Caro Direttore,
ho letto con grande attenzione ed interesse il suo articolo dal titolo Sparita l'equivalenza tra firma autografa e digitale del 26.6.2003 e, cogliendo al balzo il suo invito, mi permetto di inviarle queste mie riflessioni in parziale contrasto con le conclusioni a cui lei è giunto.

In particolare, mi sembra che il regolamento n. 137 del 2003 di recente pubblicazione non muti nella sostanza le modifiche già apportate al TU n. 445 del 2000 dal Decreto legislativo 23 gennaio 2002, n. 10, ma, tutt'al più, prosegua nello sforzo - tutt'altro che agevole - di osservare gli indirizzi imposti dalla direttiva europea 1999/93/CE, senza, però, rinunciare a quanto di buono negli anni passati era stato fatto per elaborare un quadro normativo coerente in materia di firma digitale.

L'istituto della firma digitale viene, quindi, nella sostanza conservato, ma, in doverosa attuazione degli orientamenti espressi in sede comunitaria, da strumento esclusivo per la validazione del documento elettronico viene convertito in uno dei possibili strumenti alternativi e concorrenti:
L'art. 5 della direttiva 1999/93/CE, del resto, precisava espressamente che gli Stati membri avrebbero dovuto provvedere affinché una firma elettronica non fosse considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che era:

- in forma elettronica, o
- non basata su un certificato qualificato, o
- non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero
- non creata da un dispositivo per la creazione di una firma sicura.

Inevitabile, quindi, che la firma digitale acquistasse la valenza di specie all'interno del più ampio genere della firma elettronica.
Non per questo mi pare si possa affermare che il regolamento abbia decretato la sparizione del principio dell'equivalenza tra firma digitale e firma autografa né, tanto meno, quella tra documento elettronico e cartaceo.

Del resto il DLgv 137/2003 non ha minimamente intaccato l'art.10 del TU 445/2000 - così come modificato dal DPR 10/2002 - nella parte in cui attribuisce ad ogni documento informatico l'efficacia probatoria prevista dall'art.2712 c.c. riguardo ai fatti ed alle cose rappresentate. Né ha sminuito la valenza della firma digitale, ma, per converso, la nuova formulazione dell'art.10 ha rafforzato l'efficacia originariamente prevista per i documenti sottoscritti con questo tipo di firma, sancendo che: Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto.

E' vero che la nuova formulazione dell'art. 10, disponendo che il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta, sancisce un importante allargamento degli strumenti informatici idonei a riprodurre in tutto o in parte gli effetti tradizionalmente assolti dalla sottoscrizione autografa.

Non condivido, tuttavia, la conclusione che con questa modifica il legislatore abbia determinato l'equivalenza tout court di qualsiasi firma elettronica, anche non certificata, né "qualificata" né "avanzata", con la firma autografa. In primo luogo, in quanto l'art.10 prosegue affermando che - sul piano probatorio - il documento sottoscritto con firma elettronica semplice deve essere oggetto di una libera valutazione da parte del giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Non tutti i documenti sottoscritti con firma elettronica possono, quindi, essere fatti rientrare nella previsione normativa di cui all'art.2702 c.c..

In secondo luogo, il successivo art. 11 dispone espressamente che: "I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma elettronica qualificata secondo le disposizioni del presente testo unico sono validi e rilevanti a tutti gli effetti di legge". Escludendo, quindi, che siano validi e rilevanti a tutti gli effetti di legge i contratti stipulati con l'apposizione di una firma elettronica semplice.
Pur nell'osservanza degli indirizzi comunitari, il legislatore mi sembra, quindi, abbia voluto graduare l'efficacia dei diversi sistemi di validazione informatica in base al livello di attendibilità che ciascuna firma è in grado di garantire.

Del resto la soluzione pluralistica espressa dalla direttiva europea non poteva che portare ad un panorama giuridico più articolato e complesso rispetto a quello monistico originariamente adottato dal nostro ordinamento con il DPR 513 del 1997.

Quanto alla nuova definizione di "firma digitale", contenuta nell'art. 1, c. 1, n):
"è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici" ritengo che - contrariamente a quanto sembrerebbe desumersi dal suo articolo - l'elemento della definizione che diversifica la "firma digitale" dalle altre "firme qualificate" non sia il fatto che essa serve a "rendere manifesta e a verificare" la provenienza di un documento informatico - funzione certamente comune a qualsiasi firma elettronica qualificata - quanto, invece, il fatto che tale firma è basata "su un sistema di chiavi asimmetriche a coppia".

Mi sembra, infatti, che nell'ambito del quadro normativo venutosi a profilare a seguito del recepimento della direttiva europea, i sistemi crittografici a chiave asimmetrica siano soltanto uno dei possibili sistemi di validazione informatica contemplati dal legislatore.
Nulla esclude, infatti, che una firma elettronica possa, ad esempio, essere fondata sull'utilizzo di chiavi biometriche.

In merito, infine, all'impiego del neologismo "autentificazione", la scelta di coniare questo nuovo termine, anziché, riproporre il concetto di "validazione", benché discutibile sul piano semantico, può considerarsi giuridicamente giustificata dal fatto che l'art.22 del T.U. 445/2000 già conteneva una precisa definizione di "sistema di validazione":
"Ai fini del presente Testo Unico si intende: a) per sistema di validazione, il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità".

Il timore di non generare equivoci in ordine al valore giuridico del termine "validazione", che il Testo Unico ricollegava univocamente alla "firma digitale" e, quindi, alla crittografia a chiavi asimmetriche, può avere, quindi, indotto il legislatore ad elaborare un nuovo termine - "autentificazione" appunto - che, per quanto brutto, potesse essere associato liberamente a qualsiasi tipo di "firma elettronica", indipendentemente dal sistema informatico utilizzato per la sua generazione.

Pertanto, pur non potendosi ignorare le zone d'ombra che la nuova normativa presenta, mi sembra ingeneroso attribuire ogni responsabilità al legislatore italiano, vista la scomoda posizione in cui è stato - suo malgrado - posto: stretto tra l'esigenza di rispettare gli indirizzi comunitari e quella di salvaguardare, nei limiti del possibile, un sistema normativo interno già maturo e coerente, come era quello previgente in materia di "firma digitale".

E in quest'ottica, mi pare vadano letti gli equilibrismi giuridici compiuti nel classificare come scatole cinesi i diversi sistemi di validazione informatica, partendo dalla firma elettronica pura e semplice, transitando per le figure intermedie della "firma elettronica avanzata" e della "firma elettronica qualificata", sino a giungere al modello italiano: la buona, vecchia "firma digitale".
La ringrazio per l'attenzione accordatami e le porgo i miei più cordiali saluti.