Legali.com
il sito degli avvocati italiani

Sito per gli avvocati italiani, per tenersi aggiornati, sfruttare le nuove tecnologie, dialogare con i colleghi, sottoporre quesiti giuridici, fare ricerche in ambito legale.
I giuristi che vogliono inviare articoli o notizie, si possono registrare online inserendo i propri dati dal link "Connettersi", posto in fondo alla pagina a sinistra. Clicca qui per vedere il video con le istruzioni per la pubblicazione degli articoli.

PEC, dematerializzazione e firma digitale: verso quale approdo ?
Articolo pubblicato online il 22 dicembre 2008
Ultima modifica il 19 dicembre 2008

di Nicola Fabiano
Stampare logo imprimer

Novit in tema di nuove tecnologie a seguito del noto decreto legge "anti crisi" approvato allo scorso Consiglio dei ministri del 28 novembre 2008 ed in corso di pubblicazione sulla Gazzetta Ufficiale.
L’art. 16 del citato decreto legge rende obbligatoria la PEC (posta elettronica certificata) per le imprese costituite in forma societaria e i professionisti iscritti in albi ed elenchi. Inoltre anche le Amministrazioni pubbliche (cio, ex art. 1, comma 2, D.Lgs 165/2001, tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunit montane e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale) devono provvedere ad istituire una casella di PEC per ciascun registro di protocollo, dandone comunicazione al CNIPA.
Le comunicazioni tra le amministrazioni pubbliche che abbiano provveduto alla istituzione della PEC la potranno utilizzare senza necessit che il destinatario abbia dichiarato "la propria disponibilit ad accettare l’utilizzo" (comma 9).
Vengono abrogati alcuni commi (4, 5, 6 e 7) del D.P.R. 68/2005 che disciplina la PEC; in particolare, si trattava della utilizzabilit della PEC in maniera facoltativa. Pi rilevante l’abrogazione del comma 6, secondo cui La validit della trasmissione e ricezione del messaggio di posta elettronica certificata e’ attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna, di cui all’articolo 6.
Infine, stata introdotta una modifica all’art. 23 CAD (Codice dell’Amministrazione Digitale D.Lgs 7/3/2005, n. 82) mediante la sostituzione dei commi 4 e 5. Alla luce della nuova formulazione normativa, viene data attuazione alla c.d. "dematerializzazione", ossia al processo attraverso il quale possibile sostituire il documento analogico (cartaceo) originale con la sua copia digitale, mediante l’utilizzo della firma digitale di chi lo detiene e nel rispetto delle regole; un emanando decreto del presidente del Consiglio dei ministri stabilir "particolari tipologie di documenti analogici originali unici per le quali, in ragione della natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico", ovvero in caso di "conservazione ottica sostitutiva" sar necessaria la conformit all’originale "autenticata da un notaio o da altro pubblico ufficiale a ci autorizzato con dichiarazione da questi firmata digitalmente e allegata al documento informatico".

Bene, qualche breve commento.
Non il caso di ribadire tutti i dubbi e le riserve gi espressi (Altalex) un po’ di tempo fa sulla natura giuridica della PEC, sulla sua funzionalit, ecc. In questa sede va solo ribadito che si tratta di un prodotto assolutamente unico al mondo e tutto "made in Italy". Inoltre, sul piano tecnico non interoperabile: difatti, affinch due o pi soggetti possano comunicare mediante la PEC necessario che tutti siano titolari di una casella di posta elettronica certificata, altrimenti viene generato un messaggio di errore corrispondente a "anomalia messaggio" quando mittente o destinatario ha inviato un messaggio da una casella di posta che non certificata (PEC). In sostanza, qualora l’utente non fosse in possesso di una casella di PEC potrebbe tranquillamente leggere il messaggio inviato (salvo che non sia criptato) e, nel contempo, sarebbe in grado anche di rispondere; il destinatario, da parte sua, sar in grado di leggere il messaggio inviato senza PEC. Tuttavia in queste ipotesi il sistema genererebbe un messaggio di errore corrispondente a "anomalia messaggio" con l’unica conseguenza della mancanza di effetti legali secondo il D.P.R. 68/2005. Tutto ci non determina una difficolt tecnica nella lettura/invio/ricezione dei messaggi, bens l’assoluta mancanza di validit "agli effetti di legge" ai sensi dell’art. 4, comma 1, D.P.R. 68/2005. Del resto, proprio sulla PEC, appena il caso di menzionare l’ultimo documento dello IETF (scadenza aprile 2009) secondo cui i providers che gestiscono la PEC devono adottare adeguate misure di sicurezza soprattutto sul server LDAP.
Tra gli aspetti pi rilevanti di questo provvedimento si annovera l’obbligo che grava in capo agli ordini e collegi professionali di pubblicare "in un elenco consultabile in via telematica i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata". Ci si domanda, posto che non precisato, quali debbano essere le modalit per la pubblicazione di questo elenco; difatti, in assenza di particolari precisazioni, sembra che tale elenco sia pubblico e, quindi, consultabile da chiunque. Una simile modalit, al di l di eventuali problemi connessi con la normativa sulla privacy, esporrebbe i titolari degli indirizzi email ai numerosi rischi connessi con i fenomeni di spamming, phishing, invio di virus, ecc. Evidentemente il Governo non si posto particolari problemi tecnici, ritenendo che fosse pi utile avviare il processo di utilizzo della PEC mediante la pubblicazione degli elenchi. A questo punto, i providers che gestiranno il sistema di PEC dei professionisti, dovranno attrezzarsi con le adeguate misure di sicurezza per evitare che il titolare della PEC possa divenire destinatario dei fenomeni appena descritti.
In realt, la disposizione in commento, si allinea a quanto gi disposto dall’art. 2, comma 589 L. 24/12/2007, n. 244 (legge finanziaria 2008), secondo cui "Il Centro nazionale per l’informatica nella pubblica amministrazione (CNIPA) effettua, anche a campione, azioni di monitoraggio e verifica del rispetto delle disposizioni di cui all’articolo 47 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, nonch delle disposizioni in materia di posta elettronica certificata ". L’orientamento era quello di utilizzare concretamente la PEC.
Altro aspetto riguarda la scelta legislativa della "firma digitale" contenuta nel comma 12 che riforma i commi 4 e 5 dell’art. 23 CAD. Tale posizione in linea con quanto disposto con il disegno di legge n. 1441 bis, "Disposizioni per lo sviluppo economico, la semplificazione, la competitivit, la stabilizzazione della finanza pubblica e la perequazione tributaria", il quale fa anche riferimento alla firma digitale. In sostanza il legislatore orientato alla soluzione della firma digitale piuttosto che di altro tipo di firma (ad es. firma elettronica qualificata). Ci estremamente rilevante in ordine alla scelta della tecnologia adottata dal legislatore che opta apertamente per la soluzione della coppia di chiavi asimmetriche invece della tipologia neutra offerta dalla firma elettronica qualificata. Ci quanto traspare dai testi normativi, perch impensabile supporre che il legislatore utilizzi in maniera indifferenziata firma digitale e firma elettronica qualificata quasi come fossero sinonimi.

appena il caso di menzionare il recentissimo documento (finale) della Commissione Europea datato 28/11/2008 " Action Plan on e-signatures and e-identification to facilitate the provision of crossborder public services in the Single Market ". Tale documento, connesso fondamentalmente con la direttiva dei servizi del mercato interno (Direttiva 2006/123/EC), assume comunque notevole rilievo anche per ulteriori aspetti. Difatti, preliminarmente, vengono chiariti alcuni dubbi che hanno tormentato gli interpreti della Direttiva 1999/93/EC sin dal tempo della sua pubblicazione. In sostanza, la Commissione chiarisce come l’articolo 2.2 della direttiva sulle firme elettroniche, definisce la firma elettronica avanzata in modo generico e, in effetti, contempli tre "forme" (cos le identifica) di firme elettroniche: a) la firma elettronica semplice, b) la firma elettronica avanzata (AES: acronimo di advanced electronic signature) e c) la firma elettronica qualificata (QES: qualified electronic signature) basata su un certificato qualificato (QC) e creata da un dispositivo di firma sicuro; offre il massimo livello di sicurezza sia che i dati provengono dal sua presunto mittente e sia che gli stessi dati trasmessi non siano stati alterati. Pertanto, solo la firma elettronica qualificata garantisce il massimo livello di sicurezza.
Tutto ci assume rilevanza, dapprima in quanto la citata direttiva contenendo soltanto le definizioni di firma elettronica (semplice) e di firma elettronica avanzata ha indotto taluni a ritenere che le tipologie (o forme) di firma fossero solo due. In secondo luogo la suddetta precisazione assume ulteriore rilevanza giacch escluso il riferimento alla firma digitale, con ci denotando la scelta metodologica adottata a livello europeo di optare per una tipologia di firma con contenuto neutro (sul punto, G. Finocchiaro, Firma digitale e firme elettroniche, Milano, 2003) rispetto alla firma digitale che, per sua natura, vincolata alla tecnologia della coppia di chiavi asimettriche.

Al di l di questi rilevanti aspetti sorge il problema della affidabilit delle firme (in realt, dei relativi certificati qualificati) provenienti da altri Paesi allorquando si opera in contesti internazionali. Cos come gi prospettato dallo scrivente (Qual la rilevanza giuridica della firma elettronica ?, in RDEGNT - Rivista di Diritto, Economia e Gestione delle Nuove Tecnologie, fasc. 4 (ott.-dic. 2007), 412) la Commissione Europea sta effettuando uno studio per l’istituzione di un "Trusted List of supervised qualified Certification Service", ossia un elenco di certificatori accreditati (una sorta di albo fiduciario), nonch fra l’altro sul profilo dei dispositivi per la creazione di una firma sicura e il formato delle firme elettroniche qualificate/ avanzate.

Tra le azioni proposte dalla Commissione: in questa sede si possono annoverare: a) compilare un "Trusted List of supervised qualified Certification Service Providers" a livello europeo; b) stabilire linee guida e di orientamento su requisiti comuni per aiutare i soggetti interessati ad attuare QES o AES basata su QC in un modo interoperabile.
In sostanza, evidente come l’evoluzione normativa italiana in materia di firme (elettroniche/digitali) non sia del tutto allineata con le azioni dell’Unione Europea da cui si evince la chiara posizione di adottare la metodologia "neutra" circa il contenuto tecnologico delle firme, mentre in Italia si insiste per l’utilizzo della firma digitale.
In conclusione, salvo che non si pervenga ad ulteriori modifiche legislative attraverso cui optare per differenti soluzioni tecnologiche, ci si dovr predisporre all’utilizzo della PEC, della firma digitale ed anche al caos che ne scaturir.

Parole chiave associate

evento a venire

Non di evento a venire


Sito realizzato con SPIP
con il modello ESCAL-V3
Versione: 3.79.33