...

Il valore giuridico dei documenti informatici

by user

on
Category: Documents
36

views

Report

Comments

Transcript

Il valore giuridico dei documenti informatici
SCUOLA SUPERIORE DELLA MAGISTRATURA
Struttura territoriale della formazione decentrata del distretto di Roma - corso T16001
«IL DOCUMENTO INFORMATICO E LA PROVA NEL PROCESSO CIVILE :
UN CODICE AL PASSO CON I TEMPI ?»
Corte di Appello di Roma - Aula Europa
Roma, 25 - 27 gennaio 2015
Giovanni Buonomo *
Il valore giuridico e l’efficacia probatoria dei documenti informatici.
________________________________________________
* Presidente della seconda sezione civile della Corte di appello di Roma.
pag. 1/22
Sommario: 1. Premessa e quadro normativo di riferimento ― 2. Il documento e
la scrittura privata informatica ― 3. Il valore probatorio delle scritture
informatiche, in generale — 4. Valore probatorio dei documenti informatici privi
di firma: pagine WEB, fax, messaggi di testo SMS, messaggi di posta
elettronica — 5. Firme elettroniche e forma scritta ad substantiam e ad
probationem — 6. Conclusioni.
1. Premessa.
L’Italia è stato uno dei primi Paesi al mondo ad equiparare, agli effetti giuridici, i
documenti informatici muniti di firma digitale ai documenti formati su supporto
cartaceo allo scopo di dare valore giuridico ai documenti destinati a circolare
nell’ambito della Rete unitaria della pubblica amministrazione (R.U.P.A.), uno
dei più importanti progetti intersettoriali realizzati in questo Paese negli ultimi
cinquant’anni.
Il progetto, come evidenziato nella direttiva del Presidente del Consiglio dei
ministri del 5 settembre 1995 (in GU 21/11/1995 n. 272), mirava a realizzare un
sistema di interconnessioni tra le amministrazioni del comparto centrale dello
Stato e tutte le amministrazioni pubbliche come «momento essenziale del
processo di ammodernamento dell’amministrazione pubblica», collegando tra
loro per via telematica inizialmente i ministeri e i loro uffici periferici, nonché
(attraverso un meccanismo di adesione volontaria) gli enti locali, creando un
«centro unitario erogatore di dati e prestazioni amministrative» che avrebbe
favorito un radicale mutamento del rapporto tra Stato e cittadini.
Non è questa la sede per analizzare i molteplici fattori economici e politici che
portarono, nel corso degli anni Novanta, alla introduzione delle tecnologie
dell’informazione come strumento per il recupero di efficienza e di razionalità
nella pubblica amministrazione (esigenza fortemente sentita nel nostro Paese
sin dalla pubblicazione, nel 1979, del «Rapporto sui principali problemi
dell’amministrazione dello Stato» di Massimo Severo Giannini). Ma va detto,
comunque, che l’esigenza di favorire lo scambio di informazioni per via
telematica, tra pubbliche amministrazioni e cittadini, attraverso una rete
informatica nazionale (e il trasferimento degli archivi cartacei della P.A. su
archivi basati sui supporti informatici) costituiva un’evoluzione naturale dei
principi contenuti nel «Rapporto Bangemann» pubblicato nel 1994 all’esito del
lavoro di un gruppo di esperti di alto livello, costituito su mandato del Consiglio
europeo e presieduto dal commissario Martin Bangemann, ove si faceva cenno,
per la prima volta, alle firme elettroniche che avrebbero dovuto sostituire le
firme autografe su documenti formati su supporti informatici destinati a sostituire
pag. 2/22
completamente i supporti cartacei (anche nell'impiego, nelle controversie, come
prova in giudizio).
Per dare valore legale ai documenti destinati a circolare nell’ambito della Rete
unitaria delle pubbliche amministrazioni (evitando che, una volta trasmessi e
giunti a destinazione, venissero stampati su carta per essere sottoscritti con
una firma autografa) l’art. 15, comma 2, della legge n. 59 del 1997 stabilì,
dunque, il fondamentale principio di equivalenza, secondo cui
«Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con
strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la
loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti
gli effetti di legge. I criteri e le modalità di applicazione del presente comma sono stabiliti,
per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare entro
centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell'articolo
17, comma 2, della legge 23 agosto 1988, n. 400. Gli schemi dei regolamenti sono trasmessi
alla Camera dei deputati e al Senato della Repubblica per l’acquisizione del parere delle
competenti Commissioni.»
Le disposizioni regolamentari, destinate a dare attuazione al principio di legge,
ancorché emanate tempestivamente, subirono nel tempo numerosi interventi
correttivi, principalmente dovuti alla continua evoluzione delle conoscenze
scientifiche in un settore ove l’obsolescenza tecnologica è più rapida delle
capacità di adattamento e di risposta del legislatore.
Le «modalità di applicazione» richieste dall’art. 15 furono dapprima stabilite nel
d.P.R. n. 513 del 1997 che (emanato a distanza di pochi mesi dalla legge n. 59)
prevedeva, all’art. 10, comma 2, «l'apposizione o l'associazione della firma
digitale al documento informatico» quale strumento equivalente alla
sottoscrizione autografa dei documenti scritti su supporto cartaceo e attribuiva,
ex art. 5, al «documento informatico, sottoscritto con firma digitale ai sensi
dell’articolo 10 […] efficacia di scrittura privata ai sensi dell'articolo 2702 del
codice civile».
Col DPCM 8 febbraio 1999, contenente le «regole tecniche per la formazione,
la trasmissione, la conservazione, la duplicazione, la riproduzione e la
validazione, anche temporale, dei documenti informatici» il quadro normativo fu
completato con la piena equiparazione del documento informatico, munito di
firma digitale, alla tradizionale scrittura privata sottoscritta su supporto cartaceo.
Il regolamento del 1997 fu poi abrogato dal D.P.R. 28 dicembre 2000, n. 445
(contenente il testo unico delle disposizioni legislative e regolamentari in
materia di documentazione amministrativa), nel quale confluirono le norme sul
documento e sulla firma digitale.
pag. 3/22
Il nuovo assetto normativo non durò tuttavia a lungo, a causa dei mutamenti
imposti dalla direttiva comunitaria 1999/93/CE, emanata allo scopo di ridurre
ad un quadro normativo unitario le diverse discipline adottate dai singoli Stati
dell’Unione (tra cui Spagna, Germania, Austria, Francia e Gran Bretagna che,
come l’Italia, avevano provveduto ad equiparare, a fini probatori, i documenti
informatici a quelli cartacei).
La direttiva era ispirata al principio di neutralità tecnologica, che vieta al
legislatore nazionale di condizionare, anche indirettamente, attraverso il
riferimento a standard tecnologici adottati da specifici prodotti, la libera
circolazione dei prodotti e dei servizi utilizzabili per le firme elettroniche.
Italia e Germania, dove i regolamenti adottati prima dell’emanazione della
direttiva facevano esclusivo riferimento al sistema di cifratura a chiave pubblica,
furono allora costrette a rivedere tutte le disposizioni che — di fatto —
ammettevano per la firma di un documento informatico soltanto
prodotti
software riferibili ad una infrastruttura di distribuzione delle chiavi pubbliche
nell’ambito di sistemi di firma digitale.
Com’è noto, per firma digitale s’intende quel particolare metodo crittografico che
consente di attribuire con certezza un documento, formato con strumenti
informatici o trasmesso per via telematica, al suo autore grazie all’uso di due
chiavi di cifratura (definite, rispettivamente, chiave «privata» e chiave
«pubblica»). Il sistema è basato su funzioni matematiche «ad una via»: poiché
ogni chiave può, indifferentemente, essere utilizzata per cifrare o decifrare, ma
la chiave utilizzata per cifrare non può essere utilizzata per decifrare (e, cosa
più importante, la conoscenza di una delle due chiavi non fornisce alcuna
informazione per ricostruire l'altra chiave), una delle chiavi può essere resa
pubblica ed utilizzata per la verifica della firma o per cifrare il contenuto del
documento.
Dati i limiti di questa breve relazione, dobbiamo dare necessariamente per noti i
profili tecnologici della firma digitale e le principali modalità d’impiego delle
tecniche crittografiche ideate, sul finire degli anni Settanta, da W. Diffie e M.
Hellmann (nonché le funzioni matematiche necessarie per implementare questo
schema in prodotti software di grande diffusione, successivamente scoperte dai
matematici del MIT di Boston R. Rivest, A. Shamir e L. Adleman per garantire
integrità, disponibilità e riservatezza del documento informatico).
La prima, e più importante, conseguenza giuridica dell’approccio comunitario
«tecnologicamente neutrale» ai prodotti di firma fu, pertanto, il riconoscimento,
accanto ai sistemi di cifratura di stringhe rappresentative del testo, come la
firma digitale, di combinazioni di dati usualmente utilizzate per accedere ai
sistemi informatici, come l’uso dell’identificativo personale (user ID) associato
ad una parola o sigla di riconoscimento (password).
pag. 4/22
Fece così ingresso nell’ordinamento comunitario la «firma elettronica», definita
come una qualsiasi «associazione logica» in grado di connettere «dati in forma
elettronica» ad altri «dati elettronici» al fine di essere utilizzati nella procedura
di identificazione che consente l’accesso e l’uso del medesimo sistema (la c.d.
«autenticazione informatica» come definita dall’art. 1, lett. b, del d. lgs. n.
82/2005), volta a disciplinare tutti gli strumenti utilizzati per identificare e
convalidare dati (come nel caso del PIN utilizzato per avere accesso ad un
distributore automatico di banconote o ad un sistema di posta elettronica) con
strumenti crittografici diversi dall’architettura a chiavi pubbliche.
La direttiva introdusse, poi, l’ulteriore categoria della «firma elettronica
avanzata», definita dall’art. 2.2 come una firma elettronica «(a) connessa in
maniera unica al firmatario; (b) idonea ad identificare il firmatario; (c) creata con
mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d)
collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni
successiva modifica di detti dati ».
Questa definizione ben si adattava alle firme elettroniche basate su
un’infrastruttura globale a chiave pubblica e sull’uso di strumenti crittografici
(chiavi private e chiavi pubbliche) per la firma e la verifica dei documenti
informatici, poiché apparve evidente che solo quelle firme che sono connesse in
maniera unica al firmatario, e consentono l’identificazione dell’autore dello
scritto, sono idonee a garantire le funzioni tipiche della firma di un documento
(quella dichiarativa e quella indicativa, in primo luogo).
Dopo avere operato la fondamentale distinzione tra firme «elettroniche» e
«firme elettroniche avanzate» (da intendere nel senso di «tecnologicamente
progredite»), tuttavia, la direttiva precisò (con l’art. 5, comma 1) che solo le
firme elettroniche avanzate, basate su un certificato qualificato e create
mediante un dispositivo sicuro avrebbero potuto equipararsi, quanto ai
«requisiti legali», alle firme autografe (e conseguentemente valutarsi come
idonee a costituire prova in giudizio), imponendo agli Stati membri (art. 5,
comma 2) l’adozione di ulteriori misure «…affinché una firma elettronica non
sia considerata legalmente inefficace e inammissibile come prova in giudizio
unicamente a causa del fatto che essa è in forma elettronica, o non basata su
un certificato qualificato, o non basata su un certificato qualificato rilasciato da
un prestatore di servizi di certificazione accreditato, ovvero non creata da un
dispositivo per la creazione di una firma sicura» (c.d. principio di non
discriminazione).
In sostanza, nella direttiva del 1999 tutti i documenti sottoscritti con firma
elettronica avanzata (non anche quelli muniti di una semplice firma elettronica)
erano considerati idonei ad essere valutati in giudizio ai fini probatori,
considerato che questi strumenti devono, comunque, consentire di identificare il
pag. 5/22
firmatario, garantire l’integrità e l’immodificabilità involontaria del documento e
un «controllo esclusivo» sul mezzo usato per firmare; ma solo i documenti
associati ad un certificato rilasciato da un certificatore qualificato e firmati con
uno strumento di firma «sicuro» furono dichiarati astrattamente idonei ad
essere equiparati ai documenti formati su carta e sottoscritti con firma
autografa.
Trascorso poco più di un anno dall’introduzione del testo unico sulla
documentazione amministrativa — d.P.R. 28 dicembre 2000, n. 445 — il 2
marzo 2002 entrò in vigore il d.lgs. 23 gennaio 2002, n. 10 che, nell’introdurre le
norme di recepimento della direttiva 99/93/CE sulle firme elettroniche, operò
nuove e profonde modifiche al sistema (sostituendo, tra l’altro, il fondamentale
articolo 10 del testo unico sulla efficacia giuridica del documento informatico).
La nuova disposizione — che restò in vigore sino al 31 dicembre 2005 — fu
aspramente criticata, perché impediva il disconoscimento della scrittura
informatica, distaccandosi dal modello dell’art. 2702 cod. civ. senza accogliere
le norme della direttiva che imponevano una piena equiparazione tra i
documenti informatici ed i documenti cartacei muniti di firma autografa.
Ulteriori modifiche furono successivamente introdotte dalla legge 16 gennaio
2003, n. 3, dal d.P.R. 7 aprile 2003, n. 137, e dal d.lgs. 30 giugno 2003, n. 196,
che andarono nuovamente ad incidere sulle norme del testo unico dedicate alla
certificazione delle chiavi e alle definizioni contenute nel primo articolo.
Si giunse così al c.d. codice dell’amministrazione digitale, emanato con d.lgs. 7
marzo 2005, n. 82 (c.a.d.) in attuazione della legge n. 229 del 2003 nell’ambito
di quel processo di superfetazione normativa inaugurato da altre due
«codificazioni» di quel periodo: il codice sulla protezione dei dati personali
(emanato con d.lgs. 30 giugno 2003, n. 196) e il codice delle comunicazioni
elettroniche (d.lgs. 1 agosto 2003, n. 259).
Nel «codice», che negli intenti del legislatore avrebbe dovuto costituire lo
strumento di attuazione della «rivoluzione digitale» della P.A., confluirono sia le
norme sui documenti informatici che quelle sulle firme elettroniche,
determinando i presupposti per il definitivo passaggio, nei rapporti tra
amministrazioni pubbliche, cittadini ed imprese, dalla carta al documento
informatico.
Pochi mesi dopo la sua entrata in vigore il codice subì nuove ed importanti
modifiche per effetto del d.lgs. 4 aprile 2006, n. 159, che aggiunse al corpo del
codice un intero capo (l’ottavo) dedicato al Sistema pubblico di connettività
(accorpando le norme precedentemente dettate dal d.lgs. n. 42 del 2005) e
riscrisse i fondamentali articoli 20 e 21 del c.a.d.
Quanto all’efficacia probatoria del documento, il primo comma dell’art. 21
estese il libero apprezzamento del giudice alla integrità e immodificabilità, oltre
pag. 6/22
che qualità e sicurezza, del documento informatico sottoscritto con firma
elettronica; mentre il secondo comma stabilì che «L'utilizzo del dispositivo di
firma si presume riconducibile al titolare, salvo che questi dia prova contraria»
introducendo nell’ordinamento una «presunzione di firma» destinata ad avere
rilevanti conseguenze in tema di disconoscimento e di verificazione.
Le ultime modifiche sono storia abbastanza recente: il d.lgs. n. 235 del 2010 ha
riscritto il comma 2 dell’art. 21, prevedendo un comma 2-bis che ha introdotto,
sul piano sostanziale, la distinzione tra scritture forti e scritture deboli (laddove
solo le prime, sottoscritte con firma elettronica qualificata o digitale, sono idonee
a soddisfare la forma scritta ad substantiam contemplata dall'art. 1350, nn.
1-12, c. c.); mentre, sul piano probatorio, il nuovo comma 2 ha attribuito l'efficacia prevista dall'articolo 2702 cod. civ., non più ai soli documenti sottoscritti
con firma digitale o con un altro tipo di firma elettronica qualificata, ma ad ogni
documento informatico «sottoscritto con firma elettronica avanzata, qualificata o
digitale, […] che garantiscano l'identificabilità dell'autore, l’integrità e
l'immodificabilità del documento». Fino ad arrivare alla legge n. 221 del 2012
che ha nuovamente ridisegnato il sistema intervenendo sul piano dell’efficacia
sostanziale e probatoria del documento informatico.
Infine, il regolamento comunitario n. 910 del 23 luglio 2014 (EIDAS) ha
abrogato, a partire dal 1 luglio 2016, le disposizioni della direttiva n. 93/1999
stabilendo le condizioni per il riconoscimento reciproco in ambito di
identificazione elettronica (eID – Electronic IDentification) e le regole guida per i
servizi fiduciari per le transazioni elettroniche (eTS – Electronic Trust Services).
§ 2 — Il documento e la scrittura privata informatica.
L’aggettivo «informatico» qualifica il «documento» come scritto su un supporto
diverso dalla carta: il documento informatico è infatti un documento scritto su un
supporto informatico. Come il documento scritto su carta (o su un qualsiasi altro
supporto) il documento informatico svolge nell’ordinamento giuridico la funzione
di conservare nel tempo un atto o un fatto (dato) giuridicamente rilevanti.
L’art. 1 lett. «p» del codice dell'amministrazione digitale (c.a.d.) definisce, per
questo, il documento informatico come la «rappresentazione informatica di atti,
fatti o dati giuridicamente rilevanti» e richiama, con pochi aggiustamenti, la
tradizionale teoria «rappresentativa» accolta nel codice civile (secondo cui il
documento è destinato a raccogliere, a futura memoria, su un supporto di
qualsiasi tipo, la rappresentazione di fatti o atti giuridicamente rilevanti). Dunque
un contratto, scritto su tavolette cerate, su pietra o pergamena, resta pur
pag. 7/22
sempre un atto in forma scritta, quale che sia la natura del corpo recettore a cui
è affidato il compito di trattenere le informazioni nel tempo.
Seguendo l’evoluzione delle conoscenze tecnologiche, il tradizionale supporto
cartaceo è stato sostituito con diversi tipi di supporti alternativi costituiti da
dischi magnetici contenuti in custodie di materiale plastico flessibile (floppydisk), da dischi a lettura ottica (CD-ROM – DVD-ROM) e, da ultimo, dalle
memorie «a stato solido». Ma, in ogni caso, per garantire e preservare nel
futuro la testimonianza di un fatto (ad esempio, una dichiarazione negoziale) o
per formare una dichiarazione (ad esempio, un provvedimento amministrativo) il
documento è sempre costituito da una informazione diretta all’altrui conoscenza
e veicolata da un elemento fisico (il supporto su cui è registrata l’informazione).
§ 3 — Il valore probatorio delle scritture informatiche, in generale.
Sono le firme elettroniche (in particolare la c.d. «firma avanzata») apposte sul
documento a determinare l’efficacia probatoria della scrittura informatica, così
come per il documento scritto su supporto cartaceo è sempre la firma a
determinare quella presunzione, che affonda le radici nel diritto romano
postclassico, secondo cui il firmatario è l’autore del documento e colui che
assume su di sé gli effetti giuridici dell’atto.
L’introduzione, nelle prassi negoziali, della formalità della scriptura risalgono,
com’è noto, allo jus novum, anche se si è soliti ricordare, nei manuali del diritto
romano, lo scriptum Adversos Falsarios di Nerone, del 61 d.C., che sanciva per
la prima volta l’inefficacia probatoria di taluni atti inter vivos a carattere
convenzionale privi di suggello (che, sul polittico formato da più tabulae era di
norma impresso con l’anello sulla resina colata sulla giuntura, in modo da
firmare, cioè trattenere, bloccare, l’apertura non voluta).
Nella scrittura tradizionale, prevalentemente su supporto cartaceo, solo il segno
unico dell’autore (la firma) assolve la funzione indicativa, dichiarativa e
probatoria che sono, per la tradizionale dottrina e per la giurisprudenza, le
funzioni tipiche della sottoscrizione di un documento, volte a individuare l’autore
del documento (funzione «indicativa»), a render nota la volontà dell’autore di
assumere su di sé le conseguenze giuridiche dell’atto (funzione «dichiarativa»)
e quella di conservare nel tempo la prova del compimento di un fatto o atto
giuridicamente rilevanti (funzione «probatoria»).
La firma digitale, tuttavia, è cosa diversa dalla sottoscrizione autografa, poiché
essa è l’effetto di un processo di cifratura del testo (rectius: la cifratura di un
estratto indicativo del testo costituito dalla stringa di hash) ed è apponibile al
documento, attraverso lo strumento di firma, anche da altri soggetti. Essa,
pag. 8/22
dunque, è riconducibile alla coppia di chiavi utilizzata per cifrare e non al
soggetto che quella coppia di chiavi ha utilizzato (da qui l’esigenza che un
soggetto, il certificatore, garantisca l’identità del titolare). Per non parlare delle
firme elettroniche comuni che, costituite solo da dati associati ad altri dati a fini
di identificazione (tipicamente: lo user name e la password utilizzati per
accedere a servizi informatici) possono utilizzarsi come strumento per
identificare l’autore del documento solo per via presuntiva.
Può dirsi, dunque, che sono le firme elettroniche a determinare il valore
giuridico della scrittura informatica, nella misura in cui l'efficacia probatoria del
documento dipende dalla presenza di una firma elettronica e, in secondo luogo,
dal tipo di firma elettronica in concreto utilizzata.
4. Valore probatorio dei documenti informatici privi di firma: pagine WEB,
fax, messaggi di testo SMS, messaggi di posta elettronica.
L'art. 20, comma 1, del c.a.d. stabilisce che
«L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore
probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche
oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto
dall'articolo 21».
Si tratta di una formulazione alquanto oscura, poiché i documenti informatici
non firmati sono — dalla giurisprudenza della Corte di cassazione — ricondotti
alla previsione dell’art. 2712 del codice civile (così, tra le tante, Cass. n.
3122/2015, n. 2117/2011 e Cass. n. 12949/1997) come «rappresentazioni
meccaniche» degli atti o dei fatti rappresentati dalla pagina web (Cass. n.
2912/2004, in motivazione); sicché, anche in caso di disconoscimento della
conformità delle cose o dei fatti rappresentati nel documento informatico, nulla
impedisce che il giudice possa accertare l’autenticità del documento attraverso
altri mezzi di prova o presunzioni.
Nel 2004 la Corte di cassazione affermò che, poiché le informazioni tratte da
una rete telematica sono «per loro natura volatili e suscettibili di continua
trasformazione», andrebbe esclusa la qualità di documento di una copia di una
pagina web raccolta «senza garanzie di rispondenza all’originale e di riferibili a
un ben individuato momento» (Cass. n. 2912/2004, cit.).
Per fortuna, l’obiter dictum, evidentemente sfuggito dalla penna dell’estensore,
non è vincolante per l’interprete. Pensiamo al contenuto diffamatorio di un
commento o di un articolo pubblicati sul web: se la stampa di una pagina web
pag. 9/22
non avesse alcun valore probatorio sarebbe praticamente impossibile provare il
contenuto diffamatorio di un articolo o di un commento pubblicati sul web dopo
la rimozione dei contenuti offensivi dal sito.
La pagina web (preferibilmente con la lettera minuscola, come “telefono” o
“televisione”) è, invece, un documento informatico che rappresenta lo stato di
un nodo informatico della rete internet (un «sito») in un determinato momento.
Il web è — com’è noto — uno dei principali servizi dell’internet (inventato da Tim
Berners Lee nel 1991) ed è costituito da una serie di collegamenti ipertestuali
che collegano più «nodi» della rete telematica. Attraverso il linguaggio di
markup HTML e i protocolli di trasferimento HTTP e HTTPS e uno schema
univoco di individuazione dei siti (URL) è possibile distribuire in rete contenuti
testuali e multimediali accessibili a chiunque disponga di un accesso telematico
e di un software per sfogliare le pagine (un browser, appunto), senza
costringere l’utente, come avveniva nell’era pre-ipertestuale, ad utilizzare una
complessa sintassi per interrogare la base di dati e accedere alle informazioni
richieste.
Ciò che appare sullo schermo del nostro computer quando accediamo ad un
sito internet non è altro che la replica, scaricata nella memoria di lavoro del
nostro PC, delle informazioni presenti sul sito che stiamo visitando.
Si tratta, pertanto, della «rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti» o, in altri termini, di un documento informatico.
La pagina web (così come i messaggi di posta elettronica non muniti di firma
elettronica o i messaggi di testo SMS) è dunque un documento che può essere
introdotto nel giudizio come prova anche se non sottoscritto.
Il codice civile disciplina espressamente numerosi documenti che possono
costituire prova nel giudizio ancorché non sottoscritti dal suo autore: il
telegramma (art. 2705 cod. civ.), i registri domestici (art. 2707 cod. civ.), le
annotazioni del creditore a margine dei documenti in suo possesso (art. 2708
cod. civ.), le scritture contabili prodotte contro l’imprenditore (art. 2709 e ss.
cod. civ.), le copie delle scritture (art. 2714 e ss. cod. civ.), e, cosa più
importante ai fini di questa breve trattazione, le riproduzioni meccaniche
(fotografiche, informatiche o fonografiche) di atti o fatti (art. 2712 cod. civ.)
La posta elettronica, consistendo in un testo (con o senza allegati) inviato al
gestore del servizio perché sia inoltrato a destinazione con la consegna nella
casella di posta elettronica del destinatario, appare ipotesi assimilabile − sul
piano dell’efficacia probatoria e in via analogica − a quella del telegramma: se il
messaggio non è sottoscritto (e la maggior parte delle e-mail non lo è) il giudice
può ritenere provati i fatti in esso descritti sino a che la parte, contro cui il
documento viene utilizzato, non lo disconosca.
pag. 10/22
La giurisprudenza di merito è giunta − tuttavia − ad affermare (prevalentemente
al fine di emettere decreti ingiuntivi) che l'e-mail costituirebbe sempre un
documento informatico sottoscritto con firma elettronica poiché il mittente, per
inviare il messaggio, è obbligato a inserire il proprio identificativo personale
(username) e il proprio codice di accesso (così Trib. Verona 26 novembre 2005
in Giur. merito 2005,10,2129)
Il problema si è posto particolarmente alla luce della normativa abrogata dal
codice dell’amministrazione digitale; ma potrebbe riproporsi anche in
applicazione delle vigenti disposizioni che affidano la valutazione della idoneità
del documento informatico a soddisfare «il requisito della forma scritta» (art. 20
c.a.d.) e l’efficacia probatoria del documento informatico munito di firma
elettronica al prudente apprezzamento del giudice (art. 20, comma 1 bis, c.a.d.)
Si tratta di un argomento delicato: la facilità con cui, utilizzando un
reindirizzatore anonimo di posta elettronica (remailer) un soggetto
malintenzionato potrebbe procurarsi un falso riconoscimento di debito, inviando
ad un suo indirizzo messaggi precostituiti apparentemente provenienti
dall’inconsapevole debitore, dovrebbe indurre l’interprete alla prudenza.
L’articolo 634 cod. proc. civ. indica, tra le altre prove scritte, idonee per emettere
un decreto di ingiunzione, le «promesse unilaterali per scrittura privata» e «i
telegrammi, anche se mancanti dei requisiti prescritti dal codice civile»
Quanto alla prima condizione di ammissibilità, è evidente che solo un
documento informatico equiparabile alla scrittura privata potrebbe essere
assunto come prova scritta idonea. La sottoscrizione autografa di un
documento − come detto − per la sua funzione di individuazione dell'autore
dello scritto, costituisce un elemento essenziale di ogni scrittura privata, nel
senso che solo il documento che contenga una firma riconosciuta (o non
disconosciuta) dal suo autore è utilizzabile in giudizio come prova di un fatto
giuridicamente rilevante.
Ebbene, l’ordinamento vigente riconosce solo al documento informatico
sottoscritto con firma elettronica «avanzata, qualificata o digitale» (art. 21 c.a.d.)
l’efficacia probatoria propria della scrittura privata, che fa piena prova della
provenienza delle dichiarazioni in essa contenuta sino a che non venga
disconosciuta. E considerando che la firma elettronica è soltanto un «insieme
dei dati in forma elettronica, allegati oppure connessi tramite associazione
logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica», è evidente che solo la firma avanzata (tra cui devono annoverarsi
la firma digitale e la firma grafometrica) è in grado di garantire «l'identificabilità
dell'autore, l'integrità e l’immodificabilità del documento.
La password inserita per accedere al servizio di posta elettronica serve
all'utente di un servizio telematico per farsi riconoscere (non certo dal
pag. 11/ 22
destinatario del messaggio, ma) dal fornitore del servizio al fine di utilizzare il
sistema di inoltro e di ricezione della posta. Nei rapporti giuridici tra questi due
soggetti (il fornitore del servizio di posta elettronica e l'utilizzatore) il codice
utilizzato per richiedere l'accesso alla casella postale viene utilizzato soltanto
per erogare il servizio e − in un certo senso − per «firmare» (nel senso sopra
indicato) il registro degli accessi (che potrebbe essere successivamente
utilizzato dall’utente del servizio o da fornitore in caso di contestazioni o per fini
di controllo).
Il codice di accesso inserito per accedere ad un servizio telematico, dunque,
non è una «firma» apposta o associata al messaggio di posta elettronica (col
quale non ha alcun legame tecnologico, logico o giuridico) ma è diretta al
fornitore del servizio per ottenere l'adempimento del contratto: il motivo per cui il
mittente del messaggio inserisce nel sistema la propria password non consiste
nella volontà di «far proprio» il contenuto del documento inviato con la posta
elettronica, ma nella volontà di ottenere, da un soggetto diverso dal
destinatario, l'accesso al sistema che consente e garantisce l'inoltro a
destinazione della posta elettronica.
Perché un documento informatico soddisfi il requisito della prova scritta
richiesto dall’art. 633 cod. proc. civ. è, dunque, necessario che ad esso sia
consapevolmente, da parte dell'autore dello scritto, apposta o associata in
modo inscindibile e immodificabile una sequenza di caratteri verificabile e
riconducibile all'autore del documento. Dunque, è necessario che esso sia
equivalente ad una scrittura privata; e ciò avviene solo quando il documento
informatico è sottoscritto con una firma avanzata, qualificata o digitale, ex art.
21 c.a.d.
Un messaggio di posta elettronica, non munito di firma apposta o associata al
messaggio, è − pertanto − un documento scritto (su supporto informatico),
trascritto (per via telematica) ma non anche sottoscritto (perché non è firmato).
Anche le riproduzioni «meccaniche» (tra cui rientrano, ex art. 23 del d.lgs. n. 82
del 2005, anche le riproduzioni informatiche) formano piena prova dei fatti o
delle cose in esse rappresentati, se non sono disconosciute in giudizio dalla
parte contro cui vengono prodotte (art. 2712 cod. civ.).
Nell’elencazione, non tassativa, dell’articolo 2712 cod. civ. non rientrano le
copie fotografiche di scritture e i telegrammi, che sono ipotesi specificamente
disciplinate dagli artt. 2719 e 2705 cod. civ. Rientrerebbe, invece, il telefax,
secondo una tesi che sembra accolta dalla giurisprudenza di legittimità,
seppure aspramente criticata dalla dottrina assolutamente maggioritaria, che si
richiama ai principi dell’art. 2719 cod. civ. (copia fotografica di scritture).
Invero, il meccanismo di trasmissione di un fax si fonda, essenzialmente, sulla
digitalizzazione a bassa risoluzione dell’originale (attraverso la scansione ottica
pag. 12/22
del documento inserito nella macchina), nell’invio a distanza dell’immagine del
documento (da cui il nome: tele-facsimile), utilizzando un modulatore di suoni e,
come veicolo di trasporto, la linea telefonica e, infine, nella demodulazione dei
suoni e nella stampa del documento. Il fax, pertanto, costituisce una copia
teletrasmessa dell’originale, che resta in possesso del mittente.
Sembra, dunque, che il documento che perviene al destinatario sia assimilabile
ad una copia fotografica del documento originale (una sorta di fotocopia a
distanza) più che ad una riproduzione informatica o fotografica. Pur non
essendo firmata in originale, dunque, la copia teletrasmessa mantiene la stessa
efficacia del documento originale se la sua conformità non viene
espressamente disconosciuta (o
è attestata da un pubblico ufficiale
autorizzato) come dispone l’art. 2719 cod. civ.
L’applicazione dell’art. 2719, peraltro, è conseguente ad una applicazione
estensiva, più che analogica, della norma poiché il fax, in quanto immagine
dell’originale, che può rimanere archiviata nella memoria della macchina
telecopiatrice come una copia informatica o essere teletrasmessa e stampata
su carta, è assimilabile ad una copia fotografica della scrittura originale.
Quanto all’efficacia probatoria del fax, argomentando sulla base della
giurisprudenza formatasi sulle copie fotostatiche o fotografiche, occorre
distinguere il disconoscimento della conformità della copia all’originale dal
disconoscimento del contenuto del documento o della sottoscrizione.
In un primo momento, la giurisprudenza di legittimità riteneva che, in caso di
disconoscimento della conformità della copia all’originale, il giudice avrebbe
potuto accertare la corrispondenza della copia con l’originale anche utilizzando
altri mezzi di prova, comprese le presunzioni; mentre nell’ipotesi di
disconoscimento del contenuto del documento o della sottoscrizione della
scrittura rappresentata dalla copia prodotta in giudizio la parte che intendeva
utilizzare il documento disconosciuto avrebbe dovuto produrre in giudizio
l’originale per chiederne la verificazione (in difetto della quale il documento
sarebbe stato del tutto inutilizzabile in giudizio).
A partire dal 1999, invece, la Corte suprema ha iniziato a considerare i casi in
cui la parte che ha prodotto in giudizio la copia non sia in possesso
dell’originale, perché nell’impossibilità materiale di procurarselo o per aver
perduto il documento senza colpa (Cass. n. 11739/1999, cui ha fatto seguito
Cass. n. 1831/2000 e molte altre conformi).
In mancanza dell’originale, un giudizio di verificazione sulla copia della scrittura
cartacea sarebbe inammissibile, perché la copia non è stata formata dall’autore
della scrittura e non può essere a lui ascritta; e sarebbe comunque, sul piano
probatorio, inattendibile, perché solo l’originale consente all’esperto di valutare
quei caratteri (digitopressione, andamento della scrittura, qualità degli inchiostri)
pag. 13/22
che rendono lo scritto attribuibile con certezza al suo autore. Anche nei casi di
disconoscimento del contenuto della copia (non solo nei casi di
disconoscimento della conformità) si è ritenuta ammissibile, allora, la prova con
ogni altro mezzo ammissibile, compresa la prova testimoniale, nei casi dell’art.
2724 cod. civ., dei fatti rappresentati dal documento prodotto in copia, senza
richiedere la produzione dell’originale e la verificazione.
In altri termini, in difetto dell’originale, la copia disconosciuta non può essere
posta dal giudice a fondamento della decisione ma può, come argomento di
prova, essere utilizzata unitamente ad ogni altro elemento acquisito nel corso
dell’istruzione probatoria e ai mezzi richiesti dalla parte per provare i fatti o gli
atti (la dichiarazione) che costituiscono il contenuto nel documento.
Questa giurisprudenza della Corte di cassazione si attaglia perfettamente
all’ipotesi in cui la copia del documento sia rappresentata dal telefax.
L’originale del documento, in questo caso, resta sempre nella disponibilità di chi
spedisce. E nei casi in cui la controversia insorga tra chi ha spedito il
documento e chi l’ha ricevuto (quando la copia teletrasmessa provi, ad
esempio, l’accettazione di una proposta contrattuale) la parte in mala fede, che
non intenda dar corso agli impegni contrattuali assunti con lo scambio di
corrispondenza, avrebbe buon gioco nel negare l’autenticità della copia dopo
aver distrutto l’originale teletrasmesso.
In questa ipotesi, gli eventuali limiti all’ammissibilità della prova testimoniale
sono superati (ex art. 2724 nn. 2 e 3 cod. civ.) dal fatto che la situazione
soggettiva di della parte che intende avvalersi del fax come prova in giudizio è
assimilabile a quella di chi versi nell’impossibilità materiale di procurarsi
l’originale (che è detenuto dall’altra parte in conflitto d’interessi) o che abbia
perduto senza colpa il documento.
Ecco perché la giurisprudenza di merito, richiamandosi ai principi sopra esposti
e all’insegnamento della Corte suprema in tema di copie fotostatiche, ritiene
che il disconoscimento dell’autenticità del telefax prodotto in giudizio non
precluda al giudice di ritenere acquisiti al processo gli stessi fatti che il
documento disconosciuto era diretto a provare, sulla base di altri elementi offerti
dalle parti.
Le considerazioni che precedono dovrebbero chiarire perché la riproduzione a
stampa di una pagina web va ricondotta alla previsione dell’art. 2712 del codice
civile.
In primo luogo, la stampa prodotta in giudizio costituisce una copia cartacea di
un documento informatico e rientra, pertanto, nella previsione dell’art. 23,
comma 2, del c.a.d. (secondo cui le copie «su supporto analogico» hanno la
stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità
non è espressamente disconosciuta).
pag. 14/22
La riproduzione su carta di una pagina web costituisce una sorta di
rappresentazione fotografica dello stato di un sito internet in un determinato
momento. Come ogni altra rappresentazione di fatti o cose, la «schermata» del
sito internet rappresenta ciò che era visibile (o fruibile, se si tratta di contenuti
multimediali) collegandosi ad un determinato indirizzo in un determinato
momento storico.
La disciplina che più si attaglia a questa ipotesi, dunque, è rappresentata dalla
disposizioni dell’art. 2712 cod. civ. (e in questo senso è orientata la
giurisprudenza di merito), con la conseguenza che la copia costituita dalla
stampa rappresentativa della pagina internet, se non disconosciuta dalla parte
contro cui è prodotta, andrà a formare «piena prova» dei fatti rappresentati.
In caso di disconoscimento, al contrario, la riproduzione tornerà ad essere
liberamente valutabile (alla stregua di una presunzione semplice) e potrà
fondare il convincimento del giudice sugli stessi fatti solo se supportata da altri
elementi probatori.
Peraltro, la giurisprudenza della Corte di cassazione ha da tempo affermato il
principio secondo cui tutti i documenti informatici privi di firma digitale vanno
ricondotti tra le riproduzioni fotografiche o cinematografiche, le registrazioni
fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di
cose, la cui efficacia probatoria è disciplinata dall'art. 2712 c.c. «…con la
conseguenza che, anche per essi, il disconoscimento della loro conformità ai
fatti rappresentati non ha gli stessi effetti del disconoscimento della scrittura
privata, previsto dall'art. 215, comma 2, c.p.c., perché, mentre quest'ultimo, in
mancanza di richiesta di verificazione e di esito positivo di questa, preclude
l'utilizzazione della scrittura, il primo non impedisce che il giudice possa
accertare la conformità all'originale anche attraverso altri mezzi di prova,
comprese le presunzioni (Cass. n. 11445/2001).
La soluzione del problema adottato dalla giurisprudenza della S.C., tuttavia, è
insoddisfacente.
Se è vero che l'articolo 2712 cod. civ., sul quale è stato «innestato» dal 2006 il
valore probatorio dei documenti informatici non muniti di firma, disciplina una le
prove documentali che consistono nella riproduzione o rappresentazione
meccanica di fatti o di cose, ottenute utilizzando le tecniche elaborate dal
costante progresso scientifico, è anche vero che la fiducia illimitata nella
capacità «rappresentativa» della realtà, proprie di una fotografia o di una
videoriproduzione (tanto per fare un esempio) risentono evidentemente
dell’epoca (gli anni Quaranta) in cui il codice è stato emanato.
Nella norma, destinata principalmente a disciplinare il valore probatorio delle
riproduzioni fotografiche e cinematografiche, e delle registrazioni «su dischi
fonografici» (ancorché il riferimento «in genere» ad «ogni altra
pag. 15/22
rappresentazione meccanica di fatti e di cose» le abbia conferito il carattere di
«norma di chiusura» della sezione dedicata alla prova documentale) è evidente
un riferimento implicito alla difficoltà di contestare fatti che appaiono
rappresentati non nel racconto di un testimone ma nel momento stesso in cui
essi si svolgono.
Tuttavia, ciò che all’inizio del secolo scorso sarebbe stato difficilmente
falsificabile da parte della persona comune è oggi nella disponibilità di chiunque
abbia un minimo di dimestichezza con le tecnologie informatiche.
Photoshop e altri software di modifica di immagini, di file audio e video, ad
esempio, consentono agevolmente di falsificare un’immagine fotografica, la
registrazione di una conversazione o una ripresa video, con una precisione ed
una verosimiglianza difficilmente percepibili (se non con l’uso di adeguati
strumenti di indagine tecnica). Cosicché, attribuire al giudice, nonostante il
disconoscimento ritualmente effettuato in giudizio, il potere di ritenere
ugualmente provato il fatto «rappresentato» appare oggi, più che l’affermazione
del potere inconfutabile della tecnica, un rischio connesso con il mancato
adeguamento dell’ordinamento all’evoluzione delle conoscenze scientifiche e
tecnologiche.
5. Firme elettroniche e forma scritta ad substantiam e ad probationem.
Diverso è il regime probatorio dei documenti informatici sottoscritti con firma
digitale (o con una firma qualificata, anch’essa appartenente al genere delle
firme «avanzate»).
L’articolo 21 del d. lgs. n. 82/2005 (c.a.d.) stabilisce che
«1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è
liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità
sicurezza, integrità e immodificabilità.
2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o
digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3,
che garantiscano l'identificabilità dell'autore, l'integrità e l’immodificabilità del
documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del
dispositivo di firma (elettronica qualificata o digitale) si presume riconducibile al titolare, salvo
che questi dia prova contraria.
2-bis. Salvo quanto previsto dall'articolo 25, le scritture private di cui all'articolo 1350, primo
comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono
sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di
pag. 16/22
cui all'articolo 1350, numero 13, del codice civile soddisfano comunque il requisito della
forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.
3. […] »
Il codice dell’amministrazione digitale individua, quindi, quattro distinte categorie
di firme: la firma elettronica, definita come «l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica» (art. 1 lett. q); la
firma elettronica avanzata, definita come «l’insieme di dati in forma elettronica
allegati oppure connessi a un documento
informatico,
che consentono
l'identificazione del firmatario del documento e garantiscono la connessione
univoca al firmatario, creati con mezzi sui quali il firmatario può conservare
un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in
modo da consentire di rilevare se i dati stessi siano stati successivamente
modificati» (art. 1 lett. q/bis); la firma elettronica qualificata, consistente in
«un particolare tipo di firma elettronica avanzata […] basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la creazione della
firma (art. 1 lett. r) e, infine, la firma digitale, definita come «un particolare
tipo di firma elettronica avanzata basata su un certificato qualificato e su un
sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro,
che consente al titolare tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la
provenienza e l'integrità di un documento informatico o di un insieme di
documenti informatici» (art. 1 lett. s).
Si tratta, dunque, di una serie di definizioni correlate tra loro attraverso un
complesso sistema di riferimenti che, una volta definite le due categorie
generali, rappresentate dalla firma elettronica («dati associati ad altri dati») e
dalla firma avanzata («dati associati ad un documento»), riconduce sia la firma
«qualificata» sia la firma «digitale» alla firma «avanzata» (di cui possiedono
entrambe i requisiti della «riconducibilità» al titolare, del «controllo esclusivo»
sul mezzo di firma e dalla «immodificabilità» dei dati) per poi distinguerle in
ragione del «certificato qualificato» — la firma qualificata — o del «sistema di
chiavi crittografiche» — la firma digitale— su cui esse sono «basate».
Il PIN digitato sulla tastiera del cash dispenser costituisce un esempio di firma
elettronica: chi deve prelevare danaro contante si fa identificare dal sistema
informatico come titolare del conto corrente bancario facendo ricorso ad una
firma elettronica comune costituita da dati elettronici (il PIN) associati ad altri
dati (il numero di carta), che il sistema è in grado di collegare al suo titolare
prima di erogare il servizio. Allo stesso modo, chi deve spedire un messaggio di
pag. 17/22
posta elettronica si fa identificare dal fornitore del servizio inserendo il proprio
nome-utente e la parola di accesso.
La firma elettronica, pertanto, è sempre usata in funzione indicativa; e non ha,
al contrario della firma avanzata, anche una funzione dichiarativa.
Un esempio di firma avanzata è offerto, invece, dalla firma grafometrica, che
consiste nella firma autografa apposta con un pennino su una tavoletta
elettronica (tablet) che ne rileva istantaneamente non solo il tratto grafico ma
anche velocità, precisione, angolo di inclinazione, accelerazione e il numero di
volte in cui la penna viene sollevata dal piano di scrittura. Un apposito
programma applicativo provvede, istantaneamente, ad analizzare la firma
confrontandola con le scritture campionate in precedenza: i dati biometrici, nelle
applicazioni più avanzate, vengono quindi «incorporati» nella firma e associati,
con essa, al documento (nel senso che i dati rilevati durante la firma divengono,
sostanzialmente, la chiave privata con cui viene apposta la firma digitale sul
documento).
E’ evidente che in questo genere di applicazioni (che sono sempre più diffuse
soprattutto in ambito bancario) i dati raccolti durante la firma sono creati con lo
stesso gesto con cui si appone una firma autografa su un foglio di carta (sicché
è la mano del firmatario, in ultima analisi, il mezzo che garantisce il «controllo
esclusivo» del titolare) e consentono di rilevare successive modifiche attraverso
la stessa tecnologica dei codici cifranti di cui si avvale la firma digitale.
Più difficile è trovare un esempio di firma «qualificata», che si caratterizza,
come detto, per il certificato qualificato e per l’uso del dispositivo sicuro.
Secondo la maggioranza degli studiosi, solo la tecnologia basata sulle chiavi
asimmetriche di cifratura consentirebbe di incorporare la firma nel documento in
modo indissolubile, garantendo l’integrità e l’autenticità dello scritto; sicché non
esisterebbe, allo stato delle attuali conoscenze scientifiche e tecnologiche, una
firma «qualificata» distinguibile dalla firma digitale.
Tuttavia, qualche distinzione potrebbe farsi anche in questo caso, traendo
spunto dalle numerose applicazioni in uso per la gestione a distanza dei
rapporti bancari.
Chi deve comunicare il numero della propria carta di credito alla banca
attraverso l’internet utilizza, di norma, connessioni «sicure» realizzate
attraverso l’uso di chiavi di cifratura «usa e getta» generate al momento della
connessione; cosicché, una volta cifrati i dati da trasmettere con la chiave
pubblica, solo il possessore della chiave privata (la banca) è in grado di
effettuare l’operazione inversa, decifrando il messaggio.
Per aumentare la sicurezza della trasmissione, alcune banche consegnano ai
loro clienti anche un apparecchio generatore di un codice numerico
pseudocasuale ad intervalli regolari (di norma, variabile ogni dieci secondi)
pag. 18/22
denominato token (gettone) e sincronizzato con un server di autenticazione che
genera la stessa sequenza di numeri pseudocasuali sotto il controllo della
banca. Poiché la password temporanea per l'autenticazione varia col passare
del tempo, solo chi possiede il token è in grado di generare, nel preciso istante
in cui viene richiesta la password di autenticazione, lo stesso numero generato
dal server; e solo il titolare del conto corrente conosce la password di partenza
con cui il numero va combinato.
In questo schema di sicurezza informatica, dunque, il canale sicuro, su cui il
codice viene trasmesso dal titolare alla banca, viene creato attraverso la
cifratura del messaggio con la chiave pubblica generata dal ricevente (la
banca): a destinazione, pertanto, il messaggio viene decifrato con l’altro
elemento della coppia (la chiave privata, rimasta nel possesso della banca che
l’ha generata) e poi viene eliminata.
Si tratta, pur sempre, di una architettura PKI (a chiavi asimmetriche di cifratura);
ma il certificato, emesso da un certificatore qualificato, accompagna una chiave
(pubblica) utilizzata solo per cifrare temporaneamente (rendendolo non
intelligibile ad alcuno, al di fuori del destinatario) il messaggio contenente il
codice temporaneo e non anche per «rendere manifesta e verificare la
provenienza e l’integrità di un documento informatico» secondo la definizione di
firma digitale contenuta nell’art. 1, lett. “s” del c.a.d..
La «firma qualificata» (se di questo si tratta) è dunque una specie di firma
avanzata; ma essa non coincide, esattamente, con una firma digitale che si
appone al documento utilizzando l’altro elemento della coppia (la chiave
privata) che chiunque è in grado di decifrare.
In altri termini, la tecnologia utilizzata (l’algoritmo RSA) è la medesima utilizzata
per la firma digitale, ma è evidente come, con questa operazione, il mittente
non intenda «firmare» un documento ma, semplicemente, farsi identificare dal
sistema per accedere ai relativi servizi, utilizzando uno strumento «sicuro» sul
quale egli mantiene un controllo esclusivo.
Numerosi sono, infine, gli esempi di firma digitale, che consiste
nell’applicazione, sul documento formato con strumenti informatici o trasmesso
per via telematica, di una sequenza di caratteri alfanumerici che sono il prodotto
di un’operazione di cifratura eseguita con un sistema crittografico a chiavi
asimmetriche (ove la chiave usata per cifrare non può decifrare, anche se
l’operazione può essere iniziata con uno qualsiasi degli elementi della coppia).
L’operazione di firma consiste nell’estrarre, dal testo che compone il
documento, un campione rappresentativo (denominato «valore di hash» o
«message digest») e nel cifrare, con una delle chiavi («chiave privata») la
stringa di caratteri così ottenuta.
pag. 19/22
La «firma» digitale è, dunque, il prodotto di questa operazione crittografica,
consistente in una sequenza fissa di caratteri alfanumerici (poiché fisso è il
numero dei caratteri della sequenza rappresentativa cifrata) posta in calce al
testo (o in un file ad esso associato inscindibilmente).
Il codice dell’amministrazione digitale esige (art. 1 lett. “s” e art. 21) che il
sistema di chiavi crittografiche sia basato su un certificato emesso da un
certificatore qualificato e che la firma sia (attraverso il richiamo alla definizione
di firma avanzata) «creata con mezzi sui quali il firmatario può conservare un
controllo esclusivo». Tuttavia, ciò non toglie che la tecnologia basata sulle
chiavi asimmetriche di cifratura possa essere utilizzata anche per firmare un
documento informatico senza far ricorso, necessariamente, alla certificazione
delle chiavi.
In conclusione, posto che l’uso di un «certificato» elettronico, per collegare
all'identità del titolare i dati utilizzati per verificare le firme elettroniche, è tipico
dell’architettura a chiavi pubbliche (PKI), e che anche la firma grafometrica deve
utilizzare la tecnologia RSA per associare inscindibilmente i dati biometrici del
firmatario al documento, le firme avanzate possono distinguersi tra firme che
non fanno uso di certificati (e, tra queste, la più importante applicazione è
costituita dalla firma grafometrica) e firme che si avvalgono, invece, dei soggetti
certificatori (in primis, la firma digitale).
Ciò necessariamente premesso, occorre ora distinguere le scritture
informatiche che devono essere sottoscritte, a pena di nullità, attraverso una
firma elettronica qualificata o digitale per soddisfare la forma scritta ad
substantiam contemplata dall'art. 1350, nn. 1-12, cod. civ.; le scritture
riconducibili all'articolo 1350, numero 13, cod. civ., per le quali il requisito della
forma scritta ad substantiam, s’intende soddisfatto dai documenti informatici
sottoscritti con una firma elettronica avanzata, qualificata o digitale (comma
2/bis); tutte le altre scritture informatiche, in cui la forma scritta è richiesta
esclusivamente ad probationem, per le quali è possibile utilizzare ogni tipo di
firma, ferma restando la possibilità per il legislatore di prevedere una disciplina
diversa che regoli in maniera alternativa i requisiti e la rilevanza della forma
scritta e, conseguentemente, delle scritture informatiche (art. 1325, n. 4, cod.
civ.).
Prima dell’entrata in vigore della legge n. 221 del 2012, che ha introdotto il
nuovo testo del comma 2-bis, la firma elettronica avanzata non risultava
direttamente collegata ai requisiti di forma di cui all’art. 1350 cod. civ. La novella
del 2012, con il nuovo inciso inserito nel testo dell’art. 21, comma 2, ha quindi
consentito di associare anche la firma avanzata (non munita di certificato o non
basata su una coppia di chiavi asimmetriche) a tutti «gli altri atti» che
necessitano della forma scritta a pena di nullità, completando il regime tipico di
pag. 20/22
tale sottoscrizione, a cui la modifica introdotta con il d. lgs. 235/2010 aveva già
esteso l’efficacia di scrittura privata dell’art. 2702 cod. civ.
Tuttavia, solo per le firme qualificate e digitali la legge stabilisce la presunzione
di attribuzione al titolare del dispositivo usato per firmare, poiché solo queste
soddisfano, come detto, i requisiti di forma di cui all'art. 1350, nn. 1-12, cod. civ.
Mentre ogni altra firma elettronica apposta o associata a scritture informatiche
rende il documento liberamente valutabile, sul piano probatorio, dal giudice
«tenuto conto delle [sue] caratteristiche oggettive di qualità, sicurezza,
integrità e immodificabilità».
In altri termini, i documenti informatici firmati con firme «deboli» (cioè una firma
elettronica o una firma di tipo diverso dalla firma «avanzata») sono ammessi
come prova ma liberamente valutati in giudizio in base alle loro caratteristiche
oggettive di qualità, sicurezza, integrità e immodificabilità. Sicché il giudice
dovrà valutare, di volta in volta, il grado di affidabilità offerto dal sistema rispetto
all’integrità del documento ed alla sua paternità.
Dopodiché è evidente che se la legge esclude l'efficacia probatoria propria
dell’art. 2702 cod. civ., poiché queste firme hanno solo funzione identificativa e
non anche la funzione dichiarativa e probatoria, è evidente che ai documenti
sottoscritti con una firma non di tipo avanzato non è applicabile l’istituto del disconoscimento della sottoscrizione di cui agli artt. 214 e ss. del codice di
procedura civile.
Indiscutibile, invece, è il valore probatorio del documento informatico sottoscritto
con firma digitale, che il legislatore ha scelto (a partire dal citato DPR 513 del
1997) di rendere equivalente alla scrittura privata attribuendovi l’efficacia di
nuova prova legale (che prende il nome di «scrittura privata informatica»
formata, cioè, su un supporto informatico, anziché su un supporto cartaceo).
Non è questa la sede per esaminare i motivi, in gran parte basati su
conoscenze scientifiche risalenti alla fine degli anni Settanta, che rendono
affidabile come prova in giudizio un documento sottoscritto con la firma digitale,
ma occorre comunque ricordare che il meccanismo crittografico rende quasi
impossibile la contraffazione della firma, in virtù della procedura informatica di
validazione che, partendo dalla chiave pubblica che accompagna il certificato (o
comunque resa disponibile dal certificatore) consente di accertare se il titolare
della chiave privata usata per firmare è effettivamente colui che appare come
autore del documento. Cosicché l’esito negativo del processo di verifica
consente di evidenziare qualsiasi successiva manipolazione o alterazione del
documento su cui la firma digitale è apposta.
pag. 21/22
6. Conclusioni.
La firma digitale rende, a norma dell’art. 21 del c.a.d., il documento informatico
equipollente al documento cartaceo sottoscritto con una firma autografa, anche
se uno strumento di cifratura del testo non è minimamente comparabile con
l’unicità biometrica del segno apposto di pugno sullo scritto dall’autore del
documento (al punto che una parte significativa della dottrina contesta che la
firma digitale possa svolgere, per il documento informatico, la funzione
dichiarativa che è propria della firma autografa).
Questa radicale differenza, che avvicina la firma digitale ad un sigillo, più che
ad una sottoscrizione autografa, ha imposto nel 2006 la modifica dell’art. 21 del
codice dell’amministrazione digitale sicché «l’utilizzo del dispositivo di firma si
presume riconducibile al titolare, salvo che questi dia prova contraria», con la
conseguente inversione dell’onere della prova in sede di verificazione giudiziale
a seguito di disconoscimento.
È allora la parte contro cui la scrittura informatica è stata prodotta che deve
fornire la prova contraria per dimostrare la non autenticità della sottoscrizione,
poiché la verifica (informatica) della firma consente solo di risalire allo
strumento utilizzato per firmare e non anche a colui che l’ha utilizzato
(rendendosi autore del documento così sottoscritto), allo stesso modo in cui il
pagamento effettuato on line con una carta di credito consente di risalire al suo
titolare, ma non anche alla persona che abbia materialmente utilizzato (con o
senza il consenso del titolare) il mezzo di pagamento.
La trattazione del tema del disconoscimento in giudizio della scrittura privata
informatica esula, tuttavia, dai limiti di questa trattazione.
Quanto sin qui esposto, peraltro, dovrebbe dimostrare che la firma digitale,
come strumento alternativo alla sottoscrizione autografa, è uno strumento già
vecchio, ideato alla fine degli anni Settanta e destinato ad essere soppiantato, a
breve, dalla firma grafometrica; l’unica in grado di associare all’unicità del segno
grafico apposto di pugno dall’autore del documento la sicurezza dei sistemi di
cifratura a doppia chiave e, contemporaneamente, la compatibilità del sistema
con un sistema di archiviazione basato esclusivamente su documenti
informatici.
Giovanni Buonomo
pag. 22/22
Fly UP