Il Regolamento eIDAS e le modifiche al CAD ed al PCT Consiglio Superiore della Magistratura - Settima Commissione Commissione per l’organizzazione degli uffici giudiziari Roma, 29-30 Maggio 2017 Il Regolamento eIDAS e le modifiche al CAD ed al PCT
L’eIDAS nelle fonti del diritto dell’informatica C.A.D. – dlt 82/2005 PCT (DL 193/2009) PCT (DL 179/2012) Art. 71 CAD Dm 44/2011 dpcm 13/11/2014 dpcm 03/12/2013 dpcm 22/02/2013 Provv. DGSIA 16/4/2014
Necessità di adeguamento della normativa del CAD eIDAS si inserisce in un apparato normativo già maturo Dlgs 179 del 26/8/2016
In sintesi: novità più rilevanti apportate nel CAD dal dlt 179/2016 Definizioni di cui all’art. 1 CAD (adeguate all’art. 3 eIDAS) Estensione dell’ambito di applicazione del CAD alle società a controllo pubblico Affermazione del principio di libertà digitale («chiunque» in luogo di «tutti i cittadini») Norme sui pagamenti in favore della PA Obbligo per le PA di rendere disponibili i propri servizi per via telematica Connettività Wi-Fi presso gli uffici pubblici (settore scolastico, sanitario e turistico) Riformulazione degli artt. 2 e 22 CAD in tema di efficacia della firma elettronica e copie informatiche «Contrassegno» o «glifo» o «timbro digitale» a stampa Modalità di estrazione delle copie mediante processi Spostamento sistematico di alcune norme Norme di coordinamento con la normativa comunitaria (ad es. in materia di servizi fiduciari) Norme sul Servizio Pubblico di Identità Digitale Modifica dell’art. 71 dele CAD («… di concerto con il Ministro della Giustizia…»)
SPECIALITA’ DELLE NORME SUL PROCESSO CIVILE TELEMATICO Art. 2 dlt 179/2016, comma 6: «le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico»
Regole e Specifiche tecniche Standard internazionali Legge primaria Regole e Specifiche tecniche Standard internazionali
Il raggiungimento dello scopo Utilizzo di formati non consentiti Art. 156 c.p.c. Il raggiungimento dello scopo va valutato in relazione alla idoneità alla funzione di «documentare» e non solo a quella di «rendere conoscibile» l’atto Patologie processuali che risalgono alla violazione di regole e specifiche tecniche Pdf immagine in luogo di quello testuale Altri vizi nei depositi telematici
File e documento informatico File: contenitore di informazioni in formato digitale Documento informatico: «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» Capacità rappresentativa
Documento informatico (C. A. D Documento informatico (C.A.D.): «documento elettronico che contiene una rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» Documento elettronico (eIDAS): «qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva». All’aver attinto a piene mani dalla c.d. teoria della rappresentazione consegue che l’intero assetto normativo e quello tecnico regolamentare, connessi all’istituto del documento informatico, siano ispirati dall’esigenza di garantire in ogni condizione e di mantenere inalterata nel tempo questa capacità rappresentativa: il comune denominatore delle norme, primarie e regolamentari che governano l’ormai non più giovane istituto del documento informatico è costituito dall’esigenza di tendere non solo verso caratteristiche di qualità, sicurezza, integrità e immodificabilità nel tempo, ma anche di rispondenza a standard, in guisa tale da consentire all’utente di poter agevolmente risalire allo strumento tecnico per la traduzione dei file informatici in qualcosa che sia suscettibile di percezione con i sensi umani e di poter compiere tale operazione senza eventuali ostacoli derivanti da deficit soggettivi: ed è così che le regole tecniche dettate per il documento informatico (ma in generale per qualunque istituto di tale branca del diritto) devono non solo rispondere alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione Europea ed essere conformi ai requisiti di accessibilità di cui ai decreti4 emanati ai sensi della c.d. “Legge Stanca”, ma si integrano e si completano inevitabilmente con quelle sulla conservazione e con quelle sulle firme elettroniche e, in campo nazionale, con le regole tecniche sulla tutta italica posta elettronica certificata. La capacità rappresentativa di “dati”, che pur parrebbe l’elemento di maggiore novità rispetto alla definizione tradizionale di documento, non costituisce però il vero discrimine tra il documento analogico e quello informatico, se è vero – com’è vero ed innegabile – che i dati possono essere rappresentati anche da documenti analogici (si pensi ad un estratto conto bancario o ad una rubrica telefonica in formato cartaceo): ciò che contraddistingue il documento informatico è la sua immaterialità, vale a dire la sua forma elettronica. Traduzione dall’inglese «stored»…
REGOLE COMUNI E COMPLEMENTARI dpcm 13/11/2014 regole tecniche sui documenti dpcm 3/12/2013 regole tecniche sulla conservazione REGOLE COMUNI E COMPLEMENTARI
Il principio di “non discriminazione” dei documenti nell’eIDAS: sarà anarchia digitale? Le resistenze, per così dire anche psicologiche, verso i processi di digitalizzazione e la diffidenza culturale nei confronti del documento informatico in relazione alla sua capacità di costituire prova nei procedimenti giudiziari deve aver influenzato il legislatore europeo allorquando ha formulato i quattro principi di non discriminazione sanciti dal Regolamento 910/2014 e, in particolare quello di cui all’art. 46, secondo il quale « A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica»: principio questo ribadito in termini sovrapponibili, da altre norme con riferimento alle firme elettroniche (art. 25), ai sigilli elettronici (art. 35) ed alla validazione temporale (art. 41).
Art. 46 Reg. 910/14 (eIDAS) « A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica» Le resistenze, per così dire anche psicologiche, verso i processi di digitalizzazione e la diffidenza culturale nei confronti del documento informatico in relazione alla sua capacità di costituire prova nei procedimenti giudiziari deve aver influenzato il legislatore europeo allorquando ha formulato i quattro principi di non discriminazione sanciti dal Regolamento 910/2014 e, in particolare quello di cui all’art. 46, secondo il quale « A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica»: principio questo ribadito in termini sovrapponibili, da altre norme con riferimento alle firme elettroniche (art. 25), ai sigilli elettronici (art. 35) ed alla validazione temporale (art. 41).
Le altre declinazioni del principio di non discriminazione nell’eIDAS Art. 25: «A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate» ART. 35: «A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati» Art. 41: «Alla validazione temporanea (rectius: temporale) elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata» Affermazioni ante litteram di tale principio sono costituite dalle norme già contenute nel nostro decreto legislativo n. 82/2005, ed in particolare nell’art. 20, comma 2-bis, secondo il quale «L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità». Ed anche l’art. 21, comma 1, CAD, con riferimento ai documenti informatici muniti di firma elettronica, secondo il quale «Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità».
Art. 46 « A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica» A ben vedere, però, una formulazione così ampia, qual è quella adottata nell’art. 46 del Regolamento 910/14 e degli altri connessi principi di non discriminazione rischiava di creare nel diritto dell’informatica un anticorpo in grado di mettere in crisi la normativa nazionale con essi in conflitto (si pensi ai requisiti di forma, ad esempio, previsti dall’art. 21, comma 2 bis CAD, in relazione alla forma ad substantiam ex art. 1350 c.c.) e di fagocitare l’intero sistema del diritto dell’informatica, fondato com’è inevitabilmente su regole e specifiche tecniche: alle quali, per quanto dettate sotto forma di norma di rango subordinato rispetto alla Legge od alla norma europea, ne costituiscono indispensabile ed indissolubile estensione.
Davvero gli effetti giuridici di qualsivoglia documento informatico si producono «a prescindere» dalla qualità della forma elettronica, dalla qualità delle firme, sigilli e validazioni temporali in tutti gli stati membri? Art. 2, co. 3, eIDAS
Art. 2, co. 3, eIDAS Il presente regolamento non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma. Prevalgono le norme CAD che prescrivono requisiti di forma (es: firma digitale per gli atti pubblici (art. 21, comma 2 ter), FD per la forma scritta ex art. 1350 c.c. (art. 21, comma 2 bis)… Sotto il primo profilo, a presidio dell’autonomia del sistemi nazionali, sta l’art. 2, comma 3, eIDAS, secondo il quale il regolamento stesso «non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma». Quanto alle regole tecniche, il discorso diviene più complesso, dacché trattasi, come noto e come già accennato, di norme di rango subordinato. Se tuttavia si riflette sul contenuto dell’art. 71 del C.A.D., secondo il quale i dettami tecnici di dettaglio che devono rispondere agli standard internazionali oltre che ai requisiti di accessibilità, ci si convincerà che al rango normativo formalmente inferiore delle norme ivi previste fa da contraltare il fatto che, ipotizzando per assurdo l’assenza di qualsivoglia regola tecnica che disciplini, ad esempio, i formati, ci si troverebbe di fronte a file informatici che, in quanto non riconducibili a uno specifico software per la relativa “lettura”, non sarebbero interpretabili nel relativo contenuto, a detrimento della certezza della documentazione dei rapporti giuridici: eppure essi conserverebbero quell’efficacia giuridica ed il valore probatorio che l’art. 46 eIDAS riserva loro!
Se il principio di non discriminazione RAPPORTO TRA LE REGOLE TECNICHE EX AT. 71 ED IL PRINCIPIO DI NON DISCRIMINAZIONE Se il principio di non discriminazione trovasse applicazione indiscriminata sarebbe anarchia tecnica totale!
Le R.T. devono infatti rispondere agli standard internazionali oltre che ai requisiti di accessibilità, ci si convincerà che al rango normativo formalmente inferiore delle norme ivi previste fa da contraltare il fatto che, ipotizzando per assurdo l’assenza di qualsivoglia regola tecnica che disciplini, ad esempio, i formati, ci si troverebbe di fronte a file informatici che, in quanto non riconducibili a uno specifico software per la relativa “lettura”, non sarebbero interpretabili nel relativo contenuto, a detrimento della certezza della documentazione dei rapporti giuridici. Eppure essi conserverebbero quell’efficacia giuridica ed il valore probatorio che l’art. 46 eIDAS riserva loro!
La norma ordinaria o comunitaria prevale sempre? Regole Tecniche ex art. 71 dm oppure dpcm fonte subordinata La norma ordinaria o comunitaria prevale sempre? Per rispondere, occorre riflettere sulla funzione e sulla natura di tali norme regolamentari. Esse esistono come norme di applicazione anche in ambito comunitario (decisioni di esecuzione)
La norma primaria è in grado di operare nell’ordinamento giuridico a prescindere dalla norma tecnica di applicazione ? NO ! Occorre distinguere nell’ambito delle R.T Regole tecniche in senso proprio (di natura tecnica informatica) Regole tecniche spurie, suppletive di una carenza (non tecnico informatica) della norma primaria Solo sulle seconde prevale la norma primaria. Senza le prime la norma primaria non potrebbe «funzionare». L’art. 71 CAD come norma «in bianco»
L’art. 20, comma 2-bis, CAD «L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità» COSTITUISCE APPLICAZIONE ANTE LITTERAM DEL PRINCIPIO DI NON DISCRIMINAZIONE. Nel prudente apprezzamento delle prove ex art. 116 c.p.c. rientrano quindi anche le valutazioni circa caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità dei documenti informatici
Conseguenze dell’entrata in vigore dell’ eIDAS Necessità di rivedere tutte le regole tecniche (come disposto dall’art. 61 dlt 179/2016) Conseguenza del principio di non discriminazione Revisione delle regole e delle specifiche tecniche per il PCT
Art. 2, comma 1, CAD: «Le disposizioni del presente codice si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165» Art. 2 comma 6, ultima parte, C.A.D.: «Le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico». Art. 40 CAD: «Le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri,con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui all'articolo 71». Si ricorda che lo stesso art. 2, comma 2, prevede che «Le disposizioni del presente codice si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165…» e che tale norma fa rientrare nel novero delle pubbliche amministrazioni, inter alia, «tutte le amministrazioni dello Stato»: quindi anche al Min. Giustizia!
ART. 61, comma 1, dlt 179/2016: «Con decreto del Ministro delegato per la semplificazione e la pubblica amministrazione da adottare entro quattro mesi dalla data di entrata in vigore del presente decreto sono aggiornate e coordinate le regole tecniche previste dall'articolo 71…Fino all'adozione del suddetto decreto ministeriale, l'obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all'articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, e' sospeso…
Il CAD si applica a tutte le amministrazioni di cui al dlt 165/2001 «Giustizia» rientra tra le amministrazioni ex dlt 165/2001 Le norme del CAD si applicano al PCT se compatibili e non derogate Non esiste alcuna norma nel PCT che deroghi all’art. 40 CAD Non appena in vigore le nuove RT, scatterà l’obbligo di deposito telematico di tutti i provvedimenti del Giudice Si ricorda che lo stesso art. 2, comma 2, prevede che «Le disposizioni del presente codice si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165…» e che tale norma fa rientrare nel novero delle pubbliche amministrazioni, inter alia, «tutte le amministrazioni dello Stato»: quindi anche al Min. Giustizia!
SERVIZI DI RECAPITO CERTIFICATO (art. 3 n. 36 eIDAS) «servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate» SERVIZI DI RECAPITO CERTIFICATO QUALIFICATO (art. 44 eIDAS) È reso da un prestatore di servizi fiduciari qualificati e garantisce con un elevato livello di sicurezza l’identificazione del mittente l’identificazione del destinatario prima della trasmissione dei dati mentre l’invio e la ricezione dei dati sono garantiti da una FEA o da un SEA
L’art. 1, comma 1-ter, CAD prevede che «ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato» La posta elettronica certificata richiama uno standard n (RFC 2633) per il formato S/MIME che non risponde agli standard di sicurezza eiDAS e neanche a quelli della direttiva 1999/93 (SHA1 e non SHA-2 (SHA256) La posta elettronica certificata non garantisce né l’identificazione del mittente (non è mai stata attuato quanto previsto dall’art. 65, lett. c) –bis «… posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare..» (la c.d. «PEC-ID») Problemi di compatibilità tra gli istituti del PCT che prevedono la PEC ed i servizi di recapito certificato
La P.E.C. come validazione temporale elettronica L’art. 41, comma 4, lett. c) del dpcm 22.2.2013 (recante le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali), è considerata validazione temporale opponibile ai terzi «il riferimento temporale ottenuto attraverso l’utilizzo di posta elettronica certificata ai sensi dell’art. 48 del Codice».
Validazione temporale semplice o qualificata? La collocazione tra i servizi di recapito certificato non qualificato crea implicazioni sulla validità della p.e.c. come validazione temporale?
Anche per la validazione temporale vige il principio di non discriminazione… (art. 41) «Alla validazione temporanea (rectius: temporale) elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata»
… e vige anche il reciproco riconoscimento: (art. 41, comma 3) ««una validazione temporale elettronica rilasciata in uno Stato membro è riconosciuta quale validazione temporale elettronica qualificata in tutti gli Stati membri»»
Validazione temporale qualificata (art. 42) «Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti: collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati; si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente»
Art. 9, comma 2, del dm 2.11.2005: “Il riferimento temporale può essere generato con qualsiasi sistema che garantisca stabilmente uno scarto non superiore ad un minuto secondo rispetto alla scala di Tempo Universale Coordinato (UTC), determinata ai sensi dell’articolo 3, comma 1, della legge 11 agosto 1991, n. 273” QUINDI «..collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati»
La PEC ha i requisiti previsti dall’art La PEC ha i requisiti previsti dall’art. 36 eIDAS per i sigilli elettronici avanzati, dacché le firme apposte alle pec sono sicuramente connesse unicamente al gestore firmatario (“creatore”), sono idonee ad identificare quest’ultimo, sono create «mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici» ed infine sono collegate ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati (firma detached): sussistono anche i requisiti di cui alle lettere a) e c).
Le firme elettroniche nell’eIDAS
DEFINIZIONE DI FIRMA NELL’EIDAS ART. 3 N. 10 «…dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare» Il principio di non discriminazione viene coniugato anche in riferimento alle firme elettroniche con l’art. 25 eIDAS: «ad una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate». Parallelamente, va pure sottolineata l’innovativa definizione di firma elettronica contenuta nell’art. 3 eIDAS come «dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare», che si distingue nettamente da quella adoperata dal CAD («l’insieme dei dati in forma elettronica allegati, oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica»).
DEFINIZIONE DI FIRMA NEL CAD ART. 1 lett. q (soppressa dal dlt 179/16) «…l’insieme dei dati in forma elettronica allegati, oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica»
Nel CAD (ante dlt 179/16) la firma costituiva, per definizione, mezzo di «identificazione» L’eIDAS restituisce alla firma elettronica un significato del tutto analogo a quello della firma autografa («per firmare») La definizione cad privilegia quindi la funzione identificativa mentre l’espressione (per certi versi tautologica) “per firmare” adoperata dal Regolamento appare invece voler riportare le firme elettroniche ad un concetto più prossimo a quello della firma tradizionale: attribuzione al firmatario del contenuto dell’atto, se del caso anche sotto il profilo volitivo, e non solo a quello della identificazione del firmatario stesso.
Definizione di FIRMA ELETTRONICA AVANZATA Art. 26 eIDAS Una firma elettronica avanzata soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. Riproduce essenzialmente il contenuto dell’abrogato art. 1 lett. q bis del CAD
FIRMA ELETTRONIC A QUALIFICATA Definizione di FIRMA ELETTRONICA QUALIFICATA Art. 3 n. 12 eIDAS «FIRMA ELETTRONICA QUALIFICATA», una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche; FIRMA ELETTRONIC A QUALIFICATA FEA + =
DLT 179/2016 Adeguamento norme del CAD DEFINIZIONI Viene abrogata la lettera r del CAD recante la definizione di firma elettronica qualificata Immutata la definizione di firma digitale all’art. 1 lett. s CAD Quanto alle definizioni, va segnalato che nel dichiarato obiettivo di armonizzazione del CAD con l’eIDAS, il dlt 179/2016 ha abrogato del primo l’art. 1 lett. r), recante la definizione di firma elettronica qualificata, e tale resta quindi quella dell’eIDAS . Sopravvive però alla lettera “s” dell’art. 1 CAD la definizione di firma digitale come «un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici»: in altri termini, la Firma Digitale è una firma elettronica qualificata con doppia chiave, una privata (per firmare) ed una pubblica, esposta nel certificato, per la verifica della firma stessa. Va pure ricordato che l’art. 25, comma 3 del Regolamento 910/2014 stabilisce che «Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri»: quindi la firma digitale italiana è, nel contesto europeo, a tutti gli effetti una firma elettronica qualificata.
Articolo 50 Abrogazione La direttiva 1999/93/CEE è abrogata con effetto dal 1o luglio 2016
Verifica di una firma PAdES apposta il 21/1/2017 ma con certificato rilasciato ai sensi della Direttiva 1999/93 Al riguardo, si segnalano novità di rilievo anche per quanto attiene alle specifiche tecniche delle firme elettroniche qualificate, per effetto delle decisioni di esecuzione previste dall’articolo 28 del regolamento (UE) n. 910/2014. Con la Decisione di Esecuzione 2016/650 del 25 aprile 2016 sono state infatti fissate le norme per la valutazione di sicurezza dei dispositivi per la creazione di firme e sigilli qualificati, decisione che – giova ricordarlo – si applica solo ai dispositivi sotto il diretto controllo dell’utilizzatore degli stessi (token e smart-card) e non anche alle firme remote. In particolare, al considerando n. 8 di detta decisione si prevede che «Per garantire che le firme o i sigilli elettronici generati da un dispositivo per la creazione di una firma o di un sigillo qualificati siano affidabilmente protetti da contraffazioni conformemente all’allegato II del regolamento (UE) n. 910/2014, sono prerequisiti per la sicurezza del prodotto certificato idonei algoritmi crittografici, lunghezze di chiave e funzioni hash. Poiché la materia non è stata armonizzata a livello europeo, gli Stati membri dovrebbero collaborare per concordare gli algoritmi crittografici, le lunghezze di chiave e le funzioni hash da usare nell’ambito delle firme e dei sigilli elettronici». In tale nuovo contesto e con specifico riferimento alle firme digitali apposte mediante utilizzo di dispositivi sotto il diretto controllo dell’utilizzatore, una delle novità tecniche più evidenti sotto il profilo pratico riguarda la lunghezza dell’algoritmo RSA adoperato per i certificati di firma. Al riguardo, si ricorda che sin dalle “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici” approvate con dpcm 13 gennaio 2004 era previsto che «in attesa della pubblicazione degli algoritmi per la generazione e verifica della firma digitale secondo quanto previsto dall’art. 3, i certificatori accreditati ai sensi dell’art. 28 del testo unico, devono utilizzare l’algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza delle chiavi non inferiore a 1024 bit» (art. 53). Tale requisito è in realtà rimasto identico anche sotto il vigore della direttiva 1999/93, abrogata dall’art. 50 dell’eIDAS, sino al ricordato atto di esecuzione che è intervenuto tra l’altro proprio su tale aspetto tecnico. Proprio grazie a tale dettaglio diventa abbastanza agevole, sul piano operativo, distinguere un certificato di firma eIDAS compliant da uno rispondente, invece, alla vecchia normativa tecnica: i nuovi certificati, infatti, devono avere una lunghezza pari o superiore a 2048 bit. E’ evidente che una innovazione di tal fatta non poteva non avere ripercussioni sugli utenti: si ricorda infatti che la validità dei certificati di firma è generalmente triennale sicché si è rivelata indispensabile la previsione transitoria contenuta nell’art. 51, paragrafo 2, eIDAS, secondo la quale «I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma elettronica a norma del presente regolamento fino alla loro scadenza»: nella maggioranza dei casi, infatti, gli utenti sono in possesso di dispositivi di firma digitale recanti certificati rilasciati prima del 1° luglio 2016 e, quindi, aventi lunghezza di 1024 bit e rispondenti pertanto alla direttiva 1999/93. La norma transitoria, quindi, consente di utilizzare tali certificati sino alla loro scadenza con valore di certificati di firma elettronica qualificata (digitale). L’art. 51 Reg. 910/2014 ha il suo omologo, nella legislazione nazionale, nell’art.62, comma 4, dlt 179/2012, secondo il quale «I certificati qualificati rilasciati prima dell’entrata in vigore del presente decreto a norma della direttiva 1999/93/CE, sono considerati certificati qualificati di firma elettronica a norma del regolamento eIDAS e dell’articolo 28 del decreto legislativo n. 82 del 2005, come modificato dall’articolo 24 del presente decreto, fino alla loro scadenza»: lo stesso art. 28 C.A.D. è stato fatto oggetto di un restyling di adeguamento alla normativa comunitaria, e ciò grazie all’art. 24 del dlt 179/2016 che ne ha pure modificato la rubrica (da “certificati qualificati” a “certificati di firma elettronica qualificata”), abrogato il comma 1 (che ne disciplinava il contenuto) a beneficio del rinvio operato dal comma 2 all’eIDAS («In aggiunta alle informazioni previste nel Regolamento eIDAS…»). Sul piano pratico, la differenza tra un documento firmato adoperando un certificato ante-eIDAS ed uno, invece, eIDAS compliant è facilmente rilevabile, verificando la firma e ricercando il certificato e le relative proprietà ove si evidenzia, nel primo caso, la conformità alla Direttiva europea 1999/93/EC (cui corrisponde un certificato a 1024 bit RSA):
Verifica di una firma PAdES apposta il 3/3/2017 ma con certificato rilasciato ai sensi dell’eIDAS
NORMA TRANSITORIA EIDAS Art. 51 paragrafo 2 «I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma elettronica a norma del presente regolamento fino alla loro scadenza» NORMA TRANSITORIA CAD ART. 62 comma 4 dlt 179/16 «I certificati qualificati rilasciati prima dell’entrata in vigore del presente decreto a norma della direttiva 1999/93/CE, sono considerati certificati qualificati di firma elettronica a norma del regolamento eIDAS e dell’articolo 28 del decreto legislativo n. 82 del 2005, come modificato dall’articolo 24 del presente decreto, fino alla loro scadenza»
ALTRE IMPORTANTI NOVITA’ NORMATIVE DA SEGNALARE modifica del primo comma dell’art. 21: «Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta… » eliminazione dell’inciso «che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento» nel secondo comma dell’art. 21, così armonizzando il concetto di firma a quello introdotto dall’art. 3 Eidas («per firmare»); ) spostamento, per ragioni sistematiche, della disposizione del vecchio comma 3 dell’art. 21, relativo all’uso di certificati scaduti o revocati, nel corpo del nuovo art. 24; la conferma, a chiosa del comma 2 dell’art. 21, del principio di specialità della normativa sul processo telematico anche in tema di firme elettroniche («Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico»)
Lo «scritto non scritto» Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta Principio di non discriminazione Qualunque documento, anche se «non scritto» in senso tradizionale (per es. mp3) firmato elettronicamente è «scritto» RIFLESSI SULLE NORME PROCESSUALI IN TEMA DI PROVA SCRITTA Lo «scritto non scritto»
I SIGILLI ELETTRONICI ART. 3 N. 25 eIDAS «dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi»
Il sigillo elettronico NON garantisce l’identificazione del titolare Il sigillo elettronico garantisce l’ORIGINE e l’INTEGRITA’ L’origine (il «creatore») può essere solo una persona giuridica AI fini dell’identificazione del soggetto che appone il sigillo serve la firma del relativo legale rappresentante
Le buste e le ricevute PEC sono apposti dai «gestori» che sono persone giuridiche Ciò che chiamiamo «Firme» delle PEC sono in realtà dei sigilli
Grazie per l’attenzione CONDIZIONI D’USO Salvo dove diversamente indicato, quest'opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia.