LA LUMACA E LA DOCUMENTAZIONE A VALORE LEGALE
tra posta raccomandata e e-mail certificata
18 novembre 2010
Problemi normativi della documentazione informatica
Manlio Cammarata
Dieci anni di innovazione bloccata. Perché?
Con la legge 59/97 l’Italia ha introdotto per prima nel mondo
l’equiparazione tra documento informatico e documento
tradizionale, adattando senza forzature l’ ordinamento
giuridico all’evoluzione delle tecnologie dell’informazione.
Le prime regole tecniche sulla firma digitale sono state
emanate nel 1998.
Dodici anni non sono bastati a far entrare il documento
informatico nell’uso comune: troppi problemi, informazione
fuorviante, nessuna formazione.
Ma, soprattutto, un groviglio normativo inestricabile.
Per cercare di scioglierlo, ricominciamo da… tre!
Manlio Cammarata
1
Tre elementi essenziali
Gli effetti legali di un documento dipendono da diversi
fattori. In questa sede ci interessanto tre “certezze”:
1. L’integrità delle informazioni (data authentication)
2. L’indicazione del soggetto al quale il documento è
attribuito (entity authentication)
3. La certezza legale dell’identità del soggetto al quale il
documento è attribuito (firma autografa o equivalente
digitale - entity authentication)
Manlio Cammarata
2
1. Integrità delle informazioni
Ci sono moltissimi casi in cui gli effetti giuridici di un
documento sono legati all’integrità del contenuto del
documento stesso e non è necessario conoscere con
certezza l’identità del soggetto al quale viene attribuito.
L’integrità del documento è attestata dalla presenza di timbri,
dall’uso di supporti particolari, filigrane, assenza di danni
fisici al supporto ecc.
Dove non c’è un sopporto stabile, cioè nel documento
informatico, l’integrità delle informazioni è attestata da codici
di controllo (per esempio, l’ultimo carattere del codice
fiscale) o da sistemi matematici, come la segnatura digitale,
generata con un procedimento crittografico.
Manlio Cammarata
3
2. L’indicazione del soggetto
Molti documenti producono gli effetti previsti dalle norme se
sono accompagnati dall’indicazione del soggetto al quale
l’atto è attribuito (vedi il DLGV 39/93):
Art. 3, c. 2. Se per la validità di tali operazioni e degli atti emessi sia
prevista l'apposizione di firma autografa, la stessa è sostituita
dall'indicazione a stampa, sul documento prodotto dal sistema
automatizzato, del nominativo del soggetto responsabile.
Nel documento informatico l’indicazione può essere fatta
con la digital signature, ovvero la firma digitale non
certificata, utilizzabile anche come strumento convenzionale
nell’ambito di singole organizzazioni.
Manlio Cammarata
4
3. La certezza legale dell’identità
Quando l’ordinamento prescrive la forma scritta o la
sottoscrizione, e in tutti i casi in cui l’efficacia del
documento è legata alla certezza dell’identità del soggetto a
cui viene attribuito, è necessaria la firma autografa.
Nel documento informatico la firma autografa è sostituita
dalla firma digitale basata su un certificato qualificato e
generata mediante un dispositivo sicuro:
“advanced electronic signatures which are based on a
qualified certificate and which are created by a securesignature-creation device”
Manlio Cammarata
5
Gli effetti della firma digitale “certificata”
Il documento informatico sottoscritto con firma digitale
certificata ha gli stessi effetti del documento tradizionale
sottoscritto con firma autografa.
“Gli atti, dati e documenti formati dalla pubblica amministrazione e dai
privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme, nonché la loro archiviazione e trasmissione con
strumenti informatici sono validi e rilevanti a tutti gli effetti di legge” (art.
15, c. 2, L. 249/97).
1. Member States shall ensure that advanced electronic signatures which
are based on a qualified certificate and which are created by a securesignature-creation device:
(a) satisfy the legal requirements of a signature in relation to data in
electronic form in the same manner as a handwritten signature satisfies
those requirements in relation to paper-based data; and
(b) are admissible as evidence in legal proceedings. (art. 5,1,
1999/93/CE).
Manlio Cammarata
6
L’equivalenza tra carta e bit
Una caratteristica particolare del documento informatico è
che esso rimane sempre verificabile anche se viene copiato
o passato su altro supporto: non si può distinguere
l’originale dalla copia. In effetti non esistono copie dei
documenti informatici, ma soltanto “cloni”. Sono quindi da
considerare inutili le recenti proposte di distinzioni tra i
diversi tipi di cloni dei documenti informatici.
Resta il fatto per alcuni atti non è possibile usare il
documento informatico al posto di quello cartaceo, come la
cambiale, l’assegno bancario o la procura speciale. In
sostanza non sono “dematerializzabili” tutti i documenti che
producono i loro effetti solo se originali o copie autentiche.
Manlio Cammarata
7
L’attuazione dei tre strumenti - 1
Integrità delle informazioni (data authentication)
Direttiva 1999/93/CE art. 2:
1. "electronic signature" means data in electronic form which are attached
to or logically associated with other electronic data and which serve as a
method of authentication;
Si noti che non c’è nessun riferimento a un’identità o a un
soggetto: quindi la electronic signature non è una firma, nel
senso inteso dal nostro ordinamento. Ma nel CAD...
Codice dell’amministrazione digitale art. 1, c. 1:
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure
connessi tramite associazione logica ad altri dati elettronici, utilizzati
come metodo di identificazione informatica;
Che significa? In effetti nel CAD non è prevista la “segnatura
elettronica” come strumento di validazione dei dati!
Manlio Cammarata
8
L’attuazione dei tre strumenti - 2
Indicazione del soggetto
Direttiva 1999/93/CE art. 2
2. "advanced electronic signature" means an electronic signature which
meets the following requirements:
(a) it is uniquely linked to the signatory;
(b) it is capable of identifying the signatory;
(c) it is created using means that the signatory can maintain under
his sole control; and
(d) it is linked to the data to which it relates in such a manner that
any subsequent change of the data is detectable;
E nel CAD? Probabilmente è la firma elettronica di cui alla
lettera q), ma la sconquassata traduzione richiama la digital
signature e non la advanced digital signature…
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure
connessi tramite associazione logica ad altri dati elettronici, utilizzati
come metodo di identificazione informatica;
Manlio Cammarata
9
L’attuazione dei tre strumenti - 3
Certezza legale dell’identità
Abbiamo già visto come la direttiva e la legge 249/97
sanciscano l’equivalenza tra firma autografa e firma digitale
certificata.
Ma nel CAD abbiamo due strumenti che, a prima vista,
servono a questo scopo: la firma elettronica qualificata e la
firma digitale.
La prima è definita come
la firma elettronica ottenuta attraverso una procedura informatica che
garantisce la connessione univoca al firmatario, creata con mezzi sui
quali il firmatario può conservare un controllo esclusivo e collegata ai dati
ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano
stati successivamente modificati, che sia basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la creazione
della firma;
Manlio Cammarata
10
Elettronica qualificata o digitale?
La definizione della firma elettronica qualificata riprende
senza dubbio quella che nella direttiva la electronic
signature based on a qualified certificate and which are
created by a secure-signature-creation device.
Ma la lettera successiva definisce la firma digitale come
un particolare tipo di firma elettronica qualificata basata su un sistema di
chiavi crittografiche, una pubblica e una privata, correlate tra loro, che
consente al titolare tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e di verificare la
provenienza e l'integrità di un documento informatico o di un insieme di
documenti informatici;
Se ne deduce che tra la elettronica qualificata e la digitale c’è un rapporto
da genus a species. Ma...
Manlio Cammarata
11
A che serve la elettronica qualificata?
…la funzione particolare della species è quella di “rendere
manifesta e di verificare la provenienza e l'integrità di un
documento informatico o di un insieme di documenti
informatici”. Allora il genus, cioè la firma elettronica
qualificata non ha questa funzione. Il che significa, in primo
luogo, che non è coerente con l’analoga disposizione della
direttiva europea e in secondo luogo che serve solo a
verificare l’integrità dei dati e non si capisce che c’entrino
certificato qualificato e dispositivo di firma.
Tutto il resto, cioè tutto il contesto normativo che discende
da queste definizioni, ne conferma la sostanziale confusione.
Vediamo un solo esempio.
Manlio Cammarata
12
Antinomia
CAD, art. 45. Valore giuridico della trasmissione
1. I documenti trasmessi da chiunque ad una pubblica amministrazione
con qualsiasi mezzo telematico o informatico, ivi compreso il fax, idoneo ad
accertarne la fonte di provenienza, soddisfano il requisito della forma scritta
e la loro trasmissione non deve essere seguita da quella del documento
originale.
Una chiara antinomia: la forma scritta è tale se “sottoscritta”.
Quindi un documento trasmesso “con qualsiasi mezzo” non
può soddisfare il requisito della forma scritta se non ne sono
verificabili l’integrità e l’identità del soggetto al quale appare
attribuito.
In particolare il fax non consente né di verificare l’integrità del
documento né l’identità di chi lo trasmette, né, tantomeno, di
“accertarne la fonte di provenienza”.
E se passiamo alla PEC...
Manlio Cammarata
13
Il valore del documento nel tempo
Forse il problema più serio dell’attuale normativa sul
documento informatico riguarda la sua efficacia nel tempo.
Una firma autografa vale all’infinito. Una firma digitale dopo
alcuni anni non solo perde il suo valore legale, in assenza
delle complicate procedure di ri-validazione, ma non è
neanche verificabile.
E’ necessario istituire un registro storico dei certificati,
attraverso il quale sia possibile verificare una firma senza
limiti di tempo.
Risolto il problema della verifica “postuma”, si potrebbe
completare l’equiparazione alla firma autografa: la firma
digitale sarebbe sempre valida fino a disconoscimento o
prova contraria.
Manlio Cammarata
14
La mancata consegna della PEC
Una comunicazione mandata per posta elettronica certificata
è equiparata alla tradizionale raccomandata con avviso di
ricevimento. Ma si è persa per la strada la raccomandata
semplice, che si può usare se solo il mittente dispone di una
casella di posta certificata.
Ma il legislatore ha dimenticato soprattutto l’avviso di
compiuta giacenza. Un atto essenziale per la decorrenza dei
termini previsti da diverse procedure.
E nel processo telematico ha dimenticato la segretezza dei
documenti trasmessi, facilmente realizzabile con sistemi
standard di crittografia, che possono essere usati in modo
automatico e trasparente per l’utilizzatore.
Manlio Cammarata
15
Per saperne di più… http://www.interlex.it
Manlio Cammarata
16