Le firme elettroniche: il punto della situazione in Europa.

Come devono essere utilizzate e quale è il loro valore legale? In tutta Europa si sono intraprese delle iniziative per dare alle firme elettroniche un valore legale: a che punto siamo? Cosa sono esattamente le firme elettroniche, per quali applicazioni possono essere utilizzate, con che differenze e limtazioni? Quali sistemi sono necessari e quanto costa il loro utilizzo? Sono valide in tutti i Paesi europei?
In ESCLUSIVA la prima intervista/focus realizzata da Daniele Colombo di Ebusinesslex.net a Patrick van Eecke, avvocato, responsabile della divisione commercio elettronico e telecomunicazioni dello studio Legale Landwell, Bogaert & Vandemeulebroeke di Bruxelles.

di Daniele Colombo [EbusinessLex.net] intervista Patrick van Eecke. (Parte I) | 11 luglio 2003

A quale normativa generale fa riferimento la normativa sulla firma elettronica?
Nel Gennaio 2000 è entrata in vigore la Direttiva europea 1999/93/EC relativa al quadro generale per la firma elettronica che doveva essere recepita dagli Stati membri entro il 19 Settembre 2001. A questo si aggiungono degli standard tecnici per la firma elettronica ed i servizi collegati che sono in corso di redazione secondo le linee guida della direttiva. Direttiva di cui è comunque previsto un aggiornamento a breve.

A cosa servono esattamente le firme elettroniche?
I principali obiettivi della Direttiva sono due. Il primo è quello di garantire che tutti i Paesi dell’Unione europea riconoscano il valore legale della firma elettronica. Questo significa che ogni tipo di autenticazione elettronica allegata o logicamente associata con dei dati da convalidare assume validità legale. La Direttiva chiama questo metodo generale di autenticazione una "firma elettronica". In aggiunta, a uno specifico tipo di autenticazione elettronica viene dato lo stesso valore che ha una firma autografa. Questo secondo metodo di autenticazione è chiamato dalla direttiva "firma elettronica avanzata ed è basato su un certificato qualificato creato da un sistema di creazione di firme sicure". Non meno di trenta requisiti devono essere soddisfatti per ottenere questo tipo di firma; per semplicità la chiameremo "firma elettronica qualificata".
Il secondo obiettivo della Direttiva è quello di garantire che tutti i servizi collegati alle firme elettroniche possano essere forniti a livello europeo senza incontrare delle barriere a livello nazionale. Tutti i prodotti e servizi relativi alle firme elettroniche possono circolare liberamente e sono sottoposti alla vigilanza ed ai controlli del Paese di origine. Gli Stati membri non possono quindi assoggettare la fornitura di questi servizi a sistemi di autorizzazione nazionale obbligatori.

Si parla di diversi tipi di firma elettronica. Quali sono e quale è il loro valore?
Ogni tipo di autenticazione elettronica viene considerato come una firma elettronica nella misura in cui è allegato o logicamente associato con altri dati in formato elettronico. Così, i metodi di autenticazione biometrica, i codici di autenticazione dei messaggi (message authentication codes - mac), gli schemi pubblici di autenticazione, sono tutte firme elettroniche. La definizione di firma elettronica della Direttiva non esclude neanche in linea teorica il nome digitato alla fine di un messaggio di posta elettronica o una firma autografa scansionata ed allegata come immagine a un documento elettronico.
Un tribunale non può negare la validità giuridica di documenti elettronici a cui è allegata una firma elettronica solo perché il supporto è elettronico. Il Tribunale può comunque negarne il valore legale di una firma elettronica se ritiene che il livello di sicurezza associato non sia sufficiente a garantirne la completa affidabilità (come appunto nel caso della firma di un e-mail). Inoltre le parti contraenti possono nell’ambito di un contratto prevedere il non utilizzo delle firme elettroniche tra le parti o l’utilizzo di altre tecnologie.
Nei casi in cui una firma autografa dovrebbe essere utilizzata – e che differiscono da Paese a paese – un Tribunale non può negare lo stesso valore legale a una firma elettronica qualificata. Il tribunale può negare questo valore se la firma elettronica non è qualificata. Cosa significhi "qualificata" è definito dalla Direttiva in termini funzionali, non tecnici: per questo a prima vista non è chiaro quale tecnologia soddisfi questi requisiti.

Cos'è una firma elettronica avanzata?
Questo termine è stato introdotto dalla Direttiva 1999/93/EC per descrivere una firma elettronica che soddisfi questi requisiti:

1. è associata in maniera univoca al firmatario;
2. è in grado di identificare il firmatario;
3. è creata attraverso un sistema che il firmatario ha sotto il proprio esclusivo controllo;
4. è legata al contenuto in maniera tale che qualsiasi modifica successiva possa essere individuata.

Benché la definizione di "firma elettronica avanzata" sia tecnologicamente neutra, al momento solo la firma digitale è in grado di soddisfare questi requisiti.
Una ‘firma elettronica avanzata‘ in quanto tale non acquisisce nessun particolare status legale nell’ambito della Direttiva. È solo quando è utilizzata assieme a un cosiddetto "certificato qualificato"’ ed è creata attraverso un "sistema di creazione di firma sicura" (secure-signature-creation device) che acquisisce un particolare valore legale, ovvero viene totalmente equiparata a una firma autografa. Circa 30 requisiti devono essere soddisfatti per conseguire questo livello di firma che è chiamata "firma elettronica qualificata".

Cosa sono i servizi di certificazione e come possono essere forniti in Europa?
Qualsiasi servizio collegato alle firme elettroniche è considerato un servizio di certificazione. Tali servizi non sono limitati al tipico mercato delle "Public Key Infrastructure", come l’emissione e la registrazione dei certificati, directory services, time-stamping services, servizi di elaborazione e consulenza legati alle firme elettroniche sono considerati servizi di certificazione.
Questi servizi possono sul mercato europeo senza incontrare ostacoli nelle specifiche legislazioni nazionali, come potrebbero essere delle licenze. Di conseguenza, un fornitore di tali servizi non bisogno di alcun accordo o autorizzazione da parte delle autorità nazionali di altri paesi oltre al proprio se vuole avere accesso ai loro mercati di servizi legati alle firme elettroniche. In sostanza, questo significa che una società italiana che fornisce servizi di certificazione può offrire i propri servizi a clienti tedeschi senza alcuna licenza o autorizzazione o controllo da parte delle autorità tedesche, perché valgono le autorizzazioni e i controlli italiani.
I paesi membri dell’Unione europea possono comunque avere degli schemi volontari di accreditamento con l’obiettivo di innalzare il livello dei servizi di certificazione. Questo significa che se un paese membro intende creare un sistema di firme elettroniche più sicuro di quanto previsto dalla Direttiva europea, è autorizzato a farlo purché tale schema sia:

1. oggettivo, trasparente, proporzionato e non discriminatorio;
2. esista separatamente dallo schema dell’Unione europea;
3. abbia una base volontaria e nessun servizio di certificazione abbia l’obbligo di aderirvi

I Paesi membri sono anche obbligati a creare un sistema di supervisione per monitorare i fornitori di servizi di certificazione per l’emissione di certificati qualificati presenti sul proprio territorio: la creazione di sistemi di supervisione privati non è esclusa dalla direttiva. Tutte le società che intendono fornire certificati qualificati devono soddisfare i requisiti previsti dall’Allegato 2 della Direttiva.
Per quanto riguarda l’utilizzo delle firme elettroniche nel settore pubblico (ad es. per le dichiarazioni fiscali) i Paesi membri sono autorizzati a porre delle condizioni aggiuntive purché siano oggettive, trasparenti, proporzionate e non discriminatorie, e facciano riferimento solo alle caratteristiche dell’applicazione in oggetto. Esempi tipici riguardano l’applicazione degli schemi di firma elettronica avanzata per la previdenza o le dichiarazioni fiscali.

Daniele Colombo - EuroInfoCenter di Milano.
Responsabile progetto Ebusinesslex.net
Patrick Van Eecke
Bogaert & Vandemeulebroeke
Brussels.

Ebusinesslex.net è un progetto co-finanziato dalla Commissione europea – Direzione Generale Imprese, per la creazione di un portale di informazione legale su tutti gli aspetti dell’e-business dedicato alle imprese europee, soprattutto di piccole e medie dimensioni. Ebusinesslex.net è stato realizzato da un gruppo di Euro Info Centre, coordinati dall’Euro Info Centre di Milano, operanti in tutti i Paesi dell’Unione europea e in Norvegia.