1.1. Nozione di documento elettronico o informatico
Si definisce tale il documento prodottodall’elaboratore
elettronico, e si distinguono:
a) documenti elettronici in sensoampio. Tutti quei documenti
formati dall’elaboratore mediante i propri organi di output. Ad es. un
tabulatocartaceo. Per essi non si pone evidendetemente il problema della
firmadigitale poiché possono essere sottoscritti.
b) documenti elettronici in sensostretto. Memorizzati
in forma digitale e non percepibilidall’uomo se non per il tramite dell’intervento
di elaboratori. Ad es. il file di testo memorizzato in un floppydisk o
trasmesso per posta elettronica. Per questi documenti si ponel’esigenza
delle firme digitali.
1.2. Imputabilità e integrità di undocumento
In generale, due sono gli aspetti fondamentali chesi
devono tenere presenti nell’esaminare il tema del documento (siatradizionale
che informatico) e delle firme digitali:
a) integrità, cioè la possibilità
diaccertare che il documento dal momento della sua formazione non ha subitomodifiche
- accidentali o intenzionali - di contenuto;
b) imputabilità,cioè la possibilità
di accertare la provenienza, l’autore deldocumento o, comunque, chi ne
assume la paternità.
1.3. Imputabilità e integrità deldocumento
cartaceo
Il documento cartaceo è considerato, entrocerti
limiti, un documento sicuro in quanto è possibile accertarnel’integrità
e la provenienza.
a) La verifica dell’integrità deldocumento cartaceo
è affidata alla materialità del supporto,normalmente la carta.
Altri tipi di supporto sono astrattamenteutilizzabili, purché posseggano
certi requisiti. Il supporto, al finedella funzione di verifica dell’integrità,
deve infatti essereindelebile - cioè non consentire cancellazioni
di quanto in esso scritto - o, comunque,mantenere traccia delle eventuali
alterazioni, in modo che qualsiasimodifica sia riconoscibile.
b) L’accertamento dell’imputazione di un documento cartaceo
è oggi affidato allasottoscrizione. Altri sistemi storicamente erano
utilizzati, ades. i sigilli. La sottoscrizione è l’apposizione autografa
delproprio nome in calce ad un documento di cui si vuole assumerne lapaternità.
Si presume che la sottoscrizione sia unica per ogni individuo, quindidifficile
da riprodurre e comunque non modificabile in quanto legata indissolubilmente
al supporto e nonriutilizzabile. Le risultanze della scienza grafologica
sono il naturalesupporto delle funzioni che si assegnano alla sottoscrizione.
1.4. Totale preminenza dell’elementomateriale nella documentazione
cartacea
Se distinguiamo tra:
a) elemento materialedel documento (il supporto-contenente),
cioè il mezzo nel quale èincorporata la scritturazione;
b) elemento spirituale o intellettuale (il suocontenuto),
cioè il pensiero materializzato nello scritto; vediamo che in ultima
analisi nel documentocartaceo l’elemento spirituale non avrebbe alcun valore
sedistaccato dall’elemento materiale. Perché anche la sottoscrizione
fonda la sua garanzia sul collegamento alsupporto. Le firme digitali, come
vedremo, consentono diinvertire tale rapporto.
1.5. Limiti della tecnologia finora normalmenteutilizzata
nella produzione e gestione di documenti informatici
Rispetto al documento cartaceo, il documentoinformatico
presenta le seguenti caratteristiche:
a) impossibilità di verificadell’integrità.
A differenza di un supporto cartaceo, le registrazioni effettuate in unsupporto
informatico sono di norma non indelebili e non consentono lariconoscibilità
di eventuali alterazioni. Ad es. in una proposta contrattuale spedita per
posta elettronica può essere cambiato ilprezzo senza lasciar traccia
accertabile;
b) impossibilità di accertamentodella provenienza.
A differenza di un supporto cartaceo, ildocumento informatico (pur essendo
dalla dottrina riconosciuto comedocumento scritto) non può essere
sottoscritto in modo tradizionale, mediante apposizione autografadel nome
e cognome dell’autore o di chi ne assume la paternità.L’indicazione
di un semplice nome può d’altra parte esserefacilmente cambiata.
1.6. Consequenziali aspetti giuridico-normativi
Esposte le caratteristiche, in termini disicurezza, sia
del documento cartaceo quanto di quello elettronico, si deveora esaminare
il loro rispettivo trattamento giuridico; e ciò mettendo in luce
come esso derivi logicamente ed imprescindibilmente dallecaratteristiche
fin qui tratteggiate.
Così, il documento scrittocartaceo, in ragione
della possibilità di accertarne laprovenienza e l’integrità
- in modi più o meno sicuri - ha daparte del legislatore una marcata
preferenza rispetto ad altre prove (es. orali); preferenzache nel codice
del 1942 si manifesta nel valore probatorio riconosciutoalla scrittura
privata (artt. 2702-2704 c.c.) e all’atto pubblico(art. 2699-2701 c.c.).
Per converso, al documentoelettronico, è riconosciuta una limitata
efficaciaprobatoria, proprio in ragione dell’impossibilità di accertarnecon
metodi altrettanto sicuri la provenienza e l’integrità.
1.7. Principali tesi che tentano di attribuirevalore giuridico
al documento elettronico
Diverse costruzioni tentano di attribuire valoregiuridico
al documento informatico sussumendolo sotto categorie giàesistenti
o, comunque, ricorrendo al procedimento di applicazione analogicadelle
norme (cioè proponendo l’applicazione di norme che regolano casi
simili o materie analoghe).
Non è questa la sede per trattarne estesamente,ma
ci si limiterà a rammentare le principali teorie, che richiamano
leseguenti fattispecie:
a) art. 2712 c.c., riproduzioni meccaniche(fotografiche,
cinematografiche, fonografiche, ed ogni altra rappresentazione meccanica
difatti e di cose); le quali formano piena prova se colui contro il qualesono
prodotte non ne disconosce la autenticità (conformità ai
fatti oalle cose rappresentate);
b) art. 2719 c.c., copie fotografiche di scritture (già
applicato dallaCorte di Cass. in relazione al fax), le quali hanno la stessa
efficaciadelle autentiche se la loro conformità con l’originale
èattestata da un pubblico ufficiale ovvero non èdisconosciuta;
c) art. 2705 c.c., telegramma, il quale è un documento
che può nonessere sottoscritto e cionondimeno possedere il valore
della scritturaprivata, purché l’originale sia stato consegnato
o fattoconsegnare dal mittente all’ufficio di partenza. Ulteriori spunti
interpretativi potrebbero poisorgere dalla recente modifica dell’art. 807,
comma 2, c.p.c. (l25/1994) in tema di arbitrato, dove si dice che la forma
scritta èrispettata anche se è adoperato il telegrafo o la
telescrivente.
Tutte teorie che finora si sono scontrate con leinsuperabili
limitazioni del documento elettronico che, come giàdetto:
a) in quanto non risiede su un supporto durevolecome
la carta non dà garanzie della sua integrità;
b) in quanto non sottoscrivibile non dàgaranzie
della sua provenienza.
Le conclusioni della dottrina prevalente sono,quindi,
che il documento elettronico non può avere il valore di scrittura
privata e nemmeno il valore di atto pubblico(a causa anche delle rigide
prescrizioni della legge notarile).
In particolare, per quanto riguarda l’attopubblico fomato
dalle P.A., vanno però considerate le seguentinorme:
- art 3, comma 2, d.l. 39/1993, (in materia disistemi
informativi automatizzati delle amministrazioni pubbliche), prevedeche
la «firma autografa [...] è sostituita dall'indicazione a
stampa, sul documento prodotto dal sistemaautomatizzato, del nominativo
del soggetto responsabile» (documentoelettronico in senso ampio);
- art. 6, comma 5, d.p.r. 367/1994, (sul mandatoinformatico
di pagamento), impone «modalità atte ad assicurare laprovenienza,
l'intangibilità e la sicurezza dei dati»;
- art. 17 dello stesso d.p.r., prevede che per imandati
informatici sia «accertata la validità dell'autenticazioneelettronica»;
- art. 1, comma 87, l. 549/1995, (leggefinanziaria per
il 1996), recita che «la firma autografa prevista dallenorme che
disciplinano i tributi regionali e locali sugli atti diliquidazione e di
accertamento è sostituita dall’indicazione a stampa del nominativo
del soggettoresponsabile, nel caso che gli atti medesimi siano prodotti
da sistemiinformativi automatizzati».
1.8. Tecnologie che consentono una limitata attribuzione di valore al documento elettronico
1.8.1. Memorie WORM
Un discorso particolare va fatto per le memorieottiche,
i cosiddetti CD-ROM WORM (Write Once Read Many).
La legge finanziaria n. 537/1993, art. 2 comma 15,stabilisce
la possibilità di usare supporti ottici per la conservazioneed esibizione
di documenti per finalità amministrative e probatorie; ladeliberazione
dell’AIPA del 28/7/1994 stabilisce le modalità di conservazione
dei documentiin supporti ottici; l’art. 2220, comma 3° c.c. (aggiunto
dal d.l. 357/1994 convertito in l. 489/1994) permette laconservazione delle
scritture contabili su supporti ottici; molte altrenorme ammettono l’uso
dei supporti ottici riconoscendo loro valoregiuridico a diversi fini.
Le caratteristiche dei supporti ottici, muovendosisempre
sulla base dello schema fin qui seguito, sono le seguenti:
a) Integrità. Inragione della loro indelebilità
consentono la verifica dell’integrità di quanto in essi contenuto
in modo analogo ad un tradizionalesupporto materiale cartaceo.
b) Imputazione. In quanto supporti elettronicinon sono
direttamente sottoscrivibili e non consentono quindi l’applicazione del
criterio di verifica della provenienza basato sullesottoscrizioni.
Ad una parziale sicurezza si ricollega pertanto ilriconoscimento
di un’efficacia probatoria non completa: il contenutodi un CD-ROM WORM
non è certo suscettibile di assumere un generale valore di scrittura
privata o di atto pubblico, eccetto i limitati casiespressamente previsti.
In conclusione, nelle memorie WORM si crea lostesso legame
fisico tra contenente e contenuto proprio dei tradizionalisupporti cartacei
e quindi si presentano gli stessi limiti, in più senza poter essere
sottoscritti. Infatti, il contenuto non può essereseparato dal contenente
senza perdere valore giuridico. Ad es. trasmissionetelematica per posta
elettronica. La copia di un documento cartaceo -passaggio del contenuto
da un contenente in un altro contenente - richiede idoneegaranzie perché
si mantenga il valore probatorio (artt. 2714-2719 c.c.). Diversamente,come
vedremo, un documento elettronico con firma digitale non fonda la suasicurezza
su un supporto materiale, ma è autogarantito, se cosìpuò
dirsi.
1.8.2. Firme digitali e firme biometriche
E’ stato sostenuto che sarebbe possibileeffettuare delle
sottoscrizioni elettroniche mediante l’impiego dilavagne magnetiche oppure
mediante il riconoscimento di altri dati biometrici (ad es. impronte digitali,
vasi sanguigni dellaretina, ecc.).
Per chiarire la terminologia impiegata e perevitare confusioni,
queste firme sono qui definite come biometriche, in contrapposto a quelle
ottenibili con lacriptografia che sono invece definite come digitali.
Le caratteristiche di queste firme biometriche,muovendosi
ancora sulla base dello schema fin qui seguito, sono leseguenti:
a) Integrità. Nonè garantita, dato che
come è noto il supporto elettronico non èdurevole e non consente
quindi la riconoscibilità di eventualialterazioni del documento
elettronico.
b) Imputabilità. Nonè nemmeno garantità
a causa della mancanza della garanzia diintegrità. La firma biometrica
può essere copiata e riutilizzata, a differenza di una firma digitale,
laquale - pur provenendo da uno stesso soggetto - è unica per ognidocumento.
La riutilizzabilità delle firme biometricheimpedisce
anche che esse siano efficacemente combinate con le memorie WORMche invece
consentono un controllo dell’integrità, pur limitatoal legame con
il supporto.
Come si dimostrerà tra breve, in realtà
le firme biometriche hanno lastessa funzione dei PINs (Personal Identification
Numbers), delle passwordse delle carte telematiche.
1.8.3. PINs, passwords, carte telematiche
E’ indispensabile distinguere le diversefunzioni attuate
da differenti tecniche per evitare di giungere aconclusioni fuorvianti
sul piano giuridico.
a) Funzione di PINs, passwords edati biometrici. Consiste
nel controllo e limitazionedell’accesso ai sistemi informatici (identificazione
dell’utente di un computer = accertamento dell’identità personale).
In altri termini, verifica dellacorrispondenza biunivoca tra un soggetto
ed i suoi dati identificativi.
b) Funzione delle firmedigitali. Consiste nella creazione
di documenti elettronici dicui è possibile accertare l’integrità
e la provenienza(imputabilità della dichiarazione materializzata
nel documento elettronico =accertamento ex post dell’autore di undocumento).
Nel primo caso non viene ancora compiuto alcun atto (si
vuole
soloaccertarne la legittimazione, ad es. inserimento della carta e del
PIN inuno sportello BANCOMAT); nel secondo caso si tratta di identificareex
post l’autore di un atto gia compiuto, cioè chi ha emesso la dichiarazione.
La semplice richiesta ed esibizione di unapassword non
consente certo di attribuire in generale al documentoelettronico che ne
deriva l’efficacia probatoria di un documento sottoscritto. Solo in presenza
dispecifici accordi contrattuali, si potrà riconoscere valore probatorioalle
risultanze di memorie elettroniche modificate da determinate personeautorizzate
dall’inserimento di una password, come accade per il giornale di fondo
delBANCOMAT e nell’EDI.
In piena coerenza con quanto detto, la dottrinaprevalente
qualifica, infatti, le carte bancarie come documenti dilegittimazione,
cioè utilizzabili unicamente per identificare l’avente diritto alla
prestazione.
1.8.4. Combinazione di firme biometriche e firmedigitali
Le chiavi private sonodei dati difficilmente - anzi del
tutto impossibile - da ricordare amemoria, quindi vanno archiviate a loro
volta in supporti informatici. Ecome tali, sono suscettibili di un uso
non autorizzato da parte di nontitolari.
Per superare questo grave limite, le firmebiometriche,
attuando la funzione loro propria di controllo degli accessiai sistemi
informatici, potrebbero allora essere utilizzate per escluderel’impiego
delle chiavi private da parte dei non titolari, realizzando appienoil principio
dell’esclusività del mezzo tecnico sul qualedovrebbe in ultima analisi
basarsi un sistema di autenticazione per firmedigitali.
Ad es. si potrebbe immaginare una carta amicroprocessore
che contiene al suo interno la chiave privata dell’utente e che è
attivabile solo quando riconosce autonomamente l’impronta digitale del
suo titolare.
2. Risultati che si possono ottenere con le firmedigitali
2.1. Accertamento dell’imputabilità eintegrità
del documento elettronico
Le firme digitali consentono di superare i limitidel
documento elettronico che sono stati fin qui delineati. Seguendo ilsolito
schema, si può fin d’ora dire che:
a) con riguardo all’imputabilità. Da una firma
digitale apposta ad un documentoelettronico si può risalire con
certezza - quantomeno con un grado di certezza moltoprobabilmente superiore
a quello offerto da una sottoscrizione - al nomedella persona alla quale
la firma stessa è collegata. Si parla a questoproposito anche di
non ripudio del documento, in quanto l’autore nonpuò più
efficacemente sostenere di non conoscerlo. Questo è il nonripudio
da parte dell’origine, più problematico è invece il non ripudio
da parte del destinatario.
b) con riguardo all’integrità. Un documento elettronico
al quale è stataapposta una firma digitale viene come «sigillato»,
per cui qualunque modifica successiva - anche di un solo bit,intenzionale
o accidentale - è rilevabile immediatamente.
2.2. Consequenziali aspetti giuridici
Una volta che al documento informatico siriconoscono
le stesse garanzie che possiede la documentazione cartacea(cioè
possibilità di accertare l’integrità e l’imputazione), allora
non ci sono motivi per non attribuirgli lo stessovalore probatorio che
al documento cartaceo stesso è oggiriconosciuto.
Quindi, riconoscere al documento elettronico ilvalore
di scrittura privata - più semplicemente - e il valore di attopubblico
- più difficilmente data l’esistenza della leggenotarile.
Tutto ciò è, comunque, subordinatoall’’emanazione
di un atto normativo che disciplini alcuniaspetti fondamentali.
Si tratterà ora cosa sono e come funzionano le
firme digitali, per poiriprendere il discorso degli aspetti giuridici.
3. Cosa sono le firme digitali e come funzionano
3.1. La criptografia
Criptare un testo significa applicare ad esso un algoritmo
che, inrelazione ad una certa variabile (chiave di criptazione), lo trasforma
inun altro testo incomprensibile ed indecifrabile da parte di chi nonpossiede
la chiave. La funzione è reversibile, per cui l’applicazione dello
stesso algoritmo e dellachiave al testo cifrato restituisce il testo originale.
La criptazione è stata inventata ed utilizzataoriginariamente
per scopi di segretezza nella trasmissione di messaggimilitari. I primi
sistemi utilizzati per questo scopo sono detti:
a) sistemi simmetrici dicriptazione. In questi, la stessa
chiave di criptazione èusata prima per criptare e poi per decriptare
(ad es. DES). Per superare i problemi di gestione della chiavi, che ponevano
gli stessiproblemi di segretezza nella loro trasmissione, sono stati inventati
(nel1976) i:
b) sistemi asimmetrici o a chiavepubblica.
Così detti perché l’algoritmorichiede l’applicazione
di chiavi diverse per la criptazione e perla decriptazione (ad es. RSA,
impiegato nel noto software Pretty GoodPrivacy).
Un algoritmo di tal genere funziona con coppie dichiavi:
ciò che una chiave cripta, l’altra decripta. Una dellechiavi è
destinata a restare segreta ed utilizzabile solo dal legittimotitolare
(chiave privata); l’altra (chiave pubblica) deve essere resa pubblica con
i piùdiversi mezzi, ad es. key repository on-line.
3.2. La criptografia asimmetrica
3.2.1. Criptografia asimmetrica a scopo di segretezza
La criptografia asimmetrica può quindi essereutilizzata,
in primo luogo, a scopo di segretezza, per trasmettere messaggiconfidenziali,
superando i problemi di gestione delle chiavi.
Il mittente cripta con la chiave pubblica del destinatario;
quest’ultimo decripta con la propria chiave privata. Ad esempio, se Tiziodesidera
inviare un messaggio segreto a Caio, senza preoccuparsi diinviargli anche
la chiave:
a) Tizio, in primo luogo, cripta il messaggioimpiegando
la chiave pubblica di Caio, che si sarà procurato consultandoun
database on-line;
b) Tizio trasmette il messaggio criptato, il quale non
può esserecompreso da alcuno;
c) Caio, ricevuto il messaggio, applica la sua chiave
privata(corrispondente a quelle pubblica utilizzata prima da Tizio) e decripta
ilmessaggio.
3.2.2. Criptografia asimmetrica a scopo diautenticazione
- Firma digitale
La criptografia asimmetrica, oltre allapossibilità
di trasmettere messaggi segreti, consente, come si èripetutamente
detto, anche di autenticare i documenti elettronicipermettendo l’accertamento
della loro integrità e imputabilità.
L’impiego delle chiavi private e dellechiavi pubbliche
qui si inverte. Infatti, il mittente cripta con la propriachiave privata;
mentre il destinantario decripta con la chiave pubblica delmittente.
Una firma digitale èquindi un insieme di bits,
di caratteri alfanumerici, risultato dell’applicazione di una chiave privata
e di un algoritmo di criptazioneasimmetrica ad un documento informatico
(sia in esso indifferentementerappresentato un testo, un immagine, un suono
o qualunque altrainformazione suscettibile di essere digitalizzata).
La verifica della firma digitale avvieneapplicando la
corrispondente chiave pubblica. Se la verifica è positiva,si potrà
essere certi:
a) dell’imputabilità, cioè dellaprovenienza
del documento (da una persona che ha la disponibilità dellacorrispondente
chiave privata);
b) e della sua integrità, dal momentodell’apposizione
della firma digitale stessa.
Ad esempio, se Tizio desidera inviare per posta elettronica
(oppure unfloppy disk per posta tradizionale) una proposta contrattuale
a Caio:
a) Tizio, in primo luogo, calcola con un computer la
firma digitaleapplicando la propria chiave privata al messaggio;
b) Tizio trasmette a Caio il messaggio (può anche
criptarlo con lachiave pubblica di Caio per renderlo segreto);
c) Caio, ricevuto il messaggio, applica alla firmadigitale
la chiave pubblica di Tizio e confronta il risultato con ilmessaggio. Se
la verifica è positiva Caio avrà la certezza che il messaggio
proviene da Tizio (imputazione) e che non hasubito alterazioni dovute ad
errori di trasmissione o ad interventi umani(integrità). Inoltre,
Tizio non può efficacemente sostenere di non aver inviato il messaggio
(non ripudio),dato che la firma digitale in questione può essere
stata generata soloimpiegando la chiave privata di Tizio.
La firma digitale può poi essere di due tipi:
a) firma con ricostruzione delmessaggio. Il messaggio
è la stessa firma che, nello stessomomento, con la decriptazione,
viene reso leggibile e verificato quantoalla sua autenticità;
b) firma con appendice. La firma è calcolatasu
una sorta di sintesi del messaggio (detta hash) e quindi annessa come appendice
al messaggio intero e in chiaro.
3.2.3. Limiti della criptazione simmetrica aifini dell’autenticazione
Le certezze (imputazione e integrità) fornite
dalla criptografia asimmetrica-firma digitale non sono ottenibili evidentemente
conla criptazione simmetrica. Anche se la chiave unica fosse conosciuta
soloda due soggetti (ad es. proponente ed accettante) sarebbe impossibiledimostrare
che il messaggio criptatoed inviato abbia un certo contenuto. Il destinatario
- che invece in cuorsuo può avere queste certezze - potrebbe creare
un nuovo messaggio,criptarlo e poi sostenere che proviene dall’altro soggettoconoscitore
dell’identica chiave. Manca, quindi, nella criptazione simmetrica il requisitoessenziale
dell’unicità di utilizzo della chiave, la cosiddettaesclusività
del mezzo tecnico.
3.2.4. I Certificati
Si è dimostrato che la verifica di una firmadigitale
dà la certezza che il documento è stato prodotto impiegandouna
certa chiave privata (imputabilità) e che non ha subito alterazioni(integrità).
Di per sé non fornirebbe però alcuna informazione certa sul
nome della personache appare come autore del documento. Chiunque potrebbe,
infatti, crearedelle coppie di chiavi e associarle al nome di un’altra
persona reale o di fantasia - inserirle in un key repository - equindi
utilizzarle per firmare documenti così non autentici (sebbeneintegri).
E’ il fondamentale problema dellacorrispondenza tra coppie
di chiavi e identità personali, la cuisoluzione è stata trovata
con il sistema dei certificati.
Un certificato è undocumento elettronico che associa
una chiave pubblica ad una certaidentità personale, previamente
accertata da soggetti od organizzazioniautorizzate (Autorità Certificanti).
Un certificato contiene essenzialmente una chiavepubblica,
un nome di persona corrispondente, informazioni sulla scadenzadella chiave
(eventuale revoca) e principalmente - a garanzia dell’autenticità
del tutto - la firma digitale della Autorità
Certificante stessaapplicata alle informazioni suddette.
Il certificato non può essere inviato dallostesso mittente del messaggio
- in quanto la chiave potrebbe essere statarevocata - ma deve essere fornito
- idealmente per via telematica - dallastessa AC.
4. Valore giuridico della «sottoscrizionedigitale»
4.1. Il documento immateriale
Si è detto finora come funzionano le firmedigitali
ed i risultati che si è in grado di ottenere:
a) integrità, ed
b) imputabilità del documento elettronico, con
un grado disicurezza non inferiore a quanto offerto dalla tradizionale
documentazionecartacea con sottoscrizione.
Il tutto, indipendentemente da qualsasi tipo disupporto.
La firma digitale infatti non fonda le sue garanzie sull’inalterabilità
di un supporto materiale (contenente), ma solo sul modo di essere di certicontenuti.
In altri termini un’autenticazione basata solo sustrumenti software e non
hardware. Quindi, creazione di documenti del tuttoimmateriali, duplicabili
e trasmettibili senza che perdano il loro valore; con un contenuto completamentesvincolato
dal contenente; un contenuto che è libero di passare da uncontenente
ad un altro mantenendo tutte le sue garanzie di autenticità.
Ad es. un contratto potrebbe essere distribuitoin tanti
«originali» a tutte le parti e da queste duplicato e conservato
nel proprio hard disk;un certificato amministrativo rilasciato in forma
elettronica potrebbeessere trasmesso per posta elettronica e duplicato
tutte le volte che sivuole restando sempre «originale»; un
documento di identità contenente anche la fotografia e altridati
personali potrebbe essere conservato ed esibito a richiesta in unfloppy
disk.
4.2. Quadro normativo necessario
Una volta che al documento informatico siriconoscono
le stesse garanzie che possiede la documentazione cartacea,allora non ci
sarebbero ostacoli per non attribuirgli lo stesso valoreprobatorio che
al documento cartaceo stessoè oggi riconosciuto: cioè il
valore di scrittura privata e di attopubblico.
Non esiste però in Italia alcuna norma sullefirme
digitali, né la questione si è posta davanti ad alcuna cortegiudiziaria.
Ad esempio, Tizio presenta un documentoelettronico (tipicamente
una proposta contrattuale) in giudizio, sostenendoche è stato sottoscritto
da Caio, e pretende l’adempimento. Il giudice verifica positivamente la
firma digitale con lachiave pubblica che Tizio sostiene essere di Caio.
Il giudice non puòritenere così provata la pretesa perché:
1) la firma digitale può essere stata generatadallo
stesso Tizio o da altri. Occorrono, pertanto, delle garanzie circa la realeappartenenza
della chiave a Caio. Quindi norme che disciplinano l’emissione delle coppie
di chiavi e la loro certificazione da parte disoggetti autorizzati ad attribuire
pubblica fede ai certificati così emessi (ad es. notai); (funzioneindicativa)
2) la chiave privata utilizzata per firmare ildocumento,
anche se a nome di Caio, può essere stata cedutavolontariamente
ad altri e da questi utilizzata oppure copiata. Quindi,norme che vietino
l’uso delle chiavi da parte dei non titolari e prevedano un onere di custodiae
segretezza a carico dei titolari (esclusività di uso dell’apparato
tecnico); inoltre, è indispensabile una norma che preveda unapresunzione
(controvertibile) di provenienza della firma digitale da parte del soggettocollegato
alla chiave pubblica certificata da utilizzare per la verifica;(funzione
probatoria)
3) dove è detto che il calcolo di una funzionematematica
come una firma digitale concretizzi l’intenzione diassunzione della paternità
del documento elettronico al pari di una sottoscrizione? (funzionedichiarativa).
Quindi, norme che stabiliscano che l’apposizione diuna firma digitale in
un documento elettronico comporta l’assunzionedella paternità dello
stesso con tutte le conseguenze in termini di nascita diobbligazioni e
prodursi di effetti reali propri di una tradizionalesottoscrizione.
Alcune norme in realtà non sarebbero veramene
necessarie in quantopotrebbero ricavarsi per interpretazione da diposizioni
vigenti. Inparticolare, dalle norme codicistiche sulla scrittura privata
che, data laloro generalità, non fanno nemmeno espresso riferimento
né alla documentazione cartaceané alla sottoscrizione autografa,
elementi dati per scontati all’epoca del codice. Un provvedimento generale
sulle firme digitali è comunque auspicabile per esigenze di chiarezza
nell’affrontare untema così nuovo e scottante.
4.3. Accordi contrattuali sul valore probatoriodelle firme
digitali
In mancanza di un quadro normativo del tipo suddetto,
si potrebbericonoscere un valore probatorio alle firme digitali solo sulla
base diaccordi contrattuali delle parti interessate; accordi simili ai
cosiddettiinterchange agreementes utilizzati in campo EDI.
Sotto il profilo probatorio tali accordi rientranonell’art.
2698 c.c., in quanto costituiscono un’inversioneconvenzionale dell’onere
della prova: una presunzione juris tantum (che ammette cioè la prova
contraria) riguardante il fatto che unacerta firma digitale è da
ricollegarsi ad un certo soggetto (partedell’interchange agreement).
Dal punto di vista della forma si tratta diaccordi che
rientrano nell’art. 1352 c.c. disciplinante le formeconvenzionali (ne consegue
l’applicabilità dell’art. 2725,comma 1 c.c. che limita il ricorso
alla prova testimoniale).
4.4. Assente un quadro normativo ed ancheassente una base
contrattuale
Sarebbe tutto rimesso all’iniziativaprobatoria dell’attore,
il quale, esibendo un documento elettronico con firma digitale,dovrebbe
secondo le regole generali provarne anche la provenienza dalconvenuto e
la sua integrità; senza potersi avvalere di alcunapresunzione, né
di alcuna inversione dell’onere della prova del tipo di quelle prime esposte.
Peraltro, la presenza di una firma digitale -meglio se
certificata - può, unita ad altre prove, contribuire allaformazione
del libero convincimento del giudice.
Inoltre, potrebbe costituire principio di prova per iscritto
e quindiconsentire la deroga al divieto della prova testimoniale e per
presunzioni(artt. 2729, comma 2 c.c. e 2724, n.1 c.c.).
4.5. Atto pubblico
Un pò più complesso sarebbe attribuire
ilvalore di atto pubblico notarile ad un documento elettronico con firmadigitale.
Ciò a causa dell’esistenza di una leggenotarile
(l. 89/1913) che disciplina molto dettagliatamente la formazioneed i requisiti
dell’atto pubblico. Si tratterebbe quindi di operare quegli aggiustamentinecessari
nel corpo della stessa legge notarile o, forse meglio, elaborareun corpo
di norme parallelo alla stessa legge notarile e destinato alladocumentazione
elettronica.
5. Applicazioni delle firme digitali
Le applicazioni delle firme digitali sono dirilevanza
enorme; tali da condurre ad una rivoluzione epocale nel nostromodo di vivere
e portare a compimento il passaggio dalla societàindustriale alla
società dell’informazione.
Per ora - ma chi sa quali altre applicazionisaranno ideate
- si possono esemplificare, tra le tante, le seguentiapplicazioni:
1) creazione di documenti elettronici come attipubblici;
2) creazione di documenti elettronici come scritture
private;
2 bis) Attribuzione di data certa al documentoelettronico,
mediante i servizi di Digital Time Stamping;
3) documenti elettronici come patenti di guida ocarte
d’identità;
4) trasmissione telematica di certificazioni amministrative
5) modifica telematica di archivi importanti (ades. Conservatorie
dei Registri Immobiliari e Registro delle Imprese);
6) denaro elettronico (ecash);
7) adempimenti richiesti dalla emananda normativasulla
tutela dei dati personali;
8) protezione dei diritti d’autore;
9) e naturalmente segretezza ed autenticitànella
trasmissione di ogni tipo di informazione (ad es. telefonia - vedi ilPGPphone
- e videoconferenza digitali).
6. Standards e norme
Si ricordano:
- ITU, RecommendationX.509 - The Directory Authentication
Framework (11/93), unostandard di certificazione basato su una gerarchizzazione
delle autoritàcertificanti.
Conformi ad esso sono:
- lo standard PEM(Privacy Enahanced Mail)adottato dall’Internet
Architecture Boardcome sistema per fornire sicurezza alla posta elettronica
in Internet;
- il Digital SignaturesAct dello Utah del 1995, la prima
legge che ha regolato unsistema di autenticazione per firme digitali;
- la figura del Cybernotary delineata dall’American Bar
Association.
Leggi sulle firme digitali sono state emanateanche in
California e nello stato di Washington. Progetti di legge sonoallo studio
in Florida e Georgia; l’ABA ha elaborato leDigital Signature Guidelines,
quale modello per le legislazioni da adottare in materia.
In Italia non è stato elaborato ancora alcunprogetto
di legge sulla materia. Si accenna semplicemente, in modo neanchetanto
diretto, alle firme digitali in un paio di progetti relativi aldocumento
elettronico in generale (schema di disegno di legge sul documento informatico
elaboratodal CED della Corte di Cassazione, dove si parla di «codicio
altre indicazioni di identificazione»; proposta di legge relativa
al riconoscimento del documento elettronicoelaborata dal gruppo normativo
di EDIFORUM, dove viene definital’espressione firma elettronica come un
«codice informatico che, direttamente associato ad un insieme di
dati,permette di assicurare sia l’identificazione e l’autenticazione del
mittente, sia l’integrità dei datitrasmessi»). Basato sulla
criptografia asimmetrica è ancheil protocollo di autenticazione
e segretezza SSL (Secure Socket Layer) integrato nel browser Netscape.
Sistemi diautenticazione sono integrati anche nel nuovo protocollo IPng
(Next Generation Internet Protocol) elaborato dall’Internet Engineering
Task Force.
7. Rischi di un sistema di autenticazione per firme digitali
Un sistema di autenticazione per firme digitalinon possiede
una sicurezza assoluta. La sua sicurezza si basa sul concettodi complessità
computazionale: non è impossibile decifrare una firmadigitale, ma
è ragionevolmente impossibile farlo in tempo utile, in modo che
lafalsificazione imporrebbe costi superiori ai vantaggi che se nericaverebbero.
Se si scoprisse una tecnica matematica checonsentisse
di risalire rapidamente dalla chiave pubblica alla chiaveprivata tutto
il sistema crollerebbe. Ma a detta dei matematici ciò èmolto
improbabile che accada. Il fisiologico aumentare della potenza dell’hardware
impone poidegli aggiornamente periodici della chiavi e dei documenti firmati
per farein modo che restino sicuri.
Infine, sussistono sempre i rischi di sottrazionidelle
chiavi private e di frodi a danno e da parte delle autoritàcertificatrici.
Il sistema non è quindi infallibile, ma èmolto
probabilmente più sicuro dell’attuale sistema basato sulbinomio
carta-sottoscrizione. Quest’ultimo è stato finora il sistema di
autenticazione predominante forse proprioperché non si ponevano
alternative altrettanto affidabili.
© 1996 - JeI