|
Fin dall'approvazione del DPR 513/1997 si è largamente
dibattuto della rilevanza giuridica della firma digitale e degli effetti da
riconoscere ad un documento informatico sottoscritto mediante tale strumento di
sicurezza.
E' noto l'ampio dibattito dottrinale tra i sostenitori della sostanziale
equivalenza di una firma digitale ad una sottoscrizione olografa ed i fautori di
una netta differenziazione tra i due fenomeni, con attribuzione alla firma
digitale di una valenza alquanto diversa rispetto alla sottoscrizione.
Vi sono state, in passato, proposte che tendevano persino a
negare l'utilizzo del sostantivo "firma" a proposito del "risultato
della procedura informatica (validazione) basata su un sistema di chiavi
asimmetriche a coppia".
L'evoluzione normativa ha imboccato, come noto, la strada della completa
equiparazione tra i due istituti, pur con necessità di successivi
aggiustamenti, soprattutto in funzione del recepimento della direttiva
1999/93/CE che ha "imposto" l'introduzione nel nostro ordinamento di
tipologie di firme elettroniche differenti tra loro in quanto basate su un
diverso, e per certi versi minore, livello di sicurezza.
V'è da dire che le differenze di qualificazione giuridica
registrate nel tempo riguardano sostanzialmente il sistema e le modalità di
disconoscimento degli effetti giuridici di un documento informatico sottoscritto
mediante una firma elettronica qualificata o digitale, senza mai mettere in
dubbio l'equivalenza tra sottoscrizione elettronica e sottoscrizione olografa,
almeno con riferimento a tali tipologie di firme.
Diverso è il discorso, come noto, per le firme elettroniche
"deboli", introdotte dalla direttiva europea, il cui rilievo giuridico
effettivo è stato subordinato alla valutazione di volta in volta del giudice,
pur con un generale principio di riconoscimento nel nostro ordinamento in quanto
imposto dalla direttiva stessa.
In effetti, la differente qualificazione operata dal DPR
513/1997, che riconosceva l'efficacia di scrittura privata al documento
sottoscritto con firma digitale, dal DPR 445/2000 post recepimento
direttiva europea, che riconosceva efficacia fino a querela di falso del
documento informatico sottoscritto con firma elettronica qualificata o digitale,
e dal nuovo Codice dell'amministrazione digitale, che riconosce efficacia di
scrittura privata al documento informatico sottoscritto con firma elettronica
qualificata con presunzione di utilizzo del dispositivo sicuro di firma in capo
al titolare, differisce sostanzialmente per il soggetto che deve sopportare l'onere
della prova in caso di disconoscimento del documento informatico e per le
relative attività processuali.
Lo stesso Codice dell'amministrazione digitale riprende l'impostazione
tradizionale che mette al centro del sistema il documento informatico e valuta
gli effetti giuridici in funzione della presenza o meno di una firma elettronica
e del livello di qualità e sicurezza di quest'ultima. Tale struttura è bene
evidente considerando le disposizioni della Sezione I del Capo I, a cominciare
dall'art. 21 che disciplina il valore probatorio del documento informatico per
finire a tutta la Sezione II del Capo I, interamente dedicata alle "Firme
elettroniche e certificati".
Nelle stesse definizioni del Codice osserviamo che la "autenticazione
informatica" viene introdotta quale elemento costitutivo della "firma
elettronica" e della "firma elettronica qualificata" e non sembrerebbe
vivere di vita autonoma nello sviluppo del Codice.
Eppure, se guardiamo alla realtà dei fatti, possiamo notare come il ricorso
alla sottoscrizione, intesa nella sua accezione tradizionale sia un fatto di
natura sporadica, mentre accade continuamente di dover essere identificati e di
dover superare controlli all'accesso a determinate strutture o risorse
informatiche (e non solo, si pensi all'attivazione di un sistema antifurto,
all'apertura di un'automobile se non di un'abitazione privata o di uno
studio professionale, e così via).
Il Codice dell'amministrazione digitale sembra incentrare
la sua attenzione sulla disciplina della sottoscrizione e sembra trascurare l'utilizzo
delle firme elettroniche in tutti i casi in cui esse vengono utilizzate come
mero strumento di sicurezza informatica e non quale atto formale di
sottoscrizione di un documento informatico (funzione "identificativa",
indicazione del soggetto da cui proviene il documento, e "dichiarativa",
conferma della volontà o dei fatti espressi nel documento) a scopo di
realizzazione di una scrittura privata.
Un esempio concreto consentirà di chiarire subito questo
concetto. Il decreto legislativo 52/2004 ha introdotto nel nostro ordinamento la
possibilità di ricorrere alla fatturazione elettronica. Si tratta dell'attuazione
di un principio contenuto nella Direttiva 2001/115/CE di riordino dell'imposta
sul valore aggiunto (IVA).
Ebbene, la direttiva stabilisce chiaramente e tassativamente, all'art. 2, che
"Gli Stati Membri non impongono che le fatture siano firmate" (testo
inglese: "Member States shall not require invoices to be signed";
testo francese: "Les États membres n'imposent pas la signature des
factures"). Al contempo, sia la direttiva, sia il decreto legislativo di
attuazione, stabiliscono che il ricorso alla fatturazione elettronica è
consentito a condizione che sia assicurata l'autenticità dell'origine e l'integrità
del contenuto della fattura stessa.
Tale condizione viene realizzata, secondo tali norme
specifiche in materia di IVA, ove il documento che contiene la fattura sia
statico e non modificabile e sia utilizzata, tra le possibilità offerte dalla
legge, una firma elettronica qualificata (oltre ad all'applicazione di un "riferimento
temporale").
Si tratta di un esempio magistrale. La firma elettronica qualificata, in questo
caso, non viene utilizzata quale "sottoscrizione elettronica", bensì come
strumento di sicurezza al fine di assicurare certezza dell'origine ed
integrità del contenuto del documento informatico con cui viene realizzata la
fattura (per ragioni intuitive legate alle esigenze di verifica e controllo dell'amministrazione
finanziaria).
Dunque, vi sono situazioni in cui si applica ad un documento
informatico una firma elettronica, nel caso visto sopra una firma elettronica
qualificata per scelta del legislatore italiano (la direttiva richiedeva una
semplice firma elettronica avanzata), senza per questo sottoscriverlo, bensì
esclusivamente quale dispositivo di sicurezza per assicurare il contenuto del
documento.
A ben vedere, la necessità di applicare una firma
elettronica ad un documento informatico costituisce una necessità
imprescindibile, data la natura e la struttura intrinseca del documento
informatico. Si potrebbe affermare che non dovrebbe esistere documento
informatico, degno di tal nome, sia giuridicamente sia da punto di vista della
sicurezza informatica, senza firma elettronica.
Mi spiego meglio. Un documento "non" informatico risulta
statico ed immodificabile nel tempo in virtù del supporto fisico su cui è
stato formato. A seconda che il supporto sia la carta, la pergamena, la pietra,
o quant'altro, la modificabilità risulta più o meno difficoltosa, e quindi l'integrità
garantita, in funzione delle caratteristiche di durevolezza del supporto. In
ogni caso, esistono tecniche per stabilire se sia stato alterato o meno e vi
sono materiali in grado di rivelare con maggiore o minore facilità eventuali
manomissioni. In altre parole, non è necessario sottoscrivere un documento "non"
informatico al fine di renderlo immodificabile. La sottoscrizione in questo caso
risulterebbe aggiuntiva al fine di indicare la provenienza del documento
(funzione indicativa) e di confermare la volontà dell'autore rispetto ai
fatti ed alle dichiarazioni in esso contenute (funzione dichiarativa).
Con il documento informatico tutto ciò non è più vero in
quanto la modificabilità è intrinseca nella natura stessa di un file
elettronico. Al fine di renderlo immodificabile, di assumere dunque la "funzione
documentale", sorge dunque la necessità di applicare un dispositivo di
sicurezza che renda visibili eventuali modifiche, altrimenti impossibili da
rilevare.
In questo senso una firma elettronica non sempre viene apposta quale
sottoscrizione elettronica nell'accezione propria del termine in precedenza
illustrata. Una firma elettronica talvolta è un mero dispositivo di sicurezza.
Una sottoscrizione elettronica è invece qualcosa di più rispetto alla firma
elettronica che ne costituisce lo strumento di sicurezza con cui si esprime.
Si tratta dunque di stabilire quale tipo di firma elettronica
è adatto ad assolvere quale tipo di funzione.
A mio giudizio risulta indispensabile mantenere per il futuro la soluzione
adottata attualmente dal Codice di richiedere, a fini di sottoscrizione
elettronica nel senso proprio e formale del termine, unicamente una firma
elettronica qualificata o digitale. Vale a dire il livello più elevato in
termini di sicurezza informatica (oggi reso disponibile dalla crittografia a
chiave pubblica, in futuro eventualmente da altre tecnologie disponibili).
Risulta tuttavia condivisibile che l'ordinamento disciplini
anche altri fenomeni informatici, le firme elettroniche cd. "deboli" che
vengono spesso utilizzate (rectius: dovrebbero sempre essere impiegate
soltanto) in funzione di sicurezza informatica.
Il riconoscimento di una qualificazione giuridica alle firme elettroniche "deboli",
se tenuto nettamente distinto rispetto agli effetti delle firme elettroniche
qualificate o digitali in funzione di sottoscrizione elettronica, risulta
positivo ed utile. Innanzitutto, per consentire di dare una qualificazione
giuridica a tutta una serie di fenomeni informatici che diversamente non
avrebbero un riconoscimento, nonostante siano largamente utilizzati. Inoltre,
anche per dare adeguata graduazione ai diversi strumenti di sicurezza che sono
utilizzati nell'utilizzo dei sistemi informatici e nelle comunicazioni
elettroniche (a prescindere dalla sottoscrizione elettronica).
Il problema fondamentale è di stabilire proporzionalità tra
gli effetti giuridici riconosciuti ed il livello di sicurezza assicurato,
nonché tenere ben separati gli effetti. In questo senso, mi sembra che il nuovo
Codice dell'amministrazione digitale attui una graduazione adeguata, pur
tuttavia non stabilendo una distinzione sufficientemente chiara, netta, tra i
due fenomeni: firma elettronica e sottoscrizione elettronica (a mezzo di firma
elettronica qualificata o digitale) che per il futuro si potrebbe forse meglio
esprimere.
Quale corollario di questo ragionamento mi sembra debba essere salutata con
favore la modifica contenuta nel nuovo Codice ove ha stabilito che per aversi
"forma scritta" occorre dotare, necessariamente, il documento informatico di
una firma elettronica qualificata (e non più di una semplice firma
elettronica). Ciò per le ragioni sopra esposte: la forma scritta richiede il
massimo della sicurezza e questa è garantita attualmente dalla firma
elettronica qualificata o digitale. Ed auspico che per il futuro non vi siano
ripensamenti al riguardo.
Come evidente, anche nel caso della "forma scritta"
emerge la differenza tra "firmare elettronicamente" (in funzione di
sicurezza del risultato informatico) e "sottoscrivere elettronicamente". In
questo secondo caso, infatti, la qualificazione che dovrebbe conseguire sarebbe
"scrittura privata" e non mera "forma scritta", posto che abbia un senso
per i documenti informatici porre questa distinzione (che tuttavia è introdotta
a livello normativo).
La distinzione tra sottoscrizione elettronica e firma
elettronica, che a mio avviso dovrebbe trovare maggiore rilievo nel diritto dell'informatica
del futuro, non esaurisce tuttavia l'argomento.
Vorrei ora introdurre l'argomento dei certificati digitali
di autenticazione (informatica) che mi sembra non abbiano nel Codice dell'amministrazione
digitale un rilievo adeguato e che, invece, è probabile costituiranno nel
futuro l'utilizzo maggiore dei sistemi di crittografia a chiave pubblica.
I sistemi ICT (Information and Communication Technologies)
presentano diverse situazioni operative che richiedono l'applicazione di
tecniche di sicurezza differenti rispetto alla mera sottoscrizione, in funzione
dell'obiettivo perseguito, e che possiamo brevemente sintetizzare nel modo
seguente: "autenticazione informatica", "autorizzazione" e "validazione
temporale". Tutte queste tecniche di sicurezza sono fruibili mediante utilizzo
di certificati digitali ed il fatto che si basino tutti sugli stessi elementi
della firma elettronica qualificata potrebbe ingenerare confusione.
L'autenticazione informatica, come noto, consiste nella
verifica preliminare ("validazione") dell'identità di colui che accede ad
un sistema informatico, ad una risorsa informatica, ad una rete di
comunicazione, ad un servizio on-line, sia esso bancario, assicurativo,
del terziario avanzato o della pubblica amministrazione. In tutti questi casi
assistiamo alla necessità di una alla verifica preliminare dell'identità
dell'utente, che viene definita "autenticazione informatica", e che potrà
avvenire in vario modo, anche mediante utilizzo di un certificato qualificato
(di una firma elettronica).
In questo caso, non avremo i requisiti della sottoscrizione
elettronica, evidentemente, in quanto la verifica avviene preventivamente
rispetto all'accesso al sistema informatico, senza inoltre averne lo scopo
specifico (conferma del contenuto di una dichiarazione). L'eventuale
formazione di un documento informatico richiederebbe una sottoscrizione
elettronica specifica, al termine dell'operazione, giacché non sarebbe
considerabile quale sottoscrizione una "validazione" preventiva (salvo
snaturare completamente il significato di sottoscrizione). Addirittura potrebbe
avvenire per mezzo di una transazione tra sistemi informatici senza intervento
umano diretto (tra server e client, tra un web server ed un
browser, tra un terminale di pagamento elettronico ed il centro di
autorizzazione della banca, tra un sistema di controllo del traffico urbano,
semaforo o pannello indicatore e la centrale del traffico della polizia locale).
Autenticazione informatica non è quindi sottoscrizione
elettronica, anche se potrebbero entrambe basarsi sulla stessa tecnica di
sicurezza. L'autenticazione informatica inoltre potrebbe non riferirsi
direttamente ad un comportamento umano (nella posta elettronica certificata mi
sembra che l'utilizzo dei certificati digitali del gestore di posta
elettronica a conferma delle ricevute elettroniche avvenga in questo senso).
L'autorizzazione assolve, invece, alla necessità di
stabilire l'esistenza del diritto ad accedere ad un determinato sistema
informatico, ovvero al contenuto di una banca di dati, sulla base di una
preventiva concessione da parte del legittimo titolare. Anche tale controllo
può avvenire mediante utilizzo di un certificato qualificato, elemento base
della firma elettronica ed anche in questo caso potrebbe ingenerarsi confusione
tra le due operazioni che debbono tuttavia essere considerate distinte per le
stesse ragioni illustrate sopra a proposito dell'autenticazione informatica.
La validazione temporale assolve, da ultimo, alla necessità
di stabilire in modo certo la data e l'ora d'accadimento di una determinata
operazione ovvero di negozio giuridico avvenuto mediante accesso ad un sistema
informatico. La "validazione temporale" consiste in un utilizzo particolare
di un certificato qualificato in modo da rendere data ed ora opponibili ai
terzi. Anche in questo caso occorre tenere distinte sottoscrizione elettronica e
validazione temporale, benché basate sulla stessa tecnica informatica e su
componenti molti simili, in quanto sia lo scopo, sia il significato giuridico,
sono alquanto differenti.
Abbiamo visto in precedenza come firma elettronica e
sottoscrizione elettronica assolvano a funzioni diverse, nel senso che la
seconda comprende la prima ma non viceversa ed abbiamo concluso che il
significato giuridico di firma e sottoscrizione elettronica dovrebbero essere
tenuti ben distinti.
Abbiamo esaminato ora tutta una serie di funzioni di
sicurezza che non si risolvono né in una sottoscrizione elettronica, e nemmeno
nell'apposizione di una firma elettronica. Considerato che né nel Codice dell'amministrazione
digitale, né nel Codice in materia di protezione dei dati personali, in cui è
previsto l'obbligo d'utilizzo di queste "misure di sicurezza", viene
data definizione, risulta auspicabile per il futuro che venga sanata questa
lacuna mediante adeguata disciplina dei presupposti e degli effetti.
V'è un terzo aspetto da chiarire oltre a quelli già messi
in luce.
Mentre nel caso della sottoscrizione elettronica ci troveremo sempre di fronte
all'espressione della funzione indicativa e dichiarativa di un individuo nel
momento conclusivo della formazione di un documento informatico, nel caso di
utilizzo di un certificato digitale in funzione di sicurezza potremmo trovarci
di fronte di fronte sia ad un comportamento umano, sia anche ad una interazione
tra elaboratori elettronici opportunamente programmati.
Da questo punto di vista non ci si deve stupire se nei
commenti allo stato di recepimento e applicazione della direttiva 1999/99/CE,
soprattutto da parte del TTP.nl, la struttura olandese per l'accreditamento
volontario (ma non solo), è stata espressa la richiesta di consentire il
rilascio di firme elettroniche anche a persone giuridiche (legal persons),
fatto che per noi potrebbe sembrare un assurdo.
Tale istanza, tuttavia, si comprende proprio se si considera
che i certificati digitali non vengono utilizzati solo quali strumenti di
sottoscrizione bensì anche quali strumenti di sicurezza informatica. In altre
parole, essi sono utilizzati anche per altre funzioni diverse dalla
sottoscrizione, ad esempio nelle operazioni di verifica della correttezza del
collegamento ad un server, oppure ad un web site internet. Ed in
questo caso assolvono alla funzione di identificazione di una risorsa
informatica.
Comprendere non vuol tuttavia dire condividere. Al contrario,
a mio avviso, i due aspetti andrebbero tenuti adeguatamente distinti a scopo di
evitare ogni possibile confusione, pur se tuttavia non si può negare che nella
realtà dei fatti tali utilizzi stanno assumendo sempre più rilievo.
Per questo motivo l'autenticazione informatica, oltre che elemento base della
sottoscrizione elettronica (che forse potrebbe meglio essere qualificata "identificazione",
come nella versione preliminare del Codice dell'amministrazione digitale), a
mio avviso dovrebbe essere considerata anche quale funzione autonoma e
dovrebbero essere meglio individuate a livello normativo le conseguenze
giuridiche, soprattutto in termini d'imputazione dei risultati, che potrebbero
derivare dall'utilizzo. Naturalmente tenendo ben distinte quelle che sono le
valenze di sottoscrizione elettronica, sempre e solo da ricondurre alla sfera
degli individui con effetti analoghi a quelli della sottoscrizione olografa, e
quelle che sono le valenze di autenticazione informatica, quale mera operazione
di sicurezza informatica.
Applicare una firma elettronica (dato che il nostro
ordinamento utilizza necessariamente questo termine) non equivale sempre a
sottoscrizione elettronica. Al contrario abbiamo numerosi casi in cui si
determina affatto un fenomeno di sottoscrizione elettronico e pur tuttavia si
ricorre all'uso del termine firma elettronica, ingenerando così una serie d'incertezze
e fraintendimenti.
In conclusione, mi sembra che il nuovo Codice si presti
meglio dei precedenti strumenti normativi a disciplinare non solo le esigenze di
sicurezza e certezza legate alla formazione di documenti informatici ed alla
relativa sottoscrizione elettronica, bensì anche a coprire alcune delle
esigenze di verifica d'identità in chiave di sicurezza per i vari utilizzi di
sistemi informatici, anche ove non si giunga necessariamente alla formazione e
sottoscrizione di un documento informatico contenente dichiarazioni o
rappresentazioni di atti o fatti giuridicamente rilevanti.
Ritengo auspicabile per il futuro, tuttavia, una
differenziazione più netta tra le diverse funzioni: autenticazione informatica
(anche mediante firma elettronica) e sottoscrizione (che dovrebbe avvenire
sempre e soltanto mediante firma elettronica qualificata o digitale).
Soprattutto ritengo necessario meglio approfondire il fenomeno dell'utilizzo
dei certificati digitali a scopo di autenticazione informatica in funzione di
sicurezza, non utilizzati quindi a conclusione della formazione di un negozio
giuridico da parte di un soggetto persona fisica, al contrario utilizzati a
prescindere dall'intervento materiale di un soggetto ben identificato, i cui
effetti ricadono (di fatto) direttamente nella sfera giuridica dell'organizzazione
che li ha predisposti, ingenerando dubbi ed interrogativi al riguardo.
|
Pagina stampabile
