Manlio Cammarata - Il colonnello Rey, suppongo - Tabulas

Firma digitale

Un messaggio e-mail non è "prova scritta"

di Manlio Cammarata e Enrico Maccarone - 29.01.04

 
Circola in questi giorni sul web la strana notizia di una decisione del tribunale di Cuneo, nella quale il giudice avrebbe sentenziato che l'e-mail ha l'efficacia probatoria di una scrittura privata. In questo modo sarebbe confermata una strana interpretazione della normativa sulla firma digitale: l'inserimento della password per accedere al servizio di posta costituirebbe una firma elettronica. Interpretazione insostenibile, come vedremo tra poco, anche sulla base di una attenta lettura delle norme. 

Il fatto è che la notizia non sta in piedi. Il testo in questione, come si può vedere dal documento che pubblichiamo, è un ricorso per decreto ingiuntivo. Tutto il bailamme di commenti più o meno appropriati che si stanno intrecciando sulla presunta "sentenza", in realtà è fondato sul nulla.
Non c'è alcuna sentenza da commentare. In ipotesi, nell'eventuale giudizio di opposizione al decreto ingiuntivo, la sentenza del tribunale potrebbe accogliere la tesi contraria a quella sostenuta dal ricorrente. Ipotesi non peregrina, perché di solito i giudici sanno leggere le norme meglio di molti improvvisati commentatori.

Per essere più chiari:

1. L'oggetto della discussione non è una sentenza, ma solo il ricorso di una parte al giudice. Sono dunque argomentazioni di parte, che in nessun caso possono costituire "giurisprudenza".
2. Un decreto ingiuntivo non è una sentenza. L'art. 633 del codice di procedura civile dice che il giudice emette il decreto "se del diritto fatto valere si dà prova scritta", ma anche "se il diritto dipende da una controprestazione o da una condizione, purché il ricorrente offra elementi atti a far presumere l'adempimento della controprestazione o l'avveramento della condizione". Non possiamo sapere se il giudice ha ritenuto di accogliere le argomentazioni del ricorrente sull'attribuzione dell'efficacia di "forma scritta" alle e-mail, o abbia trovato nelle stesse e-mail gli "altri elementi" previsti dal codice di procedura civile: un decreto ingiuntivo, per sua natura, non contiene motivazioni.
3. Chi pretende di commentare un atto di parte come se fosse una sentenza e lo porta a sostegno delle proprie tesi, non ha idee chiare in materia di diritto.

Ciò premesso, dobbiamo approfondire la sostanza della questione: l'inserimento del nome dell'utente e della password per accedere ai servizi del provider che ospita la casella di posta del mittente è una "firma elettronica" ai sensi della normativa vigente?
Il problema è serio, perché da qualche tempo  circola questa interpretazione, fondata su apparenti giustificazioni tecniche, non giuridiche, che può avere conseguenze devastanti. Ne avevamo già parlato qualche tempo fa in una FAQ sulla firma digitale ma, vista la situazione, è necessario ritornare sull'argomento in maniera più esaustiva.

Le argomentazioni addotte dall'avvocato del ricorrente sembrano seguire una ferrea concatenazione logica. Ma sono viziate in partenza da una superficiale considerazione del dato normativo o, più esattamente, da una mancanza di collegamento tra il dato normativo e il dato di fatto. Per dirla in termini più semplici, si dà della norma una lettura che non corrisponde alla realtà, anche per il semplice fatto che la norma stessa, nella sua attuale formulazione, si presta a interpretazioni errate o devianti. 

In sostanza, afferma il ricorrente, un messaggio e-mail è una "scrittura privata", dal momento che l'art. 10, comma 2, del DPR 445/2000 stabilisce che "Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta". Allora ci si deve chiedere dov'è la firma elettronica in un messaggio e-mail (a parte la probabile incostituzionalità di questa disposizione, per i motivi che abbiamo più volte esposto in queste pagine - vedi, in particolare, Lo schema governativo stravolge il processo civile di Gianni Buonomo e La Costituzione, la delega e le "disarmonie" del testo di Daniele Coliva).

Secondo la tesi del ricorrente, condivisa da alcuni distratti commentatori, la firma elettronica sarebbe costituita dal nome dell'utente e dalla password immessi per accedere al server del provider di posta elettronica. E questo è l'errore.
Leggiamo punto per punto la definizione di "firma elettronica", nel testo vigente del DPR 445/00, art. 1, comma, 1, lettera cc): 
- l'insieme dei dati in forma elettronica,
- allegati oppure connessi tramite associazione logica ad altri dati elettronici,
- utilizzati come metodo di autenticazione informatica
.

Nessun dubbio che nome utente e password costituiscano un insieme di dati in forma elettronica, ma si deve aggiungere il secondo punto: questi dati devono essere "allegati oppure connessi tramite associazione logica" ad altri dati elettronici, che sono appunto quelli che devono essere validati. L'efficacia materiale di quei dati informatici, che la direttiva 1999/93/CE definisce impropriamente "firma elettronica", deriva appunto dal fatto che c'è una connessione logica tra i dati "validanti" e i dati che devono essere validati. Connessione logica che avviene attraverso la procedura - logica - che calcola l'impronta dei dati da validare e la cifra con la chiave privata del firmatario.

In mancanza di questa procedura, o di un'altra che abbia il medesimo effetto, non si può parlare di qualsivoglia forma di firma elettronica, perché manca l'associazione logica tra il dato validante e il dato validato. L'immissione di dati quali userid e password nella fase iniziale di accesso al server non comporta alcuna associazione logica tra questi dati e gli altri dati elettronici che costituiscono i messaggio e-mail. Sarebbe come affermare che quando si deve inserire una password per accedere a un PC, tutti i documenti contenuti in quella macchina hanno la firma elettronica.

In conclusione:
a) sul piano del diritto non vi è alcun elemento per affermare che l'accesso con userid e password al servizio e-mail possa configurare la firma elettronica dei documenti inviati.
b) sul piano del fatto è fin troppo facile far apparire un'identità fittizia come mittente dell'e-mail; tanto che molti di quelli che ritengono che dalle norme si possa evincere la natura di firma elettronica per userid e password, finiscono col chiedersi se le norme stesse non siano sbagliate.

Tutto questo conferma quanto andiamo scrivendo da tempo: è indispensabile e urgente rivedere la normativa sul documento informatico, partendo dalle definizioni: le direttive comunitarie non devono essere "copiate" dagli Stati membri, ma "attuate". La differenza tra "copia" e "attuazione" è fin troppo evidente per giustificare ulteriori considerazioni.

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright