COMMENTO
Il documento in rassegna contiene lo Schema del Decreto Presidente del Consiglio dei Ministri in corso di approvazione (la versione disponibile – dopo il passaggio alla Conferenza Unificata e al Garante per la protezione dei dati personali – è stata sottoposta alla Commissione U.E. per commenti: v. www.digit-PA).
Il provvedimento in fieri riscrive, in coerenza alle più recenti novità in tema di firme elettroniche apportate al D. Lgs. 7 marzo 2005 n. 82, recante codice dell’amministrazione digitale (C.A.D.) dal D. Lgs. 30 dicembre 2010, n. 235, il quadro delle regole tecniche sulle firme elettroniche (qualificate, digitali e avanzate), in sostituzione del d.P.C.M. 30 marzo 2009, recante “Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici.”.
Il testo si compone di 63 articoli suddivisi in 6 titoli:
Titolo I Disposizioni generali
Titolo II Firme elettroniche qualificate e digitali
Titolo III Certificatori accreditati
Titolo IV Regole per la validazione temporale mediante marca temporale
Titolo V Firma elettronica avanzata
Titolo VI Disposizioni finali.
Senza pretesa di completezza, si può segnalare che rispetto al precedente d.P.C.M. 30 marzo 2009:
1.- è stata modificata la definizione di marca temporale (lett. i) art. 1), che ora indica “il riferimento temporale che consente la validazione temporale e che dimostra l’esistenza di un’evidenza informatica in un tempo certo“;
2.- è stata modificata la definizione di riferimento temporale (lett. m) art. 1), che ora designa l’“evidenza informatica, contenente la data e l’ora, che viene associata ad uno o più documenti informatici;”
3.– è stato ampliato il novero delle definizioni applicabili ai fini delle regole tecniche, con l’inserimento all’art. 1 delle seguenti ulteriori lettere:
“n) dispositivi sicuri per la generazione della firma elettronica qualificata: mezzi sui quali il firmatario può conservare un controllo esclusivo la cui conformità è accertata ai sensi dell’art. 12;
o) dispositivi sicuri per la generazione della firma digitale: mezzi sui quali il firmatario può conservare un controllo esclusivo la cui conformità è accertata ai sensi dell’articolo 12 ovvero ai sensi dell’articolo13;
p) HSM: insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche;
q) firma remota: particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse;
r) firma automatica: particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo;
s) certificato di attributo: certificato elettronico contenente le qualifiche di cui all’articolo 28, comma 3, lettera a) del Codice, possedute da un soggetto;
t) soluzioni di firma elettronica avanzata: soluzioni strumentali alla generazione e alla verifica della firma elettronica avanzata di cui all’articolo 1, comma 1, lettera q‐bis) del Codice.“
Le definizioni aggiunte sono fondamentali per la comprensione e l’applicazione dell’intero testo, e trovano ampia rilevanza nel decreto in gestazione.
Da segnalare che, ad esempio, ai sensi dell’art. 3 dello Schema,:
– la firma elettronica qualificata è generata esclusivamente con i dispositivi di cui all’art. 1, co. 1, lettere n) e p);
– la firma digitale è generata con i dispositivi di cui all’art. 1, co.1, lettere o) e p).
4.- è stata inserita nel Titolo II una disciplina maggiormente dettagliata in ordine agli aspetti tecnici delle firme “forti”, che ora comprendono non solo le firme digitali (come avveniva nel precedente decreto) ma anche le firme elettroniche qualificate.
Il Titolo II ha, quindi, subito profonde revisioni, risultando significativamente:
– ampliato il novero delle chiavi afferenti i certificati qualificati inerenti alle firme ed i correlati servizi, comprendendovi ora:
d) chiavi dedicate alla sottoscrizione delle informazioni sullo stato di validità dei certificati;
e) chiavi destinate alla sottoscrizione del separato certificato di attributo.
– integrato e ampliato il plesso delle regole tecniche in tema di generazione e custodia delle chiavi;
– integrato e ampliato il plesso delle regole tecniche in tema di dispositivi sicuri per la generazione della firma digitale e elettronica qualificata;
5.– vengono sostanzialmente modificate le regole relatived ai “Certificatori accreditati” (Titolo III), con la previsione di nuovi e più stringenti obblighi a carico dei certificatori (v. l’aggiunta dei commi 5-10, all’art. 42, in tema di “obblighi dei certificatori accreditati“, articolo corrispondente all’art. 8 del vigente d.P.C.M. 30 marzo 2009).
“5. I certificatori accreditati, al fine di ottenere e mantenere il riconoscimento di cui all’articolo 29, comma 1, del Codice assicurano la “valorizzazione dell’estensione qcStatements id‐etsi‐qcs‐QcSSCD esclusivamente nei certificati qualificati la cui corrispondente chiave privata sia custodita nei dispositivi di cui all’articolo 12.
6. I sistemi di generazione e verifica delle firme elettroniche qualificate e delle firme digitali, forniti o indicati dal certificatore accreditato ai sensi degli articoli 11, comma 8 e 14, comma 1, non devono consentire a quest’ultimo di conoscere gli atti o fatti rappresentati nel documento informatico oggetto del processo di sottoscrizione o verifica.
7. Al fine dell’attività di cui all’articolo 31 del Codice, il certificatore deve consegnare a DigitPA un esemplare dei dispositivi di firma elettronica qualificata e di firma digitale forniti ai titolari. Il primo periodo non si applica in relazione ai dispositivi di firma HSM.
8. Al fine dell’attività di cui all’articolo 31 del Codice, il certificatore deve consegnare a DigitPA copia delle applicazioni di generazione e verifica delle firme elettroniche qualificate o delle firme digitali fornite ai titolari per uso personale.
9. Al fine del mantenimento dell’accreditamento di cui all’articolo 29 del Codice, il certificatore è obbligato a partecipare alle sessioni di test di interoperabilità indicate da DigitPA.
10. I certificatori rendono disponibile a DigitPA un servizio che consenta, ai fini dell’articolo 34, comma 4, di conoscere se, per un determinato codice fiscale, sia stato emesso un certificato qualificato e, in caso affermativo, la sua scadenza. DigitPA, sentite le associazioni di categoria e il Garante per la protezione dei dati personali, indica in un proprio provvedimento le caratteristiche del servizio, le modalità e i vincoli per la sua fruizione.”;
6.- la disciplina relativa alle regole per la validazione temporale mediante marca temporale (Titolo IV) non risulta, invece, sostanzialmente modificata;
7.– infine, lo Schema contiene un gruppo di disposizioni (Titolo V, artt. 55-61) dedicato alla “Firma elettronica avanzata“.
Come si sa, la realizzazione di soluzioni di firma digitale e firma elettronica qualificata è soggetta a forme di autorizzazione preventiva.
Lo Schema di decreto prevede che, invece, la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.
Il decreto individua le condizioni affinché la firma in questione possa garantire i crismi della forma scritta, anche ex art. 2702 c.c., in ossequio allo standard normativo desumibile dagli artt. 20, co. 1‐bis, e 21, co. 2, C.A.D.
– comma 1-bis art. 20 C.A.D.: “l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualita’, sicurezza, integrita’ ed immodificabilita’, fermo restando quanto disposto dall’articolo 21″;
– comma 2, art. 21 C.A.D.: “Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilita’ dell’autore, l’integrita’ e l’immodificabilita’ del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.“
Orbene, lo Schema in esame prevede che ai fini delle norme del C.A.D. sopra menzionate, le soluzioni di firma elettronica avanzata devono garantire i seguenti requisiti:
a) l’identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
h) la connessione univoca della firma al documento sottoscritto.
La soluzione sottesa alla firma elettronica avanzata deve anche soddisfare – ancorché non ai fini degli artt. del C.A.D. indicati sopra – il requisito di cui alla lett. f) art. 56 Schema (“f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a)” (cioè dell’erogatore della soluzioni di firma elettronica avanzata).
*
Riportiamo il testo in formato pdf dello Schema di d.P.C.M.: Schema_Regole_tecniche-firme_elettroniche