Dal 1 gennaio 2023 non saranno più utilizzabili per firmare digitalmente due smart-card francesi poco diffuse in terra transalpina ma largamente commercializzate in Italia. Quindi, come comunicato il 24 maggio 2022 dall’Agenzia per l’Italia digitale, “Le firme apposte con tali dispositivi dopo il 31/12/2022, … , non saranno valide”. Secondo alcuni questo inciderebbe anche sui documenti firmati prima della scadenza quando dispositivi e certificati erano correttamente utilizzabili – di Andrea Monti – inizialmente pubblicato su Il Sole24Ore – Norme e Tributi
La questione non è limitata al caso francese ma riguarda, in generale, tutte le firme apposte con certificati che, per legge, sono destinati a scadere. L’art. 24 comma 4bis del Codice dell’amministrazione digitale stabilisce che firmare con “firma digitale … basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.” Una lettura restrittiva conduce alla perdita di validità retroattiva delle firme, e dunque all’impossibilità di considerare come firmati degli atti che originariamente lo erano. Le conseguenze sono facilmente immaginabili, quantomeno in tutti quei casi nei quali la forma scritta è un requisito ad substantiam per la formazione di atti privati e a maggior ragione per quelli pubblici o destinati alla pubblica amministrazione. L’alternativa, basata sul tenore letterale della norma che non fa riferimento alla retroattività della perdita di validità del certificato, consentirebbe, invece, di fare salvi atti e documenti originariamente firmati (e formati) regolarmente.
Il dibattito è in corso da anni, ma il caso delle smart-card francesi lo riporta nell’attualità, evidenziando un vizio concettuale molto frequente nelle norme (GDPR in primis) sulle tecnologie informatiche: il ricorso indiscriminato al principio di precauzione. Dato che il passare del tempo potrebbe indebolire una tecnologia, si dice, bisogna prevedere per legge la sua dismissione a prescindere dall’effettiva vulnerabilità. Dall’altro lato, tuttavia, la giurisprudenza penale in materia di prova informatica ha da tempo consolidato un principio opposto: l’alterazione di un file non può essere presunta, ma deve essere concretamente dimostrata da chi la eccepisce. Gli ambiti sono diversi, ma il tema è lo stesso e dunque sarebbe necessario dirimere la questione una volta e per sempre.
Alla prova dei fatti, il principio di precauzione si è dimostrato inefficiente e complesso da gestire, per cui parrebbe più sensato fugare i dubbi interpretativi modificando il suddetto comma 4bis, stabilendo espressamente il permanere della validità delle sottoscrizioni apposte con certificato, all’epoca dei fatti, non viziato. Questa soluzione avrebbe anche il pregio di riportare il controllo sulle manifestazioni di volontà giuridicamente rilevanti nelle mani del soggetto che le esprime, invece di consegnarle ad un oggetto tecnologico che dovrebbe semplicemente documentarle ma che, invece, le condiziona arbitrariamente.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte