inserito in Diritto&Diritti nel luglio 2004

Falsificazione della firma digitale: un rischio evitabile

di Simona Calabrese

***

L’art. 15, comma 2, L. 15 marzo 1997, n.59 (c.d. “Legge Bassanini”) per la prima volta riconosce ad atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, ai contratti stipulati nelle medesime forme, nonché alla loro archiviazione e trasmissione con strumenti informatici, la validità e rilevanza a tutti gli effetti di legge[1] e valore probatorio.

Il documento informatico viene definito dall’art. 491 bis c.p.[2]  come qualunque «supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati ad elaborarlo». Ai sensi dell’art. 1, comma 1, lett. a ), D.P.R. 10 novembre 1997, n. 513 (emanato in attuazione della legge n. 59 / 1997), il documento informatico cessa di essere un mero contenitore di informazioni, e viene inteso come una «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti», spostando  il significato sul contenuto informativo dello stesso, per cui più ampia ne risulta la valenza semantica di un concetto “dinamico” di documento, formato sia dalla P.A. che dai privati, considerato non solo nella sua formazione, ma anche nella sua archiviazione e trasmissione (art. 2). La rilevanza giuridica è quindi attribuita al documento elettronico inteso come atto formato e custodito nella memoria elettronica. Sub specie, quindi, sembrano ravvisabili gli estremi della successione di leggi nel tempo, con abrogazione implicita dell’attuale testo dell’art. 491 bis c.p.[3].

Il regolamento attuativo citato introduce, inoltre, il concetto di firma digitale, definendola « il risultato della procedura informatica( validazione) basata su un sistema  di chiavi asimmetriche a coppia, una pubblica ed una privata, che consente  al sottoscrittore, tramite la chiave privata, ed al destinatario, tramite la chiave pubblica,rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un  documento informatico o di un insieme di documenti informatici».

La firma digitale attesta la genuinità, la provenienza, la paternità e l’integrità dell’atto informatico ed è il risultato di una procedura crittografica[4] .

Schematizzando, la firma digitale consiste nel testo cifrato che contiene le generalità del mittente più l’impronta del testo( ricavata con un procedimento crittografico particolare, cosiddetta “Funzione di hash”). Il testo viene cifrato in chiave privata dell’emittente e, successivamente, decifrato in chiave pubblica del medesimo. Se, alla fine della decifratura l'impronta che risulta è uguale a quella che accompagna il testo, si ha la certezza che quest’ultimo non è stato alterato dopo la generazione della firma digitale. Naturalmente, in questo modo non esistono due firme digitali uguali, perché ognuna contiene l'impronta del testo. Quindi non esiste una "firma digitale in bianco"[5] .

 

La segretezza della chiave privata e l'attendibilità dell'attribuzione della chiave pubblica in appositi elenchi accessibili per via telematica, consultabili da chiunque, viene certificata da particolari soggetti[6], i cosiddetti certificatori. L’elenco dei certificatori[7], e’ tenuto a cura dell'Autorità per l'informatica nella Pubblica Amministrazione (AIPA, ora CNIPA), che svolge un’attività di controllo, certificazione e regolamentazione. I Certificatori italiani per la firma digitale sono consapevoli dell’importanza e della delicatezza della loro funzione di garanti dei sistemi di firma. Per meglio connotare questo ruolo è  stata  costituita  l ’Asso Certificatori , un’ associazione   senza   scopo   di   lucro       che   ha  come  fine  esclusivo  la  diffusione     dei  sistemi  di  firma  digitale , dell'  archiviazione  elettronica  dei  documenti, con riferimento sia agli aspetti tecnici, sia a quelli giuridici.
AssoCertificatori, promuove lo sviluppo e la diffusione della cultura tecnico-informatica relativa alla firma digitale, contribuisce, anche su base internazionale, alla definizione di standard  tecnici , qualitativi  e  di  interoperabilità , compie  e   promuove   studi  e  ricerche in campo nazionale, comunitario ed internazionale. L’interoperabilità, spesso non  consiste in un obiettivo perseguito, ma   rappresenta un problema, in quanto un documento informatico firmato con la tecnologia offerta da un certificatore non è  verificabile con la tecnologia offerta da un altro certificatore. La questione  è stata affrontata ed in  parte risolta con la circolare dell’A. I. P. A. n. 24 del giugno 2000, volta a garantire l’interoperabilità nel processo di verifica delle firme digitali conformi alle  disposizioni nazionali.

L’art. 5 del D. P. R.  n. 513 /1997,  precisa che  il  documento  informatico  sottoscritto con la firma  digitale ha  l’ efficacia  probatoria  della  scrittura  privata  ai sensi dell’art. 2702 c.c. Ciò comporta che il documento informatico «fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto[8], se colui  contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta» ( art. 2702 c.c., richiamato dall’art. 5 reg.)[9]. A seguito dell’entrata in vigore del Dlvo  10/02 e del DPR 137/03,  sono state  introdotte importanti modifiche concernenti  l’aspetto probatorio. L’art. 10 del  Dlvo 10/2002, dispone che : «il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 c.c. riguardo ai fatti ed alle cose rappresentate», sottolineando, con tale rinvio, sia  la natura di “riproduzione o rappresentazione meccanica” del documento informatico sia la sua piena efficacia probatoria, fino al disconoscimento da parte di colui contro il quale il documento è prodotto[10].

 Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta e, sul piano probatorio, è liberamente valutabile dal giudice, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.

 Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto. In ogni caso, non può essergli negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura[11].

 Per potersi attribuire, ai sensi dell’art. 2702, efficacia di piena prova alla scrittura privata, occorre che siano presenti  tre circostanze, alternative tra loro: riconoscimento, giudizio positivo di verificazione, autenticazione. L’adattamento di tali istituti al documento informatico comporta perplessità e problemi applicativi, in quanto la firma digitale non è in grado di rappresentare il suo reale autore, ma solo il soggetto titolare del relativo certificato da utilizzare per la verifica tecnica. Oggetto della prova, quindi, non è tanto l’individuazione del reale autore della firma, ma l’individuazione del soggetto titolare del relativo certificato, con la conseguenza che il procedimento di verificazione si riduceva  ad una mera operazione matematica ben lungi dall’essere un giudizio sostanziale [12] . La chiave privata, a differenza della sottoscrizione autografa, non è un dato esclusivamente personale, ma uno strumento tecnico che può essere astrattamente  utilizzato da chiunque, per cui non si può provare chi sia l’autore reale della sottoscrizione, ma si può solo attribuire la responsabilità, in via presuntiva, in capo al titolare della chiave, come risulta dal certificato. L’abrogazione dell’art.23, II comma, TU, ed il richiamo all’articolo 2712 c.c. hanno  in parte eliminato le difficoltà dovute all’adeguamento della disciplina codicistica a quella “elettronica”.

Le istanze e le dichiarazioni inviate per via telematica sono valide: se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura, ovvero quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi.

La firma digitale  viene apposta non sull’intero documento ma sul cd. "Hash" , cioè su di una stringa dello stesso creata attraverso la “funzione di hashing” che rappresenta un estratto, un’impronta che corrisponde univocamente allo stesso documento senza possibilità di alcun mutamento di quest’ ultimo pena la mancanza di riscontro nella detta stringa ( hash ).

Occorre precisare che il Dlvo 10/02 distingue tre categorie generiche di firme, al cui interno può essere fatta rientrare la firma digitale: la FIRMA ELETTRONICA, definita, ai sensi dell'articolo 2, comma 1, lettera a), come l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica; la FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1, lettera g), la quale si ottiene attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; ed infine la FIRMA ELETTRONICA QUALIFICATA, ovvero una firma elettronica avanzata basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma.

Il legislatore italiano, con le definizioni di "firma elettronica avanzata" e "firma elettronica qualificata" ha generato confusione, perché le due espressioni si sovrappongono a quella di "firma digitale sicura" senza che vengano chiariti i rapporti intercorrorrenti fra le tre definizioni. Se in qualche modo avesse conservato la distinzione, di uso comune da anni, tra "firma pesante" e "firma leggera", tutto sarebbe più chiaro. Fra l'altro, le definizioni contenute nell'art. 2 della direttiva, sono soltanto due e non è difficile farle coincidere con i concetti di "firma leggera", cioè dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione e "firma pesante", cioè una firma elettronica che soddisfi i seguenti requisiti: a) essere connessa in maniera unica al firmatario; b) essere idonea ad identificare il firmatario; c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati.

Riassumendo: la firma "pesante" (definita come "firma digitale" o "firma elettronica qualificata") è la sola valida per sottoscrivere documenti validi e rilevanti a tutti      gli effetti di legge, come una firma autografa.
Dunque in tutti gli atti in cui le leggi italiane richiedono la "forma scritta" per la validità di un atto (per esempio un contratto di assicurazione) è necessaria la firma pesante. Ci si chiede, allora, a che serva la firma leggera ("firma elettronica", secondo la  definizione della normativa). Essa può utilizzarsi in ambiti definiti in cui i diversi soggetti coinvolti siano d'accordo nel riconoscere a tale firma una sufficiente attendibilità per l'identificazione del firmatario di un documento.

Per fare un esempio: se una banca certifica una coppia di chiavi a un suo cliente (o accetta il certificato emesso da un certificatore non accreditato, ma che ritiene affidabile), dovrà accettare come firmati da quel cliente i documenti la cui firma digitale (leggera) sia stata generata a partire dalla coppia di chiavi certificata. Lo stesso può accadere nell'ambito di una società, di un ente, di qualsiasi organizzazione che decida di fidarsi dei certificati di sottoscrizione emessi da un certificatore non accreditato e/o di firme non generate attraverso un dispositivo sicuro.

Per garantire ad un documento informatico lo stesso valore di qualunque altro documento tradizionale, occorre dotarlo di una serie di infrastrutture ( dette comunemente PKI- Public Key Infrastructures), capaci di fornire o generare chiavi asimmetriche, mantenere e garantire l’effettiva accessibilità a chiunque della chiave pubblica, garantire la sicurezza e l’univocità delle chiavi elettroniche. Ciò che si vuole evitare, non è tanto il furto o la sottrazione di una chiave privata, ma che chiunque, partendo dalla chiave pubblica, possa facilmente risalire a quella privata[13].Una possibile soluzione a tale problema può consistere nell’imposizione di “caratteristiche tecniche minime della firma elettronica” e la sottoposizione a revisione biennale di tale caratteristiche tecniche, così da poter tener conto delle conoscenze tecniche nel frattempo raggiunte( art. 3 2 DPR). La firma elettronica, per essere sicura, ai sensi dell’art. 3 DPCM del  13-1-2004 (che detta “regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”), dovrà essere basata su di un certificato qualificato,  generata mediante  un dispositivo sicuro. In attuazione della direttiva, dovrà inoltre essere dotata di chiavi asimmetriche e dei requisiti dell’integrità ( ovvero impossibilità di modificare il testo) e autenticità (che garantisce, attraverso il certificato, la veridicità delle informazioni anagrafiche del sottoscrittore)[14].

Le regole tecniche per la generazione, apposizione e verifica delle firme elettroniche, sono stabilite dal Decreto 1/1/2004  e dal TU, all’art.8.

Tuttavia il valore della firma elettronica in sé, e di quello che essa conferisce al documento informatico, sono limitati nel tempo: dopo due anni l’Ente Certificatore non sarà più nelle condizioni di garantire la sicurezza delle chiavi elettroniche e la loro inalterabilità, ecco perché il DPCM citato prevede che i certificatori accreditati debbano disporre di un sistema di validazione temporale e, coloro che rilasciano certificati qualificati, devono fornire ovvero indicare almeno un sistema che consenta di effettuare la verifica delle firme elettroniche.

I membri del CLUSIT ( Associazione Italiana per la sicurezza informatica) hanno realizzato in laboratorio un programma che, una volta caricato sul pc dell’utente, munito di smart- card fornita da uno dei certificatori nazionali, è in grado di generare documenti che risultano firmati all’insaputa dell’interessato: in pratica si è creata una firma digitale falsa[15]. Così come non esiste una serratura che possa resistere ad uno scassinatore esperto,  non c’è nessuna firma autografa che non possa essere imitata in maniera così perfetta da ingannare anche un perito calligrafo. È solo questione di capacità, di strumenti e di opportunità.

Il soggetto contro cui è prodotto un documento informatico sottoscritto con firma digitale non potrà certo negare l’appartenenza della firma all’esito positivo del confronto con quella depositata, e se ciò nonostante, volesse disconoscerla, adducendo che è stata apposta da altri, si troverebbe di fronte un difficile onere probatorio: infatti, sul titolare delle chiavi – privata e pubblica- grava un obbligo di diligente conservazione della chiave privata e del dispositivo di firma, all’interno del quale devono essere conservate le chiavi private (esplicitato nell’art. 9 del DPR 513/1997 e nell’art. 8 dell’allegato tecnico al DPCM dell’8-2-1999).

Il titolare non solo deve conservare con cura l’una e l’altro, al fine di garantirne l’integrità e la riservatezza, ma deve, soprattutto, richiedere al Certificatore immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi. Atteso il grado elevato di diligenza richiesta, la conseguente responsabilità per violazione degli obblighi imposti all’utente ed al certificatore si può configurare come attività pericolosa ex artt. 2050 e 2051 c.c.; l’utente per disconoscere la firma digitale dovrebbe fornire la prova di aver ottemperato agli obblighi imposti dall’art 9 Dpr 513/97 e dall’art 8 dell’allegato tecnico al DPCM, in difetto la si dovrebbe considerare riconosciuta.

 

Premesso che la falsificazione della firma è un’eventualità cui si può andare incontro, vediamo quali sono i rimedi, diversi da quelli civilistici,  offerti dal nostro ordinamento per contrastare tale fenomeno. L’art. 281 DPR 445/00 pone a carico di chi intende utilizzare un sistema di chiavi simmetriche o una firma digitale, l’adozione di tutte le misure tecniche ed organizzative idonee ad evitare danno ad altri, e su costui di conseguenza graverà  l’onere probatorio d’aver preso tutte le precauzioni possibili.

Un’attenuazione di questo principio è stata introdotta, a favore dei certificatori che rilasciano al pubblico certificati qualificati o che garantiscono allo stesso l’affidabilità dei certificati, e limitatamente alle operazioni di certificazione, sospensione o revoca, dall’art. 28 bis :è sufficiente, per i certificatori, la prova d’aver agito senza colpa[16] , se dal fatto è derivato un danno per gli utenti.

Una possibile rilevanza penale dell’abuso della firma elettronica è iscrivibile nell’ambito del falso[17], che, contrapposto al valore aggettivale di vero, è forma, conscia e riconosciuta, dell’errore - falsa rappresentazione della realtà creduta vera.

La “rappresentazione informatica” che può costituire occasione ed oggetto del falso in firma digitale è equiparabile ex lege et quoad effectum alla scrittura privata, alla scrittura privata autenticata, all’atto pubblico ed al documento equiparato all’atto pubblico agli effetti della pena (testamento olografo[18], cambiali e titoli di credito trasmissibili per girata o al portatore).

Le fattispecie penali applicabili  sono quelle concernenti falsità materiali commesse da un pubblico ufficiale o da un privato, uso di atto falso e falsità in scrittura privata ( artt. 476, 477, 478, 482, 485, 489, 491 c.p.).

Nel settore dell’informatica più che prospettarsi una  pura e semplice alterazione materiale (che si ha quando il falso è incorporato nel supporto e utilizzato, quindi, come tale), si presenta sempre di più il rischio di una falsificazione a carattere virtuale, cioè una apparente ‘simulazione’ di un dato in realtà inesistente o ‘composto’ da parti (grafiche o fotografiche) vere tagliate e incollate come si può tagliare o incollare una fotocopia e quindi immesse in circolazione, magari per finalità fraudolente, o falsamente attestanti un evento o una sottoscrizione nel caso, in verità più sofisticato, della alterazione dei dati alfanumerici che compongono le forme di sottoscrizione e di validazione degli atti pubblici e privati emessi o immessi in rete[19].

Più complessa si pone, invece, la questione della prospettazione di una "falsità ideologica" informatica (artt. 479, 480, 481 e 491-bis c.p.), posto che in questo caso l’elemento qualificativo della falsificazione non è l’atto nella sua materialità ma la circostanza che il pubblico ufficiale (o il privato) attesti falsamente che il fatto è stato da lui compiuto o in sua presenza o  per esempio indichi come da lui ricevute dichiarazioni mai rese o fatti per i quali l’atto è destinato a provare la verità.  In questo caso non rileva in concreto la modalità realizzativa del fatto di reato compiuto mediante l’uso di sistemi informatici, “quanto piuttosto che sia stata realizzata una condotta attiva o omissiva che non rappresenta effettivamente la realtà e quindi ne altera una oggettiva rappresentazione destinata ad avere particolari effetti giuridici a carattere formale o sostanziale”[20].

Possibile autore del falso in firma digitale sarà chiunque, terzo, utente del sistema di certificazione o certificatore[21].

Per quanto concerne la paternità del documento e la sua provenienza alla difficile alternativa di riconoscere l’identità della persona fisica che si avvale del computer il legislatore italiano sembra preferire l’attribuzione della rilevanza alla macchina, ovvero “al sistema di provenienza del documento”[22]. Un siffatto meccanismo di imputazione “oggettiva” richiede un sistema di sicurezza efficiente che garantisca tendenzialmente l’uso esclusivo del computer attraverso inviolabili chiavi di accesso, per cui la personalità della responsabilità penale non si riduca ad una penalizzante responsabilità per “posizione”.

Il vero problema non è quello dell’affidabilità degli algoritmi a chiave asimmetrica, che si ritiene altissima, tanto da far considerare la firma digitale più sicura persino di quella autografa. Non sono altrettanto affidabili i sistemi operativi e le applicazioni che vengono impiegate per generare le firme: non sempre vi è la certezza di  attribuire la coppia di chiavi al soggetto che dichiara di esserne titolare e che questi possegga effettivamente il dispositivo di firma. La fase più delicata di tutto il processo è quella iniziale, nella quale il richiedente viene identificato con certezza dal certificatore( art. 29 bis T.U.)e riceve la consegna o personalizzazione del dispositivo di firma. Nonostante la delicatezza di questa fase, le disposizioni oggi in vigore non sono abbastanza rigorose, tanto che qualche certificatore certifica le chiavi e consegna il dispositivo tramite un intermediario. La falsa dichiarazione dell’identità del richiedente  o il falso riconoscimento da parte del certificatore o del suo incaricato non sono passibili di sanzione penale, nonostante la gravità delle condotte.

Si potrebbero responsabilizzare maggiormente gli addetti al riconoscimento ed alla consegna del dispositivo, qualificandoli come “incaricati di pubblico servizio”, sanzionando penalmente eventuali irregolarità, mediante l’applicazione, ad esempio, l’art.496 c.p. alle false dichiarazioni sull’identità di una persona ed ottenendo l’ effetto deterrente della riduzione di certificazioni troppo disinvolte.

Qualora il certificatore abbia notizia della compromissione della chiave privata o del dispositivo per la creazione della firma, il certificato qualificato deve essere revocato o sospeso dal  certificatore stesso, mediante l’inserimento del codice identificativo in una delle CRL o CSL ( liste dei certificati revocati o sospesi).

Il DPCM 13-1-2004  recepisce la differenziazione, effettuata dalla direttiva, tra certificatori, a seconda  che rilasciano certificati liberi, qualificati ed accreditati.

Il decreto prevede inoltre che « la firma digitale non produce gli effetti di cui all'art. 103 , del  testo  unico,  se  contiene  macroistruzioni o codici eseguibili, tali da attivare funzionalita' che possano modificare gli atti , i fatti o i dati  nello  stesso  rappresentati ».

Con l’individuazione di tre tipologie di chiavi di creazione e verifica ( chiavi di sottoscrizione, di certificazione e di marcatura temporale ),  di differenziati soggetti generatori di tali chiavi e di una generazione di chiavi preferibilmente all’interno del dispositivo di firma, si è inteso conferire una maggiore sicurezza al sistema o, quanto meno, scoraggiare intenti falsificatori.

Aspetti fondamentali,  tuttavia,  non  sono  stati  trattati  dal decreto : chi e sulla base di quali criteri seleziona i certificatori? Come obbligarli a seguire procedure particolari? Perché vi sono tre diversi gradi di certificatori , se quelli  che conferiscono massima efficacia alla firma digitale sono coloro che non si trovano al più alto grado?

 

Sarebbe più opportuna, invece, una “reingenierizzazione dei processi”[23]:

stabilizzando Internet ( ISP ):  attraverso  la  creazione  di  nuovi  protocolli  per “priorità di traffico” e sicurezza;

sostituendo reti private con VPN : tramite connessioni di reti di Enti Pubblici con Internet;

sviluppando e facendo proliferare i “Certificate Authorities”: attraverso l’adozione di smart-card e l’autenticazione biometrica;

accentuando il controllo governativo( clipper chip e Key escrow).

Note:

1.FROSINI, L’uomo artificiale. Etica e diritto nell’era planetaria, Milano, 1986, passim; Id., Informatica, diritto e società, Milano, 1993, passim. ZAGAMI, L’efficacia giuridica della firma digitale, pag.1, in Atti del Convegno ITA “I regolamenti di attuazione in materia di firma elettronica e archiviazione ottica dei documenti, Roma, 25-26 novembre 1998.

[2]. L’art. 491 bis c.p. è stato introdotto dall’art. 3, L. 13-12-1993, n. 547. All’ interno di tale articolo viene compresa  la condotta consistente nella “falsificazione della firma digitale”.

[3] .Il primo regolamento è costituito dal DPR 10 novembre 1997, n.513, che contiene la disciplina positiva del documento informatico, della firma digitale e del contratto stipulato per via informatica, definendone l’efficacia probatoria, anche per gli aspetti relativi alla trasmissione e divulgazione. Segue, quindi, il DPCM 8 febbraio 1999, il quale dà attuazione all’art. 3, comma 1, del DPR 10 novembre 1997, n.513, con la previsione delle specifiche tecniche relative alla formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione anche temporale dei documenti informatici. Segue, poi, la circolare AIPA del 26 luglio 1999, n. AIPA/CR/22, che fissa le modalità per l’iscrizione dei soggetti certificatori nell’albo pubblico tenuto dall’AIPA stessa.

[4]. ALBERTINI, Sul documento informatico e sulla firma digitale (novità legislative), in Giust. Civ., 1998, II, 279.

[5] CAMMARATA, I principi del valore legale del documento informatico, in Interlex, voce “firma digitale”, 15 ottobre 1999.

[6] CAMMARATA, cit.. Secondo la normativa italiana, l’Autorità di Certificazione può essere sia un soggetto pubblico che privato. Il certificatore, se soggetto privato, deve avere la forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione all’attività bancaria (12,5 miliardi di lire).

[7] Sono iscritti nel suddetto elenco, i seguenti certificatori:Actalis S.P.A., Cedacri S.P.A., I.T. Telecom S.P.A., Consiglio Nazionale Forense, ENEL, IT SPA, Comando C4 IEW , Consiglio Nazionale del Notariato.

[8] Soltanto l’elemento estrinseco del collegamento tra dichiarazione e sottoscrizione fa  prova fino a querela di falso. La veridicità della dichiarazione documentata (cd elemento intrinseco) può essere contrastata con ogni mezzo di prova, in quanto la scrittura privata non fornisce alcuna certezza dei fatti in essa rappresentati. V. MARMOCCHI, “Scrittura privata, in Enc. Giur. Treccani, vol. XXVIII.

[9] Anche il documento informatico illeggibile, cifrato a scopo di segretezza, può possedere il valore di scrittura privata se sottoscritto con firma digitale. V. ZAGAMI, “firma digitale e sicurezza giuridica” CEDAM 2000, pag. 172.La Corte d’Appello di Perugia ( 3-12-1952, in Giust. Civ. , 1953, 666), afferma che il crittogramma, in quanto sottoscritto, è scrittura privata.

[10] Firma digitale, forma scritta e requisiti formali di Pasquale Russolillo, 10-7-2003, su INTERLEX.IT; Intervista sulla firma digitale all’avv.Enrico De Giovanni, 4-3-2003, su INTERLEX.IT.

[11] La nuova efficacia probatoria della firma digitale di Paolo Ricciuto, 14-2-02, su INTERLEX.IT; Attenzione:sono tutte firme “digitali” di Manlio Cammarata,13-2-03, su INTERLEX.IT.

[12] M. ORLANDI, “L’imputazione dei testi informatici”, in  riv. Not.1998, p.872. ZAGAMI, “firma digitale e sicurezza giuridica”, Padova, 2000, pg. 182.

[13] GUIDO TARIZZO, “firma elettronica: poche illusioni”, su www.jus.unitn.it/cardozo/obiter Dictum/ el-key.html.

[14] Unendo i requisiti dell’integrità ed autenticità, si ottiene il cd non ripudio della firma ( non repudiation).

[15] Il Corriere economico: intervista a Danilo Bruschi, membro del Clusit.

[16] “Sanzioni penali per chi non si attiene alle regole?”articolo tratto da Interlex, del 25/03/03, di Manlio Cammarata ed Enrico Maccarone.

[17] DE MARSICO,  voce ”Falsità in atti e fede pubblica”, in Enc. dir., Milano, 1967, XVI, pag. 582  e ss; CARACCIOLI, Reati di mendacio e valutazioni, Milano, 1962, passim; RAMACCI, La falsità ideologica nel sistema del falso documentale, Napoli, 1964, passim; MARINI, Voce “Falsità in sigilli, strumenti e segni di autenticazione e certificazione pubblici”, in Enc. dir., vol. XVI, 1967, pag. 665.

[18] MACCARONE, “Il testamento telematico”, in Interlex, voce “Il testamento telematico”, 18 giugno 1998.

Ben diverso potrebbe essere invece il caso in cui il titolo di credito sia sostituito on-line da un numero di codice (moneta "virtuale" con accredito o prepagato o codice di carta di credito). Anche qui la legge italiana manifesta i suoi limiti, poiché l’unica disposizione penale ipotizzabile è l’art. 12 del decreto legge 143/1991 convertito nella legge n.197/1991 sul riciclaggio, che sanziona (come delitto con pena da uno a cinque anni) l’indebita utilizzazione a fine di trarne profitto per sé o altri di carte di credito o di pagamento o di ‘altro documento’ analogo che abiliti al prelievo di danaro contante o all’acquisto di beni o alla prestazione di servizi. E’ vero che la norma si riferisce ad una ‘utilizzazione’ in senso molto ampio (così anche la citazione del numero e la sua immissione in rete può  essere considerata tale), ma anche vero che la stessa norma estende la punibilità ai casi di ‘falsificazione o alterazione’ e ad ogni forma (anche quella telematica quindi) di possesso, cessione o acquisizione di tali carte di provenienza illecita o comunque falsificati o alterati, nonché agli ordini di pagamento (evidentemente quindi anche quelli informatici) così prodotti”: CORASANITI, “Il vero problema del falso informatico”, in INTERLEX, voce "Firma “digitale", 21 novembre 1997. Sull’illecito penale in materia di carte di credito si rinvia a: BORRUSO, Gli aspetti legali della sicurezza nell’uso della carta di credito e di pagamento, in Giust. Civ., 1992, pag. 217 e ss.; MASI, frodi informatiche ed attività bancaria, in Riv. pen. econ., IV, 1995, pag. 402.

[19] CORASANITI, op. cit.. L’autore, a tal proposito, fa riferimento all’ipotesi che un notaio, stipulando on line, “giocoforza dovrebbe ammettersi anche la configurabilità del reato, ma solo nel caso in cui il notaio falsamente attesti ciò che non gli è mai stato trasmesso e non, per esempio, nel caso in cui non abbia potuto verificare tempestivamente l’identità o le firme digitali dei contraenti ‘virtuali’, poiché  delle due l’una: o si interpreta in modo estensivo la nozione di ‘presenza’ del pubblico ufficiale e come tale gli si fa carico di controllare la identità ‘informatica’ degli accedenti (per esempio registrandone i log o gli indirizzi di provenienza o di destinazione e le eventuali forme specifiche - e direi quasi obbligatorie -di validazione), oppure ci si prefigura al massimo una responsabilità civile per omesso controllo”.  

[20] CORASANITI, op. cit.

[21] ORLANDI, Imputazione di testi informatici, in Riv. del Notariato, 1998, pag. 867 e ss.; MASI, Ingiuria e diffamazione informatiche, in Riv. Polizia, 1998, pag. 653.

[22] GIANNANTONIO, Manuale di diritto dell’informatica, Padova, 1997, pag. 397.

[23] Rivista ICT security , aprile 2004, pg 46 e ss.