La firma elettronica parte con difficoltà

di
Laura Turini

Per anni si è discusso sulla possibilità di attribuire valore giuridico ai documenti informatici, ma solo negli ultimi tempi con il capillare diffondersi di Internet e delle reti telematiche, la teoria è diventata un’esigenza pratica.

A livello comunitario si è giunti così all’approvazione della proposta di direttiva Com(98)0297 relativa alle regole comuni sulle firme elettroniche anche se solo recentemente e dopo un iter molto travagliato che nell’ottobre scorso ha visto alcuni Stati, tra cui l’Italia, provocare un rinvio dell’esame della questione a causa della sfiducia sulle garanzie di sicurezza previste dall’Europa.

Il nostro Paese, in realtà, aveva già varato una normativa di base sul documento elettronico che trova la sua espressione nel Dpr 513/97 con il quale si è di fatto equiparato detto documento al documento cartaceo stabilendo che ogni documento informatico prodotto secondo i dettami delle Regole tecniche "soddisfa il requisito legale della forma scritta" e che se su tale documento è apposta una firma digitale "ha efficacia di scrittura privata ai sensi dell’articolo 2702 del Codice civile". Lo stesso Dpr aggiunge poi che "i contratti stipulati con strumenti informatici o per via telematica mediante l’uso della firma digitale secondo le disposizioni del presente regolamento, sono validi e rilevanti a tutti gli effetti di legge" (articolo 11) e che a essi si applica la normativa del decreto legislativo 50/92 sulle vendite a distanza, mentre quanto al tempo del perfezionamento si prevede che il documento è considerato formato e trasmesso nel momento in cui è "inviato o pervenuto al destinatario se trasmesso all’indirizzo elettronico da questi dichiarato" (articolo 12) potendo essere validamente opposti ai terzi sia la data che l’ora di formazione o trasmissione.

La portata innovativa della normativa in questione è stata ed è considerevole, ma mancava alla sua concreta attuazione la definizione delle regole tecniche per l’apposizione della firma digitale destinata a sostituire e a equiparare la sottoscrizione di pugno su una scrittura privata, potendo essere al pari di questa anche autenticata da parte di un notaio o altro pubblico ufficiale specificatamente autorizzato.

Il vuoto normativo è stato sanato con il decreto del presidente del Consiglio dell’8 febbraio 1999 che ha fissato le regole tecniche per la formazione di un documento informatico valido a ogni effetto e in particolare ha stabilito in quale modo, ai sensi dell’articolo 3, sia possibile formare, trasmettere, conservare, duplicare, riprodurre e validare i documenti informatici. La "firma digitale" consiste nell’apporre a un documento un sistema di criptatura che lo rende illeggibile da parte dei terzi. Il legislatore ha optato per un sistema a doppia chiave asimmetrica con il quale, per criptare il documento, si adopera una "chiave privata" che resta di proprietà e di esclusiva conoscenza del titolare, mentre successivamente, per procedere alla sua lettura, ci si avvale di una "chiave pubblica" che tutti conoscono ma che si riferisce sempre in modo univoco al titolare. La generazione della firma elettronica deve avvenire attraverso un "dispositivo di firma", ovvero con un "apparato" esterno rispetto al computer tramite il quale si ottiene il procedimento che abbiamo appena descritto. Cosa sia esattamente questo dispositivo non è dato rilevare dalla lettura della norma, ma si può ipotizzare che si tratti di un chip o una scheda programmata per la generazione di una coppia di chiavi tramite le quali criptare il documento che si vuole creare e trasmettere.

Nel momento in cui l’utente "firma" il documento elettronico con la chiave privata, che viene attivata attraverso l’inserimento di una password, deve allegare anche un certificato relativo alla chiave pubblica, in modo che il destinatario possa avere gli strumenti per decifrare il contenuto del messaggio e al tempo stesso essere certo che quel documento provenga effettivamente da un certo mittente in quanto, se così non fosse, l’applicazione della chiave pubblica non determinerebbe la decifrazione del testo. Detto "certificato" deve essere prodotto da una Certification authority che garantisce la corrispondenza tra chiave pubblica e soggetto che forma l’atto, in modo che il destinatario non possa avere dubbi sulla sua provenienza.

La disciplina prevista nel recente decreto presenta alcune pesantezze che forse ne rallenteranno l’attuazione pratica. Da un lato il fatto che l’Authority per la certificazione delle chiavi debba essere una società per azioni di elevato capitale e sottoposta a particolari controlli, impedisce una diffusione di massa delle transazioni come si sarebbe potuta avere se si fosse scelta un’altra soluzione anche senza volere giungere ad affidarsi al controllo orizzontale già largamente diffuso in rete. Dall’altro la necessità di dovere installare un non bene precisato dispositivo di firma separato dalla macchina e corrispondente a tutta una serie di caratteristiche tecniche potrà recare problemi a molti utenti.

Nonostante questo, la normativa apre indubbiamente nuove prospettive di sviluppo al commercio elettronico per il cui decollo si attende che venga presto varata una regolamentazione dei pagamenti informatici che sono la parte essenziale e più preoccupante di ogni transazione. Certo è che al di là delle previsioni normative ciò che maggiormente interessa ai mercati è la sicurezza nella trasmissione dei dati e delle informazioni sulle quali in molti tentano di mettere le mani con mezzi legali e non. Non a caso proprio mentre gli Stati si impegnano a convalidare gli strumenti telematici per la formazione dei documenti e anche se in questo la normativa italiana è stata lungimirante stabilendo che la lunghezza minima delle chiavi deve essere di 1.024 bit, ad allarmare gli operatori giunge da Tel Aviv la notizia che Adi Shamir, ingegnere di una delle maggiori società di criptazione, sta sviluppando un’apparecchiatura in grado di decifrare tutti i tipi di codici a chiave fino a 512 bit, ovvero la maggior parte dei codici fino a ora utilizzati. Come a ricordare che la legge deve correre velocemente dietro alla tecnologia e che la sicurezza nella multimedialità e nell’informatica è un concetto in fieri che rende inevitabilmente provvisori i parametri che la definiscono.