinatario; il destinatario decifra il documento con la propria chiave privata. In questo caso, la segretezza del documento è assicurata dal fatto che solo il legittimo destinatario potrà decifrarlo utilizzando la sua chiave privata, la quale si presume essere nella sua esclusiva disponibilità;
- l’autenticità e integrità del documento: il mittente cifra il documento con la sua chiave privata; il destinatario decifra il documento con la chiave pubblica del mittente. In tale ipotesi, il mittente sottoscrive il documento informatico con la propria firma digitale, il che equivale a dire che cifra il documento con la propria chiave privata[8]. Il destinatario, ricevuto il documento, decodifica la firma del mittente attraverso la corrispondente chiave pubblica di quest’ultimo. Se l’operazione di verifica ha esito positivo, è assicurata l’autenticità del documento – nonché la sua integrità[9] -, poiché si presume che soltanto il legittimo titolare della chiave privata possa averla usata per cifrarlo;
- segretezza, autenticità e integrità del documento: il mittente cifra il documento con la sua chiave privata e con la chiave pubblica del destinatario; il destinatario decifra il documento con la sua chiave privata e con la chiave pubblica del mittente. La combinazione delle due operazioni precedenti consente di ottenere i vantaggi di entrambe.
2.2. I certificatori e il dispositivo di firma
Per assicurare che la coppia di chiavi utilizzata per l’apposizione della firma digitale appartenga a tutti gli effetti ad un determinato soggetto, ruolo centrale nel sistema di firma digitale adottato con il D.P.R. 513/1997 hanno i c.d. certificatori.
Tali enti hanno appunto il compito di garantire la corrispondenza tra chiavi e identità personale dei soggetti ai quali esse si riferiscono. Essi sono definiti come il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest’ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati (art. 22, lett. i, D.P.R. 445/2000).
L’art. 27 D.P.R. 445/2000 prevede che chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura deve munirsi di una idonea coppia di chiavi e rendere pubblica una di esse mediante la procedura di certificazione[10].
La medesima disposizione stabilisce che le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all’inizio dell’attività, in un apposito elenco pubblico, consultabile in via telematica, predisposto tenuto ed aggiornato a cura dell’Autorità per l’informatica nella pubblica amministrazione (AIPA)[11] e dotato dei prescritti requisiti (art. 27, comma 3, D.P.R. 445/2000).
La disciplina specifica dei requisiti e dell’attività dei certificatori è contenuta nel D.P.C.M. 8 febbraio 1999[12]. Norme riguardanti tali soggetti sono state altresì introdotte, come si vedrà, dal D.L.vo 10/2002.
Il sistema prevede altresì l’uso di un dispositivo di firma, definito come un apparato elettronico programmabile solo all’origine in grado (almeno) di conservare in modo protetto le chiavi private e generare al suo interno firme digitali (art. 1, lett. e, allegato tecnico D.P.C.M. 8 febbraio 1999).
Tale dispositivo si concretizza, in pratica, nell’uso di una c.d. smart card contenente la chiave privata del sottoscrittore, il quale, per apporre la propria firma digitale su un documento informatico, deve servirsi di un apposito dispositivo hardware collegato al computer (un lettore di smart card) e di un apposito software.
3. Definizioni giuridiche e tecniche
La normativa contenuta nel D.P.R. 445/2000 e nel D.P.C.M. 8 febbraio 1999 fornisce una serie di definizioni di carattere giuridico e tecnico, che verranno di seguito brevemente illustrate.
A tali definizioni, e dunque al sistema ad esse sotteso e sopra accennato, si sono oggi in parte sovrapposte, come si vedrà, le definizioni ed il sistema di firme elettroniche adottati con il D.L.vo 10/2002 in attuazione della normativa europea[13].
· Come già si è avuto modo di ricordare, l’art. 1, lett. n, D.P.R. 445/2000 definisce la firma digitale come il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Ai fini del D.L.vo 10/2002:
- per firma elettronica deve intendersi l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica (art. 2, lett. a);
- per firma elettronica avanzata la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati (art. 2, lett. g).
· Il sistema di validazione è definito come il sistema informatico o crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità (art. 22, lett. a, D.P.R. 445/2000).
· Le chiavi asimmetriche sono definite come la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell’ambito dei sistemi di validazione o di cifratura di documenti informatici (art. 22, lett. b, D.P.R. 445/2000).
· La chiave privata è definita come l’elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica (art. 22, lett. c, D.P.R. 445/2000).
· La chiave pubblica è definita come l’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi (art. 22, lett. d, D.P.R. 445/2000).
· La certificazione è definita come il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest’ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni (art. 22, lett. f, D.P.R. 445/2000).
Ai fini del D.L.vo 10/2002:
- per certificati elettronici devono intendersi gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l’identità dei titolari stessi (art. 2, lett. d);
- per certificati qualificati i certificati elettronici conformi ai requisiti di cui all’allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti fissati dall’allegato II della medesima direttiva (art. 2, lett. e).
· Il certificatore, come già si è avuto modo di ricordare, è definito come il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest’ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati (art. 22. lett. i, D.P.R. 445/2000).
Ai fini del D.L.vo 10/2002[14]:
- per certificatori devono intendersi coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche (art. 2, lett. b). In ossequio alla direttiva europea, l’art. 3, comma 1, D.L.vo 10/2002 prevede espressamente che l’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva;
- per certificatori accreditati i certificatori accreditati in Italia ovvero in altri Stati membri dell’Unione europea, ai sensi dell’articolo 3, paragrafo 2, della direttiva 1999/93/CE (art. 2, lett. c)[15];
- per accreditamento facoltativo deve intendersi il riconoscimento del possesso, da parte del certificatore che lo richieda, dei requisiti del livello più elevato, in termini di qualità e sicurezza (art. 2, lett. h).
· Il dispositivo di firma, come sopra accennato, è definito come un apparato elettronico programmabile solo all’origine in grado (almeno) di conservare in modo protetto le chiavi private e generare al suo interno firme digitali (art. 1, lett. d, allegato tecnico D.P.C.M. 8 febbraio 1999).
Ai fini del D.L.vo 10/2002, per dispositivo per la creazione di una firma sicura deve intendersi l’apparato strumentale, usato per la creazione di una firma elettronica, rispondente ai requisiti di cui all’art. 10 del medesimo decreto (art. 2, lett. f)[16].
4. Il sistema di firme elettroniche delineato dal D.L.vo 10/2002
Non è più possibile oggi parlare solo di firma digitale.
A seguito del recente intervento legislativo di attuazione della normativa europea, esiste allo stato un sistema di firme elettroniche, al cui interno si possono distinguere tre tipologie di firme[17]:
1) la firma elettronica debole, vale a dire l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica (art. 2, lett. a, D.L.vo 10/2002);
2) la firma elettronica avanzata, definita come la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati (art. 2, lett. g, D.L.vo 10/2002);
3) la firma elettronica avanzata basata su un certificato qualificato e generata attraverso un dispositivo di firma sicura (art. 10, comma 3, D.P.R. 445/2000, così come introdotto dall’art. 6 D.L.vo 10/2002).
A tale ultimo tipo di firma elettronica (firma elettronica sicura) appartiene la firma digitale adottata in Italia con il D.P.R. 513/1997.
L’art. 11 D.L.vo 10/2002 stabilisce d’altra parte espressamente che i documenti sottoscritti con firma digitale basata sui certificati rilasciati da certificatori iscritti nell’elenco pubblico tenuto dall’AIPA ai sensi dell’art. 27, comma 3, D.P.R. 445/2000[18] producono gli effetti della firma elettronica avanzata basata su certificato qualificato e generata mediante un dispositivo per la creazione di una firma sicura.
Inoltre, i certificatori che (alla data di entrata in vigore del regolamento di cui all’art. 13 D.L.vo 10/2002) risulteranno iscritti nell’elenco pubblico tenuto dall’AIPA saranno iscritti d’ufficio nell’elenco pubblico dei certificatori accreditati, di cui all’art. 5 D.L.vo 10/2002 (art. 11, comma 2, D.L.vo 10/2002).
Il sistema di firma digitale adottato con il D.P.R. 513/1997 (confluito poi nel D.P.R. 445/2000) sopravvive dunque oggi nell’ambito del più vasto sistema di firme elettroniche adottato con il D.L.vo 10/2002 in attuazione della normativa europea.
5. Forma ed efficacia del documento informatico
Il provvedimento di attuazione della direttiva europea sulle firme elettroniche ha modificato la disciplina relativa alla forma e all’efficacia del documento informatico prevista dal D.P.R. 445/2000, introducendo rilevanti novità.
5.1. Forma ed efficacia del documento informatico nel sistema anteriore al D.L.vo 10/2002
L’art. 10 D.P.R. 445/2000, nel testo anteriore al recente intervento legislativo di attuazione della normativa europea, nel regolare la forma ed efficacia del documento informatico, stabiliva che
· Il documento informatico sottoscritto con firma digitale, redatto in conformità alle regole tecniche, soddisfa il requisito legale della forma scritta e ha efficacia probatoria ai sensi dell’art. 2712 cod. civ.
· Il documento informatico, sottoscritto con firma digitale ai sensi dell’art. 23 del testo unico sulla documentazione amministrativa, ha efficacia di scrittura privata ai sensi dell’art. 2702 cod. civ.
L’art. 23 D.P.R. 445/2000 così, ancora oggi, dispone:
1. A ciascun documento informatico, o a un gruppo di documenti informatici, nonché al duplicato o copia di essi, può essere apposta, o associata con separata evidenza informatica, una firma digitale. 2. L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo. 3. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. 4. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l'ha certificata. 5. L'uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate. 6. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere. 7. Attraverso la firma digitale devono potersi rilevare nei modi e con le tecniche definiti con il decreto di cui all'articolo 8, comma 2, gli elementi identificativi del soggetto titolare della firma, del soggetto che l'ha certificata e del registro su cui essa è pubblicata per la consultazione.
· Il documento informatico redatto in conformità delle regole tecniche soddisfa l’obbligo previsto dagli artt. 2214 ss. cod. civ. e da ogni altra analoga disposizione legislativa o regolamentare[19].
5.2. Forma ed efficacia del documento informatico dopo il D.L.vo 10/2002
L’art. 6 del D.L.vo 10/2002 sostituisce interamente il testo dell’art. 10 D.P.R. 445/2000 sopra illustrato.
Secondo la nuova formulazione della norma[20]:
· Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 cod. civ. con riguardo ai fatti ed alle cose rappresentate (art. 10, comma 1, n.t., D.P.R. 445/2000).
Come è noto, l’art. 2712 cod. civ. (riproduzioni meccaniche) dispone che le riproduzioni fotografiche o cinematografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime.
· Il documento informatico sottoscritto con – qualunque tipo di – firma elettronica soddisfa il requisito legale della forma scritta (art. 10, comma 2, n.t., D.P.R. 445/2000).
Ai sensi della medesima disposizione, esso inoltre soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.
Sul piano probatorio, il documento è liberamente valutabile dal Giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza (art. 10, comma 2, n.t., D.P.R. 445/2000).
· Il documento informatico, o quando e' sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e o la firma e' basata su di un certificato qualificato e o e' generata mediante un dispositivo per la creazione di una firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto (art. 10, comma 3, n.t., D.P.R. 445/2000).
·; Al documento informatico, sottoscritto con – qualunque tipo di – firma elettronica, in ogni caso non può essere negata rilevanza giuridica ne' ammissibilità come mezzo di prova unicamente a causa del fatto che e' sottoscritto in forma elettronica ovvero in quanto la firma non e' basata su di un certificato qualificato oppure non e' basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non e' stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura (art. 10, comma 4, n.t., D.P.R. 445/2000).
5.3. Il valore probatorio del documento informatico sottoscritto con firma elettronica sicura
Come da più parti rilevato[21], la disposizione di cui all’art. 10, comma 3, n.t., D.P.R. 445/2000 introduce una innovazione di non poco conto.
Secondo detta norma, come sopra visto, il documento informatico sottoscritto con firma digitale o altra firma elettronica avanzata, basata su di un certificato qualificato e generata mediante un dispositivo per la creazione di una firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.
Come è noto, l’art. 2702 cod. civ. prevede che la scrittura privata faccia piena prova, sino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta se – e solo se – colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.
Si ha per riconosciuta: la scrittura privata la cui sottoscrizione sia stata autenticata da notaio o da altro pubblico ufficiale a ciò autorizzato (art. 2703, comma 1, cod. civ.); la scrittura privata prodotta in giudizio nei casi previsti dall’art. 215 cod. proc. civ. (riconoscimento tacito) o la cui sottoscrizione sia stata accertata con verificazione a seguito di disconoscimento (artt. 216 e ss. cod. proc. civ.).
Ai sensi dell’art. 10, comma 3, n.t., D.P.R. 445/2000, il valore probatorio di un documento informatico sottoscritto con firma digitale o altra firma elettronica sicura, è pertanto addirittura quello della scrittura privata riconosciuta, pari cioè a quello di una scrittura cartacea la cui sottoscrizione sia stata autenticata da notaio.
Il documento così sottoscritto non sarà pertanto disconoscibile da parte del sottoscrittore, e per contrastare la sua rilevanza probatoria sarà sempre necessaria la proposizione della querela di falso ai sensi degli artt. 221 ss. cod. proc. civ.
Note: [1] Legge 15 marzo 1997, n. 59, “Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della pubblica amministrazione e per la semplificazione amministrativa” (Suppl. ord. alla G.U. Serie gen., n. 63 del 17 marzo 1997). [2] L’art. 15, comma 2, L. 59/1997 ha previsto infatti che i criteri e le modalità di applicazione della disposizione relativa alla validità e rilevanza del documento informatico fossero stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare ai sensi dell’art. 17, comma 2, della legge 23 agosto 1988, n. 400. [3] D.P.R. 28 dicembre 2000, n. 445, “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (Suppl. ord. alla G.U. Serie gen., n. 42 del 20 febbraio 2001). [4] D.P.C.M. 8 febbraio 1999, “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 novembre 1997, n. 513” (G.U. Serie gen., n. 87 del 15 aprile 1999). Con decreto del Ministro della Giustizia 13 febbraio 2001, n. 123 è stato emanato inoltre il “Regolamento recante disciplina sull’uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo innanzi alle sezioni giurisdizionali della Corte dei Conti” (G.U. 17/04/2001, n. 89). Per un approfondimento sul tema del c.d. processo telematico si rimanda al mio scritto Il c.d. processo telematico, pubblicato all’indirizzo www.iusreporter.it/Testi/doc-teleprocesso.htm. [5] D.L.vo 23 gennaio 2002, n. 10, “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche”, G.U. del 15 febbraio 2002, n. 39. [6] L’art. 8, comma 2, del testo unico prevede che le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici siano definite con decreto del Presidente del Consiglio dei Ministri sentiti l’Autorità per l’informatica nella pubblica amministrazione e il Garante per la protezione dei dati personali. Dette regole dovranno essere adeguate alle esigenze dettate dall’evoluzione delle conoscenze scientifiche e tecnologiche con scadenza almeno biennale. In attuazione di tali prescrizioni, già previste dal D.P.R. 513/1997, è stato emanato il citato D.P.C.M. 8 febbraio 1999. [7] Per questo, e per i rilievi che seguono nel testo, si veda G. Rognetta, La firma digitale e il documento informatico, Ed. Simone, Napoli, 1999. [8] Precisamente, con la chiave privata viene codificato non l’intero documento bensì solo una sua parte, una “impronta digitale” ottenuta tramite la c.d. funzione di hash. [9] L’integrità del documento, vale a dire la garanzia che esso non abbia subito alterazione alcuna successivamente all’apposizione della firma digitale, si deve al fatto che la cifratura del documento con la chiave privata produce una “firma” la cui configurazione è connessa alla struttura stessa del documento a cui è associata, di modo che se quest’ultimo subisce una qualsiasi variazione – come, ad esempio, anche il solo spostamento di una virgola in un testo – la verifica con la chiave pubblica non potrà più dare esito positivo. [11] Si veda il sito www.aipa.it. [12] L’art. 27, comma 3, D.P.R. 445/2000 prevede che, salvo quanto previsto dall’articolo 29, le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione, e dotati dei seguenti requisiti, specificati con il decreto di cui all'articolo 8, comma 2: a) forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati; b) possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche; c) affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attività di certificazione siano in grado di rispettare le norme del presente testo unico e le regole tecniche di cui all'articolo 8, comma 2; d) qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale. [13] L’art. 13 D.L.vo 10/2002 prevede che, entro trenta giorni dall’entrata in vigore del provvedimento, sia emanato un regolamento (ai sensi dell’art. 17, comma 2, L. 400/1988) anche ai fini del coordinamento delle disposizioni del D.P.R. 445/2000 con quelle recate dal provvedimento in esame e dalla direttiva 1999/93/CE. [14] Sui certificatori si vedano anche gli artt. 3, 4, 5, 7 e 11 del D.L.vo 10/2002. Per un approfondimento sulle novità introdotte con riguardo a tali soggetti e all’attività di certificazione, si veda G. Stumpo, Finalmente, con il dlgs. 23 gennaio 2002 n. 10, il sistema italiano sulla firma elettronica si conforma a quello europeo di cui già alla direttiva N. 1999/93/CE, in Diritto & Diritti, www.diritto.it, www.diritto.it/articoli/dir_tecnologie/stumpo3.html. [15] L’art. 3 della direttiva 1999/93/CE dispone infatti che gli Stati membri possano introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie. Gli Stati membri non possono limitare il numero di prestatori di servizio di certificazione accreditati per motivi che rientrano nell’ambito di applicazione della direttiva. [16] L’art. 10 D.L.vo 10/2002 dispone che: 1. La conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva 1999/93/CE e' accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. Lo schema nazionale non reca oneri aggiuntivi per il bilancio dello Stato ed individua l'organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto. 2. Il decreto di cui al comma 1 fissa la data sino alla quale per l'accertamento di cui al comma stesso si procede in base al regime transitorio previsto dall'articolo 63 delle regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici stabilite, ai sensi dell'articolo 3, comma 1, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, dal decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato nella Gazzetta Ufficiale n. 87 del 15 aprile 1999, e prorogato, da ultimo, con il decreto del Presidente del Consiglio dei Ministri 3 ottobre 2001, pubblicato nella Gazzetta Ufficiale n. 233 del 6 ottobre 2001. 3. La conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva 1999/93/CE e' inoltre riconosciuta se certificata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva stessa. [17] Cfr. F. Cocco, Quante e quali firme? Realtà giuridica e progetti in divenire secondo l’AIPA, Intervento nel Convegno “ADINCOM” La Firma Digitale: effetti e conseguenze per i privati e per le imprese, Milano, 16 novembre 2001, www.adincom.it/16-11-01/002.htm. [19] Disposizioni relative alla tenuta delle scritture contabili dell’imprenditore. [20] Ai sensi dell’art. 10, comma 5, n.t., D.P.R. 445/2000, le disposizioni del medesimo articolo si applicano anche se la firma elettronica è basata su di un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni: a) il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed e' accreditato in uno Stato membro; b) il certificato qualificato e' garantito da un certificatore stabilito nella Comunita' europea, in possesso dei requisiti di cui alla medesima direttiva; c) il certificato qualificato, o il certificatore, e' riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunita' e Paesi terzi o organizzazioni internazionali. [21] Cfr. P. Ricchiuto, La “nuova” efficacia probatoria della firma digitale, in InterLex, www.interlex.it, www.interlex.it/docdigit/ricchiu5.htm; G. Buonomo, Lo schema governativo stravolge il processo civile, in InterLex, www.interlex.it, www.interlex.it/docdigit/buonomo8.htm. |
|
|