Il documento elettronico:
profili giuridici, civili e penali.

di
Gianfranco D'Aietti
- Magistrato Corte d'Appello di Milano
- Docente di "Informatica giuridica" presso la facoltà di Giurisprudenza
- Università di Pavia

(Relazione presentata al Convegno Nazionale su 'Informatica e riservatezza' del CNUCE - Pisa 26/27 settembre 1998)

LA NOZIONE DI DOCUMENTO INFORMATICO.

L'espressione documento informatico spesso viene utilizzata dai giuristi alternativamente (e quale indistinto sinonimo) di "documento elettronico", "atto in forma elettronica", "documento digitale", "forma magnetica".

Una tale varietà di espressioni è stata il frutto di elaborazioni di nozioni tecniche (a fini di collocazioni sistematiche nel mondo del diritto) troppo spesso con poca consapevolezza della reale portata tecnologica degli "oggetti" di cui si discuteva.

Di documento "informatico" si è, quindi, parlato con varie connotazioni ed a vari livelli: in primo luogo con riferimento alla predisposizione del contenuto dell'atto attraverso un sistema informatico, più o meno complesso, in modo manuale, utilizzando in questo modo il computer quale semplice word processor (come una macchina da scrivere); in una seconda accezione come atto elaborato da un sistema informatico, affidando alla macchina il compito di elaborare il testo, attraverso la predisposizione di dati e paragrafi predisposti ed il cui reperimento (in maniera del tutto automatica) permette di elaborare un documento giuridico compiuto, senza l'intervento del fattore umano; in terzo luogo attribuendo all'atto immediato valore giuridico all'insieme di dati ed informazioni anche se esistente soltanto sotto forma di registrazioni binarie (atto in forma elettronica), a prescindere dunque dalla sua stampa e firma.

LA NORMATIVA RELATIVA AL "DOCUMENTO INFORMATICO" ANTECEDENTE AL 1998.

Spesso il documento informatico è stato oggetto di approcci legislativi particolari che hanno fatti riferimento alla attività di produzione e di elaborazione dei sistemi informatici.

Prima della legge "Bassanini uno", si citavano diverse norme che sembravano affermare l'ammissibilità nel nostro ordinamento del documento amministrativo elettronico, e in particolare dell'atto amministrativo informatico

Vanno ricordate:
l'art. 22, comma 2, della legge 7 agosto 1990 n. 241, il quale considera documento amministrativo "ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti...";
l'art. 15-quinquies della legge n. 38/1990, in materia di sistemi automatici per il rilascio delle certificazioni di anagrafe e di stato civile da parte delle amministrazioni comunali si prevede la imitazione della firma autografa dell'ufficiale d'anagrafe o di stato civile con quella in formato grafico del sindaco o dell'assessore delegato;
art 6 quater del decreto legge 12 gennaio 1991 n. 6, convertito in legge dalla 1.15 marzo 1991 n. 80, il quale, con riferimento agli atti elettronici emanati dagli enti locali, detta una disposizione analoga a quella contenuta nell'art. 3 del d. L.vo n. 39/1993, con l'unica differenza che la validità del documento recante la indicazione a stampa del nominativo del soggetto responsabile, era prevista fino a querela di falso1;
art. 3 del decreto legislativo 12 febbraio 1993, n. 39, il quale disciplina l'atto amministrativo ad elaborazione elettronica e l'atto in forma elettronica. Tale norma considera ammissibile l'atto amministrativo predisposto elettronicamente (prevedendo comunque che sia poi stampato sul supporto cartaceo); inoltre considera valido anche l'atto amministrativo emanato elettronicamente (per via telematica dando valore legale alla firma apposta a stampa in calce all'atto "tirato fuori dall'elaboratore".

Se ne propone, qui, il testo integrale.

D.Lgs. 12 febbraio 1993, n. 39. (Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche). - Art. 3. 1. Gli atti amministrativi adottati da tutte le pubbliche amministrazioni sono di norma predisposti tramite i sistemi informativi automatizzati. 2. Nell'ambito delle pubbliche amministrazioni l'immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonché l'emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall'indicazione della fonte e del responsabile dell'immissione, riproduzione, trasmissione o emanazione. Se per la validità di tali operazioni e degli atti emessi sia prevista l'apposizione di firma autografa, la stessa è sostituita dall'indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile".

art. 2, comma 15, della legge n. 537/1993, (a fini di conservazione ed esibizione dei documenti per finalità amministrative e probatorie), considera valida l'archiviazione degli atti su supporto ottico, sempre che le procedure utilizzate siano conformi a regole tecniche dettate dall'Autorità per l'informatica nella pubblica amministrazione;
il DPR 20 aprile 1994, n. 367 (in tema di procedimenti di spesa e di contabilità, ha sancito la validità non solo del c.d. mandato informatico di pagamento (art. 6), ma di tutti "gli atti ed i documenti previsti dalla legge e dal regolamento sull'amministrazione del patrimonio e sulla contabilità generale dello Stato...", emanati in forma di evidenze informatiche (art. 2, comma 1; art. 12, per i visti ed i riscontri comunque collegati), prevedendo l'emanazione di apposite disposizioni regolamentari contenenti "le regole tecniche e gli standards delle procedure", ad opera dell'Autorità per l'informatica;
l'art. 1, comma 87, della legge 28 dicembre 1995, n. 549 (in materia di tributi regionali e locali) afferma la piena sostituibilità, sugli atti di liquidazione e di accertamento, della firma autografa con l'indicazione a stampa del nominativo del soggetto responsabile.
L'art. 11, comma 8, del D.P.R. 7 dicembre 1995, n. 581 (in materia di istituzione del registro delle imprese), dispone che l'iscrizione nel predetto registro consiste nell'inserimento nella memoria dell'elaboratore elettronico e nella messa a disposizione del pubblico sui terminali per la visura diretta, del numero dell'iscrizione e dei dati contenuti nel modello di domanda. Aggiunge il comma successivo che le iscrizioni (e le annotazioni) informatiche devono altresì indicare il nome del responsabile dell'immissione e l'annotazione del giorno e dell'ora dell'operazione.

In realtà, queste norme consentivano di affermare l'immediata ammissibilità soltanto dell'attività amministrativa predisposta elettronicamente.

In particolare, l'ultimo periodo del comma 2 del citato articolo 3 del d. leg.vo n. 39/1993, con formulazione in parte analoga a quella di cui all'art. 15-quinquies della legge n. 38/1990 (in materia di certificazioni di anagrafe e di stato civile delle amministrazioni comunali), prevede la mera sostituibilità della firma autografa con quella in formato grafico (indicazione a stampa del nominativo del soggetto responsabile), sancendone la piena equiparazione ai fini della validità dell'atto (o delle operazioni).

La prima formale nozione di "documento informatico" valida a fini penali (per la tutela dalle attività di falsificazione) è stata introdotta dalle legge 23 dicembre 1993 n. 547. La rilevanza di tale definizione (tuttora pienamente valida ed operativa) ha riguardato la estensione sia agli atti pubblici che alle scritture private.

ART. 491-bis. (Documenti informatici) Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.

LA NUOVA NOZIONE DI DOCUMENTO INFORMATICO.

Il quadro normativo è drasticamente mutato con, la legge 15 marzo 1997, n. 59, in materia di "Delega al Governo per il conferimento di funzioni e compiti alle regioni ed agli enti locali, per la riforma della pubblica amministrazione e per la semplificazione amministrativa".

Questa disciplina va inquadrata nell'ambito di una generale riforma e ristrutturazione della Pubblica Amministrazione. Recepisce inoltre le indicazioni dell'AIPA ("Autorità per l'informatica nella Pubblica Amministrazione") istituita con il decreto legislativo 12 febbraio 1993, n.39 (G.U. n.42 del 20/2/93), che ha studiato le fattibilità della Rete unitaria delle pubbliche amministrazioni, in coerenza con le prescrizioni della legge delega.

Art. 15, comma 2 della L. 59/97, "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge; i criteri di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare, entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell'articolo I 7, comma 2 della legge 23 agosto 1988 n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l'acquisizione del parere delle competenti Commissioni".

La legge n. 59, approvata il 15 marzo scorso, attribuisce, quindi, valore legale ad ogni effetto di legge ai documenti, agli atti, ai dati ed ai contratti formati dai privati e dalla pubblica amministrazione mediante strumenti informatici e trasmessi per via telematica (articolo 15, comma secondo). Si tratta di un'innovazione di portata eccezionale, non soltanto per l'introduzione nel nostro ordinamento di nuove forme di negozio (validità dei contratti stipulati per via telematica, trasmissione dei documenti per via telematica, firma digitale, con conseguenti implicazioni civilistiche, processuali, fiscali, contabili). Dal prossimo anno saranno sempre più diffusi i mandati di pagamento elettronici, utilizzando le reti telematiche per il trasporto delle informazioni, le pubbliche amministrazioni dovranno adottare protocolli informatici per la registrazione degli atti, gli atti ed i documenti della P.A. conterranno la firma digitale del loro autore.

Le pubbliche amministrazioni e, in particolare, il comparto centrale, dovranno dotarsi (entro il 31 dicembre 1998) di sistemi di registrazione informatica degli atti (cd. protocolli informatici) allo scopo di consentire l'immediato reperimento degli atti archiviati e l'accesso dei cittadini alle informazioni della pubblica amministrazione (già previsto dalla L.241/90).

Per la fornitura dei servizi e la necessaria assistenza alle amministrazioni interessate, la legge 127/97 (Bassanini-bis) ha istituito un Centro tecnico di assistenza, dotato di propria autonomia contabile ed organizzativa e strettamente collegato all'Autorità per l'informatica.

Il regolamento generale
Il 13 marzo 1988 è stato pubblicato (con molto ritardo rispetto alle attese) il D.P.R. 10 novembre 1997 n. 513 denominato Regolamento contenente i criteri e le modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici.

Con tale regolamento finalizzato principalmente a riorganizzare la macchina burocratica (la norma delegante si inquadra nel filone della riforma della pubblica Amministrazione) si sono introdotti nell'ordinamento giuridico criteri di amplissima portata validi sia per il settore pubblico che privato. Vengono difatti, indicati, per la prima volta, i criteri giuridici oggettivi ai quali dovranno sottostare i documenti informatici e le modalità con le quali i contratti di compravendita dovranno essere sottoposti.

Il regolamento è diviso in 3 Capi per un totale di 22 articoli.
Il Capo I intitolato Principi Generali presenta i principi generali e le definizioni giuridiche dei termini che sono poi oggetto del regolamento (art. 1-9); il Capo II titolato La firma digitale (art. 10-I9) spiega in modo dettagliato i criteri della firma digitale e il suo ruolo fondamentale per la validità di ogni documento informatico; inoltre presenta per la prima volta un articolo che regolamenta i contratti stipulati per via informatica e i documenti informatici della Pubblica amministrazione; il Capo III, Norme di attuazione, (art. 20-22) riguarda infine il piano di sviluppo dei sistemi informativi automatizzati da parte delle pubbliche amministrazioni.

Principi generali (art 1-9)
L'art. 1 "Definizioni" è estremamente articolato. Viene definita la forma digitale di un documento, equiparata alla forma scritta che, di conseguenza, avrà la medesima efficacia probatoria della scrittura privata e cioè fa piena prova della sua provenienza da chi l'ha sottoscritta. Vi è la definizione di firma digitale, quale risultato di una procedura informatica basata sul sistema di chiavi asimmetriche.

Viene fornita anche la definizione di chiave biometrica, che può verificare l'identità personale, attraverso l'analisi delle peculiarità fisiche: impronte digitali, palmari, timbro vocale, reticolo retinico potranno essere utilizzati nei casi in cui occorra livelli più elevati di sicurezza.

Viene, inoltre definito l'indirizzo elettronico come "l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici"

L'articolo 2 "Documento informatico" precisa la validità e rilevabilità a tutti gli effetti di legge del documento informatico se rispondente ai requisiti richiesti; l'articolo 3 "Requisiti del documento informatico" stabilisce l'emanazione delle regole tecniche e il loro adeguamento, con cadenza biennale, sulla base dell'evoluzione delle conoscenze scientifiche e tecnologiche. Viene previsto, quindi, un criterio interno di aggiornamento, senza necessità di ricorrere a fonti normative primarie che rallenterebbero di fatto tale adeguamento rispetto alle nuove tecnologie emergenti.

L' art. 4 "Forma scritta" stabilisce il requisito legale della forma scritta per il documento informatico munito dei requisiti previsti dal regolamento informatico rientrando cosi direttamente nella previsione dell'art. 1350 del codice civile, mentre l'art. 5 "Efficacia probatoria del documento informatico", sancisce i requisiti per l'efficacia probatoria del documento che, avendo valore di scrittura privata, ottempera all'art. 2702 e agli art. 2712 e 2214 del codice civile.

L'art. 6 "Copie di atti e documenti", parifica la validità giuridica della copia informatica agli atti cartacei ai sensi degli art. 2714 e 2715 del codice civile se il pubblico ufficiale che attesta la conformità della copia digitale a quella cartacea appone la sua firma elettronica. Inoltre descrive in quale modo la copia informatica, se autenticata da un notaio o altro pubblico ufficiale autorizzato sostituisca l'originale da cui è tratto.

L' art. 7 "Deposito della chiave privata" prevede le modalità in base alle quali il titolare può depositare in forma segreta la sua chiave privata e l'art. 8 "Certificazioni" dispone che chiunque voglia utilizzare il sistema delle chiavi asimmetriche deve munirsi della coppia di chiavi, una pubblica e l'altra privata e depositare la chiave pubblica presso un certificatore autorizzato. Nella trasmissione di un documento possono essere compresi oltre i dati che identificano il mittente anche la data e l'ora di composizione della scrittura: il documento in tal modo si "autocertifica", in quanto qualsiasi alterazione dei bit dopo la cifratura rende impossibile l'operazione inversa. Il contrassegno digitale applicato a una scrittura la trasforma in un documento opponibile a terzi e con il valore probatorio stabilito dall'art. 5 che stabilisce che il documento informatico sottoscritto con firma digitale ha sia efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile che degli art. 2712 e 2714.

L'art. 9 "Responsabilità civile" disciplina la responsabilità per i danni che possono essere causati con l'uso di un sistema di cifratura: viene stabilita l"inversione" dell'onere della prova, per la quale non è il danneggiato che deve provare il nesso di causalità tra l'azione e il danno, ma è colui che ha generato il danno che deve provare di aver preso tutte le misure idonee a evitarlo.

La firma digitale (art 10-19)
L'art. 10 "Firma digitale", specifica i criteri giuridici per i quali una firma elettronica è valida dal punto di vista giuridico e sostituisce a tutti gli effetti la sottoscrizione autografa; questo articolo è di centrale rilevanza perché si raccorda ai vari articoli del regolamento.

L'art. 11 "Contratti stipulati con strumenti informatici o per via telematica" estende al settore privato la validità del documento informatico e stabilisce che "i contratti stipulati con strumenti informatici" hanno validità giuridica. Tale norma ha una portata potenzialmente vastissima in quanto riconnette la configurabilità giuridica di tutti i contratti muniti di firma digitale. Il comma 2 stabilisce inoltre che "Ai contratti indicati al comma 1 si applicano le disposizioni previste dal decreto legislativo 15 gennaio 1992 n. 50". Il D.Lgs. n. 50 del 1992 ha introdotto una nuova forma di tutela del consumatore, che consiste nel diritto di recesso a suo favore ogni qual volta il contratto sia stato negoziato fuori dei locali commerciali e dalla scelta del foro competente (art. 12); va notato che nello schema precedente redatto dall'AIPA era previsto all'art. 11 comma 2 anche l'applicazione degli articoli 1469 bis e seguenti del codice civile. Nella versione approvata dal Consiglio dei Ministri tali articoli sono stati omessi, in quanto gli articoli suddetti del codice civile si applicheranno anche a prescindere dal loro esplicito richiamo.

L'art. 12 "Trasmissione del documento", stabilisce le modalità con le quali si considera trasmesso il documento informatico, attraverso l'indirizzo elettronico nonché la certificazione della data e dell'ora sia di trasmissione che di ricezione. Tali riferimenti hanno valore probatorio, determinando il meccanismo di una sorta di "ricevuta di ritorno" digitale del documento elettronico redatto con le caratteristiche di cui alla legge e al suo regolamento di attuazione. Il comma 3 stabilisce che se la trasmissione di un documento informatico per via telematica avviene in modo tale da assicurare l'avvenuta ricezione, essa equivale alla notificazione a mezzo posta. Questo comma sarà certamente di futura applicazione nell'ambito di diritto processuale sia civile che penale; tale sistema di notifica accelera e snellisce le varie fasi processuali e può costituire uno strumento tecnico di un certo rilievo per il sistema processuale.

L'art. 13 "Segretezza della corrispondenza trasmessa per via telematica" si occupa della segretezza della corrispondenza trasmessa per via telematica la cui appartenenza è del mittente sino a quando non sia avvenuta la consegna al destinatario.

L'art. 14 "Pagamenti informatici" si occupa dei pagamenti in via telematica. Pertanto tale punto sarà oggetto di successivi regolamenti, mentre l'art. 15 "Libri e scritture", dispone che i libri, i repertori e le scritture a tenuta obbligatoria possono essere conservati ed archiviati su supporto informatico, sempre in riferimento all'art. 3 e quindi con successivi dispositivi tecnici da emanare.

L'art. 16 "Firma digitale autenticata", dispone il riconoscimento, ai sensi dell'art. 2703 del codice civile, della firma digitale autenticata, la cui autentica è apposta dal notaio o da un pubblico ufficiale autorizzato. Questo vuol dire che tali regole valgono per tutti gli atti notarili e la legge prescrive che per alcuni atti, detti di "straordinaria amministrazione", come la compravendita di immobili, la semplice firma non basta, o ad esempio una procura che deve essere data ad un notaio che si trova in un'altra città può essere autenticata e trasmessa nelle modalità consentite. Occorre che un pubblico ufficiale (notaio, segretario comunale o un altro soggetto autorizzato) certifichi che la firma è stata apposta in sua presenza, dopo essersi accertato dell'identità del soggetto e di altri requisiti del soggetto stesso e dell'atto che viene sottoscritto. L'articolo 16 estende queste disposizioni al documento digitale, sottolineando che il pubblico ufficiale deve accertarsi che la chiave utilizzata sia valida e che il documento non vada in contrasto con l'ordinamento giuridico.

L'art. 17 "Chiavi di cifratura della pubblica amministrazione" prevede che ogni pubblica amministrazione provveda autonomamente alla generazione, conservazione, pubblicazione e utilizzo delle chiavi di propria competenza.

L'art. 18 "Documenti informatici della pubblica amministrazione", riguarda in particolare il documento informatico nella P.A., che diventa il requisito essenziale per il funzionamento della rete unitaria e lo strumento per applicare le previsioni della legge 241/90 sulla trasparenza amministrativa e assicurare al cittadino il diritto di accesso ai documenti.

L'art. 19 "Sottoscrizione dei documenti informatici delle pubbliche amministrazioni" stabilisce la validità giuridica a tutti gli effetti di legge della firma digitale (art. 19).

Il Capo III prevede la creazione di una rete unitaria della P.A. che entro 5 anni, a partire dal 1 gennaio 1998, dovrà realizzare i sistemi informativi per la totale automazione dei dati e procedimenti burocratici. Si tratta quindi di ridisegnare uno schema di enorme complessità, compiendo un grande sforzo intellettuale per superare la cultura "cartacea". Il termine di 5 anni sembra, allo stato, poco realistico. Tale cambiamento tecnologico e culturale dovrà inoltre essere legato ad una rapida alfabetizzazione informatica della società civile

LA NORMATIVA IN GESTAZIONE

Sono numerosi gli atti normativi in corso di elaborazione

  • Regolamento delle norme tecniche attuative (l'AIPA ne ha approvato il 6 agosto 1998 una bozza che ha pubblicato sul suo sito Internet WWW.AIPA.IT).
  • Regolamento sul trattamento fiscale degli atti realizzati attraverso l'uso della firma digitale (da pubblicare)
  • Regolamento per il protocollo informatico elettronico nella P.A. (da pubblicare-imminente)
  • Regolamento sulla fornitura di servizi da utilizzare per la chiave privata da inserire nella carta di identità informatizzata.
  • Regolamento per i rapporti della P.A. con i privati
  • Regolamento per il centro tecnico di assistenza per la rete unitaria della P.A.
  • Regolamento misure di sicurezza per la protezione dei dati personali
  • Regolamento misure di sicurezza nei sistemi informativi della P.A. (art. 7 D.L.vo 12.2.93 n. 39)

    LE NORME DI CERTIFICAZIONE E DI AUTENTICAZIONE

    L'attività di certificazione e di autenticazione
    Un punto essenziale per l'architettura dell'intero sistema della firma elettronica riguarda la certezza per l'applicabilità del sistema asimmetrico.

    E' stata prevista la esistenza di appositi enti di certificazione (dotati di caratteristiche di affidabilità molto elevate: i requisiti sono corrispondenti a quelli dell'esercizio di attività bancaria) che controlleranno a scadenze periodiche non superiori a tre anni, che le chiavi pubbliche corrispondano effettivamente ai soggetti titolari cui esse appartengono.

    Mentre l'attività di certificazione (art. 8) attribuisce solo un collegamento (sia pur certificato) tra una coppia di chiavi (pubblica e privata) ed un determinato soggetto (identificato come persona o come ente), senza, però, attribuire ai documenti concreti emessi con quella chiave privata la certezza che il documento sia stato realizzato proprio da quella persona, al contrario la "autenticazione" della firma digitale privata (eseguita da un pubblico ufficiale autorizzato) realizza un collegamento probatorio (con validità di firma "riconosciuta") tra la firma digitale (apposta in presenza di un notaio) ed una determinata persona identificata fisicamente da notaio o dal pubblico ufficiale. Costui provvederà alla identificazione fisica della persona presente innanzi a lui e successivamente (utilizzando l'apparecchiatura idonea, conforme alle specifiche delle norme tecniche dettate in tema di firma digitale) verificherà la validità della chiave e che il documento corrisponda alla volontà della parte.

    La tecnologia della chiave pubblica e privata

  • la certificazione dell'utente
  • generazione della coppia di chiavi
  • certificazione della chiave pubblica
  • registrazione della chiave pubblica

    La tecnologia della cifratura del documento
    I momenti generativi della produzione del documento firmato attraverso la firma digitale si possono cosi sintetizzare:

  • redazione del documento (attraverso un programma informatico generico)
  • generazione dell'impronta del documento (hash)
  • ottenimento di una stringa binaria ridotta (l'impronta univoca per quel documento)
  • generazione della firma consistente nell'applicare la cifratura della chiave privata ("asimmetrica") alla sola impronta e non a tutto il documento
  • eventuale ulteriore cifratura dell'intero documento (per assicurame la segretezza) con chiave "simmetrica".

    LA STESURA DEI CONTRATTI (TRA PRIVATI).

    Il commercio elettronico sulla rete.
    I cataloghi on line e la struttura della proposta contrattuale (l'offerta al pubblico)
    La modalità di pagamento con carta di credito.
    Il sistema Telepay.
    La localizzazione della formazione del contratto.
    La applicabilità della disciplina delle vendite fuori dei locali commerciali (L.15.6.1992 n. 50)

    LE RESPONSABILITÀ CIVILI PER I DANNI CAUSATI NELL'UTILIZZO DI SITEMI DI FIRMA DIGITALE.

    L'art.9 del regolamento delinea l'ambito dei livelli di responsabilità dell'utilizzatore di sistemi di firma elettronica. Il primo comma stabilisce che "chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale è tenuto ad adottare tutte le misure organizzative e tecniche idonee per evitare danno ad altri". Una tale norma si colloca nel sistema civilistico italiano nel filone di quella responsabilità c.d. "aggravata" che impone a determinati soggetti (che svolgono determinate attività o sono in rapporto con taluni soggetti od oggetti) una forma di particolare cautela delle loro condotte tale da comportare, nel caso che si realizzi una attività dannosa per terzi, un onere invertito (variamente graduato) nella dimostrazione della propria "non responsabilità".

    La terminologia adoperata è la stessa utilizzata nel codice civile per qualificare il livello di responsabilità gravante su colui che esercita una attività pericolosa (art. 2050 c.c.). Il richiamo non è esplicito, come è avvenuto (non senza polemiche) con la legge 675/96 (art. 18) ma, in considerazione dei medesimi termini adoperati la conclusione non può che essere la medesima. L'utilizzo di una chiave asimmetrica costituisce una sorta di "attività pericolosa" per la quale le cautele da adottarsi debbono porsi a livelli particolarmente elevati e la "idoneità" delle misure adottate deve essere provata da chi ha utilizzato i relativi dispositivi tecnologici.

    LE RESPONSABILITÀ PENALI NELLA GESTIONE DEI DOCUMENTI ELETTRONICI.

    Il falso informatico.
    L'introduzione della firma digitale dovrebbe rendere molto più ardua la realizzazione di un "falso materiale" ovverosia della indebita alterazione di un documento originariamente vero. In sostanza si può affermare che, allo stato dell'attuale tecnologia della chiave asimmetrica, si vedrà scomparire la possibilità di un "falso materiale".

    Il meccanismo della chiave asimmetrica comporta la assoluta intangibilità del documento originale sottoscritto con la firma crittografata con la chiave privata. Non possono sussistere documenti veri con firma digitale falsa o viceversa.

    Tuttavia le falsità (contro il pericolo delle quali si sta movimentando l'intero apparato tecnologico facente capo ai circuiti internazionali delle carte di credito) saranno sempre possibili soprattutto attraverso il meccanismo del reperimento abusivo delle chiavi private o la falsa certificazione di tali chiavi. Entreranno in gioco ipotesi di reato diverse da quelle della falsità materiale per alterazione. In particolare l'accesso abusivo in sistemi informatici (per procurarsi le chiavi private) e la diffusione abusiva delle chiavi.

    L'accesso abusivo in un sistema informatico.
    Al codice penale è stato aggiunto l'art. articoli 615-ter che porta come rubrica "Accesso abusivo ad un sistema informatico o telematico". La normativa è stata inserita nella sezione del codice penale relativa alla l'inviolabilità del domicilio ritenendosi, secondo la relazione al disegno di legge, che sistemi informatici o telematici costituiscono "un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantito dall'articolo 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli articoli 614 e 615 del codice penale".

    La norma sanziona penalmente l'accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza o il mantenimento in esso contro la volontà espressa o tacita dell'avente diritto.

    La pena è della reclusione da uno a cinque anni.

    L'accesso al quale fa riferimento la norma in esame è non è quello "fisico" previsto dagli articoli 614 e 615 cod. pen.) bensì quello "elettronico" o "telematico".

    Per comprendere appieno il concetto di "accesso abusivo" occorre prendere in considerazione che il "sistema informatico o telematico" costituito da apparecchiature elettroniche (hardware) e da programmi (software) e dati non è "fisicamente" penetrabile.

    L'accesso a tali sistemi avviene, secondo le normali modalità di utilizzo da parte di coloro che sono autorizzati ad utilizzarli, attraverso apposite apparecchiature (terminali, computers,) che costituiscono i "ponti" di ingresso al sistema stesso e che permettono di interagire con i dati ed i programmi contenuti.

    L'accesso è quindi un'attività che, pur non essendo completamente priva di "fisicità" (in quanto, nella fase dell'attuale tecnologia, produce, comunque, flussi guidati di correnti elettriche o luminose) non è, evidentemente, caratterizzata dagli elementi tipici della fattispecie della "violazione di domicilio".

    Gli accessi abusivi sono resi più facili quando il sistema è collegato ad una rete telematica per cui l'accesso è svincolato dalla contiguità fisica tra colui che accede al sistema informatico e le apparecchiature ove si trovano i dati ed i programmi.

    Il legislatore, prevedendo una ipotesi aggravata caratterizzata dalla "violenza sulle cose o alle persone" o che l'agente sia "palesemente armato" sembra voler prendere in considerazione un accesso fisico dell'agente all'interno di una struttura informatica.

    In realtà la norma sanziona esclusivamente l'accesso "virtuale" all'interno del sistema. Se taluno, infatti si introducesse con armi all'interno di un centro di calcolo universitario al fine di distruggerlo fisicamente non risponderebbe del delitto di cui all'art. 615-ter, ma bensì del delitto di "violazione di domicilio" (614 cod. pen.) in concorso con il delitto di attentato ad sistemi informatici di pubblica utilità (art. 420).

    Detenzione e diffusione abusiva dei codici di accesso
    L'articolo 615-quater punisce l'abusiva acquisizione ("si procura") in qualunque modo e diffusione ("riproduce, diffonde, comunica o consegna") di "codici di accesso" (codici, parole chiave o altri mezzi idonei all'accesso) a sistemi informatici o telematici protetti da misure di sicurezza.

    Alle ipotesi precedenti è equiparato il fornire le indicazioni o le istruzioni idonee allo scopo.

    Per la configurabilità del delitto è richiesto il dolo specifico, consistente nel fine di procurare un profitto a sè o ad altri, o di arrecare ad altri un danno.

    La condizione di realizzazione della fattispecie criminosa è rappresentata dalla circostanza che i sistemi informatici siano difesi da "misure di sicurezza" (per la relativa nozione vedi in sede di commento all'art. 615-ter).

    Si può osservare che la condizione menzionata, nella struttura della fattispecie criminosa è superflua, dal momento che la stessa esistenza dei "codici di accesso" rende implicita la esistenza di "mezzi di protezione" previsti dalla norma.

    La sanzione è, quindi, ricollegata ad un comportamento di pura condotta (indipendentemente dal realizzarsi dell'evento) che viene ritenuto, di per sè, pericoloso con riferimento alla potenziale capacità di ingresso abusivo nei sistemi informatici.

    Nella relazione alla legge si è evidenziato che la previsione è, per un certo verso, analoga a quella di cui al terzo comma dell'articolo 9 della legge 8 aprile 1974, n. 98 che sanziona chiunque mette in circolazione apparecchi o strumenti idonei in modo ad operare riprese di immagini o le intercettazioni di comunicazioni o conversazioni vietate da articoli 615-bis e 617 del codice penale.

    La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater.

    Le ipotesi aggravate sono:

  • -acquisizione o diffusione di codici di accesso ad un sistema informatico o telematico utilizzato dalla Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;
  • - acquisizione o diffusione di codici di accesso da parte di un pubblico ufficiale o da un incaricato di pubblico servizio, ovvero con la qualità di operatore del sistema.

    L'oggetto della tutela della norma in esame è costituito da tutti quei mezzi che permettono di accedere ad un sistema informatico o telematico.

    La norma li definisce come "codici o parole chiave", e, comunque, con una espressione di chiusura, estremamente elastica, come tutti gli "altri mezzi idonei all'accesso".

    La fattispecie può essere, comunque, realizzata in varie modalità:
    1) procurarsi: viene punita l'attività di colui che si procura tali codici; l'attività di procurarsi tali codici può concorrere con quella di chi li comunica o li cede, ma potrebbe anche essere attuata senza cooperazione di altre condotte criminose;
    2) riproduzione: la riproduzione consiste nell'attività di realizzazione di una copia abusiva (idonea all'uso) di un codice di accesso.
    3) diffusione, comunicazione o consegna : tale forma di condotta concerne la divulgazione a terzi o anche al pubblico indifferenziato (senza che sia necessario individuare una particolare persona) dei codici o delle parole chiave. Tale forma di condotta può riguardare sia i codici che ci si è procurati abusivamente (ed in tal caso si configurerebbe un concorso di reati (quasi sempre connessi con il vincolo della continuazione), ma potrebbe anche configurare un delitto autonomo se commesso dal legittimo titolare del codice di accesso che lo comunichi abusivamente (ossia fuori dei poteri che gli sono stati attribuiti) ad altri. Va notato che in quest'ultimo caso il delitto è aggravato ai sensi dell'ultimo comma (in quanto chi è in possesso del codice riveste, di norma, la qualità di "operatore del sistema").
    4) fornire indicazioni o istruzioni idonee: il delitto può realizzarsi anche attraverso quelle informazioni tecniche riservate che, pur non consistendo direttamente nella comunicazione o consegna del codice di accesso, svelino il metodo attraverso il quale si possa raggiungere il medesimo scopo (eventualmente aggirando le barriere di protezione con metodologie volte a neutralizzare i sistemi di protezione).

    1)Va notato che l'atto amministrativo elettronico nasce legislativamente nell'ambito delle autonomie locali, tradizionalmente più pronte nell'identificare nuovi strumenti di snellimento e di accelerazione dell'azione amministrativa.