Il 28 luglio 1999 è stata elaborata, dal Consiglio dell’Unione Europea, una proposta di Direttiva europea per un quadro comunitario delle firme elettroniche che ha modificato l’originaria proposta della Commissione sulla firma digitale.

Da una prima analisi della proposta è facile riscontrare una certa affinità tra la posizione giuridica che l'Europa intende adottare e quella già presa dall'Italia in tema di regolamentazione della Firma Digitale (DPR 513/97, DPCM 08/02/99). Ciononostante le differenze non mancano e potrebbero essere tali da comportare, qualora il testo europeo non venisse modificato, la necessità di un adeguamento della normativa nazionale vigente.

In Italia è stato adottato un concetto di firma sicura (basata su una tecnologia a chiave asimmetrica) generata mediante dispositivi di firma rispondenti ai requisiti di sicurezza e robustezza previsti dai livelli E3 dei meccanismi HIGH dell'ITSEC e superiori (DPCM 08/02/99)

Il Consiglio dell’Unione Europea invece adotta una posizione comune orientata verso un sistema tecnologicamente "neutro" in quanto attribuisce validità giuridica, sia alla firma elettronica intesa come un qualunque mezzo elettronico di identificazione, sia alla "Firma elettronica avanzata" ovvero una firma sicura.

Il concetto Italiano di Firma digitale può essere senza dubbio ricondotto nell’ambito della definizione europea di "Firma elettronica avanzata" generata mediante un dispositivo per la creazione di una firma sicura capace di garantire che:

• i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta ed è ragionevolmente garantita la loro riservatezza
• i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l’impiego di tecnologia attualmente disponibile
• i dati per la creazione della firma, utilizzati nella generazione della stessa, sono sufficientemente protetti dal firmatario legittimo contro l’uso da parte di terzi

Allo stesso modo, uguali sono i requisiti che entrambe le firme devono soddisfare.

La Firma elettronica avanzata deve essere basata su una tecnologia (art.1, comma 2, CE N. 28/1999) in grado di garantire un livello molto alto di sicurezza ed essere: connessa in maniera univoca al firmatario; idonea ad identificarlo; creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; collegata ai dati cui si riferisce; generata da un dispositivo per la creazione di una firma sicura.

Al momento, guardando allo stato delle tecnologie, l'unica soluzione rispondente a tali requisiti è proprio la crittografia asimmetrica.

infatti, la Firma digitale, basata sulla crittografia asimmetrica, garantisce che la firma sia (art.10, DPR 513/97 e DPCM 08/02/99): attribuita ad un solo titolare; idonea ad identificarlo; riferita in maniera univoca ad un solo soggetto o ai documenti cui è associata o apposta; generata mediante un dispositivo di firma tenuto e conservato esclusivamente dal titolare; generata da un dispositivo di firma conforme agli standard tecnologici previsti dal DPCM 08/02/99.

Stesse osservazioni possono essere fatte per quanto riguarda la definizione europea di "Certificato qualificato" ovvero "un attestato digitale che collega un dispositivo di verifica della firma ad una data persona ne conferma l'identità" e che contiene le seguenti informazioni:

• l'identificazione del prestatore di servizio di certificazione che ha rilasciato il certificato in questione (per la normativa italiana - DPCM 08/02/99 - il certificato digitale deve contenere il nome del certificatore iscritto nell'elenco pubblico dell'AIPA) ;

• il nome inequivocabile del titolare del certificato o uno pseudonimo inequivocabile, identificato come tale (per la normativa italiana - DPCM 08/02/99 - nome o pseudonimo del titolare del certificato);
• un dispositivo di verifica della firma che corrisponda ad un dispositivo di creazione della firma sotto il controllo del titolare (per la normativa italiana - DPCM 08/02/99 - il valore della chiave pubblica di firma);
• l'inizio e il termine del periodo di validità del certificato (idem per l'Italia);
• il codice d'identificazione esclusivo del certificato (ovvero il numero di serie del certificato come da DPCM 08/02/99);
• la firma elettronica del prestatore di servizi di certificazione che ha rilasciato il certificato (cioè la firma digitale del certificatore, DPCM 08/02/99);

• i limiti d'uso del certificato, ove applicabili (per la normativa italiana - DPCM 08/02/99 - eventuali limitazioni all'uso, poteri di rappresentanza, abilitazioni professionali).

E' inoltre prevista l'indicazione dei limiti della responsabilità del prestatore di servizi di certificazione e dell'importo limite delle transazioni per cui il certificato è valido, ove applicabili, nonché dello Stato di rilascio del certificato.

Quest'ultimi campi, pur se non espressamente previsti dal DPCM 08/02/99, possono essere aggiunti senza comportare modifiche nell'elenco, non esaustivo, del dettato normativo nazionale.

Lo Stato membro può invece subordinare la fornitura di servizi di certificazione di un elevato livello di sicurezza a sistemi di accreditamento volontari (si parla allora di "certificati qualificati").

In questo modo, la comunità europea non esclude la validità giuridica e la sicurezza dei certificati forniti da autorità che non hanno richiesto l’accreditamento, ed in giudizio le autorità di certificazione non accreditate dovranno (a differenza di quelle accreditate) solo dimostrare che i loro certificati offrono standard di autenticazione e sicurezza simili ai certificati qualificati.

In Italia, la fornitura di servizi di certificazione è subordinata all'iscrizione del Certificatore in un apposito elenco predisposto dall’Autorità Informatica per la Pubblica Amministrazione. Si è adottata una politica in tema di sicurezza molto elevata, optando per quello che il Consiglio dell'Unione europea chiama "sistema di accreditamento volontario".

I Certificatori non iscritti all’albo, a differenza di quanto invece previsto dalla norma comunitaria, non possono svolgere tale attività, e qualora la svolgano, ai certificati da loro emessi non si può attribuire alcuna validità giuridica.

In Italia la Firma digitale, a chiave crittografica asimmetrica, generata nel rispetto del DPCM 08/02/99 è equiparata legalmente alla firma autografa ed ammessa in giudizio come prova.

La Firma elettronica avanzata, a chiave crittografica e non, generata con i dispositivi atti a creare firme sicure ha, in base alla proposta europea, gli stessi effetti giuridici della Firma digitale. Sempre secondo la norma europea, poi, le firme elettroniche non basate su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, né generate da un dispositivo per la creazione di firme sicure sono solo ammesse in giudizio come prova. Ciò non trova riscontro in Italia.

Secondo il testo comunitario, i certificati rilasciati da un Prestatore di un paese terzo sono riconosciuti giuridicamente validi in ogni Stato Membro se:

• il Prestatore è in possesso dei requisiti previsti dalla Direttiva ed è accreditato da parte di un sistema/organismo stabilito in uno Stato Membro;
• il certificato è garantito da un prestatore stabilito nella comunità ed in possesso dei requisiti previsti dalla Direttiva;
• il certificato o il Prestatore è riconosciuto in forza di un accordo tra Comunità e paesi terzi, o organizzazioni internazionali.

Invece, l’art. 8 del Decreto 513/1997 stabilisce che nel territorio nazionale vengono riconosciti giuridicamente validi i certificati rilasciati da certificatori, anche di Paesi Terzi, operanti in base ad una licenza od autorizzazione rilasciata da uno Stato Membro dell’Unione europea o dello spazio economico, e solo se in possesso di equivalenti requisiti.

Tra questi certificatori possono essere stipulati gli accordi di certificazione previsti dal DPCM 08/02/99.

I certificatori italiani possono sempre, allo stato della normativa vigente, stipulare accordi con certificatori di Paesi Terzi non accreditati da uno Stato Membro, sulla base del diritto privato internazionale. Tali accordi però, rimangono fuori dal discorso del DPCM 08/09/99.