Europa unita? Forse soltanto per quanto riguarda la valuta adoperata (ma anche qui, con alcune grandi eccezioni), l’espressione oggi descrive davvero la realtà. Per il resto, gli Stati membri vanno spesso in ordine sparso, nonostante gli sforzi di armonizzazione della Commissione. Per questo, noi di Agenda Digitale abbiamo deciso di operare alcuni confronti per quanto riguarda l’implementazione di specifici elementi dell’Agenda nei vari Paesi membri, allo scopo di individuare best practice e soluzioni innovative. Iniziamo con un raffronto fra Italia e Regno Unito per quanto riguarda definizione e utilizzo della firma elettronica. Uno dei pochi ambiti in cui, peraltro, il nostro Paese è all’avanguardia in Europa, perlomeno sul piano giuridico.
Nel Regno Unito le principali fonti di riferimento in materia di firme elettroniche sono costituite dall’Electronic Communications Act del 2000 e dall’Electronic Signatures Regulations del 2002 (Esr). “Coerentemente al connotato di neutralità tecnologica che caratterizza la definizione di “firma elettronica” fornita dalla Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche – spiega l’avvocato Giusella Finocchiaro, professore ordinario di Diritto di internet e Diritto privato all’Universita’ di Bologna – la firma elettronica è definita dall’ESR come “data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication”. La norma, indifferente alle tecnologie utilizzate, pone quindi evidenza sulla funzione di autenticazione informatica.
Anche nel Regno Unito, quindi, come avviene in Italia, la firma elettronica designa un genere all’interno del quale è possibile ricondurre diverse modalità di autenticazione che rendono questo strumento più o meno cogente sul piano legale. Tuttavia qui terminano le somiglianze e iniziano le differenze.
“Un primo dato che balza immediatamente all’occhio nel raffronto tra l’esperienza britannica e la disciplina italiana in materia di firme elettroniche – spiega Marco Bassini, esperto di diritto costituzionale italiano ed europeo, ed editor del portale Medialaws.eu – attiene al diverso grado di analiticità della normativa, che riflette in qualche modo le stesse caratteristiche dei sistemi giuridici comparati”. L’uno, un sistema di common law, dove il compito della legge è di regolare solo in minima parte la materia, e gran parte delle norme sono enucleate per prassi o attraverso il controllo giudiziale. L’altro, quello italiano, un sistema di civil law timoroso di lasciare spazi non regolati e così tendenzialmente più rigido nel porre regole che affrontano nel dettaglio gli aspetti tecnici.
“La direttiva europea – prosegue Bassini – obbligava per esempio gli Stati membri a garantire l’equivalenza, a tutti gli effetti di legge, sostanziale e processuale, tra la firma elettronica basata su un certificato qualificato e la firma autografa. Ma l’Electronic Communication Act del 2000, che ha recepito la direttiva insieme all’’Electronic Signatures Regulations 2002, non stabilisce alcuna equivalenza tra forma scritta e forma elettronica, lasciando invece al giudice il compito di valutare la forza probatoria delle singole firme elettroniche impiegate dagli utenti, sulla base della ritenuta ammissibilità come prova in giudizio in via generale, e ciò a prescindere dalla tipologia concretamente utilizzata dal sottoscrittore”.
Un aspetto che rimanda a una costruzione funzionale e non meramente formale della firma elettronica. In altri termini, nel Regno Unito, ogni tecnica impiegata per sottoscrivere un documento può considerarsi valida, a fini sostanziali, a prescindere dalle forme utilizzate in concreto.
Due parti potrebbero perciò in teoria accordarsi privatamente, generando una coppia di chiavi crittografiche, una pubblica e una privata, attraverso cui cifrare e decrittare i messsaggi che si scambiano, attribuendo a ogni comunicazione intercorsa fra loro un valore vincolante e dando facoltà in teoria a un giudice di obbligare le parti ad adempiere agli impegni assunti. Questo in teoria. Nella prassi abituale, come in Italia, si preferisce affidarsi a terze parti che fungono da enti certificatori dell’autenticità e integrità del contenuto dei messaggi scambiati. Ancor prima della direttiva europea che ne ha fatta espressamente menzione (la 1999/93/CE) nel Regno Unito si era affermata per prassi l’attività delle cosiddette trusted third parties (TTPs). “L’esperienza britannica – – sottolinea Bassini – mostra come questi soggetti abbiano sfruttato l’assenza di disposizioni vincolanti e tradotto in un modello di business dinamico l’esigenza di garantire fiducia nelle transazioni, diversificando la propria offerta di servizi (e i relativi costi) in base all’importanza delle transazione e al livello di sicurezza che l’utente esige”.
Molto più diffuso inoltre, rispetto all’Italia, è lo strumento della marca temporale (che consente di associare data e ora certe e legalmente valide ad un documento informatico), che tutti i certificatori UK hanno introdotto attraverso lo stesso standard tecnico. C’è poi la questione del diverso valore in termini di sicurezza, delle diverse tipologie di firma elettronica. Anche nel Regno Unito, precisa Finocchiaro: “la firma elettronica avanzata è qualificabile alla stregua di una firma elettronica con alcune caratteristiche di sicurezza. La norma è indifferente alle tecnologie adottate: ciò che rileva è il rispetto delle condizioni, in mancanza di una delle quali la firma elettronica non può qualificarsi avanzata. In particolare, la firma elettronica avanzata è definita come una firma elettronica che: ‘(a) which is uniquely linked to the signatory, (b) which is capable of identifying the signatory, (c) which is created using means that the signatory can maintain under his sole control, and (d) which is linked to the data to which it relates in such a manner that any subsequent change of the data is detectable’ ”.
In questo la normativa presenta diversi punti di contatto con quella italiana. Appare però molto più forte, nel sistema britannico, il ruolo dei certification service providers (CSP), che sono iscritti – senza alcuna esigenza di autorizzazione preventiva, ma per il semplice fatto di svolgere tale attività, limitatamente alle firme elettroniche avanzate – in un apposito registro soggetto a tenuta governativa. “In questi casi – racconta Bassini – è stato riconosciuto che in base agli strumenti impiegati (dispositivi di generazione della firma che integrano standard di sicurezza e utilizzo di certificati qualificati) l’apposizione della firma elettronica equivale a quella autografa anche sotto il profilo legale”.
Vale la pena ricordare che presto queste piccole e grandi differenze fra normative nazionali presto potrebbero scomparire. “La novità più rilevante in ambito europeo – afferma Finocchiaro – è costituita dalla proposta di Regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. La più importante novità è nello strumento giuridico prescelto: non più una direttiva, ma un regolamento”. Questo significa che le novità non verrano recepite e adattate da ciascun Stato membro, come avveniva in passato, ma dovranno essere applicate da tutti in maniera uniforme. In altre parole, sintetizza l’esperta dell’Università di Bologna, “Se nel 1999 era stata emanata una direttiva sulle firme elettroniche la quale, tuttavia, aveva condotto ad un quadro frammentario a livello europeo, ora, al contrario, ci sara’ la stessa legge europea nei 28 Stati”.
L’obiettivo è quello di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma, superando le difficoltà che persistono in ordine all’impiego delle firme elettroniche nell’ambito di transazioni trasnfrontaliere.
Il regolamento non ha ad oggetto solo firma elettronica, ma in generale gli e-trust services: quindi e-signature, e-seal, time stamping, electronic delivery service, website authentication. Lo scopo è quello di favorire la crescita del mercato interno anche nei servizi digitali.
