|
INTRODUZIONE
E’ vero che il terzo millennio ha consacrato un nuovo tipo di cultura, quella dei media elettronici; è vero che i mezzi di informazione e di comunicazione hanno subito profonde trasformazioni; è vero che una letteratura ormai imponente si sta sforzando di descrivere le tecniche di utilizzazione dei processori, i diversi linguaggi degli elaboratori, i volti di una società in cui il pc ha assunto una posizione dominante.
Non meno vera e, del resto inevitabile, è, però, la trasformazione che la globalizzazione, con tutte le sue implicazioni, sta portando, altresì, nel mondo del diritto.
Ordinamento giuridico ed informatica vengono, da qualche anno, costantemente ed imprescindibilmente associati nella politica legislativa italiana, oltre che in quella comunitaria, vista la necessità di disciplinare le contrattazioni di e-commerce.
La disciplina italiana sull’e-commerce ed, in particolare, sulla firma digitale, quale strumento idoneo a garantire l’autenticità e la provenienza dei singoli contratti, si è preoccupata, prevalentemente, di adattare contenuti e forme preesistenti all’elaborazione informatica; attraverso la firma digitale, la cui sicurezza dovrebbe essere garantita da un complesso sistema crittografico asimmetrico, il legislatore ha, forzatamente, voluto equiparare il documento informatico al documento cartaceo.
E tuttavia l’equiparazione teorica tra i documenti (v. l 59/97, DPR 513/97, T.U. 445/2000, infine v. pure Dlgs 23/1/02 n 10 d’attuazione DIR.UE 93/99) non ha trovato riscontro in un’equivalenza sostanziale circa l’autenticità e la certezza della provenienza del documento firmato davanti ad un pubblico ufficiale e del documento crittato e decrittato secondo la funzione di hash!
DAL DOCUMENTO CARTACEO AL DOCUMENTO ELETTRONICO.
La scienza giuridica si è interessata al concetto di documento intorno all’inizio del secolo scorso, ma solo di recente è giunta a delinearne le caratteristiche principali.
Attualmente la dottrina giuridica identifica il documento scritto, nella sua più ampia accezione, riconoscendo come scrittura un qualunque segno espresso in un linguaggio comprensibile.
La scrittura può essere, dunque, di vari tipi ed è irrilevante, rispetto ai documenti scritti, il supporto in cui è contenuta l’informazione.
In generale, pertanto, il documento scritto può essere concepito come un oggetto fisico che contiene un’informazione ovvero offre una rappresentazione di un fatto, e che è caratterizzato da un legame intrinseco con tale informazione.
Nell’ambito di tale definizione generica del documento scritto l’ordinamento codicistico, distingue l’atto pubblico ( artt 2699-2701) e la scrittura privata ( artt 2702-2708).
Le norme codicistiche, appena richiamate, sono state da sempre considerate suscettibili d’applicazione estensiva ed analogica e, tuttavia, con l’avvento della tecnologia, la diffusione sempre maggiore del documento informatico, ha sollevato notevoli perplessità fra i giuristi, con particolare riguardo ad una possibile equiparazione del nuovo documento al documento cartaceo.
L’equiparazione del documento informatico al documento cartaceo, mette inevitabilmente in evidenza, infatti, la sostanziale differenza che sussiste tra i due tipi di documento e che è data dal fatto che il primo contiene delle informazioni codificate in un linguaggio convenzionale, cioè il linguaggio BIT, memorizzate su un supporto materiale mobile (floppy, hard disk, cd rom) e destinate a durare nel tempo.
ERGO una piena equivalenza tra documento cartaceo e documento informatico, può realizzarsi soltanto individuando quali caratteristiche deve avere il secondo per assumere valore legale, una volta assodato che i requisiti per la validità legale del documento cartaceo sono già pienamente contenuti nelle norme codicistiche sopra richiamate.
In linea generale, prescrizioni formali a parte, può dirsi che un documento ha valore legale quando ha un contenuto certo ed immutabile, nonché riconducibile ad un soggetto ben identificato.
E tuttavia le serie di bit che costituiscono il documento informatico possono essere facilmente falsificate cosicchè, al fine di poter attribuire al documento informatico valore legale, nonché per la realizzazione di un sistema idoneo a garantire l’integrità di una scrittura digitale, composta da un determinato soggetto in un determinato momento storico, si utilizza la cd firma digitale, la cui unicità è garantita attraverso le moderne tecniche crittografiche.
FIRMA DIGITALE E CHIAVI CRITTOGRAFICHE.
La firma digitale, definita dalla normativa italiana precedente all’entrata in vigore del dlgs 10/02, come "risultato della procedura informatica basata su un sistema di chiavi asimmetriche a coppia, una pubblica ed una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico" (art 1 lett. B, DPR 513/97, nonché art 2 DPR 445/00), ha la funzione, dicevamo, di rendere unico il documento elettronico.
Il sistema attraverso il quale la firma digitale riesce a realizzare tale obiettivo è quello delle chiavi crittografiche.
La crittografia è una tecnologia che consiste nell’applicazione ad un documento, da chiunque intelligibile, di un algoritmo che scompone il testo in una sequenza di caratteri incomprensibili se non da chi possiede la chiave; pertanto, tale scienza garantisce la riservatezza, l’integrità e l’autenticità del documento informatico.
La crittografia e la crittoanalisi sono, tuttavia, delle species di una scienza, la crittologia, che si occupa della cifratura e della comunicazione di messaggi in codice attraverso lo studio matematico dei crittosistemi.
La crittografia si occupa, prevalentemente, della cifratura dei testi e cioè della trasformazione di un testo in chiaro in un testo cifrato, attraverso l’utilizzazione di chiavi di rifrazione che consentono solo alla persona a conoscenza della chiave di decifrare il testo cifrato.
La crittoanalisi, invece, è rivolta ad individuare i metodi per decifrare le comunicazioni rese segrete attraverso la crittografia.
La crittografia si avvale di algoritmi eseguibili da computers e che si distinguono in algoritmi simmetrici e algoritmi asimmetrici; i primi consentono al mittente ed al destinatario di utilizzare la stessa chiave per crittare e decrittare il messaggio, mentre i secondi si basano su una coppia di chiavi, l’una capace di cifrare o nascondere il messaggio e l’altra idonea, invece, a decifrarlo.
La crittografia a chiave simmetrica non viene molto utilizzata in quanto non del tutto sicura: esiste, infatti, un momento in cui tale chiave deve essere scambiata in chiaro tra mittente e destinatario e, in tale frangente, qualcuno potrebbe impossessarsi della chiave medesima; inoltre, l’uso ripetuto della medesima chiave potrebbe facilitare la decodificazione.
L’utilizzo di chiavi asimmetriche, al contrario, sembra sottrarsi a tali rischi; il sistema asimmetrico, infatti, si basa su due chiavi, ognuna in grado di decrittare un messaggio, ma la conoscenza di una delle quali non consente la possibilità di risalire all’altra; la chiave con la quale viene crittato il messaggio è differente da quella con cui il messaggio viene decrittato in ricezione, e pertanto, essendo estremamente difficile derivare una chiave dall’altra si riducono le possibilità che qualcuno possa interferire nelle comunicazioni tra mittente e destinatario.
La crittografia viene utilizzata per la firma digitale; tuttavia, mentre nella crittografia la chiave pubblica è utilizzata per la cifratura ed il destinatario usa la privata per decrittare il messaggio, nella firma digitale il mittente usa la cifratura e la sua chiave privata per creare un messaggio che ne garantisce la provenienza, in virtù del carattere personale della chiave segreta o privata.
Esistono, tuttavia, alcune attività preliminari all’utilizzazione della firma digitale.
In primis è necessario che l’utente che intende avvalersi del sistema di firma digitale, si registri presso un’autorità di certificazione, al duplice fine di rendere certa la sua identità e di realizzare con il certificatore un canale di comunicazione sicuro attraverso il quale far viaggiare le chiavi pubbliche di cui viene richiesta la certificazione; l’ente certificatore, rilascia un identificatore univoco all’utente che, attraverso un software idoneo al sistema crittografico adottato ( cd smart card), crea due chiavi da utilizzare: una segreta da usarsi per l’apposizione della firma, l’altra destinata alla verifica e resa pubblica attraverso i registri dell’Autorità di Certificazione, grazie alla quale chiunque riceva un documento firmato potrà sincerarsi dell’identità del soggetto che ha apposto la firma.
L’Ente di certificazione, rilascia poi all’utente, un certificato che garantisce la provenienza della chiave pubblica, valido per un certo periodo, durante il quale, l’utente potrà avvalersi della firma digitale, così a sua disposizione.
Infine, concretamente, il processo d’apposizione della firma si realizza attraverso tre momenti:
1) creazione di un’impronta attraverso l’utilizzazione di una funzione di hash che ne garantisce l’unicità;
2) generazione della firma, cioè cifratura, con la chiave segreta dell’impronta in precedenza creata;
3) apposizione della firma al testo del messaggio in posizione predefinita.
LA FIRMA DIGITALE E LA FIRMA ELTTRONICA NELLA NORMATIVA INTERNA E COMUNITARIA.
La firma digitale è destinata ad avere un ruolo sempre più rilevante nell’ambito delle transazioni on line tra i privati, tra le imprese, nonché nei rapporti con le P.A. e, tuttavia, rimangono alcuni dubbi circa il suo impiego.
E’, pertanto, importante individuare la rilevanza della firma digitale alla luce di quanto stabilito da una normativa interna e comunitaria in continua evoluzione.
La "forma informatica" è stata introdotta nel nostro ordinamento dalla legge n 59 del 15 marzo 1997 e, in attuazione della medesima, dal DPR 10 novembre 1997 n 513, i cui contenuti sono stati successivamente recepiti dal regolamento di cui al DPR 445/2000.
A tali disposizioni normative si uniscono le regole circa la formazione, trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione dei documenti informatici, predisposte dall’AIPA ed approvate con il DPCM 8 febbraio 1999.
Sul piano del diritto comunitario un’importanza fondamentale assumono la direttiva del Parlamento e del Consiglio Europeo del 13/12/1999 n 93/99/ CE inerente ad un quadro comunitario per le firme elettroniche, recepita dal DLGS 10/2002, nonché, in stretta relazione, la direttiva del Parlamento Europeo e del Consiglio dell’8 giugno 2000 n 2000/31/ CE relativa agli aspetti giuridici dei servizi della società dell’informazione, ed in particolare al commercio elettronico nel mercato interno (cd direttiva sul commercio elettronico).
Il DPR 513/1997, in particolare, ha introdotto la figura del documento informatico quale, "rappresentazione informatica d’atti, fatti o dati giuridicamente rilevanti" e che, se munito dei requisiti prescritti dallo stesso DPR, è "valido e rilevante a tutti gli effetti di legge e soddisfa il requisito legale della forma scritta".
Il concetto di documento informatico nel nostro ordinamento è strettamente collegato a quello di firma digitale, visto che dal combinato disposto delle norme di cui agli art 15, l 59/1997 (secondo il quale i documenti informatici sono validi a tutti gli effetti di legge), all’art 23 DPR 445/2000 (che equipara la sottoscrizione con firma digitale alla sottoscrizione tradizionale), nonché all’art 6 dlgs 10/2002 (che conferisce al documento sottoscritto con firma elettronica avanzata e con alcuni requisiti formali, addirittura, la stessa efficacia di una scrittura privata autenticata), si evince la piena equivalenza, all’interno del nostro ordinamento giuridico, tra la sottoscrizione tradizionale e la sottoscrizione digitale.
La circolare AIPA del 16 febbraio 2001, in particolare, ha precisato che firma elettronica e firma digitale non devono essere confuse: mentre la prima corrisponde a qualsiasi sistema di attribuzione di alcune funzioni della sottoscrizione autografa ad un documento informatico, la seconda è quella firma che utilizza il sistema di crittografia a chiave pubblica; vi è peraltro da dire che l’ordinamento italiano si è sempre preoccupato di definire la firma digitale, trascurando la firma elettronica, nel senso che il legislatore si è più che altro impegnato ad individuare i requisiti che la firma elettronica deve avere per dare garanzie di certezza, riservatezza ed unicità al consumatore-utente.
Per ciò stesso la firma digitale come species della firma elettronica con caratteristiche di sicurezza ( v.art 23 DPR 445/200), parificata alla firma autografa, comportava, altresì, il riconoscimento al documento informatico cui è applicata dell’efficacia di scrittura privata, ex art 2702 cc.( così statuiva l’art 10 del DPR 445/00).
La medesima norma prevedeva, poi, che il documento informatico sottoscritto con firma digitale non munita dei requisiti di cui al menzionato art 23, e redatto secondo le regole tecniche di cui all’art 8 del medesimo T.U., soddisfaceva il requisito legale della forma scritta ed aveva l’efficacia probatoria di cui all’art 2712 cc; infine, il documento sprovvisto di firma digitale , ma coi requisiti di cui all’art 8, co.2, soddisfaceva gli obblighi di cui all’art 2214 cc .
Da poco tempo il nostro legislatore ha recepito, con Dlgs 23/1/02 n 10, la direttiva UE 1999/93, già citata, che ha distinto una firma digitale forte ed una firma elettronica semplice o debole che presenterebbe un minore grado di sicurezza rispetto alla prima.
In particolare, la più recente normativa italiana, all’art 2, definisce la firma elettronica ( cd semplice o debole), come "l’insieme dei dati in forma elettronica, allegati o connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica" e distingue, invece, la firma elettronica avanzata ( cd firma forte), individuandola come quella "firma elettronica ottenuta attraverso un processo informatico che garantisce la connessione univoca al firmatario e la univoca identificazione, creata con mezzi sui quali il firmatario conservare un controllo esclusivo e collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati".
L’art 6 del Dlgs 23/1/02 n 10, ha, inoltre, abrogato ed interamente sostituito l’art 10 DPR 445/2000, stabilendo che gli atti muniti di firma digitale debole restano liberamente valutabili dal Giudice, mentre i documenti muniti di firma digitale forte vengono considerati documenti scritti ed aventi, ai fini probatori, il medesimo valore di una scrittura privata autenticata; nonché che i documenti informatici sprovvisti di una qualsiasi firma hanno valore di semplici riproduzioni meccaniche, ai sensi dell’art 2712 cc.
FIRMA DIGITALE: SICUREZZA O RISCHIO?
A maggior ragione alla luce della recente riforma normativa che ha conferito, si diceva, al documento informatico la stessa efficacia di una scrittura privata autenticata, si pone la necessità di comprendere se e fino a che punto la firma digitale forte è sicura e garantisce effettivamente l’autenticità e la provenienza del documento informatico.
Diversi certificatori funzionano già ed hanno predisposto gli strumenti idonei alla produzione della coppia di chiavi asimmetriche necessaria per l’uso della firma digitale e, tuttavia, le perplessità sono numerose ed hanno ad oggetto, innanzi tutto le scelte tecniche operate dagli stessi certificatori.
Le aziende iscritte presso i diversi certificatori hanno più volte espresso la necessità di interoperabilità che, comunque è necessaria per il funzionamento dell’intero sistema, visto che ciascuna di esse ha elaborato un proprio software per gestire i certificati e per la creazione di chiavi pubbliche e private.
Tuttavia la scelta di creare singoli software cd proprietari, la cui individuale esistenza mina le radici dell’interoperabilità se, da un canto, per se stessa, costituisce un business non indifferente per le aziende di certificazione che cedono unitamente i kit di chiavi ed i software, d’altro canto mette in pericolo la sicurezza stessa della firma digitale, come garantiscono gli esperti di reati informatici.
La scelta di realizzare software differenti, infatti, non solo crea problemi di compatibilità in relazione all’obiettivo di creare un sistema comune, ma soprattutto è opinabile sul piano della sicurezza.
E’ noto a tutti, infatti, come la gran parte dei reati informatici venga realizzata all’interno delle aziende da dipendenti infedeli, pertanto non può escludersi che tali stessi dipendenti inseriscano, nell’ambito dei sistemi sviluppati dai certificatori, programmi di decrittazione in grado di rigenerare o recuperare la chiave privata, ponendo così gli utenti in guai seri; in tale ipotesi, infatti, chiunque sarebbe in grado di rigenerare la coppia di chiavi e potrebbe utilizzarla per firmare digitalmente qualsiasi documento.
Rebus sic stantibus il funzionamento della firma digitale sembrerebbe essere rimesso esclusivamente alla serietà dei certificatori e dei loro dipendenti!
Ulteriori perplessità circa la sicurezza della firma digitale non possono che manifestarsi all’interprete, vista e considerata la sovrapposizione e la poca organicità della normativa vigente; sempre più difficile è per l’utente - consumatore del commercio on line, gestire i propri interessi con disinvoltura, attraverso i nuovi strumenti di comunicazione, con la certezza, da una parte, dell’efficacia della propria sottoscrizione, ma col dubbio, dall’altra, di poter essere degnamente tutelato, nel caso di violazione dei propri diritti, attesa e la mancata organicità della normazione in uso, e la poca conoscenza della medesima da parte degli operatori del diritto.
Non può, infine, concludersi questa breve trattazione, se non con l’auspicio di un intervento legislativo diretto alla riforma dei sistemi operativi e dei supporti informatici, e con la speranza di una sempre maggiore diffusione di una buona conoscenza degli strumenti telematici di comunicazione e di vendita, e da parte dei consumatori e da parte degli operatori del diritto.
Valentina Ricca (avvocato)
BIBLIOGRAFIA
AAVV, Codice di diritto dell’informatica, a cura di PATTARO, PD, 2000;
BORRUSO, Computer e diritto, II, MI, 1988;
CAMMARATA MACCARONE, Il valore probatorio del documento informatico, in www.interlex.com;
CARCHESIO, Crittografia: passato, presente, futuro, in www.interlex.com;
CARNELUTTI, Documento, in Nov.Dig., 1960, VI, 85 SS; D’AIETTI, Il documento elettronico: profili giuridici, civili e penali, in www.privacy.it;
DE SANTIS, Il documento non scritto come prova civile, NA, 1988; FINOCCHIARO, Il valore giuridico del documento elettronico, in Trattato di diritto commerciale e di diritto pubblico dell’economia, PD, XII, 1997;
IRTI, Studi sul formalismo negoziale, PD, 1997;
IRTI, Idola libertatis, MI, 1985;
MICCOLI, Documento e commercio telematico, IPSOA, 1998; PARISI, Il contratto concluso mediante computer, PD, 1987.
RANA, Il valore probatorio del documento elettronico, in www.diritto.it;
RIDOLFI P., Dalla scitala di Plutarco alla firma digitale, in Media 2000, 1998;
ROGNETTA, Crittografia asimmetrica: dal cifrario di G.Cesare alla firma digitale, in Atti Conferenza "Diritto e tecnologia dell’informazione", CT, 3/6/1999;
ROGNETTA, Firma digitale e documento elettronico, Ed.Simone 2000;
TONDO S., Formalismo negoziale tra vecchie e nuove tecniche, in Riv.Notariato, 1999, 955 ss;
|
