L'avvento della firma elettronica leggera

di Andrea Lisi - Dal CNIPA un po' di chiarezza su firme elettroniche leggere e pesanti: User ID e Password possono essere firma elettronica leggera. Il quadro in cui ci si muove
di Andrea Lisi - Dal CNIPA un po' di chiarezza su firme elettroniche leggere e pesanti: User ID e Password possono essere firma elettronica leggera. Il quadro in cui ci si muove


Roma – Sono state pubblicate recentemente dal CNIPA (Centro Nazionale per l’informatica della Pubblica Amministrazione) delle Linee guida per l’utilizzo della Firma digitale (documento datato maggio 2004), con le quali si è cercato di fare chiarezza circa la spinosa questione aperta più volte sulle pagine di questa Rivista, in merito al valore formale dell’e-mail e, più in generale, alla possibilità di considerare un sistema di autenticazione basato su User Id e Pw come idoneo giuridicamente a generare una firma elettronica “leggera” e, quindi, in grado di attribuire valore di “forma scritta” al documento informatico di riferimento (ai sensi e per gli effetti dell’art. 10 2° comma del TUDA e in base alla normativa comunitaria di recepimento).

Si ricordano (tra i tanti) i nostri articoli relativi a questa problematica: Legittima la registrazione alla Personal Zone? o L’email in giudizio, approfondimento o ancora Dubbi amletici di una email anonima . Questa particolare lettura delle norme era stata anche confermata da altri autori, quali F. Sarzana di Sant’Ippolito con l’articolo Firma elettronica e documenti contabili .

Ebbene il CNIPA conferma questa impostazione dottrinale, garantendo così una maggiore elasticità nella lettura delle norme in materia di documenti informatici e firme elettroniche al fine di facilitare lo sviluppo del commercio elettronico.

Secondo il documento ufficiale del CNIPA ( disponibile in formato.pdf ), che collima in pieno con quanto ci siamo sforzati di riferire durante questi mesi, “a partire dal 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al documento informatico e alla firma digitale. La pubblicazione della Direttiva Europea 1999/93/CE (Directive 1999/93/EC of the European Parliament and of the Council on a common framework for electronic signatures), nel gennaio del 2000, ha dato ulteriori impulsi al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. Il processo legislativo ha anche fornito delle indicazioni sulle tecnologie da impiegare per ottenere delle firme digitali che possano ritenersi equivalenti a quelle autografe.

La struttura normativa dettata dal legislatore comunitario ha introdotto differenti sottoscrizioni o, più correttamente, differenti livelli di sottoscrizione. Nel linguaggio corrente, quindi, hanno iniziato a essere utilizzati i termini firma “debole” o “leggera” e firma “forte” o “pesante”. (?)

Dal punto di vista tecnico e realizzativo è ben definita la firma “forte”, ovvero quella che il legislatore definisce firma digitale. Essa è basata su un sistema a chiavi crittografiche asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza che in genere è una smart card.
L’altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in minima parte a quanto appena descritto (?) è una firma “leggera”.

Ovviamente l’efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di giudizio in base a caratteristiche oggettive di qualità e sicurezza (…). Concludendo, possiamo dire che nell’utilizzo del documento informatico, quando si ha la necessità di una sottoscrizione equivalente a quella autografa è indispensabile utilizzare la firma digitale.

Negli altri casi possiamo tranquillamente affermare che più che di un processo di firma si tratta di un processo di autenticazione con minori requisiti di sicurezza e quindi con una minore efficacia probatoria”. Ma soprattutto, successivamente, nel paragrafo intitolato “La firma digitale e la direttiva europea sulle firme elettroniche” (pag. 9), si specifica: “La firma elettronica (generica) può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici”.

Secondo questa lettura della normativa, indicata ufficialmente dal CNIPA nelle Linee Guida, si potrebbero considerare idonei strumenti di autenticazione in grado di attribuire “forma scritta” ai documenti informatici di riferimento, anche se liberamente valutabili dal giudice dal punto di vista probatorio:
– gli accessi in un’area riservata di un sito web al fine di autenticare tutte le future transazioni da effettuare on line
– le e-mail
– la spedizione telematica delle dichiarazioni dei redditi (ENTRATEL del Ministero dell’Economia);
– l’operazione di attestazione nel progetto CRS-SISS della Regione Lombardia;
– alcune sottoscrizioni che avvengono senza smart card nei processi di e-banking etc. (?)

In verità, le nostre considerazioni erano state già confermate dalle parole dell’Ing. Giovanni Manca, responsabile funzione certificazione CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione): infatti, nel modulo di e-learning sulla firma digitale presente sul sito del CNIPA, (modulo IX del 27.3.2003 – Minuto 8′ – il link è http://applicazioni.cnipa.gov.it/formazione-firmadig/cnipa_corsi.html -), dopo aver dato la definizione di firma elettronica cd. leggera, mutuandola dal D.Lgs. 10/2002, l’Ing. Giovanni Manca aggiunge:… “stiamo parlando anche dello user name e della password che ci consentono di accedere al nostro sistema di posta elettronica. Quindi, INVIARE UNA MAIL AD UN DESTINATARIO E’ UNA FIRMA ELETTRONICA, ovviamente relativa ai dati contenuti in quel messaggio di posta elettronica…”.

D’altronde che a livello comunitario ci sia un acceso dibattito in merito al valore formale da attribuire anche alle semplici e-mail e soprattutto in merito all’esatto significato da attribuire alla definizione di “electronic signature” è confermato dallo stesso corposo studio commissionato dalla Commissione all’Università di Leuven (e presieduto dal Prof. Dumortier) “The Legal and Market Aspects of Electronic Signatures” . Alle pagine 63 e segg. dell’interessante documento sono ben evidenziate le differenti impostazioni legislative dei vari stati europei in merito al recepimento della definizione di “firma elettronica” contenuta nell’art.2.1 della direttiva 1999/93/CE: The Directive defines “electronic signature” as data in electronic form wich are attached to or logically associated with other electronic data and wich serve as a method of authentication.

Insomma, piaccia o non piaccia, uno User Id e una Pw se associati ad altri dati elettronici, ai fini di una autenticazione informatica, possono essere considerati firma elettronica leggera secondo l’attuale normativa vigente in Italia!

avv. Andrea Lisi

Avvocato in Lecce, Studio Legale Lisi . Titolare, con il dr. Davide Diurisi, dello Studio associato D.&L. , consulenza ICT&International Trade. Curatore del portale www.scint.it . Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Direttore Scientifico del Corso di Alta Formazione in Diritto & Economia del Commercio Elettronico Internazionale e docente in Master universitari dedicati al diritto delle nuove tecnologie.

dello stesso autore:
Privacy e notificazioni, come fare?
Documento informatico in cerca d’identità

Link copiato negli appunti

Ti potrebbe interessare

08 06 2004
Link copiato negli appunti