Con l’art. 15, 2°comma della legge n.59 del 13/03/1997, che ha introdotto nel nostro ordinamento il principio della validità giuridica dei documenti informatici sia nel settore privato sia in quello pubblico, e con il D.P.R. n.513 del 10/11/1997, di attuazione della stessa, che contiene il regolamento sulla cd. firma digitale, il quadro normativo dei trasferimenti elettronici di fondi, che altro non sono se non documenti informatici, può dirsi oramai completo.

Il negozio giuridico, alla base di ogni EFT, potrà nascere, essere trasferito e firmato interamente in modo elettronico.

Con questa norma l’Italia si pone come il primo tra i Paesi dell’Unione Europea ha regolamentare la materia in termini generali e con riferimento ai settori pubblici e privati, avviandosi ad una effettiva transizione verso la società dell’informazione considerando validi e rilevanti tutte quelle attività relative giuridicamente: al commercio on-line; alla banca virtuale; al telelavoro; alla burotica pubblica.

Per l’attuazione del regolamento (criteri e modalità di applicazione) però si dovrà attendere l’emanazione, con decreto del Presidente del Consiglio dei Ministri, delle cd. regole tecniche, attualmente in fase di stesura.

Tutto ciò assume una notevole importanza anche alla luce di quanto è accaduto pochi mesi fà, esattamente il 1 luglio 1998 a Washington, dove Bill Clinton ha riempito e firmato il primo assegno virtuale, creato dal ministero del Tesoro, con una smart-card e lo ha inviato sotto forma di e-mail alla Gte (compagnia telefonica americana che ha recentemente ammodernato la rete di comunicazione del dipartimento della difesa).

Questa lo ha girato utilizzando la propria firma elettronica e l’ha subito inviato ai computer della BankBoston, che grazie ad un lettore di smart-card ha verificato l’autenticità delle firme ed accreditato il pagamento.

L’assegno da Washington ha impiegato appena 20 secondi per raggiungere il destinatario in Texas, passando prima per l’Africa e l’Europa, e la velocità non ha compromesso la sicurezza della transazione avendo il chip, contenuto nella smart-card, creato una firma digitale unica ed irriproducibile.

Le fonti normative del regolamento (D.P.R. n.513 del 10/11/1997) sono:

• La legge 400/88 art. 17, 2° comma, per quanto riguarda la tipologia del regolamento.
• La legge 59/97 art. 15, 2° comma, che si pone come fonte primaria avendo introdotto il principio della validità e della rilevanza giuridica dei documenti informatici;
• Il decreto n. 39/93 art. 3, 1° e 2° comma, che ha introdotto il principio della validità degli atti amministrativi prodotti con mezzi elettronici, ed il principio della sostituibilità della firma autografa con quella elettronica.

Individuate le fonti normative del regolamento occorre fare alcune osservazioni:

1. il D.L. 39/93 riguarda solo la Pubblica Amministrazione (P.A.), mentre l’art. 15, 2° comma della legge 59/97 riguarda anche il settore privato;
2. la norma contenuta nell’art. 3, 1° comma del D.L. 39/93 è rimasta inapplicata nel settore pubblico poichè interpretata in senso restrittivo e tecnologico. Infatti, con la formula "atti...predisposti tramite sistemi informativi automatizzati", si è creduto ci si dovesse riferire solo all’attività strumentale posta in essere ("predisposti") e non al fatto che gli atti potessero essere formati direttamente tramite processi e strumenti automatizzati;
3. il dettato dell’art.3, 2° comma del D.L. 39/93, anch’esso rimasto inapplicato, si presenta poco chiaro. La sostituzione della firma autografa infatti sarebbe stata effettuata con un "indicazione a stampa" nel documento prodotto dal sistema automatizzato. Dal testo non si evince che si tratta di firma digitale ma si evince che è un’indicazione a stampa e che il supporto è un documento cartaceo prodotto dal sistema automatizzato.

La difficoltà interpretativa del testo dell’art.3 del D.L. 39/93, ha portato a due conseguenze: da un lato i sistemi procedimentali, procedurali, e documentali della P.A. sono ancora due e speculari, uno di tipo cartaceo e/o manuale, uno di tipo elettronico; dall’altro la firma digitale non ha sostituito quella autografa per la validità degli atti.

Il regolamento 513/97, strutturalmente si presenta composto di 22 articoli divisi in tre Capi (Principi generali; Firma digitale; Norme di attuazione) così articolati: dall’art.1 all’art.6, le normative riguardano sia il settore pubblico che il settore privato; dall’art.7 all’art.16, si entra maggiormente nel merito dell’uso della firma digitale soprattutto per il settore privato; dall’art.17 all’art.19 si dettano normative specifiche per la pubblica amministrazione; infine gli art.20-21-22 si presentano come norme di chiusura.

Un’analisi attenta dello stesso, mette in luce come il legislatore non abbia inteso innovare in tema di principi, preferendo rifarsi a norme, già esistenti, del diritto comune.

Infatti, l’ossatura del regolamento sostanzialmente poggia su alcuni articoli del codice civile:

• art.2702 c.c. ("Efficacia della scrittura privata"), per l’efficacia probatoria del documento informatico "sottoscritto con la firma digitale" (art.5, 1°c) ;
• art.2712 c.c. ("Riproduzioni meccaniche"), per l’efficacia probatoria del documento informatico senza l’apposizione della suddetta firma (art.5, 2°c) ;
• art.2714 ("Libri obbligatori e altre scritture contabili") e 2715 c.c. ("Libro giornale e libro degli inventari"), per l’efficacia probatoria dei "documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi atti e documenti amministrativi di ogni tipo, spediti o rilasciati da depositari pubblici autorizzati e dai pubblici ufficiali" (art.6, 2°c);
• art.605 c.c. ("Formalità del testamento segreto"), per le modalità di un eventuale deposito in forma segreta della chiave privata presso un notaio od un pubblico depositario autorizzato (art.7, 3°c);
• art.2073 c.c. ("Sottoscrizione autenticata"), per quanto attiene il riconoscimento giuridico della firma digitale "la cui apposizione è stata autenticata dal notaio o da altro pubblico ufficiale autorizzato".

Nuove invece appaiono le definizioni, contenute nell’art.1, la cui stesura nel regolamento rende la tecnica legislativa adottata molto efficace, assicurando un‘omogeneità concettuale e semantica a tutto il testo, e che riguardano:

• documento informatico;
• firma digitale;
• sistema di validazione;
• chiavi asimmetriche;
• chiave privata;
• chiave pubblica;
• chiave biometrica;
• certificazione;
• validazione temporale;
• indirizzo elettronico;
• certificatore;
• revoca del certificato;
• sospensione del certificato;
• validità del certificato;
• regole tecniche.

"Chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura", al fine di apporre sul documento informatico la propria firma digitale, con l’effetto di rendere quel documento valido e rilevante a tutti gli effetti di legge, di rendere altresì valida la sua archiviazione e trasmissione con strumenti informatici, "deve munirsi di un’idonea coppia di chiavi e rendere pubblica una di esse mediante la procedura di certificazione" (art.8).

Le attività di certificazione sono effettuate da "certificatori" inclusi in un apposito elenco pubblico, consultabile in via telematica, predisposto, tenuto ed aggiornato a cura dell’AIPA.

Il certificatore, figura nuova dell’ordinamento, deve possedere alcuni importanti requisiti al fine di poter svolgere tale attività (art.8, 3°c):

1. forma di S.p.A., con capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione all’attività bancaria (circa 12 miliardi);
2. possesso, da parte dei rappresentanti legali e dei soggetti preposti all’amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche (i certificatori sono responsabili di provvedere ad un personale capace);
3. affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attività di certificazione siano in grado di rispettare le norme del presente regolamento e le regole tecniche di cui all'articolo 3;
4. qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale.

La procedura di certificazione può oltremodo essere svolta anche da un certificatore operante sulla base di licenza o autorizzazione rilasciata da altro Stato membro dell’Unione europea e dello Spazio economico europeo sulla base di equivalenti requisiti.

Sempre il certificatore, nello svolgimento della sua attività, è tenuto poi al rispetto di alcuni obblighi (art.9):

1. identificare con certezza la persona che fa richiesta della certificazione;
2. rilasciare e rendere pubblico il certificato avente le caratteristiche fissate con il decreto di cui all'articolo 3;
3. specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la
4. sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite;
5. attenersi alle regole tecniche di cui all'articolo 3;
6. informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi;
7. attenersi alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;
8. non rendersi depositario di chiavi private;
9. procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;
10. dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche;
11. dare immediata comunicazione all'Autorità per l'informatica nella pubblica amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attività e della conseguente rilevazione della documentazione da parte di altro certificatore o del suo annullamento.

Da parte sua anche l’utente è tenuto ad attenersi ad alcuni obblighi nell’utilizzo della firma digitale, dovendo adottare tutte le misure organizzative e tecniche (naturalmente quelle a cui si riferisce l’art.3, e che quindi saranno emanate con il D.P.C.M.) idonee ad evitare danno ad altri. Si configura per l’utente una sorta di responsabilità aquiliana ex. art. 2043 c.c.

Con il regolamento 513/97, e soprattutto dopo l’emanazione delle regole tecniche di attuazione dello stesso, nel settore pubblico si verificherà una vera e propria rivoluzione copernicana, che porterà all’eliminazione delle certificazioni e ad uno snellimento effettivo dei procedimenti in base a quanto era stato stabilito dalla L.241/90, rimasta inattuata.

Per la P.A. abbiamo visto come valgano gli stessi principi del settore privato per quel che attiene l’efficacia probatoria del documento informatico; mentre per quanto riguarda la generazione, la conservazione, la certificazione e l’utilizzo delle chiavi pubbliche di competenza la P.A. provvede autonomamente con riferimento al proprio ordinamento interno, producendo quindi da sè il certificato senza bisogno del certificatore.

Il regolamento innova in modo radicale il sistema di produzione e gestione dei dati, degli atti e dei documenti nelle P.A.

Il principio è che i documenti informatici delle P.A. costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge (art.18), tutto il sistema procedurale e documentale deve essere trasparente (anche in ossequio della L.241/90) e quindi devono essere facilmente individuabili i soggetti che hanno effettuato l’operazione e le amministrazioni stesse.

In questo quadro di rinnovamento si è collocata anche la L.191/98 (Bassanini 3) che all’art.2 recante "Modifiche ed integrazioni alla L.127/97" ha introdotto la cd. carta d’identità elettronica, che dovrà contenere dati personali, codice fiscale, gruppo sanguigno ed altre opzioni di carattere sanitario, nonchè firma digitale ed eventualmente chiave biometrica; potrà inoltre contenere anche altri dati al fine di razionalizzare e semplificare l’azione amministrativa e l’erogazione dei servizi al cittadino. La carta potrà essere utilizzata anche per il trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni.

Tutto ciò appare di fondamentale importanza, derivandone la possibilità di autocertificazione da parte del cittadino.

Laddove i documenti sono informatici ed è richiesta la sottoscrizione lì è prevista una firma digitale: un primo periodo sarà quindi caratterizzato dalla presenza sia della firma autografa che di quella digitale fino al punto in cui poi si arriverà a sottoscrivere tutti i documenti in modo esclusivamente elettronico.

In tal modo gli atti potranno essere formati ab initio in modo elettronico soddisfando pienamente al modello procedimentale previsto dalla L.241/90, la quale finalmente potrà trovare, dopo dieci anni, piena e concreta attuazione.

Infatti, con il regolamento n.513/97, diverranno certi:

1. la durata del procedimento amministrativo;
2. l’individuazione del responsabile del procedimento;
3. il diritto del cittadino ad essere informato dall’amministrazione sul procedimento che direttamente lo riguarda;
4. il diritto di accesso, da parte dell’interessato, agli atti della pubblica amministrazione.

Tutto ciò permetterà la realizzazione di una trasparenza ed una chiarezza massime nel sistema procedimentale amministrativo, e la certezza delle transazioni tra i vari uffici della P.A. interamente attuate in forma elettronica. Si potrà sempre quindi, individuare il responsabile del procedimento attraverso la sua firma digitale apposta all’atto amministrativo creato in forma elettronica, ed il cittadino potrà comodamente consultare da casa, attraverso la sua carta d’identità elettronica, con l’ausilio di un computer, tutti i documenti amministrativi che lo riguardano. Si può veramente dire che quel procedimento amministrativo informatizzato, previsto dalla legge 241/90 in astratto, può adesso con il suddetto regolamento trovare concreta attuazione ed entrare finalmente in funzione.