Crittografia, firma digitale e protezione dei documenti dello studio
di Andrea Monti* - 15.10.99

E’ sicuramente necessario ancora del tempo prima che la firma digitale diventi una realtà operativa sia per l’avvocatura che per l’amministrazione della giustizia. Questo non significa, però, che si deva rimanere inerti aspettando un Godot "giudiziario" che peraltro non ha avuto nemmeno la cortesia di dare un qualche cenno di sé. Certo, la prospettiva di doversi confrontare di colpo con tecnologie ignote e spesso ostiche (crittografia, sistemi ed apparati di telecomunicazioni, software di varia natura) non facilita le cose, specie in un ambiente come quello forense dove l’informatizzazione - a differenza di quanto è accaduto per notai e dottori commercialisti - è ancora a livelli mediamente embrionali.

Non basta certo avere una rete locale, qualche computer alla moda e un indirizzo di posta elettronica su qualche free mail provider - e già sarebbe comunque molto - per essere in grado di affrontare con successo l’impiego di nuove tecnologie. E’ invece necessaria una "rivoluzione copernicana" nel modo di intendere l’organizzazione dell’attività professionale. In altri termini, se non muta la temperie culturale, leggi innovative e tecnologie non produrranno - o quasi - effetti rilevanti.

I limiti culturali che affliggono il mondo giudiziario¹ rappresentano solo uno dei possibili fattori di rallentamento nell’introduzione della firma digitale e della crittografia nell’attività forense. Costi e qualità delle tecnologie sono un’altra variabile da prendere in seria considerazione. Non bisogna infatti dimenticare che tradizionalmente gli avvocati sono stati oggetto di "colonizzazione" da parte di venditori di hardware e software che spesso hanno rifilato loro materiale tanto sovradimensionato nel prezzo quanto scadente nelle prestazioni e nella facilità d’uso. Questo ha prodotto una sorta di "immunizzazione" ad ogni forma di approccio diretto ad ammodernare le procedure di lavoro.

Salto a piè pari ma con una certa fatica, la voragine che potrebbe aprirsi nell’amministrazione della giustizia, quando schiere di operatori, già segnate dai noti e risalenti malanni, dovranno essere oggetto di un "obbligo di fare" diretto - dal loro punto di vista - all’applicazione delle nuove normative e delle nuove tecnologie.

Questo valga per la firma digitale, ma per la crittografia le cose sono – se possibile – ancora più astratte. Manca una disciplina organica e ragionevole sull’impiego della scienza dei codici segreti a fini di riservatezza e sicurezza, il che ne rende più ardua ed incerta l’applicazione.

Il quadro che emerge dalle considerazioni svolte nelle righe precedenti indurrebbe a darsi per vinti prima ancora di incrociare le lame, ma il diavolo non è poi così brutto come lo si dipinge. Paradossalmente - come ho scritto in altra sede² - sono proprio gli innegabili, inevitabili e prevedibili ritardi nell’attuazione pratica di questa riorganizzazione tecnica a fornire una grossa chance alla classe forense per non rimanere indietro.

Certo, il processo telematico – a parte le pur interessanti ricostruzioni ipotetiche da molte parti suggerite – è di là da venire. Certo, non sembra che il Consiglio Nazionale Forense (e quindi gli Ordini) si stiano muovendo per tempo nel predisporre le infrastrutture tecniche e formare le risorse umane necessarie a diventare soggetti certificatori. Certo, se mondo forense e ordine giudiziario non procedono di pari passo, l’uso della crittografia e della firma digitale "valida ed efficace ad ogni effetto di legge" non si diffonderà rapidamente.

Breve: c’è tutto il tempo per "fare pratica" e per abituare la mente al confronto con nuove categorie giuridiche e metodologie di lavoro.

Nello svolgimento del tema assegnatomi eviterò di abusare della pazienza del lettore ripetendo per l’ennesima volta quali siano le caratteristiche tecniche e storiche della crittografia a chiave pubblica e della firma digitale (che ne costituisce un’applicazione) rinviando ad altre letture³ che affrontano più approfonditamente l’argomento, per giungere immediatamente in medias res.

Cosa è possibile fare al momento… Esclusa praticamente ogni attività di rilevanza processuale⁴ (almeno da parte dell’avvocato) dobbiamo distinguere due ambiti di operatività che afferiscono alle due grandi funzioni svolte dalla crittografia: riservatezza e autenticazione.

La crescente diffusione della posta elettronica quale strumento di comunicazione fra colleghi pone all’attenzione in primo luogo la necessità del rispetto degli obblighi derivanti dal segreto professionale e – in via subordinata – dalla legge sui dati personali.

Senza fare riferimento specificamente ad un software piuttosto che ad un altro, è essenziale che i corrispondenti si dotino di un programma di cifratura a chiave pubblica (che possibilmente si integri in quello usato per inviare la posta). La genuinità delle reciproche chiavi può essere garantita o mediante l’invio fisico di un floppy o tramite un collegamento punto-punto tra i due modem, tale per cui è possibile scambiare i file con un ragionevole grado di sicurezza. Ovviamente lo stesso sistema può essere impiegato per collaboratori, segretari, consulenti e più in generale per tutti gli interlocutori "istituzionali" dello studio⁵.

Scambiate mutuamente le chiavi pubbliche (e custodite gelosamente quelle private), il passo successivo è quello di cominciare ad scambiare corrispondenza firmata, criptata, o firmata e criptata ma cum grano salis. In altri termini, non ogni messaggio proveniente dallo studio richiede di essere protetto o firmato digitalmente, per cui risulta opportuno – anche per non appesantire l’utilizzo del mezzo – individuare bene il quando e il cosa.

Non bisogna tuttavia commettere l’errore di pensare che l’impiego di sistemi di cifratura e firma digitale sia limitato all’ambito della corrispondenza con soggetti terzi rispetto allo studio. Anche i documenti che vengono quotidianamente creati e manipolati dovrebbero – a seconda della rilevanza – essere protetti con i sistemi di cifratura. Si potrebbe obiettare che a nulla vale una protezione del genere quando gli originali cartacei possono essere facilmente duplicati o asportati, ma si tratterebbe di un’osservazione solo superficialmente condivisibile. Molti documenti esistono solo in formato elettronico, e comunque le versioni cartacee di quelli digitali sono spesso molto meno facili da riprodurre o asportare. In ogni caso, l’impiego generalizzato dei sistemi di firma digitale consente di tenere agevolmente traccia delle "evoluzioni" di atti e documenti presenti nello studio. Il problema, semmai, sarà avere a disposizione software semplici da usare, leggeri e affidabili che non lascino in mezzo al guado il professionista nel bel mezzo di una scadenza o quant’altro.

Nonostante la tecnologia consenta già da ora di poter gestire il flusso documentale in modalità digitale, e la "dichiarazione di principio" del DPR 513/97 non lasci adito a dubbi, almeno fino a quando le normative sostanziale e processuale rimangono quelle che sono presto o tardi le vicende processuali impongono che il documento informatico sia necessariamente essere incorporato in un supporto – stampato, in altri termini.

Basti pensare – senza volersi riferire alle (risolvibili) questioni in materia di corresponsione dell’imposta di bollo – al fatto che, come è noto, non può esistere più di una copia (ad esempio) di un decreto ingiuntivo munito di formula esecutiva. La gestione cartacea di un provvedimento del genere consente di effettuare il rigoroso controllo richiesto dalla legge, ho qualche dubbio che l’equivalente elettronico consenta risultati analoghi.

Anche i verbali di udienza – attualmente disponibili in forma cartacea con "sufficiente" celerità⁶ - se non vengono redatti nativamente mediante un computer risultano di scomoda e difficile apprensione, dovendo essere digitalizzati, firmati e via discorrendo.

In ambito penale – sempre rimanendo sulle generali – sorge ad esempio la domanda di come si potrebbe, se il procedimento fosse integralmente digitalizzato, notificare un qualsiasi atto ad un indagato o imputato o condannato che potrebbe avere tutto l’interesse a non essere raggiunto dai "bit giudiziari" e che quindi potrebbe non dotarsi degli strumenti tecnici atti a riceverli, costringendo gli operatori all’impiego di più vecchi – ma nel caso di specie efficaci – sistemi.

Non sono affatto pessimista su quello che potrebbe accadere applicando in modo intelligente questo nuovo strumento normativo, ma non sono neanche infervorato dalle "magnifiche sorti e progressive" che tanti interessati profeti – mezzi guru e mezzi commercianti di idee - preconizzano per il risultato del prodotto di due numeri primi.

In medio stat virtus

-----------------

* Avvocato in Pescara

¹ Citando in ordine sparso e senza pretesa di completezza: "il computer è solo una macchina da scrivere", "faccio prima a cercare le massime sui repertori cartacei", "non ho tempo per i videogiochi", "queste sono diavolerie per voi giovani", "non ha senso sprecare tutti questi soldi per una cosa del genere", "non ci capisco nulla, in studio fa tutto la segretaria", "scrivo gli atti a mano e i collaboratori li ribattono al computer", "non uso strumenti di gestione integrata dello studio perché non voglio facilitare il lavoro di eventuali ispettori", "non "compro internet" perché poi i praticanti tutto fanno tranne che lavorare", "meglio se mi manda un fax"....

² A. Monti, Il documento informatico nell’attività forense in InterLex alla pagina http://www.interlex.com/docdigit/amonti27.htm

³ Vedi per tutti C. Giustozzi, A. Monti, E. Zimuel Segreti, spie, codici cifrati, Milano 1999

⁴ Con l’eccezione, forse, di quanto stabilito dalla l.183/93 in materia di trasmissione a distanza di atti fra avvocati entrambi presenti in procura. La legge parla di "mezzi di telecomunicazione" fra i quali potrebbe farsi rientrare anche la posta elettronica.

⁵ Alcuni software consentono di generare chiavi crittografiche dotate di una sorta di "grimaldello elettronico" (tecnicamente, sistema di key recovery) nella disponibilità del solo amministratore di sistema o – nel nostro caso – del titolare dello studio. L’obiettivo di questa funzionalità è quello di consentire la presa di conoscenza di un messaggio cifrato ad un soggetto (diverso da mittente e destinatario) che per una serie di ragioni può essere titolato a farlo. In questo modo il titolare dello studio – e solo lui – può avere sempre sotto controllo ciò che accade intorno a sé. Mentre l’impiego di questo sistema nella corrispondenza privata è fortemente discutibile se non addirittura illecito, è abbastanza agevole intuire che in ambito professionale le cose stiano in modo alquanto diverso.

⁶ L’affermazione non suoni ingenuamente ottimistica