4. Il documento elettronico
4.1 La firma digitale
Negli ultimi tempi, i soggetti dell'economia moderna non comunicano più con lettere firmate dal mittente, ma attraverso segni trasmessi da strumenti meccanici.
Il risultato dell'attività è pur sempre un testo scritto, ma sprovvisto di firma autografa, dunque il requisito della sottoscrizione è diventato incompatibile con le moderne tecniche di fissazione e trasmissione della parola: questo fenomeno viene chiamato "crisi della sottoscrizione".
documento elettronico, pur essendo considerato come documento scritto, non può essere sottoscritto in modo tradizionale.
Sarà, quindi, necessario individuare uno o più strumenti informatici equivalenti alla sottoscrizione, idonei a svolgerne la funzione, pur non avendone i requisiti.
Il primo strumento che si ipotizzerebbe di utilizzare è il più simile alla sottoscrizione tradizionale: si tratta della sottoscrizione elettronica, vale a dire una firma autografa apposta con una speciale penna su una lavagnetta magnetica o elettronica in grado di leggerla e trasferirla nella memoria del computer, traducendola in bit.
E' un meccanismo che ripete tutti i caratteri tipici della tradizionale sottoscrizione e da garanzia di individuazione dell'autore, attraverso l'analisi della grafia e dei parametri biodinamici della firma.
Tale strumento, però, presenta il grave difetto che dopo essere stata memorizzato, può essere riutilizzato all'infinito per sottoscrivere documenti, aprendo notevoli possibilità di utilizzi abusivi: infatti tale firma, una volta che si trova nella memoria del computer, è un dato statico, che non si modifica a seconda dei documenti ai quali si riferisce.
Altro mezzo a cui si può ricorrere è la c.d. firma biometrica, che si fonda sulla verifica dell'identità personale basata su specifiche caratteristiche fisiche dell'uomo, come le impronte digitali, vasi sanguigni della retina, oppure ancora il timbro della voce.
Questo strumento offre sicurezza in merito all'individuazione del soggetto a cui i caratteri fisici si riferiscono, essendo specifici di un uomo e perciò diversi da quelli di qualunque altro uomo.
tradizionale sottoscrizione, per il fatto che tale la firma è facilmente alterabile, dato che il supporto non è indelebile; anche se sarebbe possibile superare tale problema utilizzando le memorie di sola lettura, non riscrivibili.
In secondo luogo anche tale tipo di firma, una volta fissata su un qualsiasi supporto informatico, è facilmente riutilizzabile: può essere copiata dal supporto e abusivamente usata per altri documenti.
L'unico strumento finora ritenuto idoneo a sostituire la tradizionale sottoscrizione è la firma digitale81
: essa è un insieme di caratteri alfanumerici, risultato di un algoritmo che elabora il contenuto di un documento, svolto sulla base di una chiave crittografica; si intende, dunque, il risultato della procedura informatica, detta validazione, basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario attraverso quella pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
L’apposizione della firma digitale richiede per la generazione della stessa l'impiego di strumenti elettronici esterni82
, come la chiave pubblica, verificabili da terzi e certificabili dal soggetto pubblico o privato in possesso di tali strumenti.
La chiave privata è conosciuta soltanto dal soggetto titolare, che se ne avvale per apporre la firma digitale sul documento informatico, mentre quella pubblica è l’elemento con il quale si verifica la firma
81 Morello, Sottoscrizione,in Noviss. Dig..it. XVII, Torino,, 1970, pp. 1006 ss. 82 V. Cfr. Candian, Documentazione e documento (teoria generale), in Enc. Diritto, XIII, Milano, 1964, pp. 581 ss., e
Chiomenti, Firme autografe e firme meccaniche sui titoli di credito …e ora firme
digitale apposta sul documento informatico.
Rispetto alla sottoscrizione tradizionale, in merito ai requisiti formali83, la firma digitale è priva del carattere dell’autografia84: non è
possibile effettuare alcuna analisi di corrispondenza alle caratteristiche grafiche del sottoscrittore o alla personalità del medesimo; invece sicuramente potenziata è la caratteristica della riconoscibilità, in quanto essa si attua tramite il procedimento di validazione della firma e il servizio di certificazione; mentre gli strumenti legati alla grafologia, utilizzati per il riconoscimento della firma tradizionale, risultano sicuramente più incerti.
Manca nella firma digitale, essendo per definizione criptata, l’elemento della leggibilità.
In merito, invece, ai requisiti strutturali, la firma digitale ha dei punti in comune con la sottoscrizione.
Essa è infatti in forma scritta: tali sono sia la forma cartacea che quella elettronica; non è autografa, tuttavia la funzione specifica di tale requisito, ossia quella di assicurare la provenienza esclusiva dal sottoscrittore, è soddisfatta attraverso la presenza della chiave privata, che infatti, si trova nella disponibilità esclusiva del titolare; per quanto riguarda la nominatività la firma digitale ha un contenuto più complesso, rispetto all'indicazione del nome e del cognome, ma permette in ogni caso, di risalire al titolare della chiave privata; la leggibilità è invece un requisito del tutto assente nella firma digitale;
83 Cfr. Candian, Documentazione e documento (teoria generale), in Enc. Diritto, XIII, Milano, 1964, pp. 581 ss.e
D'Orazi Flavoni, Autografia, in Enc. Diritto, 1959, pp. 336 ss.
84
Cfr. Morello, Sottoscrizione, in Noviss. Dig..it. XVII, Torino, 1970, pp. 1012.; e Candian, Documentazione e documento (teoria generale), in Enc. Diritto, XIII, Milano, 1964, p. 581.
in merito all'apposizione in calce al documento, può esserci o meno, e perciò si parla di firma, e non di sottoscrizione; infine la sottoscrizione tradizionale non è riutilizzabile perchè fissata nel supporto cartaceo; anche la firma digitale non è riutilizzabile, ma per il fatto che il suo contenuto dipende dal contenuto del documento; se cambia il documento, deve cambiare anche la firma; se la firma venisse copiata ed apposta su di un altro documento, l'applicazione della chiave pubblica e la conseguente validazione garantirebbero di individuare subito l'abuso.
La reale identità del sottoscrittore85
è data dalla certificazione della firma digitale: Il certificatore è quindi il soggetto, pubblico o privato, che custodisce le chiavi pubbliche, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati86
.
L’articolo 10 del d.P.R. n. 513/ 1997, stabilisce che l'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo.
Conseguentemente il documento informatico fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto, se colui conto il quale il documento è prodotto ne
85 Cfr. Zagami, Firme “digitali”, crittografia e validità del documento
elettronico, in Diritto informaz. e informatica,1996, p.157;
contra, Del Vecchio, Riflessioni sul valore giuridico della sottoscrizione elettronica, in Riv. notariato,1991, pp. 989 ss.;
contra Morello, Sottoscrizione, in Noviss. Dig..it. XVII, Torino, 1970, pp. 1007 ss.
86
Si veda Zagami, Firme “digitali”, crittografia e validità del documento elettronico, in Diritto informaz. e informatica, 1996, pp.156 ss.
riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta87.
Ai fini dell’efficacia probatoria prevista ai sensi dell'articolo 2702 del codice civile la firma digitale va intesa come strettamente correlata alla “certificazione” della firma digitale medesima88
.
L’Unione europea ha dettato un quadro comune89, applicabile a tutti
gli Stati membri, relativo alle condizioni e requisiti da applicarsi alle firme elettroniche, con la direttiva n. 93 dell'anno 1999.
Anche nell’ottica europea, come nell’ordinamento nazionale, la funzione della firma elettronica e dei connessi servizi di certificazione è quella diretta all’autenticazione dei dati, diretta cioè ad assicurare la provenienza e la paternità del documento.
Infatti nella direttiva 1999/93/CE la firma elettronica viene definita come l’insieme di dati in forma elettronica connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione.
Accanto alla firma elettronica si prevede un secondo tipo di firma elettronica, denominata avanzata: essa deve essere connessa in maniera unica al firmatario; deve inoltre essere idonea ad identificare il firmatario ed essere creata con mezzi sui quali il firmatario può
87
Cfr. Candian, Documentazione e documento (teoria generale), in Enc. Diritto, XIII, Milano, 1964, pp. 584 e ss. Ed inoltre Zagami, Firme “digitali”, crittografia e
validità del documento elettronico, in Diritto informaz.e informatica, 1996, p.162.
88
Cfr. Longi, Confezione e spedizione di documento per mezzo di terminale fac-simile, in Giur. it., 1991, IV, pp. 68 ss.;
De Santis, Natura documentale ed efficacia probatoria del telefax, in Riv. dir. proc.1991, II, p. 1209;
e Zagami, op. ult. Cit., in Diritto informaz. e informatica,1996, pp. 152 ss.
89
Si veda Giannantonio, Manuale di diritto dell’informatica, Padova, 1997, pp. 502 ss.
conservare il proprio controllo esclusivo; essa infine deve essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati, ed in tal modo risulta essere tale da garantire l'indelebilità del documento informatico90.
La direttiva 1999/93/CE introduce infine un terzo tipo di firma elettronica, la firma sicura, individuato con riferimento al prodotto usato per la creazione della firma stessa: tale è il dispositivo che soddisfa i requisiti consistenti principalmente nel fatto che i dati per la creazione della firma utilizzati nella generazione della stessa devono comparire in pratica solo una volta, e non essere derivati, e che la firma deve essere protetta adeguatamente da contraffazioni, anche contro l’uso da parte di terzi91
.
In merito proprio alle firme elettroniche, il 3 Aprile di questo anno, il Parlamento Europeo ha approvato la proposta di Regolamento92
, del quale si aspetta la pubblicazione in Gazzetta Ufficiale nel mese di Giugno 2014, mirato a risolvere le problematiche ancora sussistenti che riguardano la corretta identificazione online dei soggetti.
L'autrice ed insegnante di diritto di Internet Giusella Finocchiaro93
ha riferito che innanzitutto il Regolamento ha importanza per la forma stessa che assume, in quanto, al contrario della Direttiva, una volta approvato, sarà direttamente applicabile e valido in ogni Stato membro dell'Unione Europea.
90 Si veda Zagami, op. ult. Cit., in Diritto informaz. e informatica,1996, pp.152 ss.
91 V. Giannantonio, Manuale di diritto dell’informatica, Padova,
1997, pp. 396 e ss.
92 Il testo del Regolamento è rinvenibile al sito:
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7- TA-2014-0282+0+DOC+XML+V0//IT
93 G. Finocchiaro, articolo pubblicato sul portale web
http://nova.ilsole24ore.com/esperienze/la-firma-elettronica-secondo-lue in data 20/04/2014
Tale Regolamento introduce un sistema per consentire operazioni giuridiche e tecniche online tra gli Stati membriutilizzando strumenti elettronici di identificazione, autenticazione e firma, c.d. EIDAS nel rispettivo acronimo inglese.
Gli Stati membri hanno facoltà di notificare alla Commissione sistemi di identificazione che, una volta accettati dalla stessa e pubblicati, devono essere riconosciuti da tutti gli Stati membri, a determinate condizioni.
Il sistema previsto si accompagna alle regole indicate nel Codice Privacy e dispone che gli schemi di riconoscimento precisino i livelli di sicurezza, che possono essere elevati, significativi o bassi; l’obbligo di riconoscere on line un soggetto identificato in un altro Stato sussiste soltanto se il livello di sicurezza è il medesimo, cioè di pari grado, o almeno medio o alto.
I livelli di sicurezza verranno stabiliti attraverso il procedimento di identificazione e verifica, oppure in base all'attività svolta o ai controlli previsti; quello dell'indicazione di sistemi di individuazione dell'identità è un meccanismo obbligatorio per poter essere riconosciuti davanti ad un soggetto pubblico, ad esempio per poter partecipare ad una gara di appalto.
Tale meccanismo troverà applicazione soltanto per i regimi di riconoscimento elettronico notificati da uno Stato membro e non alla prestazione di servizi fiduciari usati esclusivamente nell'ambito di sistemi chiusi a livello nazionale, nè ad accordi conclusi tra un numero limitato di partecipanti.