Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

School of managementL’Osservatorio Fatturazione Elettronica e Dematerializzazione, promosso dalla School of Management del Politecnico di Milano, organizza il convegno nazionale di presentazione dei risultati della Ricerca 2015-2016.

La digitalizzazione dei processi è un’importante opportunità e una leva strategica indispensabile per stimolare il recupero di competitività del nostro Paese. Le imprese faticano però a cogliere l’opportunità dell’innovazione digitale. Dopo l’obbligo di Fatturazione Elettronica verso la Pubblica Amministrazione, molte imprese stanno aspettando di conoscere quali incentivi il Legislatore vorrà mettere in campo per stimolare il “percorso digitale” anche nel B2b. In tempi di digital disruption, come si affronta il Digitale nelle imprese?

Il Convegno di presentazione dei risultati della Ricerca 2015/16 dell’Osservatorio Fatturazione Elettronica e Dematerializzazione, promosso dalla School of Management del Politecnico di Milano, proverà a dare una risposta alle seguenti domande: Che cos’è e quanto vale l’eCommerce B2b in Italia? Qual è il grado di digitalizzazione delle imprese in Italia? Quali le differenze tra grandi, piccole e micro imprese? Quali sono le imprese che oggi possiamo definire “digitali”? Come hanno affrontato il proprio percorso di Digitalizzazione? Quali sono i benefici riconosciuti dalle imprese che hanno realmente affrontato un percorso di digitalizzazione? Quali, invece, le criticità e le barriere ancora da superare? Qual è stato l’effetto della Fatturazione Elettronica verso la PA? Ci sono altre azioni che può mettere in atto il Legislatore per accelerare il processo di digitalizzazione delle nostre imprese?Quali sono gli incentivi che potrebbero realmente stimolare una trasformazione digitale delle imprese?

Il Convegno “Trasformazione Digitale: B2b… or not to be?” si terrà giovedì 16 Giugno 2016 dalle 9.00 alle 13.15 presso l’Auditorium Gio Ponti, Sede di Assolombarda, Via Pantano 9, 20122, Milano. Alle 11.40 Giusella Finocchiaro interverrà nella sessione dal titolo ”L’Italia in un mercato digitale europeo”.

Nell’ultimo anno la Ricerca si è posta i seguenti obiettivi:

• Monitorare le esperienze in Italia di Fatturazione Elettronica verso la PA, identicandone le «Good» e le «Bad» Practice;

• Monitorare le esperienze di Digitalizzazione, identicando le «Good Practice» e misurando la diusione a livello di liere e reti di imprese;

• Continuare a denire l’impatto della Digitalizzazione dei processi, a livello di singola impresa e di Supply Chain;

• Monitorare continuativamente evoluzione e sviluppi del quadro normativo nel nostro Paese e a livello Europeo;

• Analizzare criticamente il mercato dell’Oerta di soluzioni e servizi di Digitalizzazione in Italia;

• Accompagnare PA e imprese nell’identicare la propria roadmap di evoluzione Digitale;

• Continuare nel percorso di diusione culturale delle opportunità della Digitalizzazione a supporto dei processi di business;

• Raorzare il ruolo della Community sviluppata negli anni attorno all’Osservatorio.

La presentazione dei risultati della Ricerca sarà seguita da una tavola rotonda, in cui i principali rappresentanti delle istituzioni e del sistema imprenditoriale in Italia si confronteranno sulle opportunità offerte dal “Digitale” per rilanciare la competitività del Paese. Il Convegno sarà anche occasione per presentare numerose testimonianze di organizzazioni che già hanno avviato un percorso consapevole di Digital Business Transformation.

Il programma del convegno è disponibile QUI. Per maggiori informazioni sul Convegno contattare la Dott.ssa Eleonora Luca (email: eleonora.luca@polimi.it).

Digital-Signature-bluePubblicata in Gazzetta Ufficiale UE  la decisione di esecuzione 2016/650 del 25 aprile 2016  della Commissione Europea che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS.

Le norme per valutare la sicurezza dei prodotti delle tecnologie dell’informazione applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato a norma dell’articolo 30, paragrafo 3, lettera a), o dell’articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014, ove i dati per la creazione della firma elettronica o alla creazione del sigillo elettronico siano detenuti integralmente, ma non necessariamente in via esclusiva, in un ambiente gestito dall’utilizzatore, sono elencate nell’allegato della decisione. Disponibile QUI.

Fino all’istituzione da parte della Commissione di un elenco di norme per valutare la sicurezza dei prodotti delle tecnologie dell’informazione applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato, nel caso in cui un prestatore di servizi fiduciari qualificato gestisca i dati per la creazione di una firma elettronica o i dati per la creazione di un sigillo elettronico per conto di un firmatario o del creatore di un sigillo, la certificazione di tali prodotti è basata su un processo che, a norma dell’articolo 30, paragrafo 3, lettera b), rispetta livelli di sicurezza pari a quelli di cui all’articolo 30, paragrafo 3, lettera a), e sia notificata alla Commissione dall’organismo pubblico o privato di cui all’articolo 30, paragrafo 1, del regolamento (UE) n. 910/2014.

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.

Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.

Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.

Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.

Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.

Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.

Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.

Il nuovo art. 21 del CAD sarebbe il seguente:

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.

Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.

Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.

Forum PASi riporta qui l’articolo di Giusella Finocchiaro apparso sul magazine di Forum PA il 1 febbraio 2016.

Il Consiglio dei Ministri del 20 gennaio 2016 ha approvato, in esame preliminare, il decreto legislativo di modifica e integrazione del Codice dell’Amministrazione digitale (di seguito, per brevità “CAD”). Sperando di fornire un contributo costruttivo, esprimo alcune perplessità sulla nuova sistematizzazione della disciplina del documento informatico e delle firme elettroniche quale emerge dalla lettura della bozza.

Gli articoli rilevanti sul valore giuridico del documento informatico e sulla sua efficacia probatoria sono tre:

-l’art. 20 sul documento informatico senza firma;
-l’art. 21 sul documento informatico con firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale;
-l’art. 23 quater sulle riproduzioni informatiche.

Nel CAD vigente l’art. 20, comma 1-bis dispone che:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21”.

Nel nuovo CAD l’art. 20, comma 1-bis suonerebbe:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Dunque su questo punto non si verificherebbero particolari cambiamenti. L’art. 21, invece, sarebbe radicalmente rivisto.

Di seguito il nuovo articolo 21

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

“2-bis Salvo il caso di sottoscrizione autenticata le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, redatte su documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.

(omissis)”

Non va poi dimenticato l’art. 23-quater sulle riproduzioni informatiche il quale dispone che “All’articolo 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘informatiche’” che rimarrebbe invariato.

Sul commento dell’art. 23-quater non posso intrattenermi qui per ragioni di necessaria brevità, ma ricordo la contraddizione fra questa norma e l’art. 20 nell’ormai ampia interpretazione giurisprudenziale.

Dunque il sistema che emergerebbe sarebbe il seguente:

- il documento informatico senza firma sarebbe valutabile in giudizio dal giudice, sotto ogni profilo;
- il documento informatico con firma elettronica soddisferebbe il requisito della forma scritta (ad substantiam, cioè per la validità dell’atto?) e avrebbe l’efficacia prevista dall’articolo 2702 del codice civile cioè quella della scrittura privata;
- il documento informatico con firma elettronica qualificata o digitale si suppone avrebbe l’efficacia probatoria della scrittura privata ma ciò non è espressamente disposto;
- al documento informatico con firma elettronica qualificata o digitale sarebbe applicabile la nota presunzione di utilizzo del dispositivo da parte del titolare dello stesso;
- il documento informatico con firma elettronica qualificata o digitale soddisferebbe tout court il requisito della forma scritta ad substantiam;
- il documento informatico con firma elettronica avanzata soddisferebbe il requisito della forma scritta ad substantiam soltanto nei casi indicati dall’art. 1350, primo comma, n. 13 del codice civile cioè per gli atti non aventi ad oggetto beni immobili.

Dunque, in estrema sintesi, non cambierebbe la disciplina sul documento informatico con firma elettronica avanzata, qualificata e digitale (anche se il testo novellato presenta già segnalati problemi di drafting); cambierebbe invece quella concernente il documento con firma elettronica.

Qui, dalla valutazione caso per caso del giudice, si passerebbe all’affermazione del soddisfacimento del requisito della forma scritta e dell’efficacia della scrittura privata.

Sia detto a margine, occorrerebbe chiarire se la forma scritta di cui si parla in relazione al documento informatico con firma elettronica è quella ad substantiam. Ma soprattutto occorre sottolineare che fino ad oggi il documento informatico con firma elettronica era valutabile caso per caso dal giudice, dal momento che a priori non si conosce quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, con un conseguente livello di sicurezza assai variabile.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore del documento cui essa è associata.

Nel nuovo CAD, invece, si affermerebbe che il documento con firma elettronica soddisfa comunque il requisito della forma scritta ed è scrittura privata. Dunque ad un documento con una firma non definita a priori si associano il valore giuridico e l’efficacia probatoria della scrittura privata. Il che non è richiesto affatto dalla normativa europea (né da quella attualmente vigente, né dal regolamento EIDAS che entrerà in vigore il prossimo 1° luglio), la quale anzi prevede soltanto il principio della non discriminazione del documento informatico: cioè che ad un documento informatico non può essere negato valore giuridico soltanto per la sua forma elettronica.

Con la formulazione del nuovo art. 21 pare volersi andare oltre, disponendo che un documento informatico ha l’efficacia della scrittura privata e dunque soddisfa il requisito della forma scritta ad substantiam.

Il giudice dovrebbe peraltro valutare il documento informatico con firma elettronica alla luce di regole tecniche il cui contenuto appare assai difficile da immaginare, dal momento che esse potrebbero oscillare fra i due estremi della casistica analitica (con i rischi connessi ad un’elencazione inevitabilmente incompleta e necessariamente sottoposta ad un continuo aggiornamento) e i principi generali già statuiti in precedenza per il documento informatico e per lo stesso documento informatico con firma elettronica (sicurezza, qualità, immodificabilità, integrità).

Se lo scopo è quello di evitare la consulenza tecnica d’ufficio o di dare più certezza giuridica al documento informatico con firma elettronica, difficilmente esso sarà raggiunto, perché comunque le regole tecniche (ardue da immaginare) dovranno sempre presentare ampli spazi di adattamento alla tecnologia e quindi di interpretazione. E non è affatto improbabile che il giudice comunque ricorra alla CTU.

In compenso ci si sarà allontanati dalla normativa europea per creare nuova confusione.

Il punto è che si sta cercando di rendere quadrato ciò che è nato tondo: cioè di rendere “non neutra” la firma elettronica, che come tutti sanno è tecnologicamente neutra. E questa operazione sarebbe portata a termine attraverso le redigende regole tecniche le quali dovrebbero modificare la natura della firma elettronica. Il regolamento europeo non va in questa direzione e neppure i testi internazionali (come la Convenzione Uncitral sulle comunicazioni elettroniche e il Model Law in materia di firme elettroniche).

Se si vogliono evitare i rischi della neutralità tecnologica, si può utilizzare la firma digitale.

Se si vogliono i vantaggi della neutralità tecnologica, si può utilizzare la firma elettronica.

Se si confondono i due approcci sistematici, dopo almeno vent’anni di elaborazione giuridica su questi temi, quando finalmente il mercato si è assestato, non si crea certezza giuridica, ma al contrario, incertezza. E il mercato, che ormai ha assorbito queste tematiche, non ha certo bisogno di nuovi dubbi né di attendere ulteriori improbabili regole tecniche.

ITWorking ha vinto il ricorso contro il provvedimento che era stato notificato a seguito della campagna pubblicitaria su Il Sole 24 Ore nel 2012, nella quale affermavamo che “Con SmartSign si può dire addio alla carta”.

Il 18 luglio 2015 con sentenza n. 10354, il TAR del Lazio ha accolto il ricorso di ITWorking, società del Gruppo Bluenext, annullando il provvedimento per pratica commerciale ingannevole e scorretta.

Nel 2012 ITWorking era stata sanzionata dall’Autorità Garante della Concorrenza e del Mercato, da DigitPA (ora Agenzia per l’Italia Digitale) e dall’Autorità per le Garanzie nelle Comunicazioni per una campagna pubblicitaria apparsa su Il Sole 24 Ore in cui veniva presentata la propria soluzione di firma elettronica avanzata affermando con lo slogan “si può dire addio alla carta” che potesse essere un valido sostituto all’uso della firma tradizionale.

Alla società era stata commissionata una multa di Euro 17.723 per pubblicità ingannevole.

La società aveva prontamente avviato procedura di ricorso al TAR che si è conclusa con l’annullamento il provvedimento contro ITWorking e con la condanna di AGCM, DigitPA diventata AgID e AGCOM al rimborso totale della sanzione e al pagamento delle spese processuali.

La sentenza è disponibile QUI.

dati-biometriciCome già annunciato, il Garante per la privacy ha approvato un provvedimento generale prescrittivo in tema di biometria, in corso di pubblicazione sulla Gazzetta Ufficiale.

Vista la crescente diffusione dell’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici con finalità principalmente di identificazione personale, di controllo degli accessi e di sottoscrizione di documenti informatici, l’intervento del Garante è volto a fornire un quadro di riferimento unitario sulla cui base orientare le scelte tecnologiche, conformare i trattamenti alle prescrizioni del Codice privacy e verificare il rispetto degli standard di sicurezza.

I dati biometrici sono, per loro natura, collegati all’individuo in modo diretto, univoco e generalmente stabile nel tempo, denotando la profonda relazione tra corpo, comportamento e identità della persona. Per questo motivo l’adozione di sistemi biometrici di raccolta dati e il relativo trattamento possono comportare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato.

Tuttavia, all’interno del variegato panorama di sistemi tecnologici di rilevazioni biometriche, in un’ottica di semplificazione normativa, il Garante ha individuato alcune tipologie di trattamento dei dati che presentano minori rischi e che, a differenza delle altre tipologie, non necessitano della verifica preliminare da parte dell’Autorità. L’esonero è concesso a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati dal provvedimento e che vengano rispettati i generali presupposti di legittimità previsti dal Codice privacy.

Non è quindi necessario presentare istanza di verifica preliminare per le seguenti quattro tipologie di trattamenti:

nella sottoscrizione di documenti informatici, l’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potrà essere utilizzata per i sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata. Il trattamento è consentito solo con il consenso espresso dall’interessato all’atto di adesione al servizio di firma grafometrica e ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere. Il consenso non è necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione che non comportino l’utilizzo di dati biometrici;

nell’autenticazione informatica, le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di accesso a banche dati e sistemi informatici anche senza il consenso dell’utente;

nei controlli di accesso fisico, le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree ritenute “sensibili” o ad apparati e macchinari pericolosi ai soli soggetti qualificati. Il trattamento potrà essere realizzato anche senza il consenso dell’utente;

per scopi facilitativi, l’impronta digitale e la topografia della mano potranno essere utilizzate per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati e dovranno comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici nega il consenso al trattamento dei dati biometrici.

In considerazione della complessità della materia in rapporto alla disciplina sul trattamento dei dati personali il Garante ha allegato al provvedimento un documento contenente le “Linee-guida in materia di riconoscimento biometrico e firma grafometrica”, già sottoposte a consultazione pubblica, e uno speciale modulo per la comunicazione all’Autorità in caso di violazioni dei sistemi biometrici. Infatti, allo scopo di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (data breach) che possano avere un impatto significativo sui sistemi biometrici e sui dati raccolti dovranno essere comunicati al Garante entro 24 ore dalla scoperta.

In attesa della pubblicazione del provvedimento in Gazzetta ufficiale, per consultare il provvedimento e i relativi allegati si rimanda al sito web del Garante.

firma-140724181837_mediumVi proponiamo qui l’articolo di Giusella Finocchiaro apparso su Agenda Digitale il 7 agosto 2014.

Emerge quadro normativo senza dubbio innovativo, che presenta diversi aspetti di rilievo. Ma che sotto il profilo generale del tema delle firme elettroniche non comporta modifiche sostanziali rispetto al panorama italiano. Vediamo il dettaglio.

Il settore in questi giorni si sta interrogando su quali impatti verranno dalla proposta di Regolamento UE in materia di identificazione elettronica e servizi fiduciari, approvata dal Parlamento Europeo il 3 aprile 2014. Proviamo a rispondere, con un’analisi.

Notiamo per prima cosa che non ci sono modifiche significative rispetto all’impianto del Codice dell’amministrazione digitale. Certo, tuttavia, che il Regolamento è un tassello fondamentale per l’instaurazione di una disciplina unitaria, precondizione per garantire l’interoperabilità in settori particolarmente rilevanti in ambito economico, contenente norme o anche mere precisazioni di principi impliciti nel nostro sistema che assumono un evidente peso giuridico.

Ma procediamo con ordine e si confrontino le definizioni di cui all’art. 3 del Regolamento con quelle di cui all’art. 1 del Codice dell’amministrazione digitale.

La firma elettronica è definita dall’art. 3, n. 10 del Regolamento quale insieme di dati elettronici utilizzati “per firmare”. Si tratta, pertanto, di una definizione maggiormente restrittiva rispetto alla definizione offerta dal Codice dell’amministrazione digitale, secondo cui la firma elettronica è l’insieme di dati elettronici utilizzati come metodo di identificazione informatica.

Non presentano connotati innovativi rispetto al dato normativo italiano, invece, le definizioni di firma elettronica avanzata e di firma elettronica qualificata.

In relazione alla definizione di firma elettronica avanzata è confermato il principio di neutralità tecnologica: la norma elenca una serie di condizioni, senza tuttavia imporre le modalità attraverso cui garantire il soddisfacimento di dette condizioni. Sempre con riguardo alla firma elettronica avanzata risulta, inoltre, confermata la necessità di garantire quattro requisiti e segnatamente che la firma sia connessa unicamente al firmatario, che sia idonea a identificare il firmatario, che sia creata con dati che il firmatario può con un elevato livello di sicurezza utilizzare sotto il proprio esclusivo controllo e che sia collegata ai dati sottoscritti in modo da rilevare ogni successiva modifica dei medesimi dati.

In via generale trova espresso riconoscimento il principio, formulato nel Codice dell’amministrazione digitale all’art. 20, co. 1°, dell’irrilevanza della materia di cui è formato il documento. Si legge, infatti, nel considerando n. 63 e nell’art. 44 che ad un documento elettronico non devono essere negati gli effetti giuridici per il solo motivo della sua forma elettronica. Il principio della irrilevanza della materia risulta finalizzato ad “assicurare che una transazione elettronica non possa essere respinta per il solo motivo che il documento è in forma elettronica”. Allo stesso modo è affermato il principio secondo cui non può essere negata dignità e rilevanza giuridica ad una firma elettronica, solo in ragione della sua forma appunto elettronica. Secondo, infatti, l’art. 25, co. 1°: “alla firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova (…) per il solo motivo della sua forma elettronica”.

Sotto il profilo dell’efficacia probatoria, l’art. 25, co. 2° prevede un’automatica equiparazione, sotto gli effetti giuridici, della firma elettronica qualificata alla firma autografa. In relazione alla firma elettronica avanzata restano ferme le disposizione dei co. 2° e 2° bis dell’art. 21 del Codice dell’amministrazione digitale che, come è noto, attribuisce al documento sottoscritto con firma elettronica avanzata l’efficacia probatoria della scrittura privata ai sensi dell’art. 2702 del codice civile, nonché, salvo l’eccezione degli atti e contratti aventi ad oggetto beni immobili, l’idoneità a soddisfare il requisito della forma scritta se richiesto a pena di nullità.

Ai fini dell’interoperabilità, particolare rilievo assume la disposizione di cui al successivo co. 3°, secondo cui una firma elettronica qualificata basata su un certificato qualificato rilasciato da uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.

Viene, infine, introdotto il sigillo elettronico che è la firma della persona giuridica. Anche in relazione al sigillo è affermato il principio di irrilevanza della materia, con la conseguente impossibilità di negare ad un sigillo effetti giuridici e probatori per il solo motivo della sua forma elettronica (art. 34, co. 1°). Se qualificato, il sigillo gode della presunzione di integrità dei dati e di correttezza dell’origine dei dati a cui il sigillo è associato. I requisiti che devono soddisfare i certificati qualificati di sigillo elettronico sono oggetto di specifica elencazione nell’all. III del Regolamento.

Un quadro normativo, senza dubbio innovativo, che presenta diversi aspetti di rilievo ma che sotto il profilo generale del tema delle firme elettroniche non comporta modifiche sostanziali rispetto al panorama italiano.


firma_digitaleIl 25 luglio 2014 è scaduto il termine di validità per le autocertificazioni sulla sicurezza dei dispositivi automatici di firma digitale.

Come stabilito dal decreto della Presidenza del Consiglio dei Ministri del 19 luglio 2012, pubblicato in Gazzetta Ufficiale il 10 ottobre dello stesso anno,i fornitori di firme digitali potevano attestare, mediante autocertificazione, la corrispondenza dei dispositivi automatici agli standard europei di sicurezza europei solo fino al 25 luglio 2014, data a partire dalla quale, per continuare a operare, devono disporre di un “bollino di garanzia” ottenibile presso l’Organismo di Certificazione della Sicurezza Informatica (OCSI).

I produttori della soluzione di firma remota sono tenuti a dimostrare che il loro prodotto è stato sottoposto alle prove e alle revisioni richieste per beneficiare della certificazione di conformità allo standard internazionale di sicurezza Common Criteria Eal4 +.

La firma digitale remota apposta utilizzando un dispositivo non certificato espone il documento così sottoscritto al rischio di invalidazione della firma per inadempienza alle nuove norme.

Alessandra Poggiani è stata nominata direttore generale dell’Agenzia per l’Italia Digitale, l’ente che ha il compito di concretizzare tecnicamente le norme del settore digitale.

In un’intervista recentemente rilasciata al Corriere.it il nuovo direttore generale identifica il progetto sull’identità digitale come una delle principali priorità dell’Agid.

Come spesso ricordato su questo blog, l’identificazione on line oggi è un problema cruciale, soprattutto per lo sviluppo di alcuni servizi che richiedono un accertamento dell’identità come ad esempio i servizi erogati dalla pubblica amministrazione e servizi bancari. Per risolvere questo problema il Parlamento europeo ha approvato il 3 aprile la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno di cui si attende l’imminente pubblicazione in Gazzetta Ufficiale. La più importante novità della proposta è nello strumento giuridico prescelto: non più una direttiva, ma un Regolamento che sarà direttamente applicabile negli Stati membri, senza atti di recepimento. Per approfondire questo aspetto rimandiamo al recente articolo di Giusella Finocchiaro pubblicato su Nòva 24.

Nel corso dell’intervista la Poggiani ha ricordato anche alcune criticità circa la complessità strutturale e la frammentazione delle competenze che caratterizzano l’attuale scenario italiano e che possono portare a problemi nell’utilizzo del PIN unico per i cittadini. Su questo blog nell’agosto 2013, pochi giorni dopo la pubblicazione in Gazzetta del cosiddetto “decreto del fare”, abbiamo pubblicato un’analisi relativa all’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) che può aiutare a comprendere il contesto di complessità menzionato.

Il nuovo direttore dell’Agid ha inoltre sottolineato l’importanza della realizzazione materiale dei progetti già scritti: “bisogna preoccuparsi dell’operatività e di fare cose che funzionino davvero” ha dichiarato, citando il tema della fatturazione elettronica, la cui prima normativa risale a dieci anni fa. Per contestualizzare l’esempio, più che opportuno, può essere utile la lettura dell’articolo di Giusella Finocchiaro pubblicato sul Il Corriere delle Comunicazioni il 7 luglio 2014 che illustra il quadro situazione normativa in materia di fatturazione elettronica

La puntualità nel rilevare le principali problematiche dell’attuale scenario dell’Italia digitale sembra essere di ottimo auspicio per la nuova direzione e per la futura concretizzazione dei progetti elencati da parte dell’Agid. Si attendono dunque con interesse i nuovi sviluppi.

Il 10 luglio a Milano Optime organizza una giornata di studi dedicata al tema delle tecniche biometriche.

Nel corso della giornata di studio saranno analizzati gli scenari e le opportunità connessi all’applicazione delle principali tecniche biometriche (firme grafometriche, controllo degli accessi, sistemi di riconoscimento, ecc.) e saranno presentati i principali progetti avviati in ambito privato e in ambito pubblico.

Nell’ambito del convegno Giusella Finocchiaro illustrerà gli aspetti legali e l’efficacia probatoria della firma grafometrica illustrando le recenti disposizioni del Garante per la privacy sul riconoscimento biometrico.

Particolare attenzione sarà dedicata ai profili connessi alla firma grafometrica e alle applicazioni pratiche della biometria nella gestione dei rapporti di lavoro e nei rapporti con la clientela.

L’evento formativo è rivolto ai Responsabili della Compliance e del Servizio Legale, ai Responsabili dei Sistemi Informativi, ai Responsabili della Privacy di imprese, banche e assicurazioni, pubbliche amministrazioni, avvocati e consulenti.

Obiettivo dell’incontro è presentare un quadro dettagliato e completo delle opportunità connesse allo sviluppo delle tecniche biometriche in ambito privato e in ambito pubblico, mettendo a disposizione dei partecipanti strumenti operativi e indicazioni pratiche per aggiornare le proprie competenze professionali.

Ulteriori informazioni sul sito optime.it.

La brochure dell’evento è disponibile QUI.