Panorama della normativa italiana in materia di firma digitale

In questo contributo cercheremo di fare un panorama della normativa italiana in materia di firma digitale, in considerazione della rilevanza della tematica della sottoscrizione informatica dei documenti amministrativi informatici nell’ambito dei processi di informatizzazione della pubblica amministrazione. Tale normativa può essere reperita al sito http://www.aipa.it
In primo luogo, dobbiamo ricordare l’articolo 15, in particolare, il comma 2, della legge n. 59/1997 (cd. Bassanini-uno), contenente “Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa”, per cui “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. I criteri e le modalità di applicazione di quanto previsto, continua l’articolo 15.2 della legge 59, sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti.
Infatti, pochi mesi dopo la legge 59, è stato emanato il D.P.R. n. 513/1997, ossia il “Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59”. Il Capo II (articoli 10-19) di questo regolamento è specificamente dedicato alla “Firma digitale”. Tuttavia, anche in altre norme di questo D.P.R. sono rinvenibili importanti riferimenti alla disciplina della firma digitale: ad esempio, fondamentali definizioni sono contenute nell’articolo 1; il deposito della chiave privata è disciplinato dall’articolo 7, ecc.. L’articolo 3.1 del D.P.R. n. 513/1997 prevede, inoltre, che, con D.P.C.M., “sono fissate le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”.
Tali regole tecniche sono state emanate con il D.P.C.M. 8 febbraio 1999 dettante, appunto, “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513”. I contenuti di questo D.P.C.M. sono prettamente tecnici. Ai nostri fini, oltre ad alcune norme del Titolo I (articoli 1-13) dedicato a “Regole tecniche di base” e del Titolo II (articoli 14-51) dedicato a “Regole tecniche per la certificazione delle chiavi”, particolare rilievo assume il Titolo IV (articolo 62) dettante “Regole tecniche per le pubbliche amministrazioni”. Ricordiamo, inoltre, che il D.P.C.M. 8 febbraio 1999 stabilisce, all’articolo 16.1, che “Chiunque intenda esercitare l’attività di certificatore deve inoltrare all’Autorità per l’informatica nella Pubblica Amministrazione, secondo modalità da questa definite con apposita circolare, domanda di iscrizione nell’elenco pubblico” di cui all’articolo 8.3 del D.P.R. n. 513/1997.
Suddetta circolare è stata emanata dall’AIPA il 26 luglio 1999 (circolare n. AIPA/CR/22) e detta, come stabilito dall’articolo 16.1 del D.P.R. n. 513/1997, “Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori di cui all’articolo 8, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513”.
In base all’articolo 16.1 del D.P.C.M. 8 febbraio 1999 è stata inoltre prodotta la circolare AIPA 19 giugno 2000 (circolare n. AIPA/CR/24) dettante “Linee guida per l’interoperabilità tra i certificatori iscritti nell’elenco pubblico di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513”.
Le Autorità di certificazione, da includere nell’elenco pubblico di cui all’articolo 8.3 del D.P.R. n. 513/1997, sono indicate nella circolare n. AIPA/CR/26 del 13 luglio 2000 che contiene l “elenco delle Società individuate dall’Autorità per l’informatica nella Pubblica Amministrazione, alla data del 6 luglio 2000, ai fini dell’attività di certificazione”. L’elenco include otto certificatori che, il 26 gennaio 2001, hanno costituito a Roma l’Associazione dei Certificatori di firma digitale – Assocertificatori; sull’Assocertificatori si veda la sezione “Firma digitale” del sito http://www.interlex.it
L’AIPA ha inoltre prodotto due ulteriori atti normativi riguardanti specificamente l’informatizzazione della pubblica amministrazione. Più specificamente, in base all’articolo 18.3 del D.P.R. n. 513/1997, per cui “Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite dall’Autorità per l’informatica nella pubblica amministrazione d’intesa con l’amministrazione degli archivi di Stato”, è stata emanata la deliberazione n. 51/2000 del 23 novembre 2000 dettante, appunto, “Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni”.
Inoltre, in base all’articolo 17.2 del D.P.R. n. 513/1997, per cui con D.P.C.M. “sono disciplinate le modalità di formazione, di pubblicità e di utilizzo delle chiavi pubbliche delle pubbliche amministrazioni”, l’AIPA ha prodotto la circolare 16 febbraio 2001 (circolare n. AIPA/CR/27) dettante norme sull’ “utilizzo della firma digitale nelle Pubbliche Amministrazioni”.
Sul panorama normativo ora descritto è intervenuto, da ultimo, il D.P.R. n. 445/2000, ossia il “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”. L’articolo 77.2 del t.u. abroga una serie di norme tra cui il D.P.R. n. 513/1997. Anche le regole tecniche contenute nel D.P.C.M. 8 febbraio 1999 dovrebbero essere novellate poiché il t.u., all’articolo 8.2, fa riferimento all’emanazione di nuove regole tecniche, adeguate alla disciplina del t.u., concernenti la “formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”. Tuttavia, è probabile che i contenuti delle emanande regole tecniche non saranno molto diversi, soprattutto in materia di firma digitale, dalle regole tecniche contenute nel D.P.C.M. 8 febbraio 1999. Infatti, almeno con specifico riguardo alla problematica della firma digitale, nel passaggio dal D.P.R. n. 513/1997 al t.u. del dicembre 2000, sostanzialmente, non è cambiato nulla, salvo alcuni aggiustamenti conseguenti al riordino della materia effettuato dal t.u.. Le restanti regole tecniche, ossia le citate circolari n. AIPA/CR/22 (1999) e 24 (2000), a loro volta emanate in base al D.P.C.M. 8 febbraio 1999, potranno essere modificate dalle emanande regole tecniche ex articolo 8.2 del t.u.. Anche in questo caso, tuttavia, si ritiene che, sostanzialmente, il contenuto delle nuove regole tecniche, almeno riguardo al tema della firma digitale, non dovrebbe cambiare molto. Nessun problema pone invece la circolare n. AIPA/CR/26 (2000) in cui l’AIPA si limita ad individuare le Società di certificazione.
Il t.u. sulla documentazione amministrativa ha sicuramente riordinato la materia di cui ci occuperemo. Tuttavia, non possiamo non ricordare che, con una “lettera aperta” al Ministro per la Funzione Pubblica, Franco Bassanini, i certificatori (che dopo poco si associarono nell’Assocertificatori) affermarono che “con stupore leggiamo lo schema di Testo Unico sulla documentazione amministrativa…Il testo, nell’accorpare articoli di norme diverse, modifica radicalmente l’impianto normativo su cui erano fino ad oggi basati il documento informatico e la firma digitale, così come era stato disegnato dal DPR 513/97 e dal DPCM 8 febbraio 1999. L’abrogazione delle norme tecniche (non sostituite) e tutta una serie di modifiche…non possono non determinare gravissimi rischi…Così si vanificano i notevoli investimenti operati dalle società che hanno ottenuto l’iscrizione nell’elenco dei certificatori a norma del DPR citato…Tanto premesso, ci rivolgiamo a Lei perché intervenga con la Sua autorità per fermare l’iter del provvedimento, prima che sia troppo tardi…”. Questa lettera aperta è reperibile nella sezione “Firma digitale” del sito http://www.interlex.it Si è voluta riportare la testimonianza dei certificatori per sottolineare che, attualmente, nel panorama normativo italiano in materia di firma digitale e, in generale, relativamente alla documentazione informatica, mancano nuove regole tecniche. Tuttavia, come già rilevato, almeno rispetto alla problematica della firma digitale, considerate le poche differenze che intercorrono tra il D.P.R. n. 513/1997 e il t.u. del 2000, è probabile che le nuove regole tecniche non saranno molto diverse da quelli fino ad oggi esistenti.
Ricordiamo che il t.u. del 2000 dedica l’intera Sezione V (articoli 22-29) alla “Firma digitale”; tuttavia, come nel D.P.R. n. 513/1997, anche nel t.u. del 2000 importanti riferimenti alla disciplina della firma digitale sono contenuti in altre parti della norma.
Per completare il panorama normativo di riferimento relativo alla firma digitale, dobbiamo ricordare che, il 13 dicembre 1999, il Parlamento europeo e il Consiglio hanno emanato la direttiva 1999/93/CE “relativa ad un quadro comunitario per le firme elettroniche”. L’adeguamento della normativa italiana a questa direttiva, previsto per il 19 luglio 2001 (articolo 13.1 della direttiva), non ha ancora avuto luogo. In proposito ricordiamo che il legislatore comunitario ha previsto tre diversi dispositivi di firma elettronica, la “firma elettronica semplice”, la “firma elettronica avanzata” e la “firma sicura”, che si differenziano per il diverso livello di affidabilità e di sicurezza. Il legislatore italiano, invece, ha previsto il solo dispositivo della firma digitale che ha un elevato grado di affidabilità e di sicurezza. Tuttavia, ci si chiede se, in sede di adeguamento della normativa italiana sulla firma digitale alla direttiva comunitaria sulla firma elettronica, sia il caso di prevedere, accanto al dispositivo sicuro della firma digitale, anche dispositivi meno sicuri, in linea con l’orientamento espresso dal legislatore comunitario.