Firma digitale, il nuovo Cad ne trascura i due problemi cronici

All’approssimarsi del primo luglio 2016 in cui diverrà applicabile anche nell’ordinamento italiano il Reg. UE 910/2014, con disappunto si constatata che con tutta probabilità andrà perduta l’ennesima occasione di fare chiarezza sul problema tutto italiano della firma digitale.

Ancor più spiacevole è il dubbio che né i membri del Governo italiano, né i tecnici ministeriali che predispongono i testi normativi, abbiano seriamente compreso le fondamentali implicazioni correlate al principio di neutralità tecnologica.

Preliminarmente è necessario sgombrare il campo dall’idea, ampiamente ripetuta sulla stampa anche professionale, secondo cui l’Italia non ha mai saputo rinunciare alla “propria” firma digitale, complessa ma sicura, a favore della più snella ma meno sicura firma elettronica introdotta dalla normativa comunitaria.

Sin dall’approvazione della direttiva 1999/93/CE la Comunità Europea non ha mai preteso altro se non fornire un “ un quadro comunitario chiaro relativo alle condizioni che si applicano alle firme elettroniche ” (considerando n. 4) idoneo a fornire risposta a tutte le possibili esigenze giuridiche dei cittadini europei. A tal fine, la direttiva si premurava di definire (non uno solo, ma ben) tre tipologie di firme elettroniche, nessuna delle quali poteva essere considerata “ legalmente inefficace e inammissibile come prova in giudizio ” (art. 5 co. 2) negli Stati membri, ma che certo offrivano livelli di garanzia molto diversi.

Se la firma elettronica (“ dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione ”, art. 2 n.1) poteva essere considerata lo strumento ideale per le transazioni minute, proprie del commercio elettronico, solo le “ firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura ” venivano equiparate alla firma autografa (art. 5 co. 1). A metà strada stava la firma elettronica avanzata “ connessa in maniera unica al firmatario… idonea ad identificare il firmatario… creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo… collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati ” (art. 2 n. 2).

Il Regolamento UE n. 910/2014 non ha cambiato sostanzialmente nulla in questo quadro d’insieme, salvo lievi variazioni terminologiche.

La vera novità introdotta dal Regolamento sta nel principio del riconoscimento reciproco (art. 6 e art. 25 comma 3) giusta il quale, a seguito della notifica alla Commissione e dell’avvenuto inserimento nell’elenco dei regimi di identificazione elettronica notificati, ciascun tipo di firma assume il valore previsto dal Regolamento in tutti i paesi dell’area UE: e questa novità potrebbe riservare al nostro paese delle brutte sorprese.

Infatti, ciò che – oggi così come nel 1999 – differenzia l’approccio comunitario rispetto a quello italiano non attiene in alcun modo alla sicurezza dei sistemi di firma elettronica, bensì al diverso atteggiamento nei confronti del principio di neutralità tecnologica .

Nessuna delle definizioni comunitarie fa alcun riferimento a specifiche tecnologie, ma al contrario indica solo i risultati che ciascun tipo di firma deve conseguire (qualsiasi sia la tecnologia prescelta).

Al contrario, la firma digitale non è tecnologicamente neutrale, facendo specifico riferimento alla crittografia asimmetrica a doppia chiave pubblico-privata.

Laddove l’ordinamento giuridico italiano obbligasse i cittadini e le imprese che vogliono conseguire determinati risultati giuridici ad utilizzare detta specifica tecnologia (piuttosto che le infinite altre che si rivelino in concreto idonee a raggiungere i medesimi risultati), ciò sarebbe palesemente contrario ai principi comunitari di libera concorrenza e non discriminazione.

Fortunatamente, il legislatore italiano non è mai arrivato a tanto, ed il C.A.D. ha sempre considerato la firma digitale una particolare forma di firma qualificata, e fatto discendere i medesimi effetti giuridici propri della firma digitale anche da qualsiasi altro tipo di firma qualificata (es. firma grafometrica qualificata).

Decisamente rocambolesca è l’idea italiana di voler distinguere all’interno degli atti per i quali, ai sensi dell’art. 1350 codice civile, è richiesta la forma scritta ad substantiam , tra quelli che devono essere firmati a pena di nullità con firma qualificata o digitale (art. 1350, primo comma nn. 1-12) e quelli che possono essere firmati anche con firma avanzata non qualificata (art. 1350, primo comma n. 13).

Con tutta probabilità, scopo della distinzione è stato consentire agli istituti bancari e assicurativi di fornire ai propri clienti servizi di firma avanzata in autonomia, senza dover fare ricorso a certificatori accreditati. Purtuttavia, appare decisamente stravagante che un documento per cui è prevista la forma scritta ad substantiam, possa essere sottoscritto con una firma (la firma avanzata non qualificata) liberamente valutabile in giudizio, non equiparata alla firma autografa, e rispetto alla quale non è prevista l’inversione dell’onere della prova sull’uso del dispositivo di firma da parte del titolare.

Peraltro, se l’anomalia italiana si limitasse a voler definire un particolare tipo di firma, senza specifiche conseguenze, ciò potrebbe anche essere considerato un innocuo capriccio.

Vi è tuttavia un altro aspetto che potrebbe non essere affatto condiviso dalla Commissione in sede di notifica ai sensi dell’art. 9 Regolamento UE 910/2014: la firma digitale – così come oggi viene concepita – possiede la maggior parte dei requisiti propri della firma elettronica avanzata individuati dall’art. 26 del Regolamento UE 910/2014 (è “ connessa unicamente al firmatario ”, “idonea a identificare il firmatario”, “creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo ”, “collegata ai dati sottoscritti”) ma non quello – previsto dalla lettera d) dell’art. 26 citato – di consentire l’identificazione di “ ogni successiva modifica” dei dati a cui risulta collegata. La firma digitale è in grado di comprovare solo il dispositivo di firma (e quindi il titolare dello stesso) che ha firmato il documento, non quando è stato firmato né quante volte la firma è stata rinnovata/modificata.

Nessuno dei due problemi sopra annotati è stato rilevato come tale dagli estensori dello schema di decreto legislativo di riforma del C.A.D. recentemente adottato dal Consiglio dei Ministri, che lascia immutato il quadro normativo preesistente.

Decisamente incomprensibile appare allora il fatto che, senza cambiar nulla nella sostanza e senza affrontare i problemi esistenti in materia di firme elettroniche e validità del documento informatico, purtuttavia il decreto introduca una serie infinita di modifiche lessicali, tanto irrilevanti quanto minuziose.