Un "baco" che non c'è e una scorciatoia per i disonesti

di Manlio Cammarata - 26.06.08

Daccapo. "Come ti falsifico la firma digitale" è il titolo di una notizia a pagina 133 di Panorama del 20 giugno scorso. Il sommario aggiunge: "Un ricercatore italiano ha individuato il punto debole di questo sistema amministrativo informatico".
E' quanto basta per sospettare che si tratti dell'ennesima notizia mal riportata, se non addirittura di una "bufala", come dicono a Roma. Definire la firma digitale come un "sistema amministrativo informatico" rivela una scarsa dimestichezza con la materia...

Ma nella notizia c'è qualcosa di vero. Perché un gruppo di ricercatori dell'Università mediterranea di Reggio Calabria ha pubblicato uno studio in cui si dimostrerebbe la possibilità di "taroccare" un documento con firma digitale. Sotto il titolo Un nuovo attacco alla firma digitale si spiega come sia possibile firmare digitalmente un documento e poi verificare come inalterato un documento dal contenuto diverso.
Come al solito lasciamo a Corrado Giustozzi (La luna, il pozzo, la bufala) le spiegazioni tecniche ed esaminiamo la questione dal punto di vista giuridico, perché è questo che conta quando si parla di documenti informatici che devono avere gli stessi effetti dei documenti tradizionali con firma autografa.

Il problema del documento che cambia contenuto non è nuovo. E' stato sollevato nel lontano 2002, oggetto di approfondite discussioni su queste pagine  (vedi nell'indice di questa sezione i molti articoli di quel periodo, fra i quali La firma è sicura, il documento no di Andrea Gelpi e Funziona o non funziona? L'aspetto tecnico di Corrado Giustozzi).
Il legislatore ha risolto da tempo il problema: per essere "valido e rilevante a tutti gli effetti di legge" e quindi equivalente al documento cartaceo con firma autografa, il documento informatico deve presentare una serie di requisiti.  Prima di tutto "I documenti informatici devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità" (CAD, art. 35, c. 2). Poi  "Il documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma non produce gli effetti di cui all'articolo 10, comma 3, del testo unico se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" (art. 3, comma 3 delle regole tecniche attualmente in vigore - DPCM 13 gennaio 2004).

I documenti utilizzati dai ricercatori calabresi non presentano questi requisiti. Quindi non possono essere validi ai sensi della normativa sulla firma digitale. Se qualcuno pensasse di servirsene per trarre qualcuno in inganno, potrebbe incorrere in uno dei reati di falso previsti e puniti dagli articoli 476 e seguenti del codice penale. Fine della questione. 
Tutto questo dimostra, ancora una volta, come la firma digitale "all'italiana" sia stata impostata correttamente per acquisire le innovazioni tecnologiche nel dominio del diritto. Se solo si ponesse rimedio alle poche incongruenze del codice dell'amministrazione digitale, che tante volte abbiamo segnalato, il nostro sistema sarebbe ancora il più avanzato del mondo. 

La seconda notizia di cui ci occupiamo oggi viene da Repubblica: il Governo sarebbe sul punto di varare un disegno di legge "di semplificazione", nel quale sarebbe inserita questa disposizione:
Il secondo comma dell’articolo 2470 del codice civile è sostituito dal seguente: “L'atto di trasferimento, sottoscritto digitalmente nel rispetto della normativa anche regolamentare concernente la sottoscrizione dei documenti informatici, ovvero con sottoscrizione autenticata, dal notaio, deve essere depositato entro trenta giorni, a cura di un intermediario abilitato al deposito degli atti al registro delle imprese di cui all’articolo 31, comma 2-quater della legge 24 novembre 2000, n. 340, ovvero a cura del notaio autenticante, presso l'ufficio del registro delle imprese nella cui circoscrizione è stabilita la sede sociale. L'iscrizione del trasferimento nel libro dei soci ha luogo, su richiesta dell'alienante o dell'acquirente, verso esibizione del titolo da cui risultino il trasferimento e l'avvenuto deposito, rilasciato dal professionista che vi ha provveduto ai sensi del precedente periodo.

Appare subito stravagante l'equiparazione della firma digitale alla sottoscrizione autenticata dal notaio: questi, come pubblico ufficiale, esercita il controllo dell'identità dei comparenti e della legalità dell'atto (anche in funzione antiriciclaggio e antimafia). Nulla di tutto questo può avvenire con la firma digitale e l'invio del documento da parte dell'intermediario. L'obbligo della scrittura autenticata per i trasferimenti delle quote societarie era stato introdotto nel 1993 proprio in seguito al verificarsi di numerosi illeciti commessi in mancanza di un controllo efficace sull'identità dei soggetti e la legalità della transazione.

Ora, se questa norma dovesse passare, per i trasferimenti delle quote delle società a responsabilità limitata ci sarebbe un doppio binario: il primo, più lento e costoso, per le persone oneste, che ricorrerebbero al notaio per attestare la regolarità del trasferimento; il secondo, più economico e rapido, per i disonesti, con la firma digitale e la trasmissione da parte dell'intermediario abilitato (di solito un commercialista, quello che molte volte detiene illecitamente il dispositivo di firma del cliente, vedi E' illecito affidare il dispositivo di firma al commercialista).
Se questa è la "semplificazione"...