Documento del 10 settembre 1998

Osservazioni sulle Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.

In risposta all’invito pubblico formulato dall’Autorità per l’Informatica nella Pubblica Amministrazione per l’invio di contributi sulla bozza di regolamento tecnico di cui al DPR 513/97, ALCEI ha realizzato una schematica analisi di alcuni fra gli aspetti giuridici che vengono in maggiore evidenza. In linea generale, la regolamentazione proposta – pur apprezzabile quanto all’evidente sforzo di osservare il massimo rigore tecnico – risulta appesantita da eccessiva burocraticità che nell’applicazione concreta limiterebbe fortemente l’applicazione concreta.

Perplessità sorgono, inoltre, relativamente all’inserimento fra norme di natura tecnica, anche di previsioni giuridiche non perfettamente collegate con il DPR 513/97. Ferma restando dunque una valutazione in linea di massima positiva del documento analizzato, non ci si può esimere dalle considerazioni che seguono:

Art.I.1.
Lettere (d) ed (e)

da un punto di vista giuridico risulta essere non perfettamente coerente utilizzare una definizione come…praticamente impossibile….. Il concetto di “applicazione in pratica” dovrebbe essere lasciato all’eventuale interpretazione del giudicante, e non inserito in un testo avente valore di legge, anche se non di rango primario. A stretto rigore, infatti, per un testo legislativo una cosa o è possibile oppure non lo è: alternative non ve ne sono.

Art.I.3
n.1: la generazione dell’impronta deve essere effettuata …..etc.;
n.2 : …possono essere utilizzate…

Anche in questo caso, si pone un quesito: la possibile utilizzazione di algoritmi diversi da quelli specificati al punto 1, deve essere necessariamente subordinata alla compatibilità con sistemi preesistenti, oppure introduce un criterio generale di possibile utilizzo di algoritmi diversi? Le conseguenze potrebbero essere molto differenti fra loro.

Art.I.4,
comma 2: eliminazione della distinzione delle chiavi;

Il documento sottoscritto con la chiave privata (quindi quella di sottoscrizione) deve contenere al proprio interno necessariamente anche l’indicazione dell’ora di utilizzazione della chiave, pena la non certezza giuridica del documento stesso.

Art.I.4,
comma 4: E’ responsabilità del certificatore…..:

La norma abbisognerebbe di una profonda revisione. Quale è il tipo di responsabilità alla quale va incontro il certificatore ? Le conseguenze dell’eventuale omissione sono di carattere civile oppure anche penali ? E, nel campo della responsabilità civile, quale graduazione di “diligenza” deve essere applicata ?

Art.I.5:,
comma 1: …che offrano le più elevate garanzie possibili….;

Anche in questo caso, quale è il parametro di riferimento ? L’art. 15 della Legge 675/96 almeno statuisce espressamente che le misure di s icurezza devono essere “allo stato dell’arte”, ma in questo caso non ne esiste alcuno. In ordine alla responsabilità si pongono quindi problemi analoghi a quelli di cui al punto precedente.

Art.I.5:, comma 3, (b):

Come e chi deve effettuare la verifica ? In generale, in tutta la bozza dovrebbe essere inserito il condizionale laddove si parla di controllo. L’uso del condizionale implicherebbe infatti la mera possibilità giuridica del controllo, che però non necessariamente dovrebbe essere attuato, allegerendo fortemente l’impatto applicativo della norma. L’uso, al contrario, dell’imperativo porterebbe ad interpretare la norma nel senso che sia sempre e comunque necessaria l’effettuazione del controllo per poter “essere in regola”. Un esempio concreto può essere la sostituzione delle parole deve essere verificata con le parole deve essere verificabile al comma 4 dell’articolo in questione.

Più in generale, si ritiene auspicabile l’eliminazione – o quantomeno lo snellimento – della normativa concernente la gener azion e delle chiavi di certificazione, in quantodi scarsa utilità. In effetti, la sottoscrizione mediante procedimento digitale serve per sostituire alla firma autografa quella digitale. Il creare un sotto – sistema per certificare la firma che poi sarà quella con la quale l’utente potrà sottoscrivere gli atti aventi valore giuridico, ex

artt. 2 e 10 del DPR 513/97

appare un inutile appesantimento del sistema.
Lo stesso art. 1 del DPR 513/97 definisce, alla lettera (h), la certificazione come “il risultato di un procedimento”; trattasi quindi – per parlare in termini amministrativi – di un sub procedimento al quale non è necessario dare rilevanza autonoma, se non nei limiti fissati dalla norma.
Ciò che conta ai fini del DPR 513/97, è che si possa giungere ad una corrispondenza biunivoca tra soggetto fisico reale e sottoscrizione informatica.
Trasponendo la questione in termini non informatici è come se si volesse accertare la veridicità della sottoscrizione autografa proprio al fine di poter poi certificare la stessa sottoscrizione.
In realtà si tratta di una distorsione della necessità di avere esatta cognizione delle generalità del soggetto che richiede l’attribuzione di una chiave; è del tutto evidente che, nella fase di prima applicazione del sistema, il riconoscimento del soggetto non possa operare che in modo diretto e – comunque – non informatico, mancando appunto i presupposti relativi alla pos sibilità di attribuire valore giuridico a documenti informatici.

Comunque, tale necessità non dovrebbe essere eliminata neanche nel prosieguo, ponendosi il problema soltanto a livello del certificatore, che naturalmente dovrà avere una distribuzione sul territorio la più capillare possibile, onde evitare discriminazioni tra i cittadini. Anzi, potrebbe essere inserita nel regolamento attuativo una norma che imponga ai vari certificatori una diffusione sul territorio quanto meno parificabile a quella dei Comuni.

Art.II.7: Mutua certificazione

La certificazione mutua tra i certificatori dovrebbe essere un obbligo e non una facoltà, posto che tali soggetti, nel sistema delineato dalla legge, pur svolgendo attività d’impresa, di fatto vanno a svolgere anche delle funzioni per così dire “pubbliche”. Inoltre non vi dovrebbe essere alcun onere aggiuntivo per l’utente finale per ottenere la certificazione una chiave presso un solo certificatore oppure presso altri certificatori con i quali sia avvenuta la “mutua certificazione”.
Anche in questo caso, trasponendo la questione in termini non informatici, è come se un Comune decidesse di non accettare un documento la cui sottoscrizione è stata autenticata dal segretario di altro comune !

Art.II.10: Anonimato.

Solleva forti perplessità la possibilità di avere la certificazione di uno pseudonimo al fine di mantenere l’anonimato; in effetti, nel diritto positivo vigente, accade proprio tutto il contrario: lo pseudonimo può essere tranquillamente utilizzato in sostituzione del vero nome SOLTANTO qualora abbia raggiunto una notorietà tale da non ingenerare incertezze sul soggetto al quale appartiene lo pseudonimo.
Nel caso in questione, al contrario, si permetterebbe, di fatto, la sottoscrizione di documenti in forma anonima; tra l’altro, l’articolo appare di difficile applicazione pratica, in quanto non sarebbe possibile, per esempio, ricorrere all’anonimato tutte le volte in cui si debba sottoscrivere un contratto.

Art. II.18:

Anche in questo caso andiamo incontro ad una eccessiva farraginosità del sistema, derivante dall’utilizzo di chiavi con finalità ed utilizzi diversi. Sarebbe sufficiente stabilire che la richiesta di revoca debba pervenire con i mezzi “ordinari” e con sottoscrizione autenticata del titolare della chiave revocanda.

Art. II.18, comma 4:

Anche in questo caso devono essere effettuate le medesime osservazioni relative all’art.I.4, comma 4: in quale tipo di responsabilità incorre il certificatore ?
Sotto il profilo procedurale manca nel regolamento attuativo ogni specificazione in ordine alle regole necessarie per adire l’autorità giudiziaria competente in relazione alle eventuali omissioni e/o diatribe scaturenti dall’applicazione delle regole tecniche medesime.
Anche se in prima istanza appare del tutto probabile il ricorso all’Autorità Giudiziaria ordinaria, sia in sede civile che in sede penale, sarebbe quanto mai opportuno che tale circostanza sia chiaramente indicata nel regolamento, o prevedere una sorta di arbitrato a cura dell’AIPA con funzione di giudice primo grado, alternativo all’autorità giudiziaria ordinaria.
A proposito dei termini previsti nel regolamento manca l’indicazione della loro natura (ordinatoria oppure perentoria). L’interpretazione dovrebbe portare a far propendere per la prima ipotesi, dovendosi in generale ritenere che i termini siano perentori soltanto quando la legge espressamente lo preveda ma, anche in questo caso – e visto anche il tipo di conseguenze possibili dal mancato rispetto degli oneri imposti dal DPR 513/97 e dal regolamento tecnico – sarebbe quanto mai opportuno che tale circostanza sia specificata, e che i termini siano espressamente previsti come perentori, con conseguenti sanzioni per il mancato rispetto degli stessi.

Manca del tutto nel regolamento un qualsiasi cenno alle sanzioni (che, naturalmente, ben potrebbero essere comminate “per riferimento”) conseguenti al mancato rispetto di quanto imposto dal regolamento stesso, salvo sporadici riferimenti alla legge 675/96, troppo esigui per poter correttamente operare nel caso in esame.

Come ben sa qualsiasi operatore del diritto, una norma senza sanzione è una norma monca, perché manca della parte applicativa e per così dire “operativa” della stessa.
Volendo considerare con maggiore attenzione la questione concernente l’autorità giudiziaria competente a conoscere delle questioni inerenti l’applicazione delle “regole tecniche”, non va sottaciuta la necessità – non menzionata nella bozza – di una precisa indicazione sia dell’autorità competente.

Una ipotesi può essere quella di prevedere Roma come unico foro competente stante la complessità dei temi trattati, ovvero – in caso di una interpretazione più vicina agli utenti finali – l’indicazione per legge del foro competente con riguardo alla residenza dell’utente stesso, in piena applicazione analogica degli a rtt. 1469 bis e segg. del codice civile.

D’altra parte, le indicazioni sopra specificate non sono per nulla in contrapposizione nè mutuamente esclusive l’una dell’altra; potrebbero ben coesistere, potendosi applicare la prima nei rapporti diversi da quelli tra certificatore ed utenti, e la seconda nei soli rapporti tra certificatori ed utenti.