Adottata dal Parlamento il 19 dicembre 2003, la legge federale sui servizi di certificazione nel campo della firma elettronica (legge sulla firma elettronica, FiEle) definisce le condizioni alle quali i prestatori di servizi di certificazione possono chiedere di essere riconosciuti, disciplinandone le attività nell'ambito dei certificati elettronici. Inoltre, fissa le condizioni che una firma elettronica deve soddisfare per essere equiparata alla firma autografa e regolamenta la questione della responsabilità dei prestatori di servizi di certificazione, degli organismi di riconoscimento e dei titolari di chiavi per la creazione della firma.

Il Consiglio federale ha previsto che la legge entrerà in vigore il 1° gennaio 2005. Contemporaneamente, ha adottato l'ordinanza sui servizi di certificazione elettronica nel campo della firma elettronica (ordinanza sulla firma elettronica, OFiEle), che entrerà in vigore lo stesso giorno. Quest'ordinanza abroga formalmente il regime sperimentale istaurato dal Consiglio federale nel 2000. Inoltre concretizza gli obblighi ai quali i prestatori di servizi di certificazione sottostanno dopo essere stati riconosciuti. Infine, incarica l'UFCOM di emanare le necessarie prescrizioni tecniche e amministrative.

Le nuove disposizioni legali sono compatibili con la regolamentazione vigente in seno all'Unione europea. Esse dovrebbero permettere il futuro riconoscimento di più prestatori di servizi di certificazione, contribuendo così allo sviluppo del commercio elettronico e dell'e-government nel nostro Paese.

La firma elettronica

La firma elettronica si basa sulla tecnica della codifica asimmettrica. L'utente dispone di dati informatici unici, le cosiddette chiavi di codifica, di cui una, la chiave privata, deve rimanere segreta, mentre l'altra, la chiave pubblica, può essere divulgata a piacimento.

La chiave privata (o chiave di firma) serve a firmare un file elettronico mentre la chiave pubblica (o chiave di verifica della firma) permette al destinatario di verificare la firma elettronica del mittente. Se il risultato di questa verifica è positivo, il destinatario ha la garanzia che durante la trasmissione il file non ha subito alcuna modifica di contenuto.

La chiave pubblica si trova in un certificato elettronico emanato da un terzo di fiducia, ossia il prestatore di servizi di certificazione. La funzione principale del certificato elettronico è quella di correlare una chiave pubblica a una determinata persona, identificata al momento dell'emissione della chiave mediante esibizione del passaporto. Il destinatario del file firmato in modo elettronico conosce dunque l'identità di colui che glielo ha inviato. La qualità del certificato dipende dall'accuratezza con la quale il prestatore di servizi di certificazione verifica l’identità della persona che ne è titolare.

La firma elettronica non è una tecnologia nuova. Già oggi può essere impiegata ogni qualvolta si deve autenticare un contenuto e la provenienza di dati scambiati in formato elettronico. Questo vale sia per il commercio elettronico (tra imprese o tra imprese e privati), sia per l'e-government (tra autorità o tra autorità e cittadini).

A determinate condizioni, la nuova legge equipara la firma elettronica alla firma autografa, conferendo ad entrambe lo stesso valore. Sarà ora possibile concludere, per via elettronica, contratti che finora dovevano essere stipulati nella tradizionale forma scritta, come ad esempio un contratto di credito al consumo.

Il riconoscimento dei prestatori di servizi di certificazione

Allo scopo di promuovere l'utilizzo e il riconoscimento giuridico della firma elettronica, già nel 2000 il Consiglio federale aveva adottato disposizioni che permettevano ai prestatori di servizi di certificazione di chiedere di essere riconosciuti (ordinanza del 12 aprile 2000 sui servizi di certificazione elettronica, OSCert). La nuova legge riprende essenzialmente queste disposizioni.

Il riconoscimento significa che il prestatore che l'ha ottenuto soddisfa le esigenze fissate, in particolare per quanto concerne l'identificazione delle persone titolari di certificati elettronici. Si basa sul sistema generale di accreditamento valido in Svizzera per gli organismi di certificazione e d'ispezione e altri laboratori di prova e di taratura. Spetta dunque al Servizio d'accreditamento svizzero dell'Ufficio federale di metrologia e di accreditamento (SAS) accreditare gli organismi incaricati di riconoscere i prestatori di servizi di certificazione (cfr. schema).

Attualmente solo la società KPMG Fides Peat ha ottenuto l'accreditamento del SAS nel campo dei servizi di certificazione elettronica. Finora non si è invece fatto riconoscere alcun prestatore di servizi di certificazione; con l'entrata in vigore delle nuove disposizioni legali il 1° gennaio 2005 questa situazione dovrebbe tuttavia cambiare.

Entra in vigore la legge sulla firma elettronica