Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Il diritto non arranca, ma la tecnologia è più avanti
di Manlio Cammarata - 16.04.99

Con la pubblicazione del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 "Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513" si conclude la prima fase di un'evoluzione - anzi di una vera rivoluzione - destinata a incidere profondamente sul mondo del diritto, delle imprese e della pubblica amministrazione.
Non dobbiamo illuderci che, messa a punto la prima normativa, la rivoluzione possa spiegare i suoi effetti in breve tempo. Ci saranno molti ostacoli e anche qualche tentativo di "restaurazione". Le resistenze si sono già manifestate, determinate sia dalla mentalità conservatrice e misoneista di una parte non trascurabile del mondo del diritto, sia dalla difesa di interessi particolari quanto diffusi, sia dalla vischiosità formalistica che pervade tutto il nostro ordinamento.

C'è un punto che richiede una riflessione attenta. Nel momento in cui una norma di legge ha stabilito che il documento informatico è "valido e rilevante ad ogni effetto di legge" (DPR 513/97, art. 2) è stata posta una base molto solida per colmare il ritardo dell'evoluzione del nostro sistema giuridico, fermo da trent'anni nei confronti dello sviluppo delle tecnologie dell'informazione.
Non è piccola la distanza tra la prima formulazione della normativa sul documento elettronico, che risale all'autunno del '96, e le regole che da oggi sono in vigore. Recitava infatti la prima bozza di disegno di legge pubblicata dall'Autorità per l'informatica nella pubblica amministrazione:

"Ogni atto e documento, con qualsiasi procedimento ed a qualsiasi fine emanato o prodotto, contenuto in originale o in copia su uno dei supporti informatici a tecnologia avanzata individuati ai sensi del successivo art. 2, ovvero trasmesso per via telematica ai sensi del successivo art. 4, ed intelligibile mediante l'uso di programmi per elaboratore elettronico, ha l'efficacia probatoria del corrispondente documento cartaceo se è stato redatto con le caratteristiche previste dalla presente legge e dal suo regolamento di attuazione".

Ma, già nel marzo del '97, il secondo comma dell'articolo 15 della legge 15 marzo 1997, n. 59, stabiliva che:
"Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge".

La differenza è sostanziale, perché con la prima formulazione al documento informatico era semplicemente riconosciuta la stessa efficacia probatoria del documento cartaceo, mentre con la seconda il documento informatico assume di per sé validità e rilevanza legale. In altri termini, non c'è più una dipendenza concettuale della scrittura elettronica da quella tradizionale.
Il principio diventa di assoluta evidenza nell'articolo 18 del DPR 513/97:
"Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche
amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge".

Queste due norme costituiscono il "manifesto" della rivoluzione, perché fanno piazza pulita di tutto l'apparato - culturale prima ancora che organizzativo - fondato sulle firme, i timbri, i sigilli, le carte filigranate e quant'altro la burocrazia e il diritto hanno saputo inventare in secoli di storia.
La radice di questa innovazione non è molto lontana. E' nell'articolo 3 del decreto legislativo 12 febbraio 1993, n. 39 "Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche...", che dice:

"1. Gli atti amministrativi adottati da tutte le pubbliche amministrazioni sono di norma predisposti tramite i sistemi informativi automatizzati.
2. Nell'ambito delle pubbliche amministrazioni l'immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonché l'emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnati dall'indicazione della fonte e del responsabile dell'immissione, riproduzione, trasmissione o emanazione. Se per la validità di tali operazioni e degli atti emessi sia prevista l'apposizione di firma autografa, la stessa è sostituita dall'indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile".

La sostanza è nel primo e nell'ultimo periodo, dove prima si afferma che l'uso dei sistemi automatizzati deve costituire la norma - e non l'eccezione - nella produzione degli atti amministrativi, e poi si sostituisce la firma autografa, ove prevista, con una stampa prodotta dal sistema automatizzato.
Ma con il momento intermedio, costituito dall'obbligo di indicare la fonte e il responsabile dell'informazione, si compie di fatto il primo passo verso un diverso concetto di autenticazione del documento, perché alla firma autografa che conclude il processo si sostituisce un'indicazione relativa all'iter di formazione o di trasmissione dell'atto. Si tratta dunque di spostare all'indietro il momento della certificazione o dell'autenticazione: è quello che si verifica con le norme tecniche sul documento informatico, il cui momento essenziale non è tanto nell'apposizione della firma digitale, come può sembrare a prima vista, quanto nella certificazione della chiave compiuta da un soggetto qualificato "a monte" di tutto il processo.
In altri termini, l'autenticità del documento informatico non deriva immediatamente dalla firma digitale che lo accompagna, ma dal certificato relativo alla chiave asimmetrica di cifratura con la quale la firma stessa è stata generata.

Fino al DLgs 39/93, e al dibattito che ad esso è seguito, il documento informatico è stato oggetto di elucubrazioni astratte, di costruzioni teoriche fondate sugli stessi presupposti del documento tradizionale. Invece, con la prima bozza di normativa sul documento informatico, si è finalmente passati a presupposti concreti, di natura tecnica.
Questa è la vera rivoluzione concettuale: l'incontro, anzi la fusione, tra l'impostazione giuridica e quella tecnologica, assumendo quest'ultima nei suoi aspetti più avanzati. Rivoluzione concettuale che induce una vera e propria "rivoluzione culturale", perché è necessario affiancare alle conoscenze tradizionali tutto un armamentario di conoscenze tecnologiche e di prassi operative indispensabili per l'uso del documento informatico.
Per rendersi conto della dimensione del problema, basta considerare una frase che ho scritto poche righe più in alto: l'autenticità del documento informatico non deriva immediatamente dalla firma digitale che lo accompagna, ma dal certificato relativo alla chiave asimmetrica di cifratura con la quale la firma stessa è stata generata.
Probabilmente la maggior parte dei lettori di InterLex ha inteso senza troppa difficoltà il significato di questa affermazione, ma dobbiamo renderci conto che di fronte a espressioni di questo tipo oggi moltissimo giuristi perdono il filo del discorso. Questo è forse l'ostacolo più grave che dovrà essere superato sulla strada della piena diffusione del documento informatico.

Un esempio: solo pochi mesi fa, su un'autorevole rivista giuridica è stato scritto che le chiavi pubbliche potrebbero essere pubblicate su un CD-ROM contrassegnato da una "stampigliatura" del certificatore. Questo significa non aver capito i fondamenti del documento informatico, prima di tutto perché solo il controllo immediato, on line, può dare la garanzia che la coppia di chiavi non è stata sospesa o revocata, poi perché un CD-ROM può essere autenticato all'origine dalla firma digitale del certificatore. Infatti - e questo è un'altro aspetto della "rivoluzione concettuale" - nel documento informatico l'autenticazione è legata al contenuto e non al supporto.

Nella forma cartacea il supporto e il contenuto sono inscindibili e l'autenticazione riguarda di fatto il supporto. La firma autografa o ogni altra indicazione (timbro, sigillo) sono incorporati nella carta, quando non è la carta stessa ad autenticare l'informazione che contiene, come nel caso delle banconote. Invece nel documento digitale il contenuto è indipendente dal supporto e la firma è accoppiata all'informazione: essa infatti è generata attraverso l'applicazione della chiave privata all'impronta del testo e può anche essere separata da esso, senza perdere efficacia. Quindi il documento può essere trasferito da un supporto all'altro (per esempio da un dischetto a un CD-ROM) o trasmesso per via telematica, mantenendo la propria validità.
Tutto ciò implica anche la scomparsa della "copia" del documento. Affinché la copia di un'informazione cartacea con valore di documento abbia la stessa efficacia dell'originale, la conformità deve essere asseverata da un pubblico ufficiale. Invece la copia di un documento digitale, incorporando l'autenticazione nell'informazione, costituisce di per sé un originale e può essere indistinguibile da esso.

Se poi consideriamo gli aspetti processuali, anche qui il cambiamento è profondo. La firma autografa apposta a un documento ne attribuisce il contenuto al suo autore apparente fino a quando non si dimostra che è falsa. La dimostrazione avviene attraverso una perizia calligrafica sulla firma stessa. Invece nel documento digitale il controllo dell'autenticità si svolge, per così dire, in forma automatica, attraverso la verifica della chiave pubblica depositata presso il certificatore autorizzato. L'eventuale imbroglio va cercato proprio nel certificato relativo alla chiave di sottoscrizione, quindi oggetto dell'indagine è un fatto "a monte" della firma. Il certificato può essere viziato da un falso del certificatore, oppure il certificatore stesso può essere stato tratto in inganno sull'identità del soggetto che lo ha chiesto (per questi motivi le procedure di sicurezza e controllo costituiscono il nucleo principale delle regole tecniche).

Tutto questo indica la vastità e la profondità del cambiamento imposto dall'introduzione del documento informatico. Ma si deve sottolineare un altro aspetto che avrà conseguenze che non è esagerato definire "epocali".
Si tratta della normale procedura di controllo della firma digitale, che si svolge attraverso un accesso telematico al registro che contiene le chiavi pubbliche. Significa che le consultazioni a distanza sono destinate a diventare un'abitudine quotidiana, cioè che l'internet deve diventare uno strumento di uso comune per avvocati, notai, commercialisti e personale amministrativo di ogni livello. Questa è nello stesso tempo la premessa e la conseguenza dell'introduzione del documento informatico.
Ma purtroppo non significa ancora che il diritto accolga a pieno titolo le tecnologie dell'informazione.

Basta riflettere sul fatto che ancora oggi il grande archivio delle leggi, il CED della Cassazione, è in sostanza quello impostato trent'anni fa e, mentre gli italiani hanno accesso via internet alle leggi di tutto il mondo, non sanno come trovare quelle che li riguardano direttamente. Eppure la Gazzetta ufficiale è già sull'internet, basta una circolare per metterla a disposizione di tutti, ma evidentemente manca la "volontà politica".
Ancora la normativa più recente è "contro" l'internet. Ancora non si riescono a ottenere le disposizioni per le autorizzazioni degli internet provider, nemmeno un semplice chiarimento sulle precedenti regole è giunto dal Ministero delle comunicazioni o dall'Autorità per le garanzie. Ancora non decolla seriamente l'informatizzazione degli uffici giudiziari, ancora non c'è il diritto di accesso all'internet uguale per tutti.

Con il documento informatico abbiamo uno strumento formidabile per far decollare l'utilizzo delle tecnologie nel nostro Paese, ma non sappiamo bene che farne. Va a finire che per un bel po' di tempo ci servirà solo per pagare le tasse...
Quando, con una felice intuizione, l'AIPA decise di stabilire regole identiche per l'uso della firma digitale nella pubblica amministrazione e nei rapporti privati, si pensò che in questo modo si sarebbe stimolato anche il commercio telematico. Ma, almeno nella fase iniziale, il complicato meccanismo messo in piedi dal DPR 513/97 e da queste regole tecniche non si adatta alle esigenze di chi vuole vendere o acquistare in rete, e si vede che le normali procedure bancarie e i sistemi di sicurezza già in uso sono sufficienti a garantire le transazioni commerciali.

Quasi quattro anni fa, nella preistoria del web, il primo convegno sulle norme per l'internet si concluse con un'amara constatazione: la tecnologia avanza, il diritto arranca. Oggi forse il diritto non arranca più, grazie anche alla firma digitale, ma comunque resta indietro.