Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Il documento informatico nei rapporti di diritto privato
di Andrea Monti* - 21.11. 97

Forma e valore del contratto

La libertà delle forme

Il contratto è un incontro di volontà che può essere consacrato in modi diversi.
Uno dei principi fondamentali è la libertà delle forme, in altri termini ciò significa che le parti sono libere di regolare i propri rapporti nel modo che ritengono più opportuno ad eccezione di alcuni casi la cui rilevanza per l’ordinamento è tale da richiedere garanzie più forti sull’esistenza del vincolo.
Se dunque la maggior parte dei rapporti è valida ed efficace anche per via della semplice stipulazione orale, ciò non toglie che particolari esigenze, come la necessità di inserire nel rapporto clausole particolari o quella di avere un preciso riscontro probatorio in sede di controversie, impongano comunque la predisposizione di un accordo scritto.
E’ inoltre il caso di ricordare che la forma scritta è prevista dalla legge ad substantiam, cioè come elemento essenziale del contratto, oppure ad probationem tantum cioè a fini probatori dell’esistenza del rapporto.
Per i fini che qui interessano è possibile individuare due punti di riferimento significativi: il contenuto del contratto e la sua sottoscrizione.

Forma scritta e sottoscrizione

Tradizionalmente alla forma scritta si attribuisce da un lato un maggior grado di affidabilità nell’individuazione degli obblighi reciproci e dall’altro la capacità di attirare l’attenzione dello stipulante su certe condizioni contrattuali. E’ il caso delle clausole vessatorie, cioè di quei particolari accordi che per essere considerati validi devono essere specificamente e separatamente approvati dal contraente al quale devono applicarsi, a riprova dell’effettiva presa di conoscenza degli stessi.
Il denominatore comune ad ogni atto giuridico è la possibilità di riferirlo univocamente e senza alcun dubbio ad un autore, uno ed uno solo; la firma autografa assolve appunto a questa funzione.
Come è noto, in certe occasioni non necessariamente legate all’ambito contrattuale (ad esempio un contratto di locazione, o l’accettazione di una raccomandata) è sufficiente firmare un documento senza osservare formalità particolari.
Quando tuttavia secondo la legge la posta in gioco è più importante sono richieste alcune ulteriori garanzie circa l’effettiva corrispondenza fra sottoscrizione, identità del soggetto e libertà del consenso: sono i casi (l’acquisto di un immobile o il conferimento del mandato giudiziario) nei quali la firma deve essere autenticata da un notaio, da un avvocato o da un funzionario del Comune.

Il primo problema da risolvere è dunque l’individuazione di un criterio per stabilire l’autenticità delle firme.
La legge prevede tre possibilità e precisamente:
- un notaio o altro pubblico ufficiale si accerta dell’identità dei sottoscrittori al momento di firmare il documento (questo spiega la frase "...davanti a me notaio sono presenti i signori... della cui identità personale sono certo...." ricorrente sugli atti notarili);
- colui contro il quale si fa valere la firma non ne contesta l’autenticità, in altri termini riconosce come propria la firma sul documento esibito dall’altra parte;
- la procedura di verificazione giudiziale della scrittura, che consiste nell’attivazione di un procedimento davanti al giudice che tramite una serie di accertamenti tecnici (perizie ecc.) conduce all’individuazione della paternità della firma.

Superata questa fase si può discutere di ciò che il documento contiene.
E’ facile immaginare, senza voler parlare (ancora) di e-mail o di form, che tipo di problemi abbia generato in proposito, l’impiego di telegrammi, fotocopie e più in generale di riproduzioni meccaniche di documenti e quindi delle firme in essi contenuti.
Andiamo con ordine.

Un orientamento abbastanza diffuso della giurisprudenza non riconosce al telefax la capacità di integrare la forma scritta se questa è prevista dalla legge ad substantiam, limitandone il valore alla idoneità a dimostrare che la scrittura riprodotta esiste effettivamente.
Quanto al telegramma, se l’originale reca una firma autenticata allora la sua copia ha il valore di copia conforme; qualche giudice ha applicato gli stessi criteri anche al telex.
In generale - si dice - alle riproduzioni meccaniche e ai documenti informatici si può applicare il principio indicato più sopra al punto con una particolarità che riguarda i secondi.
Fino a qualche tempo fa il valore giuridico del documento informatico dipendeva da un artificio interpretativo secondo il quale visto che la legge non li vieta allora devono essere considerati validi ed accettabili; oggi le cose sono molto cambiate, infatti il concetto di documento informatico è presente nella famigerata legge 547/93 (quella sui computer crimes) e in una serie di normative sulla pubblica amministrazione pur con gli inevitabili problemi connessi all’estrema labilità dei dati informatizzati.
Pur dovendo quindi tenere conto di queste ultime considerazioni, appare al momento ancora ragionevole confrontarsi con il principio indicato dalla giurisprudenza richiamata, dal quale si dedurrebbe che la stipulazione di contratti esclusivamente on-line dovrebbe riguardare solo quei casi nei quali la forma scritta non è prevista dalla legge quale elemento essenziale. Vedremo fra poco che forse non è così.

Il contratto elettronico

Molti - me compreso - avranno ceduto almeno una volta alla tentazione di acquistare qualcosa in rete.
Apparentemente si tratta di una cosa banale, si riempie un form con i propri dati e con quelli della carta di credito, un clic e tutto e a posto. C’è un però, anzi, ce ne sono diversi sia per chi vende che per chi compra.
Tutto è basato sulla fiducia. Il cliente invia i propri dati sul presupposto che il venditore li utilizzi in modo corretto inviando esattamente il prodotto richiesto e d’altra parte il secondo fa affidamento sul fatto che il numero fornito corrisponda ad una carta di credito regolarmente detenuta (non prendo in esame al momento i vari digicash e simili).
Fino a quando le cose vanno bene non si riuscirebbe ad immaginare un sistema più pratico per comprare o vendere in rete, ma che succede in caso di controversie soprattutto considerando che gli acquisti avvengono spesso al buio?
Come si fa per esempio a dimostrare che l’ordine pervenuto via rete è effettivamente quello inviato dal cliente per quantità, qualità e prezzo?
Un altro scenario possibile riguarda invece l’ipotesi di un contratto negoziato e concluso elettronicamente fra le parti. Se come abbiamo visto a certe condizioni telex, telefax e telegrammi possono avere un qualche valore quantomeno probatorio, le cose non sono così semplici quando si utilizza l’e-mail o una sessione IRC senza adottare qualche precauzione, perlomeno finché i provider non si struttureranno in modo da offrire certe garanzie ai propri clienti.

Strutturazione di un contratto telematico

Concepire un contratto telematico sotto un profilo sostanziale è relativamente semplice; basta non confondere il mezzo con il fine. Una compravendita rimane sempre tale se viene perfezionata de visu o per il tramite di un messaggio di e-mail; ed infatti analizzando - anche a volo d’uccello - ciò che accade in rete si scopre che esistono offerte commerciali strutturate sul modello di supermercati, di librerie, di offerta di servizi e così via.
I problemi riguardano invece il modo in cui organizzare l’offerta tenendo conto di una serie minima di parametri:
- Quale forma è prevista dalla legge per l’attività che si intende svolgere in rete?
- Come deve essere materialmente condotta la stipulazione di un contratto on-line?
- Cosa deve garantire il sistema informatico per rinforzare l’efficacia probatoria del rapporto?

On line contracts

Utilizzeremo questa definizione per indicare ogni contratto che viene stipulato in tutto o in parte telematicamente, almeno per il momento senza prestare attenzione al rapporto sottostante; con un avvertimento: di regola la contrattazione avviene senza intermediari, mentre nel caso degli on line contracts , quando non è egli stesso parte del rapporto, il provider assume un ruolo essenziale, per quanto riguarda la tenuta dei log e la sicurezza del sistema. E’ un aspetto da non sottovalutare assolutamente.

Contratti standard

Il punto di partenza è l’accesso al "punto vendita" del fornitore. In questa fase è opportuno:
- che al cliente venga consentito di utilizzare il sistema solo in modalità dimostrativa, così da non compiere inavvertitamente azioni che lo potrebbero giuridicamente vincolare.
- che sia (almeno dovrebbe essere sempre) prevista - su ogni schermata - la possibilità di abbandonare la stipulazione e di cancellare i dati fino a quel momento eventualmente inseriti.
- fare in modo che il cliente manifesti inequivocamente il proprio consenso, ad esempio chiedendogli di come l’inserimento di dati personali. compiere degli atti
- accertarsi dell’identità dell’utente. Questo obiettivo può essere indirettamente realizzato ricorrendo al pagamento tramite carta di credito, o direttamente richiamando telefonicamente l’utente.
- organizzare in modo corretto le procedure di registrazione degli utenti e di stipulazione dei contratti.

Questo è l’aspetto che si dimostra maggiormente deficitario. I provider molto spesso non sono in grado di garantire l’inviolabilità e l’inalterabilità dei dati conservati sulle loro macchine, con la conseguenza che è molto agevole contestarne l’attendibilità in caso di controversia se non vengono adottati sistemi di cifratura. Comunque, in assenza di particolari misure di sicurezza, sarebbe molto agevole al provider infedele giocare brutti scherzi all’ignaro cliente.

Contratti negoziati

I contratti non standard che richiedono apposita negoziazione presentano aspetti problematici differenti da quanto si è detto in precedenza.
La stipulazione può essere gestita telematicamente in tutto o in parte, per esempio conducendo le trattative mediante scambio di posta elettronica o sessioni IRC per giungere poi alla sottoscrizione di un documento cartaceo finale; o viceversa, firmando all’inizio un contratto che riconosce valore alla successiva attività telematica.
In ambedue i casi i problemi che si pongono - comuni a quelli dei contratti standard sono della stessa natura:
- Verifica dell’identità delle parti
- Non repudiabilità dei contenuti dei messaggi
- Inalterabilità del contenuto dei documenti durante la trasmissione
- Certezza delle date di invio e ricezione
A prima vista sembrerebbero problemi insolubili, ma un aiuto insospettato - che esamineremo nel dettaglio successivamente - giunge dalla crittografia. Per il momento è sufficiente dire che l’utilizzo di sistemi a doppia chiave consente di raggiungere gli obiettivi appena enumerati.

La tutela del consumatore in rete

"Ho acquistato un modem e fra i vari gadget inclusi, veniva offerto un mese di collegamento gratuito ad un provider. La brochure magnificava i servizi di questo fornitore e così ho pensato di usufruire del periodo di prova Mi sono collegato e come primo adempimento mi è stato chiesto quello di inserire i miei dati personali, ivi compreso il numero di carta di credito. Mi sono reso conto che qualcosa non stava andando per il verso giusto e ho immediatamente interrotto il collegamento. Dopo un po’ di tempo cominciano ad arrivare sul mio conto gli addebiti relativi all’abbonamento presso questo provider. Questi addebiti sono stati sistematicamente contestati finché una formale ingiunzione di pagamento mi ha costretto a consultare un avvocato. Si è scoperto innanzi tutto che il mese gratuito era in realtà uno sconto commerciale, vale a dire che il costo dell’abbonamento era stato semplicemente ridotto di un 1/12, e che quindi ero da considerare a tutti gli effetti abbonato moroso di quel sistema. Fortunatamente la disponibilità del servizio commerciale - chiarito l’equivoco - ha consentito di risolvere il tutto senza complicazioni."

Il racconto, che si riferisce ad un caso realmente accaduto, è una buona esemplificazione di cosa possa accadere non all’utente sprovveduto, ma all’utente medio (cioè alla stragrande maggioranza) che non essendo un telematico si imbatte in modalità di stipulazione nei confronti delle quali non ha alcuna protezione.
Qualche tempo fa una rivista italiana offriva - almeno così diceva la copertina - oltre 160 ore di collegamento gratuito ad Internet. Acquistata una copia si scopre che in realtà il collegamento durava una settimana dal primo login per cui in effetti, se l’utente non stacca mai la linea, è sì possibile utilizzare (24x7)=168 ore di connessione, ma se questo non viene dichiarato subito (n.b. la rivista era incellofanata) si ingenera dolosamente nell’utente la convinzione che il conteggio viene effettuato sul collegamento effettivo e non su base temporale.

Questi sono solo due esempi - neanche i più eclatanti - della miriade di trappole che possono essere tese all’utente della rete per cui è evidente che il problema della tutela del consumatore si pone sicuramente come prioritario, soprattutto per evitare di incorrere in spiacevoli seguiti giudiziari.
Un aspetto da non sottovalutare è il numero crescente di minori che frequenta la rete, tutti potenziali clienti il cui consenso potrebbe essere carpito molto facilmente, anche qui con riflessi negativi sulla validità degli accordi eventualmente stipulati.

Il problema delle clausole vessatorie

Gli articoli 1341 e 1342 del codice civile dispongono, sul presupposto della differente forza contrattuale delle parti, che una serie di clausole per essere valide, vadano approvate separatamente e specificamente in modo che risulti inequivoca la volontà di accettarle.
Fanno parte di questa categoria pattuizioni molto comuni come ad esempio l’individuazione del foro competente o la rinuncia alla facoltà di proporre eccezioni.
Di recente a questi articoli si è affiancato un intero capo del codice civile che rende ancora più forte la tutela del consumatore.

Il problema fondamentale sta in questo: come si è visto la legge prescrive che questi accordi siano accettati per iscritto e separatamente dal resto del contratto, ma in rete - dove sottoscrizione non c’è, come è possibile utilizzare questo strumento contrattuale?

Le clausole sul trattamento dei dati personali

Il problema appena enunciato si ripropone negli stessi termini, anzi forse in termini più gravi, in rapporto alla legge sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
Sul contenuto della legge nulla dirò se non che viene riconosciuto il diritto dell’interessato acché i dati che lo riguardano siano trattati in modo corretto e, come principio generale, previo il suo consenso scritto
Le violazioni di queste norme sono punite con sanzioni penali (che arrivano fino a due anni di reclusione) e con una responsabilità civile ex. art. 2050 del codice civile (già adottato in tema di rischio nucleare).
In realtà la legge - che comunque suscita molte perplessità rispetto agli effetti che potrà avere sull’attività in rete - individua una serie di casi nei quali o il consenso non è necessario, o può essere oggetto di pattuizione contrattuale, ma sempre per iscritto e quindi, come è facile intuire, si ritorna al punto di partenza.
D’altra parte la lettera della legge e l’orientamento della giurisprudenza sono chiari: è necessaria l’approvazione scritta.
Ci si potrebbe - a questo punto - imbarcare in una discussione sul fatto che la digitazione dei caratteri a video equivalga o meno allo scrivere (del resto la legge non parla di carta e penna) ma certamente, in assenza di una chiara previsione normativa, si corre il rischio di doverne discutere davanti ad un giudice.

In effetti degli spazi di manovra esistono. Illustri giuristi1, a seguito dell’entrata in vigore della legge 547/93 - che fra l’altro ha introdotto nel codice penale la nozione di documento informatico - hanno chiaramente dimostrato l’equiparabilità alla scrittura di quanto avviene per il tramite di un computer e l’attribuibilità al suddetto documento di un pieno valore probatorio a condizione che possa essere inequivocabilmente riferita la sottoscrizione all’autore2.

Il mezzo per realizzare questa certezza esiste, è la firma elettronica3.
Se questo ragionamento dovesse rivelarsi corretto, come sembra probabile, verrebbe rimosso un serio ostacolo alla libera utilizzabilità della rete per un gran numero di situazioni.

La firma elettronica e il ruolo della crittografia

Facciamo un passo indietro.
Proviamo ad applicare i sistemi previsti dalla legge vigente ad un acquisto effettuato in Italia fra due parti italiane in modo da non doverci occupare anche dei complessi problemi di diritto internazionale privato che al momento comunque non rilevano.
Il primo è quello della firma autenticata... inapplicabile. Stessa fine per il terzo, quale provider ha un mail server strutturato per l’autenticazione (giuridica) del traffico?
Rimarrebbe il secondo, cioè lo spontaneo riconoscimento da parte di colui contro il quale si agisce e qui lascio alla vostra immaginazione cosa potrebbe succedere davanti ad un giudice.
Questi problemi sono destinati a crescere esponenzialmente quando da un lato sarà pienamente operativa le rete unitaria della pubblica amministrazione e dall’altro INTERNET (o il suo successore) sarà diventato un sistema veramente di massa anche se ciò non significa assenza di difficoltà concrete nell’immediato.

Fondamenti di crittografia

Pretendere di fornire in poche parole anche solo le basi della crittografia può apparire, anzi lo è sicuramente, impresa votata al sicuro fallimento. Ciò non toglie che è necessario tentare a costo di inevitabili generalizzazioni e semplificazioni delle quali spero mi perdoneranno i tecnici del settore.
La crittografia è la disciplina che studia il modo di trasformare un messaggio (testo in chiaro) nel testo in cifra (crittogramma) mediante un’operazione di cifratura in modo da rendere impossibile il prendere cognizione del contenuto del messaggio a soggetti diversi dal mittente e dal destinatario.
I sistemi di cifratura più noti al grande pubblico sono quelli simmetrici, dove il mittente e destinatario utilizzano lo stesso codice (noto solo a loro due) per cifrare e decifrare il messaggio. Per ragioni che esulano dagli scopi di questo scritto non è possibile spiegare il perché, ma questi sistemi non sono adatti per ottenere il risultato di cui abbiamo bisogno4.
La situazione cambia radicalmente con la nascita degli algoritmi a chiave asimmetrica che varrà la pena di descrivere un po’ più nel dettaglio.
La differenza fondamentale sta in questo: la cifratura a chiave simmetrica equivale ad avere la serratura della porta di casa che si apre e si chiude con la stessa identica chiave; mentre quella a chiave asimmetrica equivale ad avere una chiave per entrare e una per uscire (o viceversa) assolutamente indipendenti l’una dall’altra5.

Domanda: chi fabbrica queste chiavi?
L’utente stesso, mediante dei programmi freeware, genera la sua coppia di chiavi una - quella che deve essere diffusa - chiamata pubblica e l’altra - che deve rimanere assolutamente segreta - chiamata privata.
A questo punto due utenti si scambiano reciprocamente le proprie chiavi pubbliche che utilizzeranno per inviare i messaggi.
In pratica la cosa funziona in questo modo.
L’utente A cifra il messaggio con la chiave pubblica dell’utente B (liberamente disponibile) e lo invia. L’utente B, ricevuto il messaggio, lo decifra con la propria chiave privata essendone l’unico possessore.
L’algoritmo matematico che sta alla base di questo sistema fa sì che solo la chiave privata di B consenta la decifratura del messaggio.

La firma elettronica

Il passo successivo è quello di ottenere la certezza dell’identità del mittente, e qui entra in gioco la firma elettronica.
L’utente A cifra il messaggio una prima volta con la propria chiave segreta.
Il messaggio risultante viene nuovamente cifrato con la chiave pubblica di B e il messaggio viene inviato.
Quando B riceve il messaggio per prima cosa lo decifrerà con la propria chiave segreta. Otterrà un messaggio che dovrà essere ancora decifrato, ma questa volta con la chiave pubblica del mittente A.
L’eventuale malintenzionato che dovesse intercettare il messaggio non avrebbe nessuna possibilità di modificare il contenuto (perché il destinatario non potrebbe più decifrare e si accorgerebbe della falsità del messaggio) né di sostituirsi al mittente (perché il messaggio è stato cifrato con la chiave segreta di A e quindi se B utilizzando la chiave pubblica di A non ottiene risultati, si accorge del trucco)

Riassumendo, in questo modo si raggiunge la certezza che:
- L’utente A è l’effettivo autore del messaggio
- Il messaggio è esattamente quello che A voleva inviare
- Solamente il destinatario B poteva leggere il messaggio

Valore probatorio della firma elettronica: il problema della certificazione

Manca ancora un gradino per raggiungere gli obiettivi che ci siamo prefissi.
Il meccanismo a chiave asimmetrica consente infatti di riferire univocamente il contenuto di un messaggio ad un soggetto, cioè di autenticarlo, ma in rete esistono solo USERID e non utenti reali. In altre parole tutto ciò che avviene non è riferito ad una persona fisica ma ad un certo account che non necessariamente è nella disponibilità dell’utente intestatario.
Se qualcuno (e non è poi così difficile) si procura un account altrui utilizzando una chiave creata a bella posta ecco che siamo punto e a capo.
Il problema è allora più a monte e riguarda non solo la riferibilità di un fatto ad uno USERID ma l’attribuzione di una chiave ad un soggetto reale: questo problema si risolve con la certificazione delle chiavi.
Esistono già dei modi per ottenere la certificazione della propria chiave, uno di questi è il PGP signing party organizzato dal CERT-IT6 dell’Università Statale di Milano.
L’idea è molto semplice: chi si rivolge al CERT-IT ottiene, senza dover sostenere nessun costo, dopo l’espletamento di una procedura che innanzi tutto consiste nell’identificazione fisica, la propria coppia di chiavi che viene appunto certificata da questo gruppo di ricerca. In questo modo si realizza anche l’ultimo elemento necessario a garantire che una firma elettronica corrisponda effettivamente a chi se ne dichiara titolare.

Ovviamente qualsiasi azienda può strutturarsi per offrire ai propri clienti soluzioni analoghe in modo da essere ancora più sicuri.
Una cosa è importante: l’intero sistema si basa sul principio che la chiave segreta dell’utente non venga per nessun motivo comunicata a terzi, il che equivarrebbe a firmare un assegno in bianco e lasciarlo a disposizione del primo venuto.

Una legge per la firma elettronica

Tirando le fila del discorso, possiamo concludere che allo stato, sembra possibile concludere praticamente qualsiasi tipo di contratto (ivi compresi quelli che richiedono la sottoscrizione anche di clausole vessatorie) a patto di strutturarsi tecnicamente e giuridicamente in modo da soddisfare i requisiti dei quali si è detto in precedenza.

------------------------------------

1 Vedi R. Borruso, G. Buonomo, G. Corasaniti, G. D’Aietti Profili penali dell’informatica Milano 1994 pag.14 e sgg.
2 Più nel dettaglio Borruso, autore della sezione dedicata al documento informatico, si riferisce a forme di sottoscrizione (digitalizzazione della firma) che in effetti non forniscono la prova certa della relazione con l’autore. Se dunque (n.d.r.) fosse possibile utilizzare forme diverse di sottoscrizione idonee a superare la critica, se ne dovrebbe far derivare la piena utilizzabilità del documento informatico. E’ il caso - peraltro non ignoto all’illustre Autore - della firma elettronica.
3 Le cose non sono esattamente così semplici. Come si vedrà fra poco un sistema di sottoscrizione basto sulla firma elettronica richiede la certificazione delle chiavi ed una serie di adempimenti, la cui mancata adozione vanificherebbe il tutto.
4 Maggiori informazioni possono essere trovate in A.Sgarro Crittografia Padova, 1983.
5 L’esempio è di C.Giustozzi La crittografia a chiave pubblica e l’algoritmo RSA in MCmicrocomputer n.168 p.196.
6 Computer Emergency Response Team, una struttura no-profit nata in ambito universitario che studia i problemi della sicurezza informatica.

Bibliografia

Sicurezza

V. Ahuja Network & Internet security McGraw-Hill 1996
L.J. Huges Actually useful Internet security techniques New Riders Publishing 1996
C.Stoll The cuckoo’s egg, tracking a spy through the maze of computer espionage Simon&Schuster 1989

Crittografia e firma elettronica

L.Berardi, A.Beutelspacher Crittologia Franco Angeli 1996
C.Giustozzi La crittografia a chiave pubblica e l’algoritmo RSA in MCmicrocomputer n.168/96
A.Sgarro Crittografia Franco Muzzio 1983

Documento elettronico

R.Borruso, G.Buonomo, G. Corasaniti, G. D’Aietti Profili penali dell’informatica Giuffrè 1994
M.Cammarata Il documento elettronico, una svolta storica in MCmicrocomputer n.168/96
A.Monti Internet il contratto fra provider e utente in MCmicrocomputer n.164/96
A.Monti Assumeranno S.Pietro? in Computer Programming dicembre 1996
A.Monti Crittografia e legge in Atti del convegno Privacy in Internet Milano 15 novembre 1996
Vedi anche i numerosi articoli nella sezione Il documento elettronico di questa rivista.