Foto di Sam Bald rilasciata sotto licenz acc - https://www.flickr.com/photos/28931095@N03/3610233414

Cad, una nuova firma elettronica? Manca (Anorc): “Con norma comunitaria avevamo già la FEA”

di Giovanni Manca, presidente ANORC – Cantiere Documenti digitali

 

Lo schema di decreto correttivo al Codice dell’amministrazione digitale (CAD) che recentemente è stato approvato in analisi preliminare dal Consiglio dei Ministri stabilisce alcune modifiche significative alle fattispecie di sottoscrizioni informatiche già presenti nell’ordinamento comunitario e in quello nazionale.

In particolare viene modificato l’articolo 20, con una completa nuova formulazione per il comma 1-bis. Il testo è riportato, per comodità di seguito:

1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di qualità, sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle linee guida di cui all’articolo 71.

In questa sede ci soffermiamo sulla nuova fattispecie di sottoscrizione informatica che scaturisce da quanto segue:

Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando … è formato, previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, l’integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore

Dall’analisi del testo notiamo subito che il documento informatico quando viene liberamente valutato in giudizio deve avere caratteristiche di qualità, che non deve invece avere quando è formato “previa identificazione del suo autore”. Si ritiene che questa differenza sia dovuta ad una svista.

Altro elemento importante è lo spostamento dei principi del vigente articolo 64, comma 2-septies del CAD (che viene ovviamente abrogato) all’interno del citato articolo 20, comma 1-bis.

Proseguiamo la nostra analisi considerando che AgID nel definire i requisiti per garantire la sicurezza, integrità e immodificabilità del documento (e presumibilmente anche la qualità) non avrà ragionevoli possibilità di proporre meccanismi crittografici e funzioni per il calcolo dell’impronta dei documenti (funzioni di hash) differenti da quelli che stabilisce la Commissione europea per la firma elettronica avanzata – FEA (Decisione 2015/1506). Naturalmente le regole per la FEA stabilite nel Titolo V del DPCM 22 febbraio 2013 sono di carattere più generale, e come tali non garantiscono interoperabilità delle soluzioni, perché non stabiliscono formati per la rappresentazione dei dati.

Certamente AgID per regolamentare la “previa identificazione dell’autore” non può prescindere dallo stabilire che questa avvenga tramite le credenziali rilasciate da un gestore dell’identità accreditato nel Sistema Pubblico per la gestione dell’Identità Digitale (SPID). Il dubbio da sciogliere sarà se è sufficiente il Livello II o è necessario il Livello III (che come è noto comprende il Livello II in termini di gerarchia dei Livelli di sicurezza).

Per completezza, prima di qualche considerazione finale, si precisa che il documento informatico formato tramite l’identificazione affidabile dell’autore è valido anche ai sensi dell’articolo 1350, numero 13 del Codice civile.

In base a quanto esposto, pur comprendendo la volontà del legislatore di ampliare l’utilizzo di SPID, non è chiaro perché non si ritiene di agire nell’ambito della FEA. Questa è l’occasione per aggiornare le regole tecniche (che diventano linee guida) del DPCM 22 febbraio 2013 e, ad esempio, riportare al senso dell’interoperabilità l’articolo 60 di questo decreto che oggi è una inutile limitazione d’uso per la FEA.

Certamente lo sviluppo dell’autenticazione con effetto giuridico è una buona idea. Ad essa si associa il concetto di validità di un documento informatico sviluppato all’interno di un sistema pre definito e un modello di riferimenti al documento piuttosto che il documento stesso come per esempio nei pagamenti elettronici dove si utilizzano identificatori.

Per realizzare ciò non è indispensabile introdurre un ulteriore, specifico, processo di formazione del documento in quanto già la FEA consente di ottenere gli stessi risultati e questa nuova fattispecie in sede di linee guida non potrà che produrre una specifica tecnologica riconducibile alla FEA.

 

Foto di Sam Bald rilasciata sotto licenza cc – https://www.flickr.com/photos/28931095@N03/3610233414