L’ITALIA RATIFICA LA “CONVENTION ON CYBER CRIME”. È REATO LA FALSA DICHIARAZIONE AL CERTIFICATORE.

Il Senato, il 27 febbraio 2008, ha approvato il disegno di legge (AS 2012), d’iniziativa del Governo, già approvato dalla Camera dei deputati, sulla ratifica ed esecuzione della Convention del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001. Il disegno di legge attende ora di essere promulgato dal presidente della Repubblica.
Il trattato internazionale prevede un coordinamento, tra gli Stati firmatari, della normativa penale e di procedura penale in materia di reati informatici, e, naturalmente, una cooperazione tra gli stessi Stati nella repressione dei crimini. La legge va ad aggiornare il nostro codice penale e di procedura penale riguardo agli argomenti previsti dalla Convenzione.
Per ciò che riguarda i servizi di certificazione delle firme elettroniche, dopo l’articolo 495 del codice penale è inserito l’art. 495-bis (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri) che recita: “Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno».
La fattispecie di reato sanziona la certificazione della firma (qualificata) operata “per interposta persona”, in sostanza la consegna del dispositivo di firma e del PIN a un soggetto diverso dal richiedente il certificato. Questi (secondo l’art. 32 del codice dell’amministrazione digitale) dovrebbe essere “identificato con certezza” dal certificatore. La responsabilità penale viene posta solo in capo al soggetto che dichiara il falso e non anche a quello che dovrebbe usare una “speciale diligenza” nel ricevere la dichiarazione.
L’introduzione di una sanzione penale per il falso in dichiarazione o attestazione nella fase di certificazione avrà un effetto salutare nella percezione generale del livello di sicurezza delle firme elettroniche.
La norma fa riferimento a “servizi di certificazione delle firme elettroniche”, senza aggiungere l’aggettivo “qualificate”, questo perché nell’ambito delle electronic signatures previste dalla direttiva 1999/93/ ci sono anche le “segnature” che non sono firme qualificate. Rientrano in questa categoria anchei certificati digitali che sono alla base delle transazioni telematiche “sicure”. In questo settore una falsa dichiarazione a un certificatore può essere il primo passo verso una truffa telematica.
Peccato che, nelle norme italiane, la fattispecie appena descritta non esista. Anzi, non esiste nemmeno la segnatura elettronica prevista dalla direttiva come metodo di validazione dei dati. Questo determinerà non poche difficoltà nell’interpretazione della nuova norma.