10.1. Certificazione, validazione e autenticazione

Gli articoli 5 e 16 del DPR 513/97 (che qui indichiamo brevemente come "il Regolamento) contengono disposizioni di grande interesse, che aiutano anche a capire alcuni aspetti essenziali del documento informatico. Vediamo i commi più importanti:

Art. 5 - Efficacia probatoria del documento informatico
1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.

Art. 16 - Firma digitale autenticata
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.
2. L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico ai sensi dell'articolo 28, numero 1, della legge 16 febbraio 1913, n. 89.
3. L'apposizione della firma digitale da parte del pubblico ufficiale integra e sostituisce ad ogni fine di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti.

Per l'articolo 2703 del codice civile "L'autenticazione consiste nell'attestazione da parte del pubblico ufficiale che la sottoscrizione è stata apposta in sua presenza. Il pubblico ufficiale deve previamente accertare l'identità della persona che sottoscrive".
Ora dobbiamo considerare una differenza essenziale tra la sottoscrizione autografa e la firma digitale: mentre l'autenticità della sottoscrizione autografa può essere verificata attraverso il confronto con un'altra firma, sicuramente attribuibile al soggetto, la firma digitale viene verificata con il controllo della chiave pubblica presso il certificatore, il quale "è tenuto a identificare con certezza la persona che fa richiesta della certificazione" (articolo 9 del Regolamento). Ma questa certificazione non deve essere confusa con l'autenticazione, perché nella prima manca l'aspetto fondamentale dell'attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza.
La certificazione riguarda la chiave pubblica (e cioè l'attribuibilità della firma a chi risulta titolare della chiave stessa), mentre l'autenticazione riguarda una singola firma, apposta a un singolo documento. Nella firma digitale, come sappiamo, è compresa la "impronta" (hash) del documento e quindi la firma attesta anche l'integrità del contenuto. Invece nel documento cartaceo l'integrità risulta da elementi fisici, come l'assenza di cancellazioni o abrasioni del supporto.

La firma digitale attesta l'identità del sottoscrittore e, per il fatto che la chiave privata usata per generare la firma è segreta, anche la "non ripudiabilità" del documento), nonché l'integrità del contenuto. Ma questi aspetti non costituiscono una forma di "autenticazione", bensì una validazione del documento. Autenticazione, certificazione e validazione costituiscono quindi realtà del tutto diverse, che non devono essere confuse.

Si deve considerare anche un altro aspetto. Il secondo comma dell'articolo 16 del Regolamento aggiunge tre requisiti a quelli prescritti per l'autenticazione dall'articolo 2703 del codice civile: l'accertamento della validità della chiave utilizzata, la rispondenza del contenuto alla volontà della parte e l'assenza di contrasto con l'ordinamento giuridico. Questi punti sono frutto di esperienza notarile e vanno al di là della previsione dell'articolo 2703 del codice civile.
I concetti di idoneità del documento a produrre gli effetti voluti dalle parti, di rispondenza tra contenuto e manifestazione di volontà, di verifica di legittimità, costituiscono il nucleo della funzione notarile, così come nel tempo la giusprudenza ha sempre più sottolineato: col DPR 513/97 questi concetti hanno finalmente trovato un'affermazione legislativa e non più dottrinale o giurisprudenziale.
In questo senso non è azzardato affermare che l'autenticazione del documento informatico, oltre a essere un atto tipicamente notarile, conferisce al documento stesso un valore superiore a quello del corrispondente cartaceo.
Ma, in pratica, le necessità autenticazione dei documenti informatici saranno molto più rare di quanto sia stato finora per i documenti cartacei, per i motivi che vedremo tra poco.

10.2. L'autenticazione in pratica

Dobbiamo ora cercare di immaginare come avverrà l'autenticazione della firma digitale.
L'interessato si recherà dal pubblico ufficiale (tipicamente un notaio) con il documento già predisposto su un dischetto o su un CD scrivibile, oppure sarà il pubblico ufficiale a scriverlo sul proprio PC. Quindi il comparente inserirà nell'apposito lettore il proprio dispositivo di firma e genererà la firma.
A questo punto il pubblico ufficiale, dopo aver compiuto i prescritti accertamenti sul documento,  verificherà la chiave pubblica del firmatario collegandosi al certificatore, aggiungerà al documento l'attestazione di autenticità, inserirà il proprio dispositivo e quindi genererà la propria firma, la cui impronta sarà calcolata sull'insieme costituito dalla scrittura, dalla firma del sottoscrittore e dalla attestazione notarile di autenticità.
Più semplice a farsi che a dirsi.

Giova ricordare che il documento informatico, di regola, è un documento "in chiaro", il cui contenuto è leggibile da chiunque, e non "criptato" (rectius "cifrato"), come ha scritto qualche commentatore poco attento. Altrimenti, come potrebbe il pubblico ufficiale verificarne la rispondenza alla volontà del sottoscrittore e all'ordinamento? Decifrandolo, risponderà qualcuno. Ma allora, perché cifrarlo, anche in considerazione del fatto che chiunque, con la chiave pubblica, può decifrare un documento cifrato con la chiave privata del sottoscrittore? Se mai la cifratura può farsi successivamente, nel caso in cui il documento contenga informazioni riservate, e in questo caso si utilizzerà la chiave pubblica del destinatario oppure un cifrario simmetrico (vedi I fondamenti della firma digitale).
Non è certamente un caso o una dimenticanza, ma risponde anzi a precise esigenze, se nessuna delle norme in esame prende in considerazione le chiavi di crittografia (chiavi di trasporto) da utilizzare per l'eventuale cifratura del documento.

10.3. Documento informatico e riproduzioni meccaniche

Il secondo comma dell'articolo 5 del Regolamento richiede qualche considerazione in più:

2. Il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile e soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.

L'articolo 2712 del codice civile dice: "Le riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose, formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime".
I bit che costituiscono un documento informatico possono rappresentare, oltre che una scrittura, anche immagini, suoni o qualsiasi altra informazione digitalizzata. Il secondo comma dell'articolo 5 equipara alle rappresentazioni meccaniche i documenti digitali che rappresentino, invece che una scrittura, "fatti o cose". La differenza con le scritture previste dall'articolo 2702 del codice civile consiste nel fatto che per le scritture l'eventuale disconoscimento riguarda la firma, mentre per le rappresentazioni meccaniche riguarda la conformità ai fatti o alle cose rappresentate.

Non sembra sostanziale la differenza che si riscontra tra il primo e il secondo comma, per quanto riguarda la natura del documento informatico: nel primo si dice che è "sottoscritto con firma digitale", nel secondo "munito dei requisiti previsti dal presente regolamento": sempre di un documento informatico si tratta, cioè provvisto di firma digitale secondo le regole tecniche del DPCM 8 febbraio 1999. Qualcuno ha interpretato l'ipotesi del secondo comma in funzione di un ipotetico documento informatico non munito di firma digitale ai sensi del regolamento: in questo caso non si tratterebbe di documento informatico "valido e rilevante a tutti gli effetti di legge", perché esso è tale solo se provvisto della firma digitale apposta secondo le disposizioni del Regolamento e delle Regole tecniche. Dunque si tratterebbe di una mera riproduzione meccanica, sottoposta alla disciplina dell'articolo 2712 del codice civile, e non a quella dell'articolo 5 del Regolamento. Tuttavia potrebbe divenire documento informatico se sottoscritta con firma digitale "non a norma" da parte di un soggetto che se ne riconosca autore.
In pratica del documento informatico si potrà disconoscere la firma se il contenuto è una scrittura, o anche il contenuto stesso, se una rappresentazione digitale di fatti o cose. Le conseguenze del disconoscimento, con la querela di falso e gli accertamenti previsti dagli articoli 221 e seguenti e 261 e seguenti del codice civile, esulano dai limiti di questa "introduzione".

10.4. Firma autenticata e pubblica amministrazione

Vediamo ora un altro aspetto molto importante del documento informatico, nelle previsioni degli ultimi due commi dell'articolo 16 del Regolamento:

5. Ai fini e per gli effetti dell'articolo 3, comma 11, della legge 15 maggio 1997, n. 127, si considera apposta in presenza del dipendente addetto la firma digitale inserita nel documento informatico presentato o depositato presso pubbliche amministrazioni.
6. La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente regolamento.

La legge 127/97 (nota anche come "Bassanini 2") semplifica gli adempimenti burocratici nei numerosi casi in cui le norme prevedono che un documento debba essere presentato a una pubblica amministrazione con la firma autenticata: invece di doversi recare prima dal pubblico ufficiale per l'autenticazione della firma e poi allo sportello dell'amministrazione per la consegna del documento, il cittadino fa un solo viaggio, perché l'autenticazione viene fatta da chi riceve l'atto (naturalmente dopo aver identificato l'identità del soggetto).
Il quinto comma estende questa facilitazione al documento informatico. E' logico prevedere che l'addetto verificherà la firma digitale, inserendo nel computer il supporto informatico che contiene il documento o processando direttamente il documento già pervenutogli per via telematica, prima di accettarlo.

Resta il caso, che potrebbe costituire la prassi ordinaria quando la Rete unitaria della pubblica amministrazione sarà completamente operante anche per i rapporti con i cittadini, del documento informatico che viene inviato telematicamente all'amministrazione interessata. Il sesto comma risolve il problema dell'impossibilità di autenticazione della firma (non essendo presente l'interessato), con la richiesta di una formalità aggiuntiva: l'apposizione della marca temporale. A stretto rigore autenticazione della firma e marca temporale non sono la stessa cosa, ed è impossibile considerarle in qualche modo equivalenti.
Tuttavia la certificazione della chiave pubblica "a monte" della firma costituisce già una garanzia e la marca temporale aggiunge un ulteriore elemento di certezza. Così, sulla base dell'antico principio che il fine giustifica i mezzi, e siccome il fine è quello di far cessare l'andirivieni dei cittadini da un ufficio all'altro, il legislatore regolamentare ha praticamente tolto di mezzo l'autenticazione della firma nei documenti diretti alla pubblica amministrazione.

Ed è questo un dato che deve far riflettere sull'importanza della firma digitale per migliorare i rapporti tra lo Stato e i cittadini.