È stato finalmente pubblicato in Gazzetta Ufficiale (n. 117 del 21.05.2013) il d.p.c.m. del 22 febbraio 2013 relativo alle “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”
Le rilevanti modifiche apportate alla disciplina delle firme elettroniche con il d.lgs. n. 235 del 30 dicembre 2010 avevano determinato, infatti, la necessità di sostituire le previgenti regole tecniche sulle firme. Già da tempo una bozza delle regole era disponibile sul sito di DigitPA (oggi Agenzia per l’Italia Digitale), ma la loro pubblicazione ufficiale era attesa e auspicata dagli operatori del settore, dal momento che la lacuna provocata dalla loro assenza aveva messo in stand-by numerosi progetti di firma elettronica avanzata.
Durante quest’attesa si sono verificati altri episodi incresciosi. Si pensi, infatti, che l’AGCM (Autorità Garante della concorrenza e del mercato), proprio poco tempo fa, aveva condannato una piccola società a pagare 15.000,00 euro per aver pubblicizzato le proprie soluzioni di firma elettronica come FEA (firma elettronica avanzata), in quanto ha considerato pratica commerciale scorretta parlare di FEA prima della pubblicazione delle regole tecniche.
Principali novità del decreto
E proprio le previsioni relative alla FEA sono tra le novità più rilevanti contenute nelle nuove regole tecniche.
Al riguardo, è stato stabilito che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva (art. 55 del d.p.c.m. del 22 febbraio 2013). LA FEA, inoltre, non è vincolata a un certificato qualificato o ad un dispositivo sicuro, come invece richiesto per le firme elettroniche qualificate e per quelle digitali (species entrambe del genere firma elettronica avanzata).
La libertà tecnologica della FEA è quindi garantita, ma allo stesso tempo deve essere assicurata la qualità, la sicurezza, l’integrità, e l’immodificabilità del documento sottoscritto con FEA. È da considerare, però, che a fronte di questa libertà il legislatore ha limitato l’efficacia giuridica della FEA ai soli rapporti intercorrenti tra il soggetto che dispone della FEA e il sottoscrittore che ne ha preventivamente accettato le condizioni di utilizzo. Vincolo, questo, che non vale per le Pubbliche Amministrazioni, le quali potranno utilizzare la FEA nell’ambito delle attività endoprocedimentali e nei rapporti con i cittadini.
Particolarmente rilevante è anche quanto stabilito dall’articolo 59 del d.p.c.m., rubricato “Affidabilità delle soluzioni di firma elettronica avanzata”, ai sensi del quale i soggetti che propongono soluzioni di firma possono richiedere la certificazione a una terza parte indipendente autorizzata allo scopo, al fine di dare evidenza del grado di conformità alla norma ISO/IEC 27001. Inoltre, sempre all’articolo 59, è stabilito che è possibile far certificare la propria soluzione di FEA secondo la norma ISO/IEC 15408 (livello EAL 1 o superiore) al fine di mettere in risalto il grado di conformità della soluzione di firma elettronica avanzata proposta a quanto previsto dalle stesse regole tecniche.
Con l’ufficiale pubblicazione delle nuove regole tecniche ci saranno numerose implicazioni e le soluzioni di FEA proposte dalle aziende, incluse quelle soluzioni che utilizzano nei loro processi dati biometrici (si pensi ad esempio alla firma grafometrica), potranno finalmente avere via libera.
A cura di ANORC
>> Vedi tutti i contributi della Rubrica DigitalDOC