Legali.com

il sito degli avvocati italiani

Home > Nuove tecnologie > PEC, dematerializzazione e firma digitale: verso quale approdo (...)

PEC, dematerializzazione e firma digitale: verso quale approdo ?

lunedì 22 dicembre 2008, di Nicola Fabiano

Novità in tema di nuove tecnologie a seguito del noto decreto legge "anti crisi" approvato allo scorso Consiglio dei ministri del 28 novembre 2008 ed in corso di pubblicazione sulla Gazzetta Ufficiale.
L’art. 16 del citato decreto legge rende obbligatoria la PEC (posta elettronica certificata) per le imprese costituite in forma societaria e i professionisti iscritti in albi ed elenchi. Inoltre anche le Amministrazioni pubbliche (cioè, ex art. 1, comma 2, D.Lgs 165/2001, tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale) devono provvedere ad istituire una casella di PEC per ciascun registro di protocollo, dandone comunicazione al CNIPA.
Le comunicazioni tra le amministrazioni pubbliche che abbiano provveduto alla istituzione della PEC la potranno utilizzare senza necessità che il destinatario abbia dichiarato "la propria disponibilità ad accettare l’utilizzo" (comma 9).
Vengono abrogati alcuni commi (4, 5, 6 e 7) del D.P.R. 68/2005 che disciplina la PEC; in particolare, si trattava della utilizzabilità della PEC in maniera facoltativa. Più rilevante è l’abrogazione del comma 6, secondo cui «La validità della trasmissione e ricezione del messaggio di posta elettronica certificata e’ attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna, di cui all’articolo 6».
Infine, è stata introdotta una modifica all’art. 23 CAD (Codice dell’Amministrazione Digitale – D.Lgs 7/3/2005, n. 82) mediante la sostituzione dei commi 4 e 5. Alla luce della nuova formulazione normativa, viene data attuazione alla c.d. "dematerializzazione" , ossia al processo attraverso il quale è possibile sostituire il documento analogico (cartaceo) originale con la sua copia digitale, mediante l’utilizzo della firma digitale di chi lo detiene e nel rispetto delle regole; un emanando decreto del presidente del Consiglio dei ministri stabilirà "particolari tipologie di documenti analogici originali unici per le quali, in ragione della natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico" , ovvero in caso di "conservazione ottica sostitutiva" sarà necessaria la conformità all’originale "autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente e allegata al documento informatico" .

Bene, qualche breve commento.
Non è il caso di ribadire tutti i dubbi e le riserve già espressi (Altalex) un po’ di tempo fa sulla natura giuridica della PEC, sulla sua funzionalità, ecc. In questa sede va solo ribadito che si tratta di un prodotto assolutamente unico al mondo e tutto "made in Italy" . Inoltre, sul piano tecnico non è interoperabile: difatti, affinché due o più soggetti possano comunicare mediante la PEC è necessario che tutti siano titolari di una casella di posta elettronica certificata, altrimenti viene generato un messaggio di errore corrispondente a "anomalia messaggio" quando mittente o destinatario ha inviato un messaggio da una casella di posta che non è certificata (PEC). In sostanza, qualora l’utente non fosse in possesso di una casella di PEC potrebbe tranquillamente leggere il messaggio inviato (salvo che non sia criptato) e, nel contempo, sarebbe in grado anche di rispondere; il destinatario, da parte sua, sarà in grado di leggere il messaggio inviato senza PEC. Tuttavia in queste ipotesi il sistema genererebbe un messaggio di errore corrispondente a "anomalia messaggio" con l’unica conseguenza della mancanza di effetti legali secondo il D.P.R. 68/2005. Tutto ciò non determina una difficoltà tecnica nella lettura/invio/ricezione dei messaggi, bensì l’assoluta mancanza di validità "agli effetti di legge" ai sensi dell’art. 4, comma 1, D.P.R. 68/2005. Del resto, proprio sulla PEC, è appena il caso di menzionare l’ultimo documento dello IETF (scadenza aprile 2009) secondo cui i providers che gestiscono la PEC devono adottare adeguate misure di sicurezza soprattutto sul server LDAP.
Tra gli aspetti più rilevanti di questo provvedimento si annovera l’obbligo che grava in capo agli ordini e collegi professionali di pubblicare "in un elenco consultabile in via telematica i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata" . Ci si domanda, posto che non è precisato, quali debbano essere le modalità per la pubblicazione di questo elenco; difatti, in assenza di particolari precisazioni, sembra che tale elenco sia pubblico e, quindi, consultabile da chiunque. Una simile modalità, al di là di eventuali problemi connessi con la normativa sulla privacy, esporrebbe i titolari degli indirizzi email ai numerosi rischi connessi con i fenomeni di spamming, phishing, invio di virus, ecc. Evidentemente il Governo non si è posto particolari problemi tecnici, ritenendo che fosse più utile avviare il processo di utilizzo della PEC mediante la pubblicazione degli elenchi. A questo punto, i providers che gestiranno il sistema di PEC dei professionisti, dovranno attrezzarsi con le adeguate misure di sicurezza per evitare che il titolare della PEC possa divenire destinatario dei fenomeni appena descritti.
In realtà, la disposizione in commento, si allinea a quanto già disposto dall’art. 2, comma 589 L. 24/12/2007, n. 244 (legge finanziaria 2008), secondo cui "Il Centro nazionale per l’informatica nella pubblica amministrazione (CNIPA) effettua, anche a campione, azioni di monitoraggio e verifica del rispetto delle disposizioni di cui all’articolo 47 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, nonché delle disposizioni in materia di posta elettronica certificata " . L’orientamento era quello di utilizzare concretamente la PEC.
Altro aspetto riguarda la scelta legislativa della "firma digitale" contenuta nel comma 12 che riforma i commi 4 e 5 dell’art. 23 CAD. Tale posizione è in linea con quanto disposto con il disegno di legge n. 1441 bis, "Disposizioni per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria" , il quale fa anche riferimento alla firma digitale. In sostanza il legislatore è orientato alla soluzione della firma digitale piuttosto che di altro tipo di firma (ad es. firma elettronica qualificata). Ciò è estremamente rilevante in ordine alla scelta della tecnologia adottata dal legislatore che opta apertamente per la soluzione della coppia di chiavi asimmetriche invece della tipologia neutra offerta dalla firma elettronica qualificata. Ciò è quanto traspare dai testi normativi, perché è impensabile supporre che il legislatore utilizzi in maniera indifferenziata firma digitale e firma elettronica qualificata quasi come fossero sinonimi.

È appena il caso di menzionare il recentissimo documento (finale) della Commissione Europea datato 28/11/2008 " Action Plan on e-signatures and e-identification to facilitate the provision of crossborder public services in the Single Market " . Tale documento, connesso fondamentalmente con la direttiva dei servizi del mercato interno (Direttiva 2006/123/EC), assume comunque notevole rilievo anche per ulteriori aspetti. Difatti, preliminarmente, vengono chiariti alcuni dubbi che hanno tormentato gli interpreti della Direttiva 1999/93/EC sin dal tempo della sua pubblicazione. In sostanza, la Commissione chiarisce come l’articolo 2.2 della direttiva sulle firme elettroniche, definisce la firma elettronica avanzata in modo generico e, in effetti, contempli tre "forme" (così le identifica) di firme elettroniche: a) la firma elettronica semplice, b) la firma elettronica avanzata (AES: acronimo di advanced electronic signature) e c) la firma elettronica qualificata (QES: qualified electronic signature) basata su un certificato qualificato (QC) e creata da un dispositivo di firma sicuro; offre il massimo livello di sicurezza sia che i dati provengono dal sua presunto mittente e sia che gli stessi dati trasmessi non siano stati alterati. Pertanto, solo la firma elettronica qualificata garantisce il massimo livello di sicurezza.
Tutto ciò assume rilevanza, dapprima in quanto la citata direttiva contenendo soltanto le definizioni di firma elettronica (semplice) e di firma elettronica avanzata ha indotto taluni a ritenere che le tipologie (o forme) di firma fossero solo due. In secondo luogo la suddetta precisazione assume ulteriore rilevanza giacché è escluso il riferimento alla firma digitale, con ciò denotando la scelta metodologica adottata a livello europeo di optare per una tipologia di firma con contenuto neutro (sul punto, G. Finocchiaro, Firma digitale e firme elettroniche, Milano, 2003) rispetto alla firma digitale che, per sua natura, è vincolata alla tecnologia della coppia di chiavi asimettriche.

Al di là di questi rilevanti aspetti sorge il problema della affidabilità delle firme (in realtà, dei relativi certificati qualificati) provenienti da altri Paesi allorquando si opera in contesti internazionali. Così come già prospettato dallo scrivente (Qual è la rilevanza giuridica della firma elettronica ?, in RDEGNT - Rivista di Diritto, Economia e Gestione delle Nuove Tecnologie, fasc. 4 (ott.-dic. 2007), 412) la Commissione Europea sta effettuando uno studio per l’istituzione di un "Trusted List of supervised qualified Certification Service" , ossia un elenco di certificatori accreditati (una sorta di albo fiduciario), nonché – fra l’altro – sul profilo dei dispositivi per la creazione di una firma sicura e il formato delle firme elettroniche qualificate/ avanzate.

Tra le azioni proposte dalla Commissione: in questa sede si possono annoverare: a) compilare un "Trusted List of supervised qualified Certification Service Providers" a livello europeo; b) stabilire linee guida e di orientamento su requisiti comuni per aiutare i soggetti interessati ad attuare QES o AES basata su QC in un modo interoperabile.
In sostanza, è evidente come l’evoluzione normativa italiana in materia di firme (elettroniche/digitali) non sia del tutto allineata con le azioni dell’Unione Europea da cui si evince la chiara posizione di adottare la metodologia "neutra" circa il contenuto tecnologico delle firme, mentre in Italia si insiste per l’utilizzo della firma digitale.
In conclusione, salvo che non si pervenga ad ulteriori modifiche legislative attraverso cui optare per differenti soluzioni tecnologiche, ci si dovrà predisporre all’utilizzo della PEC, della firma digitale ed anche al caos che ne scaturirà.