Il titolo di questo breve contributo è certamente provocatorio, ma la clamorosa scelta delle autorità francesi di revocare, a partire dal 1° gennaio 2023, l’utilizzabilità di due smart-card causando il rischio che milioni e milioni di documenti possano perdere valore giuridico, ha portato alla luce una delle (tante) problematiche relative all’utilizzo della firma digitale, finora rimasta in sordina ma che, ci sia concesso, già fu messa alla luce nel lontano 2018 in un contributo pubblicato sul portale dello Studio, ed al quale inevitabilmente si rimanda (cliccare qui per leggerlo).
Dopo qualche settimana di “fermento” da parte di numerosi avvocati giustamente preoccupati (ma colpevolmente inconsapevoli), l’Organismo di certificazione della sicurezza informatica (OCSI) dell’Agenzia per la cibersicurezza nazionale italiana ha riportato l’ordine comunicando alla Commissione Europea che in Italia le due smart-card francesi continueranno ad essere ritenute valide.
Tralasciando i commenti su questo intervento dell’OCSI che sebbene abbia risolto nell’immediato il problema, non assume valore alcuno nel medio e nel lungo periodo, ciò su cui va posto l’accento è la fragilità di uno strumento che si rileva così del tutto inadeguato per i delicati(ssimi) usi per i quali è prescritto!
Basterebbe infatti appena che il gestore di firma decidesse che lo strumento per firmare non vada più bene, per far divenire quasi del tutto irrilevante la volontà di un soggetto! E ciò è un qualcosa di aberrante!
Riprendendo l’esempio fatto nel citato contributo del 2018, si pensi al caso in cui un cliente conferisca all’avvocato la procura alle liti e che questi ne attesti l’autenticità mediante apposizione di firma digitale. Ora, se l’avvocato per un motivo o per un altro, non avesse un certificato di firma valido in quel preciso momento (perché il certificatore decida di non ritenerlo più valido) la firma non avrebbe valore alcuno. E dunque la procura non sarebbe valida, con conseguente ricaduta sul cliente, che non potrebbe quindi esercitare il proprio diritto in giudizio!
Ma la questione non è limitata al solo caso in cui il certificatore decida di non ritenere più un determinato certificato valido, ma riguarda, bensì, tutte le firme apposte con certificati che sono destinati a scadere!
L’art. 24 comma 4-bis del Codice dell’amministrazione digitale stabilisce che firmare con firma digitale “basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione”.
Da anni è in corso un dibattito acceso sulla portata di tale assunto. Una parte della dottrina che opera una lettura certamente rigorosa della norma, giunge alla inevitabile conclusione della perdita di validità retroattiva delle firme, e dunque all’impossibilità di considerare come firmati quegli atti che originariamente lo erano! Altra parte della dottrina, invece, basandosi sul tenore letterale della norma che non fa espresso riferimento alla retroattività della perdita di validità del certificato, sostiene che gli atti e documenti originariamente firmati (e formati) con certificato al tempo valido, continuino ad essere firmati validamente.
Sarebbe forse opportuno un intervento del legislatore volto a dirimere questa diatriba. E l’occasione di un intervento normativo, potrebbe essere quella giusta per superare uno strumento, quello della firma digitale, pensato nell’ormai lontano 1976 ed entrato in vigore da oltre un ventennio.
Certo, è indubbio che con l’avvento di internet e delle tecnologie digitali, molti aspetti della nostra vita quotidiana, compresa la stipulazione di contratti e l’esecuzione di accordi, si siano spostati on-line. E la recente crisi pandemica ha contribuito ad accrescere ulteriormente il fenomeno. Ciò ha portato a una maggiore flessibilità e rapidità nella gestione di queste attività, ma ha anche inevitabilmente sollevato alcune preoccupazioni in merito alla sicurezza e alla verifica dell’identità delle persone coinvolte.
Per superare queste preoccupazioni, illo tempore furono sviluppate diverse tecnologie, come le firme digitali e i sistemi di autenticazione a due fattori, al fine di proteggere la validità e l’affidabilità dei documenti e delle transazioni on-line. Tuttavia, è importante notare che tali tecnologie presentano ancora alcuni limiti e vulnerabilità, che paiono ormai insanabili, pertanto è importante continuare a valutare e sviluppare nuove soluzioni per garantire la sicurezza e la legalità delle attività on-line.
Sempre più spesso, infatti, la stipula di contratti informatici avviene mediante la compilazione di campi di database i cui record vengono sì presentati all’utente finale sotto forma di documento informatico (si pensi alle pagine o alle e-mail di conferma, che in effetti sono una rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti), ma che però nella loro realtà sostanziale difficilmente possono paragonarsi ad una scrittura privata.
E l’equiparazione tra documento informatico e documento analogico deve appartenere al secolo scorso e basta. Bisogna andare avanti. Ciò che conta è innanzitutto identificare con tutti i crismi il soggetto che stipula un contratto informatico (e ciò ben può avvenire con la Carta d’Identità Elettronica, ad esempio) e in secondo luogo bisogna essere sicuri che i dati inseriti siano corretti.
Occorre pertanto creare i giusti strumenti legislativi, superando i retaggi del passato e guardando invece con occhio attento e consapevole l’attuale ecosistema digitale.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024