La "firma elettronica" non basta per identificare l'autore

di Roberto Manno - 17.06.04

Com'è noto, la previsione di differenti tipologie di firme elettroniche è uno degli aspetti più controversi della direttiva, il cui concetto di firma elettronica, tecnologicamente neutrale e a sua volta differenziato su diversi livelli di robustezza e affidabilità, risulta di ampia portata e di difficile individuazione.
Le linee guida affrontano questo punto, traendo dalla definizione di firma elettronica data dalla direttiva comunitaria gli elementi utili a distinguere tra firme "leggere" e firme "forti".

La necessità di un chiarimento su questi e altri aspetti della firma digitale è evidente: una definizione vaga della firma elettronica rischia di dare ingresso ai più diversi metodi di "validazione" e "identificazione" informatica (ambedue indicate in inglese come authentication), che potrebbero così accedere alle disposizioni contenute nell'art. 5 della direttiva (equivalenza tra forma scritta ed elettronica e ammissibilità come prova in giudizio allo stesso titolo delle prove documentali).

Non è un caso che le esperienze nazionali antecedenti alla direttiva, come quelle italiana e tedesca, abbiano definito con maggior rigore della direttiva ciò che può costituire una firma elettronica, vincolando la stessa alla tecnologia di crittografia a doppia chiave asimmetrica, che nella impostazione cosiddetta "tecnologicamente neutrale" della direttiva caratterizza la categoria delle firme elettroniche "avanzate".

Riportiamo quindi il passaggio con il quale le linee guida affrontano la spinosa questione:
Un piccolo passo in avanti lo consente, sempre nella direttiva, la definizione di firma elettronica avanzata.
In base a tale definizione si comincia a comprendere che ci si deve confrontare con una molteplicità di tipologie di firma. Dal punto di vista pratico è sufficiente considerare:
a) la firma elettronica (generica) può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici;
b) la firma elettronica avanzata, più sofisticata, consente di identificare in modo univoco il firmatario garantendo anche l'evidenza di modifiche all'oggetto firmato, apportate dopo la sottoscrizione.

Dunque, PIN e password costituirebbero, secondo le linee guida, uno strumento per la realizzazione di una firma elettronica solo se, attraverso esse, è possibile validare i dati elettronici. Per realizzare anche la funzione (diversa) di identificare in modo univoco il firmatario, è necessario utilizzare la firma elettronica avanzata.
Secondo alcuni autori, ciò confermerebbe, nonostante le autorevoli e contrarie prese di posizione di numerosi autori, la teoria alla base del famoso ricorso per decreto ingiuntivo presentato dal tribunale di Cuneo, che attribuisce all'e-mail l'efficacia probatoria della scrittura privata, in quanto l'inserimento del PIN e della password per accedere al servizio di posta costituirebbe una firma elettronica.

Il quesito si ripropone: può un'e-mail "passare" dalla definizione di firma elettronica e accedere così alle disposizioni dell'art. 5.2 della direttiva? A sostegno di tale teoria è stata attribuita all'ingegner Giovanni Manca, responsabile CNIPA per i servizi di certificazione, l'affermazione che "inviare una mail ad un destinatario è una firma elettronica, ovviamente relativa ai dati contenuti in quel messaggio di posta elettronica...". Affermazione poi smentita con decisione dall'interessato nei termini con cui è stata riportata.

Sebbene l'inciso delle linee guida "in grado di conferire un certo livello di autenticazione a dati elettronici" contenga già la risposta, che esprime in modo sintetico quanto ampiamente sostenuto da autorevoli commentatori su queste pagine (Buonomo, Cammarata e Maccarone, Giustozzi, Ricchiuto.) è opportuno confrontare le linee guida con il più importante studio finora condotto, a livello internazionale, sulle firme elettroniche in Europa: lo studio dell'Università di Leuven.

Partendo dalla "madre di tutte le definizioni di firme elettroniche", vale a dire la definizione di firma elettronica data dalla direttiva, lo studio rivela in primo luogo come questa definizione sia frutto di delicati compromessi, e, infatti, come i diversi Stati membri abbiano seguito differenti percorsi di recepimento, in alcuni casi "correggendo" la vaghezza della definizione. Nelle sue prime formulazioni, la definizione di firma elettronica era molto simile a quella di firma elettronica avanzata. Il considerando n.8 della direttiva rivela la decisione di allargare la definizione in termini estremamente vaghi:
la rapida evoluzione tecnologica e il carattere globale di Internet rendono necessario un approccio aperto alle varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico. (n.b.: ritorna l'espressione delle linee guida autenticazione/dati elettronici).

Secondo lo studio, il considerando n. 8 stabilisce chiaramente che l'espressione "firma elettronica" riguarda la validazione dei dati (data authentication) e non copre in alcun modo metodi e tecnologie di identificazione del firmatario (entity authentication).
Per esempio, digitare il codice PIN per accedere al proprio conto bancario on line non rientra nella definizione di firma elettronica, in quanto si tratterebbe di entity authentication che nulla avrebbe a che fare con la validazione dei dati.
Quindi, il PIN e la password inseriti per utilizzare i servizi di posta elettronica, avendo la funzione di identificare l'utente abilitato ad accedere a tale servizio, rappresentano un esempio di entity authentication, come tale non idoneo a soddisfare le funzioni di data authentication richieste perché si possa parlare, tecnicamente e giuridicamente, di firma elettronica.

In effetti, sebbene l'ampia definizione utilizzata si rivolga alle tecnologie attuali e future, non bisogna mai dimenticare come la direttiva europea impieghi il termine "firma" in termini giuridici, mentre la "firma elettronica" costituisce essenzialmente una particolare applicazione tecnologica.
Il rischio, aggravato dal regime previsto dall'art. 5 della direttiva, è proprio quello che si sta verificando oggi, e cioè intendere "sottoscritto" giuridicamente tutto quanto possa essere riferito ad una semplice procedura di identificazione.

In Ungheria, ad evitare tali pericolose interpretazioni, la definizione di firma elettronica della direttiva è passata da "dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione" a quella di "dati in forma elettronica, allegati e inscindibilmente connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione".

Passando all'attuazione della direttiva, ad aumentare i dubbi e le incertezze, deve rilevarsi come il concetto giuridico di "firma" o "sottoscrizione" si presenta nelle diverse accezioni date ad essa dagli ordinamenti degli Stati membri: è in questi termini che la "firma elettronica" realizza un'armonizzazione radicale delle singole nozioni giuridiche di sottoscrizione.

E' molto probabile che il concetto giuridico di "firma" varierà sensibilmente, in seguito all'adozione della firma elettronica, ma resta il fatto che questa indica qualcosa di diverso dalla certezza tecnologica offerta dalla tecnologia a doppia chiave asimmetrica.
Ad esempio, i progetti di carta d'identità elettronica in Finlandia e in Belgio si basano su smart card che contengono due coppie di chiavi: uno per il controllo degli accessi (entity authentication) e l'altro per le firme elettroniche (data authentication).

E' anche per queste ragioni che in diversi Stati membri sono state modificate, o meglio, adattate al nuovo contesto delle comunicazioni informatiche, le norme di civil law in materia di prove documentali: la Germania, oltre al codice civile, ha anche modificato anche il codice di procedura civile.