La Firma Elettronica avanzata è una realtà. Le nuove Regole Tecniche al debutto
Quando niente, quando tutto. L’attesa per il salto definitivo al digitale sembra divenire una realtà non solo nei rapporti con la pubblica amministrazione. Sono due i Decreti pubblicati a maggio che percorrono questa via. Il primo riguarda la fatturazione elettronica, si tratta del Decreto 3 aprile 2013, n. 55 ovvero il “Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche” ai sensi dell´articolo 1, commi da 209 a 213, della legge 24 dicembre 2007, n. 244” (pubblicato in Gazzetta Ufficiale il 22 maggio 2013).
Il secondo, che approfondiremo, è il DPCM del 22 febbraio 2013 (pubblicato in Gazzetta ufficiale il 21 maggio 2013) che stabilisce le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”. I due decreti troveranno piena applicazione a giorni e cioè rispettivamente il 5 e il 6 giugno prossimi.
Dopo anni di incertezza e di “slalom” tra norme e regolamenti mai definitivi, un punto fermo occorreva davvero.
La novità: Firma elettronica avanzata, debutto normativo
Nel nuovo Regolamento sulle firme elettroniche, la novità principale riguarda soprattutto la cosiddetta Firma Elettronica Avanzata (FEA). Fino ad oggi, sebbene fossero in cantiere le soluzioni pensate dagli operatori tecnologici per il suo utilizzo, non era mai stata regolamentata. Un vuoto costato – nel migliore dei casi – l’impossibilità per gli stessi operatori di essere competitivi su un mercato molto promettente.
Una delle tecnologie più sperimentate è senza dubbio quella della firma grafometrica. Di questa si è interessata anche l’Autorità per la protezione dei dati personali ammettendo la possibilità di un suo uso, in attesa delle regole tecniche, quale forma alternativa all’identificazione e/o autenticazione informatica.
Dal nuovo contesto normativo ciò che dapprima risalta è che la firma elettronica avanzata punta più degli altri tipi di firma a valorizzare il processo che conduce alla sua generazione. Che non è legato alla gestione di un dispositivo sicuro ma al rispetto del canone ineludibile del “controllo esclusivo del sistema di generazione della firma” (ex art. 56, comma 1, lett. c), del Decreto in argomento) da parte di colui che viene identificato come firmatario e non, appunto, come titolare del dispositivo di firma. In questo caso la soluzione tecnologica è rimessa in gran parte all’ente terzo che rilascia i certificati di firma. Sul punto, invece, l’art. 55, comma 1 del decreto, stabilisce che “la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva”.
Quanto sopra solo per dare il senso della portata innovatrice delle regole tecniche tanto attese.
Il mercato sarà per lo più libero di attuare le proprie scelte. Anche se è previsto che l’Agenzia per l’Italia digitale, al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, elabori linee guida sulla base delle quali realizzare quelle conformi alle regole tecniche.
In ogni caso, il regime di libertà consentito al mercato non è assoluto poiché le soluzioni di FEA devono rispettare alcune caratteristiche inderogabili. Che si atteggiano in particolare nei requisiti di sicurezza a garanzia della soluzione e di chi ne fa uso come in quelli di immodificabilità e di inalterabilità del documento sottoscritto e la sua autenticità e l’univoca connessione della firma e del documento al firmatario.
Un processo, dunque, che si propone specifici obiettivi: la firma è applicabile “nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali” e, se conforme alle caratteristiche specificate nell’art. 56, comma 1, del decreto), è pronta a produrre i suoi effetti, tra tutti quelli di cui all’art. 2702 c.c., con esclusione solo di quelli legati agli atti compiuti secondo l’art. 1350 c.c.
Il decreto conferisce un significato all’identificazione certa del firmatario. Questo implica un trattamento dei dati dell’interessato che ben si discosta dalla firma che molti, quotidianamente, appongono su un tablet o simili ritirando una raccomandata o un pacco da corriere espresso.
Per l’“identificazione del firmatario del documento” (art. 56, comma 1) occorre che venga, ad esempio, raccolta e conservata una copia di un documento di identità valido del firmatario stesso. Questo non solo implica che all’interessato vengano fornita adeguata informativa in merito, ma anche che venga sottoscritta l’accettazione delle condizioni del servizio stesso e che, tale documentazione, venga conservata in modo corretto secondo la normativa vigente. Senza l’accettazione preventiva da parte del firmatario (vincolo che non grava sulla Pubblica Amministrazione), non può esservi firma elettronica avanzata valida, o forse addirittura non può esserci firma elettronica avanzata.
Il documento raccolto dovrà, inoltre, essere conservato per 20 anni. Il firmatario avrà sempre diritto di richiedere una copia – gratuita – della dichiarazione sottoscritta e delle informazioni rilasciate secondo modalità note e chiare pubblicate anche sul sito Internet del soggetto che eroga la soluzione FEA. Altrettanto, devono essere pubblicate “le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1”, così come “le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto”. Risulta già evidente come la FEA non possa essere introdotta senza una gestione del processo che la riguarda più che adeguata. Un processo che, secondo le intenzioni del decreto, dovrebbe anche passare, per una più che opportuna, certificazione o per la conformità a standard di sicurezza già ampiamente sperimentate (tale ultimo obbligo sussiste allorchè l’erogazione della soluzione sia a favore della PA).
E’ già dovuta invece la garanzia di una copertura assicurativa per chi eroga soluzioni FEA, e il Regolamento specifica che dovrà essere erogata “da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila”. Fanno eccezione le persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni.
La sicurezza da garantire alla soluzione Fea erogata o erogabile passa anche per la normativa del Codice Privacy. Si pensi, per esempio, a quei sistemi di generazione della firma (come la grafometrica) che coinvolgono dati cc.dd. biometrici il cui uso, votato alla proporzionalità, pertinenza e necessità, deve superare il vaglio della sicurezza dovuta per legge e confermata dall’Autorità per la protezione dei dati personali.