New Law - novità giuridiche ed economiche dell'information technology




	Articoli e dottrina

	LA DISCIPLINA GIURIDICA DELLA FIRMA DIGITALE E DEL DOCUMENTO INFORMATICO Le fonti, la validità del documento informatico e la stipula dei contratti telematici mediante la firma digitale. (Dispense tratte dalle lezioni del Corso "Il diritto dell'information Technology" organizzato da Luiss Management spa) A cura di Francesco Iperti INDICE 1. Le tecniche crittografiche 2. Premessa 3. La firma digitale 4. I Certificatori 5. La responsabilità di utente e certificatore 6. Efficacia del documento informatico 7. Vecchi e nuovi contratti telematici 8. La conclusione del contratto telematico 9. La "forma" dei contratti telematici 10.Copie e archiviazioni LE TECNICHE CRITTOGRAFICHE Prima di addentrarci nell'ambito delle problematiche squisitamente giuridiche, occorre fare una breve descrizione delle tecniche crittografiche digitali attuali, che sono strettamente connesse alla sottoscrizione digitale di documenti elettronici. Le tecniche crittografiche furono e sono tuttora impiegate per impedire che individui diversi da mittente e destinatario vengano a conoscenza di un messaggio. Grazie alle tecniche crittografiche si può trascrivere un testo secondo un codice conosciuto solo da mittente e destinatario, il quale potrà "tradurre" il messaggio inviatogli avendo la certezza che nessuno lo ha potuto leggere o modificare e che il mittente è proprio colui che dichiara di averlo inviato. Celebre è, ad esempio, la chiave di cifratura utilizzata da Giulio Cesare, il quale scriveva messaggi utilizzando la lettera successiva a quella effettiva (ad esempio la parola "bianco" diveniva "clbodp"). In ambito informatico la decifrazione avviene attraverso software che utilizzano algoritmi a chiave privata o a chiave pubblica. Nell'ambito dell'utilizzo degli algoritmi a chiave privata, entrambi gli individui che si scambiano informazioni conoscono la chiave di cifratura (una stringa di caratteri o di cifre, di solito in bit). Con tale medesima chiave un messaggio viene prima cifrato dal mittente e poi decifrato dal destinatario. Un cifrario di questo tipo si chiama "simmetrico" (NOTA 1) . Ad esempio: se Tizio vuole comunicare con Caio, cifra il messaggio A con la chiave X ottenendo il messaggio B che viene inviato a Caio, il quale -utilizzando sempre la chiave privata X- decifrerà il messaggio ottenendo nuovamente il messaggio A. Gli algoritmi a chiave privata hanno tuttavia un punto debole non indifferente: gli individui che intendono utilizzare tale sistema di cifratura devono -preliminarmente- potersi scambiare la chiave su un canale comunicativo sicuro; questa prima comunicazione avverrà infatti senza cifratura ed è quindi chiaro che la "sicurezza" della comunicazione dipenderà dalla protezione del canale che verrà utilizzato. Qualora non sia accettata la sicurezza del canale disponibile, è necessario ricorrere agli algoritmi a chiave pubblica o anche definiti a chiavi "asimmetriche". Si tratta di un cifrario dotato di due chiavi distinte: la prima viene usata per la cifratura, la seconda deve essere usata per la decifratura, e viceversa. La particolarità del sistema è dovuta al fatto che il messaggio cifrato con una certa chiave pubblica potrà essere decifrato esclusivamente con la chiave privata corrispondente e viceversa. Le due chiavi (una pubblica e l'altra privata) devono essere indipendenti: ossia la conoscenza di una delle due chiavi non deve dare alcuna informazione utile per la ricostruzione dell'altra (da ciò la definizione di asimmetrico). Qualora si intenda inviare un messaggio telematico segreto ad un terzo, occorrerà conoscere -preliminarmente- la chiave pubblica di quest'ultimo, cifrare il messaggio con detta chiave pubblica ed inviarlo. Quest'ultimo potrà essere letto solo dal possessore della chiave segreta corrispondente. Ad esempio: se Tizio vuole mandare un messaggio segreto a Caio, dovrà chiedere a quest'ultimo la chiave pubblica e cifrare il messaggio con la medesima. A questo punto il messaggio potrà essere decifrato solo con la chiave privata in possesso di Caio. Se invece si vuole sfruttare l'algoritmo a chiave pubblica solo per "autenticare" la provenienza e l'integrità del messaggio da inviare, bisognerà procedere in modo inverso. Occorrerà cifrare il messaggio con la propria chiave privata, a cui corrisponderà la propria chiave pubblica mediante la quale il terzo destinatario decifrerà il messaggio e (se quest'ultimo risulterà integro) verificherà la provenienza dello stesso. Infine, utilizzando le chiavi asimmetriche delle due parti si potrà inviare un messaggio segreto autenticando l'identità del mittente. In altre parole: Tizio può mandare a Caio un messaggio tale che non solo esso possa essere letto soltanto da Caio, ma anche che Caio possa avere l'assoluta certezza che nessun altro all'infuori di Tizio possa averlo generato. Per far ciò, Tizio cifra dapprima il messaggio usando la propria chiave segreta, poi cifra ulteriormente il messaggio risultante usando la chiave pubblica di Caio. Quest'ultimo, per leggere il messaggio, deve compiere le seguenti operazioni: dapprima decifra il messaggio utilizzando la propria chiave privata, ottiene così un messaggio che però è ancora cifrato, per cui lo decifra ulteriormente usando la chiave pubblica di Tizio. Solo dopo questa ulteriore operazione il messaggio è in chiaro e può essere letto da Caio, il quale avrà raggunto l'assoluta certezza che esso sia stato trasmesso da Tizio, perché solo lui può aver usato la propria chiave segreta per applicargli la seconda cifratura. La classe di cifrari a chiave pubblica vede la luce nel 1978 grazie a tre ricercatori del MIT (Rivest, Shamir e Adleman) che scoprirono la possibilità reale di costruire cifrari a chiave asimmetrica utilizzando particolari proprietà formali dei numeri primi con qualche centinaio di cifre. La sicurezza dell'algoritmo creato, (chiamato RSA dalle iniziali degli inventori) non è stata matematicamente dimostrata, esiste infatti la teorica possibilità che ulteriori intuizioni matematiche possano "scardinarlo"; la maggior parte degli studiosi sono tuttavia d'accordo nel ritenere che l'algoritmo RSA sia il più sicuro sistema crittografico attualmente conosciuto e, per tali motivi, costituisce il fondamento dei sistemi crittografici su cui si basano i meccanismi di sicurezza ed autenticazione di Internet. ____________________ PREMESSA In virtù dell'art. 15 comma 2 della L. 15 marzo 1997, n. 59, gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge. La normativa successiva al comma suindicato si è preoccupata di disciplinare ed attuare detto astratto principio, definendo il "valore" giuridico del documento eletronico e le modalità della sua formazione. Quale utile premessa alla trattazione che segue è necessario soffermarsi brevemente sull'attuale normativa relativa al valore probatorio dei documenti e delle riproduzioni meccaniche degli atti. Il codice civile (artt. 2699 e sgg.) stabilisce che: a) gli atti redatti da un pubblico ufficiale fanno piena prova, fino a querela di falso, della provenienza del documento dal pubblico ufficiale nonchè delle dichiarazioni delle parti e degli altri fatti che il notaio attesta avvenuti in sua presenza o da lui compiuti (art. 2700 c.c.); b) le scritture private fanno piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi le ha sottoscritte, se le sottoscrizioni sono autenticate da un notaio o da altro pubblico ufficiale, ovvero se colui contro il quale vengono prodotte ne riconosce la sottoscrizione (artt. 2702 - 2703 c.c.); c) le riproduzioni meccaniche di atti, fatti o cose formano piena prova di quanto rappresentato se colui contro il quale sono prodotte non ne disconosce la conformità o, nel caso di copie fotografiche di scritture, se la conformità con l'originale è attestata da pubblico ufficiale (artt. 2712 e 2719 c.c.). La dottrina dominante ritiene possa attribuirsi valore probatorio di scrittura privata ad ogni scrittura sottoscritta, fissata su supporto indelebile o, comunque tale da mantenere traccia delle eventuali alterazioni, in modo che qualsiasi modifica sia riconoscibile e che sia possibile verificarne l'integrità. Tutti i documenti, comunque stampati (con stampanti laser, ink-jet ovvero scritti a mano o a macchina, ecc.) se sottoscritti ed originali, dovrebbero avere la medesima efficacia probatoria secondo quanto detto al punto b) del capoverso precedente. L'efficacia probatoria dei fax è ancora oggetto di notevoli controversie; alcune sentenze di giurisprudenza li assimilano alle riproduzioni meccaniche descritte al precedente punto c), non mancano correnti dottrinarie le quali sostengono possa riconoscersi valore di scrittura privata (NOTA 2) . Esiste inoltre una legge (L. n. 183/93) che -soddisfatte particolari condizioni- considera conforme all'originale la copia fotoriprodotta di un atto processuale redatto da un avvocato e trasmesso mediante fax ad altro avvocato. In relazione al valore probatorio del documento elettronico è agevole rilevare che il supporto informatico, dove è fissato il negozio giuridico da provare, non possiede normalmente le caratteristiche proprie dei supporti tradizionali come la carta: le registrazioni sono di norma non indelebili e non consentono la riconoscibilità di eventuali alterazioni. Oltre a ciò il documento elettronico non può essere sottoscritto in modo tradizionale mediante apposizione autografa del nome e cognome dell'autore. Tali circostanze -che sembrerebbero impedire il riconoscimento di piena efficacia probatoria al documento elettronico- sono state superate grazie all'adozione della c.d. firma digitale giuridicamente riconosciuta dalla normativa che andremo ad esaminare. La firma digitale viene definita come una procedura informatica e crittografica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata (destinata a rimanere segreta) e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici (art. 1, lett. n, dpr 445/00). Chi voglia utilizzare la firma digitale deve pertanto generare una coppia di chiavi crittografiche asimmetriche: una chiave privata (destinata a rimanere segreta) ed una chiave pubblica (destinata ad essere resa pubblica). Mediante la prima si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica. La chiave pubblica permette di verificare la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche ovvero di cifrare i codumenti informatici da trasmettere al titolare delle stesse. Dopo aver generato dette chiavi, il titolare deve renderne pubblica una mediante la procedura di certificazione (NOTA 3) attivabile presso un ente certificatore incluso nell'elenco formato dall'AIPA (Autorità per l'informatica nella pubblica amministrazione), mediante la procedura di certificazione: 1. si garantisce la corrispondenza tra chiave pubblica e soggetto a cui essa appartiene; 2. si identifica il soggetto titolare; 3. si attesta il periodo di validità della predetta chiave. ___________________________ LA FIRMA DIGITALE Prima di passare ad esaminare gli elementi più rilevanti della normativa occorre descrivere brevemente il processo che caratterizza l'apposizione della firma digitale (NOTA 4) . La procedura di sottoscrizione di un documento elettronico può essere così sintetizzata: a. generazione dell'impronta del documento elettronico (una sorta di "riassunto" del documento, di rappresentazione binaria ed univoca del documento) b. cifratura dell'impronta (ossia, generazione della firma digitale) del documento elettronico per mezzo di una chiave privata (Kpri) c. creazione di una "busta eletronica" che contiene: il documento, la firma (vds punto b) e il certificato emesso dal certificatore (incluso nell'elenco dell'AIPA) che lega la chiave privata al suo possessore; Il destinatario della "busta elettronica" deve: a. aprire la busta "elettronica"; b. decifrare l'impronta del documento elettronico con la chiave pubblica del firmatario estratta dal certificato; c. calcolare l'impronta del documento elettronico e verificare il valore ottenuto con quello firmato ai fini dell'integrità del messaggio; d. aprire il certificato e leggere l'identità del soggetto per verificare l'identità del mittente e la validità temporale della sua firma. Per effettuare tale verifica, si deve accedere ad una speciale lista (Certification Revocation List) redatta da ogni certificatore e ricercare se il certificato ricevuto appartenga alla lista o meno. In caso negativo, il certificato deve essere considerato ancora valido e pertanto il documento elettronico può considerarsi valido secondo quanto previsto dal DPR 445/00. Per la disciplina tecnica della "firma digitale", il legislatore italiano, con l'ausilio dell'AIPA (Autorità per l'informatica nella pubblica amministrazione), ha emanato alcune norme tecniche che disciplinano in maniera precisa gli standard adottabili per la generazione delle firme digitali. Nel regolamento tecnico (decreto presidente consiglio dei ministri 8 febbraio 99 - pubblicato sulla Gazzetta Ufficiale del 15 aprile 1999) vengono precisate le caratteristiche degli algoritmi per la generazione e la verifica delle firme digitali, detti algoritmi devono essere del tipo: RSA (Rivest-Shamir-Adleman algorithm), ovvero DSA (Digital Signature Algorithm). La lunghezza minima delle chiavi è stabilita in 1024 bit. Il regolamento dell'Aipa impone inoltre che la generazione dell'impronta (ossia della sequenza di simboli binari di lunghezza predefinita generata mediante l'applicazione di una opportuna funzione di hash) debba effettuarsi impiegando una delle seguenti funzioni di hash, definite nella norma ISO/IEC 10118-3:1998: Dedicated Hash-Function 1, corrispondente alla funzione RIPEMD-160; Dedicated Hash-Function 3, corrispondente alla funzione SHA-1. Si ricorda che la c.d. "funzione di hash" è una funzione matematica che genera, a partire da una generica sequenza di simboli binari, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali. Il regolamento tecnico disciplina, infine, le modalità per la generazione della coppia di chiavi; quest'ultima deve essere effettuata mediante apparati e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata. La rispondenza dei dispositivi di generazione delle chiavi ai requisiti di sicurezza deve essere verificata secondo i criteri previsti dal livello di valutazione E3 e robustezza dei meccanismi HIGH dell'ITSEC o superiori. ________________________ I CERTIFICATORI Nell'ambito dell'impianto normativo dedicato alla firma digitale, notevole rilevanza assumono i c.d. "certificatori", a cui abbiamo accennato nella "Premessa". Per citare la definizione del dpr 445/00 (art. 22 lett. i): il certificatore è il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati. Le modalità per presentare domanda di iscrizione nell'elenco pubblico dei certificatori predisposto, tenuto ed aggiornato dall'Aipa sono contenute nella circolare n. 22 del 26 luglio 19995 . L'Aipa dovrà valutare l'esistenza dei requisiti richiesti e, in caso di esito positivo, inserire il nominativo del soggetto richiedente nell'elenco pubblico. Il titolare della coppia di chiavi, prima di utilizzare un sistema di chiavi asimmetriche per sottoscrivere documenti digitali deve munirsi di una idonea coppia di chiavi e renderne pubblica una di esse mediante la procedura di certificazione6 . In base all'art. 27 del dpr 445/00, le chiavi di cifratura sono custodite dal certificatore per almeno dieci anni e, dal momento iniziale della loro validità sono consultabili per via telematica. L'art. 28 del dpr 445/00 precisa che il certificatore deve identificare con certezza la persona che fa richiesta della certificazione (NOTA 7), rilasciare e rendere pubblico il certificato, specificare i poteri di rappresentanza o altri titoli inerenti all'attività professionale o a cariche rivestite dal titolare della chiave pubblica, attenersi alle misure minime di sicurezza richieste dalla legge sulla privacy, non rendersi depositario di chiavi private. In merito alla "vita" del certificato, si sottolinea come il certificatore (sempre ex art. 28 dpr 445/00) deve procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta del titolare (o del terzo dal quale derivino i poteri di quest'ultimo), di perdita del possesso della chiave, di provvedimento dell'autorità, di sospetti abusi o falsificazioni, di acquisizione della conoscenza di cause limitative della capacità del titolare. Sussiste inoltre l'obbligo di dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche. _____________________________________________ LA RESPONSABILITA' DI UTENTE E CERTIFICATORE L'art. 28, primo comma del dpr 445/00 precisa che "Chiunque intende utilizzare un sistema di chiavi asimmetriche o della firma digitale, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri". Detta disposizione è valida sia per l'utente che per il certificatore. Non pochi sono i commentatori che hanno ritenuto che detta disposizione sia assimilabile all'art. 2050 c.c. introducendo anche nell'ambito dell'utilizzo della firma digitale quella connotazione di "attività pericolosa" già esaminata in sede di trattamento di dati personali. E' chiaro, tuttavia, che se chi utilizza il sistema della firma digitale è un soggetto qualsiasi, il livello delle misure organizzative e tecniche sarà ben differente da colui (certificatore) che utilizza detti sistemi in ambito professionale. Le regole che dovranno essere seguite dall'utente sono specificate dall'art. 8, comma 4 del Regolamento tecnico (NOTA 8) e appare inverosimile caricare il singolo utilizzatore di firma digitale di ulteriori oneri per sfuggire al suindicato obbligo. In merito all'attività del certificatore, oltre agli obblighi descritti nel paragrafo precedente, si rileva che il regolamento fissa regole molto stringenti in relazione alla tecnologia che dovrà essere adottata per la generazione, il rilascio e la conservazione dei certificati; l'adempimento di tali obblighi appare il primo doveroso passo per uniformarsi al dettato dell'art. 28, primo comma, dpr 445/00, ulteriori elementi potranno essere dedotti solo nel momento in cui la nostra giurisprudenza comincerà ad adottare provvedimenti in merito alla mancata adozione delle suindicate misure organizzative e tecniche. ____________________________________ EFFICACIA DEL DOCUMENTO INFORMATICO Il documento informatico, sottoscritto con firma digitale (generata secondo gli standard tecnici previsti dal nostro ordinamento), soddisfa il requisito legale della forma scritta ed ha efficacia di scrittura privata ex art. 2702 codice civile (art. 10, primo e terzo comma dpr 445/00). L'art. 10 primo comma del dpr 445/00 precisa che il documento informatico, sottoscritto con firma digitale, redatto in conformità delle regole tecniche, ha l'efficacia probatoria delle riproduzioni fotografiche o meccaniche ex art. 2712 codice civile. La norma (sintesi degli artt. 4 e 5 del dpr 513/97) appare ancora oggi poco comprensibile, come sottolineato da diversi autori (NOTA 9) , in quanto non si comprende quale documento informatico abbia l'efficacia probatoria ex art. 2712 c.c.e quale ex art. 2702 c.c., ossia se il nostro legislatore ha voluto differenziare due tipologie di documenti informatici uno avente valore probatorio ex art. 2702 c.c. e l'altro avente valore probatorio ex art. 2712 c.c.. In merito, la dottrina dominante (in vigenza del dpr 513/97) sosteneva che dovessero essere differenziati tre tipologie di documento informatico in relazione al valore probatorio: · documento infomatico che non è munito dei requisiti stabiliti nel dpr 513/97 (ora dpr 445/00): è valido ma non è da considerarsi scritto e quindi a livello probatorio può solo contribuire a formare il convincimento del giudice; · documento informatico munito dei requisiti previsti dal dpr 513/97 ma non sottoscritto con firma digitale, ha forma scritta ed ha il valore probatorio della riproduzione meccanica o fotografica ex art. 2712 c.c. · documento informatico munito dei requisiti previsti dal dpr 513/97 e sottoscritto con firma digitale ai sensi dell'art. 10 dpr 513/97 ha valore di scrittura privata. Come suindicato, detta interpretazione appare tuttavia superficiale, atteso che il dpr 513/97 e il Regolamento tecnico sulla firma digitale (dpcm 8.2.99) descrivevano un "unico" documento informatico munito dei requisiti di legge, ossia come un documento sottoscritto con firma digitale. Il dpr 445/00, in virtù di un "accorpamento" delle norme precedenti che ha generato una interpretazione autentica, sembrerebbe aver chiarito (una volta per tutte) che ad ogni documento informatico va associata una firma digitale. Allo stato attuale sembrerebbero esistere, pertanto, solo due tipologie di documenti informatici, quelli sottoscritti con firma digitale generata secondo le regole tecniche e quelli non aventi dette caratteristiche. ___________________________________ VECCHI E NUOVI CONTRATTI TELEMATICI "I contratti stipulati con strumenti informatici o telematici mediante l'uso della firma digitale sono validi e rilevanti a tutti gli effetti di legge (art. 15 L. 59/97; art. 11 dpr 445/00)". La disposizione suindicata chiarisce esplicitamente che i contratti telematici sottoscritti con firma digitale possono essere validamente stipulati e ad essi è riconosciuta piena tutela giuridica. L'art. 11 del dpr 445/00 fa tuttavia sorgere un dubbio non ancora del tutto fugato. Il dubbio si riferisce alla validità giuridica di tutti i "contratti elettronici" (ad es. transazioni tramite pos, bancomat, carte di credito, contratti stipulati via internet senza firma digitale, ecc.) posti in essere senza sottoscrizione con firma digitale. La puntualizzazione del legislatore può, infatti, far ritenere (implicitamente) che i contratti telematici privi di firma digitale (o con firma digitale apposta non in conformità alle regole fissate) non possano più essere considerati giuridicamente rilevanti. In realtà, il decreto legislativo 185/99 (concernente la protezione dei consumatori in materia di contratti a distanza) e il nostro stesso ordinamento giuridico che concede ampia libertà di forma per la conclusione dei contratti (salvo l'imposizione di forme specifiche per alcune tipologie contrattuali ben individuate, ad es. compravendita di beni immobili, società di capitali, ecc.), inducono a ritenere che anche tutti i contratti "elettronici" posti in essere senza la firma digitale possano essere considerati giuridicamente rilevanti. E' chiaro che i contratti privi di firma digitale non avranno l'efficacia probatoria e la rilevanza giuridica che la legge ha conferito ai contratti sottoscritti con firma digitale (ad es. grazie all'apposizione della firma digitale è possibile risalire con certezza all'autore del documento informatico) quindi, in caso di inadempimento di una delle parti al contratto sottoscritto con firma digitale, l'altra (parte) potrà condurre le azioni giudiziarie che ritiene più opportune (risoluzione del contratto, riduzione del prezzo, risarcimento del danno, ecc.) con maggiori probabilità di successo. ____________________________ LA CONCLUSIONE DEL CONTRATTO TELEMATICO Firma Di seguito evidenzierò alcuni elementi giuridici fondamentali, inerenti alla conclusione del contratto, che il legislatore ha analiticamente disciplinato anche nell'ambito dei contratti telematici, affinché l'immaterialità del documento informatico non incida sulla conclusione del contratto. In primo luogo appare opportuno evidenziare l'importanza giuridica della sottoscrizione (ossia della firma). Volendo usare i termini della Corte di Cassazione, "la sottoscrizione è elemento costitutivo della scrittura, attesa la sua funzione di individuazione dell'autore del documento nonché di assunzione di paternità dello scritto" (c.d. principio della non ripudiabilità). L'importanza della firma digitale risiede proprio in questa frase. Fino all'avvento della normativa in esame, l'assimilazione del contratto telematico al contratto avente forma scritta non era possibile, in quanto mancava la regolamentazione (giuridica e tecnica) di una _firma digitale", che permettesse di risalire con certezza ai contraenti e che permettesse di addossare ai medesimi le responsabilità previste dal codice civile ("La scrittura privata fa piena prova fino a querela di falso della provenienza delle dichiarazioni da chi l'ha sottoscritta"-Art. 2702 c.c.); grazie all'introduzione ed alla regolamentazione della firma digitale, i contratti telematici acquistano la dignità giuridica dei contratti redatti per iscritto (art. 10 dpr 445/00) e, quindi, i contratti per i quali è previsto l'obbligo -ad probationem o ad substantiam- della redazione per iscritto, potranno essere validamente formati informaticamente o telematicamente. L'elezione di indirizzo elettronico (il luogo di conclusione del contratto) Tutti i contratti si concludono nel momento (e nel luogo) in cui chi ha fatto la proposta ha conoscenza della accettazione dell'altra parte (art. 1326 c.c.); al fine di rendere applicabile detta disposizione anche nell'ambito dei contratti telematici, il legislatore ha disposto che il destinatario dell'accettazione della proposta dichiari il proprio indirizzo elettronico presso il quale dovrà essere inviata detta accettazione, analogamente a quanto si verifica per una spedizione postale effettuata ad un indirizzo dichiarato od eletto dal destinatario. L'art.14, comma 1 del dpr 445/00 dispone infatti che il documento informatico trasmesso telematicamente "si intende inviato e pervenuto al destinatario se trasmesso all'indirizzo elettronico da questi dichiarato". La validazione temporale (il momento di conclusione del contratto) L'art. 14, comma 2, del dpr 445/00 stabilisce che la data e l'ora di formazione, di trasmissione o di ricezione di un documento informatico sono opponibili ai terzi se la spedizione è effettuata in conformità alle regole tecniche stabilite per la validazione temporale del documento. Il Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 (regole tecniche per la formazione e la trasmissione dei documenti informatici), agli artt. 52 e seguenti, precisa le modalità tecniche da adottare per la validazione temporale mediante la generazione di una marca temporale. Le procedure per l'inoltro della richiesta di validazione temporale (art. 58 DPCM 8/2/99) sono stabilite dal certificatore della chiave pubblica scelto dal sottoscrittore e pubblicate sul manuale operativo dello stesso certificatore. Nell'ambito della richiesta si può comunque specificare l'emissione di più marche temporali per lo stesso documento. In tal caso debbono essere restituite marche temporali generate con chiavi diversi. Il regolamento tecnico precisa (art. 58, ultimo comma del decreto citato) che la generazione delle marche temporali deve garantire un tempo di risposta, misurato come differenza tra il momento della ricezione e l'ora riportata nella marca temporale, non superiore al minuto primo. Alle suindicate condizioni, il documento informatico (spedito per via telematica, chiuso in un involucro cifrato, sottoscritto con firma univoca e verificabile, munito di data certa ed opponibile) può considerarsi equipollente al documento cartaceo notificato a mezzo della posta. __________________________ LA FORMA DEI CONTRATTI TELEMATICI La forma scritta Il documento informatico munito della firma digitale apposta conformemente alla disciplina tecnica prevista nel DPCM. 8.2.99, soddisfa il requisito legale della forma scritta (art. 10 dpr 445/00). Inoltre, il documento informatico ha efficacia di scrittura privata ai sensi dell'art. 2702 c.c. Da ciò discende che tutti i contratti per i quali la legge prevede l'obbligo della redazione per iscritto (ad probationem o ad substantiam), possono essere validamente stipulati anche in forma elettronica. Vedremo in seguito, nel dettaglio, quali contratti possono beneficiare della disposizione suindicata. La sottoscrizione autenticata Il dpr 445/00 dedica l'art. 24 alla firma digitale autenticata. L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico. La norma in esame permette dunque di utilizzare una firma digitale autenticata ogniqualvolta sia richiesta dal nostro ordinamento una scrittura privata con sottoscrizione autenticata (ad es. il deposito presso il Registro delle Imprese del contratto di cessione -o di affitto- di azienda deve essere effettuato in forma pubblica o per scrittura privata autenticata; allo stesso modo la copia autentica del contratto di cessione di marchio deve essere depositato presso l'Ufficio Marchi nella forma della scrittura privata autenticata o di atto pubblico). L'atto pubblico La disciplina giuridica della firma digitale non prevede alcuna assimilazione o equivalenza del documento informatico all'atto pubblico. Sono inoltre diversi i commentatori che, per il momento, escludono si possa ipotizzare un atto pubblico "informatico". In realtà l'atto pubblico è un atto particolarmente complesso la cui redazione è disciplinata dagli artt. 12 e 13 della L. 4 gennaio 1968, n. 15 (NOTA 10) che non sono stati modificati, abrogati (o comunque citati) dalla normativa relativa alla firma digitale; appare quindi legittimo supporre che l'atto pubblico "informatico" sia ancora da venire e che quindi le convenzioni matrimoniali, la costituzione del fondo patrimoniale, le donazioni, la costituzione delle società per azioni, ecc. ecc., dovranno essere perfezionate mediante l'atto pubblico come descritto dalla legge 4 gennaio 1968, n. 15. Peraltro, la mia convinzione è che la volontà del legislatore vada in senso inverso. Lo testimonia, ad esempio, lo schema di decreto legislativo che prevede una unica trasmissione telematica per atti notarili di natura immobiliare al fine di provvedere con un'unica richiesta al pagamento delle imposte sul registro e dei diritti per l'esecuzione delle formalità di trascrizione e voltura catastale, nonché all'invio delle copie d'atto e delle note occorrenti. Non è purtroppo questa la sede per incardinare un dibattito giuridico circa l'atto pubblico "elettronico", rilevo tuttavia che la completa assimilazione del documento informatico al documento cartaceo elimina molte perplessità, a ciò si deve aggiungere che il dpr 445/00 ammette (come indicato in precedenza) l'intervento del notaio per l'autenticazione della firma digitale. La ratio della legge sembrerebbe quindi ammettere che il notaio possa formare un atto pubblico "elettronico" che segua le regole dettate in materia di firma digitale, qualora le parti siano contestualmente presenti (la presenza telematica sembrerebbe decisamente da escludere). In pratica l'attività del notaio consisterebbe nel riconoscere le parti presenti, nell'accertare la capacità delle parti di stipulare l'atto, nel redigere informaticamente l'atto richiesto, nel verificare che la volontà delle parti è corrispondente a quanto "scritto" nell'atto, nell'autenticare la firma digitale secondo le regole imposte dal dpr 445/00. _____________________________ COPIE E ARCHIVIAZIONI La copia e l'archiviazione informatica di documenti cartacei In base all'art 20 del dpr 445/00, le copie su supporto informatico di documenti, formati in origine su supporto cartaceo (o su altro supporto), sostituiscono ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata con le modalità indicate dal Regolamento tecnico. In cosa consista detta "autenticazione" sembrerebbe potersi ricavare dalla Deliberazione Aipa 24/98, 30 Luglio 1998 (Regole tecniche per l'uso di supporti ottici) a cui rimanda anche l'art. 61 - Dpcm 8.2.99 in materia di archiviazione di documenti informatici. Gli artt. 6 e 11 della suindicata Del. 24/98 precisano le modalità del processo di autenticazione, successivamente all'acquisizione in formato immagine del documento cartaceo "originale". Sono previste due procedure alternative, in base alla prima i documenti cartacei devono essere singolarmente autenticati dal Pubblico ufficiale, chiamato a verificare che quanto riprodotto, e quindi formato, sul supporto di memorizzazione, sia conforme al documento originale cartaceo oggetto di riproduzione. Tale formalità si intende assolta attraverso l'apposizione -alla rappresentazione digitale di ciascun documento- delle firme digitali del Pubblico ufficiale generate a partire dalle impronte primaria e secondaria contenute nella marca di controllo presente nel relativo file di controllo. In alternativa è possibile certificare una lista dei documenti originali contenente il codice identificativo del supporto e, per ciascuno di essi, le seguenti informazioni: - numero identificativo della registrazione - tipo di registrazione - codice identificativo del documento registrato - numero di istanza - numero di versione - rappresentazione esadecimale delle due impronte della rappresentazione digitale del documento contenute nella marca di controllo presente nel file di controllo corrispondente. La copie e l'archiviazione di documenti informatici L'art. 20 del Dpr 445/00 precisa che i duplicati, le copie, gli estratti del documento informatico, anche se riprodotti su diversi tipi di supporto, sono validi e rilevanti a tutti gli effetti di legge se conformi al Testo unico. Il Dpcm 8.2.99 (regolamento tecnico), all'art. 61, precisa che l'archiviazione dei documenti informatici deve essere formata con le modalità previste dalla deliberazione 30 luglio 1998, n. 24 dell'Aipa. L'art. 6, lett. b della Del 24/98 precisa che i documenti formati direttamente su supporto informatico possono essere trasferiti sul supporto di memorizzazione, senza passaggio su supporto cartaceo, in un formato conforme allo standard SGML, oppure in uno dei seguenti formati: PDF, AFP e Metacode. È altresì possibile la conservazione di tali documenti come puro testo purché questo ne rappresenti integralmente ed in maniera non ambigua il contenuto. Deve essere in ogni caso definito univocamente il set di caratteri utilizzato, del quale deve essere contestualmente registrata l'immagine, e, qualora la formattazione non sia già implicitamente contenuta nel formato del documento, debbono essere specificate almeno la divisione in righe e pagine e la dimensione delle spaziature. Un documento formato secondo i precedenti requisiti costituisce la rappresentazione digitale del documento archiviato. È inoltre consentita l'archiviazione dei documenti formati all'origine su supporto informatico attraverso la conservazione della corrispondente immagine ottenuta per conversione diretta dal formato testuale; è possibile conservare sul medesimo supporto anche il testo del documento per scopi gestionali e documentali. L'art. 11, secondo comma della Del. 24/98, stabilisce che la conformità all'atto d'origine deve essere attestata dal responsabile dell'archiviazione successivamente all'operazione di collaudo, contestualmente alla chiusura del supporto di memorizzazione, mediante la sottoscrizione digitale del file di chiusura attraverso le firme digitali presenti nel file di controllo di quest'ultimo. Nell'ambito delle Amministrazioni pubbliche l'operazione di autenticazione è effettuata dal Dirigente dell'Ufficio responsabile alla tenuta, conservazione ed esibizione degli atti o documenti, od altri dallo stesso formalmente designati, sempreché non coincida con il responsabile dell'archiviazione. L'art. 7 della suindicata delibera descrive i contenuti obbligatori del supporto di memorizzazione. L'art. 8 precisa invece i compiti del responsabile dell'archiviazione, il quale, fra l'altro, adotta le necessarie misure per la sicurezza fisica e logica del sistema di archiviazione effettua il collaudo dell'attività di archiviazione (art. 9) e provvede alla chiusura del supporto di memorizzazione. ____________________________ NOTA 1 Il sistema di dice simmetrico perchè, noti il procedimento e la chiave di codifica, per simmetria si ricavano quelli di decodifica (Ridolfi P. , "Dalla Scitala di Plutarco alla firma digitale", in "media duemila" ottobre 1998) NOTA 2 Cass. 4479/87 ha assimilato le fotocopie alle copie fotografiche previste dall'art. 2719 c.c., ulteriore Cass 886/89 ha riconosciuto esplicitamente che rientrano tra le riproduzioni meccaniche ex art. 2712 c.c. anche i messaggi inviati via telefax. NOTA 3 Alla figura del certificatore è dedicato un paragrafo nel prosieguo della trattazione. NOTA 4 Si ripercorre il testo predisposto dall'AIPA il 13.7.2000 "Linee guida per l'interoperabilità dei certificatori", NOTA 5 L'art. 27 del dpr 445/00 stabilisce che i certificatori debbano avere: - forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati; - possesso da parte dei rappresentanti legali dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche - personale competente, esperto in grado di ben applicare le regole tecniche imposte dal nostro legislatore - qualità dei processi informatici sulla base di standard riconosciuti a livello internazionale NOTA 6 Procedura informatica svolta dal certificatore su richiesta dell'interessato, necessaria per: - garantire la corrispondenza tra chiave pubblica e titolare (precedentemente identificato) della stessa, - attestare il periodo di validità della chiave ed il termine di scadenza del certificato (art. 23, lett. f , dpr 445/00); NOTA 7 E' data facoltà al certificatore di definire le modalità di identificazione degli utenti e di pubblicarle nel manuale operativo (art. 22 regolamento tecnico) NOTA 8 Art. 8, comma 4 Regolamento tecnico "Il titolare delle chiavi deve: a. conservare con la massima diligenza la chiave privata e il dispositivo che la contiene al fine di garantirne l'integrità e la masima riservaezza; b. conservare le informazioni di abilitazione all'uso della chiave privata in luogo diverso dal dispositivo contenente la chiave; c. richiedere immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi. NOTA 9 Vds per tutti G. Ciacci "La firma digitale" Ed. "Il Sole 24ore" ed. 2000, pag. 98 e sgg. NOTA 10 L. 4 gennaio 1968, n. 15 - Art. 12 (Redazione di atti pubblici) Le leggi, i decreti, gli atti ricevuti dai notai e tutti gli altri atti pubblici sono redatti a stampa, o con scrittura a mano o a macchina, i detti sistemi possono essere utilizzati anche promiscuamente per la redazione di ogni singolo atto. Con decreto del Presidente del Consiglio dei Ministri, sentiti i ministri per la grazia e giustizia e per il tesoro, sono stabilite le caratteristiche tecniche dei singoli sistemi di redazione. - Art. 13 (Stesura degli atti pubblici) Il testo degli atti pubblici non deve contenere lacune, aggiunte, abbreviazioni, correzioni, alterazioni o abrasioni. Sono ammesse abbreviazioni di uso comune che non lascino dubbi sul significato delle parole abbreviate. Per le variazioni da apportare al testo in dipendenza di errori od omissioni, si provvede con chiamate in calce e si cancella la precedente stesura in modo che resti leggibile.



	Inzio Monografia Documentazione Articoli e dottrina New Link utili