Si sono perse le tracce del regolamento attuativo dell'art. 13 del D.Lgs. 10/2002, contenente la normativa di dettaglio e coordinamento in materia di firme elettroniche, approvato definitivamente lo scorso 31 gennaio da parte della Presidenza del Consiglio dei Ministri. Il regolamento avrebbe dovuto essere pubblicato in Gazzetta ufficiale, insieme alle nuove ed attesissime regole tecniche, entro la fine dello scorso mese di aprile, ma niente di tutto ciò è avvenuto. Nel frattempo è successo che la norma che avrebbe dovuto delegare formalmente il governo a sopprimere l'AIPA ed a costituire l'Agenzia nazionale per l'innovazione tecnologica (art. 29, comma 6, L. 448/2001 che era stato appositamente emendato dall'art. 27, comma 10 a, L. 3/2003), è stata misteriosamente abrogata dalla "legge di semplificazione 2001" (approvata il 19 marzo 2003). Quindi allo stato attuale della normativa Accanto alla firma digitale, introdotta dal Legislatore sin dal 1997 ed emessa dai certificatori "accreditati" presso l'Autorità (indipendente) per l'Informatica nella PA (AIPA), prendono posto le novità di stampo europeo. Più precisamente, da un lato, si introducono nuove tipologie di firma elettronica e, dall'altro, si amplia il ventaglio dei prestatori di servizi di certificazione delle firme dotate di maggiore efficacia probatoria. In altre parole, i certificatori già "accreditati" presso l'AIPA perderanno il "monopolio" della gestione delle firme digitali. Questa è una delle conseguenze del passaggio da un regime di tipo autorizzatorio, cui erano precedentemente vincolati i certificatori italiani, a quello attuale, di stampo liberal, veicolato dalla direttiva europea 1999/93, ed attuato con D.Lgs. 10/2002, che è informato al principio del divieto di autorizzazione preventiva per la prestazione dell'attività di certificazione delle firme elettroniche. Le cd. firme leggere. Faranno il loro ingresso, dunque, a breve nel nostro ordinamento la firma elettronica "semplice", ovvero l'insieme dei dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica, e la firma elettronica avanzata (anche dette firme "leggere"). Quest'ultima, rispetto alla precedente, assicurerà maggiori requisiti di sicurezza sia nel momento della sua creazione, sia durante il suo arco di vita (si potrebbe, azzardando un'ipotesi, avvicinare all'attuale carta di credito, che potrà essere utilizzata però per interagire a 360° con il mondo bancario). Per emettere siffatte firme "leggere" non sarà necessaria alcuna autorizzazione e/o segnalazione a qualsivoglia autorità, né sarà necessario, a quanto pare, essere un certificatore. Grande importanza avrà pertanto l'assetto negoziale posto in essere dalle parti. Inoltre, il documento informatico sottoscritto con firma "leggera" soddisferà il requisito legale della forma scritta - agli effetti di legge sarà come aver firmato di proprio pugno - e, in un eventuale giudizio, sul piano probatorio, il documento stesso sarà liberamente valutabile dal Giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Lascia perplessi, in materia, il vuoto normativo lasciato dal Legislatore che non ha normato in modo esaustivo i requisiti delle firme "leggere" delegando poi, al Giudice, il compito di occuparsene solo nella successiva fase, per così dire, "patologica". Le cd. firme pesanti. Allo stato, cercando di fare chiarezza nella "giungla" di definizioni introdotte nella normativa di riferimento, sembra che nel nostro ordinamento siano presenti: i) le firme elettroniche qualificate, ii) le firme digitali emesse dai certificatori "notificati" e iii) le firme digitali emesse dai certificatori "accreditati". Per evitare confusione, si consideri che la firma elettronica qualificata non esiste ancora, in quanto non vi è, allo stato attuale della tecnica, un mezzo sicuro per la creazione della firma diverso dal sistema della doppia chiave asimmetrica (alla base della firma digitale). La norma in esame è stata formulata in modo da recepire i futuri progressi della tecnica (p.es. i dispositivi di autenticazione biometrica per l'identificazione delle persone) senza sconvolgere l'architettura del sistema. Passando alle firme digitali emesse dai certificatori "notificati", queste saranno gestite da quei certificatori la cui operatività sarà unicamente subordinata ad una dichiarazione preventiva d'inizio attività diretta al DIT. In tale dichiarazione di scienza il certificatore medesimo attesterà di essere in possesso dei requisiti e presupposti necessari allo svolgimento del servizio di certificazione previsti dalla legge. Quello che preoccupa è che tali requisiti e presupposti non sono particolarmente "severi" e garantisti per l'utente: basti considerare che potranno svolgere attività di certificazione anche le persone fisiche, senza, si noti, nessun obbligo di capitale minimo versato. L'emandando regolamento prevede che il DIT procederà, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, ad effettuare controlli volti ad accertare la sussistenza dei presupposti e dei requisiti imposti dalla legge. Mentre, i certificatori che intendono conseguire il riconoscimento dei requisiti di livello più elevato in termini di qualità e sicurezza potranno chiedere di essere "accreditati" presso Dipartimento per l'innovazione e le tecnologie. La domanda di accreditamento del certificatore si considererà accolta, grazie ad un meccanismo di silenzio-assenso, qualora allo stesso non venga comunicato, entro 90 giorni dalla richiesta, il provvedimento di diniego. A seguito dell'accoglimento della domanda il certificatore verrà iscritto in un apposito elenco pubblico e consultabile anche in via telematica (art. 28 T.U.) che, attualmente, è tenuto presso l'AIPA, ma che in seguito alla soppressione di quest'ultima passerà al Dipartimento per l'innovazione e la tecnologia presso la Presidenza del Consiglio dei Ministri. Per completezza si precisa che i certificatori già accreditati presso l'AIPA saranno iscritti d'ufficio all'elenco del DIT. Il soggetto che intende richiedere l'accreditamento presso il Dipartimento, come i soggetti attualmente accreditati presso l'AIPA, dovrà avere natura giuridica di società di capitali (e, dunque, a contrario, non potrà svolgere siffatta attività né una persona fisica né una società di persone) e capitale sociale non inferiore a quello necessario all'autorizzazione all'attività bancaria. Considerazioni conclusive. La tecnologia può essere molto pericolosa se non si conoscono a fondo i suoi limiti, basti vedere i bugs che affliggono anche i software di firma considerati più sicuri. E' per questo che una diffusione responsabile delle firme elettroniche non può non essere preceduta da una massiccia campagna informativa tesa a far comprendere agli utenti, ma anche agli operatori qualificati, i profili di rischio, i proprio obblighi ed i propri diritti in relazione a tale fenomeno. Al proposito, non si possono nascondere le insidie derivanti dalla parificazione, quanto a validità ed efficacia giuridica posta in essere dal Legislatore, della firma digitale gestita dai certificatori "notificati" a quella amministrata dagli operatori "accreditati". Il riconoscimento dell'efficacia di piena prova sino a querela di falso del documento certificato da un operatore "notificato", visto in controluce rispetto al sistema di controllo e sanzionatorio - che, francamente, sembra un poco debole - appare senza dubbio esagerato. Si consideri, poi, che in caso di contestazioni in merito alla firma digitale emessa da un certificatore "notificato", come quella emessa dall'operatore "accreditato", il procedimento di querela di falso appare, allo stato, come l'unico modo per "contestare" in giudizio la validità di un documento siffatto. Tale procedimento, consistente, di fatto, in un processo nel processo, comporta di conseguenza un protrarsi di tempi ed un aggravio di spese. Anche in caso di esito positivo di una ipotetica causa contro un certificatore "notificato" che, come detto, potrebbe essere anche una persona fisica (che non ha l'obbligo di versamento del capitale), potrebbe essere difficile, se non impossibile, ottenere concretamente il ristoro del danno patito. Da questo lato il certificatore "accreditato" offre, ovviamente, maggiori garanzie di solidità. Un mezzo di tutela efficace potrebbe essere rappresentato, sia per l'utente ma anche, e soprattutto, per il certificatore, dal ricorso a strumenti assicurativi che, attualmente, sono previsti per i certificatori "accreditati" presso l'AIPA, i quali hanno l'obbligo di stipulare una polizza assicurativa a copertura dei rischi dell'attività e dei danni causati da terzi (art. 16 delle Regole Tecniche).