Comments
Transcript
Il valore giuridico dei documenti informatici
SCUOLA SUPERIORE DELLA MAGISTRATURA Struttura territoriale della formazione decentrata del distretto di Roma - corso T16001 «IL DOCUMENTO INFORMATICO E LA PROVA NEL PROCESSO CIVILE : UN CODICE AL PASSO CON I TEMPI ?» Corte di Appello di Roma - Aula Europa Roma, 25 - 27 gennaio 2015 Giovanni Buonomo * Il valore giuridico e l’efficacia probatoria dei documenti informatici. ________________________________________________ * Presidente della seconda sezione civile della Corte di appello di Roma. pag. 1/22 Sommario: 1. Premessa e quadro normativo di riferimento ― 2. Il documento e la scrittura privata informatica ― 3. Il valore probatorio delle scritture informatiche, in generale — 4. Valore probatorio dei documenti informatici privi di firma: pagine WEB, fax, messaggi di testo SMS, messaggi di posta elettronica — 5. Firme elettroniche e forma scritta ad substantiam e ad probationem — 6. Conclusioni. 1. Premessa. L’Italia è stato uno dei primi Paesi al mondo ad equiparare, agli effetti giuridici, i documenti informatici muniti di firma digitale ai documenti formati su supporto cartaceo allo scopo di dare valore giuridico ai documenti destinati a circolare nell’ambito della Rete unitaria della pubblica amministrazione (R.U.P.A.), uno dei più importanti progetti intersettoriali realizzati in questo Paese negli ultimi cinquant’anni. Il progetto, come evidenziato nella direttiva del Presidente del Consiglio dei ministri del 5 settembre 1995 (in GU 21/11/1995 n. 272), mirava a realizzare un sistema di interconnessioni tra le amministrazioni del comparto centrale dello Stato e tutte le amministrazioni pubbliche come «momento essenziale del processo di ammodernamento dell’amministrazione pubblica», collegando tra loro per via telematica inizialmente i ministeri e i loro uffici periferici, nonché (attraverso un meccanismo di adesione volontaria) gli enti locali, creando un «centro unitario erogatore di dati e prestazioni amministrative» che avrebbe favorito un radicale mutamento del rapporto tra Stato e cittadini. Non è questa la sede per analizzare i molteplici fattori economici e politici che portarono, nel corso degli anni Novanta, alla introduzione delle tecnologie dell’informazione come strumento per il recupero di efficienza e di razionalità nella pubblica amministrazione (esigenza fortemente sentita nel nostro Paese sin dalla pubblicazione, nel 1979, del «Rapporto sui principali problemi dell’amministrazione dello Stato» di Massimo Severo Giannini). Ma va detto, comunque, che l’esigenza di favorire lo scambio di informazioni per via telematica, tra pubbliche amministrazioni e cittadini, attraverso una rete informatica nazionale (e il trasferimento degli archivi cartacei della P.A. su archivi basati sui supporti informatici) costituiva un’evoluzione naturale dei principi contenuti nel «Rapporto Bangemann» pubblicato nel 1994 all’esito del lavoro di un gruppo di esperti di alto livello, costituito su mandato del Consiglio europeo e presieduto dal commissario Martin Bangemann, ove si faceva cenno, per la prima volta, alle firme elettroniche che avrebbero dovuto sostituire le firme autografe su documenti formati su supporti informatici destinati a sostituire pag. 2/22 completamente i supporti cartacei (anche nell'impiego, nelle controversie, come prova in giudizio). Per dare valore legale ai documenti destinati a circolare nell’ambito della Rete unitaria delle pubbliche amministrazioni (evitando che, una volta trasmessi e giunti a destinazione, venissero stampati su carta per essere sottoscritti con una firma autografa) l’art. 15, comma 2, della legge n. 59 del 1997 stabilì, dunque, il fondamentale principio di equivalenza, secondo cui «Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. I criteri e le modalità di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l’acquisizione del parere delle competenti Commissioni.» Le disposizioni regolamentari, destinate a dare attuazione al principio di legge, ancorché emanate tempestivamente, subirono nel tempo numerosi interventi correttivi, principalmente dovuti alla continua evoluzione delle conoscenze scientifiche in un settore ove l’obsolescenza tecnologica è più rapida delle capacità di adattamento e di risposta del legislatore. Le «modalità di applicazione» richieste dall’art. 15 furono dapprima stabilite nel d.P.R. n. 513 del 1997 che (emanato a distanza di pochi mesi dalla legge n. 59) prevedeva, all’art. 10, comma 2, «l'apposizione o l'associazione della firma digitale al documento informatico» quale strumento equivalente alla sottoscrizione autografa dei documenti scritti su supporto cartaceo e attribuiva, ex art. 5, al «documento informatico, sottoscritto con firma digitale ai sensi dell’articolo 10 […] efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile». Col DPCM 8 febbraio 1999, contenente le «regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici» il quadro normativo fu completato con la piena equiparazione del documento informatico, munito di firma digitale, alla tradizionale scrittura privata sottoscritta su supporto cartaceo. Il regolamento del 1997 fu poi abrogato dal D.P.R. 28 dicembre 2000, n. 445 (contenente il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), nel quale confluirono le norme sul documento e sulla firma digitale. pag. 3/22 Il nuovo assetto normativo non durò tuttavia a lungo, a causa dei mutamenti imposti dalla direttiva comunitaria 1999/93/CE, emanata allo scopo di ridurre ad un quadro normativo unitario le diverse discipline adottate dai singoli Stati dell’Unione (tra cui Spagna, Germania, Austria, Francia e Gran Bretagna che, come l’Italia, avevano provveduto ad equiparare, a fini probatori, i documenti informatici a quelli cartacei). La direttiva era ispirata al principio di neutralità tecnologica, che vieta al legislatore nazionale di condizionare, anche indirettamente, attraverso il riferimento a standard tecnologici adottati da specifici prodotti, la libera circolazione dei prodotti e dei servizi utilizzabili per le firme elettroniche. Italia e Germania, dove i regolamenti adottati prima dell’emanazione della direttiva facevano esclusivo riferimento al sistema di cifratura a chiave pubblica, furono allora costrette a rivedere tutte le disposizioni che — di fatto — ammettevano per la firma di un documento informatico soltanto prodotti software riferibili ad una infrastruttura di distribuzione delle chiavi pubbliche nell’ambito di sistemi di firma digitale. Com’è noto, per firma digitale s’intende quel particolare metodo crittografico che consente di attribuire con certezza un documento, formato con strumenti informatici o trasmesso per via telematica, al suo autore grazie all’uso di due chiavi di cifratura (definite, rispettivamente, chiave «privata» e chiave «pubblica»). Il sistema è basato su funzioni matematiche «ad una via»: poiché ogni chiave può, indifferentemente, essere utilizzata per cifrare o decifrare, ma la chiave utilizzata per cifrare non può essere utilizzata per decifrare (e, cosa più importante, la conoscenza di una delle due chiavi non fornisce alcuna informazione per ricostruire l'altra chiave), una delle chiavi può essere resa pubblica ed utilizzata per la verifica della firma o per cifrare il contenuto del documento. Dati i limiti di questa breve relazione, dobbiamo dare necessariamente per noti i profili tecnologici della firma digitale e le principali modalità d’impiego delle tecniche crittografiche ideate, sul finire degli anni Settanta, da W. Diffie e M. Hellmann (nonché le funzioni matematiche necessarie per implementare questo schema in prodotti software di grande diffusione, successivamente scoperte dai matematici del MIT di Boston R. Rivest, A. Shamir e L. Adleman per garantire integrità, disponibilità e riservatezza del documento informatico). La prima, e più importante, conseguenza giuridica dell’approccio comunitario «tecnologicamente neutrale» ai prodotti di firma fu, pertanto, il riconoscimento, accanto ai sistemi di cifratura di stringhe rappresentative del testo, come la firma digitale, di combinazioni di dati usualmente utilizzate per accedere ai sistemi informatici, come l’uso dell’identificativo personale (user ID) associato ad una parola o sigla di riconoscimento (password). pag. 4/22 Fece così ingresso nell’ordinamento comunitario la «firma elettronica», definita come una qualsiasi «associazione logica» in grado di connettere «dati in forma elettronica» ad altri «dati elettronici» al fine di essere utilizzati nella procedura di identificazione che consente l’accesso e l’uso del medesimo sistema (la c.d. «autenticazione informatica» come definita dall’art. 1, lett. b, del d. lgs. n. 82/2005), volta a disciplinare tutti gli strumenti utilizzati per identificare e convalidare dati (come nel caso del PIN utilizzato per avere accesso ad un distributore automatico di banconote o ad un sistema di posta elettronica) con strumenti crittografici diversi dall’architettura a chiavi pubbliche. La direttiva introdusse, poi, l’ulteriore categoria della «firma elettronica avanzata», definita dall’art. 2.2 come una firma elettronica «(a) connessa in maniera unica al firmatario; (b) idonea ad identificare il firmatario; (c) creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d) collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati ». Questa definizione ben si adattava alle firme elettroniche basate su un’infrastruttura globale a chiave pubblica e sull’uso di strumenti crittografici (chiavi private e chiavi pubbliche) per la firma e la verifica dei documenti informatici, poiché apparve evidente che solo quelle firme che sono connesse in maniera unica al firmatario, e consentono l’identificazione dell’autore dello scritto, sono idonee a garantire le funzioni tipiche della firma di un documento (quella dichiarativa e quella indicativa, in primo luogo). Dopo avere operato la fondamentale distinzione tra firme «elettroniche» e «firme elettroniche avanzate» (da intendere nel senso di «tecnologicamente progredite»), tuttavia, la direttiva precisò (con l’art. 5, comma 1) che solo le firme elettroniche avanzate, basate su un certificato qualificato e create mediante un dispositivo sicuro avrebbero potuto equipararsi, quanto ai «requisiti legali», alle firme autografe (e conseguentemente valutarsi come idonee a costituire prova in giudizio), imponendo agli Stati membri (art. 5, comma 2) l’adozione di ulteriori misure «…affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che essa è in forma elettronica, o non basata su un certificato qualificato, o non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero non creata da un dispositivo per la creazione di una firma sicura» (c.d. principio di non discriminazione). In sostanza, nella direttiva del 1999 tutti i documenti sottoscritti con firma elettronica avanzata (non anche quelli muniti di una semplice firma elettronica) erano considerati idonei ad essere valutati in giudizio ai fini probatori, considerato che questi strumenti devono, comunque, consentire di identificare il pag. 5/22 firmatario, garantire l’integrità e l’immodificabilità involontaria del documento e un «controllo esclusivo» sul mezzo usato per firmare; ma solo i documenti associati ad un certificato rilasciato da un certificatore qualificato e firmati con uno strumento di firma «sicuro» furono dichiarati astrattamente idonei ad essere equiparati ai documenti formati su carta e sottoscritti con firma autografa. Trascorso poco più di un anno dall’introduzione del testo unico sulla documentazione amministrativa — d.P.R. 28 dicembre 2000, n. 445 — il 2 marzo 2002 entrò in vigore il d.lgs. 23 gennaio 2002, n. 10 che, nell’introdurre le norme di recepimento della direttiva 99/93/CE sulle firme elettroniche, operò nuove e profonde modifiche al sistema (sostituendo, tra l’altro, il fondamentale articolo 10 del testo unico sulla efficacia giuridica del documento informatico). La nuova disposizione — che restò in vigore sino al 31 dicembre 2005 — fu aspramente criticata, perché impediva il disconoscimento della scrittura informatica, distaccandosi dal modello dell’art. 2702 cod. civ. senza accogliere le norme della direttiva che imponevano una piena equiparazione tra i documenti informatici ed i documenti cartacei muniti di firma autografa. Ulteriori modifiche furono successivamente introdotte dalla legge 16 gennaio 2003, n. 3, dal d.P.R. 7 aprile 2003, n. 137, e dal d.lgs. 30 giugno 2003, n. 196, che andarono nuovamente ad incidere sulle norme del testo unico dedicate alla certificazione delle chiavi e alle definizioni contenute nel primo articolo. Si giunse così al c.d. codice dell’amministrazione digitale, emanato con d.lgs. 7 marzo 2005, n. 82 (c.a.d.) in attuazione della legge n. 229 del 2003 nell’ambito di quel processo di superfetazione normativa inaugurato da altre due «codificazioni» di quel periodo: il codice sulla protezione dei dati personali (emanato con d.lgs. 30 giugno 2003, n. 196) e il codice delle comunicazioni elettroniche (d.lgs. 1 agosto 2003, n. 259). Nel «codice», che negli intenti del legislatore avrebbe dovuto costituire lo strumento di attuazione della «rivoluzione digitale» della P.A., confluirono sia le norme sui documenti informatici che quelle sulle firme elettroniche, determinando i presupposti per il definitivo passaggio, nei rapporti tra amministrazioni pubbliche, cittadini ed imprese, dalla carta al documento informatico. Pochi mesi dopo la sua entrata in vigore il codice subì nuove ed importanti modifiche per effetto del d.lgs. 4 aprile 2006, n. 159, che aggiunse al corpo del codice un intero capo (l’ottavo) dedicato al Sistema pubblico di connettività (accorpando le norme precedentemente dettate dal d.lgs. n. 42 del 2005) e riscrisse i fondamentali articoli 20 e 21 del c.a.d. Quanto all’efficacia probatoria del documento, il primo comma dell’art. 21 estese il libero apprezzamento del giudice alla integrità e immodificabilità, oltre pag. 6/22 che qualità e sicurezza, del documento informatico sottoscritto con firma elettronica; mentre il secondo comma stabilì che «L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria» introducendo nell’ordinamento una «presunzione di firma» destinata ad avere rilevanti conseguenze in tema di disconoscimento e di verificazione. Le ultime modifiche sono storia abbastanza recente: il d.lgs. n. 235 del 2010 ha riscritto il comma 2 dell’art. 21, prevedendo un comma 2-bis che ha introdotto, sul piano sostanziale, la distinzione tra scritture forti e scritture deboli (laddove solo le prime, sottoscritte con firma elettronica qualificata o digitale, sono idonee a soddisfare la forma scritta ad substantiam contemplata dall'art. 1350, nn. 1-12, c. c.); mentre, sul piano probatorio, il nuovo comma 2 ha attribuito l'efficacia prevista dall'articolo 2702 cod. civ., non più ai soli documenti sottoscritti con firma digitale o con un altro tipo di firma elettronica qualificata, ma ad ogni documento informatico «sottoscritto con firma elettronica avanzata, qualificata o digitale, […] che garantiscano l'identificabilità dell'autore, l’integrità e l'immodificabilità del documento». Fino ad arrivare alla legge n. 221 del 2012 che ha nuovamente ridisegnato il sistema intervenendo sul piano dell’efficacia sostanziale e probatoria del documento informatico. Infine, il regolamento comunitario n. 910 del 23 luglio 2014 (EIDAS) ha abrogato, a partire dal 1 luglio 2016, le disposizioni della direttiva n. 93/1999 stabilendo le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica (eID – Electronic IDentification) e le regole guida per i servizi fiduciari per le transazioni elettroniche (eTS – Electronic Trust Services). § 2 — Il documento e la scrittura privata informatica. L’aggettivo «informatico» qualifica il «documento» come scritto su un supporto diverso dalla carta: il documento informatico è infatti un documento scritto su un supporto informatico. Come il documento scritto su carta (o su un qualsiasi altro supporto) il documento informatico svolge nell’ordinamento giuridico la funzione di conservare nel tempo un atto o un fatto (dato) giuridicamente rilevanti. L’art. 1 lett. «p» del codice dell'amministrazione digitale (c.a.d.) definisce, per questo, il documento informatico come la «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» e richiama, con pochi aggiustamenti, la tradizionale teoria «rappresentativa» accolta nel codice civile (secondo cui il documento è destinato a raccogliere, a futura memoria, su un supporto di qualsiasi tipo, la rappresentazione di fatti o atti giuridicamente rilevanti). Dunque un contratto, scritto su tavolette cerate, su pietra o pergamena, resta pur pag. 7/22 sempre un atto in forma scritta, quale che sia la natura del corpo recettore a cui è affidato il compito di trattenere le informazioni nel tempo. Seguendo l’evoluzione delle conoscenze tecnologiche, il tradizionale supporto cartaceo è stato sostituito con diversi tipi di supporti alternativi costituiti da dischi magnetici contenuti in custodie di materiale plastico flessibile (floppydisk), da dischi a lettura ottica (CD-ROM – DVD-ROM) e, da ultimo, dalle memorie «a stato solido». Ma, in ogni caso, per garantire e preservare nel futuro la testimonianza di un fatto (ad esempio, una dichiarazione negoziale) o per formare una dichiarazione (ad esempio, un provvedimento amministrativo) il documento è sempre costituito da una informazione diretta all’altrui conoscenza e veicolata da un elemento fisico (il supporto su cui è registrata l’informazione). § 3 — Il valore probatorio delle scritture informatiche, in generale. Sono le firme elettroniche (in particolare la c.d. «firma avanzata») apposte sul documento a determinare l’efficacia probatoria della scrittura informatica, così come per il documento scritto su supporto cartaceo è sempre la firma a determinare quella presunzione, che affonda le radici nel diritto romano postclassico, secondo cui il firmatario è l’autore del documento e colui che assume su di sé gli effetti giuridici dell’atto. L’introduzione, nelle prassi negoziali, della formalità della scriptura risalgono, com’è noto, allo jus novum, anche se si è soliti ricordare, nei manuali del diritto romano, lo scriptum Adversos Falsarios di Nerone, del 61 d.C., che sanciva per la prima volta l’inefficacia probatoria di taluni atti inter vivos a carattere convenzionale privi di suggello (che, sul polittico formato da più tabulae era di norma impresso con l’anello sulla resina colata sulla giuntura, in modo da firmare, cioè trattenere, bloccare, l’apertura non voluta). Nella scrittura tradizionale, prevalentemente su supporto cartaceo, solo il segno unico dell’autore (la firma) assolve la funzione indicativa, dichiarativa e probatoria che sono, per la tradizionale dottrina e per la giurisprudenza, le funzioni tipiche della sottoscrizione di un documento, volte a individuare l’autore del documento (funzione «indicativa»), a render nota la volontà dell’autore di assumere su di sé le conseguenze giuridiche dell’atto (funzione «dichiarativa») e quella di conservare nel tempo la prova del compimento di un fatto o atto giuridicamente rilevanti (funzione «probatoria»). La firma digitale, tuttavia, è cosa diversa dalla sottoscrizione autografa, poiché essa è l’effetto di un processo di cifratura del testo (rectius: la cifratura di un estratto indicativo del testo costituito dalla stringa di hash) ed è apponibile al documento, attraverso lo strumento di firma, anche da altri soggetti. Essa, pag. 8/22 dunque, è riconducibile alla coppia di chiavi utilizzata per cifrare e non al soggetto che quella coppia di chiavi ha utilizzato (da qui l’esigenza che un soggetto, il certificatore, garantisca l’identità del titolare). Per non parlare delle firme elettroniche comuni che, costituite solo da dati associati ad altri dati a fini di identificazione (tipicamente: lo user name e la password utilizzati per accedere a servizi informatici) possono utilizzarsi come strumento per identificare l’autore del documento solo per via presuntiva. Può dirsi, dunque, che sono le firme elettroniche a determinare il valore giuridico della scrittura informatica, nella misura in cui l'efficacia probatoria del documento dipende dalla presenza di una firma elettronica e, in secondo luogo, dal tipo di firma elettronica in concreto utilizzata. 4. Valore probatorio dei documenti informatici privi di firma: pagine WEB, fax, messaggi di testo SMS, messaggi di posta elettronica. L'art. 20, comma 1, del c.a.d. stabilisce che «L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall'articolo 21». Si tratta di una formulazione alquanto oscura, poiché i documenti informatici non firmati sono — dalla giurisprudenza della Corte di cassazione — ricondotti alla previsione dell’art. 2712 del codice civile (così, tra le tante, Cass. n. 3122/2015, n. 2117/2011 e Cass. n. 12949/1997) come «rappresentazioni meccaniche» degli atti o dei fatti rappresentati dalla pagina web (Cass. n. 2912/2004, in motivazione); sicché, anche in caso di disconoscimento della conformità delle cose o dei fatti rappresentati nel documento informatico, nulla impedisce che il giudice possa accertare l’autenticità del documento attraverso altri mezzi di prova o presunzioni. Nel 2004 la Corte di cassazione affermò che, poiché le informazioni tratte da una rete telematica sono «per loro natura volatili e suscettibili di continua trasformazione», andrebbe esclusa la qualità di documento di una copia di una pagina web raccolta «senza garanzie di rispondenza all’originale e di riferibili a un ben individuato momento» (Cass. n. 2912/2004, cit.). Per fortuna, l’obiter dictum, evidentemente sfuggito dalla penna dell’estensore, non è vincolante per l’interprete. Pensiamo al contenuto diffamatorio di un commento o di un articolo pubblicati sul web: se la stampa di una pagina web pag. 9/22 non avesse alcun valore probatorio sarebbe praticamente impossibile provare il contenuto diffamatorio di un articolo o di un commento pubblicati sul web dopo la rimozione dei contenuti offensivi dal sito. La pagina web (preferibilmente con la lettera minuscola, come “telefono” o “televisione”) è, invece, un documento informatico che rappresenta lo stato di un nodo informatico della rete internet (un «sito») in un determinato momento. Il web è — com’è noto — uno dei principali servizi dell’internet (inventato da Tim Berners Lee nel 1991) ed è costituito da una serie di collegamenti ipertestuali che collegano più «nodi» della rete telematica. Attraverso il linguaggio di markup HTML e i protocolli di trasferimento HTTP e HTTPS e uno schema univoco di individuazione dei siti (URL) è possibile distribuire in rete contenuti testuali e multimediali accessibili a chiunque disponga di un accesso telematico e di un software per sfogliare le pagine (un browser, appunto), senza costringere l’utente, come avveniva nell’era pre-ipertestuale, ad utilizzare una complessa sintassi per interrogare la base di dati e accedere alle informazioni richieste. Ciò che appare sullo schermo del nostro computer quando accediamo ad un sito internet non è altro che la replica, scaricata nella memoria di lavoro del nostro PC, delle informazioni presenti sul sito che stiamo visitando. Si tratta, pertanto, della «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» o, in altri termini, di un documento informatico. La pagina web (così come i messaggi di posta elettronica non muniti di firma elettronica o i messaggi di testo SMS) è dunque un documento che può essere introdotto nel giudizio come prova anche se non sottoscritto. Il codice civile disciplina espressamente numerosi documenti che possono costituire prova nel giudizio ancorché non sottoscritti dal suo autore: il telegramma (art. 2705 cod. civ.), i registri domestici (art. 2707 cod. civ.), le annotazioni del creditore a margine dei documenti in suo possesso (art. 2708 cod. civ.), le scritture contabili prodotte contro l’imprenditore (art. 2709 e ss. cod. civ.), le copie delle scritture (art. 2714 e ss. cod. civ.), e, cosa più importante ai fini di questa breve trattazione, le riproduzioni meccaniche (fotografiche, informatiche o fonografiche) di atti o fatti (art. 2712 cod. civ.) La posta elettronica, consistendo in un testo (con o senza allegati) inviato al gestore del servizio perché sia inoltrato a destinazione con la consegna nella casella di posta elettronica del destinatario, appare ipotesi assimilabile − sul piano dell’efficacia probatoria e in via analogica − a quella del telegramma: se il messaggio non è sottoscritto (e la maggior parte delle e-mail non lo è) il giudice può ritenere provati i fatti in esso descritti sino a che la parte, contro cui il documento viene utilizzato, non lo disconosca. pag. 10/22 La giurisprudenza di merito è giunta − tuttavia − ad affermare (prevalentemente al fine di emettere decreti ingiuntivi) che l'e-mail costituirebbe sempre un documento informatico sottoscritto con firma elettronica poiché il mittente, per inviare il messaggio, è obbligato a inserire il proprio identificativo personale (username) e il proprio codice di accesso (così Trib. Verona 26 novembre 2005 in Giur. merito 2005,10,2129) Il problema si è posto particolarmente alla luce della normativa abrogata dal codice dell’amministrazione digitale; ma potrebbe riproporsi anche in applicazione delle vigenti disposizioni che affidano la valutazione della idoneità del documento informatico a soddisfare «il requisito della forma scritta» (art. 20 c.a.d.) e l’efficacia probatoria del documento informatico munito di firma elettronica al prudente apprezzamento del giudice (art. 20, comma 1 bis, c.a.d.) Si tratta di un argomento delicato: la facilità con cui, utilizzando un reindirizzatore anonimo di posta elettronica (remailer) un soggetto malintenzionato potrebbe procurarsi un falso riconoscimento di debito, inviando ad un suo indirizzo messaggi precostituiti apparentemente provenienti dall’inconsapevole debitore, dovrebbe indurre l’interprete alla prudenza. L’articolo 634 cod. proc. civ. indica, tra le altre prove scritte, idonee per emettere un decreto di ingiunzione, le «promesse unilaterali per scrittura privata» e «i telegrammi, anche se mancanti dei requisiti prescritti dal codice civile» Quanto alla prima condizione di ammissibilità, è evidente che solo un documento informatico equiparabile alla scrittura privata potrebbe essere assunto come prova scritta idonea. La sottoscrizione autografa di un documento − come detto − per la sua funzione di individuazione dell'autore dello scritto, costituisce un elemento essenziale di ogni scrittura privata, nel senso che solo il documento che contenga una firma riconosciuta (o non disconosciuta) dal suo autore è utilizzabile in giudizio come prova di un fatto giuridicamente rilevante. Ebbene, l’ordinamento vigente riconosce solo al documento informatico sottoscritto con firma elettronica «avanzata, qualificata o digitale» (art. 21 c.a.d.) l’efficacia probatoria propria della scrittura privata, che fa piena prova della provenienza delle dichiarazioni in essa contenuta sino a che non venga disconosciuta. E considerando che la firma elettronica è soltanto un «insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica», è evidente che solo la firma avanzata (tra cui devono annoverarsi la firma digitale e la firma grafometrica) è in grado di garantire «l'identificabilità dell'autore, l'integrità e l’immodificabilità del documento. La password inserita per accedere al servizio di posta elettronica serve all'utente di un servizio telematico per farsi riconoscere (non certo dal pag. 11/ 22 destinatario del messaggio, ma) dal fornitore del servizio al fine di utilizzare il sistema di inoltro e di ricezione della posta. Nei rapporti giuridici tra questi due soggetti (il fornitore del servizio di posta elettronica e l'utilizzatore) il codice utilizzato per richiedere l'accesso alla casella postale viene utilizzato soltanto per erogare il servizio e − in un certo senso − per «firmare» (nel senso sopra indicato) il registro degli accessi (che potrebbe essere successivamente utilizzato dall’utente del servizio o da fornitore in caso di contestazioni o per fini di controllo). Il codice di accesso inserito per accedere ad un servizio telematico, dunque, non è una «firma» apposta o associata al messaggio di posta elettronica (col quale non ha alcun legame tecnologico, logico o giuridico) ma è diretta al fornitore del servizio per ottenere l'adempimento del contratto: il motivo per cui il mittente del messaggio inserisce nel sistema la propria password non consiste nella volontà di «far proprio» il contenuto del documento inviato con la posta elettronica, ma nella volontà di ottenere, da un soggetto diverso dal destinatario, l'accesso al sistema che consente e garantisce l'inoltro a destinazione della posta elettronica. Perché un documento informatico soddisfi il requisito della prova scritta richiesto dall’art. 633 cod. proc. civ. è, dunque, necessario che ad esso sia consapevolmente, da parte dell'autore dello scritto, apposta o associata in modo inscindibile e immodificabile una sequenza di caratteri verificabile e riconducibile all'autore del documento. Dunque, è necessario che esso sia equivalente ad una scrittura privata; e ciò avviene solo quando il documento informatico è sottoscritto con una firma avanzata, qualificata o digitale, ex art. 21 c.a.d. Un messaggio di posta elettronica, non munito di firma apposta o associata al messaggio, è − pertanto − un documento scritto (su supporto informatico), trascritto (per via telematica) ma non anche sottoscritto (perché non è firmato). Anche le riproduzioni «meccaniche» (tra cui rientrano, ex art. 23 del d.lgs. n. 82 del 2005, anche le riproduzioni informatiche) formano piena prova dei fatti o delle cose in esse rappresentati, se non sono disconosciute in giudizio dalla parte contro cui vengono prodotte (art. 2712 cod. civ.). Nell’elencazione, non tassativa, dell’articolo 2712 cod. civ. non rientrano le copie fotografiche di scritture e i telegrammi, che sono ipotesi specificamente disciplinate dagli artt. 2719 e 2705 cod. civ. Rientrerebbe, invece, il telefax, secondo una tesi che sembra accolta dalla giurisprudenza di legittimità, seppure aspramente criticata dalla dottrina assolutamente maggioritaria, che si richiama ai principi dell’art. 2719 cod. civ. (copia fotografica di scritture). Invero, il meccanismo di trasmissione di un fax si fonda, essenzialmente, sulla digitalizzazione a bassa risoluzione dell’originale (attraverso la scansione ottica pag. 12/22 del documento inserito nella macchina), nell’invio a distanza dell’immagine del documento (da cui il nome: tele-facsimile), utilizzando un modulatore di suoni e, come veicolo di trasporto, la linea telefonica e, infine, nella demodulazione dei suoni e nella stampa del documento. Il fax, pertanto, costituisce una copia teletrasmessa dell’originale, che resta in possesso del mittente. Sembra, dunque, che il documento che perviene al destinatario sia assimilabile ad una copia fotografica del documento originale (una sorta di fotocopia a distanza) più che ad una riproduzione informatica o fotografica. Pur non essendo firmata in originale, dunque, la copia teletrasmessa mantiene la stessa efficacia del documento originale se la sua conformità non viene espressamente disconosciuta (o è attestata da un pubblico ufficiale autorizzato) come dispone l’art. 2719 cod. civ. L’applicazione dell’art. 2719, peraltro, è conseguente ad una applicazione estensiva, più che analogica, della norma poiché il fax, in quanto immagine dell’originale, che può rimanere archiviata nella memoria della macchina telecopiatrice come una copia informatica o essere teletrasmessa e stampata su carta, è assimilabile ad una copia fotografica della scrittura originale. Quanto all’efficacia probatoria del fax, argomentando sulla base della giurisprudenza formatasi sulle copie fotostatiche o fotografiche, occorre distinguere il disconoscimento della conformità della copia all’originale dal disconoscimento del contenuto del documento o della sottoscrizione. In un primo momento, la giurisprudenza di legittimità riteneva che, in caso di disconoscimento della conformità della copia all’originale, il giudice avrebbe potuto accertare la corrispondenza della copia con l’originale anche utilizzando altri mezzi di prova, comprese le presunzioni; mentre nell’ipotesi di disconoscimento del contenuto del documento o della sottoscrizione della scrittura rappresentata dalla copia prodotta in giudizio la parte che intendeva utilizzare il documento disconosciuto avrebbe dovuto produrre in giudizio l’originale per chiederne la verificazione (in difetto della quale il documento sarebbe stato del tutto inutilizzabile in giudizio). A partire dal 1999, invece, la Corte suprema ha iniziato a considerare i casi in cui la parte che ha prodotto in giudizio la copia non sia in possesso dell’originale, perché nell’impossibilità materiale di procurarselo o per aver perduto il documento senza colpa (Cass. n. 11739/1999, cui ha fatto seguito Cass. n. 1831/2000 e molte altre conformi). In mancanza dell’originale, un giudizio di verificazione sulla copia della scrittura cartacea sarebbe inammissibile, perché la copia non è stata formata dall’autore della scrittura e non può essere a lui ascritta; e sarebbe comunque, sul piano probatorio, inattendibile, perché solo l’originale consente all’esperto di valutare quei caratteri (digitopressione, andamento della scrittura, qualità degli inchiostri) pag. 13/22 che rendono lo scritto attribuibile con certezza al suo autore. Anche nei casi di disconoscimento del contenuto della copia (non solo nei casi di disconoscimento della conformità) si è ritenuta ammissibile, allora, la prova con ogni altro mezzo ammissibile, compresa la prova testimoniale, nei casi dell’art. 2724 cod. civ., dei fatti rappresentati dal documento prodotto in copia, senza richiedere la produzione dell’originale e la verificazione. In altri termini, in difetto dell’originale, la copia disconosciuta non può essere posta dal giudice a fondamento della decisione ma può, come argomento di prova, essere utilizzata unitamente ad ogni altro elemento acquisito nel corso dell’istruzione probatoria e ai mezzi richiesti dalla parte per provare i fatti o gli atti (la dichiarazione) che costituiscono il contenuto nel documento. Questa giurisprudenza della Corte di cassazione si attaglia perfettamente all’ipotesi in cui la copia del documento sia rappresentata dal telefax. L’originale del documento, in questo caso, resta sempre nella disponibilità di chi spedisce. E nei casi in cui la controversia insorga tra chi ha spedito il documento e chi l’ha ricevuto (quando la copia teletrasmessa provi, ad esempio, l’accettazione di una proposta contrattuale) la parte in mala fede, che non intenda dar corso agli impegni contrattuali assunti con lo scambio di corrispondenza, avrebbe buon gioco nel negare l’autenticità della copia dopo aver distrutto l’originale teletrasmesso. In questa ipotesi, gli eventuali limiti all’ammissibilità della prova testimoniale sono superati (ex art. 2724 nn. 2 e 3 cod. civ.) dal fatto che la situazione soggettiva di della parte che intende avvalersi del fax come prova in giudizio è assimilabile a quella di chi versi nell’impossibilità materiale di procurarsi l’originale (che è detenuto dall’altra parte in conflitto d’interessi) o che abbia perduto senza colpa il documento. Ecco perché la giurisprudenza di merito, richiamandosi ai principi sopra esposti e all’insegnamento della Corte suprema in tema di copie fotostatiche, ritiene che il disconoscimento dell’autenticità del telefax prodotto in giudizio non precluda al giudice di ritenere acquisiti al processo gli stessi fatti che il documento disconosciuto era diretto a provare, sulla base di altri elementi offerti dalle parti. Le considerazioni che precedono dovrebbero chiarire perché la riproduzione a stampa di una pagina web va ricondotta alla previsione dell’art. 2712 del codice civile. In primo luogo, la stampa prodotta in giudizio costituisce una copia cartacea di un documento informatico e rientra, pertanto, nella previsione dell’art. 23, comma 2, del c.a.d. (secondo cui le copie «su supporto analogico» hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità non è espressamente disconosciuta). pag. 14/22 La riproduzione su carta di una pagina web costituisce una sorta di rappresentazione fotografica dello stato di un sito internet in un determinato momento. Come ogni altra rappresentazione di fatti o cose, la «schermata» del sito internet rappresenta ciò che era visibile (o fruibile, se si tratta di contenuti multimediali) collegandosi ad un determinato indirizzo in un determinato momento storico. La disciplina che più si attaglia a questa ipotesi, dunque, è rappresentata dalla disposizioni dell’art. 2712 cod. civ. (e in questo senso è orientata la giurisprudenza di merito), con la conseguenza che la copia costituita dalla stampa rappresentativa della pagina internet, se non disconosciuta dalla parte contro cui è prodotta, andrà a formare «piena prova» dei fatti rappresentati. In caso di disconoscimento, al contrario, la riproduzione tornerà ad essere liberamente valutabile (alla stregua di una presunzione semplice) e potrà fondare il convincimento del giudice sugli stessi fatti solo se supportata da altri elementi probatori. Peraltro, la giurisprudenza della Corte di cassazione ha da tempo affermato il principio secondo cui tutti i documenti informatici privi di firma digitale vanno ricondotti tra le riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose, la cui efficacia probatoria è disciplinata dall'art. 2712 c.c. «…con la conseguenza che, anche per essi, il disconoscimento della loro conformità ai fatti rappresentati non ha gli stessi effetti del disconoscimento della scrittura privata, previsto dall'art. 215, comma 2, c.p.c., perché, mentre quest'ultimo, in mancanza di richiesta di verificazione e di esito positivo di questa, preclude l'utilizzazione della scrittura, il primo non impedisce che il giudice possa accertare la conformità all'originale anche attraverso altri mezzi di prova, comprese le presunzioni (Cass. n. 11445/2001). La soluzione del problema adottato dalla giurisprudenza della S.C., tuttavia, è insoddisfacente. Se è vero che l'articolo 2712 cod. civ., sul quale è stato «innestato» dal 2006 il valore probatorio dei documenti informatici non muniti di firma, disciplina una le prove documentali che consistono nella riproduzione o rappresentazione meccanica di fatti o di cose, ottenute utilizzando le tecniche elaborate dal costante progresso scientifico, è anche vero che la fiducia illimitata nella capacità «rappresentativa» della realtà, proprie di una fotografia o di una videoriproduzione (tanto per fare un esempio) risentono evidentemente dell’epoca (gli anni Quaranta) in cui il codice è stato emanato. Nella norma, destinata principalmente a disciplinare il valore probatorio delle riproduzioni fotografiche e cinematografiche, e delle registrazioni «su dischi fonografici» (ancorché il riferimento «in genere» ad «ogni altra pag. 15/22 rappresentazione meccanica di fatti e di cose» le abbia conferito il carattere di «norma di chiusura» della sezione dedicata alla prova documentale) è evidente un riferimento implicito alla difficoltà di contestare fatti che appaiono rappresentati non nel racconto di un testimone ma nel momento stesso in cui essi si svolgono. Tuttavia, ciò che all’inizio del secolo scorso sarebbe stato difficilmente falsificabile da parte della persona comune è oggi nella disponibilità di chiunque abbia un minimo di dimestichezza con le tecnologie informatiche. Photoshop e altri software di modifica di immagini, di file audio e video, ad esempio, consentono agevolmente di falsificare un’immagine fotografica, la registrazione di una conversazione o una ripresa video, con una precisione ed una verosimiglianza difficilmente percepibili (se non con l’uso di adeguati strumenti di indagine tecnica). Cosicché, attribuire al giudice, nonostante il disconoscimento ritualmente effettuato in giudizio, il potere di ritenere ugualmente provato il fatto «rappresentato» appare oggi, più che l’affermazione del potere inconfutabile della tecnica, un rischio connesso con il mancato adeguamento dell’ordinamento all’evoluzione delle conoscenze scientifiche e tecnologiche. 5. Firme elettroniche e forma scritta ad substantiam e ad probationem. Diverso è il regime probatorio dei documenti informatici sottoscritti con firma digitale (o con una firma qualificata, anch’essa appartenente al genere delle firme «avanzate»). L’articolo 21 del d. lgs. n. 82/2005 (c.a.d.) stabilisce che «1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità sicurezza, integrità e immodificabilità. 2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilità dell'autore, l'integrità e l’immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma (elettronica qualificata o digitale) si presume riconducibile al titolare, salvo che questi dia prova contraria. 2-bis. Salvo quanto previsto dall'articolo 25, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di pag. 16/22 cui all'articolo 1350, numero 13, del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale. 3. […] » Il codice dell’amministrazione digitale individua, quindi, quattro distinte categorie di firme: la firma elettronica, definita come «l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica» (art. 1 lett. q); la firma elettronica avanzata, definita come «l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico, che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati» (art. 1 lett. q/bis); la firma elettronica qualificata, consistente in «un particolare tipo di firma elettronica avanzata […] basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma (art. 1 lett. r) e, infine, la firma digitale, definita come «un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici» (art. 1 lett. s). Si tratta, dunque, di una serie di definizioni correlate tra loro attraverso un complesso sistema di riferimenti che, una volta definite le due categorie generali, rappresentate dalla firma elettronica («dati associati ad altri dati») e dalla firma avanzata («dati associati ad un documento»), riconduce sia la firma «qualificata» sia la firma «digitale» alla firma «avanzata» (di cui possiedono entrambe i requisiti della «riconducibilità» al titolare, del «controllo esclusivo» sul mezzo di firma e dalla «immodificabilità» dei dati) per poi distinguerle in ragione del «certificato qualificato» — la firma qualificata — o del «sistema di chiavi crittografiche» — la firma digitale— su cui esse sono «basate». Il PIN digitato sulla tastiera del cash dispenser costituisce un esempio di firma elettronica: chi deve prelevare danaro contante si fa identificare dal sistema informatico come titolare del conto corrente bancario facendo ricorso ad una firma elettronica comune costituita da dati elettronici (il PIN) associati ad altri dati (il numero di carta), che il sistema è in grado di collegare al suo titolare prima di erogare il servizio. Allo stesso modo, chi deve spedire un messaggio di pag. 17/22 posta elettronica si fa identificare dal fornitore del servizio inserendo il proprio nome-utente e la parola di accesso. La firma elettronica, pertanto, è sempre usata in funzione indicativa; e non ha, al contrario della firma avanzata, anche una funzione dichiarativa. Un esempio di firma avanzata è offerto, invece, dalla firma grafometrica, che consiste nella firma autografa apposta con un pennino su una tavoletta elettronica (tablet) che ne rileva istantaneamente non solo il tratto grafico ma anche velocità, precisione, angolo di inclinazione, accelerazione e il numero di volte in cui la penna viene sollevata dal piano di scrittura. Un apposito programma applicativo provvede, istantaneamente, ad analizzare la firma confrontandola con le scritture campionate in precedenza: i dati biometrici, nelle applicazioni più avanzate, vengono quindi «incorporati» nella firma e associati, con essa, al documento (nel senso che i dati rilevati durante la firma divengono, sostanzialmente, la chiave privata con cui viene apposta la firma digitale sul documento). E’ evidente che in questo genere di applicazioni (che sono sempre più diffuse soprattutto in ambito bancario) i dati raccolti durante la firma sono creati con lo stesso gesto con cui si appone una firma autografa su un foglio di carta (sicché è la mano del firmatario, in ultima analisi, il mezzo che garantisce il «controllo esclusivo» del titolare) e consentono di rilevare successive modifiche attraverso la stessa tecnologica dei codici cifranti di cui si avvale la firma digitale. Più difficile è trovare un esempio di firma «qualificata», che si caratterizza, come detto, per il certificato qualificato e per l’uso del dispositivo sicuro. Secondo la maggioranza degli studiosi, solo la tecnologia basata sulle chiavi asimmetriche di cifratura consentirebbe di incorporare la firma nel documento in modo indissolubile, garantendo l’integrità e l’autenticità dello scritto; sicché non esisterebbe, allo stato delle attuali conoscenze scientifiche e tecnologiche, una firma «qualificata» distinguibile dalla firma digitale. Tuttavia, qualche distinzione potrebbe farsi anche in questo caso, traendo spunto dalle numerose applicazioni in uso per la gestione a distanza dei rapporti bancari. Chi deve comunicare il numero della propria carta di credito alla banca attraverso l’internet utilizza, di norma, connessioni «sicure» realizzate attraverso l’uso di chiavi di cifratura «usa e getta» generate al momento della connessione; cosicché, una volta cifrati i dati da trasmettere con la chiave pubblica, solo il possessore della chiave privata (la banca) è in grado di effettuare l’operazione inversa, decifrando il messaggio. Per aumentare la sicurezza della trasmissione, alcune banche consegnano ai loro clienti anche un apparecchio generatore di un codice numerico pseudocasuale ad intervalli regolari (di norma, variabile ogni dieci secondi) pag. 18/22 denominato token (gettone) e sincronizzato con un server di autenticazione che genera la stessa sequenza di numeri pseudocasuali sotto il controllo della banca. Poiché la password temporanea per l'autenticazione varia col passare del tempo, solo chi possiede il token è in grado di generare, nel preciso istante in cui viene richiesta la password di autenticazione, lo stesso numero generato dal server; e solo il titolare del conto corrente conosce la password di partenza con cui il numero va combinato. In questo schema di sicurezza informatica, dunque, il canale sicuro, su cui il codice viene trasmesso dal titolare alla banca, viene creato attraverso la cifratura del messaggio con la chiave pubblica generata dal ricevente (la banca): a destinazione, pertanto, il messaggio viene decifrato con l’altro elemento della coppia (la chiave privata, rimasta nel possesso della banca che l’ha generata) e poi viene eliminata. Si tratta, pur sempre, di una architettura PKI (a chiavi asimmetriche di cifratura); ma il certificato, emesso da un certificatore qualificato, accompagna una chiave (pubblica) utilizzata solo per cifrare temporaneamente (rendendolo non intelligibile ad alcuno, al di fuori del destinatario) il messaggio contenente il codice temporaneo e non anche per «rendere manifesta e verificare la provenienza e l’integrità di un documento informatico» secondo la definizione di firma digitale contenuta nell’art. 1, lett. “s” del c.a.d.. La «firma qualificata» (se di questo si tratta) è dunque una specie di firma avanzata; ma essa non coincide, esattamente, con una firma digitale che si appone al documento utilizzando l’altro elemento della coppia (la chiave privata) che chiunque è in grado di decifrare. In altri termini, la tecnologia utilizzata (l’algoritmo RSA) è la medesima utilizzata per la firma digitale, ma è evidente come, con questa operazione, il mittente non intenda «firmare» un documento ma, semplicemente, farsi identificare dal sistema per accedere ai relativi servizi, utilizzando uno strumento «sicuro» sul quale egli mantiene un controllo esclusivo. Numerosi sono, infine, gli esempi di firma digitale, che consiste nell’applicazione, sul documento formato con strumenti informatici o trasmesso per via telematica, di una sequenza di caratteri alfanumerici che sono il prodotto di un’operazione di cifratura eseguita con un sistema crittografico a chiavi asimmetriche (ove la chiave usata per cifrare non può decifrare, anche se l’operazione può essere iniziata con uno qualsiasi degli elementi della coppia). L’operazione di firma consiste nell’estrarre, dal testo che compone il documento, un campione rappresentativo (denominato «valore di hash» o «message digest») e nel cifrare, con una delle chiavi («chiave privata») la stringa di caratteri così ottenuta. pag. 19/22 La «firma» digitale è, dunque, il prodotto di questa operazione crittografica, consistente in una sequenza fissa di caratteri alfanumerici (poiché fisso è il numero dei caratteri della sequenza rappresentativa cifrata) posta in calce al testo (o in un file ad esso associato inscindibilmente). Il codice dell’amministrazione digitale esige (art. 1 lett. “s” e art. 21) che il sistema di chiavi crittografiche sia basato su un certificato emesso da un certificatore qualificato e che la firma sia (attraverso il richiamo alla definizione di firma avanzata) «creata con mezzi sui quali il firmatario può conservare un controllo esclusivo». Tuttavia, ciò non toglie che la tecnologia basata sulle chiavi asimmetriche di cifratura possa essere utilizzata anche per firmare un documento informatico senza far ricorso, necessariamente, alla certificazione delle chiavi. In conclusione, posto che l’uso di un «certificato» elettronico, per collegare all'identità del titolare i dati utilizzati per verificare le firme elettroniche, è tipico dell’architettura a chiavi pubbliche (PKI), e che anche la firma grafometrica deve utilizzare la tecnologia RSA per associare inscindibilmente i dati biometrici del firmatario al documento, le firme avanzate possono distinguersi tra firme che non fanno uso di certificati (e, tra queste, la più importante applicazione è costituita dalla firma grafometrica) e firme che si avvalgono, invece, dei soggetti certificatori (in primis, la firma digitale). Ciò necessariamente premesso, occorre ora distinguere le scritture informatiche che devono essere sottoscritte, a pena di nullità, attraverso una firma elettronica qualificata o digitale per soddisfare la forma scritta ad substantiam contemplata dall'art. 1350, nn. 1-12, cod. civ.; le scritture riconducibili all'articolo 1350, numero 13, cod. civ., per le quali il requisito della forma scritta ad substantiam, s’intende soddisfatto dai documenti informatici sottoscritti con una firma elettronica avanzata, qualificata o digitale (comma 2/bis); tutte le altre scritture informatiche, in cui la forma scritta è richiesta esclusivamente ad probationem, per le quali è possibile utilizzare ogni tipo di firma, ferma restando la possibilità per il legislatore di prevedere una disciplina diversa che regoli in maniera alternativa i requisiti e la rilevanza della forma scritta e, conseguentemente, delle scritture informatiche (art. 1325, n. 4, cod. civ.). Prima dell’entrata in vigore della legge n. 221 del 2012, che ha introdotto il nuovo testo del comma 2-bis, la firma elettronica avanzata non risultava direttamente collegata ai requisiti di forma di cui all’art. 1350 cod. civ. La novella del 2012, con il nuovo inciso inserito nel testo dell’art. 21, comma 2, ha quindi consentito di associare anche la firma avanzata (non munita di certificato o non basata su una coppia di chiavi asimmetriche) a tutti «gli altri atti» che necessitano della forma scritta a pena di nullità, completando il regime tipico di pag. 20/22 tale sottoscrizione, a cui la modifica introdotta con il d. lgs. 235/2010 aveva già esteso l’efficacia di scrittura privata dell’art. 2702 cod. civ. Tuttavia, solo per le firme qualificate e digitali la legge stabilisce la presunzione di attribuzione al titolare del dispositivo usato per firmare, poiché solo queste soddisfano, come detto, i requisiti di forma di cui all'art. 1350, nn. 1-12, cod. civ. Mentre ogni altra firma elettronica apposta o associata a scritture informatiche rende il documento liberamente valutabile, sul piano probatorio, dal giudice «tenuto conto delle [sue] caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità». In altri termini, i documenti informatici firmati con firme «deboli» (cioè una firma elettronica o una firma di tipo diverso dalla firma «avanzata») sono ammessi come prova ma liberamente valutati in giudizio in base alle loro caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Sicché il giudice dovrà valutare, di volta in volta, il grado di affidabilità offerto dal sistema rispetto all’integrità del documento ed alla sua paternità. Dopodiché è evidente che se la legge esclude l'efficacia probatoria propria dell’art. 2702 cod. civ., poiché queste firme hanno solo funzione identificativa e non anche la funzione dichiarativa e probatoria, è evidente che ai documenti sottoscritti con una firma non di tipo avanzato non è applicabile l’istituto del disconoscimento della sottoscrizione di cui agli artt. 214 e ss. del codice di procedura civile. Indiscutibile, invece, è il valore probatorio del documento informatico sottoscritto con firma digitale, che il legislatore ha scelto (a partire dal citato DPR 513 del 1997) di rendere equivalente alla scrittura privata attribuendovi l’efficacia di nuova prova legale (che prende il nome di «scrittura privata informatica» formata, cioè, su un supporto informatico, anziché su un supporto cartaceo). Non è questa la sede per esaminare i motivi, in gran parte basati su conoscenze scientifiche risalenti alla fine degli anni Settanta, che rendono affidabile come prova in giudizio un documento sottoscritto con la firma digitale, ma occorre comunque ricordare che il meccanismo crittografico rende quasi impossibile la contraffazione della firma, in virtù della procedura informatica di validazione che, partendo dalla chiave pubblica che accompagna il certificato (o comunque resa disponibile dal certificatore) consente di accertare se il titolare della chiave privata usata per firmare è effettivamente colui che appare come autore del documento. Cosicché l’esito negativo del processo di verifica consente di evidenziare qualsiasi successiva manipolazione o alterazione del documento su cui la firma digitale è apposta. pag. 21/22 6. Conclusioni. La firma digitale rende, a norma dell’art. 21 del c.a.d., il documento informatico equipollente al documento cartaceo sottoscritto con una firma autografa, anche se uno strumento di cifratura del testo non è minimamente comparabile con l’unicità biometrica del segno apposto di pugno sullo scritto dall’autore del documento (al punto che una parte significativa della dottrina contesta che la firma digitale possa svolgere, per il documento informatico, la funzione dichiarativa che è propria della firma autografa). Questa radicale differenza, che avvicina la firma digitale ad un sigillo, più che ad una sottoscrizione autografa, ha imposto nel 2006 la modifica dell’art. 21 del codice dell’amministrazione digitale sicché «l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria», con la conseguente inversione dell’onere della prova in sede di verificazione giudiziale a seguito di disconoscimento. È allora la parte contro cui la scrittura informatica è stata prodotta che deve fornire la prova contraria per dimostrare la non autenticità della sottoscrizione, poiché la verifica (informatica) della firma consente solo di risalire allo strumento utilizzato per firmare e non anche a colui che l’ha utilizzato (rendendosi autore del documento così sottoscritto), allo stesso modo in cui il pagamento effettuato on line con una carta di credito consente di risalire al suo titolare, ma non anche alla persona che abbia materialmente utilizzato (con o senza il consenso del titolare) il mezzo di pagamento. La trattazione del tema del disconoscimento in giudizio della scrittura privata informatica esula, tuttavia, dai limiti di questa trattazione. Quanto sin qui esposto, peraltro, dovrebbe dimostrare che la firma digitale, come strumento alternativo alla sottoscrizione autografa, è uno strumento già vecchio, ideato alla fine degli anni Settanta e destinato ad essere soppiantato, a breve, dalla firma grafometrica; l’unica in grado di associare all’unicità del segno grafico apposto di pugno dall’autore del documento la sicurezza dei sistemi di cifratura a doppia chiave e, contemporaneamente, la compatibilità del sistema con un sistema di archiviazione basato esclusivamente su documenti informatici. Giovanni Buonomo pag. 22/22