FIRME ELETTRONICHE - ATTUAZIONE DELLA DIRETTIVA 1999/93 CE

(Decreto legislativo n. 10/2002)

 

 

Nella Gazzetta Ufficiale n. 39 del 15 febbraio scorso è stato pubblicato il Decreto legislativo n.10/2002 che recepisce il sistema europeo di firme elettroniche delineato dalla direttiva 1999/93/CE (GUCE, serie L 013, del 19/01/2002).

Considerata la rilevanza che tale provvedimento può avere con riguardo all'attività delle imprese, degli Organismi paritetici e ai rapporti con la pubblica amministrazione, si ritiene opportuno fornire di seguito un'analisi sintetica dello stesso.

Per "firma elettronica" si intende un insieme di dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica. La stessa può essere creata tramite un dispositivo apposito da una persona che agisce per conto proprio o per conto della persona fisica o giuridica o dell'entità che rappresenta.

Il provvedimento di cui all'oggetto introduce in merito profonde innovazioni rispetto alla disciplina vigente in Italia contenuta essenzialmente nel Dpr n. 445/2000 (Testo unico sulla documentazione amministrativa).

Il nuovo sistema prevede, infatti, accanto alla firma elettronica "avanzata" o "forte", equiparabile alla firma digitale già adottata in Italia, forme di sottoscrizioni "deboli".

La differenziazione è dovuta al grado di sicurezza e all'utilizzo che della firma può essere fatto.

La firma elettronica avanzata è la firma che, ai sensi dell'art. 2, comma 2, della direttiva 1999/93/CE soddisfa i seguenti requisiti:

a) essere connessa in maniera unica al firmatario;

b) essere idonea ad identificare il firmatario;

c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;

d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati.

Secondo quanto stabilito dall'art. 6 del decreto legislativo n. 10/2002, il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.

Se però la firma elettronica è avanzata e basata su di un certificato qualificato, il documento è ammesso come prova in giudizio, mentre per quello sottoscritto con la firma c.d. debole la valutazione è lasciata al giudice.

 

Finora, inoltre, la certificazione della firma digitale è stata affidata in Italia agli enti iscritti nell'elenco pubblico tenuto dall'Aipa (Autorità per l'informatica nella pubblica amministrazione).

Ora, invece, l'attività dei certificatori è libera e non necessita di preventiva autorizzazione.

Il certificatore (un'entità o una persona fisica o giuridica) che intenda rilasciare "certificati qualificati" (cioè conformi ai requisiti di cui all'allegato I, nonché forniti da un certificatore che possieda i requisiti dell'allegato II della direttiva 1999/93/CE), deve comunicare tale volontà al Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio, che svolge funzioni

di controllo nel settore e presso il quale si effettua anche l'accreditamento per conseguire il riconoscimento del possesso di elevati requisiti in termini di qualità e sicurezza.

Si evidenzia che, ai sensi dell'art. 7 del decreto di cui sopra, il certificatore può indicare in un certificato qualificato i limiti d'uso del certificato ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi.

Il certificatore non sarà pertanto responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i imiti posti dallo stesso o derivanti dal superamento del valore limite.

L'art. 8 del decreto in esame prevede, infine, l'utilizzo della carta d'identità elettronica e della carta nazionale dei servizi per i pagamenti tra soggetti privati e pubbliche amministrazioni.

Le caratteristiche e le procedure per il rilascio di tali documenti, nonché le modalità dei pagamenti, saranno definite con successivi decreti.

Ai fini del coordinamento delle disposizioni del Dpr n. 445/2000 con quelle del decreto in esame e della direttiva CE, nonché della fissazione dei requisiti necessari per lo svolgimento dell'attività dei certificatori, deve essere emanato un apposito regolamento, entro 30 giorni dalla data di entrata in vigore del decreto stesso.