1. Premessa
L'ordinamento italiano disciplina attualmente una pluralità di forme attraverso cui si può realizzare un documento informatico ed attribuisce efficacia e rilevanza giuridica differente ad ognuna di esse in funzione dell'utilizzo o meno di una firma elettronica nonché in funzione del grado di sicurezza e protezione che ciascuna è in grado di assicurare al titolare nonché ai terzi. In altri termini si può dire che l'ordinamento italiano, dopo il recepimento della direttiva 1999/93/CE, riconosce efficacia giuridica ad una pluralità di fenomeni informatici, attribuendo a ciascuno una diversa rilevanza in funzione del grado di sicurezza garantito. Per alcuni fenomeni giuridici l'efficacia giuridica è predeterminata dal legislatore in presenza di determinati requisiti; per altri fenomeni giuridici, viceversa, l'efficacia giuridica deve essere stabilita dal giudice in funzione dei requisiti di qualità e sicurezza accertati dal medesimo.
Posto quanto sopra risulta necessario condurre un esame dettagliato delle caratteristiche di ciascuno dei componenti necessari per realizzare una firma elettronica e procedere quindi, sulla base della qualificazione giuridica che il nostro ordinamento attribuisce a ciascuno di essi, alla determinazione del rilievo giuridico attribuibile nel suo complesso alla firma elettronica risultante. La diversa qualificazione giuridica di ciascun componente concorre a determinare, infatti, l'efficacia attribuibile al risultato finale, con una graduazione progressiva del rilievo giuridico riconoscibile ai diversi fenomeni informatici oggetto di disciplina.
Al fine dell'indagine oggetto del presente documento risulta indispensabile una ricognizione del quadro normativo presente nel nostro ordinamento, frutto di una stratificazione di norme succedutesi nel tempo, talvolta in modo non lineare e coordinato, e soprattutto ispirate talvolta a principi differenti.
2. Quadro normativo di riferimento
La direttiva 1999/93/CE del Parlamento europeo e del Consiglio relativa ad un quadro comunitario per le firme elettroniche, approvata il 13 dicembre 1999 e pubblicata nella Gazzetta Ufficiale delle C.E. n. L 13 del 19 gennaio 2000 (nel seguito: la Direttiva), ha avuto un impatto significativo, e per certi versi dirompente, sulla disciplina del documento informatico e della firma elettronica presente nel nostro ordinamento.
Brevemente, vale la pena di ricordare che la Direttiva era volta a determinare un quadro di riferimento comune per agevolare l'uso delle firme elettroniche e contribuire al loro riconoscimento giuridico, anche come mezzo di prova, nei Paesi Membri, senza tuttavia entrare nel merito degli aspetti che disciplinano la conclusione e la validità dei contratti e degli altri obblighi giuridici, come disciplinati in ciascun Paese membro, anche in riferimento a particolari requisiti di forma, né pregiudicare norme e limiti che disciplinano l'uso dei documenti contenuti nel diritto nazionale o comunitario di ciascun Paese membro.
La Direttiva è stata recepita nel nostro ordinamento con il Decreto Legislativo 23 gennaio 2002, n. 10: «attuazione delle direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche» (nel seguito: il DLgs 10/2002) cui ha fatto seguito di recente l'emanazione del Decreto del Presidente della Repubblica 7 aprile 2003, n. 137: «disposizioni di coordinamento in materia di firme elettroniche a norma dell'art. 13 del decreto legislativo 23 gennaio 2002, n. 10» (nel seguito: DPR 137/2003).
In effetti, l'ordinamento italiano già prevedeva, alla data dell'approvazione della Direttiva, un quadro di riferimento piuttosto completo in tema di documento informatico e firma digitale, frutto degli interventi normativi precedenti che si erano completati nell'arco di un biennio tra il 1997 ed il 1999.
La legge 15 marzo 1997, n. 59 (1), in particolare il notissimo art. 15, comma 2, il DPR 10 novembre 1997, n. 513 (2)(nel seguito: DPR 513/97) ed il DPCM 8 febbraio 1999 (3)(nel seguito: Regole Tecniche) avevano consentito di definire in modo compiuto strumenti, tecnologie, attori ed effetti giuridici del documento informatico e della firma digitale. Tale quadro risultava essere non solo completo ed armonico, ma anche uno dei primi esempi di legislazione del diritto del ciberspazio a livello europeo.
Come noto, il DPR 513/97 ha avuto una vita brevissima dato che è stato quasi subito abrogato a seguito dell'emanazione del DPR 28 dicembre 2000 n. 445 (4)(nel seguito: Testo Unico), il quale ha operato un coordinamento delle diverse disposizioni legislative e regolamentari in tema di documentazione amministrativa, inclusa l'attività di certificazione, documento informatico e firma digitale, senza tuttavia modificare il quadro normativo precedente (salvo una vistosa deroga in tema di forma ed efficacia del documento informatico contenuta nell'art. 10 di cui si parlerà nel seguito).
Ora, mentre l'ordinamento italiano giungeva a definire un quadro certo e definito dei servizi di certificazione e della firma digitale il recepimento della Direttiva irrompeva sulla scena europea ponendo un serio problema di armonizzazione della disciplina preesistente con i diversi principi a cui si ispirava il quadro comunitario.
Mentre il legislatore italiano aveva operato una scelta netta a favore della crittografia a chiave pubblica (Hellmann e Diffide, Stanford, 1978), prevedendo un unico tipo di firma (digitale), basata su certificati rilasciati da certificatori iscritti nell'elenco pubblico tenuto dall'AIPA, necessariamente in possesso di particolari requisiti oggetto di verifica preventiva da parte di un organismo pubblico, il legislatore comunitario operava scelte differenti, in particolare ampliando il novero delle firme elettroniche possibili (adottando addirittura un lessico differente da quello italiano) e liberalizzando completamente l'attività di prestazione dei servizi di certificazione pur stabilendo una serie di requisiti comuni.
Senza dilungarsi troppo nelle ragioni di tali diverse scelte (fondamentalmente dovute all'approccio anti-monopolistico che permea tutta la legislazione comunitaria ed anche in virtù di un vistoso compromesso tra le istanze di quei Paesi, soprattutto nordici, che avevano già scelto di adottare firme cd. «leggere» e quelle dei Paesi, Italia, Spagna e Francia, che viceversa avevano scelto di adottare firme cd. «pesanti» o «sicure») alcuni dei principi più importati a cui la Direttiva si ispira, e che determinano l'assetto normativo risultante, possono essere sintetizzati come segue: i) approccio tecnologicamente neutro; ii) prestazione dei servizi di certificazione non soggetta ad autorizzazione preventiva alcuna e senza limitazione di numero; iii) accreditamento facoltativo per i prestatori dei servizi di certificazione; iv) creazione di un quadro comune per il riconoscimento legale delle firme elettroniche; v) ammissibilità come mezzo di prova in giudizio; vi) coesistenza di una duplice tipologia di firme: firme elettroniche e firme elettroniche avanzate; vii) pieno rispetto della tutela dei dati personali; viii) necessità di fare riferimento alle leggi dei singoli Paesi membri per quanto riguarda la conclusione e la validità dei contratti e degli altri atti giuridici; ix) libera circolazione dei servizi e dei dispositivi all'interno della comunità ed apertura alla prestazione dei servizi, sulla base del rispetto di condizioni analoghe, da parte di certificatori stabiliti in paesi extraeuropei.
Il Dlgs 10/2002 è intervenuto dunque, in attuazione degli obblighi comunitari a cui il nostro Paese è soggetto, a modificare il nostro ordinamento al fine di conformarlo ai principi contenuti nella Direttiva. In particolare, esso ha modificato in parte il DPR 445/2000 ove risultava necessario, ed in parte ha introdotto nel nostro ordinamento nuove disposizioni. Come detto, al fine del completo recepimento della Direttiva si è reso necessario emanare un secondo provvedimento, il DPR 137/2003, il quale ha apportato ulteriori modifiche al DPR 445/2000.
Ad oggi le norme in tema di documento informatico e firma elettronica (5)(nonché prestazione di servizi di certificazione) sono costituire di conseguenza dal DPR 445/2000, come risulta modificato dai due provvedimenti citati di recepimento della Direttiva, nonché da alcune disposizioni dello stesso DLgs 20/2002 che godono di efficacia autonoma e non sono intervenute a modifica del Testo Unico.
É previsto che le regole tecniche allegate al DPCM 8 febbraio 1999, tuttora in vigore (6), vengano abrogate e sostituite da nuove regole tecniche, da emanare con apposito Decreto del Presidente del Consiglio dei Ministri (DPCM) al fine di tenere conto delle novità introdotte nel nostro ordinamento a seguito del recepimento della Direttiva. Organo deputato alla predisposizione delle nuove regole tecniche, alla luce dell'art. 3 del DPR 137/2003 (che modifica l'art. 9 del DPR 445/2000) è la Presidenza del Consiglio dei Ministri – Dipartimento per l'innovazione e le tecnologie, d'intesa con il Dipartimento della funzione pubblica ed il Ministero per i beni e le attività culturali, sentito il Garante per la protezione dei dati personali e, per il materiale classificato d'intesa con le Amministrazioni della difesa, dell'interno e dell'economia e delle finanze, rispettivamente competenti.
Come si nota agevolmente, si tratta di una situazione a dir poco ingarbugliata, che richiede ai giuristi un grande sforzo di coordinamento nella consultazione dei testi normativi rilevanti, dato che non esiste ad oggi un testo coordinato ufficiale di tutte le norme in tema di documento informatico e firma elettronica. Per questo motivo il Governo è stato delegato, con la Legge di Semplificazione 2003 (7), ad adottare, entro diciotto mesi dall'entrata in vigore della legge, uno o più decreti legislativi, per il coordinamento e il riassetto delle disposizioni vigenti in materia di società dell'informazione, tra cui anche le norme in esame.
Come anzidetto, al fine di determinare con esattezza il rilievo giuridico attribuibile ai diversi fenomeni giuridici possibili a seguito dell'utilizzo di certificati elettronici e delle smart cards occorre ora analizzare i singoli elementi costitutivi, in particolare i requisiti di sicurezza che ciascuno di essi presenta. Come vedremo, in funzione del diverso e crescente livello di sicurezza che risulterà dalla loro combinazione deriveranno effetti giuridici differenti e via via crescenti.
Al riguardo occorre concentrare la nostra attenzione principalmente sui seguenti elementi: i) Certificato elettronico; ii) Certificatore; iii) Dati per la creazione e per la verifica di firma; iv)
Dispositivo per la creazione di firma; e valutare le caratteristiche di ciascuno di essi
3. Elementi costitutivi delle firme elettroniche
3.1 Certificati
I certificati sono documenti elettronici rilasciati dai certificatori che riassumono, in buona sostanza, i dati identificativi del titolare e contengono una serie variabile di informazioni atte a consentire principalmente di rendere noto il soggetto che li ha emessi e le modalità per la verifica di validità del certificato.
Più precisamente, in funzione del loro contenuto, secondo la definizione data dall'art. 1 del DPR 137/2003, essi si possono distinguere in:
«elettronici»: ai sensi dell'articolo 2, comma 1, lettera d), del decreto legislativo 23 gennaio 2002, n. 10, gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità dei titolari stessi;
«qualificati»: ai sensi dell'articolo 2, comma 1, lettera e), del decreto legislativo 23 gennaio 2002, n. 10, certificati elettronici conformi ai requisiti indicati dall'All. I della Direttiva rilasciati da certificatori che rispondono ai requisiti dell'All. II della medesima Direttiva.
Come evidente esiste una duplice possibilità: la prima non strutturata, che lascia quindi ampia libertà di scelta nei contenuti al certificatore. La seconda, più strutturata, maggiormente rivolta a garantire un livello di qualità delle informazioni fornire e quindi più adatta a garantire sicurezza nell'utilizzo. La differenza tra le due tipologie di certificati è importante, in quanto solo la tipologia «certificato qualificato» è in grado, se combinata opportunamente con altri presupposti, di garantire il massimo livello di efficacia di una firma elettronica.
In particolare, ad evidenti fini di sicurezza, la struttura del contenuto dei certificati qualificati è determinata dall'art. 27 del DPR 445/2000 (come modificato dal DPR 137/2003), il quale prevede specificamente che certificati qualificati devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il certificato.
Dunque un certificato potrà dirsi qualificato qualora presenti una struttura che contenga almeno i contenuti sopra indicati. Eventuali deviazioni da tale contenuto minimo determinerebbero la perdita della qualità di certificato qualificato, con le conseguenze in termini di rilievo giuridico che vedremo appresso.
Nell'ambito dei certificati qualificati, ai sensi dell'art. 28-bis, comma 3, del DPR 445/2000 (come modificato dal DLgs 10/2002) è data facoltà ai certificatori di indicare determinati limiti d'uso e/o di valore. Si tratta di una facoltà importante: nel caso in cui il certificato venga utilizzato eccedendo i limiti indicati, purché chiaramente riconoscibili dai terzi, si determina l'esenzione da responsabilità del certificatore in caso danno. Da notare che la portata giuridica di questa norma riguarda solo i certificatori e non i soggetti titolari. Nel caso di smarrimento o furto del dispositivo di firma, non si ritiene che simili indicazioni siano idonee ad assicurare al titolare una protezione contro utilizzi illeciti: una eventuale sottoscrizione eccedente i limiti indicati e antecedente alla richiesta di revoca del certificato risulterebbe pienamente efficace, se non disconosciuta dal titolare (mediante querela di falso).
Ai sensi dell'art. 27-bis del DPR 445/2000 (come modificato dal DPR 137/2003), sempre in tema di indicazioni di sicurezza, e possibile inserire nei certificati: le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza. Si tratta di una facoltà molto importante, la cui natura giuridica non è ancora stata approfondita sufficientemente. In particolare, sembrerebbe di poter affermare che tali indicazioni dovrebbero avere mera funzione di notizia, senza tuttavia far venire meno il regime di pubblicità-notizia previsto dalle leggi ordinarie del nostro ordinamento.
Da ultimo va osservato che, sempre ai sensi dell'art. 27-bis del DPR 445/2000, in luogo della reale identità del titolare è possibile indicare uno «pseudonimo», a condizione che sia chiaramente indcato come tale. In tal caso, ai sensi dell'art. 29-ter del DPR 445/2000, sorge l'obbligo di conservazione decennale delle informazioni sulla reale identità a carico del certificatore (8).
In tema di sicurezza nell'utilizzo dei certificati, due disposizioni cardine completano la normativa:
1. ai sensi dell'art. 23 del DPR 445/2000 (come modificato dal DPR 137/2003), l'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.
2. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
Mentre l'art. 29-bis del DPR 445/2000 determina un onere particolare a carico dei certificatori stabilendo che il certificatore è tenuto a «procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni».
3.2 Certificatori e prestazione dei servizi di certificazione
I certificatori vengono definiti dal D.lgs. 10/2002 quali soggetti pubblici o privati che svolgono «servizi di certificazione delle firme elettroniche o forniscono altri servizi ad esse connessi; rilasciano, revocano o sospendono i certificati». Ad essi è attribuita la possibilità di svolgere i cd. «servizi connessi» al servizio di certificazione, tra cui si individuano, ai sensi di quanto stabilito dalla Direttiva: immatricolazione; o(a)pposizione del giorno e dell'ora (validazione temporale); repertorizzazione; servizi informatici o di consulenza relativi alle firme elettroniche.
In base all'art 3 del D.lgs. 10/2002, ed in ottemperanza ad un principio generale introdotto dalla Direttiva, la prestazione dei servizi di certificazione è libera e non è subordinata ad autorizzazione preventiva; nemmeno il numero dei certificatori può essere limitato.
Poiché la direttiva ammette (e per certi versi incoraggia) la creazione di sistemi di accreditamento come strumento per il miglioramento del livello di servizio ed accrescere la fiducia degli utilizzatori dei servizi, e più in generale la sicurezza e qualità dei medesimi servizi, e stabilisce un generale principio di libertà di adesione per quei certificatori che ritengono di trarne vantaggio, il D.Lgs. 10/2002 ha introdotto con l'art. 5 la possibilità, per i certificatori che lo ritengono, di ottenere il riconoscimento del più elevato livello in termini di qualità e sicurezza.
In particolare, in base all'art. 1 del DPR 445/2000 (come modificato dal DPR 137/2003), i certificatori si dividono ora in
– CERTIFICATORE ai sensi dell'articolo 2, comma 1, lettera b), del decreto legislativo 23 gennaio 2002, n. 10, il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime;
– CERTIFICATORE QUALIFICATO il certificatore che rilascia al pubblico certificati elettronici conformi ai requisiti indicati nel DPR 445/2000 e nelle regole tecniche di cui all'articolo 8, comma 2 del medesimo Testo Unico;
– CERTIFICATORE ACCREDITATO ai sensi dell'articolo 2, comma 1, lettera c), del decreto legislativo 23 gennaio 2002, n. 10, il certificatore accreditato in Italia ovvero in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva n. 1999/93/CE, nonché ai sensi del DPR 445/2000;
Per quanto riguarda i requisiti richiesti, l'articolo 26 del DPR 445/2000 (come modificato dal DPR 137/2003) stabilisce ora che i «certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n. 385.»
L'eventuale accertamento successivo dell'assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell'attività intrapresa.
Da notare che ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell'Unione europea non si applicano le norme del DPR 445/2000 e le relative norme tecniche di cui all'articolo 8, comma 2, del medesimo Testo Unico e si applicano in sostituzione le rispettive norme di recepimento della direttiva 1999/93/CE.
Con riferimento specifico ai Certificatori qualificati l'articolo 27 del DPR 445/2000 prevede che essi debbano inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate, e che sia in grado di rispettare le norme del presente testo unico e le regole tecniche di cui all'articolo 8, comma 2;
c) applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi, nei casi in cui il certificatore generi tali chiavi.
I certificatori cd. «accreditati» sono dunque soggetti che emettono certificati qualificati e che hanno ottenuto il riconoscimento del possesso dei requisiti del livello più elevato in termini di qualità e sicurezza, nonché in ordine alla solidità finanziaria ed alla onorabilità; sono soggetti a controllo preventivo prima dell'accreditamento nonché a «vigilanza» da parte del Dipartimento per l'innovazione e le tecnologie (Presidenza del Consiglio dei Ministri), anche tramite strutture delegate.
I certificatori cd. «notificati» sono invece tutti i soggetti che, pur emettendo certificati qualificati, non presentano i più elevati requisiti di sicurezza e qualità, anche tecnica ed economica, che caratterizzano i certificatori accreditati; come detto, essi devono, prima dell'inizio della loro attività, effettuare idonea comunicazione al Dipartimento per l'innovazione e la tecnologia e sono soggetti a «vigilanza» da parte dello stesso Dipartimento.
Il D.lgs. 10/2002 precisa che i certificatori che, alla data dell'entrata in vigore del decreto, erano iscritti nell'elenco pubblico prima gestito dall'AIPA, risultano iscritti d'ufficio nell'elenco dei certificatori accreditati presso il Dipartimento per l'innovazione e le tecnologie (Presidenza del Consiglio dei Ministri) ed inoltre che i documenti sottoscritti con firma digitale rilasciata da certificatori (già) iscritti nell'elenco pubblico tenuto dall'AIPA mantengono validità ed efficacia (per certi versi addirittura maggiorata come vedremo).
Ulteriori norme precisano, sempre a fini di massima tutela dell'affidamento dei terzi, quale deve essere l'attività, e la diligenza dei certificatori, nell'esercizio della loro attività, ed in particolare nell'identificazione dei titolari al fine del rilascio dei certificati.
Una delle preoccupazioni maggiori della Direttiva è stata quella di stabilire un chiaro regime di responsabilità a carico dei certificatori qualificati, forse alla luce di qualche esperienza nordamericana dove si era assistito all'introduzione di fortissime limitazioni di responsabilità patrizie ad opera degli stessi certificatori.
Stabilisce l'art. 28-bis del DPR 445/2000 (come modificato dal Dlgs 10/2002) in tema di responsabilità del certificatore che.
1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l'affidabilità del certificato è responsabile, se non prova d'aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento:
a) sull'esattezza delle informazioni in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
c) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.
2. Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato, salvo che provi d'aver agito senza colpa.
Sempre in tema di sicurezza il quadro normativo viene completato dalle disposizioni dell'art. 29-bis del DPR 445/2000 (modificato anch'esso dal DPR 137/2003)
La norma appare interessante in quanto al primo comma stabilisce un principio fondamentale di prudenza e sicurezza, sia a carico del titolare, sia a carico del certificatore. In particolare viene stabilito che: «Il titolare ed il certificatore sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.». La norma appare interessante in quanto attribuisce a carico di entrambe le parti oneri di tutela e protezione dei certificati e dei dati per la creazione e per la verifica di firma.
La norma si completa con una serie di disposizioni specifiche, contenute nel secondo comma, rivolte esclusivamente ai certificatori, laddove si stabilisce che «Il certificatore che rilascia, ai sensi dell'articolo 27, certificati qualificati è tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel rispetto della legge 31 dicembre 1996, n. 675, e successive modificazioni;
c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati personali, ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma del titolare;
h) procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonché garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
n) non copiare, nè conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.
Non sono previste regole particolari per i certificatori che emettono certificati non qualificati.
Come si nota, anche con riferimento ai certificatori il legislatore italiano ha stabilito un principio generale di libertà di forme e di requisiti, salvo stabilire requisiti particolari per i certificatori qualificati e più ancora accreditati, attribuendo ai certificati emessi da tali soggetti una valenza particolare.
Dunque anche in questo caso occorre avere riguardo alla natura e qualità dei soggetti che agiscono al fine del rilascio di un certificato. É sin troppo intuitivo osservare come la differenza tra le varie tipologie di certificatori sia costituita dai requisiti di qualità e sicurezza. In particolare, per i certificatori accreditati, il legislatore precisa che la procedura preventiva a cui vengono sottoposti consiste appunto nell'accertamento del più elevato livello di qualità e sicurezza. Appresso constateremo, come la diversa qualificazione di un certificatore, come già abbiamo visto per i certificati, è in grado di determinare un diverso rilievo giuridico dei documenti che vengono sottoscritti con firme elettroniche basate su certificati rilasciati da tali certificatori.
3.3 Dispositivo sicuro per la creazione di firma e dispositivo per la verifica di firma
Per firmare elettronicamente un documento é necessario munirsi di un dispositivo per la creazione di firma. Il DPR 137/2003, in particolare, ha introdotto, anche in questo caso come nei precedenti, sulla scorta di quanto previsto dalla Direttiva, una sostanziale differenziazione nella tipologia di dispositivi sulla base della natura del livello di sicurezza garantito da ciascuno, distinguendo tra:
– DISPOSITIVO PER LA CREAZIONE DELLA FIRMA, definito come il programma informatico adeguatamente configurato (software) o l'apparato strumentale (hardware) usati per la creazione della firma elettronica;
– DISPOSITIVO SICURO PER LA CREAZIONE DELLA FIRMA ai sensi dell'articolo 2, comma 1, lettera f), del decreto legislativo 23 gennaio 2002, n. 10, definito come l'apparato strumentale usato per la creazione della firma elettronica, rispondente ai requisiti di cui all'articolo 10 del citato decreto n. 10 del 2002, nonché del DPR 445/2000;
Per dispositivo sicuro per la creazione di una firma si intende dunque, sulla base di quanto stabilito dall'art. 29-sexies del DPR 44572000 (come modificato dal DPR 137/2003) e sulla base di quanto stabilito dall'Allegato III della Direttiva, un apparato strumentale, utilizzato per la creazione di una firma elettronica, il quale garantisca, unitamente alle procedure utilizzate per la generazione delle firme, che la chiave privata: «a) sia riservata; b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni; c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi». Il dispositivo sicuro deve inoltre garantire l'integrità dei dati elettronici a cui la firma si riferisce.
L'art. 10 del D.lgs. 10/2002 introduce interessanti novità per quanto riguarda la verifica di conformità dei dispositivi sicuri introducendo un nuovo organismo espressamente deputato a ciò. Esso stabilisce infatti che «La conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva 1999/93/CE è accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione …» Tra le varie cose si precisa che «Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto».
Infine, in ottica di apertura dei mercati, il comma 3 stabilisce che «La conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva 1999/93/CE è inoltre riconosciuta se certificata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva stessa». La valutazione e la certificazione possono avvenire anche con riferimento ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti.
Come si nota, il recepimento della Direttiva nel nostro ordinamento ha comportato l'adozione di una metodologia oggettiva di valutazione dei requisiti di sicurezza dei dispositivi per la creazione di firma, attribuendo la competenza ad uno specifico organismo a ciò deputato. Nelle more della creazione di tale organismo vige un regime transitorio di autocertificazione, secondo quanto stabilito dall'art. 63 delle Regole Tecniche (ormai scaduto in quanto non più prorogato) (9).
Proseguendo nella bipartizione sistematica che ci ha accompagnato sin qui, notiamo come anche in tema di dispositivo il legislatore opera una netta distinzione: in presenza di un dispositivo sicuro, vedremo, conseguirà un determinato rilievo giuridico della sottoscrizione elettronica; diversamente il rilievo sarà diverso e grandemente inferiore.
Ai sensi dell'art. 1 del DPR 445/2000, per dispositivo di verifica della firma si intende ora il programma informatico (software) adeguatamente configurato o l'apparato strumentale (hardware) usati per effettuare la verifica della firma elettronica;
Quanto alle chiavi crittografiche si distingue tra: dati per la creazione di una firma digitale e dati per la verificazione di una firma digitale. L'adozione di un lessico nuovo non deve sorprendere in quanto dovuta al cd. approccio tecnologicamente neutro della Direttiva. Il quadro normativo della Direttiva in effetti si basa su categorie generali che prescindono da qualunque possibile tecnologia impiegata, e si aprono anche a possibili tecnologie future. Nel caso di crittografia a chiave pubblica i dati per la creazione di firma corrispondono alla cd. chiave privata, mentre i dati per la verifica di firma corrispondono alla cd. chiave pubblica.
Prima di affrontare i diversi tipi di firma possibili in base al DPR 445/2000 come modificato dal D.lgs. 10/2002, e la relativa efficacia, conviene tenere a mente che gli elementi costitutivi di una firma elettronica sono dunque: un certificato qualificato (o meno) rilasciato da certificatore che emette certificati qualificati (o meno), i dati per la creazione e per la verifica di firma, il dispositivo sicuro (o meno) per la creazione di firma. Sulla base della diversa combinazione di tutti questi elementi è possibile stabilire la tipologia di firma elettronica creata e conseguentemente l'efficacia giuridica attribuibile (o meglio che gli può essere riconosciuta anche in giudizio).
4. Firma elettronica e firma elettronica avanzata
4.1 classificazione delle varie tipologie
A differenza di quanto originariamente stabilito a mezzo del DPR 513/1997, che prevedeva un unico tipo di firma riconosciuta, pienamente efficace anche come mezzo di prova (la firma digitale), in base a quanto previsto dal D.lgs 10/2002, si distingue ora tra:
a) Firma elettronica, definita come «l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione»; e,
b) Firma elettronica avanzata, definita come «la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati».
Tale originaria distinzione concepita nella Direttiva ha subito un processo di recepimento nel nostro ordinamento problematico in quanto non coincide perfettamente con le definizioni introdotte con il DPR 137/2003.
Probabilmente per ragioni sistematiche, il DPR 137/2003 introduce infatti all'art. Art. 1 «Modifiche all'articolo 1 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445» una tripartizione come segue:
– FIRMA ELETTRONICA ai sensi dell'articolo 2, comma 1, lettera a), del decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica;
– FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1, lettera g), del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
– FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;
mente la FIRMA DIGITALE viene definita come
– un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. In questo caso, come evidente, si è preferito mantenere la definizione originaria, che a sommesso avviso di chi scrive, rimane sempre la miglior definizione che è capitato di incontrare.
Sulla base di quanto sopra esposto risulta evidente che nel nostro ordinamento si opera una grande distinzione tra firme elettroniche e firme elettroniche avanzate, sulla base dei requisiti sopra illustrati.
Inoltre, si può tentare di classificare le firme elettroniche avanzate in funzione delle caratteristiche del certificato (qualificato o meno); del certificatore (qualificato o meno) e del dispositivo per la creazione di firma (sicuro o meno), secondo le seguenti possibili combinazioni:
– firme elettroniche avanzate basate su di un certificato qualificato;
– firme elettroniche avanzate basate su di un certificato qualificato rilasciato da un certificatore che emette certificati qualificati;
– firme elettroniche avanzate basate su di un certificato qualificato rilasciato da un certificatore che emette certificati qualificati, e create mediante un dispositivo sicuro per la creazione di firma (che corrisponde alla FIRMA ELETTRONICA QUALIFICATA);
– firme elettroniche qualificate mediante certificato rilasciato da un certificatore accreditato;
Come sopra evidenziato, le diverse caratteristiche di qualità e sicurezza degli elementi costitutivi conducono ad una diversa classificazione delle forme possibili delle firme elettroniche. É giunto ora il momento di illustrare gli effetti giuridici riconosciuti quale conseguenza della sottoscrizione di un documento informatico con una delle firme sopra illustrate.
4.2 Effetti giuridici del documento informatico e utilizzabilità come mezzo di prova
Per quanto riguarda gli effetti giuridici, si registrano importanti novità introdotte dal D.lgs, 10/2002 che ha significativamente modificato l'art. 10 del DPR 445/2000.
In sintesi:
– il documento informatico non firmato elettronicamente é considerato, a livello di prova in giudizio, una «riproduzione meccanica» che prova i fatti e/o le cose che contiene, nei limiti in cui gli stessi non siano disconosciuti da colui contro il quale sono prodotti (art. 2712 cod. civ.);
– il documento informatico sottoscritto con firma elettronica (semplice), é considerato come un documento in forma scritta che sul piano probatorio è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza;
– il documento informatico sottoscritto con firma elettronica (semplice), soddisfa l'obbligo previsto dagli artt. 2214 e segg. del cod. civ. e da ogni altra analoga disposizione in tema di conservazione dei libri e delle scritture contabili;
gli obblighi fiscali relativi ai documenti informatici ed allo loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con decreto del Ministro dell'economia e delle finanze (ad oggi non ancora emanato);
– il documento informatico sottoscritto con firma elettronica avanzata o con firma digitale, creata tramite un dispositivo sicuro per la creazione di firma, basata su di un certificato qualificato, vale come una scrittura privata e fa piena prova fino a querela di falso.
– al documento informatico, sottoscritto con firma elettronica, non può essere negata rilevanza giuridica, né ammissibilità come mezzo di prova, unicamente a causa del fatto che è sottoscritto in forma elettronica, ovvero in quanto la firma non è basata su di un certificato qualificato, oppure, il certificato non è rilasciato da un certificatore accreditato, ovvero, infine, perché non è stata apposta avvalendosi di un dispositivo sicuro per la creazione di firma.
Come risulta evidente, sono piuttosto rilevanti le modifiche che il D.lgs. 10/2002 ha introdotto nell'art. 10 del DPR 445/2000 in tema di forma ed efficacia del documento informatico e firma digitale.
Proseguendo con l'impostazione adottata sin dal DPR 513/97, la norma in esame disciplina direttamente l'efficacia delle firme elettroniche, a dispetto della tradizione giuridica italiana che ha sempre disciplinato l'efficacia dei documenti, corredati o meno di sottoscrizione.
In ogni caso, la maggiore differenza rispetto a quanto precedentemente previsto dal DPR 513/97 riguarda senz'altro l'efficacia del documento informatico sottoscritto con firma elettronica avanzata basata su un certificato qualificato rilasciato da un certificatore che rilascia certificati qualificati e mediante l'utilizzo di un dispositivo sicuro per la creazione di firma (si noti, indipendentemente dal fatto che il certificatore sia accreditato o meno).
Ebbene, in questo caso l'efficacia riconosciuta ad un documento informatico sottoscritto con tale tipo di firma è in qualche modo «potenziata» rispetto al passato. Mentre il DPR 513/97 e il DPR 445/2000 ante recepimento direttiva riconoscevano in un simile caso l'efficacia della scrittura privata di cui all'art. 2702 cod. civ., l'attuale formulazione, post recepimento della Direttiva, riconosce al medesimo documento sottoscritto con tale tipo di firma l'efficacia fino a querela di falso.
In pratica, è come se un tale documento fosse stato riconosciuto dalla persona che l'ha prodotto o per altri versi come se godesse della fede pubblica. Infatti, chi volesse disconoscerlo dovrebbe proporre querela di falso e fornire le necessarie prove.
Diversamente, nel caso della vecchia disciplina, e tutt'ora nel caso di una scrittura privata cartacea, in assenza di riconoscimento, sarebbe sempre possibile il mero disconoscimento da parte del ritenuto autore, e si determinerebbe la necessità per chi sostenesse la legittimità della provenienza del documento di fornire adeguata prova (anche attraverso il cd. Processo di verificazione mediante le scritture di comparazione o sotto dettatura art. 216 e segg. c.p.c.).
La ragione per la quale è stata riconosciuta questa maggiore efficacia, si legge nella relazione al provvedimento normativo, sta proprio nel fatto che in tema di firma elettronica sarebbe di fatto impossibile procedere alla cd. «verificazione». Risulta comunque evidente da un lato la maggior forza giuridica di un tale atto e dall'altro la maggiore difficoltà in capo al titolare di un certificato di firma nell'ottenere il disconoscimento di una firma falsa basata sul proprio certificato (se non riesce a fornire la prova di non aver sottoscritto il documento in questione) (10).
Una simile efficacia, abbiamo detto, viene riconosciuta solamente ad una firma elettronica qualificata, vale a dire una firma elettronica avanzata basata su un certificato qualificato rilasciato da un certificatore che rilascia certificati qualificati e mediante l'utilizzo di un dispositivo sicuro per la creazione di firma. L'assenza tuttavia anche di un solo elemento tra quelli elencati determinerebbe un diverso stato giuridico della firma, o meglio del documento informatico sottoscritto con tale firma, al quale verrebbe riconosciuta semplicemente l'efficacia di forma scritta e sarebbe liberamente valutabile dal giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. In pratica, risulta evidente, la validità ed efficacia di firme elettroniche (non avanzate e/o non basate su tutti i requisiti sopra elencati) viene rimessa alla valutazione del giudice di volta in volta, il quale valuterà sulla base del livello di sicurezza garantito.
Da tutto ciò risulta che solamente nel caso di firma elettronica qualificata o firma digitale (che viene considerata equivalente ai fini degli effetti) si può avere anticipatamente certezza circa gli effetti giuridici in grado di dispiegare (che come abbiamo visto sono molto rilevanti e raggiungono il massimo grado di riconoscimento possibile nel nostro ordinamento, se si escludono ovviamente gli atti pubblici).
Nel caso di firme elettroniche (non avanzate) e nel caso di firme elettroniche avanzate che difettino tuttavia di qualche requisito (ad esempio del dispositivo sicuro per la creazione di firma) non è mai possibile avere anticipatamente certezza circa gli effetti giuridici conseguiti, dal momento che spetterà al giudice valutare di volta in volta e stabilire quali riconoscere (sulla base, abbiamo detto, delle caratteristiche oggettive di qualità e sicurezza).
Il recepimento della direttiva ha tuttavia conseguito un altro importante obiettivo: esso ha infatti assicurato un rilievo giuridico ad una pluralità di fenomeni del mondo dell'informatica che prima di allora si trovavano totalmente privi di una qualificazione e di una tutela. Ad opinione di chi scrive, il recepimento della Direttiva è ben lungi dall'aver minato il quadro di certezza giuridica delineato con lo storico e giustamente famoso DPR 513/97; il recepimento ha arricchito il quadro normativo di una serie di possibilità aggiuntive, anche se in chiave minore.
In questo senso, è sicuramente interessante osservare che semplici documenti informatici non firmati costituiscono nondimento mezzi di prova equiparati alle riproduzioni meccaniche. Non sarà molto, tuttavia è un principio di riconoscimento che tiene nel dovuto conto le garanzie di sicurezza soprattutto dei terzi. Altrettanto interessante risulta il rilievo attribuito al documento informatico sottoscritto con firma elettronica (non avanzata): in questo caso viene riconosciuto il requisito della forma scritta, come tale liberamente valutabile dal giudice (11). Altrettanto interessante è osservare che i medesimi documenti sottoscritti con firme elettroniche assolvono agli obblighi di tenuta delle scritture contabili obbligatorie a cui è tenuto l'imprenditore.
Grazie alle nuove norme trovano qualificazione giuridica, e quindi riconoscimento, una vastità di strumenti di autenticazione e sottoscrizione cd. leggera, prima sprovvisti di una qualsiasi tutela, quali sono codici personali segreti di carte di credito e di pagamento, password e pincode largamente utilizzati nei servizi via web, sistemi di sottoscrizione insiti in sisteme di gestione della messaggistica elettronica, tutti i sistemi di cifratura in uso pressi sistemi telematici di scambio delle borse valori, di banking e trading on-line.
Qualche interrogativo solleva la norma di chiusura contenuta nel comma 4 dell'art. 10 del DPR 445/2000, quale appare pedissequa riproduzione del testo contenuto nell'art. 6 della Direttiva e che appare superflua nell'economia generale della disposizione.
Nonostante le rilevanti modifiche introdotte dal D.lgs. 10/2002 e nonostante il riconoscimento dell'efficacia fino a querela di falso attribuito ad un documento informatico sottoscritto con firma elettronica qualificata o digitale, rimane fermo quanto (già) stabilito dall'art. 24 del DPR 445/2000 in base al quale si ha per riconosciuta ai sensi dell'art. 2703 c.c. la firma digitale la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.
Brevemente vale la pena di ricordare che si ha una firma digitale autenticata quando un notaio o un pubblico ufficiale autorizzato attesta che l'apposizione della firma digitale, da parte del titolare, é avvenuta in sua presenza, previo accertamento: dell'identità personale; della validità della chiave utilizzata; del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico. In tal caso il documento sottoscritto ha l'efficacia di cui all'art. 2703 cod. civ.
In questo caso l'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico ai sensi dell'art. 28, primo comma, numero 1), della Legge 16 febbraio 1913, n.89.
La rilevanza di una tale disposizione è fondamentale se si considera la differenza sostanziale che corre tra sottoscrizione autografa e sottoscrizione digitale. Infatti, mentre per la sottoscrizione autografa, che è un'espressione psicosomatica dell'individuo, risulta in qualche modo sempre verificabile se la grafia utilizzata provenga o meno dal ritenuto autore del documento, per la sottoscrizione autografa qualsiasi verifica può avere ad oggetto solamente la compatibilità tra i dati per la creazione e per la verifica di firma. Non sarà mai possibile ottenere certezza, viceversa, che l'autore della sottoscrizione, vale a dire colui che ha utilizzato il dispositivo sicuro di firma fosse effettivamente il titolare. Nessuna verifica posteriore potrà mai dare evidenza del soggetto che fisicamente ha apposto la sottoscrizione digitale. In questo senso l'intervento del pubblico ufficiale o del notaio risulterebbe essere l'unico in grado di effettivamente garantire delle reale disponibilità del dispositivo sicuro di firma, della validità della firma al momento della sottoscrizione (senza considerare la verifica dell'effettiva volontà).
5. Validazione temporale
L'art. 22 del DPR 445/2000 introduce la definizione di validazione temporale come: «il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi;».
In termini di sicurezza della firma elettronica, il ricorso alla validazione temporale costituisce uno dei presupposti più importanti e necessari, la cui importanza probabilmente non è stata pienamente compresa dai primi commentatori sino ad ora.
In un sistema di crittografia a chiave pubblica risulta necessario poter stabilire e determinare con certezza, soprattutto a fini di opponibilità ai terzi, ciò che è avvenuto prima e ciò che è avvenuto dopo. Ci si riferisce in particolare alla necessità di stabilire con certezza opponibile ai terzi che la sottoscrizione di un documento informatico sia avvenuta durante la validità di un certificato, vale a dire successivamente al rilascio da parte di un certificatore e precedentemente alla scadenza, revoca o sospesione del medesimo certificato.
Il problema è semplice: il ricorso ad un procedimento di validazione temporale è in grado di agevolare nello stabilire se la sottoscrizione sia da ritenere valida o meno (12). Diversamente sarebbe possibile dimostrare la validità di una sottoscrizione solamente ricorrendo a quanto disposto dall'art. 2704 cod. civ.(13) posto che ve ne siano i presupposti.
Ora risulta evidente che qualora le esigenze di conservazione di un documento informatico sottoscritto digitalmente trascenderanno il periodo di durata del certificato, al fine di garantire validità nel tempo alla sottoscrizione si potrà alternativamente:
– ricorrere alla validazione temporale;
– procedere a nuova sottoscrizione con certificato valido precedentemente alla scadenza del precedente certificato;
– ricorrere all'applicazione di quanto previsto dall'art. 2794 cod. civ. sempre che ve ne siano i presupposti.
6. Sottoscrizione di un documento informatico
Alcune disposizioni contenute nell'art. 23 del DPR 445/2000 disciplinano a fini di sicurezza le modalità di sottoscrizione di documenti informatici. Queste stabiliscono in particolare che :
1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata.
2. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica sia stata oggetto dell'emissione di un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
3. L'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
4. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.
5. Attraverso il certificato elettronico si devono rilevare, secondo le regole tecniche di cui all'articolo 8, comma 2, la validità del certificato elettronico stesso, nonché gli elementi identificativi del titolare e del certificatore.
L'art. 29-sexies del DPR 445/2000 (come modificato dal DPR 137/2003), stabilisce inoltre che «i dati devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma salvo quanto riguarda le firme apposte con procedura automatica, purché l'attivazione della procedura sia chiaramente riconducibile alla volontà del titolare.»
Una serie di norme che formano la Sezione II, del Capo II, del DPR 445/2000, disciplinano invece il documento informatico che può essere oggetto di sottoscrizione.
L'art. 8, comma 1, attribuisce al documento informatico, da chiunque formato, alla registrazione su supporto informatico ed alla trasmissione con supporto telematico, validità e rilevanza a tutti gli effetti di legge qualora conformi alle disposizioni del Testo Unico (DPR 445/2000).
Per la verità le disposizioni in tema di documento informatico sono piuttosto scarse dal momento che ad oggi non è stata data piena attuazione a quanto previsto dal comma 2 dello stesso articolo il quale prevede: «Le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici sono definite con decreto del Presidente del Consiglio dei Ministri, o, per sua delega del Ministro per l'innovazione e le tecnologie, sentiti il Ministro per la funzione pubblica e il Garante per la protezione dei dati personali. Esse sono adeguate alle esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche, con cadenza almeno biennale.». Ed in effetti nelle cd. Regole Tecniche (14) non si trova alcuna indicazione relativa ai formati ammessi ovvero alle caratteristiche tecniche dei documenti informatici ai fini della validità e rilevanza a fini di legge.
Alla luce di quanto recentemente emerso in merito al procedimento di verificazione di documenti informatici sottoscritti con firma digitale e contenenti «macroistruzioni o codice eseguibile», dove pur in presenza di un esito positivo della verificazione si è assistito ad una variazione dei valori assunti da dette microistruzioni o codice eseguibile, si ritiene necessario l'introduzione nelle Regole Tecniche di un divieto di sottoscrizione di documenti informatici contenenti «macroistruzioni o codice eseguibile», ciò in analogia a quanto contenuto nella Deliberazione AIPA n. 51/2000, del 23 novembre 2000, in materia di formazione e conservazione di documenti (che come tale risulta applicabile solo ai rapporti con le pubbliche amministrazioni). In particolare, si potrebbe prevedere da un lato l'obbligo per il titolare di astenersi dal sottoscrivere documenti informatici contenenti «macroistruzioni o codice eseguibile», e dall'altro stabilire l'inefficacia della sottoscrizione di tali documenti qualora effettuata nonostante il divieto (15).
L'art. 9 disciplina i documenti informatici nelle pubbliche amministrazioni. Si stabilisce in particolare che gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge.
Nelle operazioni riguardanti le attività di produzione, immissione, conservazione, riproduzione e trasmissione di dati, documenti ed atti amministrativi con sistemi informatici e telematici, ivi compresa l'emanazione degli atti con i medesimi sistemi, devono essere indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate sia il soggetto che ha effettuato l'operazione.
Le pubbliche amministrazioni provvedono a definire e a rendere disponibili per via telematica moduli e formulari elettronici validi ad ogni effetto di legge.
Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite dall'Autorità per l'informatica nella pubblica amministrazione d'intesa con l'amministrazione degli archivi di Stato e, per il materiale classificato, con le Amministrazioni della difesa, dell'interno e delle finanze, rispettivamente competenti
Nell'art. 10, oltre alla forma ed efficacia di cui già si è parlato in precedenza, viene stabilito che «gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con decreto del Ministro delle Finanze». Ad oggi queste disposizioni risultano non emanate.
Di particolare rilievo quanto stabilito nell'art. 11 in tema di contratti stipulati con strumenti informatici o per via telematica. Si stabilisce infatti che «I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente T.U. sono validi e rilevanti a tutti gli effetti di legge. Si applicano le disposizioni in materia di contratti negoziati al di fuori dei locali commerciali».
Non meno importanti sono le disposizioni contenute nell'art. 13 relativamente a libri e scrittura. Grazie a questa norma si stabilisce la piena equiparazione della tenuta dei libri e delle scritture in formato elettronico. Stabilisce infatti la norma citata «I libri, i repertori e le scritture, di cui sia obbligatoria la tenuta, possono essere formati e conservati su supporti informatici in conformità alle disposizioni del presente T.U. e secondo le regole tecniche definite con DPCM 8 febbraio 1999».
Per concludere alcuni riferimenti alla trasmissione di documenti, contenuti nell'art. 14 della Sezione III, sempre del Capo I del DPR 445/2000: «1. Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario se trasmesso all'indirizzo elettronico da questi dichiarato. La data e l'ora di formazione, di trasmissione o di ricezione di un documento informatico sono opponibili ai terzi (se conformi alle disposizioni di cui al T.U. 2. La trasmissione del documento informatico per via telematica, con modalità che assicurino l'avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.
Conclusioni
A seguito del recepimento della Direttiva europea 93/99/CE diverse sono ora le tipologie di firme elettroniche previste nel nostro ordinamento. Diversa è anche la loro efficacia, soprattutto in relazione alla presenza di determinati requisiti volti a garantire il massimo livello di sicurezza possibile.
In ogni caso, tutte le firme elettroniche godono ora del pieno riconoscimento giuridico nel nostro ordinamento, anche come mezzo di prova. Alcuni tipi di firma, attese le caratteristiche intrinseche di qualità e sicurezza, godono del riconoscimento massimo che si possa pensare nel nostro ordinamento se si fa eccezione per gli atti pubblici. Per altri tipi sarà il giudice di volta in volta a stabilire il rilievo loro attribuibile come mezzo di prova in funzione del livello di sicurezza presentato di volta in volta.
Esistono i presupposti per il pieno riconoscimento dei certificati e dei dispositivi sicuri di firma rilasciati o prodotti in altri Paesi dell'Unione Europea, ed a certe condizioni anche di Paesi extraeuropei. La conformità ai requisiti di sicurezza dei dispositivi «sicuri» sarà accertata da apposito organismo creato mediante decreto del Ministro per l'innovazione e le tecnologie.
Risultano per il momento carenti le disposizioni in tema di formato dei documenti informatici che possono essere validamente soggetti a sottoscrizione. In particolare, le Regole Tecniche non prevedono ad oggi, a differenza di quanto accade le pubbliche amministrazioni, alcuna limitazione alla possibilità di sottoscrivere documenti informatici contenenti «macroistruzioni o codice eseguibile», come tali in grado di compromettere l'immodificabilità del documento informatico già sottoscritto. É auspicabile che la lacuna venga presto colmata stabilendo i formati ammissibili e le conseguenze giuridiche derivanti da un mancato rispetto di tali disposizioni.
Milano, 9 novembre 2003
Luigi Neirotti
Avvocato in Milano
Partner EYLaw – Studio Legale Tributario
[email protected]
—————————————————————————————————
(1) in tema di riforma della pubblica amministrazione e semplificazione amministrativa.
(2) Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici.
(3) Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.
(4) Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa.
(5) Il recepimento della Direttiva ha comportato necessariamente l'adozione di una nuova definizione della sottoscrizione informatica, utilizzando l'espressione firma elettronica si suole ricomprendere tutta la famiglia di segni informatici utilizzati quali strumenti ai autenticazione e riconoscimento dell'autore di una dichiarazione. Come vedremo l'originaria firma digitale è divenuta una specie particolare della più ampia categoria delle firme elettroniche.
(6) Originariamente era stabilito un aggiornamento con cadenza almeno biennale per tenere conto dell'evoluzione tecnologica. Alla scadenza del biennio si è preferito tuttavia attendere di completare il recepimento della Direttiva al fine di modificare una sola volta le Regole Tecniche. I lavori poi si sono prolungati e così le Regole Tecniche sono ancora in vigore nella formulazione originaria dopo quattro anni dalla loro emanazione.
(7) Legge 29 luglio 2003, n. 229: Interventi in materia di qualità della regolazione, riassetto normativo e codificazione.
(8) Per la verità la prima parte della norma sembra ripetere la disposizione contenuta nell'art. 27-bis, comma 1, lett. D), evidentemente per un difetto di coordinamento, stante la stratificazione delle norme.
(9) Ciò significa che non è possibile per il momento ottenere la certificazione di nuovi dispositivi sicuri, e nemmeno autocertificarli, fermo restando che i dispositivi autocertificati quali rispondenti ai requisiti richiesti entro la scadenza del periodo transitorio (31 maggio 2002) rimangono tali.
(10) Tenuto conto anche del fatto che la querela di falso è competenza del Tribunale nella composizione collegiale e richiede l'intervento del pubblico ministero. Come si nota, si tratta di un procedimento complesso, il cui esaurimento richiede certamente un certo lasso di tempo (durante il quale gli effetti del documento attribuito al titolare del certificato si applicherebbero integralmente).
(11) Sarà solo l'esperienza giurisprudenziale che fornirà la misura della correttezza di questa norma. Certo il rischio è che all'inizio si assista ad una disuniformità di valutazione sui requisiti di sicurezza e quindi ad una sopra o sottovalutazione degli effetti giuridici di questi documenti.
(12) Considerando che in base all'art. 23 del DPR 445/2000 «L'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.»
(13) L'art. 2704 cod. civ. stabilisce che «La data della scrittura privata della quale non è autentica la sottoscrizione non è certa e computabile riguardo ai terzi, se non da giorno in cui la scrittura è stata registrata o dal giorno della morte o della sopravvenuta impossibilità fisica di colui o di uno di coloro che l'hanno sottoscritta o dal giorno in cui il contenuto della scrittura è riprodotto in atti pubblici o, infine, dal giorno in cui si verifica un altro fatto che stabilisca in modo egualmente certo l'anteriorità della formazione del documento».
(14) Allegate al DPCM 8 febbraio 1999.
(15) Si tratta comunque di un aspetto tutto da approfondire e per il quale un confronto con i tecnici informatici risulta indispensabile.
Profilo dell'avv. Luigi Neirotti
Luigi Neirotti ha più di diciassette anni di esperienza professionale nell'area del diritto e dei contratti dell'informatica, con particolare riguardo ai contratti relativi a hardware, software e servizi di outsourcing, nonché relativamente a protezione dei dati personali e firme elettroniche; ha significativa esperienza anche in materia di contratti e diritto societario.
Si è laureato a pieni voti in Giurisprudenza presso l'Università di Torino nel 1986 ed ha conseguito successivamente un Executive Master in Business Administration presso l'Università Commerciale Luigi Bocconi di Milano nel 1991.
É partner dello Studio Legale Tributario, Ernst & Young Law, con responsabilità del Dipartimento di Diritto Industriale e Information Technology.
Dal 2001 è consigliere giuridico di «Assocertificatori», associazione dei certificatori italiani della firma digitale, organizzazione nell'ambito della quale si è occupato ad ampio spettro di firme elettroniche, contribuendo anche al recepimento nell'ordinamento italiano della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Contemporaneamente ha assistito diversi certificatori italiani nel processo di accreditamento nonché su una serie di tematiche varie legate allo svolgimento della loro attività. Nel corso del 2003 ha assistito alcune grosse banche italiane nel processo di adesione al circuito Identrus, per la ____
É anche consigliere giuridico del «Consorzio per la tutela della privacy nelle società di ricerca e selezione di personale dirigente», organizzazione formata dalle principali società internazionali di executive search presenti in Italia, dove si è occupato particolarmente di privacy e tutela dei dati personali nell'attività di ricerca e selezione di personale.
Autore di alcuni scritti ed articoli su contratti informatici, firma digitale e protezione dei dati personali, coautore di alcuni «rapporti ABI» sui contratti software in ottica di qualità ISO9000 pubblicati da Bancaria editrice, è anche coautore del capitolo italiano del volume «E-commerce law in Europe and the USA» per Springer editore (Berlino) 2002. É relatore abituale in congressi e seminari, sia in Italia sia all'estero, su diritto e contratti dell'informatica, protezione dei dati personali, firme elettroniche.
Avvocato in Milano, è membro di ADINCOM – associazione per lo studio del diritto dell'informatica e del diritto delle comunicazioni multimediali e dell'Associazione Italiana dei Giuristi d'Impresa.