Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Firma digitale obbligatoria: fermate quella legge!
di Cesare de Carolis - Giampiero Guarnerio - Massimiliano Perletti - 13.12.01

Apprendiamo che l'art. 31, comma 2, della legge 24/11/2000 n. 340 ha abolito la firma autografa per il deposito degli atti societari presso il Registro delle Imprese a partire dal 9 dicembre 2001. Da questa data la firma non è più legata indissolubilmente ad un'espressione "somatica" della persona qual è il segno grafico personalmente apposto sulla scrittura, ma all'incrocio di due dati soltanto giuridicamente, ma non fisicamente, legati ad essa: una smart card e una password. Non solo non è più possibile avere un rapporto cartaceo con il Registro delle Imprese, ma è obbligatorio dotarsi di computer, smart card, lettore di smart card, password, oltre ad almeno 5 software diversi e non integrati (sistema operativo, software di collegamento, software di criptazione, software di compilazione modulo, software di scrittura), ciascuno perfettamente autonomo e sviluppato da un diverso fornitore.

Fino ad oggi, la firma autografa è stata l'unica modalità con la quale la scrittura privata (art. 2702 c.c.) viene formata e le dichiarazioni di chi la sottoscrive assumono valore giuridico ("fa piena prova"). L'introduzione nell'ordinamento della cosiddetta "firma digitale", modalità attraverso la quale si dà pari dignità alla scrittura formata in modo elettronico rispetto alla scrittura "cartacea", va senz'altro visto come evento positivo in nome del progresso e della velocizzazione dell'attività economica. Tale modalità, peraltro, va considerata quale "modalità secondaria" ed aggiuntiva rispetto a quella cartacea, giacchè non si può pretendere che tutti siano tenuti a confermare le proprie dichiarazioni di volontà soltanto attraverso questo strumento. Una considerazione opposta porterebbe alla assurda conseguenza che tutti avrebbero l'obbligo legale di dotarsi di computer, programmi, lettori, smart card e codici per poter contrarre. Ebbene, con la norma citata accade proprio questo: si abolisce la modalità primaria per dichiarare con modalità idonea a costituire "piena prova" la propria volontà, e si consente soltanto la modalità secondaria.

Gli effetti di questa disposizione normativa sono a dir poco devastanti, sia sotto il profilo delle conseguenze giuridiche legate all'unico strumento utilizzabile, sia sotto il profilo della certezza sostanziale degli atti così formati.

Nuovi problemi giuridici in cerca di soluzione

Si investono miliardi in dollari per creare un software supersicuro ma viene sempre fuori che c'è qualcuno in grado di decrittografarlo. L'intrinseca insicurezza del sistema nasce dalla novità della separazione fisica tra il soggetto che esprime la volontà dallo strumento che ne fornisce la prova. Se la firma scritta, attraverso la comprova dell'esame grafologico, è indiscutibilmente legata al tratto somatico della persona, la firma digitale perde questo legame: non c'è né ci può essere un legame certo tra firma digitale e titolare della firma, ma solo una presunzione giuridica di certezza.
Con il meccanismo della certificazione si produce un algoritmo informatico che conferisce certezza della titolarità della firma digitale, ma non conferisce certezza circa la paternità della firma digitale, cioè dell'identità di chi ha materialmente apposto la firma digitale.

Nel contemperare le opposte esigenze dei terzi di buona fede, che nella firma digitale ripongono ed hanno diritto di riporre affidamento, e del titolare della firma digitale, che è sottoposto ad una quota di rischio aggiuntivo di utilizzo abusivo della propria "firma", il legislatore fa prevalere quelle dei terzi. La legge attribuisce la piena responsabilità della firma digitale al titolare fintantoché questi non ne denunci la revoca. La ragione di tale elevata responsabilizzazione, addirittura superiore a quella che si applicherebbe ad una scrittura tradizionale (per la quale, data la connessione somatica e personale del segno grafico esclude ab origine la possibilità che un terzo possa vincolare abusivamente il titolare della firma), deriva unicamente da una considerazione: il sottoscrittore entra VOLONTARIAMENTE nel sistema della firma digitale. O almeno così era nelle previsioni originarie della norma. Conosce i rischi, decide quindi VOLONTARIAMENTE di assumersi l'onere della diligenza nella custodia e se ne assume VOLONTARIAMENTE le conseguenti responsabilità.

"Se" il titolare della firma vuole accettare questo rischio, è giusto che sia libero di utilizzare il meccanismo della firma digitale.
Ma l'assenza di volontarietà nella scelta di utilizzo della firma digitale impone quantomeno un forte ripensamento delle conseguenze giuridiche circa la irripudiabilità e la tutela del soggetto titolare della firma digitale nei casi di utilizzo indesiderato. L'elemento della volontarietà dell'utilizzo del sistema digitale, che costituiva la principale motivazione che ha portato il legislatore ad addossare al sottoscrittore l'onere della custodia di smart card e password viene ora meno. Insomma: è la stessa logica che sta dietro a quel diffusissimo strumento di pagamento che è il bancomat. Tutti sanno che la custodia del codice insieme alla scheda magnetica esime da responsabilità la banca, e che quindi, in caso di furto di scheda e codice, si corre il rischio di vedersi addebitati i prelievi senza possibilità di recupero. MA NESSUNO E' COSTRETTO AD AVERE UN BANCOMAT!

Altri problemi "pratici"

Emerge poi una conseguente serie di problemi che per semplicità definiremmo di ordine pratico, ma che in realtà pone importanti problemi giuridici, sia pure di profilo minore.
Cominciamo dalla complicazione del sistema (e dire che la legge che ne ha introdotto l'utilizzo parla di "semplificazione"). Sono coinvolti almeno 5 diversi software, che richiederanno una configurazione minima dell'hardware: sistema operativo, sistema di scrittura, sistema di comunicazione, sistema di crittografia, sistema di compilazione modulistica. Questi software sono prodotti da diversi soggetti, non sono integrati, e sono soggetti alle immancabili "patches" (o releases) di aggiornamento. Il tutto ovviamente a pagamento.
Dobbiamo forse considerare che, d'ora innanzi, tra i requisiti di eleggibilità degli amministratori ci sia il possesso di smart card? C'è da scommettere che se la modalità informatica fosse soltanto una facoltà, e non un obbligo, il Registro delle Imprese regalerebbe "la penna", cioè il software necessario, in versione integrata, di facile utilizzo, informando di propria iniziativa degli aggiornamenti. E forse ci regalerebbe anche il lettore, con tanto di garanzia.

Nuove situazioni di "caso fortuito" o di "forza maggiore" possono presentarsi in aggiunta a quelli tradizionalmente considerati, che sono tipicamente imputabili alla nuova modalità di trasmissione, per i quali manca una disciplina giuridica che dia certezze agli operatori. Ecco alcuni esempi:

1. Il giorno della scadenza della dovuta comunicazione al Registro Imprese interviene un guasto al sistema informatico, tale da impedire di fatto la trasmissione in tempo utile. Chi ha esperienza di utilizzo di mezzi informatici sa benissimo che un blocco può intervenire in qualsiasi momento e che non è nemmeno così facile risalire alle cause, ciò in special modo se si considera che i software necessari per la procedura sono almeno 5, non integrati, e che al computer tradizionale (case, tastiera, video, stampante) si aggiunge questo nuovo strumento che è il lettore della smart card. Come invocare questa esimente? Come documentare la circostanza? Occorre forse dimostrare di aver fatto tutto il possibile per evitarla? Occorre obbligatoriamente avere un sistema doppio, o triplo, per avere l'esimente? Oppure si può soltanto incrociare le dita e pagare la sanzione se qualcosa va storto? Oppure, infine, ci sentiremo dire che, per ragioni di prudenza, avremmo dovuto non aspettare l'ultimo giorno?
2) Il giorno della scadenza la smart card si "smagnetizza". Gli uffici sono chiusi. Che fare?
3) Il consulente incaricato della trasmissione (o il cliente) si dimentica o perde la password.
4) Il consulente incaricato fa un errore materiale nella selezione del file da inviare "cliccando" su un file sbagliato. Può invocare un'esimente?

Una nuova rosa di problemi riguarda il fatto che, mentre in passato era normale, possibile, ed anzi necessario delegare alcune funzioni legate all'adempimento formale di formazione e consegna della documentazione al Registro delle Imprese, da domani non si potrà delegarne che una minima parte. Ecco alcuni esempi delle conseguenze:

1) La comunicazione scade il 13 di agosto; il consulente vorrebbe andare in ferie. Con l'invio digitale obbligatorio la funzione di consegna materiale non potrà più essere delegata. Il consulente, quindi, dovrà rinunciare alle ferie programmate per procedere all'invio. Oppure dovrà portarsi dietro computer portatile, sufficientemente attrezzato di software ed hardware (compreso di modem e lettore), telefonino per la connessione, smart card e password per procedere all'invio. Dimenticavo: dovrà evitare posti esotici dove la copertura di rete informatica sia insufficiente.
2) D'ora innanzi, quando fissa appuntamenti di lavoro fuori sede (comprese quindi le udienze in tribunale, le verifiche sindacali, i consigli di amministrazione, gli atti pubblici, ecc.), il consulente incaricato dovrà preliminarmente valutare la propria agenda per evitare i giorni in cui scadono le comunicazioni camerali. Oppure dovrà dotarsi come sopra indicato ed interrompere la riunione o l'udienza per effettuare l'invio non appena viene avvisato che la pratica è pronta.
3) La custodia di smart card e password non può essere delegata. Fino a ieri non c'era bisogno di "custodire la propria firma autografa": il professionista ed il cliente sono in grado di riprodurla alla bisogna, né poteva essere trafugata. Ora si pone questo problema aggiuntivo: dove conservarle? Da un lato servono due luoghi sicuri data la gravità delle possibili conseguenze; dall'altro servono due luoghi agevolmente accessibili, data la frequenza dell'utilizzo e la necessità di disporne anche fuori sede. Non è un problema da poco!

Libertà di scelta

Non abbiamo nulla contro la divulgazione della firma digitale, ma è l'utilizzo obbligatorio che lede una importante libertà: quella di esprimere con validità giuridica la propria volontà con una modalità accettabile, certa, comprensibile, chiara a tutti e priva di rischi non volontariamente accettati.
Invochiamo la nostra libertà ed il nostro diritto di non possedere un computer, di non conoscere cos'è un software, di usare soltanto la macchina da scrivere e la penna.
Sottolineiamo la gravità della situazione, al limite della violazione dei diritti umani (comprensibilità di ciò che si firma, separazione fisica tra firma virtuale e soggetto responsabile, impossibilità di ripudiare la firma digitale che in qualsiasi modo risultasse apposta senza la effettiva volontà del firmatario in quanto "infalsificabile" per legge).