|
LA
DISCIPLINA GIURIDICA DELLA FIRMA DIGITALE E DEL DOCUMENTO
INFORMATICO
Le
fonti, la validità del documento informatico
e la stipula dei contratti telematici mediante la
firma digitale. (Dispense tratte dalle lezioni del
Corso "Il diritto dell'information Technology"
organizzato da Luiss Management spa)
A
cura di Francesco Iperti
INDICE
1.
Le tecniche crittografiche
2. Premessa
3. La firma digitale
4. I Certificatori
5. La responsabilità di utente e certificatore
6. Efficacia del documento informatico
7. Vecchi e nuovi contratti telematici
8. La conclusione del contratto telematico
9. La "forma" dei contratti telematici
10.Copie e archiviazioni
LE
TECNICHE CRITTOGRAFICHE
Prima
di addentrarci nell'ambito delle problematiche squisitamente
giuridiche, occorre fare una breve descrizione delle
tecniche crittografiche digitali attuali, che sono
strettamente connesse alla sottoscrizione digitale
di documenti elettronici.
Le tecniche crittografiche furono e sono tuttora impiegate
per impedire che individui diversi da mittente e destinatario
vengano a conoscenza di un messaggio. Grazie alle
tecniche crittografiche si può trascrivere
un testo secondo un codice conosciuto solo da mittente
e destinatario, il quale potrà "tradurre"
il messaggio inviatogli avendo la certezza che nessuno
lo ha potuto leggere o modificare e che il mittente
è proprio colui che dichiara di averlo inviato.
Celebre è, ad esempio, la chiave di cifratura
utilizzata da Giulio Cesare, il quale scriveva messaggi
utilizzando la lettera successiva a quella effettiva
(ad esempio la parola "bianco" diveniva
"clbodp").
In ambito informatico la decifrazione avviene attraverso
software che utilizzano algoritmi a chiave privata
o a chiave pubblica.
Nell'ambito dell'utilizzo degli algoritmi a chiave
privata, entrambi gli individui che si scambiano informazioni
conoscono la chiave di cifratura (una stringa di caratteri
o di cifre, di solito in bit). Con tale medesima chiave
un messaggio viene prima cifrato dal mittente e poi
decifrato dal destinatario.
Un cifrario di questo tipo si chiama "simmetrico"
(NOTA 1) .
Ad esempio: se Tizio vuole comunicare con Caio, cifra
il messaggio A con la chiave X ottenendo il messaggio
B che viene inviato a Caio, il quale -utilizzando
sempre la chiave privata X- decifrerà il messaggio
ottenendo nuovamente il messaggio A.
Gli algoritmi a chiave privata hanno tuttavia un punto
debole non indifferente: gli individui che intendono
utilizzare tale sistema di cifratura devono -preliminarmente-
potersi scambiare la chiave su un canale comunicativo
sicuro; questa prima comunicazione avverrà
infatti senza cifratura ed è quindi chiaro
che la "sicurezza" della comunicazione dipenderà
dalla protezione del canale che verrà utilizzato.
Qualora non sia accettata la sicurezza del canale
disponibile, è necessario ricorrere agli algoritmi
a chiave pubblica o anche definiti a chiavi "asimmetriche".
Si tratta di un cifrario dotato di due chiavi distinte:
la prima viene usata per la cifratura, la seconda
deve essere usata per la decifratura, e viceversa.
La particolarità del sistema è dovuta
al fatto che il messaggio cifrato con una certa chiave
pubblica potrà essere decifrato esclusivamente
con la chiave privata corrispondente e viceversa.
Le due chiavi (una pubblica e l'altra privata) devono
essere indipendenti: ossia la conoscenza di una delle
due chiavi non deve dare alcuna informazione utile
per la ricostruzione dell'altra (da ciò la
definizione di asimmetrico).
Qualora si intenda inviare un messaggio telematico
segreto ad un terzo, occorrerà conoscere -preliminarmente-
la chiave pubblica di quest'ultimo, cifrare il messaggio
con detta chiave pubblica ed inviarlo. Quest'ultimo
potrà essere letto solo dal possessore della
chiave segreta corrispondente.
Ad esempio: se Tizio vuole mandare un messaggio segreto
a Caio, dovrà chiedere a quest'ultimo la chiave
pubblica e cifrare il messaggio con la medesima. A
questo punto il messaggio potrà essere decifrato
solo con la chiave privata in possesso di Caio.
Se invece si vuole sfruttare l'algoritmo a chiave
pubblica solo per "autenticare" la provenienza
e l'integrità del messaggio da inviare, bisognerà
procedere in modo inverso. Occorrerà cifrare
il messaggio con la propria chiave privata, a cui
corrisponderà la propria chiave pubblica mediante
la quale il terzo destinatario decifrerà il
messaggio e (se quest'ultimo risulterà integro)
verificherà la provenienza dello stesso.
Infine, utilizzando le chiavi asimmetriche delle due
parti si potrà inviare un messaggio segreto
autenticando l'identità del mittente. In altre
parole: Tizio può mandare a Caio un messaggio
tale che non solo esso possa essere letto soltanto
da Caio, ma anche che Caio possa avere l'assoluta
certezza che nessun altro all'infuori di Tizio possa
averlo generato.
Per far ciò, Tizio cifra dapprima il messaggio
usando la propria chiave segreta, poi cifra ulteriormente
il messaggio risultante usando la chiave pubblica
di Caio. Quest'ultimo, per leggere il messaggio, deve
compiere le seguenti operazioni: dapprima decifra
il messaggio utilizzando la propria chiave privata,
ottiene così un messaggio che però è
ancora cifrato, per cui lo decifra ulteriormente usando
la chiave pubblica di Tizio. Solo dopo questa ulteriore
operazione il messaggio è in chiaro e può
essere letto da Caio, il quale avrà raggunto
l'assoluta certezza che esso sia stato trasmesso da
Tizio, perché solo lui può aver usato
la propria chiave segreta per applicargli la seconda
cifratura.
La classe di cifrari a chiave pubblica vede la luce
nel 1978 grazie a tre ricercatori del MIT (Rivest,
Shamir e Adleman) che scoprirono la possibilità
reale di costruire cifrari a chiave asimmetrica utilizzando
particolari proprietà formali dei numeri primi
con qualche centinaio di cifre. La sicurezza dell'algoritmo
creato, (chiamato RSA dalle iniziali degli inventori)
non è stata matematicamente dimostrata, esiste
infatti la teorica possibilità che ulteriori
intuizioni matematiche possano "scardinarlo";
la maggior parte degli studiosi sono tuttavia d'accordo
nel ritenere che l'algoritmo RSA sia il più
sicuro sistema crittografico attualmente conosciuto
e, per tali motivi, costituisce il fondamento dei
sistemi crittografici su cui si basano i meccanismi
di sicurezza ed autenticazione di Internet.
____________________
PREMESSA
In virtù dell'art. 15 comma 2 della L. 15 marzo
1997, n. 59,
gli atti, dati e documenti formati dalla pubblica
amministrazione e dai privati con strumenti informatici
o telematici, i contratti stipulati nelle medesime
forme, nonché la loro archiviazione e trasmissione
con strumenti informatici sono validi e rilevanti
a tutti gli effetti di legge. La normativa successiva
al comma suindicato si è preoccupata di disciplinare
ed attuare detto astratto principio, definendo il
"valore" giuridico del documento eletronico
e le modalità della sua formazione.
Quale utile premessa alla trattazione che segue è
necessario soffermarsi brevemente sull'attuale normativa
relativa al valore probatorio dei documenti e delle
riproduzioni meccaniche degli atti.
Il codice civile (artt. 2699 e sgg.) stabilisce che:
a) gli atti redatti da un pubblico ufficiale fanno
piena prova, fino a querela di falso, della provenienza
del documento dal pubblico ufficiale nonchè
delle dichiarazioni delle parti e degli altri fatti
che il notaio attesta avvenuti in sua presenza o da
lui compiuti (art. 2700 c.c.);
b) le scritture private fanno piena prova, fino a
querela di falso, della provenienza delle dichiarazioni
da chi le ha sottoscritte, se le sottoscrizioni sono
autenticate da un notaio o da altro pubblico ufficiale,
ovvero se colui contro il quale vengono prodotte ne
riconosce la sottoscrizione (artt. 2702 - 2703 c.c.);
c) le riproduzioni meccaniche di atti, fatti o cose
formano piena prova di quanto rappresentato se colui
contro il quale sono prodotte non ne disconosce la
conformità o, nel caso di copie fotografiche
di scritture, se la conformità con l'originale
è attestata da pubblico ufficiale (artt. 2712
e 2719 c.c.).
La dottrina dominante ritiene possa attribuirsi valore
probatorio di scrittura privata ad ogni scrittura
sottoscritta, fissata su supporto indelebile o, comunque
tale da mantenere traccia delle eventuali alterazioni,
in modo che qualsiasi modifica sia riconoscibile e
che sia possibile verificarne l'integrità.
Tutti i documenti, comunque stampati (con stampanti
laser, ink-jet ovvero scritti a mano o a macchina,
ecc.) se sottoscritti ed originali, dovrebbero avere
la medesima efficacia probatoria secondo quanto detto
al punto b) del capoverso precedente.
L'efficacia probatoria dei fax è ancora oggetto
di notevoli controversie; alcune sentenze di giurisprudenza
li assimilano alle riproduzioni meccaniche descritte
al precedente punto c), non mancano correnti dottrinarie
le quali sostengono possa riconoscersi valore di scrittura
privata (NOTA 2) . Esiste inoltre una legge (L. n.
183/93) che -soddisfatte particolari condizioni- considera
conforme all'originale la copia fotoriprodotta di
un atto processuale redatto da un avvocato e trasmesso
mediante fax ad altro avvocato.
In relazione al valore probatorio del documento elettronico
è agevole rilevare che il supporto informatico,
dove è fissato il negozio giuridico da provare,
non possiede normalmente le caratteristiche proprie
dei supporti tradizionali come la carta: le registrazioni
sono di norma non indelebili e non consentono la riconoscibilità
di eventuali alterazioni. Oltre a ciò il documento
elettronico non può essere sottoscritto in
modo tradizionale mediante apposizione autografa del
nome e cognome dell'autore. Tali circostanze -che
sembrerebbero impedire il riconoscimento di piena
efficacia probatoria al documento elettronico- sono
state superate grazie all'adozione della c.d. firma
digitale giuridicamente riconosciuta dalla normativa
che andremo ad esaminare.
La firma digitale viene definita come una procedura
informatica e crittografica (validazione) basata su
un sistema di chiavi asimmetriche a coppia, una pubblica
e una privata, che consente al sottoscrittore tramite
la chiave privata (destinata a rimanere segreta) e
al destinatario tramite la chiave pubblica, rispettivamente,
di rendere manifesta e di verificare la provenienza
e l'integrità di un documento informatico o
di un insieme di documenti informatici (art. 1, lett.
n, dpr 445/00). Chi voglia utilizzare la firma digitale
deve pertanto generare una coppia di chiavi crittografiche
asimmetriche: una chiave privata (destinata a rimanere
segreta) ed una chiave pubblica (destinata ad essere
resa pubblica). Mediante la prima si appone la firma
digitale sul documento informatico o si decifra il
documento informatico in precedenza cifrato mediante
la corrispondente chiave pubblica. La chiave pubblica
permette di verificare la firma digitale apposta sul
documento informatico dal titolare delle chiavi asimmetriche
ovvero di cifrare i codumenti informatici da trasmettere
al titolare delle stesse.
Dopo aver generato dette chiavi, il titolare deve
renderne pubblica una mediante la procedura di certificazione
(NOTA 3) attivabile presso un ente certificatore incluso
nell'elenco formato dall'AIPA (Autorità per
l'informatica nella pubblica amministrazione), mediante
la procedura di certificazione:
1. si garantisce la corrispondenza tra chiave pubblica
e soggetto a cui essa appartiene;
2. si identifica il soggetto titolare;
3. si attesta il periodo di validità della
predetta chiave.
___________________________
LA FIRMA DIGITALE
Prima
di passare ad esaminare gli elementi più rilevanti
della normativa occorre descrivere brevemente il processo
che caratterizza l'apposizione della firma digitale
(NOTA 4) .
La
procedura di sottoscrizione di un documento elettronico
può essere così sintetizzata:
a. generazione dell'impronta del documento elettronico
(una sorta di "riassunto" del documento,
di rappresentazione binaria ed univoca del documento)
b. cifratura dell'impronta (ossia, generazione della
firma digitale) del documento elettronico per mezzo
di una chiave privata (Kpri)
c. creazione di una "busta eletronica" che
contiene: il documento, la firma (vds punto b) e il
certificato emesso dal certificatore (incluso nell'elenco
dell'AIPA) che lega la chiave privata al suo possessore;
Il
destinatario della "busta elettronica" deve:
a. aprire la busta "elettronica";
b. decifrare l'impronta del documento elettronico
con la chiave pubblica del firmatario estratta dal
certificato;
c. calcolare l'impronta del documento elettronico
e verificare il valore ottenuto con quello firmato
ai fini dell'integrità del messaggio;
d. aprire il certificato e leggere l'identità
del soggetto per verificare l'identità del
mittente e la validità temporale della sua
firma. Per effettuare tale verifica, si deve accedere
ad una speciale lista (Certification Revocation List)
redatta da ogni certificatore e ricercare se il certificato
ricevuto appartenga alla lista o meno. In caso negativo,
il certificato deve essere considerato ancora valido
e pertanto il documento elettronico può considerarsi
valido secondo quanto previsto dal DPR 445/00.
Per
la disciplina tecnica della "firma digitale",
il legislatore italiano, con l'ausilio dell'AIPA (Autorità
per l'informatica nella pubblica amministrazione),
ha emanato alcune norme tecniche che disciplinano
in maniera precisa gli standard adottabili per la
generazione delle firme digitali.
Nel regolamento tecnico (decreto presidente consiglio
dei ministri 8 febbraio 99 - pubblicato sulla Gazzetta
Ufficiale del 15 aprile 1999) vengono precisate le
caratteristiche degli algoritmi per la generazione
e la verifica delle firme digitali, detti algoritmi
devono essere del tipo: RSA (Rivest-Shamir-Adleman
algorithm), ovvero DSA (Digital Signature Algorithm).
La lunghezza minima delle chiavi è stabilita
in 1024 bit.
Il regolamento dell'Aipa impone inoltre che la generazione
dell'impronta (ossia della sequenza di simboli binari
di lunghezza predefinita generata mediante l'applicazione
di una opportuna funzione di hash) debba effettuarsi
impiegando una delle seguenti funzioni di hash, definite
nella norma ISO/IEC 10118-3:1998:
Dedicated Hash-Function 1, corrispondente alla funzione
RIPEMD-160;
Dedicated Hash-Function 3, corrispondente alla funzione
SHA-1.
Si ricorda che la c.d. "funzione di hash"
è una funzione matematica che genera, a partire
da una generica sequenza di simboli binari, una impronta
in modo tale che risulti di fatto impossibile, a partire
da questa, determinare una sequenza di simboli binari
che la generi, ed altresì risulti di fatto
impossibile determinare una coppia di sequenze di
simboli binari per le quali la funzione generi impronte
uguali.
Il regolamento tecnico disciplina, infine, le modalità
per la generazione della coppia di chiavi; quest'ultima
deve essere effettuata mediante apparati e procedure
che assicurino, in rapporto allo stato delle conoscenze
scientifiche e tecnologiche, l'unicità e la
robustezza della coppia generata, nonché la
segretezza della chiave privata.
La rispondenza dei dispositivi di generazione delle
chiavi ai requisiti di sicurezza deve essere verificata
secondo i criteri previsti dal livello di valutazione
E3 e robustezza dei meccanismi HIGH dell'ITSEC o superiori.
________________________
I CERTIFICATORI
Nell'ambito
dell'impianto normativo dedicato alla firma digitale,
notevole rilevanza assumono i c.d. "certificatori",
a cui abbiamo accennato nella "Premessa".
Per citare la definizione del dpr 445/00 (art. 22
lett. i): il certificatore è il soggetto pubblico
o privato che effettua la certificazione, rilascia
il certificato della chiave pubblica, lo pubblica
unitamente a quest'ultima, pubblica ed aggiorna gli
elenchi dei certificati sospesi e revocati.
Le modalità per presentare domanda di iscrizione
nell'elenco pubblico dei certificatori predisposto,
tenuto ed aggiornato dall'Aipa sono contenute nella
circolare n. 22 del 26 luglio 19995 . L'Aipa dovrà
valutare l'esistenza dei requisiti richiesti e, in
caso di esito positivo, inserire il nominativo del
soggetto richiedente nell'elenco pubblico.
Il titolare della coppia di chiavi, prima di utilizzare
un sistema di chiavi asimmetriche per sottoscrivere
documenti digitali deve munirsi di una idonea coppia
di chiavi e renderne pubblica una di esse mediante
la procedura di certificazione6 .
In base all'art. 27 del dpr 445/00, le chiavi di cifratura
sono custodite dal certificatore per almeno dieci
anni e, dal momento iniziale della loro validità
sono consultabili per via telematica.
L'art. 28 del dpr 445/00 precisa che il certificatore
deve identificare con certezza la persona che fa richiesta
della certificazione (NOTA 7), rilasciare e rendere
pubblico il certificato, specificare i poteri di rappresentanza
o altri titoli inerenti all'attività professionale
o a cariche rivestite dal titolare della chiave pubblica,
attenersi alle misure minime di sicurezza richieste
dalla legge sulla privacy, non rendersi depositario
di chiavi private.
In merito alla "vita" del certificato, si
sottolinea come il certificatore (sempre ex art. 28
dpr 445/00) deve procedere tempestivamente alla revoca
od alla sospensione del certificato in caso di richiesta
del titolare (o del terzo dal quale derivino i poteri
di quest'ultimo), di perdita del possesso della chiave,
di provvedimento dell'autorità, di sospetti
abusi o falsificazioni, di acquisizione della conoscenza
di cause limitative della capacità del titolare.
Sussiste inoltre l'obbligo di dare immediata pubblicazione
della revoca e della sospensione della coppia di chiavi
asimmetriche.
_____________________________________________
LA RESPONSABILITA' DI UTENTE E CERTIFICATORE
L'art.
28, primo comma del dpr 445/00 precisa che "Chiunque
intende utilizzare un sistema di chiavi asimmetriche
o della firma digitale, è tenuto ad adottare
tutte le misure organizzative e tecniche idonee ad
evitare danno ad altri". Detta disposizione è
valida sia per l'utente che per il certificatore.
Non pochi sono i commentatori che hanno ritenuto che
detta disposizione sia assimilabile all'art. 2050
c.c. introducendo anche nell'ambito dell'utilizzo
della firma digitale quella connotazione di "attività
pericolosa" già esaminata in sede di trattamento
di dati personali. E' chiaro, tuttavia, che se chi
utilizza il sistema della firma digitale è
un soggetto qualsiasi, il livello delle misure organizzative
e tecniche sarà ben differente da colui (certificatore)
che utilizza detti sistemi in ambito professionale.
Le regole che dovranno essere seguite dall'utente
sono specificate dall'art. 8, comma 4 del Regolamento
tecnico (NOTA 8) e appare inverosimile caricare il
singolo utilizzatore di firma digitale di ulteriori
oneri per sfuggire al suindicato obbligo. In merito
all'attività del certificatore, oltre agli
obblighi descritti nel paragrafo precedente, si rileva
che il regolamento fissa regole molto stringenti in
relazione alla tecnologia che dovrà essere
adottata per la generazione, il rilascio e la conservazione
dei certificati; l'adempimento di tali obblighi appare
il primo doveroso passo per uniformarsi al dettato
dell'art. 28, primo comma, dpr 445/00, ulteriori elementi
potranno essere dedotti solo nel momento in cui la
nostra giurisprudenza comincerà ad adottare
provvedimenti in merito alla mancata adozione delle
suindicate misure organizzative e tecniche.
____________________________________
EFFICACIA DEL DOCUMENTO INFORMATICO
Il
documento informatico, sottoscritto con firma digitale
(generata secondo gli standard tecnici previsti dal
nostro ordinamento), soddisfa il requisito legale
della forma scritta ed ha efficacia di scrittura privata
ex art. 2702 codice civile (art. 10, primo e terzo
comma dpr 445/00). L'art. 10 primo comma del dpr 445/00
precisa che il documento informatico, sottoscritto
con firma digitale, redatto in conformità delle
regole tecniche, ha l'efficacia probatoria delle riproduzioni
fotografiche o meccaniche ex art. 2712 codice civile.
La norma (sintesi degli artt. 4 e 5 del dpr 513/97)
appare ancora oggi poco comprensibile, come sottolineato
da diversi autori (NOTA 9) , in quanto non si comprende
quale documento informatico abbia l'efficacia probatoria
ex art. 2712 c.c.e quale ex art. 2702 c.c., ossia
se il nostro legislatore ha voluto differenziare due
tipologie di documenti informatici uno avente valore
probatorio ex art. 2702 c.c. e l'altro avente valore
probatorio ex art. 2712 c.c..
In merito, la dottrina dominante (in vigenza del dpr
513/97) sosteneva che dovessero essere differenziati
tre tipologie di documento informatico in relazione
al valore probatorio:
· documento infomatico che non è munito
dei requisiti stabiliti nel dpr 513/97 (ora dpr 445/00):
è valido ma non è da considerarsi scritto
e quindi a livello probatorio può solo contribuire
a formare il convincimento del giudice;
· documento informatico munito dei requisiti
previsti dal dpr 513/97 ma non sottoscritto con firma
digitale, ha forma scritta ed ha il valore probatorio
della riproduzione meccanica o fotografica ex art.
2712 c.c.
· documento informatico munito dei requisiti
previsti dal dpr 513/97 e sottoscritto con firma digitale
ai sensi dell'art. 10 dpr 513/97 ha valore di scrittura
privata.
Come suindicato, detta interpretazione appare tuttavia
superficiale, atteso che il dpr 513/97 e il Regolamento
tecnico sulla firma digitale (dpcm 8.2.99) descrivevano
un "unico" documento informatico munito
dei requisiti di legge, ossia come un documento sottoscritto
con firma digitale. Il dpr 445/00, in virtù
di un "accorpamento" delle norme precedenti
che ha generato una interpretazione autentica, sembrerebbe
aver chiarito (una volta per tutte) che ad ogni documento
informatico va associata una firma digitale. Allo
stato attuale sembrerebbero esistere, pertanto, solo
due tipologie di documenti informatici, quelli sottoscritti
con firma digitale generata secondo le regole tecniche
e quelli non aventi dette caratteristiche.
___________________________________
VECCHI E NUOVI CONTRATTI TELEMATICI
"I
contratti stipulati con strumenti informatici o telematici
mediante l'uso della firma digitale sono validi e
rilevanti a tutti gli effetti di legge (art. 15 L.
59/97; art. 11 dpr 445/00)".
La disposizione suindicata chiarisce esplicitamente
che i contratti telematici sottoscritti con firma
digitale possono essere validamente stipulati e ad
essi è riconosciuta piena tutela giuridica.
L'art. 11 del dpr 445/00 fa tuttavia sorgere un dubbio
non ancora del tutto fugato. Il dubbio si riferisce
alla validità giuridica di tutti i "contratti
elettronici" (ad es. transazioni tramite pos,
bancomat, carte di credito, contratti stipulati via
internet senza firma digitale, ecc.) posti in essere
senza sottoscrizione con firma digitale. La puntualizzazione
del legislatore può, infatti, far ritenere
(implicitamente) che i contratti telematici privi
di firma digitale (o con firma digitale apposta non
in conformità alle regole fissate) non possano
più essere considerati giuridicamente rilevanti.
In realtà, il decreto legislativo 185/99 (concernente
la protezione dei consumatori in materia di contratti
a distanza) e il nostro stesso ordinamento giuridico
che concede ampia libertà di forma per la conclusione
dei contratti (salvo l'imposizione di forme specifiche
per alcune tipologie contrattuali ben individuate,
ad es. compravendita di beni immobili, società
di capitali, ecc.), inducono a ritenere che anche
tutti i contratti "elettronici" posti in
essere senza la firma digitale possano essere considerati
giuridicamente rilevanti.
E' chiaro che i contratti privi di firma digitale
non avranno l'efficacia probatoria e la rilevanza
giuridica che la legge ha conferito ai contratti sottoscritti
con firma digitale (ad es. grazie all'apposizione
della firma digitale è possibile risalire con
certezza all'autore del documento informatico) quindi,
in caso di inadempimento di una delle parti al contratto
sottoscritto con firma digitale, l'altra (parte) potrà
condurre le azioni giudiziarie che ritiene più
opportune (risoluzione del contratto, riduzione del
prezzo, risarcimento del danno, ecc.) con maggiori
probabilità di successo.
____________________________
LA CONCLUSIONE DEL CONTRATTO TELEMATICO
Firma
Di seguito evidenzierò alcuni elementi giuridici
fondamentali, inerenti alla conclusione del contratto,
che il legislatore ha analiticamente disciplinato
anche nell'ambito dei contratti telematici, affinché
l'immaterialità del documento informatico non
incida sulla conclusione del contratto.
In primo luogo appare opportuno evidenziare l'importanza
giuridica della sottoscrizione (ossia della firma).
Volendo usare i termini della Corte di Cassazione,
"la sottoscrizione è elemento costitutivo
della scrittura, attesa la sua funzione di individuazione
dell'autore del documento nonché di assunzione
di paternità dello scritto" (c.d. principio
della non ripudiabilità). L'importanza della
firma digitale risiede proprio in questa frase. Fino
all'avvento della normativa in esame, l'assimilazione
del contratto telematico al contratto avente forma
scritta non era possibile, in quanto mancava la regolamentazione
(giuridica e tecnica) di una _firma digitale",
che permettesse di risalire con certezza ai contraenti
e che permettesse di addossare ai medesimi le responsabilità
previste dal codice civile ("La scrittura privata
fa piena prova fino a querela di falso della provenienza
delle dichiarazioni da chi l'ha sottoscritta"-Art.
2702 c.c.); grazie all'introduzione ed alla regolamentazione
della firma digitale, i contratti telematici acquistano
la dignità giuridica dei contratti redatti
per iscritto (art. 10 dpr 445/00) e, quindi, i contratti
per i quali è previsto l'obbligo -ad probationem
o ad substantiam- della redazione per iscritto, potranno
essere validamente formati informaticamente o telematicamente.
L'elezione
di indirizzo elettronico (il luogo di conclusione
del contratto)
Tutti i contratti si concludono nel momento (e nel
luogo) in cui chi ha fatto la proposta ha conoscenza
della accettazione dell'altra parte (art. 1326 c.c.);
al fine di rendere applicabile detta disposizione
anche nell'ambito dei contratti telematici, il legislatore
ha disposto che il destinatario dell'accettazione
della proposta dichiari il proprio indirizzo elettronico
presso il quale dovrà essere inviata detta
accettazione, analogamente a quanto si verifica per
una spedizione postale effettuata ad un indirizzo
dichiarato od eletto dal destinatario.
L'art.14, comma 1 del dpr 445/00 dispone infatti che
il documento informatico trasmesso telematicamente
"si intende inviato e pervenuto al destinatario
se trasmesso all'indirizzo elettronico da questi dichiarato".
La
validazione temporale (il momento di conclusione del
contratto)
L'art. 14, comma 2, del dpr 445/00 stabilisce che
la data e l'ora di formazione, di trasmissione o di
ricezione di un documento informatico sono opponibili
ai terzi se la spedizione è effettuata in conformità
alle regole tecniche stabilite per la validazione
temporale del documento. Il Decreto del Presidente
del Consiglio dei Ministri 8 febbraio 1999 (regole
tecniche per la formazione e la trasmissione dei documenti
informatici), agli artt. 52 e seguenti, precisa le
modalità tecniche da adottare per la validazione
temporale mediante la generazione di una marca temporale.
Le procedure per l'inoltro della richiesta di validazione
temporale (art. 58 DPCM 8/2/99) sono stabilite dal
certificatore della chiave pubblica scelto dal sottoscrittore
e pubblicate sul manuale operativo dello stesso certificatore.
Nell'ambito della richiesta si può comunque
specificare l'emissione di più marche temporali
per lo stesso documento. In tal caso debbono essere
restituite marche temporali generate con chiavi diversi.
Il regolamento tecnico precisa (art. 58, ultimo comma
del decreto citato) che la generazione delle marche
temporali deve garantire un tempo di risposta, misurato
come differenza tra il momento della ricezione e l'ora
riportata nella marca temporale, non superiore al
minuto primo.
Alle suindicate condizioni, il documento informatico
(spedito per via telematica, chiuso in un involucro
cifrato, sottoscritto con firma univoca e verificabile,
munito di data certa ed opponibile) può considerarsi
equipollente al documento cartaceo notificato a mezzo
della posta.
__________________________
LA FORMA DEI CONTRATTI TELEMATICI
La
forma scritta
Il documento informatico munito della firma digitale
apposta conformemente alla disciplina tecnica prevista
nel DPCM. 8.2.99, soddisfa il requisito legale della
forma scritta (art. 10 dpr 445/00). Inoltre, il documento
informatico ha efficacia di scrittura privata ai sensi
dell'art. 2702 c.c. Da ciò discende che tutti
i contratti per i quali la legge prevede l'obbligo
della redazione per iscritto (ad probationem o ad
substantiam), possono essere validamente stipulati
anche in forma elettronica. Vedremo in seguito, nel
dettaglio, quali contratti possono beneficiare della
disposizione suindicata.
La
sottoscrizione autenticata
Il dpr 445/00 dedica l'art. 24 alla firma digitale
autenticata. L'autenticazione della firma digitale
consiste nell'attestazione, da parte del pubblico
ufficiale, che la firma digitale è stata apposta
in sua presenza dal titolare, previo accertamento
della sua identità personale, della validità
della chiave utilizzata e del fatto che il documento
sottoscritto risponde alla volontà della parte
e non è in contrasto con l'ordinamento giuridico.
La norma in esame permette dunque di utilizzare una
firma digitale autenticata ogniqualvolta sia richiesta
dal nostro ordinamento una scrittura privata con sottoscrizione
autenticata (ad es. il deposito presso il Registro
delle Imprese del contratto di cessione -o di affitto-
di azienda deve essere effettuato in forma pubblica
o per scrittura privata autenticata; allo stesso modo
la copia autentica del contratto di cessione di marchio
deve essere depositato presso l'Ufficio Marchi nella
forma della scrittura privata autenticata o di atto
pubblico).
L'atto
pubblico
La disciplina giuridica della firma digitale non prevede
alcuna assimilazione o equivalenza del documento informatico
all'atto pubblico. Sono inoltre diversi i commentatori
che, per il momento, escludono si possa ipotizzare
un atto pubblico "informatico". In realtà
l'atto pubblico è un atto particolarmente complesso
la cui redazione è disciplinata dagli artt.
12 e 13 della L. 4 gennaio 1968, n. 15 (NOTA 10) che
non sono stati modificati, abrogati (o comunque citati)
dalla normativa relativa alla firma digitale; appare
quindi legittimo supporre che l'atto pubblico "informatico"
sia ancora da venire e che quindi le convenzioni matrimoniali,
la costituzione del fondo patrimoniale, le donazioni,
la costituzione delle società per azioni, ecc.
ecc., dovranno essere perfezionate mediante l'atto
pubblico come descritto dalla legge 4 gennaio 1968,
n. 15. Peraltro, la mia convinzione è che la
volontà del legislatore vada in senso inverso.
Lo testimonia, ad esempio, lo schema di decreto legislativo
che prevede una unica trasmissione telematica per
atti notarili di natura immobiliare al fine di provvedere
con un'unica richiesta al pagamento delle imposte
sul registro e dei diritti per l'esecuzione delle
formalità di trascrizione e voltura catastale,
nonché all'invio delle copie d'atto e delle
note occorrenti. Non è purtroppo questa la
sede per incardinare un dibattito giuridico circa
l'atto pubblico "elettronico", rilevo tuttavia
che la completa assimilazione del documento informatico
al documento cartaceo elimina molte perplessità,
a ciò si deve aggiungere che il dpr 445/00
ammette (come indicato in precedenza) l'intervento
del notaio per l'autenticazione della firma digitale.
La ratio della legge sembrerebbe quindi ammettere
che il notaio possa formare un atto pubblico "elettronico"
che segua le regole dettate in materia di firma digitale,
qualora le parti siano contestualmente presenti (la
presenza telematica sembrerebbe decisamente da escludere).
In pratica l'attività del notaio consisterebbe
nel riconoscere le parti presenti, nell'accertare
la capacità delle parti di stipulare l'atto,
nel redigere informaticamente l'atto richiesto, nel
verificare che la volontà delle parti è
corrispondente a quanto "scritto" nell'atto,
nell'autenticare la firma digitale secondo le regole
imposte dal dpr 445/00.
_____________________________
COPIE E ARCHIVIAZIONI
La copia e l'archiviazione informatica di documenti
cartacei
In
base all'art 20 del dpr 445/00, le copie su supporto
informatico di documenti, formati in origine su supporto
cartaceo (o su altro supporto), sostituiscono ad ogni
effetto di legge, gli originali da cui sono tratte
se la loro conformità all'originale è
autenticata da un notaio o da altro pubblico ufficiale
a ciò autorizzato, con dichiarazione allegata
al documento informatico e asseverata con le modalità
indicate dal Regolamento tecnico. In cosa consista
detta "autenticazione" sembrerebbe potersi
ricavare dalla Deliberazione Aipa 24/98, 30 Luglio
1998 (Regole tecniche per l'uso di supporti ottici)
a cui rimanda anche l'art. 61 - Dpcm 8.2.99 in materia
di archiviazione di documenti informatici.
Gli artt. 6 e 11 della suindicata Del. 24/98 precisano
le modalità del processo di autenticazione,
successivamente all'acquisizione in formato immagine
del documento cartaceo "originale". Sono
previste due procedure alternative, in base alla prima
i documenti cartacei devono essere singolarmente autenticati
dal Pubblico ufficiale, chiamato a verificare che
quanto riprodotto, e quindi formato, sul supporto
di memorizzazione, sia conforme al documento originale
cartaceo oggetto di riproduzione. Tale formalità
si intende assolta attraverso l'apposizione -alla
rappresentazione digitale di ciascun documento- delle
firme digitali del Pubblico ufficiale generate a partire
dalle impronte primaria e secondaria contenute nella
marca di controllo presente nel relativo file di controllo.
In alternativa è possibile certificare una
lista dei documenti originali contenente il codice
identificativo del supporto e, per ciascuno di essi,
le seguenti informazioni:
- numero identificativo della registrazione
- tipo di registrazione
- codice identificativo del documento registrato
- numero di istanza
- numero di versione
- rappresentazione esadecimale delle due impronte
della rappresentazione digitale del documento contenute
nella marca di controllo presente nel file di controllo
corrispondente.
La
copie e l'archiviazione di documenti informatici
L'art.
20 del Dpr 445/00 precisa che i duplicati, le copie,
gli estratti del documento informatico, anche se riprodotti
su diversi tipi di supporto, sono validi e rilevanti
a tutti gli effetti di legge se conformi al Testo
unico.
Il Dpcm 8.2.99 (regolamento tecnico), all'art. 61,
precisa che l'archiviazione dei documenti informatici
deve essere formata con le modalità previste
dalla deliberazione 30 luglio 1998, n. 24 dell'Aipa.
L'art. 6, lett. b della Del 24/98 precisa che i documenti
formati direttamente su supporto informatico possono
essere trasferiti sul supporto di memorizzazione,
senza passaggio su supporto cartaceo, in un formato
conforme allo standard SGML, oppure in uno dei seguenti
formati: PDF, AFP e Metacode. È altresì
possibile la conservazione di tali documenti come
puro testo purché questo ne rappresenti integralmente
ed in maniera non ambigua il contenuto. Deve essere
in ogni caso definito univocamente il set di caratteri
utilizzato, del quale deve essere contestualmente
registrata l'immagine, e, qualora la formattazione
non sia già implicitamente contenuta nel formato
del documento, debbono essere specificate almeno la
divisione in righe e pagine e la dimensione delle
spaziature. Un documento formato secondo i precedenti
requisiti costituisce la rappresentazione digitale
del documento archiviato. È inoltre consentita
l'archiviazione dei documenti formati all'origine
su supporto informatico attraverso la conservazione
della corrispondente immagine ottenuta per conversione
diretta dal formato testuale; è possibile conservare
sul medesimo supporto anche il testo del documento
per scopi gestionali e documentali.
L'art. 11, secondo comma della Del. 24/98, stabilisce
che la conformità all'atto d'origine deve essere
attestata dal responsabile dell'archiviazione successivamente
all'operazione di collaudo, contestualmente alla chiusura
del supporto di memorizzazione, mediante la sottoscrizione
digitale del file di chiusura attraverso le firme
digitali presenti nel file di controllo di quest'ultimo.
Nell'ambito delle Amministrazioni pubbliche l'operazione
di autenticazione è effettuata dal Dirigente
dell'Ufficio responsabile alla tenuta, conservazione
ed esibizione degli atti o documenti, od altri dallo
stesso formalmente designati, sempreché non
coincida con il responsabile dell'archiviazione. L'art.
7 della suindicata delibera descrive i contenuti obbligatori
del supporto di memorizzazione. L'art. 8 precisa invece
i compiti del responsabile dell'archiviazione, il
quale, fra l'altro, adotta le necessarie misure per
la sicurezza fisica e logica del sistema di archiviazione
effettua il collaudo dell'attività di archiviazione
(art. 9) e provvede alla chiusura del supporto di
memorizzazione.
____________________________
NOTA 1
Il sistema di dice simmetrico perchè, noti
il procedimento e la chiave di codifica, per simmetria
si ricavano quelli di decodifica (Ridolfi P. , "Dalla
Scitala di Plutarco alla firma digitale", in
"media duemila" ottobre 1998)
NOTA
2
Cass. 4479/87 ha assimilato le fotocopie alle copie
fotografiche previste dall'art. 2719 c.c., ulteriore
Cass 886/89 ha riconosciuto esplicitamente che rientrano
tra le riproduzioni meccaniche ex art. 2712 c.c. anche
i messaggi inviati via telefax.
NOTA
3
Alla figura del certificatore è dedicato un
paragrafo nel prosieguo della trattazione.
NOTA
4
Si ripercorre il testo predisposto dall'AIPA il 13.7.2000
"Linee guida per l'interoperabilità dei
certificatori",
NOTA
5
L'art. 27 del dpr 445/00 stabilisce che i certificatori
debbano avere:
- forma di società per azioni e capitale sociale
non inferiore a quello necessario ai fini dell'autorizzazione
all'attività bancaria, se soggetti privati;
- possesso da parte dei rappresentanti legali dei
requisiti di onorabilità richiesti ai soggetti
che svolgono funzioni di amministrazione, direzione
e controllo presso banche
- personale competente, esperto in grado di ben applicare
le regole tecniche imposte dal nostro legislatore
- qualità dei processi informatici sulla base
di standard riconosciuti a livello internazionale
NOTA
6
Procedura informatica svolta dal certificatore su
richiesta dell'interessato, necessaria per:
- garantire la corrispondenza tra chiave pubblica
e titolare (precedentemente identificato) della stessa,
- attestare il periodo di validità della chiave
ed il termine di scadenza del certificato (art. 23,
lett. f , dpr 445/00);
NOTA
7
E' data facoltà al certificatore di definire
le modalità di identificazione degli utenti
e di pubblicarle nel manuale operativo (art. 22 regolamento
tecnico)
NOTA
8
Art. 8, comma 4 Regolamento tecnico
"Il titolare delle chiavi deve:
a. conservare con la massima diligenza la chiave privata
e il dispositivo che la contiene al fine di garantirne
l'integrità e la masima riservaezza;
b. conservare le informazioni di abilitazione all'uso
della chiave privata in luogo diverso dal dispositivo
contenente la chiave;
c. richiedere immediatamente la revoca delle certificazioni
relative alle chiavi contenute in dispositivi di firma
di cui abbia perduto il possesso o difettosi.
NOTA
9
Vds per tutti G. Ciacci "La firma digitale"
Ed. "Il Sole 24ore" ed. 2000, pag. 98 e
sgg.
NOTA
10
L. 4 gennaio 1968, n. 15
- Art. 12 (Redazione di atti pubblici)
Le leggi, i decreti, gli atti ricevuti dai notai e
tutti gli altri atti pubblici sono redatti a stampa,
o con scrittura a mano o a macchina, i detti sistemi
possono essere utilizzati anche promiscuamente per
la redazione di ogni singolo atto. Con decreto del
Presidente del Consiglio dei Ministri, sentiti i ministri
per la grazia e giustizia e per il tesoro, sono stabilite
le caratteristiche tecniche dei singoli sistemi di
redazione.
- Art. 13 (Stesura degli atti pubblici)
Il testo degli atti pubblici non deve contenere lacune,
aggiunte, abbreviazioni, correzioni, alterazioni o
abrasioni. Sono ammesse abbreviazioni di uso comune
che non lascino dubbi sul significato delle parole
abbreviate. Per le variazioni da apportare al testo
in dipendenza di errori od omissioni, si provvede
con chiamate in calce e si cancella la precedente
stesura in modo che resti leggibile.
|
|