Lo schema di decreto correttivo al Codice dell’amministrazione digitale (CAD) che recentemente è stato approvato in analisi preliminare dal Consiglio dei Ministri propone alcune modifiche significative alle fattispecie di sottoscrizioni informatiche già presenti nell’ordinamento comunitario e in quello nazionale.
In particolare viene modificato l’articolo 20, con una completa nuova formulazione per il comma 1-bis. Il testo citato è riportato di seguito.
“1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di qualità, sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle linee guida di cui all’articolo 71”.
In questa sede, esaminiamo in modo dettagliato le nuove modalità di formazione del documento informatico, evidenziando i probabili effetti che produce la nuova fattispecie di sottoscrizione informatica.
Questi effetti sono stati anche discussi con i maggiori player di mercato della firma, della gestione dell’identità digitale e con le principali banche e assicurazioni.
Nelle conclusioni si sintetizzano le opinioni di questi soggetti.
L’analisi deve partire dal testo seguente estratto dal sopra citato articolo 20, comma 1-bis
“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando … è formato, previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, l’integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.
Nel testo appare chiara una svista nell’omissione della qualità tra i requisiti richiesti.
Infatti nella parte finale del medesimo comma la parola qualità, correttamente, ricompare.
Iniziamo l’analisi:
- l’autore del documento informatico forma tale documento dopo essere stato identificato;
- la formazione avviene attraverso un processo che garantisce qualità, sicurezza, integrità e immodificabilità;
- il processo di formazione del documento è tale da garantire anche, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.
Primo elemento di analisi è l’identificazione (sarebbe meglio aggiungere elettronica per un corretto coordinamento con il resto del CAD) dell’autore. I dettagli tecnici sono rinviati alle Linee guida che dovrà emettere AgID.
Supponiamo comunque che l’autore sia identificato tramite una password. Ci dobbiamo chiedere se una password è sufficiente a garantire, in maniera manifesta e inequivoca la sua riconducibilità all’autore. La risposta è affermativa, quindi sarà il tipo di documento formale a determinare se non sia il caso di prevedere strumenti di autenticazione “più sicuri” a due fattori (Es. SPID livello 2) o con certificato digitale (Es. SPID livello 3).
Con i requisiti stabiliti, formare il documento utilizzando una sottoscrizione informatica per soddisfare i requisiti richiesti.
Visti gli effetti giuridici e l’efficacia probatoria di questo processo di formazione non posso usare una firma elettronica, serve almeno una Firma Elettronica Avanzata (FEA) o qualificata.
Si può determinare una situazione particolare.
Se uso una firma qualificata posso disconoscerla, utilizzando la regola stabilita nel CAD che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica salvo che questi dia prova contraria”.
Nel caso di questo nuovo processo di formazione, la riconducibilità all’autore deve essere manifesta e inequivoca. Quindi sembra che il disconoscimento dell’essere l’autore non sia fattibile almeno analizzando il significato specifico delle parole utilizzate dal Legislatore (che non consente dubbi è il significato di inequivoco).
Sarà peraltro possibile agire sul furto di identità nell’ambito, ad esempio, di quanto previsto in SPID.
Prima delle conclusioni qualche considerazione su cosa dovrebbero stabilire le Linee guida:
- il significato esatto di: previa identificazione dell’autore, coordinandolo con i requisiti di sicurezza del documento formato;
- la definizione di quando si deve prevedere il processo di formazione senza utilizzare le varie fattispecie di sottoscrizione informatica e le regole di interoperabilità che devono essere utilizzate nello scenario “non sottoscrizione”.
Nell’indagine con i principali prestatori di servizi fiduciari qualificati, gestori dell’identità digitale, principali banche e assicurazioni, si rileva un forte scetticismo su questa particolare nuova formazione del documento.
La banche intendono continuare a utilizzare la firma qualificata a fronte degli investimenti fatti finora. Le assicurazioni valutano l’utilizzo di identità “SPID compliant” per potenziare l’offerta di prodotti online.
I rimanenti soggetti si domandano perché il ragionevole sforzo del Legislatore di sostenere con ulteriori regole SPID non si attua tramite gli strumenti già disponibili, aggiornando in modo opportuno il DPCM 23 febbraio 2013 (RRTT sulle sottoscrizioni) e il DPCM 13 novembre 2014 sul ciclo di vita del documento informatico.
A breve si vedrà quale testo di correttivo al CAD sarà pubblicato in Gazzetta Ufficiale e quali linee guida sarà utile avere per innovare e non per confondere.
