Firme elettroniche, il Codice è da rifare

di Manlio Cammarata - 13.02.06

Ricordiamo brevemente i passaggi più significativi del tormentato percorso del provvedimento legislativo nato con la delega contenuta nell'articolo 10 della legge 29 luglio 2003, n. 229 (legge di semplificazione per il 2001 - sic!), che dava al Governo l'incarico di emanare "uno o più decreti legislativi... per il coordinamento e il riassetto delle disposizioni vigenti in materia di società dell'informazione".
L'intervento era necessario per due motivi principali: primo, per riunire in un corpus coordinato e coerente una quantità di disposizioni contenute in provvedimenti diversi; secondo, per correggere i gravi errori commessi in materia di documento informatico e firma digitale con le modifiche introdotte dal DLgv 10/01(attuazione della direttiva 1999/93/CE) nel testo unico sulla documentazione amministrativa.

Ma diciotto mesi non bastavano al Dipartimento per l'innovazione e le tecnologie per produrre un testo soddisfacente, tanto che il Consiglio di Stato, nel parere del 7 febbraio 2005, suggeriva di rinviare l'entrata in vigore del decreto, anche per emanare in tempo utile i decreti "integrativi e correttivi", previsti dalla stessa legge delega, che avrebbero reso accettabile il testo fin dall'inizio.
Intanto forti critiche si levavano da ogni parte (e, in particolare, da questa rivista) all'articolato emanato il 7 febbraio 2005. Da più parti giungevano proposte di modifiche, formulate quasi all'unisono dai più qualificati esperti della materia (pochissimi gli interventi "controcorrente"). Lo stesso Dipartimento organizzava, il 17 ottobre, una riunione di specialisti per raccogliere suggerimenti.

In quella sede emergeva una sostanziale concordanza di vedute su alcune correzioni importanti, che avrebbero reso la normativa coerente con la realtà della tecnologia, l'ordinamento nazionale e la direttiva comunitaria (vedi Gli "Stati generali" della firma digitale).
Ma l'11 novembre l'ufficio legislativo del ministro Stanca faceva circolare una bozza di decreto che teneva conto solo di alcuni dei suggerimenti formulati durante la riunione del 17 ottobre, e neanche dei più importanti. Sul documento informatico, in particolare, le modifiche peggioravano ulteriormente il già criticato testo di partenza (vedi Idee sempre più confuse sulla firma digitale) e suscitavano nuovi interventi da parte di diversi esperti.

Il 2 dicembre il Consiglio dei ministri approvava, in via preliminare, un nuovo testo, che differiva solo per alcuni dettagli da quello dell'11 novembre. Troppo tardi, comunque, per arrivare all'emanazione entro il 1. gennaio, secondo il suggerimento del Consiglio di Stato. Sicché il codice dell'amministrazione digitale è entrato in vigore con una serie di disposizioni errate, già praticamente prive di effetto a causa delle modifiche annunciate.

Ma anche lo schema di decreto correttivo è stato stroncato dal Consiglio di Stato, nell'adunanza del 30 gennaio. Nel parere i giudici amministrativi esordiscono prendendo atto, fra l'altro, che è stata recepita la raccomandazione di inserire nel testo anche le disposizioni sul sistema pubblico di connettività, nell'ottica dell'accorpamento in un singolo provvedimento di tutte le disposizioni sulla materia. Ma, osservano...

"...medio tempore, sono intervenute altre disposizioni che, in qualche caso, contraddicono il Codice. A titolo d'esempio, l'art. 1, comma 51, della legge 23 dicembre 2005, n. 266, "Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato" (legge finanziaria 2006) si pone in contrasto con il Codice nella parte in cui prevede che un concessionario di pubblico servizio (postale) - e non un pubblico ufficiale - abbia la facoltà di dematerializzare i documenti cartacei attestanti i pagamenti in conto corrente. Tale disposizione pertanto, opportunamente modificata, va collocata all'interno nel Codice, anche in ossequio al criterio della legge-delega secondo cui vanno apportate, a fini di coordinamento, le modifiche necessarie per garantire la coerenza logica e sistematica della normativa in materia" (vedi Emendamenti in libertà: se l'autista autentica...).

Tutto il parere del Consiglio di Stato merita una lettura attenta, ma qui citiamo solo un paio di punti che riguardano la firma digitale:

"La direttiva comunitaria, in sostanza, impone agli Stati membri di equiparare alla sottoscrizione autografa, quanto agli effetti probatori, una firma elettronica avanzata, basata su un certificato qualificato e generata con un dispositivo sicuro e di non escludere la rilevanza giuridica di una firma elettronica per il solo fatto che essa non può essere apposta su un documento cartaceo.
La direttiva non prevede, dunque, che le firme elettroniche possano conferire al documento informatico una efficacia probatoria maggiore di quella che assume, nel processo, una scrittura privata munita di sottoscrizione autografa.
Il testo risultante dalle modifiche introdotte dal decreto integrativo - invece - rafforza, particolarmente sotto il profilo probatorio, il valore legale del documento informatico sottoscritto con firma digitale a scapito del documento formato sul tradizionale supporto cartaceo.
Le norme del decreto legislativo (che sono soprattutto norme di recepimento, nella specifica materia, delle disposizioni comunitarie) non sembrano recepire correttamente il diritto comunitario nel diritto interno e, soprattutto, sembrano alterare il sistema delle prove nel processo civile.
Com'è noto, nell'intento di non stravolgere il delicato equilibrio del sistema delle prove documentali del processo civile, collaudato da secoli di cultura giuridica, l'articolo 4 del d.P.R. n. 513 del 1997 attribuiva al documento informatico, sottoscritto con firma digitale, "L'efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile", semplicemente equiparando al documento scritto, sottoscritto con firma autografa, il documento scritto su supporto informatico sottoscritto con firma digitale.
In altri termini, come dalla sottoscrizione autografa si ricava la presunzione di legge, sino a prova contraria, del consenso del firmatario sul contenuto del documento, così dalla sottoscrizione del documento informatico, mediante la firma digitale, l'ordinamento dovrebbe trarre le medesime presunzioni legali, identificando nell'autore della firma digitale l'autore del documento informatico a cui attribuire gli effetti dell'atto.
Nel testo del decreto correttivo, invece, la parità di condizioni è soltanto apparente, poiché l'efficacia probatoria della scrittura informatica è rafforzata dalla maggiore difficoltà del disconoscimento giudiziale della firma (artt. 214 e ss. c.p.c.)
Sostenere che l'uso dello strumento di firma "si presume riconducibile al titolare" e che soddisfa "comunque" il requisito della forma scritta, anche nei casi previsti, sotto pena di nullità, dall'articolo 1350 c.c., equivale, in sostanza, ad introdurre nell'ordinamento una presunzione di riconoscimento della provenienza del documento simile a quella prevista dall'art. 2703 c.c. per gli atti formati dal pubblico ufficiale (la firma, per così dire, "si ha per riconosciuta" anche se essa non è stata apposta davanti al pubblico ufficiale).
Pertanto, mentre colui contro il quale viene esibita in giudizio una falsa scrittura cartacea può limitarsi a disconoscere la propria firma dando luogo alla speciale procedura di verificazione prevista dagli artt. 214 e ss. c.p.c. (nella quale è colui che intende utilizzare la scrittura che deve provarne la autenticità), la parte processuale, contro la quale viene esibita in giudizio una falsa scrittura formata su supporto informatico, oltre a disconoscere la propria firma deve anche fornire le prove della sua falsità, con un'inversione dell'onere probatorio che appare ingiustificato" [...]
Le disposizioni che il decreto legislativo intende modificare - peraltro - devono, per non eccedere i limiti della delega legislativa (art. 76 Cost.) limitarsi al recepimento nell'ordinamento interno della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, secondo i criteri indicati dall'articolo 2 della legge di delega n. 422 del 2000, e precisamente, osservando gli specifici principi e criteri direttivi "stabiliti nella direttiva da attuare", ed introducendo solo le modifiche o integrazioni necessarie per evitare "disarmonie con le discipline vigenti per i singoli settori interessati dalla normativa da attuare" (art. 2, lett. b).
E' ben vero che anche l'attuale testo dell'art. 21 prevede l'inversione dell'onere della prova ai fini del disconoscimento della firma, ma imporre soltanto al titolare dello strumento di firma (in questo senso, la modifica dell'espressione "sia fornita la prova" con "dia la prova") significa rafforzare ulteriormente, nel senso suindicato, la disparità di trattamento tra la scrittura cartacea e la scrittura informatica.
La disposizione in esame, pertanto, deve essere correlativamente modificata".

Ancora:

"All'art. 1, comma 1, lett. q) del Codice, che attualmente recita: "firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica", sono soppresse le parole ", utilizzati come metodo di autenticazione informatica".
Con tale modifica presumibilmente l'Amministrazione ha inteso chiarire la portata definitoria dell'espressione "firma elettronica", espungendo il riferimento all'autenticazione, così come definita alla lettera b), che, nel testo originario, finiva per collegare la nozione di sottoscrizione elettronica all'operazione di riconoscimento di un soggetto nella rete o in un sistema informativo.
Pur convenendo sull'opportunità di tale scissione semantica, e confermando che non vi può essere alcun rapporto tra la sottoscrizione di un documento e l'accesso ad un sistema informatico con relativa identificazione (in senso tecnico-informatico) dell'utente del medesimo sistema, si rileva che, così come è formulata, la definizione non individua alcun metodo di sottoscrizione elettronica in senso stretto, dato che descrive unicamente una mera operazione di associazione di dati ad altri dati (allegazione ovvero connessione).
Quanto detto va considerato alla luce del successivo art. 21, comma 1, secondo cui il documento informatico sottoscritto con mera firma elettronica ha una sua efficacia probatoria, sia pur limitata, la cui valutazione resta affidata al giudice, in base alle caratteristiche di qualità e sicurezza della tecnologia di volta in volta utilizzata per firmare elettronicamente".

E' opportuno richiamare l'attenzione su un passaggio: "non vi può essere alcun rapporto tra la sottoscrizione di un documento e l'accesso ad un sistema informatico con relativa identificazione (in senso tecnico-informatico) dell'utente del medesimo sistema". Cioè, in parole povere, l'e-mail non può essere "forma scritta", come sostenevano con forza alcuni avvocati (vedi Un messaggio e-mail non è "prova scritta").
E chi avesse la pazienza di spulciare tra i numerosi articoli che abbiamo dedicato all'argomento, troverebbe che molte osservazioni del Consiglio di Stato coincidono con le cose scritte su queste pagine da quando sono state rese note le prime bozze del codice. Ma questo per noi non è un motivo di soddisfazione, anzi, induce ad amare riflessioni su come nel Palazzo si tenga in nessun conto l'opinione di chi, da anni, studia la materia (e in qualche caso ha anche contribuito a crearla dal nulla).

Per concludere, ecco un altro punto sul quale i giudici di Palazzo Spada confermano le opinioni espresse da InterLex: la carta d'identità elettronica e le altre numerose carte elettroniche che dovrebbero inutilmente appesantire le tasche dei cittadini italiani (vedi, da ultimo, Carta vince, carta perde: chi vince nel gioco della CIE?). Ecco che cosa si legge nel parere del Consiglio di Stato:

"Proprio sotto il profilo della reale attuazione delle norme, permane, più in generale, la pressante esigenza di coordinamento del settore con riferimento alle iniziative propedeutiche alla concreta accessibilità ai servizi delle pubbliche amministrazioni.
Si pensi all'art. 64 del Codice (Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni), secondo cui "La carta d'identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'autenticazione informatica".
Infatti, da più parti sono stati evidenziati i costi e le difficoltà di attuazione del progetto della Carta d'identità elettronica - che, come è noto, investe anche competenze dei Comuni - nonché l'arduo discrimen con la Carta nazionale dei servizi e, da ultimo, almeno per alcuni versi, con la Tessera sanitaria.
Ciò senza contare che anche la regione Lombardia ha realizzato un progetto denominato "Carta regionale di servizi"[...].
Appare quindi alla Sezione indispensabile e urgente un'azione chiarificatrice e razionalizzatrice in materia, sia con riferimento alle inutili duplicazioni e ai costi per l'Erario sia, soprattutto, per le incertezze che tale frammentazione di iniziative suscita nei confronti dei cittadini e delle imprese.
Un quadro organizzativo e normativo certo, chiaro ed univoco in materia appare - con tutta evidenza - la conditio sine qua non per una reale attuazione delle iniziative di e-government".

Ora resta solo da chiedersi se il Governo - o, per essere precisi, il Dipartimento per l'innovazione - farà in tempo a varare un testo che tenga conto dei rilievi del Consiglio di Stato prima della scadenza della delega (entro un anno dall'emanazione del decreto legislativo, cioè entro il 7 marzo prossimo). O se produrrà l'ennesimo pasticcio, oppure se il termine trascorrerà inutilmente. I precedenti non inducono all'ottimismo.