Roma 27, ottobre 1999 |
della Dott.ssa Claudia Ciampi |
L'Europa verso una regolamentazione delle firme elettroniche. Proposta Ce 28/07/99 relativa ad un quadro comunitario per le firme elettroniche |
|
Il 28 luglio 1999 è stata elaborata, dal Consiglio dell’Unione Europea, una proposta di Direttiva europea per un quadro comunitario delle firme elettroniche che ha modificato l’originaria proposta della Commissione sulla firma digitale. Da una prima analisi della proposta è facile riscontrare una certa affinità tra la posizione giuridica che l'Europa intende adottare e quella già presa dall'Italia in tema di regolamentazione della Firma Digitale (DPR 513/97, DPCM 08/02/99). Ciononostante le differenze non mancano e potrebbero essere tali da comportare, qualora il testo europeo non venisse modificato, la necessità di un adeguamento della normativa nazionale vigente.
Firma digitale e "Firma elettronica avanzata" In Italia è stato adottato un concetto di firma sicura (basata su una tecnologia a chiave asimmetrica) generata mediante dispositivi di firma rispondenti ai requisiti di sicurezza e robustezza previsti dai livelli E3 dei meccanismi HIGH dell'ITSEC e superiori (DPCM 08/02/99) Il Consiglio dell’Unione Europea invece adotta una posizione comune orientata verso un sistema tecnologicamente "neutro" in quanto attribuisce validità giuridica, sia alla firma elettronica intesa come un qualunque mezzo elettronico di identificazione, sia alla "Firma elettronica avanzata" ovvero una firma sicura. Il concetto Italiano di Firma digitale può essere senza dubbio ricondotto nell’ambito della definizione europea di "Firma elettronica avanzata" generata mediante un dispositivo per la creazione di una firma sicura capace di garantire che:
|
|
Allo stesso modo, uguali sono i requisiti che entrambe le firme devono soddisfare. La Firma elettronica avanzata deve essere basata su una tecnologia (art.1, comma 2, CE N. 28/1999) in grado di garantire un livello molto alto di sicurezza ed essere: connessa in maniera univoca al firmatario; idonea ad identificarlo; creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; collegata ai dati cui si riferisce; generata da un dispositivo per la creazione di una firma sicura. Al momento, guardando allo stato delle tecnologie, l'unica soluzione rispondente a tali requisiti è proprio la crittografia asimmetrica. infatti, la Firma digitale, basata sulla crittografia asimmetrica, garantisce che la firma sia (art.10, DPR 513/97 e DPCM 08/02/99): attribuita ad un solo titolare; idonea ad identificarlo; riferita in maniera univoca ad un solo soggetto o ai documenti cui è associata o apposta; generata mediante un dispositivo di firma tenuto e conservato esclusivamente dal titolare; generata da un dispositivo di firma conforme agli standard tecnologici previsti dal DPCM 08/02/99.
Certificato digitale e "Certificato qualificato" Stesse osservazioni possono essere fatte per quanto riguarda la definizione europea di "Certificato qualificato" ovvero "un attestato digitale che collega un dispositivo di verifica della firma ad una data persona ne conferma l'identità" e che contiene le seguenti informazioni:
E' inoltre prevista l'indicazione dei limiti della responsabilità del prestatore di servizi di certificazione e dell'importo limite delle transazioni per cui il certificato è valido, ove applicabili, nonché dello Stato di rilascio del certificato. Quest'ultimi campi, pur se non espressamente previsti dal DPCM 08/02/99, possono essere aggiunti senza comportare modifiche nell'elenco, non esaustivo, del dettato normativo nazionale.
Certificatori e "Prestatori di servizi di certificazione" Secondo la norma comunitaria gli "Stati membri non possono subordinare l’esercizio del servizio di certificazione ad una autorizzazione preventiva" al fine di non ostacolare lo sviluppo sia in termini di domanda che in termini di innovazione tecnologica.Lo Stato membro può invece subordinare la fornitura di servizi di certificazione di un elevato livello di sicurezza a sistemi di accreditamento volontari (si parla allora di "certificati qualificati"). In questo modo, la comunità europea non esclude la validità giuridica e la sicurezza dei certificati forniti da autorità che non hanno richiesto l’accreditamento, ed in giudizio le autorità di certificazione non accreditate dovranno (a differenza di quelle accreditate) solo dimostrare che i loro certificati offrono standard di autenticazione e sicurezza simili ai certificati qualificati. In Italia, la fornitura di servizi di certificazione è subordinata all'iscrizione del Certificatore in un apposito elenco predisposto dall’Autorità Informatica per la Pubblica Amministrazione. Si è adottata una politica in tema di sicurezza molto elevata, optando per quello che il Consiglio dell'Unione europea chiama "sistema di accreditamento volontario". I Certificatori non iscritti all’albo, a differenza di quanto invece previsto dalla norma comunitaria, non possono svolgere tale attività, e qualora la svolgano, ai certificati da loro emessi non si può attribuire alcuna validità giuridica.
Effetti giuridici delle firme elettroniche In Italia la Firma digitale, a chiave crittografica asimmetrica, generata nel rispetto del DPCM 08/02/99 è equiparata legalmente alla firma autografa ed ammessa in giudizio come prova. La Firma elettronica avanzata, a chiave crittografica e non, generata con i dispositivi atti a creare firme sicure ha, in base alla proposta europea, gli stessi effetti giuridici della Firma digitale. Sempre secondo la norma europea, poi, le firme elettroniche non basate su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, né generate da un dispositivo per la creazione di firme sicure sono solo ammesse in giudizio come prova. Ciò non trova riscontro in Italia.
Aspetti internazionali Secondo il testo comunitario, i certificati rilasciati da un Prestatore di un paese terzo sono riconosciuti giuridicamente validi in ogni Stato Membro se:
Invece, l’art. 8 del Decreto 513/1997 stabilisce che nel territorio nazionale vengono riconosciti giuridicamente validi i certificati rilasciati da certificatori, anche di Paesi Terzi, operanti in base ad una licenza od autorizzazione rilasciata da uno Stato Membro dell’Unione europea o dello spazio economico, e solo se in possesso di equivalenti requisiti. Tra questi certificatori possono essere stipulati gli accordi di certificazione previsti dal DPCM 08/02/99. I certificatori italiani possono sempre, allo stato della normativa vigente, stipulare accordi con certificatori di Paesi Terzi non accreditati da uno Stato Membro, sulla base del diritto privato internazionale. Tali accordi però, rimangono fuori dal discorso del DPCM 08/09/99.
|