Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Firma digitale

E' utile la presunzione di utilizzo del dispositivo di firma

di Luigi Neirotti* - 02.12.04

 
Il nuovo progetto di codice dell'amministrazione digitale, recentemente approvato dal Governo ed ora all'esame del Consiglio di Stato e delle varie commissioni parlamentari, reca alcune rilevanti novità in tema di forma ed efficacia del documento informatico (preferisco utilizzare questa classificazione, a mio avviso più corretta secondo la tradizione giuridica italiana, piuttosto che parlare di efficacia della firma digitale). Ciò discende direttamente dalla delega legislativa che era stata attribuita al Governo con la legge di semplificazione 2003, la quale prevedeva espressamente la facoltà introdurre modifiche di riordino della normativa in tema di documento informatico e firma elettronica, con lo scopo di graduare gli effetti giuridici riconosciuti alle varie tipologie di firme elettroniche e digitali in funzione del loro grado di sicurezza.

Prima di commentare l'articolo 18, che contiene una nuova disciplina dell'efficacia del documento sottoscritto con firma elettronica avanzata o digitale, occorre fare un breve excursus storico e rivisitare le norme che si sono succedute nel tempo, indagando le ragioni che sottendevano a tali scelte legislative.
Come a tutti noto, il DPR 513/97 stabiliva all'art. 5 (Efficacia probatoria del documento informatico) che: "1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile".

Tale impostazione, scelta dei primi studiosi che si erano occupati di questo delicato aspetto delle firme elettroniche (principalmente D. Limone e F. Cocco), era, per certi versi, obbligata. Da un lato, vi era stata la scelta di politica legislativa operata con la cosiddetta "Bassanini 1" (legge 59/1997), in base alla quale si era stabilito di replicare le categorie giuridiche esistenti nel diritto tradizionale anche per il ciberspazio, anziché crearne di nuove. Dall'altro lato, vi era il codice civile italiano che offriva una ripartizione, per così dire, su quattro livelli, ad efficacia probatoria crescente, all'interno dei quali si era ritenuto inevitabile, per una sorta di "parallelismo assoluto", ricomprendere i "nuovi fenomeni digitali":
- "documento informatico non sottoscritto" quale "riproduzione meccanica" (art. 2712 cod. civ.);
- "documento informatico sottoscritto con firma digitale" quale "scrittura privata" (art. 2702 cod. civ.);
- "documento informatico sottoscritto con firma digitale davanti al notaio o pubblico ufficiale" quale "scrittura privata autenticata" (art. 2703 cod. civ.);
- "atto pubblico" (art. 2700 cod. civ.) per il quale non veniva previsto (forse perché non ritenuto possibile) un equivalente basato su documento informatico.

Tale scelta iniziale appariva senza dubbio molto logica, molto suggestiva. Inoltre, semplificazione non da poco, vi era un solo tipo di firma digitale da disciplinare.
Il testo unico in materia di documentazione amministrativa nella versione del 2000 non aveva inizialmente introdotto novità in tema di forma ed efficacia del documento informatico. Stabiliva, infatti, l'art.10 che "3. Il documento informatico, sottoscritto con firma digitale ai sensi dell'art. 23, ha l'efficacia di scrittura privata ai sensi dell'art. 2702 cod. civ." (tralasciamo  lo "svarione" sulle cosiddette "riproduzioni meccaniche" contenuto nell' comma 1).

Solo successivamente, in sede di attuazione della direttiva 1999/93/CE, con la modifica dell'art. 10 del DPR 445/2000 introdotta dal decreto legislativo 10 gennaio 2002, n. 10, si è avuta una rilevantissima differenza, laddove il comma 3 è stato modificato nel modo seguente: "3. Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto".

Questa differenza ha naturalmente determinato un dibattito accesissimo tra gli studiosi delle infrastrutture di sicurezza a chiave pubblica.
L'argomento principe che suffragava la scelta del legislatore in sede d'attuazione della direttiva, come si evince chiaramente dalla relazione d'accompagnamento al decreto legislativo 10/2002, è di natura eminentemente pratica.

In estrema sintesi, il ragionamento era questo. Poiché, in base all'art. 2702 cod. civ., una scrittura privata (cartacea) fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritta, se questa è considerata legalmente riconosciuta; e poiché la scrittura (cartacea) è legalmente considerata come riconosciuta, tra le varie ipotesi, se al termine del processo di verificazione di cui all'art. 214 e seguenti del codice di procedura civile, la grafia contenuta nel documento, sulla base dell'analisi delle scritture di comparazione di provenienza certa, risulta attribuibile all'autore (l'art. 220 c.p.c. recita esattamente scrittura o sottoscrizione di mano della parte che l'ha negata); assumendo che la verifica della firma digitale, passaggio indispensabile per appurare l'esistenza e la validità di una firma digitale apposta ad un documento informatico, fosse l'equivalente del culmine della verificazione giudiziale di un documento cartaceo, il legislatore del DPR 445/2000 aveva concluso che la firma digitale doveva considerarsi sempre come verificata quanto a provenienza.

Pertanto, concludendo questo sillogismo normativo, il legislatore aveva stabilito che se la firma digitale era certa quanto a provenienza (in quanto diversamente non sarebbe nemmeno esistita), rendendosi la verificazione inutile, in quanto implicita nella procedura di validazione della firma digitale, ricorrendo de facto uno dei presupposti in base ai quali il documento (informatico) poteva essere ritenuto come legalmente riconosciuto, allora non poteva che discenderne l'efficacia fino a querela di falso.

Si noti come la considerazione della sostanziale inutilità della verificazione (intesa come il procedimento previsto dalle norme processuali civilistiche) applicata alla firma digitale era stata sostenuta in dottrina da alcuni valenti studiosi, tra cui R. Zagami, il quale aveva ipotizzato, già in sede di commento del DPR 513/97, un'efficacia di fatto più simile alla scrittura privata autenticata ex art. 2703 c.c.
Da molti si è gridato allo "scandalo", sostenendo che l'attribuzione di un'efficacia fino querela di falso fosse un assurdo giuridico, anche perché vi era difetto d'intervento del soggetto che può attribuire la fede pubblica, vale a dire il notaio o il pubblico ufficiale. Tra i sostenitori di questa tesi vi sono, con varie argomentazioni, E. Santangelo e M. Nastri, U. Bechini, M. Cammarata e E. Maccarone ed in misura più attenuata G. Finocchiaro.

L'attuazione della direttiva europea 1999/93/CE rendeva vieppiù complicato il quadro giuridico in tema di forma ed efficacia del documento informatico anche per altri motivi. Come noto, la direttiva europea risultava il frutto di un vistoso compromesso tra Paesi che propugnavano l'utilizzo di firme cosiddette "forti" (Italia, Spagna, Germania e Francia) e Paesi che propugnavano il ricorso a firme  "deboli" (soprattutto i Paesi scandinavi), peggiorato dalla scelta (obbligatoria per un atto normativo comunitario) dell'approccio "tecnologicamente neutro", che non solo vanificava illuminate scelte normative italiane, ma riscriveva financo le definizioni che il legislatore italiano aveva già adottato.

Da qui nasceva la previsione di due categorie di firme: le elettroniche e le elettroniche avanzate, con le firme digitali del DPR 513/97 che rientravano in qualche modo nella categoria delle firme elettroniche avanzate.
A questo punto, dunque, il recepimento della direttiva, in un certo modo, "sparigliava" il "parallelismo assoluto" su cui si era basato il legislatore del DPR 513/97, dato che nella tripartizione classificatoria sopra accennata: riproduzione meccanica (documento informatico non sottoscritto), scrittura privata (documento informatico con firma digitale) e scrittura privata autenticata (documento informatico con firma digitale apposta davanti al notaio o pubblico ufficiale), introduceva un quarto elemento, documento informatico sottoscritto con firma elettronica (non avanzata), per il quale si trattava letteralmente di "inventarsi" una soluzione, come quando si hanno quattro invitati ma solo tre posti a sedere a tavola.

Come noto, per le firme elettroniche, la soluzione è stata quella di riconoscere, con vistosa e reiterata contraddittorietà nell'ambito di un solo comma, il secondo, dell'art. 10 del DPR 445/2000: efficacia di forma scritta; nel contempo, assenza di efficacia sul piano probatorio salvo rinviare la determinazione degli effetti giuridici alla decisione del giudice sulla base delle caratteristiche oggettive di qualità e sicurezza; ed infine ancora, efficacia ai fini dell'assolvimento dell'obbligo di tenuta delle scritture contabili obbligatorie (ex art. 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare).

Sarebbe interessante capire per quale motivo un documento non ritenuto adeguato in linea di principio a costituire mezzo di prova, salvo valutazione favorevole del giudice quanto all'adeguatezza delle caratteristiche oggettive di qualità e sicurezza, veniva invece considerato dal legislatore dell'attuazione della direttiva come sufficiente ed adeguato ai fini della tenuta delle scritture contabili.
Detto questo, il riconoscimento dell'efficacia fino a querela di falso di un documento informatico sottoscritto con firma digitale o firma elettronica qualificata potrebbe apparire per certi versi un male minore rispetto alla soluzione del DPR 513/97. Vediamo perché, e subito dopo vediamo perché la soluzione prevista dal nuovo codice dell'amministrazione digitale mi sembra preferibile alle altre due soluzioni "contendenti in campo". Tesi, antitesi e sintesi.

Sul piano logico, e terminologico, occorre osservare che l'efficacia dell'art. 10 del DPR 445/2000 (mi riferirò qui solo a documenti informatici sottoscritti con firma digitale o con firma elettronica qualificata) non sia mai stata classificata dal legislatore come integrante una scrittura privata autenticata (di cui all'art. 2703 cod. civ.). Questo anche in funzione del difetto di soggettività ad attribuire la fede pubblica. Meglio sarebbe dire che un documento sottoscritto digitalmente viene considerato come legalmente riconosciuto in base all'art. 2702 cod. civ. (a tutti è nota la curiosa formulazione del codice civile a proposito della scrittura privata a concetto invertito, si parla di riconoscimento per attribuire la possibilità del disconoscimento).

Tuttavia, tale constatazione potrebbe risultare debole ed inconferente, giacché gli effetti pratici sono gli stessi di quelli previsti dall'art. 2703 cod. civ. che disciplina invece la scrittura privata autenticata.
Piuttosto, mi sembra che valga la pena di notare come, tra l'efficacia di scrittura privata e l'efficacia fino a querela di falso, quest'ultima, fino ad approvazione del nuovo codice dell'amministrazione digitale, meglio abbia tutelato lo sviluppo della giovane e purtroppo debole e minacciata vita della firma digitale.

Mi spiego meglio. A mio parere, l'efficacia di scrittura privata ex art. 2702 cod. civ. appare insufficiente e qualora fosse ripristinata tout court rischierebbe di determinare la morte (mediante processo civile: un "ossimoro" in questo senso) della firma digitale.
La ragione è semplice: come accennato, nel nostro ordinamento non sono state create norme specifiche per disciplinare i fenomeni dell'informatica e del ciberspazio, preferendo ricorrere alle categorie giuridiche preesistenti. Soprattutto, da un punto di vista processuale, non è stato introdotta alcuna norma specifica per disciplinare le modalità di disconoscimento e di verificazione di un documento informatico sottoscritto digitalmente.

Se ciò è vero, e se consideriamo che uno dei principi base del nostro processo civile è l'onere della prova a carico dell'attore stabilito dall'art. 99 cod. proc. civ. (onus probandi incumbit ei qui dicit), allora risulta chiaro che in caso di disconoscimento della provenienza di un documento sottoscritto digitalmente (si noti, più propriamente che non disconoscimento della firma digitale) da parte del titolare, allora chi ha prodotto il documento (l'attore) dovrà dare dimostrazione della provenienza, sopportando l'onere della prova per intero. Solo successivamente alla vittoriosa dimostrazione di provenienza il documento potrà essere considerato riconosciuto e valido fino a querela di falso.

Ora, il fatto è che, a differenza di un documento cartaceo con sottoscrizione olografa, dove la grafia è la diretta espressione psicosomatica del firmatario (abbiamo ricordato la felice espressione del codice di rito "di mano della parte che l'ha negata"), e dove l'accertamento del perito serve a stabilire l'abbinamento grafia-autore, nel caso di sottoscrizione digitale l'operazione di apposizione di una firma digitale può avvenire solo tramite l'utilizzo di un mezzo materiale, il dispositivo sicuro per la creazione di firma. In altri termini, la firma digitale o elettronica qualificata non fluisce direttamente dalla mano del firmatario, bensì risulta dall'utilizzo di un corpus mechanicus, indipendentemente dalla "mano" che l'ha utilizzata.

Orbene, se si applica per intero il principio dell'onere della prova a carico all'attore, quale stabilito dall'art. 99 c.p.c., allora ne consegue che l'attore dovrebbe dare dimostrazione, a fini della provenienza del documento, non solo della validità del certificato, o meglio della validità della chiave pubblica al momento della sottoscrizione, bensì anche dell'imputabilità al titolare medesimo dell'utilizzo del dispositivo di firma. Prova a dir poco impossibile per l'attore, qualora la sottoscrizione digitale non sia avvenuta alla presenza di un terzo (pubblico ufficiale o notaio?).

Temo, dunque, che un ripristino dell'efficacia di scrittura privata rischierebbe di rendere facilmente, troppo facilmente, disconoscibile un documento sottoscritto con firma digitale, che così degraderebbe - nei fatti - al rango di riproduzione meccanica. Ed a questo punto il cosiddetto "non ripudio", tanto caro agli informatici che si occupano di questa materia, sarebbe una chimera irraggiungibile ed il valore di una firma digitale equivarrebbe a nulla. E se così dovesse accadere, temo che della firma digitale non interesserebbe più a nessuno dei potenziali utilizzatori e tanto meno alle loro controparti.

Se, dunque, l'efficacia di scrittura privata potrebbe essere considerata troppo debole (in assenza di correttivi della legge processuale, precisamente sul procedimento di verificazione), è altrettanto vero che anche l'efficacia fino a querela di falso potrebbe essere considerata eccessiva. Anche in questo caso mi spiego meglio.
Se è vero che, nel caso di efficacia di scrittura privata, il titolare potrebbe semplicemente disconoscere la provenienza del documento e lasciare alla controparte l'onere di provarla, nel caso di efficacia fino a querela di falso è chiaro che spetterebbe al titolare della firma digitale o elettronica qualificata l'onere di disconoscere con ogni mezzo la provenienza del documento informatico prodotto in giudizio.

Ebbene, come ha acutamente notato su queste colonne il capo dell'ufficio legislativo del Dipartimento per l'innovazione e le tecnologie, avvocato Enrico De Giovanni nell'intervista del 4 aprile 2003, liberarsi degli effetti di una firma digitale o elettronica qualificata apposta illecitamente potrebbe risultare eccessivamente oneroso per il titolare. Egli dovrebbe, infatti, promuovere, tramite querela di falso, un apposito procedimento da celebrarsi davanti al Tribunale in composizione collegiale, con l'intervento del pubblico ministero ai sensi dell'art. 221 e segg. c.p.c. Insomma, con un procedimento soggetto ad una certa durata, comunque dotato di rilevanza, giacché si dibatterebbe di fede pubblica, durante il quale rischierebbe in ogni modo di subire - medio tempore - gli effetti dell'utilizzo illecito prodottisi comunque prima del procedimento incidentale che risulterebbe necessario sollevare (pagamenti, trascrizioni, pignoramenti, ecc.).

Considerando appieno tutti gli aspetti di questa situazione, dove l'efficacia di scrittura privata appare troppo "debole" e l'efficacia fino a querela di falso troppo "forte" appare dunque inevitabile approdare ad una nuova soluzione.
In effetti, a ben vedere, il punto critico di tutta la questione dell'efficacia della firma digitale e del suo disconoscimento risiede proprio in questo: da un lato nel rischio di rendere eccessivamente facile (per il titolare di un certificato) il disconoscimento della sottoscrizione digitale e, dall'altro lato, nel rischio di rendere quasi impossibile (per l'attore che producesse un documento sottoscritto digitalmente) fornire la prova dell'utilizzo del dispositivo di sottoscrizione recante la chiave privata abbinata alla chiave pubblica contenuta nel relativo certificato.

Logico quindi pensare che un ritorno alla "efficacia di scrittura privata", in modo da correggere le tante anomalie della "efficacia fino a querela di falso", deve essere accompagnato da un "correttivo", tale da impedire al titolare un disconoscimento di comodo ed al contempo in grado di alleviare la controparte dell'onere di una prova quasi impossibile, in modo tale da evitare di svuotare di significato la firma digitale.
A mio modo di vedere, si tratta dunque di temperare il regime probatorio a carico dell'attore, inserendo una presunzione d'attribuibilità dell'utilizzo del dispositivo sicuro di firma in capo al titolare, salvo che questi provi il contrario.

In questo modo si ritorna nell'ortodossia della classificazione giuridica del codice civile italiano, si evita di scomodare la querela di falso e le conseguenti implicazioni processual-civilistiche e si ottiene, inoltre, un "bilanciamento" degli interessi delle parti.
In aggiunta, oltre a sgravare l'attore che produce un documento sottoscritto digitalmente dell'onere della prova impossibile, si ottengono anche due ulteriori vantaggi. Si consente al titolare, se necessario, di disconoscere la provenienza del documento, o meglio dell'utilizzo del dispositivo di firma, in modo anticipato, direttamente durante il processo ordinario di cognizione, con indubbia economia di tempo ed attività giudiziale e difensiva; inoltre, si fornisce al giudice di merito una chiave interpretativa chiara in materia di disconoscimento della firma digitale ed elettronica qualificata, evitando di coinvolgerlo in una valutazione che in qualche caso potrebbe avvenire anche non considerando appieno tutti gli aspetti connessi al funzionamento tecnico e di sicurezza ovvero che potrebbe portare a vistose disparità di valutazione da parte di giudici diversi a parità di situazione.

In questo senso va letta favorevolmente la nuova disposizione contenuta nell'art. 18 (Valore probatorio del documento informatico sottoscritto) del nuovo codice dell'amministrazione digitale, che sostituisce il comma 3 dell'art. 10 nel modo seguente: "2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria."

La nuova formulazione mi sembra colga bene le esigenze che sopra ho espresso, attui un buon bilanciamento tra gli interessi delle parti ed inoltre renda equilibrato, in termini di oneri probatori, un eventuale fase di disconoscimento del documento informatico sottoscritto con firma digitale o con firma elettronica qualificata.
La parola ora passa alla giurisprudenza. Questa ci dovrà dare finalmente un riscontro dell'applicazione concreta di questa costruzione giuridica nella vita giudiziaria di tutti i giorni. Certo, tre cambi d'indirizzo in pochi anni sono tanti; tuttavia sarebbe stato peggio non evolvere il pensiero giuridico e non adattare le norme alla nuova realtà tecnica, anche alla luce della conoscenza via via acquisita ed affinata in un campo senza dubbio nuovo.
 

* Avvocato in Milano, partner Studio Legale Tributario - EYLaw - Responsabile del dipartimento di diritto dell'informatica

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright