Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 Firma digitale

Il rischio di travolgere certezze giuridiche e informatiche
di Guido Scorza - 03.07.03

Il decreto del Presidente della Repubblica 7 aprile 2003, n.137 avrebbe dovuto costituire l'ultima tessera - o forse la penultima, in attesa dell'ormai prossima approvazione delle regole tecniche - di quel complesso mosaico faticosamente assemblato dal Palazzo nel corso degli ultimi sei anni in materia di documento informatico e firme elettroniche.
Oggi, dunque, dovremmo poter salutare con soddisfazione l'ormai raggiunta piena attuazione del principio dell'equiparazione del documento informatico a quello cartaceo sancito, per la prima volta, in Italia, attraverso la legge 15 marzo 1997, n. 59.

Tuttavia - come emerso anche nel corso del recente convegno sul diritto amministrativo elettronico svoltosi a Catania il 27 e 28 giugno scorsi - sussistono diverse ragioni per ritenere che il legislatore abbia mancato l'obbiettivo e che, pertanto, il processo di equiparazione cartaceo-digitale non possa dirsi ancora compiutamente realizzato.
L'assetto normativo dato alla materia, infatti, appare, non sempre pienamente rispettoso dei diversi ruoli e funzioni attribuiti nel sistema tradizionale alla "forma scritta" ed alla "sottoscrizione autografa": la prima baluardo - benché non assoluto - dell'integrità ed inalterabilità del contenuto di un documento e la seconda, garanzia - anche in questo caso solo relativa - dell'imputabilità di un determinato contenuto ad un certo soggetto.

Nel quadro normativo previgente l'ottenimento di tali risultati veniva perseguito facendo affidamento da un lato sulla constatazione che il supporto cartaceo sia idoneo, per sua natura, a rivelare i segni di ogni eventuale alterazione (integrità del documento) e dall'altro sulla possibilità - grazie alla grafologia - di ricollegare in maniera univoca la sottoscrizione autografa al suo titolare.
Ciò che, dunque, il legislatore avrebbe dovuto fare è, semplicemente, sostituire a tali strumenti tradizionali (supporto cartaceo e sottoscrizione autografa) i nuovi strumenti informatici e telematici senza, ovviamente, alterare l'equilibrio e la tenuta del sistema.
L'esame di alcune disposizioni contenute nella versione aggiornata del testo unico in materia di documentazione amministrativa, rivela, tuttavia, che tale operazione non sempre è riuscita.

1. Ai sensi del combinato disposto degli art. 1, lett.b e 10 del DPR 445/2000, il documento informatico, da intendersi come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile, riguardo ai fatti ed alle cose rappresentate".
Per effetto del richiamo all'art. 2712 c.c., dunque, il legislatore ha inteso equiparare il documento informatico privo di qualsivoglia genere di firma elettronica alle "riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti o di cose" che a norma della richiamata disposizione formano - nel nostro ordinamento - "piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime".

Sul punto l'equiparazione del legislatore appare, nel complesso, condivisibile.
Il documento informatico, infatti, viene equiparato a strumenti meccanici del passato la cui efficacia giuridica - peraltro di scarso rilievo - già nel regime tradizionale prescindeva completamente dalla sottoscrizione ed era piuttosto ricollegata alla materialità dei supporti magnetici e meccanici.

D'altra parte la giurisprudenza, già nel vigore dell'originario testo del DPR 10 novembre 1997, n. 513 - che in relazione a tale aspetto corrispondeva integralmente a quello risultato dagli ultimi sei anni di elaborazione normativa - aveva chiarito che "i dati forniti da un sistema computerizzato di rilevazione e documentazione (documenti informatici non sottoscritti elettronicamente n.d.r.) possono costituire ai sensi dell'art. 2712 c.c. e dell'art. 5, comma 2, D.P.R. 10 novembre 1997, n. 513 (oggi art. 10, comma 1 del DPR 445/2000 n.d.r.), prova del fatto contestato, ove sia accertata la funzionalità del sistema informatico e le risultanze di esso possano assurgere a prova presuntiva congiuntamente a circostanze esterne ad esso, altrimenti provate" (Cass. 6 settembre 2001, n. 11445).

Al riguardo potrebbe semmai discutersi dell'equiparabilità delle caratteristiche ontologiche dei prodotti e strumenti di cui all'art. 2712 c.c. con quelle dei documenti informatici: materialità e corporeità contro immaterialità e volatilità.

2. A norma del combinato disposto degli artt. 1, lett. cc) e 10, comma 2 del DPR 445/2000 "il documento informatico, sottoscritto con firma elettronica (n.d.r. da intendersi come l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica) soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare".

Cercando di riassumere e prescindendo dalla pessima definizione di "firma elettronica" (M. Cammarata, Sparita l'equivalenza tra firma autografa e digitale!), il legislatore ha dunque inteso riconoscere al documento informatico sottoscritto elettronicamente e, dunque, con un qualsiasi metodo di "validazione" - quale, ad esempio, l'utilizzo del numero di carta di credito - la natura di forma scritta tradizionalmente propria delle rappresentazioni di atti e fatti su supporto cartaceo.
Tale scelta del legislatore non può essere condivisa e costituisce un elemento di forte rottura ed incoerenza rispetto al quadro normativo di riferimento.

Il regime e l'efficacia giuridica dei documenti predisposti "in forma scritta" o "per iscritto" nel nostro ordinamento è, infatti, inscindibilmente connesso alla materialità del supporto cartaceo ed alla constatazione secondo cui detta tipologia di supporto è idonea a rivelare i segni di eventuali alterazioni del contenuto del documento, consentendo così di fare legittimo affidamento sulla circostanza che tra il momento di predisposizione del documento stesso e quello successivo in cui si rende necessario utilizzarlo il suo contenuto sia rimasto inalterato.

La forma scritta - da tener ben distinta dalla "scrittura privata" -, dunque, viene generalmente richiesta dal legislatore in relazione a tutta una serie di circostanze in cui risulta utile cristallizzare nel tempo determinati atti e fatti a garanzia dei diritti di una o entrambe le parti in taluni rapporti commerciali.
In relazione alle scritture contabili di cui all'art. 2214 c.c., cui si fa riferimento nella disposizione in commento, ad esempio, il legislatore non richiede, ai fini della loro conservazione, alcuna sottoscrizione, limitandosi a prevedere che esse debbono essere tenute per iscritto e vidimate ad opera di un terzo (l'ufficio del registro delle imprese o il notaio cfr. art. 2215 c.c.).

Se, dunque, l'unica effettiva ratio che nelle diverse disposizioni di legge che richiedono la forma scritta sta nella volontà di garantire alle diverse parti coinvolte in ogni rapporto giuridico un legittimo affidamento sull'integrità ed inalterabilità del o dei documenti relativi a detto rapporto, non si vede quale utilità, al riguardo, possa essere ricollegata all'utilizzo di qualsivoglia genere di firma elettronica sia essa semplice, forte, debole, qualificata o avanzata.
Il problema al riguardo non concerne il parallelo tracciato da Cammarata nell'articolo citato, tra firma elettronica e firma autografa ma, piuttosto, la pretesa - priva di ogni fondamento - del legislatore di sostituire le garanzie offerte nel sistema tradizionale dalla durevolezza ed inalterabilità del supporto cartaceo con quelle - aventi diversa natura e funzioni - offerte dalla sottoscrizione elettronica apposta dal predisponente il documento stesso.

Il testo definitivo della disposizione adottata dal legislatore è pieno di incongruenze e, purtroppo, andrà necessariamente modificato per evitare che ai danni già prodotti da ritardi ed incompetenze nel corso dell'elaborazione del quadro normativo in materia di documento informatico e firma elettronica si vada ad aggiungere anche la beffa di disporre di strumenti incompatibili con decine e decine di altre previsioni del nostro ordinamento.

Prima di proporre suggerimenti e prescrivere ricette, tuttavia, occorre fermarsi a riflettere e studiare a fondo l'intero ambito dei rapporti civili ed amministrativi coinvolti dalla rivoluzione copernicana in atto.
La ragione per la quale la semplice sostituzione al riferimento alle "firme elettroniche" di quello alla "firma digitale" o altra firma elettronica avanzata sarebbe del tutto inutile, può essere spiegata in poche righe.

Laddove il legislatore ha richiesto la forma scritta (o la forma scritta e la vidimazione come nel caso delle scritture contabili) lo ha fatto, come si è detto, preoccupato di garantire l'integrità ed inalterabilità di determinati documenti ad opera di chiunque e, dunque, anche ad opera del predisponente il documento stesso.
In tale contesto detto intervento non sarebbe risolutivo in quanto il predisponente - in possesso della chiave privata della propria firma digitale e/o avanzata - potrebbe sempre modificare a suo piacimento il documento stesso con buona pace delle garanzie di integrità ed inalterabilità perseguite dal legislatore.

Il punto merita, per questo, più attenta valutazione ma, può sin d'ora ritenersi che la soluzione non possa e non debba essere ricercata nella sottoscrizione elettronica.
Potrebbe, forse, ipotizzarsi un sistema di validazione telematica ad opera di un terzo, meglio se soggetto pubblico, come, per esempio, la marca temporale.

3. Il comma III, dell'art. 10 del D.P.R. 445/2000 dispone che "il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto".
La disposizione ricollega, in sostanza, al documento informatico, sottoscritto con firma digitale o elettronica avanza, la più forte "gradazione" di efficacia giuridica esistente nel nostro ordinamento, ovvero quella riservata alla scrittura privata con sottoscrizione autografa riconosciuta o legalmente considerata come riconosciuta perché autenticata da un pubblico ufficiale o, piuttosto, risultata autentica all'esito di un procedimento di verificazione o di querela di falso.

Anche a prescindere dai connotati sui generis che verrebbe ad assumere il procedimento di querela di falso qualora avente ad oggetto una sottoscrizione digitale o elettronica avanzata, la previsione normativa in commento non appare condivisibile, evidenziando macroscopici limiti ed elementi di debolezza del sistema.
Ne sottolineo due su tutti, sui quali, peraltro, mi è parso di scorgere una sostanziale identità di vedute - sebbene nelle ovvie diverse sfumature - tra i diversi addetti ai lavori presenti al Convegno nazionale sul diritto amministrativo elettronico di Catania:

a) il sistema di firma digitale disciplinato dal quadro normativo in commento - contrariamente a quanto stabilito al comma 3 dell'art. 10 del DPR 445/2000 - non consente di pervenire ad una sufficientemente forte certezza circa la provenienza del documento dal titolare della firma digitale attraverso la quale il documento stesso risulta sottoscritto. L'unico elemento che tale sistema è idoneo a provare con un ragionevole grado di certezza è la circostanza che il documento sia stato "sottoscritto" con una determinata firma digitale o avanzata e che, pertanto, il "sottoscrittore" disponesse del relativo dispositivo di firma.

Prima di affidare la certezza del diritto nei rapporti tra privati e tra questi ultimi e pubblica amministrazione ad una presunzione di costante disponibilità del dispositivo di firma da parte del suo titolare, sarebbe tuttavia opportuno verificare che non sussistano né strumenti informatici né giuridici per aumentare il grado di certezza ottenibile o ridurre l'intensità dell'efficacia giuridica ricollegata alla sottoscrizione con firma digitale.
Penso, ad esempio, all'utilizzo di chiavi biometriche quale strumento di attivazione del dispositivo di firma.

b) Ai sensi del comma 2, lett. a) dell'art. 29 bis del D.P.R. 445/2000, il certificatore ha, tra l'altro, l'obbligo di "identificare con certezza la persona che fa richiesta della certificazione".
Nessuna ulteriore disposizione - almeno ad oggi - si preoccupa di limitare la discrezionalità con la quale il certificatore - soggetto privato e non già pubblico come sarebbe stato forse lecito attendersi vista la rilevanza delle funzioni ad esso attribuite - può e deve procedere all'identificazione.

In tale contesto si corre il rischio che il certificatore finisca con l'attribuire ad un soggetto un'identità digitale che "fa piena prova fino a querela di falso" sulla base di una procedura che - benché approvata dal DIT nell'esame del manuale operativo - non offra garanzie equiparabili a quelle caratteristiche delle scritture private autenticate o, comunque, "riconosciute" o "verificate" a norma degli artt. 215 e 216 c.p.c.
Occorrerebbe intervenire con urgenza sul punto per garantire - pur a prescindere dalle perplessità sottolineate alla lettera a) - che vi sia un collegamento univoco e "sicuro" tra l'identità contenuta nel dispositivo di firma e quella del soggetto che ha chiesto ed ottenuto tale dispositivo.

Quelli che precedono sono, dunque, solo spunti di riflessione sui quali potrebbe essere opportuno confrontarsi, anche nella consapevolezza che, domani mattina, le firme digitali e le smart card che le contengono saranno in circolazione in un Paese con un bassissimo livello di alfabetizzazione informatica e che, quindi, il fiume in piena del progresso tecnologico che le ha prodotte - se non opportunamente arginato da un quadro normativo solido e chiaro - rischia di travolgere certezze e sicurezze giuridiche ed informatiche.