Di Massimo F.Penco

Con tutta la buona volontà e con un minimo di raziocinio, non riesco a capire come tutto questo porti alla semplificazione, e sono sempre più convinto di un mio vecchio assunto che rispolvero qui, quanto mai attuale, del resto condiviso con l’amico Franco Bassanini: “La tecnologia si muove così velocemente che i governi non dovrebbero neanche provare a regolare il settore che cambia troppo rapidamente” .
Vediamo di fare un po’ di chiarezza in un guazzabuglio reso sempre più complicato:
Con: d.p.c.m. del 22 febbraio 2013 riportante il testo definitivo delle nuove “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”. Gazzetta Ufficiale (n. 117 del 21.05.2013)
Abbiamo in vigore, in questo paese, le seguenti firme, secondo la normativa richiamata; indicate in modo confuso e fuorviante. Copio ed incollo, una per tutte, la descrizione riportata nella disposizione legislativa sotto la voce DEFINIZIONI:
e) dati per la creazione della firma elettronica qualificata o digitale: l’insieme dei codici personali e delle altre quantità di sicurezza, quali le chiavi crittografiche private, utilizzate dal firmatario per creare una firma elettronica qualificata o una firma digitale;

Per deduzione le firme dovrebbero essere le seguenti anche se come è ovvio possono essere generate in vari modi e da diversi soggetti.

Firma elettronica qualificata
f) certificato qualificato: il certificato elettronico conforme ai requisiti di cui all’allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all’allegato II della medesima direttiva;

Firma digitale
Sulle prime due non ci sono importanti novità, direi di concentrare l’attenzione sulla:

Firma elettronica avanzata
La definizione riportata nel CAD (art. 1, lettera q-bis), e introdotta dal d.lgs. n. 235/2010, qualifica la firma elettronica avanzata quale insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
Le regole tecniche sulla FEA, dettate agli artt. 55 e ss. del d.p.c.m., stabiliscono ora che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. I soggetti che erogano sistemi di firma elettronica avanzata, quindi, non sono obbligati ad alcuna registrazione e questo dimostra la volontà di liberalizzare le tipologie di firma avanzata, non vincolandole a un certificato qualificato o ad un dispositivo sicuro, come invece richiesto per le firme elettroniche qualificate e per quelle digitali, entrambe species del genere firma elettronica avanzata.

In sostanza si tratta della stessa cosa sotto il profilo tecnico/pratico: l’applicazione di un certificato di firma ad un documento legato ad una persona fisica intestataria del certificato medesimo.
Perché complicarsi l’esistenza? È una domanda alla quale non riesco a rispondere da oltre 15 anni. Tutto questo porta a semplificazioni? Direi di no, anzi, complica di più la vita alle imprese, ai professionisti e privati cittadini, oltre che alla già confusa pubblica amministrazione, che solo da poco aveva cominciato ad usare la semplice posta elettronica dotando tutti gli addetti di una ormai indispensabile casella di posta elettronica. Perché parlo ancora una volta di posta elettronica? Perché in un certo qual modo viene messa in discussione la famigerata PEC, un connubio tra firma digitale e posta elettronica, ma esaminiamo la vera novità del provvedimento che è rappresentata da due cose sostanziali:
1) Le tre firme sono di fatto e di diritto equiparate tra loro, in sostanza, qualora vengano rispettate alcune funzioni, del resto in essere da anni in tutto il mondo, si può usare indifferentemente una delle firme su elencate per la firma legale di documenti di qualsiasi genere in questo paese.
2) Il fatto è, che non esiste finalmente alcun limite e/o monopolio di coloro che forniscono all’utente sistemi di Firma Elettronica Avanzata, non limitati quindi, a quell’ormai sparuto gruppo di “certificatori” italiani che si sono andati sempre più ad assottigliarsi in pratica di veri certificatori pubblici cioè coloro che esercitano professionalmente questa attività ne sono rimasti solo 4 il resto sono più che altro Banche, associazioni professionali ed enti non operativi con il pubblico. Del resto era un provvedimento già noto e sancito dall’art. 26 del CODICE DELL’AMMINISTRAZIONE DIGITALE DECRETO LEGISLATIVO 7 MARZO 2005, N. 82 che già recitava “Certificatori”.
1. L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva”

La conferma viene dall’art 6 del provvedimento appena emanato, che riporto per intero, mi sembra scopra “l’acqua calda”:

“6. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell’Unione europea e dello spazio economico europeo in conformità alle norme nazionali di recepimento della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell’Unione europea, Serie L, n. 13 del 19 gennaio 2000, è consentito di circolare liberamente nel mercato interno.”
In sostanza si possono usare uno dei prodotti di firma “sviluppati o commercializzati in uno degli Stati membri dell’Unione europea e dello spazio economico europeo”
3) Stante la liberalizzazione in senso assolutamente positivo della oramai ribattezzata, con il solito acronimo italico FEA, direi che poco c’è da dire sui tanti sistemi e supporti di conservazione della stessa, ancora una volta deve essere lasciato al senso comune di ogni individuo.

Rimane fermo il fatto: Perché tre firme invece di una?
Di fatto, nulla di nuovo sotto il sole! Per quanto attiene la firma qualificata, la stessa può essere erogata, ripeto, in Italia, da quello sparuto gruppo di “Autorità di certificazione” già citate. Ancora una volta non si capisce perché, non possa essere altresì erogata da tutti Certificatori presenti nella UE.
Ancora nulla di nuovo sulla Firma Digitale, quello che viene scritto sembra una mera spiegazione di quello che è,  come funziona.
Considerando che per ovvie ragioni, ci sarà un forte spostamento degli utenti verso la FEA (Firma Elettronica Avanzata) stante la sua più facile acquisizione, uso e conservazione, oltre alla naturale forte concorrenza di un mercato esteso oltre ai confini nazionali, direi sia utile verificare la normativa, rilevarne le mancanze e cercare di suggerire eventuali miglioramenti anche applicabili alle altre tipologia di firma.

Per prima cosa mi sembra importante essere usciti fuori con la FEA dalla ghettizzazione delle firme digitali, anche se ancora si insiste a voler concentrare l’attenzione e le regole alla UE perdendo di vista quello che è l’uso comune della comunicazione digitale, oggi basata, per chi lo voglia o no, sul mondo universale della rete. Firmare un documento, è solo l’inizio logico del ciclo vitale dello stesso, il documento infatti, va, prima o poi trasmesso/inviato a qualcuno attraverso sistemi elettronici di trasferimento dati, leggi: posta elettronica ecc.  ricevuti da qualcuno e magari archiviati in un sistema elettronico di conservazione dati.
Ghettizzare regole e sistemi legati alla sola UE mi sembra banale se non assurdo, sono anni che Internet si regola in modo egregio da sola e tutto funziona per miliardi di individui che trasmettono documenti, miliardi di volte ogni giorno. Del resto se si ha la pazienza di leggere il testo delle regole tecniche nella voce DEFINIZIONI, si vede con estrema facilità che i riferimenti sono proprio quelli dettati dalla normativa tecnica internazionale in vigore dagli albori di internet.

Ma veniamo al dunque, cosa ancora c’è da fare per far si che questo mondo digitale si dia una mossa?:

1) Come farsi rilasciare un certificato di Firma Elettronica Avanzata:
La metodologia tradizionale è quella di inviare tutta una serie di documenti alla Certification Authority od a coloro che sono da essa delegati a vendere il “Certificato di Firma Elettronica Avanzata”. Alcuni certificatori richiedono la presenza fisica presso i loro sportelli “Poste Italiane” per il rilascio del certificato di firma, con le ovvie code e perdita di tempo” detta incombenza superata già da alcuni “Certificatori Italiani”. A mio avviso è perfettamente inutile, da tempo infatti, in Italia esistono regole ben precise sull’Autocertificazione, perfettamente applicabili anche alla richiesta di un Certificato FEA: sono sancite dalla Legge 24 novembre 2000, n. 340 nonché D.P.R. n. 445/2000 in particolare l’art. 2,76 “Le norme concernenti i documenti informatici e la firma digitale, contenute nel capo II, si applicano anche nei rapporti tra privati come previsto dall’articolo 15, comma 2 della legge 15 marzo 1997, n. 59.e successivi provvedimenti e modificazioni.
Tale normativa è stata enfatizzata dal recepimento della direttiva di Budapest che ha integrato e cambiato gli art.495-bis e 640-quinquies del Codice Penale Italiano che punisce in modo pesante le false dichiarazioni al certificatore ed il certificatore stesso nel caso di sua responsabilità . Ci sono quindi, un abbondanza di norme molto severe tali da far pensare a colui che voglia commettere un falso, sicuramente l’invio in formato elettronico di copia di documenti (carta d’identità od altro) non frena colui che vuole delinquere.
La compilazione quindi di un apposito modulo on-line garantito da una connessione sicura SSL è a mio avviso più che sufficiente al rilascio della FEA.

2)Supporto sicuro
Con la FEA non esiste più la necessità che la firma sia custodita e consegnata su un supporto sicuro smart-card, chiavetta USB ed altre diavolerie del genere. Come ho detto precedentemente, la conservazione del certificato va fatta con maggiore attenzione rispetto ad un PIN, una Password, che ormai sono di uso comune. Lo stesso, infatti, altro non è che un piccolissimo file di testo, normalmente acquisito dall’utente tramite una connessine sicura ad un LINK inviato dal certificatore.

3) Implicazioni sulla PEC
Sulla PEC, ma anche sulla posta elettronica, ho scritto anche troppo un Intero libro: “LA POSTA ELETTRONICA”. Ancora una volta stante la liberalizzazione del Certificato di Firma Elettronica Avanzata non vedo perché, si debba insistere sull’uso della PEC e non sostituirla con il più pratico sistema di S-Mime che sostanzialmente include entrambe le caratteristiche. Molti sostengono che quello che manca al “sistema S-mime” è la prova della ricezione del messaggio, non voglio divulgarmi su questa polemica che va avanti da vari anni, voglio solo concentrami su alcuni inconfutabili principi:
1) Nessuno in altri paesi del mondo ha sentito il bisogno di dotarsi di un sistema Autarchico come la PEC.
2) La PEC è compatibile solo con se stessa, questo è stato sancito anche dall’ ISCOM in ITALIA e rimane scritto qui a lettere cubitali, mai smentito da nessuno
3) Se l’uso della ricevuta di presa in consegna (busta di trasporto) diverrà inconfutabile prova di ricezione del contenuto di una e-mail, è tutto ancora da dimostrare, come ho detto più volte. Vedremo sentenze che spiegheranno questo.
4) Ho dimostrato più volte, che una semplice email, se spedita anche a se stessi può costituire prova in tribunale, ovviamente nei casi di negazione di ricevuta, contestazioni dei contenuti delle e-mail e/o relativi allegati sarà il giudice a valutare liberamente, ma questi ridotti casi non giustificano un apparato come quello che si sta mettendo su che contrariamente a quanto si pensi è assolutamente costoso e sogetto ad un infinità di problematiche future.

Tweet