Deve essere davvero un periodo propizio questo per la digitalizzazione documentale. Nel giro di due giorni sono stati pubblicati ben due decreti che si attendevano da tanto tempo. Infatti, è stato finalmente pubblicato in Gazzetta Ufficiale ( n. 117 del 21.05.2013 ) il d.p.c.m. del 22 febbraio 2013 riportante il testo definitivo delle nuove “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”. Ieri invece è stato pubblicato il secondo e ultimo decreto sulla fatturazione elettronica per le PA in Italia (Decreto 3 aprile 2013, n. 55 Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche ai sensi dell’articolo 1, commi da 209 a 213, della legge 24 dicembre 2007, n. 244 – GU n. 118 del 22.5.2013 ). Decreto, quest’ultimo, che entrerà in vigore a partire dal 6 giugno in maniera graduale verso le PA e che si attendeva da anni.
Ma concentriamoci adesso sulle nuove regole tecniche in materia di firme elettroniche! Infatti, da troppo tempo si era in speranzosa attesa della pubblicazione di questo importante provvedimento: essendo state apportate rilevanti modifiche alla disciplina delle firme elettroniche con il d.lgs. n. 235 del 2010, era parallelamente sorta, infatti, la necessità di sostituire le precedenti regole tecniche contenute nel d.p.c.m. del 30 marzo 2009.
Sul sito www.digitpa.gov.it era già disponibile da tempo una bozza delle regole tecniche, il cui testo, a conti fatti, non differisce in modo rilevante rispetto a quello definitivo pubblicato in Gazzetta Ufficiale. La pubblicazione delle regole era auspicata da tutti gli operatori del settore anche perché, in assenza di specifiche regole tecniche definitivamente approvate, numerosi progetti di firma elettronica avanzata sono andati incontro, nei mesi scorsi, a una forzata impasse. Inoltre, giusto pochi mesi fa si è verificato un altro caso increscioso, anch’esso legato all’incertezza generata dalla mancanza di regole tecniche definitive sulle firme: l’Autorità Garante della concorrenza e del mercato ha condannato una piccola società che offriva sul mercato soluzioni di firma elettronica pubblicizzandole come FEA (firma elettronica avanzata), “osando” perciò parlare di FEA prima della pubblicazione delle regole tecniche.
Ora che le nuove regole tecniche sono state ufficialmente pubblicate, saranno tante le implicazioni pratiche, sia per gli operatori del settore sia per i privati, sia per le imprese come per le pubbliche amministrazioni.
Tra le novità più rilevanti contenute in queste nuove regole tecniche sono da porre in risalto quelle relative alla FEA. A tal riguardo la definizione riportata nel CAD ( art. 1, lettera q-bis ), e introdotta dal d.lgs. n. 235/2010 , qualifica la firma elettronica avanzata quale insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati .
Le regole tecniche sulla FEA, dettate agli artt. 55 e ss. del d.p.c.m. , stabiliscono ora che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. I soggetti che erogano sistemi di firma elettronica avanzata, quindi, non sono obbligati ad alcuna registrazione e questo dimostra la volontà di liberalizzare le tipologie di firma avanzata, non vincolandole a un certificato qualificato o ad un dispositivo sicuro, come invece richiesto per le firme elettroniche qualificate e per quelle digitali, entrambe species del genere firma elettronica avanzata .
Si tratta, quindi, di introdurre delle vere e proprie procedure che permetteranno di legare un soggetto ad un documento così come già avviene con le firme digitali e le firme qualificate, con la differenza, però, che la tecnologia utilizzabile potrà essere scelta liberamente dalla parte che dispone dell’utilizzo della firma. È utile ricordare in proposito che secondo la normativa italiana la firma elettronica avanzata non è legata ad un determinato software, né ad una determinata tecnologia, ma è un sistema neutro che, attraverso un modello organizzativo adeguato, viene reso sicuro e affidabile, e che garantisca così l’appartenenza di un documento informatico reso immodificabile ad un soggetto.
Libertà tecnologica, certo, ma a patto, quindi, che si garantisca comunque la qualità, la sicurezza, l’integrità, e l’immodificabilità del documento sottoscritto con FEA.
Probabilmente, proprio per controbilanciare questa “eccessiva libertà di mercato”, il nostro legislatore ha pensato, in un’ottica di tutela del sottoscrittore, di vincolare maggiormente le soluzioni di FEA sia dal punto di vista organizzativo sia nell’efficacia giuridica che, infatti, è limitata ai soli rapporti intercorrenti tra il soggetto che dispone della FEA e il sottoscrittore che ne ha preventivamente accettato le condizioni di utilizzo. Tale stringente vincolo, però, non vale per la PA che, al contrario, potrà utilizzare la FEA sia nelle attività endoprocedimentali (così come già previsto dal secondo comma dell’ art. 23 ter del CAD ) che nei rapporti con i cittadini.
Al fine di garantire l’affidabilità delle soluzioni di firma elettronica avanzata è anche previsto, all’ art. 59 delle nuove regole tecniche, che i soggetti proponenti soluzioni di firma possano richiedere la certificazione a una terza parte indipendente – autorizzata allo scopo secondo le norme vigenti in materia – per mettere in evidenza la conformità del proprio sistema di gestione per la sicurezza delle informazioni alla norma ISO/IEC 27001, a supporto della soluzione di firma elettronica avanzata proposta.
Via libera, quindi alle soluzioni di FEA, anche a quelle, espressamente previste dalla normativa, che utilizzano nei loro processi dati biometrici. Impossibile non pensare alle soluzioni di firma grafometrica che già da vari mesi si affacciano affannosamente sul mercato.
Le nuove regole tecniche non parlano, ovviamente, solo di FEA, ma si occupano anche di firma digitale, dei nuovi oneri a carico dei certificatori accreditati (che avranno 120 giorni di tempo per adeguarsi) e di validazione temporale.
Tra le novità più interessanti (non molte in verità) in tema di firma digitale si deve registrare una precisa regolamentazione delle firme automatiche e delle firme remote. Le nuove regole tecniche, infatti, stabiliscono che le firme remote possano, oggi più di prima, essere realizzate mediante l’utilizzo di HSM installati sia presso i certificatori sia presso terzi: questi ultimi, però, dovranno rispettare tutte le procedure operative e gestionali e tutte le prescrizioni in materia di sicurezza fisica e logica dei sistemi imposte dal certificatore che rilascerà i certificati di firma residenti negli HSM.
Andrea Lisi
Luigi Foglia
Digital&Law Department – Studio Legale Lisi