|
L’amico e collega Manlio Cammarata mi ha invitato ad
esprimere il mio parere sulla sua proposta di revisione delle “definizioni”
relative al documento informatico ed alle firme elettroniche contenute nel
Codice dell’amministrazione digitale (vedi Firme
elettroniche: i problemi normativi del documento informatico e Chiarimenti sulle proposte di definizioni nel Codice).
Prima di entrare nel merito della proposta, ardita ed
affascinante, è necessaria una premessa metodologica che ritengo utile e che ho
avuto modo di maturare, tra l’altro, in questi anni passati a stretto contatto
con tecnici informatici per via di innumerevoli progetti nei quali sono stato
chiamato a prestare la mia opera professionale.
Negli scritti giuridici appartenenti alla nostra tradizione le “definizioni”
assumono solitamente un ruolo ed un significato diverso rispetto agli scritti
tecnici. Parallelamente, i giuristi italiani sono soliti sviluppare ed
utilizzare le “definizioni” in modo differente rispetto a quanto fanno i
tecnici, considerando in questa categoria i professionisti che hanno una
formazione di base incentrata sulle cd. “scienze esatte”, più in
particolare legata allo studio dell’analisi matematica.
Occorre dire, inoltre, che l’uso delle definizioni negli scritti giuridici,
contratti e testi normativi, è alquanto recente per il nostro ordinamento a
differenza di quanto accade in altri ordinamenti. A questo riguardo si
confrontano due tradizioni tra loro differenti: quella germanica, che ricorre a
definizioni di tipo dogmatico con scopo meramente interpretativo ed al fine di
esattezza delle norme giuridiche, soprattutto per il caso di concetti ed
istituti ripetuti in varie parti di quell’ordinamento; quella di “common
law” anglo-sassone, dove l’uso delle definizioni assume nei testi
normativi non solo un ruolo interpretativo ma anche vincolante per la
giurisprudenza, per i casi rientranti nelle definizioni date (cd. Statute).
Ciò risulta maggiormente spiegabile se inquadrato nel sistema di “common
law” e nel ruolo che assume il giudice in quel sistema.
Il ricorso all’uso delle definizioni è progressivamente filtrato nel nostro
ordinamento, prima a livello contrattuale e più di recente a livello normativo,
grazie soprattutto alle disposizioni contenute nelle direttive europee ed al
loro meccanismo di attuazione. Le definizioni si sono rese necessarie nel
processo di produzione normativa comunitaria sia in ragione delle difficoltà
linguistiche, sia anche in ragione delle disarmonie e differenze negli istituti
presenti nei diversi ordinamenti dei Paesi membri, sia infine grazie alla forte
tradizione anglo-sassone.
Detto questo, emerge una caratteristica di fondo nell’utilizzo
delle definizioni (sia contrattuali, sia legislative) nel nostro ordinamento e
nella nostra tradizione giuridica: esse sono storicamente desunte dalla dottrina
quali elementi caratterizzanti determinati istituti se non presenti nel testo,
ovvero, più di recente, vengono predisposte con l’obiettivo di facilitare l’edizione
di un testo contrattuale o normativo e la sua interpretazione, riportando i
concetti ricorrenti in apposita sezione all’inizio, mentre non sono,
solitamente, utilizzate quale elemento “definitorio” di fattispecie o
conseguenze giuridiche in modo a sé stante. In questo senso la nostra
tradizione giuridica si ispira e si avvicina molto a quella germanica e non
assomiglia a quella di common law.
Si noti bene, nella tecnica giuridica italiana le definizioni, quanto
direttamente presenti nel testo legislativo, sono predisposte al termine della
redazione, dopo aver sviluppato tutti gli istituti e le fattispecie che s’intende
regolare. Solitamente si decide di dare rango di definizione ad un concetto, ad
un istituto, solo nel caso in cui questi sia richiamato più volte nel medesimo
testo. E’ esperienza ripetuta assistere alla cassazione di definizioni che,
sebbene già predisposte, a seguito di successive revisioni e modifiche, non
sono più richiamate nel testo definitivo.
Diverso è l’approccio adottato dai tecnici, o meglio negli scritti di natura
tecnica. In questo caso emerge, alla base, il metodo matematico il quale pone
all’inizio i termini del problema, li “definisce”, e da questo deriva
tutte le conseguenze sino alla dimostrazione del teorema, o alla soluzione del
problema. Nell’approccio matematico accade dunque l’opposto rispetto all’approccio
giuridico tradizionale italiano: prima si pongono i termini della questione (le
definizioni) e poi da queste si derivano tutte le conseguenze. Da questo punto
di vista una definizione può anche avere fine a sé stessa, nel senso che serve
a porre un presupposto, una regola anche se non viene ulteriormente utilizzata
nel testo che segue. Nel “modello matematico”, quindi, le definizioni non
hanno scopo interpretativo, bensì “definitorio”. In effetti, la tradizione
di common law riprende, per qualche verso, alcuni di questi effetti.
Ovviamente non è il caso di stabilire quale sia il metodo migliore, se esiste
un metodo migliore; si tratta solo di constatare le varie differenze e di
prendere atto che in materia di documento informatico e firme elettroniche, tema
di frontiera, che coinvolge sia il diritto, sia la tecnica, ancora una volta si
assiste ad un “confronto” tra le diverse discipline, giuridiche e
matematiche, questa volta sulla tecnica legislativa, mentre sullo sfondo abbiamo
la progressiva osmosi tra sistemi giuridici diversi, dove assistiamo all’ingresso
nel nostro ordinamento di tradizioni a noi inizialmente estranee e che devono
armonizzarsi con il resto delle nostre norme.
Tutto questo cosa c’entra? C’entra eccome! Ora vediamo
perché.
In linea di principio sono pienamente d’accordo con l’idea del dottor
Cammarata, il quale propone di inquadrare in tre categorie distinte i diversi
fenomeni della cosiddetta “autenticazione” informatica: a) validazione a
fini di sicurezza, b) firma elettronica semplice (priva di alcuni requisiti di
qualità e sicurezza che l’attuale tecnologia rende disponibile e senza
garanzia di identificazione del titolare), c) firma elettronica qualificata (in
presenza dei requisiti di qualità e sicurezza superiori che l’attuale
tecnologia rende disponibili in aggiunta alla garanzia di identificazione del
titolare).
Tale idea era contenuta in nuce nel mio precedente articolo pubblicato
sul Forum per il decennale di InterLex intitolato Firmare
elettronicamente non sempre equivale a sottoscrivere, dove avevo tentato di
mettere in evidenza come molte volte il ricorso ad una firma elettronica avvenga
non al fine di sottoscrivere un documento informatico nel senso proprio del
termine (per indicare la provenienza del documento e per confermare la
coincidenza della volontà del titolare con la rappresentazione, contenuta nel
documento, di atti o fatti giuridicamente rilevanti), bensì al fine di rendere
maggiormente sicuro un documento informatico (per renderlo statico e non
modificabile), oppure al fine di manifestare la propria identità per poter
accedere ad una risorsa informatica (a fini di identificazione).
Quindi, l’opportunità di distinguere tra usi delle firme elettroniche a fini
di sottoscrizione (elettronica) nel caso di formazione di un documento
(informatico) ed usi a fini di mera identificazione del titolare (per il caso d’accesso
a risorse informatiche) ovvero ancora con intento di “securizzazione” di
documenti (es. fatture elettroniche, informativa pre-contrattuale e
post-contrattuale richieste dalla normativa in tema di contratti a distanza
ovvero dei mercati finanziari) è da me condivisa.
Detto questo, dopo aver partecipato agli “Stati generali della firma digitale”, devo
ammettere di aver aderito alla considerazione lanciata dall’avvocato De
Giovanni, capo dell’ufficio legislativo del Ministero dell’innovazione e
della tecnologia, il quale paventa il rischio di una “iper-normazione” in
tema di firme elettroniche.
Normalmente le norme seguono i fenomeni e codificano i comportamenti, o meglio
le regole sottese ai comportamenti che il legislatore ritiene di voler far
assurgere al rango di norme valide erga omnes. In questo modo, si dice, c’è
la possibilità di avere un vaglio delle regole sulla base dell’esperienza e
di un ampia casistica che minimizzi il rischio di un assetto poco adatto all’uso
specifico.
Sono tantissimi gli esempi che si potrebbero fare di norme che hanno seguito i
fenomeni a distanza di tempo, codificando in qualche modo le regole che la
pratica ha fatto emergere. Per rimanere nel campo d’interesse di InterLex
basterebbe ricordare che la disciplina del software è stata introdotta
nel nostro ordinamento nel 1992, quella delle “banche di dati” nel 1999 e
quella sui “nomi a dominio” è del 2005 (!) con il nuovo Codice della
proprietà industriale.
Nel caso del documento informatico e delle firme elettroniche si è detto più
volte che non è possibile attendere che la giurisprudenza consolidi delle
massime d’esperienza, dato che è indispensabile stabilire delle regole di
funzionamento tecnico a priori, senza le quali non sarebbe possibile formare i
documenti informatici ed associare a questi le firme elettroniche. In questo
caso, il “metodo matematico” (o di common law) prende necessariamente
il sopravvento e le definizioni precedono la stratificazione delle regole, delle
fattispecie codificate.
Tuttavia, è anche vero che una “iper-normazione, “che tentasse di “ingabbiare”
tutti i fenomeni in rigidi schemi interpretativi, sarebbe forse velleitaria. Del
resto il nostro codice civile dedica solo pochi articoli alle “prove
documentali” e non si cura di entrare troppo nei dettagli. E’ stata
naturalmente la giurisprudenza a riempire di sostanza l’intelaiatura delle
norme codicistiche.
Nel caso nostro, bisogna ammetterlo, c’è un certo timore, da parte di taluno,
che i giudici non applicheranno le norme nel modo in cui sono state concepite, o
forse rispetto al paradigma delle infrastrutture a chiave pubblica da cui deriva
l’impiego delle firme elettroniche, o forse ancora rispetto a certi effetti
desiderati a livello di mera astrazione tecnica.
Tuttavia, al riguardo vale la pena di svolgere alcune brevi considerazioni:
- anche ricorrendo a norme dettagliate non v’è possibilità di limitare la
discrezionalità del giudice, sia in virtù del nostro sistema di processo
civile, che prevede espressamente l’equo apprezzamento del giudice, sia anche
perché le fattispecie sono infinite e non possono mai essere ricompresse nelle
norme che devono rimanere a carattere generale;
- è opportuno lasciare qualche grado di libertà al giudice dato che nessuno ha
oggi certezza di tutte le problematiche che sorgeranno a seguito dell’utilizzo
delle firme elettroniche e quindi un approccio eccessivamente “deterministico”
rischierebbe di essere controproducente per i casi – o meglio per le
conseguenze dell’impiego delle firme elettroniche – non previsti o
addirittura oggi non prevedibili;
- l’orientamento della giurisprudenza deve essere in qualche modo “sovrano”
nel senso che dovrà, almeno in parte, poter consolidare quelle regole di
massima che la società civile riterrà eque e corrette rispetto all’uso delle
firme elettroniche ed alla formazione di documenti informatici.
Detto questo, ritengo che sarebbe bene introdurre nel nostro ordinamento una summa
divisio, a livello definitorio, tra firme elettroniche quando utilizzate
a fine di sottoscrizione (elettronica) e quando, invece, utilizzate per altri
fini (identificazione, validazione a fini di sicurezza).
Per tale motivo, quanto ai fini differenti dalla
sottoscrizione elettronica, da collocare idealmente nella categoria “autenticazioni”
(per usare ancora una volta il termine con il significato che gli attribuiscono
i tecnici), mi sembrerebbe utile ripristinare la distinzione, presente nella
prima bozza del Codice dell’amministrazione digitale, tra:
- Identificazione informatica: intesa come processo volto a verificare l’identità
di un soggetto che accede ad una determinata risorsa informatica (non implica
sottoscrizione e non richiede necessariamente certificato qualificato; in
questo concetto rientra l’attuale “autenticazione informatica”);
- Validazione informatica: intesa come applicazione di una misura
informatica volta a rendere sicuro o stabile e non modificabile un documento
informatico, (diversa nello scopo ed eventualmente anche nella struttura dalla
firma elettronica semplice o qualificata);
- Autorizzazione informatica: intesa come verifica del potere d’accesso
ad una risorsa informatica riservata di un determinato soggetto.
E’ da notare, per inciso, che l’ultima definizione –
insieme a quella di “autenticazione informatica” – è utilizzata dal “Codice
in materia di protezione dei dati personali” il quale, tuttavia, non ne
fornisce una disciplina giuridica; sarebbe quindi importante colmare questa
lacuna, considerato che esse sono previste tra le “misure minime di sicurezza”
la cui mancata adozione configura una fattispecie penale.
Accanto agli istituti sopra richiamati, andrebbero confermati
– beninteso – quelli attuali della “firma elettronica”, della “firma
elettronica qualificata”, della “firma digitale” (tutti anche nella
formulazione attuale) e della “firma elettronica qualificata autenticata”
(oggi non definita e tuttavia disciplinata nel Codice), da collocare idealmente
nella categoria “sottoscrizioni elettroniche”.
Quale contro-bilanciamento alla predeterminazione “definitoria” degli
istituti (di “tipo matematico” o common law), ritengo che, quanto
agli effetti giuridici derivanti da tali istituti, sarebbe bene non eccedere nel
determinismo ed adottare – secondo la nostra tradizione – un sistema con
qualche grado di libertà, basato questa volta sull’analisi delle conseguenze,
affidato in pratica alla giurisprudenza che si verrà formando nel tempo.
In sostanza, per quanto riguarda l’inquadramento degli effetti giuridici
rispetto agli istituti sopra delineati, ritengo sarebbe bene mantenere una
fondamentale e generale “bipartizione” tra:
- istituti per i quali vi è una espressa e predeterminata validità
giuridica e efficacia quale mezzo di prova, stabilita a priori dal
legislatore: efficacia di scrittura privata ex art. 2702 cod. civ. per il
documento informatico sottoscritto con firma elettronica qualificata o digitale
e conseguente efficacia di forma scritta, quanto prevista a pena di nullità;
efficacia di scrittura privata autenticata ex art. 2703 cod. civ. per il
documento informatico sottoscritto con firma elettronica qualificata o digitale
di fronte al notaio o al pubblico ufficiale; efficacia di riproduzione meccanica
ex art. 2712 per le rappresentazioni informatiche;
- istituti per i quali è lasciata discrezionalità al giudice nel valutare
la validità giuridica e l’efficacia quale mezzo di prova: tutti i
rimanenti casi di impiego di firme elettroniche (semplici) e di strumenti di
identificazione e validazione informatica.
Tale soluzione potrebbe essere un buon compromesso volto ad assicurare, da un
lato, cittadinanza giuridica a tutta una serie di fenomeni informatici oggi noti
e largamente utilizzati, per i quali una definizione normativa a priori risulta,
invero, indispensabile; dall’altro lato, efficacia come mezzo di prova certa e
predeterminata solo per i casi ritenuti meritevoli dell’attribuzione del
massimo rilievo giuridico, lasciando – tuttavia – spazio alla giurisprudenza
per determinare l’efficacia da attribuire a tutti gli altri casi, in funzione
del livello di qualità e sicurezza realmente presentato, secondo quanto sarà
accertato dal giudice.
|
Pagina stampabile
