Pubblicato nella gazzetta ufficiale del 21 maggio 2013 il D.P.C.M 22 febbraio 2013, recante le nuove regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali.
In particolare, merita attenzione la disciplina attuativa delle cd. “firme elettroniche avanzate”, di cui all’art. 1 comma 1 lett. q-bis) del Codice dell’Amministrazione Digitale, come novellato dalla recente riforma legislativa.
Ricordiamo che si definisce firma elettronica avanzata: l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
L’art. 55 del D.P.C.M. in commento, specifica che, da un lato la realizzazione di soluzioni di firma elettronica avanzata è libera e non abbisogna di autorizzazione preventiva (comma 1) e che tali soluzioni possono essere erogate a terzi nell’ambito di una vera e propria attività di impresa (comma 2).
In ogni caso i soggetti che intendano offrire tali soluzioni alla P.A. dovranno essere in possesso di specifiche certificazioni di qualità. Laddove, invece, tali servizi siano erogati a privati, le certificazioni di qualità saranno comunque utili a dare evidenza della sicurezza dei propri sistemi.
In ogni caso si chiarisce espressamente che tali soluzioni di firma potranno, tuttavia, essere utilizzate limitatamente a rapporti di natura istituzionale, societaria e commerciale, come si evince dal tenore letterale degli articoli 55 e 60 del D.P.C.M.
Fondamentale, poi, il disposto dell’art. 56 che specifica le caratteristiche di siffatte soluzioni di firma ed, in particolare:
a) la possibilità di identificare il firmatario;
b) la connessione univoca della firma al firmatario, nonché al documento;
c) il controllo esclusivo del firmatario del sistema di generazione della firma (che può anche essere generata, utilizzando dati biometrici)
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati.
Nei prossimi mesi/anni verificheremo se la suddetta disciplina consenta o meno l’ingresso di nuovi operatori nel settore della sottoscrizione elettronica dei documenti informatici.
Stay tuned!
