Da un po’ di tempo sono in vigore nuove forme di “firma elettronica” utilizzabili dagli utenti informatici e della rete internet. Con il decreto legislativo 23 gennaio 2002, n. 10, è stata infatti attuata anche nel nostro paese la direttiva dell’Unione Europea 1999/93/CE, che imponeva a tutti gli Stati membri di adottare legislazioni uniformi in materia, con lo scopo di rendere più chiari gli scambi e le comunicazioni all’interno della Comunità. L’Italia aveva già un suo tipo, completamente implementato ed utilizzabile, di firma elettronica, la cosiddetta firma AIPA. Con la nuova legge, sono stati riconosciuti, accanto al vecchio tipo, due nuove forme di firma elettronica. Le firme elettroniche attualmente esistenti sono pertanto tre: la firma elettronica tout court, la firma elettronica avanzata o firma digitale e la firma digitale pesante o avanzata che corrisponde alla vecchia firma AIPA. Ovviamente, le tre forme di sottoscrizione elettronica si distinguono tra loro per modalità di apposizione e, conseguentemente, per il grado di sicurezza che sono in grado di offrire.
1) La firma elettronica pura e semplice, la più debole di tutte, consiste per la legge in un “insieme di dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica”. Si tratta, appunto, della forma più blanda di sottoscrizione elettronica, tanto che viene detta anche firma leggera, firma debole, firma “non AIPA”. Si ha, ad esempio, quando per accedere ad un determinato documento è necessario inserire un user name e una password o anche semplicemente un PIN. Si tratta quindi di un tipo di firma già diffusa nella pratica anche prima dell’attuazione della direttiva UE che viene ora espressamente riconosciuta e qualificata dalla legge italiana.
2) La “firma elettronica avanzata” è quella “ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente identificati”. Praticamente è la firma apposta a quei documenti che sono stati, ad esempio, criptati con programmi appositi, tra cui il più famoso è sicuramente il PGP (Pretty Good Privacy) ma senza l’utilizzo di apparati hardware tipo smartcard. In questo caso, dal punto di vista tecnico, c’è un certo grado di sicurezza circa l’attribuzione della paternità del documento e la sua integrità, che cresce parallelamente alla complessità del software impiegato e alla bontà della stessa, che la legge mostra di tenere in considerazione. Si tratta, insomma, di una firma sicuramente più importante di quella elettronica pura e semplice, anche se non sicuramente la più forte.
3) La firma digitale, infatti, che offre maggiori sicurezze in assoluto è quella attualmente detta pesante o avanzata o firma AIPA. Si tratta appunto della firma che era già prevista in Italia, in forza del DPR 445/2000 e che è stata solo parzialmente modificata dall’attuazione della direttiva UE, che ne ha chiarito la efficacia. E’ la sottoscrizione che si appone tramite l’utilizzo di apparecchiature hardware e cioè di lettori di smartcard che leggono il certificato contenuto nella carta e garantisce in questo modo il più alto grado di sicurezza possibile circa la provenienza del documento da chi l’ha sottoscritto e la sua integrità.
Per quanto riguarda, la efficacia dei tre tipi di firma elettronica, bisogna distinguere tra firma leggera, da un lato, e, dall’altro, tra firma avanzata o pesante apposta mediante certificati avanzati e tramite l’utilizzo di smartcard.
Circa la firma elettronica leggera, la nuova legge non è per la verità molto chiara sul valore che ha il documento digitale sottoscritto in questo modo. E’ previsto che si consideri come un documento scritto, anche se non è fisicamente esistente su carta, ma, per quanto riguarda la sua attendibilità, il giudice che eventualmente fosse chiamato a valutare la stessa, sarebbe libero di farlo, così come per qualsiasi altro mezzo di prova, tenendo solo presente, genericamente, le sue “caratteristiche oggettive di qualità e sicurezza”. Da questo punto di vista, pertanto, non si può mai sapere quale sarà, in caso di contestazioni, il valore che sarà riconosciuto ad un documento sottoscritto in questo modo. Questa firma nella pratica è pertanto destinata ad essere la classica soluzione “meglio di niente” ma è ovvio che per cose importanti dove la sicurezza è fondamentale non può essere seriamente utilizzata.
Le cose sono molto più chiare, invece, per la firma elettronica o digitale avanzata o pesante, quando la sottoscrizione è stata apposta tramite certificati particolarmente qualificati e mediante l’uso di un dispositivo hardware, cioè sostanzialmente tramite smartcard. I documenti “chiusi” con questa firma fanno piena prova, fino a “querela di falso”, della provenienza delle dichiarazioni da chi li ha sottoscritti. E’ praticamente una scrittura privata riconosciuta, un documento come quello che si farebbe davanti ad un pubblico ufficiale che attesta che la sottoscrizione è stata apposta da chi ne appare come l’autore, in modo che non potrà mai più essere contestata la paternità del documento. Chi mette una firma come questa in un documento elettronico, non ha praticamente più la possibilità di sostenere di non essere l’autore di quel documento e quindi l’affidabilità è massima. L’unico caso è quello di dimostrare la falsità del certificato, cosa naturalmente assai ardua da fare.
Per quanto riguarda, infine, la firma elettronica avanzata che non sia stata apposta tramite certificati qualificati e mediante l’impiego di smartcard, la legge non dice molto sul punto per cui la sua validità è quella, sostanzialmente, della firma elettronica debole, con il vantaggio di garantire, dal punto di vista tecnico, sicuramente maggiore sicurezza, che però dovrà essere illustrata al giudice del caso concreto, che rimane sempre libero di valutare il documento come meglio crede.
Praticamente, a tutt’oggi, la firma digitale più sicura è quella appunto apposta tramite smartcard e tramite un certificato qualificato, quindi la “vecchia” firma AIPA, che già esisteva nel nostro Paese prima dell’attuazione della direttiva UE, che, con il nuovo intervento, è stata solo chiarita nella sua efficacia. Chi intende avere risultati certi nell’impiego della firma digitale per la sottoscrizione dei propri documenti, è bene che continui ad impiegare o richiedere la vecchia firma digitale, che attualmente si chiama pesante o avanzata. Non volendo dotarsi di tutti gli strumenti necessari, rimane sempre l’alternativa delle altre due firme “minori”, da adottare con la consapevolezza che però sono più contestabili in un eventuale giudizio.
