Firma elettronica: normativa comunitaria e nazionale a confronto
Condividi su Facebook | Discuti nel forum | Consiglia | Scrivi all'autore | Errore |

Articolo del 19/07/2005 Autore Dott.ssa Federica Ascione Altri articoli dell'autore


L'Italia è uno dei primi paesi europei ad aver accolto in maniera integrale l'innovazione tecnologica della firma digitale con il D. P. R. 513/97, ma la di direttiva comunitaria 1999/93 , recepita in Italia con il D.lgs. n. 10/2002 sulla firma elettronica ha portato il legislatore italiano a modificare alcuni punti salienti della normativa in vigore.

Prima di mettere a confronto i due testi, è necessario precisare che la normativa italiana nasce dall'esigenza di rendere più sicure le comunicazioni su reti telematiche per gli enti pubblici, ed ha quindi come destinatari finali le pubbliche amministrazioni, mentre la normativa comunitaria, vede l'esigenza di far sviluppare il commercio elettronico tra privati.

Da un attento esame comparato dei due testi legislativi si evidenziano differenze sostanziali che hanno comportato uno stravolgimento al testo della nostra normativa nazionale, la quale si è dovuta adeguare alla normativa comunitaria al fine di armonizzare la normativa italiana a quella dei diversi Stati Membri.

Secondo la normativa italiana ,infatti, l'Autorità di Certificazione poteva essere sia un soggetto pubblico che privato. Il certificatore , se soggetto privato, doveva avere la forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria ( 12,5 miliardi di lire ) ; inoltre l'articolo 8, del D. P. R. 513/97, prevedeva che il fornitore del servizio di certificazione dovesse possedere tutta una serie di requisiti, tra cui l'iscrizione in un apposito elenco predisposto dall'Autorità Informatica per la Pubblica Amministrazione (AIPA).

Sulla validità dei certificati emessi da autorità di certificazione non accreditate vi era un silenzio normativo, e ciò faceva presumere che i certificatori non iscritti nell'apposito albo e che non avessero rispettato i requisiti e le procedure previste dal Decreto e dal Regolamento di attuazione ( Regolamento tecnico approvato dalla Presidenza del Consiglio dei ministri il 13 Febbraio 1999 ) non avrebbero potuto svolgere tale attività, e nell'ipotesi di emissione di certificati questi sarebbero risultati privi di validità giuridica.

La normativa comunitaria invece prevede che gli Stati membri non possono subordinare l'esercizio del servizio di certificazione ad una autorizzazione preventiva (art.3 “gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione”); questo al fine di non ostacolare la nascita di enti che possano svolgere l'attività di certificatori, sia in termini di domanda che in termini di innovazione tecnologica. Viene consentita, agli stati membri,la possibilità di conservazione o l'introduzione di sistemi di “accreditamento facoltativi” per servizi di certificazione di livello più elevato, i quali vengono svolti da soggetti con i requisiti previsti dall'allegato III della direttiva e che possono fornire “certificati qualificati”.

La disciplina europea prevede due tipi di certificato ; “certificato” inteso come l'attestato elettronico che collega i dati di verifica della firma ad una persona e conferma l'identità di tale persona (art.2 n.9 dir.) e il "certificato qualificato", un attestato elettronico con i requisiti previsti dall'allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti dell'allegato II (art. 2 n.10 dir.).

In questo secondo caso l' autorità di certificazione accreditata viene iscritta in un apposito albo e i certificati da essa rilasciati sono ritenuti “qualificati” cioè dotati di un elevato livello di sicurezza, senza escludere comunque la validità giuridica e la sicurezza dei certificati forniti da autorità che non hanno richiesto l'accreditamento. La distinzione si pone solo nell'ipotesi di controversie giuridiche : le autorità di certificazione non accreditate dovranno dimostrare che i loro certificati offrono standard di autenticazione e sicurezza simili ai certificati qualificati, mentre per i certificati qualificati, la veridicità è presupposta fino a querela di falso.

La Direttiva Comunitaria prevede nuove regole che riguardano la responsabilità del prestatore di servizi che ha l'obbligo di garantire la sicurezza tanto per il prestatore di servizi che per il consumatore.

Quest'ultimo sarà responsabile dei danni arrecati a chi faccia ragionevole affidamento sulla validità del certificato:

•  per quanto riguarda l'esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio;

•  per la garanzia che, al momento del rilascio del certificato , il firmatario identificato nel certificato qualificato detenga i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;

•  la garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in modo complementare , nei casi in cui i fornitore di servizi di certificazione generi entrambi.

La responsabilità per la mancata registrazione o revoca del certificato saranno a carico del prestatore di servizi che avrà anche l'onere di provare di aver agito senza negligenza .

Il certificato rilasciato dal prestatore di servizi può indicare i limiti del suo utilizzo riguardanti in taluni casi anche i contratti per i quali può essere usato; i limiti dovranno essere riconoscibili dai terzi.

In questo caso il certificatore sarà esonerato da una responsabilità per un uso del certificato che ecceda i limiti (art .8 terzo comma “il prestatore di servizi di certificazione deve essere esentato dalla responsabilità per i danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti nello stesso”).

La direttiva comunitaria prevede inoltre:

•  riesami costanti al fine di assicurare che i progressi tecnici o i cambiamenti del quadro giuridico non creino ostacoli alla realizzazione degli obiettivi della direttiva. La commissione valuterà le incidenze degli aspetti tecnici connessi tra i quali la riservatezza ,e farà una relazione a questo proposito.

•  accordi multilaterali con i paesi terzi sul mutuo riconoscimento dei servizi di certificazione che dovranno rispettare il diritto comunitario e nazionale degli stati membri e consentire loro di mantenere e continuare a sviluppare le regole esistenti relative alla protezione dei dati. Tali accordi dovranno anche rispettare la protezione dei dati e la vita privata.

•  la direttiva non dovrà inoltre pregiudicare le disposizioni nazionali relative all'ordine pubblico o relative alla fornitura di servizi a carattere riservato.

La direttiva comunitaria ha fissato ulteriori requisiti tecnici specifici richiesti, tuttavia badando a non eccedere nel dettaglio e consentendo pertanto che tali requisiti possano essere raggiunti in modi differenti.

I requisiti sono divisi in tre allegati relativi a :

•  i requisiti per i certificati qualificati (allegato I) ;

•  i requisiti per di servizi di certificazione che emettono certificati qualificati (allegato II) ;

•  i requisiti per i dispositivi di creazione di una firma elettronica sicura (allegato III);

•  una quarta lista allegata raccoglie un cero numero di raccomandazioni per la verifica della firma sicura.


Dott.ssa Federica Ascione
Praticante avvocato
^ Vai all' inizio


Articoli correlati

Articoli su Overlex per l'argomento: informatica

» Tutti gli articoli su overlex in tema di informatica

Siti di interesse per l'argomento: informatica





Concorso miglior articolo giuridico pubblicato su Overlex
Clicca qui
logo del sito
Il Quotidiano giuridico on line ISSN 2280-613X


Loading