inserito in Diritto&Diritti nel giugno 2002

Il ruolo della firma digitale nel sistema italiano

di Luca Giacopuzzi – Foro di Verona
www.lucagiacopuzzi.it 

***

1. Introduzione – 2. Struttura tecnica – 3. Panorama normativo ed efficacia probatoria – 4. Il D.Lgs. 10/2002

 

  1. Introduzione

 

Tradizionalmente si suole definire “firma” il segno autografo, apposto in calce ad un documento scritto, che convenzionalmente manifesta la volontà dell’autore di aderire al testo preceduto e di farlo proprio.

 

Essa assolve, principalmente, alle seguenti funzioni:

- indicativa, dato che consente di identificare l’autore del documento;

- dichiarativa, perché permette l’assunzione della paternità del contenuto del documento;

- probatoria, in quanto garantisce l’autenticità del documento stesso.

 

Nell’esperienza quotidiana la firma, in concreto, si lega al supporto cui accede (sia esso uno scritto, un quadro o altro). Nel mondo digitale le cose cambiano e, per certi versi, si complicano.

 

Mentre, infatti, il documento tradizionale (analogico) è qualcosa di concreto, avente una sua fisicità (è una res signata), il documento informatico è qualcosa di completamente differente; per documento informatico – recita l’art. 1, punto b) del D.P.R. n.445/2000 – si intende “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

 

Già da una prima lettura della norma testè citata, si evince che il documento informatico ha una ben precisa identificazione concettuale che prescinde dal mezzo fisico utilizzato per dargli forma. Esso, in altre parole, è “l’idea pura” di ciò che si vuole dire ed è dunque identificabile nel “contenuto informativo” del documento stesso, che è cosa  ben distinta dal supporto fisico che lo ospita.

 

Appare chiaro, pertanto, che non è possibile un’automatica trasposizione al mondo virtuale delle regole e dei principi codicistici dettati in tema di sottoscrizione di un documento.

 

E tuttavia la diffusione generalizzata (pervasiva?) della comunicazione digitale ha richiesto con pressante urgenza una normativa ad hoc capace di attribuire al documento informatico la medesima efficacia probatoria (in termini di provenienza e di autenticità) del documento tradizionale, munito di sottoscrizione autografa.

Tale esigenza, anzi, è avvertita in maniera ancor più concreta che nel mondo reale, dato che Internet è una “rete aperta”: una rete, cioè, in cui i messaggi transitano liberamente da un computer all’altro, in modo tale che una terza persona può intercettarli ed alterarne il contenuto; negando poi, ovviamente, di averlo fatto.

 

Non si tratta di paranoie: una Rete interamente elettronica e gestita in modo non centralizzato non fornisce alcuna garanzia strutturale riguardo all’integrità ed all’autenticità dei messaggi che la attraversano.

 

Ecco perché è stato studiato il sistema della firma digitale, che vuole essere la risposta ai problemi sopra evidenziati (in termini di sicurezza, di autenticità, di integrità, di prova del documento) che la comunicazione digitale pone.

 

**** **** ****

  1. Struttura tecnica

 

Che cos’è, dunque, la firma digitale? L’art. 1, lett. n), del D.P.R. n.445/2000 la definisce come il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

 

Detto altrimenti – ed in termini più semplici – la firma digitale non è altro che il risultato di un calcolo matematico applicato al “contenuto informativo” (non al supporto) di un documento.

 

E’, insomma, un’informazione che viene aggiunta ad un documento informatico (testo, ma anche immagine o audio) secondo un particolare sistema che serve a garantire l’ascrivibilità, l’autenticità, l’integrità del documento stesso.

 

E’, da un punto di vista pratico, lo strumento con cui autenticare l’idea che sta dietro il documento, senza dover (né poter) intervenire sul particolare supporto fisico che ospita il documento stesso.

 

I requisiti necessari per la realizzazione di un valido sistema di firma digitale sono due: la disponibilità di una particolare funzione matematica detta “funzione Hash” e un buon sistema di crittografia a chiave pubblica.

 

Non essendo questa la sede per scendere nel dettaglio di spiegazioni tecniche, sul punto semplicemente osservo che la crittografia è la disciplina che permette di criptare un testo, ossia di nasconderne il contenuto.

 

Due le tecniche crittografiche di base: quella “simmetrica”, o a chiave segreta; quella “asimmetrica”, o a chiave pubblica.

La prima tecnica utilizza la medesima chiave sia per la crittazione che per la decrittazione di un messaggio (fig.1, courtesy of Interlex).

 

 Fig.1

 

Mittente e destinatario, in questo caso, condividono ed utilizzano la stessa chiave, che devono “scambiarsi”: questa la ragione per cui è necessario che adoperino canali di comunicazione fidati e questa è la ragione, in primo luogo, che rende inadatto tale sistema crittografico per il caso in esame, dato che – come visto – la Rete Internet, essendo “aperta”, non è affatto sicura.

 

Ecco perché il D.P.R. n.513/1997 (oggi abrogato e sostanzialmente recepito dal T.U., il D.P.R. n.445/2000) ha scelto un meccanismo di crittografia c.d. asimmetrica, che si basa su una coppia di chiavi, una privata ed una pubblica, l’una che cifra e l’altra che decifra, o viceversa (metaforicamente è meglio immaginare due “mezze chiavi”, che ne formano una sola adatta per “aprire” il documento; fig.2) .

 

Fig.2

 

La chiave privata è destinata a rimanere segreta (e deve essere gelosamente custodita dal titolare), mentre quella pubblica è contenuta in appositi elenchi nominativi, per legge liberamente consultabili da tutti.

 

In questo modo, il ricevente di un messaggio criptato che, utilizzando la chiave pubblica del mittente, lo trasforma in chiaro ha la certezza che quel messaggio proviene proprio da colui che assume esserne l’autore: dunque, la crittografia garantisce l’ascrivibilità e la non ripudiabilità del documento.

 

Per assicurare, invece, l’integrità e l’autenticità del documento viene in rilievo la funzione di Hash, la quale è un algoritmo pubblico e conosciuto, che garantisce che il risultato dell’operazione, partendo da un documento, sia uno ed uno soltanto.

 

Concretamente, per creare una firma digitale (fig.3) accade che, applicando detta funzione, il documento da  firmare venga “compresso” in una sorta di “riassunto” (una stringa binaria di dimensioni fisse qualunque sia la lunghezza del file di partenza), il quale si chiama “impronta” (o “message digest”) del documento stesso, perché in qualche modo lo rappresenta univocamente.

 

L’impronta viene poi cifrata con la chiave privata e quindi sottoscritta: in questo modo la firma risulta legata – da un lato – attraverso la chiave segreta – al soggetto sottoscrittore, e dall’altra – attraverso l’impronta – al testo sottoscritto (hash result).

  Fig.3

 

In questo modo, cambiando il messaggio originale (anche con una minima variazione, quale uno spazio aggiunto o una lettera “minuscola” al posto di una “maiuscola”), l’impronta non corrisponde più, e quindi si avrà la certezza dell’integrità e dell’autenticità del documento.

Infatti chi riceve elabora la stringa criptata con la chiave pubblica e quindi ottiene l’hash result in chiaro. A questo punto, utilizzando la stessa funzione di Hash adoperata dal sottoscrittore per creare l’hash result, il destinatario ricalcala i valori del messaggio inviato: se questo e quello dell’hash result coincidono, il ricevente è certo dell’autenticità ed autografia della sottoscrizione.

 

Riassumendo:

il sistema della firma digitale assolve alle seguenti funzioni:

1)      Autenticazione della provenienza dei dati

 Se infatti il Sig.Rossi crea la firma applicando al messaggio la propria chiave privata e lo invia per posta elettronica, per esempio, al suo collega Sig. Bianchi, costui verificherà la firma usando la chiave pubblica del Rossi raggiungendo così la certezza della provenienza del messaggio, poiché solo il sottoscrittore dispone della propria chiave privata (la firma digitale, infatti, deve riferirsi in maniera univoca ad un solo soggetto ed al documento cui è apposta: cfr. art. 23, comma 3, D.P.R. 445/2000, il c.d. T.U.).

 

2)      Integrità del messaggio

Come visto, grazie al sistema delle “doppie chiavi”, se anche un solo “bit”del testo cifrato viene modificato la corrispondente chiave di decifratura non combacerà più, evidenziando così che il testo è stato alterato nel tragitto dal mittente al ricevente.

 

3)      Non ripudiabilità da parte del mittente

Tornando all’esempio di prima, il Sig. Bianchi è sicuro che il Rossi non potrà negare di aver inoltrato il messaggio, poiché solo egli è a conoscenza della propria chiave privata, usata per cifrare quanto trasmesso.

 

Queste le tre funzioni “tipiche”. E’possibile, però, usare la firma digitale per garantire la “segretezza” del messaggio da trasmettere, risultato raggiungibile semplicemente invertendo l’ordine di cifratura delle chiavi (il Sig. Rossi utilizzerà allora la chiave pubblica del Sig. Bianchi per cifrare il proprio messaggio perché così avrà la certezza che solo il Bianchi potrà decrittare il messaggio inviato, perché solo il Bianchi è a conoscenza della propria chiave privata, necessaria per leggere in chiaro quanto ricevuto).

 

**** **** ****

Il tallone d’Achille del delineato sistema a chiave asimmetrica attiene alla sicurezza, ovvero all’autenticità della chiave pubblica; in particolare alla garanzia che questa appartenga effettivamente proprio al soggetto titolare della chiave privata. E chi mi garantisce che il Sig. Rossi che mi sta proponendo in vendita la sua casa sia davvero quel Rossi che ben conosco e di cui mi fido, e non invece il mediatore Sig.Verdi che si spaccia per lui?

 

A tali problemi è stata data risposta, con il D.P.R. 513/1997 prima e con il D.P.R. 445/2000 poi, creando la figura del “certificatore”, soggetto terzo rispetto ai rapporti tra le parti, il quale – quasi fosse un Ufficio dell’anagrafe del mondo telematico -  garantisce nei confronti dei terzi la autenticità della chiave pubblica, ossia l’appartenenza della stesa ad un ben preciso soggetto, preventivamente identificato, al quale verrà consegnato un cerificato che attesta la connessione tra il medesimo e la propria chiave privata.

 

Di talchè, esemplificando, risulterà agevole per il Sig. Bianchi che ha ricevuto un messaggio del sig. Rossi consultare un registro telematico per ottenere il certificato del Rossi, recuperare la chiave pubblica dello stesso, e decifrare quindi il testo ricevuto con la sicurezza che a quella chiave corrisponda davvero la persona del Rossi.

**** **** ****

 

  1. Panorama normativo ed efficacia probatoria

 

Venendo ora su un piano più strettamente giuridico ed esaminando, sia pur per cenni, l’evoluzione della normativa italiana, va osservato che la firma digitale è stata introdotta nel nostro ordinamento con il D.P.R. 31 ottobre 1997 n. 513, emanato in attuazione dell’art.15, comma 2, della l. 15 marzo 1997 n. 59 (c.d. l.Bassanini), che è stata la prima  norma ad affermare – in termini generali – il principio della “piena validità” del documento informatico, prevedendo testualmente: “gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”.

 

Le necessarie regole tecniche (approvate con D.P.C.M. 8 febbraio 1999) hanno permesso che il delineato sistema della firma digitale potesse concretamente “prendere il via”, dotando così l’Italia di una normativa specifica “all’avanguardia” in Europa, ben prima – infatti – che l’UE varasse la direttiva 99/93 sulle firme elettroniche.

 

La materia è stata successivamente recepita (e disciplinata in larga parte ex novo) dal T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, approvato con D.P.R. 28 dicembre 2000 n.445, che ha disposto l’abrogazione del D.P.R. 513/1997 (art. 77) ed il mantenimento in vigore, fino alla loro sostituzione, delle regole tecniche già predisposte (art.78).

 

Ultimo tassello di questo variegato mosaico legislativo è il recente D.Lgs. 23 gennaio 2002 n.10, che – come si dirà – ha introdotto non poche (e, mi sia consentito, non chiare) modifiche all’impianto normativo attuale.

**** **** ****

 

Quanto all’efficacia probatoria del documento sottoscritto da firma digitale, va subito evidenziato che l’art. 23, punto 2, del T.U. (D.P.R. n.445/2000), ha sancito la sostanziale equivalenza tra la sottoscrizione tradizionale autentica e quella con firma digitale, disponendo che “l’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo”.

 

La firma digitale, pertanto, è da parificarsi – per il profilo che qui interssa -  alla  firma autografa, cosicché al documento informatico munito di firma digitale è riconosciuta l’efficacia di “scrittura privata” ai sensi dell’art. 2702 c.c. (cfr. art. 10, comma 3, del T.U.), il quale recita testualmente: “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne disconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”  .

 

Ciò comporta, venendo al concreto, che i contratti per i quali è richiesta la forma scritta a pena di nullità (come, ad esempio, la compravendita di un immobile) possono essere conclusi anche per via telematica, se siglati con firma digitale. E lo stesso accade per quelli richiedono la forma scritta ad probationem, come i contratti di assicurazione (ed infatti la circolare Isvap n. 393/D del 17 gennaio 2000 impone, per la sottoscrizione di polizze assicurative on line, che l’utente sia dotato della firma digitale, perché questa – come visto – integra gli estremi della forma scritta ed ha l’efficacia probatoria della scrittura privata ex art.2702 c.c.).

 

Inoltre l’apposizione della “marca temporale”, con le modalità previste dagli artt. 52-60 delle regole tecniche, consentirà di dare certezza alla data e all’ora di conclusione di un accordo, con efficacia evidentemente opponibile ai terzi.

 

A ridisegnare i confini dell’efficacia probatoria del documento informatico sottoscritto con firma digitale è recentemente intervenuto il D.Lgs. n. 10/2002, che – per quel che ora interessa – ha riscritto l’art. 10 del T.U., qualificando in buona sostanza il documento cui è apposta la firma digitale come “scrittura privata legalmente riconosciuta”.

 

Recita, infatti, il nuovo art. 10 D.P.R. 445/2000: “ Il documento informatico, quando è sottoscritto con firma digitale o con altro tipo di firma elettronica avanzata, e la firma è basata su un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto”.

 

Emerge da subito la differenza rispetto al precedente testo, il quale conteneva il riferimento all’art. 2702 c.c., ora non più presente. Ne deriva che il documento informatico sottoscritto con la firma digitale fa piena prova fino a querela di falso…e null’altro, ovvero non richiede più il requisito del riconoscimento o dell’autentica. Ne deriva, in altre parole, che il documento sottoscritto con la firma digitale è ora paragonato alla “scrittura privata legalmente riconosciuta”.

 

  1. Il D.Lgs. 23 gennaio 2002 n. 10

  

Risulta riduttivo,oggi, parlare solo di firma digitale.

 

Il quadro normativo disegnato dal recente decreto legislativo n. 10/2002 (attuativo della direttiva europea 99/93), prevede allo stato un sistema di firme elettroniche, al cui interno si possono distinguere tre tipologie di firme, ognuna con una specifica efficacia probatoria:

 

1) la firma elettronica “debole”, vale a dire “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” (art. 2, lett. a), D.Lgs. 10/2002); rientra in questa categoria, tanto per fare un esempio, una password o un username. 

 

2) la firma elettronica “avanzata”, definita come “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati” (art. 2, lett. g), D.Lgs. 10/2002);

 

3) la firma elettronica “avanzata basata su un certificato qualificato e generata attraverso un dispositivo di firma sicura” (art. 10, comma 3, D.P.R. 445/2000, così come introdotto dall’art. 6 D.Lgs. 10/2002).

 

A tale ultimo tipo di firma elettronica (firma elettronica sicura) appartiene la firma digitale adottata in Italia con il D.P.R. 513/1997 (confluito poi nel D.P.R. n.445/2000). Il sistema “italiano” di firma digitale sopravvive dunque oggi nell’ambito del più vasto sistema di firme elettroniche delineato  con il D.L.vo 10/2002.

 

Giova invece osservare, seppur rapidamente, come l’art. 6 del D.Lgs 10/2002 sostituisca interamente (come in parte osservato in precedenza: punto 3)) il testo dell’art. 10 D.P.R. 445/2000.

 

La nuova formulazione della norma stabilisce anzitutto, al 1 comma, che al documento informatico è riconosciuta l’efficacia probatoria prevista dall’art. 2712 c.c., risolvendo così un vivace dibattito dottrinale sul punto (come noto, l’art. 2712 c.c. dispone che “le riproduzioni fotografiche o cinematografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”).

 

 

 

Si precisa, poi, al 2 comma, che “ il documento informatico sottoscritto con (– qualunque tipo di –) firma elettronica soddisfa il requisito legale della forma scritta e, da un punto di vista probatorio, è liberamente valutabile dal Giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza” (art. 10, comma 2, n.t., D.P.R. 445/2000).

 

Di notevole interesse, in particolare, è il comma 3 della presente disposizione, secondo il quale, come già visto, il documento informatico sottoscritto con firma digitale o altra firma elettronica avanzata, basata su di un certificato qualificato e generata mediante un dispositivo per la creazione di una firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.

 

Stando alla lettera dell’art. 10, comma 3, n.t., D.P.R. 445/2000, il valore probatorio di un documento informatico sottoscritto con firma digitale o altra firma elettronica sicura, sarebbe  pertanto quello della “scrittura privata legalmente riconosciuta”: il documento così sottoscritto non sarà pertanto disconoscibile da parte del sottoscrittore e per contrastare la sua rilevanza probatoria sarà sempre necessaria la proposizione della querela di falso ex artt. 221 ss. c.p.c.