Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Il nuovo sistema dei Certificatori alla luce del Dlgs 10/2002 che recepisce la Direttiva 1999/93/CE

Scritto da Gianluigi Ciacci

Accertato che oggi nel nostro Paese in seguito al recepimento della Direttiva europea si è creato un sistema di imputazione del documento elettronico che prevede un duplice metodo di sottoscrizione informatica, coesistendo le firme elettroniche c.d. "semplici", o "deboli", con quelle "avanzate" o "forti" (tra le quali rientra la già prevista firma digitale), innovazione tesa a semplificare e liberalizzare il sistema, vediamo ora come prevedibilmente si organizzerà la struttura dello stesso.

In precedenza, il soggetto che voleva dare valore giuridico alle sue dichiarazioni elettroniche doveva predisporsi per l'utilizzo della nuova tecnologia, quindi dotarsi di una stazione operativa informatizzata (essenzialmente un pc collegato ad Internet), e munirsi dell'opportuno dispositivo per l'attività di firma (la c.d. smart card). Questo, fornito (direttamente, oppure tramite altri soggetti) dallo stesso ente che svolge la fondamentale funzione di garantire l'associazione chiave pubblica-titolare, il cd Certificatore, permette la generazione delle chiavi per la crittografia asimmetrica, contiene la funzione di hash e consente l'uso delle tecniche crittografiche. Una volta creata la coppia di chiavi, l'utente, per renderne pubblica una, doveva attivare la procedura di certificazione mediante la richiesta ad uno dei soggetti che svolgono la funzione di certificatori. Iscritti nell'elenco tenuto a cura dell'A.I.P.A. (che effettuava uno stringente controllo circa i requisiti per l'ammissione allo stesso dei soggetti che lo richiedevano, oggi 12 società), i Certificatori attestano la corrispondenza chiave-titolare e rilasciano quindi il relativo certificato (che deve essere allegato ogni volta in cui il soggetto appone la propria firma digitale).

Il Dlgs 10/2002, modificando radicalmente la struttura del sistema di certificazione delle firme digitali, liberalizza certamente il settore, ma in maniera un po' troppo complicata e a tratti oscura. Innanzitutto viene sostituito l'organo che vigila sui Certificatori, non più l'A.I.P.A., ma il Dipartimento per l'innovazione e le tecnologie; poi l'attività di controllo viene notevolmente ridimensionata, in diretto collegamento alla volontà del soggetto che vuole svolgere l'attività di certificazione delle firme elettroniche; soggetto che viene previsto si possa proporre su diversi livelli.

Così, se il soggetto vuole semplicemente prestare servizi di certificazione di "base" (cioè con un relativo livello di qualità e sicurezza) o altri servizi connessi, non avrà bisogno di alcun tipo di autorizzazione preventiva e lo potrà fare liberamente. Nel caso invece il certificatore voglia rilasciare attestati con un rilevante livello di qualità e sicurezza, dovrà semplicemente dare avviso al citato Dipartimento dell'inizio dell'attività: in questo caso, ipotesi dei certificatori cd "qualificati", il controllo dello stesso sarà solo successivo, d'ufficio o dietro segnalazione motivata. Il Decreto prevede anche l'ipotesi dei certificatori cd "accreditati": sono quelli con i requisiti di qualità e sicurezza più elevati, che hanno chiesto di essere riconosciuti tali, e che sono stati inseriti nell'apposito elenco pubblico tenuto dallo stesso Dipartimento (tra questi rientreranno i 12 oggi riconosciuti dall'A.I.P.A.). Chiaramente il controllo su di essi sarà più "rigido", sia preventivo che successivo.

Si può poi supporre che le firme elettroniche "forti" potranno solo essere certificate dal secondo e terzo tipo di certificatori (qualificati e accreditati), mentre quelle "deboli" anche dai semplici certificatori del primo tipo.

Come si vede un sistema che, seppure maggiormente libero, non brilla certo per chiarezza e coerenza.