La firma apposta su un documento cartaceo o informatico, munita di funzione indicativa della paternità del documento, ha la natura tipica del contrassegno e, al pari di questo, che consente di distinguere un oggetto da un altro, anche la firma serve a distinguere il documento sul quale è
59 apposta rispetto a tutti gli altri facendo riferimento all’identità del suo autore59.
Si è detto, a proposito di scritture private, che la sottoscrizione risponde ad una molteplicità di funzioni, tra le quali anche quella c.d.
identificativa, che consente di risalire all’effettivo autore del documento e
quindi di attribuirne allo stesso la paternità; tali funzioni sono proprie anche della firma apposta su un testamento olografo, il quale annovera infatti tra i suoi requisiti di validità, oltre all’autografia e alla data, la sottoscrizione del suo autore. Questa considerazione vale sia per le firme chirografe, cioè apposte a mano dal sottoscrittore, sia per le firme elettroniche che sono invece apposte dal titolare della relativa chiave e ad esso imputate; firme elettroniche che sono il prodotto dello sviluppo delle nuove tecnologie e di un’apposita normativa introdotta di recente nel nostro ordinamento. A riguardo, sembra opportuna una breve digressione sull’elaborazione di tale normativa che ha, in parte, stravolto il sistema delle comunicazioni.
Le principali fonti italiane sulla firma digitale ed elettronica sono costituite: dalla L.59/199760, dal D.P.R. 445/200061, dal d.lgs. 10/200262 e
59
F. RICCI, Scritture private e firme elettroniche, cit., pag. 54.
60
Legge 15 Marzo 1997,n. 59, “Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa”.
61
D.P.R. 28 Dicembre 2000, n. 445, “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”.
62
D. Lgs. 23 Gennaio 2002, n. 10, “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche”.
60 dal D.P.R. 137/200363, dal D.P.R. 513/199764, dal D.P.C.M. 8 febbraio 199965,
dal D. lgs. 82/200566.
La l. 59/1997 ha introdotto nel nostro ordinamento giuridico il principio della validità e rilevanza giuridica degli atti e documenti formati dalla pubblica amministrazione o da privati utilizzando strumenti informatici o telematici, racchiudendo la nozione di documento informatico nel più ampio concetto di “rappresentazione informatica”. Un ruolo importante nell’introduzione di tale normativa, è stato espletato anche dai D.P.R. 513/1997 e 445/2000, i quali hanno dato attuazione al principio contenuto nella L.59/1997, equiparando il documento informatico ad altre fattispecie disciplinate dal codice civile. Tuttavia, il D.P.R. 513/1997 non consentiva di giungere ad una conclusione univoca circa la validità giuridica del documento informatico, poiché lo equiparava sia alla fattispecie di cui all’articolo 2712 c.c., cioè le riproduzioni meccaniche, sia alla scrittura privata di cui all’articolo 2702 c.c.; la stessa cosa può dirsi con riferimento al contenuto del D.P.R. 445/2000, che poneva gli stessi problemi, cioè attribuiva al documento informatico munito di firma digitale sia l’efficacia
63
D.P.R. 7 Aprile 2003,n. 137,“Sulla distinzione tra firme elettroniche, firme elettroniche avanzate e firme elettroniche qualificate”.
64
D.P.R. 10 novembre 1997, n. 513 “Regolamento contenente i criteri e le modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici”.
65
D.P.C.M. 8 febbraio 1999 “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”, poi sostituito dal D.P.C.M. 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”.
66
61 probatoria delle riproduzioni meccaniche che l’efficacia probatoria della scrittura privata. Merita un’annotazione il fatto che la normativa sul documento informatico è, da molti, considerata una normativa a cascata67, con ciò intendendosi che le varie fonti non hanno fatto altro che rinviarsi le une con le altre; si può, infatti, rilevare come la legge rimanda ai regolamenti e questi, a loro volta, ad apposite regole tecniche. Infine, occorre richiamare il D.lgs. 10/2002 che, entro trenta giorni dalla sua presentazione, prevedeva l’emanazione di un regolamento finalizzato a coordinare la normativa italiana sulla firma digitale e quella europea sulle firme elettroniche, introducendo quattro tipi di firme informatiche: firma digitale, firma elettronica avanzata, firma elettronica qualificata e firma elettronica.
La firma, in quanto contrassegno, è un segno che deve possedere i requisiti prescritti dalla legge, pena la sua invalidità; deve, anzitutto, consentire di distinguere i documenti provenienti da un soggetto rispetto a tutti gli altri. Nel caso della sottoscrizione tradizionale, essa deve essere chirografa proprio per consentire al destinatario di verificare la provenienza del documento tramite una perizia grafica. Per le firme elettroniche, invece, il carattere distintivo è prescritto dalla disposizione secondo la quale esse devono costituire un metodo di verificazione informatica, cioè devono consentire di verificare se si tratta di una firma autentica. La firma, nel caso della scrittura tradizionale, deve essere costituita da segni grafici apposti a
67
62 mano dal soggetto indicato come autore; nel caso della scrittura informatica, la firma consiste in un insieme di dati espressi in forma elettronica perché solo in questo modo essa può inerire ad una res signata elettronicamente. Infine, la firma deve essere fungibile, cioè deve corrispondere ad un modello astrattamente riferibile a qualsiasi scrittura privata proveniente dal medesimo autore68. In definitiva, i contrassegni sono innanzitutto segni, cioè sono valori significanti che non possono mai essere né veri né falsi, ma solo idonei o inidonei ad esprimere un’indicazione. Tale idoneità si misura verificando la sussistenza dei requisiti propri del contrassegno utilizzato: esso è valido quando ne è provvisto; oppure non è valido, perché non ne è provvisto. Pertanto ogni firma è valida o invalida, non vi è altra possibilità. Ciò è vero non solo per la firma digitale, ma anche per la firma tradizionale.
Laddove si consideri la firma sotto il profilo probatorio e non dal punto di vista strutturale, cioè dei suoi requisiti, si può ben ipotizzare il concetto di firma vera o falsa. Questo perché l’apposizione della firma è anche atto manifestativo, in quanto non solo rappresenta l’autore dello scritto, ma lascia inferire la corrispondenza tra la rappresentazione documentale ed il giudizio o la volontà di quel soggetto. In tale dimensione essa potrebbe essere vera o falsa, a seconda della corrispondenza tra l’atteggiamento psicologico manifestato e quello effettivamente sussistente.
68
63 Rimanendo sul tema dell’efficacia probatoria della firma, pare naturale equiparare la firma ad una prova per presunzioni di cui all’articolo 2729 c.c., che consente di risalire da un fatto noto ad uno ignoto ed è rimessa al prudente apprezzamento del giudice, il quale non può ammettere che presunzioni gravi, precise e concordanti.
Dalla distinzione tra verità-falsità, da un lato, e validità-invalidità, dall’altro, si può giungere alla distinzione tra prove secondo attualità e prove secondo verità; tale distinzione si fonda sulla necessità o meno che il mezzo di prova, quale ad esempio il contrassegno, necessiti di un’operazione logico-deduttiva per verificarne la veridicità e consentirne l’utilizzazione. Sono prove secondo attualità l’atto pubblico e la scrittura privata autenticata, che non richiedono nessun accertamento supplementare, salvo che venga esperita querela di falso; invece, le scritture munite di firma elettronica o le scritture tradizionali non autenticate richiedono ulteriori riscontri, come il riconoscimento del suo autore o la verificazione. Nell’ambito delle firme elettroniche, tuttavia, ve n’è una, cioè la firma digitale, la quale è considerata una prova secondo attualità69, in quanto non richiede la previa verificazione per accertarne la validità. Questa circostanza è il frutto della struttura della firma digitale, che si fonda su un sistema di chiavi asimmetriche a coppia, che consentono sia di manifestare che di verificare la provenienza e l’integrità di un documento informatico: ne discende che la firma digitale esiste a prescindere dalla
69
64 procedura informatica di verificazione. Sull’argomento vi sono, tuttavia, opinioni divergenti, alcune delle quali negano, altre affermano il valore di scrittura autentica dei documenti contrassegnati con firma elettronica qualificata, a seconda quindi che la verificazione informatica sia considerata o meno un presupposto necessario per la costituzione della prova presuntiva. In realtà, però, tali opinioni divergenti non sono molto lontane tra loro, poiché, ad un più attento esame, emerge come entrambe attribuiscano al documento informatico con firma elettronica qualificata l’efficacia probatoria della scrittura privata, essendo all’uopo necessario esperire il giudizio di verificazione laddove la sottoscrizione non venga riconosciuta dal suo autore70.
Passando all’analisi del tema relativo alla firma elettronica, è necessario premettere che essa è funzionale ad attribuire una certa validità ed efficacia ad un altro istituto di recente introduzione, vale a dire il documento informatico71. In questa sede è opportuno specificamente riferirsi non al documento informatico, bensì alle diverse tipologie di firme elettroniche che possono essere apposte su un documento informatico, partendo dalla constatazione che tali firme devono avere gli stessi requisiti propri degli altri contrassegni; rileva, a riguardo, l’articolo 1, c. 1, lett. q del
70
G. FINOCCHIARO, Firma digitale e firme elettroniche, cit., pag.38.
71
L’accento cade naturalmente sull’aggettivo “informatico”, intendendosi per tale una tecnica che consente di trattare qualunque informazione tramite un linguaggio simbolico detto “linguaggio binario”, le cui unità elementari sono i c.d. bit. Sullo specifico tema v. infra 3, in questo Capitolo.
65 Codice dell’Amministrazione digitale72, il quale cosi dispone: “la firma elettronica è l’insieme dei dati in forma elettronica, allegati o connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica”.
Anzitutto, occorre partire dall’equiparazione tra firma elettronica e firma chirografa, che consente già di risalire alla differenza tra le due fattispecie; infatti, le firme elettroniche, nelle loro varie tipologie, non sono vere e proprie firme sotto il profilo giuridico. Questo perché, pur consentendo di pervenire alla paternità del documento cui sono apposte, derivano dall’utilizzo di una particolare tecnologia da parte del loro titolare e non invece dalla grafia, cioè un operazione fisica dello stesso come nel caso della firma chirografa.
Firme “informatiche” sono sia la firma elettronica (semplice, avanzata e qualificata) che la firma digitale, che sono accomunate dal fatto di distinguersi dalla firma chirografa per l’utilizzo di tecnologie informatiche. La firma digitale è considerata una specie del genere firme elettroniche, intendendosi, infatti, con tale ultima locuzione un insieme di firme classificabili in base alle tre categorie “something you are”, ”something
you have” e “something you know”, che rimandano a diversi meccanismi di
autenticazione. Il Codice dell’Amministrazione digitale fornisce la seguente definizione di firma digitale: “la firma digitale è un particolare tipo di firma
elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e l’altra privata, che consente al titolare tramite la chiave privata e al
72
66
destinatario tramite la chiave pubblica, rispettivamente di manifestare e verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Dunque, in altre parole, con l’espressione “firma digitale” si
intende una tecnica informatica di validazione o di cifratura dei messaggi che utilizza un sistema di crittografia a chiave pubblica e che assicura la provenienza e l’integrità del documento; la cifratura e validazione del messaggio avviene tramite l’utilizzo di chiavi, cioè particolari codici dalla cui lunghezza deriva la maggiore o minore sicurezza del documento informatico. Le due chiavi, cioè privata e pubblica, hanno funzioni diverse, poiché la prima consente al titolare di apporre la firma digitale sul documento, mentre la seconda consente a tutti di verificare tale firma digitale apposta sul documento. La firma digitale utilizza un codice informatico identificativo, che viene associato in linea esclusiva ad un determinato soggetto ed è disgiunto in due parti: una chiave pubblica e una chiave privata. Le due chiavi si corrispondono informaticamente, in modo che, attraverso specifici programmi, è possibile verificare con certezza se le chiavi siano complementari o estranee; per “complementari” si intende che le chiavi sono parti dell’unico codice originario. Si assiste, in questo modo, alla c.d. dematerializzazione propria delle tecnologie informatiche, in quanto la firma digitale non dipende da un nesso materiale tra sottoscrittore e sottoscrizione, bensì da un’associazione immateriale tra l’uno e l’altro, in modo che la chiave privata appartenga soltanto a quel determinato soggetto73.
73
In proposito cfr. M CAMMARATA-E. MACCARONE, La firma digitale sicura, Milano, 2003, pag. 25.
67
Il legislatore ha scelto di utilizzare tale sistema crittografico con chiavi asimmetriche poiché dà maggiori sicurezze rispetto al parallelo sistema a chiavi simmetriche; quest’ultimo, infatti, presenta alcuni svantaggi legati al fatto che una stessa chiave venga utilizzata da due persone per cifrare e decifrare i messaggi che questi si inviano reciprocamente. Tali svantaggi consistono, ad esempio, nella scarsa garanzia di autenticazione del messaggio poiché un soggetto potrebbe inviare a se stesso un messaggio facendo apparire che lo ha invece ricevuto dall’altro, essendo la chiave unica e conosciuta da entrambi. La differenza tra sistema simmetrico e asimmetrico potrebbe essere indicata con un esempio pratico: il sistema asimmetrico è paragonato ad una porta che si apre con una chiave e chiude con l’altra, mentre il sistema simmetrico ad una porta che si apre e chiude con la stessa chiave.
I sistemi crittografici attuali sono fondati su una lacuna della scienza matematica e cioè quella secondo la quale non esiste un sistema veloce per calcolare i fattori primi che moltiplicati fra loro formano un dato numero; se il numero da analizzare è molto grande occorre un tempo lunghissimo per scoprire i fattori primi che lo compongono, e dunque per decifrare il relativo documento, da ciò derivando che la mancata conoscenza della chiave comporta di dover rompere il cifrario per decrittare il testo. Quindi la crittografia dà una sicurezza, non assoluta, ma relativa al tempo necessario per rompere il cifrario: si parla di robustezza del sistema di crittografia che è tanto più robusto quanto più lunga è la chiave di cifratura.
68 Esistono diversi sistemi di cifratura asimmetrici, che differiscono per la chiave utilizzata rispettivamente per la redazione e per la validazione del documento; il primo di questi consiste nella cifratura del documento con la chiave pubblica del destinatario che sarà dunque l’unico soggetto in grado di decifrarlo utilizzando la corrispondente chiave privata: in questo modo si garantisce la segretezza ma non l’autenticazione del documento, in quanto questo può essere cifrato da chiunque, ma decifrato dal solo destinatario. Altro sistema è quello che utilizza la chiave privata dell’autore per la redazione del documento e la chiave pubblica dello stesso autore per la decifrazione, garantendosi viceversa l’autenticità ma non la segretezza del documento, che può essere decifrato da chiunque utilizzi la chiave pubblica; ultimo di tali sistemi, è quello che utilizza la chiave privata dell’autore e pubblica del destinatario per la cifratura, mentre il documento sarà poi decifrato utilizzando la chiave privata del destinatario74.
Dopo aver premesso come funziona un sistema crittografico simmetrico e asimmetrico, si può capire il meccanismo della firma digitale; il sistema più semplice, tuttavia ritenuto troppo lento, sarebbe quello di inviare un testo chiaro insieme a una versione cifrata con la chiave privata del mittente75; questo sistema consentirebbe al destinatario di decifrare il testo con la chiave pubblica e mettere a confronto il testo in chiaro con quello cifrato, potendo avere, in caso di esito positivo della comparazione,
74
Vedi in proposito CAMMARATA-MACCARONE, op. cit., pag. 25.
75
69 la certezza sull’identità del mittente e l’integrità del contenuto. Per rendere la procedura più veloce, si ricorre allora a quella che viene definita come “funzione di hash”76, consistente nel cifrare una piccola parte del testo che funge da impronta dello stesso.
Parlando di sistemi asimmetrici si è fatto riferimento alle c.d. chiavi che vengono utilizzate per cifrare e decifrare il testo, distinguendosi tra chiave pubblica e chiave privata; accanto a queste due chiavi, che non sono altro che dei veri e propri codici, vi sono anche le chiavi biometriche che, a differenza delle prime, non contengono numeri, ma una particolare caratteristica fisica dell’interessato descritta in forma digitale; tale caratteristica fisica, oggetto della chiave biometrica, può consistere nell’impronta digitale o nel disegno della retina dell’occhio o ancora nel timbro della voce del titolare della chiave e consente di attribuire un elevato grado di sicurezza a tale sistema, richiedendo tuttavia l’impiego di particolari apparecchiature per controllare i dati.
Oltre alla firma digitale, vi sono altre tipologie di firme elettroniche che si possono a loro volta suddividere in firme elettroniche avanzate, qualificate e firme elettroniche semplici. La firma elettronica avanzata è caratterizzata dal fatto di garantire la connessione univoca al firmatario e dunque la possibilità di identificarlo con precisione; è creata dal firmatario con mezzi sui quali lo stesso ha un controllo esclusivo ed è collegata al testo cui si riferisce in modo tale da verificare se lo stesso sia stato o meno
76
70 modificato77. Il primo di tali caratteri è soddisfatto laddove i valori utilizzati
per generare la firma siano attribuiti al solo autore della stessa, e dunque sarà soltanto questi a poter conoscere le informazioni che sono alla base della chiave privata necessaria per la cifratura del testo: questo requisito consente di ridurre al minimo le possibilità di contraffazione e alterazione del documento. Allo stesso modo, la possibilità di contraffazione del documento è ridotta al minimo, laddove soltanto il titolare della firma abbia la disponibilità dei mezzi necessari per apporla e questo è garantito attraverso la conservazione della chiave privata in un dispositivo di firma; infine, l’ultimo dei caratteri della firma elettronica avanzata, cioè la sua connessione con i dati ai quali si riferisce, protegge il documento sia da eventuali tentativi di contraffazione che da eventuali modifiche del suo contenuto e cioè da tentativi di alterazione.
La firma elettronica avanzata è l’unica, tra le varie tipologie di firme elettroniche, ad essere equiparata alla firma digitale come “firma forte
o pesante”; infatti, la firma elettronica semplice differisce da quella digitale
per essere basata su una tecnica indefinita e ciò comporta che tale firma ha un livello di sicurezza indefinito che varia da caso a caso, a seconda della tecnica utilizzata nel caso specifico. Altra tipologia di firma elettronica è quella qualificata, definita come “la firma elettronica avanzata che sia basata su
un certificato qualificato e creata tramite un dispositivo sicuro per la creazione della firma”, potendosi desumere da tale definizione che si tratti semplicemente
77
Si richiama l’articolo 1, c. 1, lett. q bis del Codice dell’Amministrazione Digitale.
71 di una riqualificazione terminologica della firma elettronica avanzata. Ciò porterebbe a concludere che la firma elettronica qualificata sarebbe una firma elettronica avanzata caratterizzata da una maggiore sicurezza, essendo basata su un certificato qualificato e su un dispositivo sicuro per la sua creazione78.
Il sistema delle firme elettroniche, per un corretto funzionamento, necessita di un parallelo sistema di certificazione, che è finalizzato ad accrescere l’affidamento sull’attribuzione di una firma al titolare; la certificazione non corrisponde ad un’autenticazione della firma, poiché in questo caso il certificatore non attesta che la firma è stata apposta in sua presenza, ma semplicemente collega il dato impiegato per la verificazione della firma ad un titolare e ne conferma l’identità. Il nostro ordinamento conosce diverse tipologie di certificati, tra i quali i certificati elettronici e quelli qualificati79. I primi sono definiti come degli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l’identità dei titolari stessi; i secondi sono, invece, definiti come i certificati elettronici che posseggono determinati requisiti. Il certificato elettronico è considerato un certificato semplice, mentre il secondo è caratterizzato da determinati requisiti80. Tra questi requisiti è opportuno
78
A. GENTILI, Documento elettronico: validità ed efficacia probatoria, in I
contratti informatici, Torino, 2007, pag. 149. 79
Si fa riferimento all’art. 1, c. 1, lett. e-f del Codice dell’Amministrazione Digitale.
80
72 menzionare l’indicazione: che il certificato rilasciato è un certificato