L’avvento delle tecnologie informatiche ha modificato principi classici e istituti tipici degli ordinamenti giuridici contemporanei, dando luogo a fattispecie e fenomeni del tutto nuovi.
Il documento cartaceo e la firma autografa dovrebbero essere sostituiti senza timore dal documento informatico e dalla firma digitale, non solo grazie ai numerosi interventi legislativi susseguitisi nel tempo, ma anche, e soprattutto, investendo per lo sviluppo di una nuova cultura, in grado di rendere realmente consapevoli cittadini, istituzioni e imprese, degli straordinari benefici che l’informatizzazione può apportare al paese e all’economia in genere.
1. La disciplina nazionale: genesi e criticità
L’Italia è stata uno dei primi paesi a dotarsi di una disciplina organica sulla firma digitale: già nel 1997, la legge “Bassanini uno” (L. n. 59) afferma, per la prima volta, il pieno valore giuridico dei documenti informatici, definendoli “validi e rilevanti a tutti gli effetti di legge” (art. 15, co. 2°)¹. Tale principio generale, di portata “rivoluzionaria” viene compiutamente attuato, in quello stesso anno, con l’emanazione del DPR n. 513 (oggi abrogato e confluito nel DPR n. 445/2000) regolamento che, tra l’altro, introduce nel nostro ordinamento la firma digitale.
Di derivazione comunitaria è, invece, la normativa sulle firme elettroniche: con la direttiva 1999/93/CE, attuata nel nostro paese nel 2002, mediante il D.Lgs n. 10, si riconosce il valore giuridico delle firme elettroniche (oltre che della firma digitale). Un anno dopo, il DPR n. 137/2003 coordina le disposizioni nazionali in tema di documento informatico e di firma digitale con quelle europee sulla firma elettronica.
Da ultimo, il Codice dell’amministrazione digitale, D.Lgs n. 82/2005 (il “CAD”), riordina e consolida la normativa in argomento, apportandovi significative modifiche.
Da segnalare i frequenti interventi normativi in materia, spesso caratterizzati per la ricerca, da parte del legislatore, di criteri di collegamento fra le tecnologie disponibili e il sistema delineato dal codice civile sull’efficacia probatoria dei documenti e sulla forma degli atti.
Giova peraltro sottolineare che il diritto dell’informatica si caratterizza per un’intrinseca complessità, dovuta alla commistione di elementi giuridici con elementi tecnici.
Tra le difficoltà più evidenti, ad es, vi sono quelle derivanti dall’uso metaforico del termine “firma”, locuzione utilizzata per definire uno strumento che rappresenta una firma quanto agli effetti, ma che rimane sigillo quanto all’uso, e che, comunque, corrisponde ad una firma non autografa. Con l’informatizzazione, la tecnologia prende, infatti, il posto della grafia: viene meno il gesto della mano che traccia la sottoscrizione, per essere sostituto dall’utilizzo di uno strumento tecnico. La firma, quindi, si “spersonalizza” e il firmatario viene individuato per presunzione nel titolare di un apposito dispositivo. Il criterio di imputazione diventa dunque quello della titolarità di uno strumento da utilizzare in modo responsabile².
2. Le “firme” previste dal Codice dell’amministrazione digitale
Il CAD prevede quattro tipi di firme informatiche: la firma elettronica, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale. Se ne riportano di seguito le principali caratteristiche e differenze.
La firma elettronica è definita dal Codice dell’amministrazione digitale quale “insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica” (art. 1, lett. q).
Questa tipologia di firma si traduce in diversi archetipi, rappresentabili sulla base di una molteplicità di criteri, tra cui: il metodo utilizzato per l’identificazione, la finalità e le proprietà della firma.
Questi archetipi possono, tra l’altro, essere classificati in tre principali categorie, individuate, nel 1998, dalla Commissione delle nazioni unite per il diritto commerciale internazionale (Uncitral), ovvero:
- firme per le quali il meccanismo di identificazione si basa sulle conoscenze dell’utente, attraverso, ad es., una parola chiave o un numero di identificazione personale – pin (secondo la formula “something you know”);
- firme per le quali l’autenticazione dell’utente avviene tramite le caratteristiche fisiche dello stesso, quali, ad es., l’impronta digitale, la scansione della retina o il riconoscimento vocale (secondo l’assioma “something you are”);
- firme, infine, basate sul possesso di un oggetto da parte dell’utente, ad esempio, una tessera magnetica o una smart card (secondo l’asserto “something you have”).
Non predefinendo il CAD le caratteristiche tecniche, né il livello di sicurezza della firma elettronica, questa può dunque corrispondere sia ad una password, che ad una firma autografa digitalizzata tramite scanner, o, ancora, ad una firma biometrica3 .
Il secondo tipo di firma previsto, nell’ordine, dal CAD è la firma elettronica avanzata, la quale altro non è che una firma elettronica con alcune caratteristiche di sicurezza, ovvero un “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati” (art. 1, lett. q-bis)4.
Dalla definizione si ricava che questa firma esige quattro elementi fondamentali, relativi non solo al processo tecnologico, ma anche al processo organizzativo di rilascio e apposizione, ovvero: a) l’identificazione del firmatario; b) la connessione univoca allo stesso; c) il controllo sul dispositivo, d) la garanzia dell’integrità del documento firmato.
Rientrano, quindi, nel novero delle firme elettroniche avanzate, a titolo esemplificativo, le firme tramite OTP (One Time Password) utilizzate da alcune banche, o le firme autografe apposte su tablet, una volta che ne siano verificate le caratteristiche, il contesto, anche procedurale, in cui la firma è inserita, nonché le proprietà del documento.
La terza firma contemplata dal CAD è la firma elettronica qualificata, definita come “un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma” (art. 1, lett. r).
Si noti che in questa definizione il legislatore precisa in modo esplicito l’associazione della firma al soggetto mediante un certificato qualificato, certificato di cui, invece, non fa menzione nella definizione di firma elettronica avanza vista sopra.
L’ultima firma prevista è la firma digitale5, corrispondente ad “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” (art. 1, lett. s)6.
Dalle definizioni dei quattro tipi di firme, emerge che:
- solo per la firma digitale il legislatore sceglie una particolare tecnologia (quella della crittografia a chiavi asimmetriche); per questa e per la firma qualificata (ambedue species del genere firma avanzata) rileva anche il riferimento ad un livello di sicurezza predefinito;
- solo le firme elettronica ed elettronica avanzata rispondono ad un principio di “neutralità tecnologica” posto che le relative definizioni non fanno cenno ad un livello di sicurezza predeterminato o ad una tecnologia precisa7.
Non va infine dimenticato che le modifiche apportate al CAD nel 2010 prevedevano, per la completa definizione del quadro normativo in materia di firme, l’emanazione e la pubblicazione di nuove regole tecniche.
Queste regole sono ora contenute nel DPCM 22 febbraio 2013 in G.U. n. 117 del 21 maggio 2013 [1] , e rappresentano un tassello fondamentale per garantire una compiuta attuazione alle disposizioni del CAD sulle firme e il documento informatico.
3. L’efficacia probatoria dei documenti informatici
Il CAD definisce “documento informatico” la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.
Sull’efficacia probatoria di questo documento, a fini analitici, è opportuno distinguere tra documento informatico privo di firma; con firma elettronica, e documento con firma elettronica avanzata, qualificata o digitale.
Documento informatico privo di firma è, ad esempio, un qualsiasi file prodotto con sistemi di video scrittura, senza che vi sia apposta alcuna firma o utilizzata alcuna tecnica di cifratura o protezione. A disciplinare l’efficacia probatoria di questa fattispecie interviene l’art. 20, co. 1-bis, del CAD secondo cui “L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità (…)”.
Sul punto va altresì menzionato l’articolo 23 quater del CAD che, modificando espressamente l’art. 2712 del codice civile, include nel novero delle riproduzioni meccaniche di fatti e di cose, anche le riproduzioni informatiche, le quali “formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”.
Ne consegue un dubbio interpretativo ad oggi irrisolto dal legislatore: il documento informatico privo di firma è liberamente valutabile in giudizio dal giudice oppure possiede l’efficacia probatoria delle riproduzioni meccaniche le quali, ai sensi dell’art. 2712 CC, formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime8?
Come segnalato da illustre dottrina9 , sembra consigliabile un intervento correttivo del legislatore.
Per quanto riguarda il documento informatico con firma elettronica, ai sensi dell’art. 21, co. 1, del CAD, lo stesso, sul piano probatorio, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
Ne consegue che il giudice è libero di valutare l’efficacia probatoria di questa tipologia di documento, di volta in volta, anche in considerazione della varietà delle firme elettroniche esistenti, valutandone, caso per caso, la qualità, la sicurezza, l’integrità e l’immodificabilità. Chi usufruisce di una firma elettronica non potrà, quindi, conoscerne, con certezza e in via preventiva, gli effetti sotto il profilo probatorio10.
Da annotare che il CAD non disciplina l’idoneità del documento informatico, con firma elettronica, ad integrare il requisito della forma scritta: la fattispecie può dunque essere ricondotta a quanto previsto dall’art. 20, co. 1-bis.
Da ultimo, a disciplinare il valore giuridico dei documenti firmati con firma elettronica avanzata, qualificata e digitale, interviene l’art. 21, co. 2 del CAD, integrato, verso la fine del 2012, ad opera del decreto legge, n. 179, cd “Sviluppo bis”, convertito dalla legge n. 221.
Per cui, “Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile (…)”.
La norma attribuisce a questi documenti l’efficacia probatoria della scrittura privata di cui all’art. 2702 CC: gli stessi fanno dunque piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi li ha sottoscritti, se colui contro il quale sono prodotti ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.
Peraltro, ai sensi del periodo successivo, “L’utilizzo del dispositivo di firma elettronica qualificata o digitale11 si presume riconducibile al titolare, salvo che questi dia prova contraria12”.
Si tratta, quindi, di disconoscimento dai tratti del tutto peculiari, non riferendosi né alla firma digitale (che è sempre vera) né alla scrittura privata perché questa, oltre ad essere carente, in questo caso, della grafia, è anche, per definizione, integra, viste le caratteristiche tecniche della firma digitale, richieste dalla disciplina positiva (art. 21, co. 2 del CAD). Ne consegue che il presunto sottoscrittore potrà “disconoscere” la scrittura privata informatica solo producendo la prova di non aver utilizzato il dispositivo di firma13.
Un cenno meritano, sul punto, i rilevanti obblighi sanciti dal CAD in capo al soggetto titolare del dispositivo di firma, il quale è tenuto a: assicurare la custodia del dispositivo; adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; ma, soprattutto, ad utilizzare “personalmente” il dispositivo (art. 32).
Per quel che riguarda l’idoneità del documento informatico con firma avanzata, qualificata e digitale a soddisfare il requisito della forma scritta, il CAD precisa all’art. 21, co. 2bis, che:
a) “(…) le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale”.
b) “Gli atti di cui all’articolo 1350, primo comma, n. 13, del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale”.
In altre parole, gli atti e i contratti “informatici” che hanno ad oggetto beni immobili (di cui all’art. 1350 CC, nn. da 1 a 12), sono idonei a soddisfare il requisito della forma scritta ad substantiam (cioè per la loro validità), solo se sottoscritti con firma elettronica qualificata o digitale; per “gli altri atti specialmente indicati dalla legge” (ex art. 1350 CC, n. 13) è ammessa anche la firma elettronica avanzata.
4. L’autenticazione delle firme elettroniche e l’atto pubblico informatico
L’art. 25 del CAD dispone che possano essere autenticate dal notaio o da un pubblico ufficiale autorizzato tutte le firme elettroniche sopra descritte, unicamente, però, attraverso l’utilizzo della propria firma digitale. In particolare, la predetta autenticazione consisterà nell’attestazione, da parte del pubblico ufficiale:
- che la firma è stata apposta in sua presenza dal titolare, previo accertamento della identità personale di questi;
- che l’eventuale certificato elettronico utilizzato è valido;
- che il documento sottoscritto non è in contrasto con l’ordinamento giuridico.
Per quel che riguarda l’atto pubblico informatico, si ricorda che la disciplina di riferimento è contenuta nel D.Lgs 110/10. In breve: le parti possono firmare utilizzando una delle firme descritte, mentre il notaio è tenuto a firmare con la propria firma digitale, essendo l’atto una sua dichiarazione.
Stefania Fabris*
* Responsabile servizio affari generali di ente locale
________________________________________________
1 Il suddetto principio, valevole sia per i documenti informatici formati dalle pubbliche amministrazioni che dai privati, si ritrova oggi nell’art. 20, co. 1, del Codice dell’amministrazione digitale.
2 Sul punto V. Consiglio di Stato – Sezione consultiva per gli atti normativi – adunanza del 7 febbraio 2005, parere allo schema di decreto legislativo recante il “Codice dell’amministrazione digitale”.
3 Di fatto, la firma elettronica è utilizzata quotidianamente dalla generalità dei cittadini, senza neppure averne la consapevolezza: ad es., quando si digita il codice PIN allo sportello bancomat o quando vengono richieste le credenziali di accesso alla propria casella di posta elettronica.
4 La firma elettronica avanzata è la firma più recente, introdotta nell’ordinamento italiano nel 2010 col D.Lgs n. 253, modificativo del Codice dell’amministrazione digitale.
5 Si tratta della firma più antica tra le quattro, introdotta del nostro ordinamento nel 1997 col DPR n. 513 (oggi abrogato).
6 Si noti che la definizione, basata su quella di firma elettronica avanzata, manca tuttavia di un opportuno riferimento al dispositivo sicuro di firma: con molta probabilità si tratta di una svista del legislatore da correggere quanto prima. Se così non fosse, la suddetta definizione condurrebbe a conseguenze irragionevoli, facendo risultare la firma digitale meno sicura della firma elettronica qualificata, essendo solo quest’ultima basata espressamente su un dispositivo sicuro di firma.
7 Il principio della neutralità tecnologica con riguardo al documento informatico ha la finalità di ridurre al massimo le restrizioni alle modalità di formazione dei documenti, promuovendo, tra l’altro, l’interoperabilità dei sistemi. Da ciò deriva il riconoscimento della validità di tutti gli standard tecnici presenti sul mercato.
8 Sull’efficacia probatoria di documenti informatici privi di firma, tra le altre, Cassazione nn. 11445/2001; 9884/2005; sulla produzione in giudizio di una pagina web Cassazione nn. 2912/2004; 6911/2009.
9 Tra gli altri, Finocchiaro G. “Quanto vale il documento informatico senza firma?” in http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/il-nuovo-cad-a-puntate-4-quanto-vale-il-documento-informatico-senza-firma/
10 Sull’efficacia probatoria di documenti informatici con firma elettronica, tra le altre, Tribunale di Torino, 12/02/2008 e Tribunale di Prato, 15/04/2011.
11 Si noti che, a seguito delle modifiche apportate al CAD dal dl 179/2012, il disconoscimento del documento informatico, basato sulla prova del mancato utilizzo del dispositivo di firma da parte del titolare, viene oggi limitato alle sole firme elettronica qualificata e digitale, scegliendo espressamente di non menzionare la firma elettronica avanzata. Si tratta di un’opportuna precisazione, posto che la firma elettronica avanzata non richiede necessariamente un dispositivo di firma (si pensi, ad es., alla firma grafometrica, in cui la sottoscrizione autografa viene apposta su un tablet informatico con una particolare penna, procedura che non richiede l’utilizzo di nessun dispositivo di firma).
12 Il titolare del dispositivo dovrà dunque dimostrare di non averne fatto uso, ad es., producendo denuncia in caso di furto (eventualità che va peraltro tempestivamente comunicata al certificatore per la revoca del certificato) o, ancora, dimostrando di esser stato nell’impossibilità di firmare.
13 Rileva sul punto la differenza di fondo rispetto al disconoscimento della scrittura privata, regolato dall’art. 214 CPC, secondo cui “Colui contro il quale è prodotta una scrittura privata, se intende disconoscerla, è tenuto a negare formalmente la propria scrittura o la propria sottoscrizione. (…)”.