Che cos’è un Ente di certificazione? Nello scenario delineato occorre garantire l’identità dei soggetti che utilizzano la firma digitale, fornire protezione nei confronti di possibili danni derivanti da un esercizio non adeguato delle attività connesse, assicurare la solidità e sicurezza dei sistemi operativi e della struttura organizzativa. Questo rende necessario ricorrere all’intervento delle cosiddette terze parti fidate, cioè soggetti terzi che si trovano in posizione di neutralità rispetto agli utilizzatori della firma digitale: sono quelli che la legge italiana definisce “Certificatori”, mentre negli Stati Uniti sono detti “Autorità di Certificazione” (Certification Authority e nell’uso corrente CA).
Che cosa fa un Ente di certificazione? I Certificatori svolgono, tra gli altri, i seguenti compiti fondamentali: verificano e attestano, emettendo un apposito certificato digitale, l’identità del titolare ed eventualmente la veridicità di una serie di altre informazioni; stabiliscono il termine di scadenza dei certificati; pubblicano il certificato e la chiave pubblica, normalmente su rete, in modo tale che gli interessati possano avere la sicurezza dell’avvenuta certificazione; ricevono la segnalazione di eventuali smarrimenti, furti, cancellazioni, divulgazioni improprie di chiavi private e pubblicano quindi la lista dei certificati revocati o sospesi in conseguenza di tali fatti.
Come si diventa Ente di certificazione? La legge stabilisce precisi requisiti (giuridici, di onorabilità in capo ai rappresentanti legali e ai responsabili dell’amministrazione, di competenza ed esperienza dei responsabili tecnici, nonché di conformità di processi e prodotti informatici a standard riconosciuti di qualità) per l’esercizio dell’attività di certificazione, ai fini della validità legale della firma digitale. E richiesto inoltre che il soggetto certificatore sia incluso in un elenco pubblico, consultabile per via telematica, predisposto, tenuto e aggiornato a cura dell’Autorità per l’Informatica nella Pubblica Amministrazione (AIPA).

Qual è il valore della firma digitale? I presupposti giuridici che rendono possibili transazioni legali fatte grazie a queste tecnologie, si fondano soprattutto sull’articolo 15 comma 2 della legge 15 marzo 1997 n. 59, la cosiddetta “Bassanini l”, che recita: “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge; i criteri di applicazione del presente comma sono stabiliti, per la Pubblica Amministrazione e per i privati, con specifici regolamenti da emanare, entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell’articolo 17, comma 2 della legge 23 agosto 1988 n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l’acquisizione del parere delle competenti Commissioni”. I1 relativo regolamento di attuazione (DPR n. 513/97), che parla esplicitamente di firma digitale e di Autorità di certificazione è stato pubblicato sulla Gazzetta Ufficiale il 13 marzo 1998.