Sarà possibile attribuire valore giuridico ai documenti formati su supporto informatico ed inviati attraverso le reti informatiche? In particolare i privati cittadini e gli imprenditori potranno beneficiare delle agevolazioni offerte dalla tecnologia informatica per scambiarsi documenti giuridicamente rilevati e per concludere rapporti contrattuali validi a tutti gli effetti? Si potranno intrattenere rapporti, presentare domande e richiedere autorizzazioni alla Pubblica Amministrazione attraverso la posta elettronica?

Sembra proprio di poter rispondere positivamente a queste domande dopo che il legislatore, nell'ambito delle procedure per la semplificazione dei rapporti tra i privati e la pubblica amministrazione, ha introdotto nell'ordinamento giuridico italiano alcuni principi di rilevante importanza, la cui portata profondamente innovativa potrà essere apprezzata pienamente soltanto negli anni a venire.

In particolare l'articolo 15, comma secondo, della Legge 15 marzo 1997, n. 59, meglio nota come "Legge Bassanini", ha stabilito, innanzitutto, il fondamentale principio secondo cui "gli atti, i dati e i documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme , nonché la loro archiviazione trasmissione con strumenti informatici e telematici, sono validi e rilevanti ad ogni effetto di legge."

Questa norma afferma - con la solennità propria dei principi generali - il valore e l'efficacia "ad ogni effetto di legge" degli atti e dei documenti formati con strumenti informatici e trasmessi per via telematica. Una volta affermata la generale validità del documento informatico - come informazione originale e primaria generata dal calcolatore - occorre verificare le modalità di attuazione di questo principio e, in particolare, le condizioni tecniche e giuridiche che consentono di attribuire con certezza il documento informatico al suo autore.

I problemi tecnici: la crittografia asimmetrica e la firma elettronica

Nel mondo della carta, la sottoscrizione autografa (cioè la firma) apposta dal privato in calce al documento esprime sino a prova contraria il consenso del firmatario sul contenuto dell'atto sottoscritto.

Nel mondo informatico, invece, il problema della sottoscrizione elettronica viene affrontato e risolto in modo sostanzialmente differente.

Infatti è bene chiarire subito, per evitare equivoci e fraintendimenti che la firma autografa e la firma elettronica sono due cose sostanzialmente diverse:

a) la firma autografa è un "segno" che una persona appone in calce alle proprie dichiarazioni con lo scopo di attestare, attraverso la riconoscibilità della grafia, la personale provenienza della dichiarazione stessa,

b) la firma elettronica, invece, è un metodo di attribuzione della paternità e di garanzia della riservatezza di un documento informatico che si basa su un procedimento tecnico fondato sui principi individuati dalla crittografia moderna.

Ma, allora, che cosa è la cosiddetta firma elettronica?

In pratica il nuovo metodo consiste nell'applicare ad un documento accessibile a chiunque (che il gergo tecnico qualifica come "documento in chiaro") una chiave di cifratura che scomponga il testo in una sequenza di caratteri non immediatamente comprensibili. Dopo questa operazione di "criptazione" solo il possessore della chiave può decifrare il documento, attraverso il processo che tecnicamente si definisce decifrazione.

Il meccanismo fin qui descritto è quello solitamente utilizzato dalla crittografia classica (che ha avuto ampia applicazione nel settore della sicurezza militare, basandosi sull'uso di un "codice" per i messaggi cifrati, situazione ben nota agli appassionati di spy stories). Tuttavia questo sistema presenta il grande inconveniente di basare la sicurezza su un'unica chiave, per cui è sufficiente che qualcuno scopra la chiave per decifrare il messaggio, rendendone possibile anche l'alterazione e mettendone in dubbio la paternità..

Per ovviare a questo inconveniente si è cercato di realizzare un sistema che garantisse maggiormente:

a) la riservatezza e l'inviolabilità del documento

b) l'integrità dei dati contenuti nel messaggio

c) l'autenticità della provenienza del documento

d) l'impossibilità di disconoscere la trasmissione o la ricezione del documento stesso (cosiddetto "non ripudio").

Un'adeguata risposta a queste esigenze legate all'attribuzione di valore giuridico ai documenti elettronici è stata offerta da un nuovo sistema di crittografia (individuata da due ricercatori statunitensi W. Diffie e M. Hellmann) che si basa sulla teoria della "coppia inscindibile di chiavi asimmetriche".

In pratica questo metodo di crittografia si basa sui seguenti principi:

1) ogni utilizzatore ha a disposizione una coppia di chiavi per la cifratura;

2) ogni chiave può essere indifferentemente utilizzata per cifrare o per decifrare;

3) la conoscenza di una delle due chiavi non fornisce alcuna informazione sull'altra chiave.

In pratica chi vuole utilizzare un sistema di firma elettronica si deve munire di una coppia di chiavi asimmetriche. Dovrà quindi renderne pubblica una, mediante il deposito presso un registro accessibile per via telematica (mediante la rete INTERNET) . La seconda chiave resterà invece segreta (è la cosiddetta chiave "privata").

A questo punto, a seconda delle diverse esigenze dell'utilizzatore, mediante il ricorso a questa coppia di chiavi sarà possibile garantire di volta in volta la riservatezza, l'integrità dei dati, l'autenticità ed il non ripudio del documento informatico inviato attraverso una rete telematica (ad esempio per posta elettronica).

Così se qualcuno vuole inviare un documento che deve rimanere riservato, cioè comprensibile al solo destinatario, dovrà prelevare dal registro accessibile a tutti la chiave pubblica del destinatario e, con questa, cifrare il testo. Il destinatario, una volta ricevuto il documento, utilizzando la sua chiave privata può avere la certezza di essere l'unica persona che può accedere al documento in chiaro (in quanto solo lui dispone della coppia di chiavi che rende leggibile il documento).

Se invece un soggetto vuole inviare un documento che non desidera resti riservato ma vuole invece garantire al destinatario che quel documento proviene effettivamente da lui dovrà comportarsi in questo modo: cifrerà il documento con la propria chiave privata ed il destinatario, quando lo riceve, prelevando la chiave pubblica del mittente potrà decifrare il documento ed avere la certezza che esso proviene proprio dal mittente (il quale è l'unico soggetto che dispone della sua chiave privata).

Ovviamente queste due modalità si possono utilizzare congiuntamente nel caso in cui un soggetto voglia garantire tanto la riservatezza quanto l'autenticità del documento.

Come si vede la crittografia asimmetrica presenta quelle doti di flessibilità ed affidabilità che sono il presupposto tecnico necessario per attribuire pubblica fede ai documenti informatici. Tanto più che un'ulteriore applicazione consente, attraverso la cosiddetta marcatura temporale, di eliminare i dubbi anche sulla data e sull'ora del documento inviato attraverso la rete telematica.

Si è detto, inoltre, che - secondo i principi della crittografia moderna di Diffie ed Hellmann - la conoscenza della chiave pubblica non deve fornire alcuna informazione utile per la ricostruzione della chiave privata corrispondente, e questo principio vale soltanto per chiavi di una certa lunghezza. Le chiavi troppo brevi, infatti, non resistono a lungo al processo di decifrazione (tecnicamente viene definito "criptoanalisi") , che è favorito dalla disponibilità a basso costo di potenze di calcolo sempre maggiori.

In estrema sintesi, dunque, il sistema funziona a condizione che la chiave pubblica sia "certificata" e che la coppia inscindibile di chiavi sia di lunghezza (calcolata in bit) adeguata a garantirne una sufficiente robustezza sulla base delle potenze di calcolo disponibili.

La procedura di certificazione

E' per questi motivi, dunque, che è necessario affidare la validità dell'intero processo ad una "procedura di certificazione". Le chiavi asimmetriche di cifratura hanno una durata limitata e possono essere sospese o revocate dal loro titolare (analogamente a quanto avviene, sotto altro profilo, per le carte di credito). Il deposito della chiave pubblica deve essere effettuato presso un soggetto in grado di assicurare la corretta manutenzione del sistema di certificazione e - in particolare - in grado di garantire l'accesso telematico al registro delle chiavi pubbliche. Si tratta di una attività di grande importanza e delicatezza, che deve essere affidata a soggetti dotati di adeguati requisiti tecnici e di affidabilità.

Conseguentemente è essenziale, come prevede il regolamento attuativo della "Legge Bassanini", che le attività di certificazione siano effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto, tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione. I certificatori privati devono avere forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria. Devono inoltre:

a) dimostrare il possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche;

b) affidare le attività di certificazione a responsabili tecnici che, per competenza ed esperienza comprovate, siano in grado di rispettare le norme e le regole tecniche previste dal regolamento;

c) dimostrare la qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale.

La procedura di certificazione può essere svolta anche da un certificatore operante sulla base di licenza o autorizzazione rilasciata da altro Stato membro dell'Unione europea o dello Spazio economico europeo, sulla base di equivalenti requisiti.

Peraltro va ricordato che chiunque intenda utilizzare un sistema di chiavi asimmetriche per la firma digitale, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

Il certificatore, in particolare, è tenuto a :

a) identificare con certezza la persona che fa richiesta della certificazione;

b) rilasciare e rendere pubblico il certificato;

c) specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite;

d) attenersi alle regole tecniche stabilite con l'apposito decreto indicato alla lettera b);

e) informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi;

f) attenersi alle norme sulla sicurezza dei sistemi informatici e a quelle sul trattamento dei dati personali;

g) non rendersi depositario di chiavi private;

h) procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare , di sospetti abusi o falsificazioni;

i) dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche;

j) dare immediata comunicazione all'Autorità per l'informatica nella pubblica amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attività e della conseguente rilevazione della documentazione da parte di altro certificatore o del suo annullamento.

Non è il caso, evidentemente, di soffermarsi sull'analisi tecnico-giuridica di ciascuno dei predetti obblighi. Può essere utile osservare, comunque, che l'inosservanza da parte del certificatore, degli obblighi inerenti alle misure minime di sicurezza per la tutela dei dati personali (previsti dagli articoli 15, comma 2, e 36 della legge 31 dicembre 1996, n. 675) dà luogo a responsabilità penale.

Il valore giuridico del documento elettronico

Passiamo ora ad analizzare brevemente gli effetti giuridici del meccanismo tecnico che abbiamo sommariamente descritto.

Il documento informatico, se conforme alle regole tecniche, e sottoscritto dal suo autore con l'uso della firma digitale, ha efficacia di scrittura privata (art. 2702 del codice civile), e, qualora costituisca riproduzione di altro documento, soddisfa il requisito della forma scritta ed ha la stessa efficacia probatoria degli originali formati su carta (art. 2712 del codice civile). Una volta risolto, con l'adozione del sistema di firma digitale, il problema della univoca identificazione dell'autore, il documento formato su supporti informatici ha il valore di atto originale, cui la legge attribuisce piena efficacia giuridica. Pertanto l'apposizione di firma digitale sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere. La copia informatica, dell'originale formato su carta, può sostituire ad ogni effetto di legge l'originale cartaceo da cui è tratto se è rilasciata da pubblici depositari autorizzati che attestino la conformità all'originale con la apposizione della loro firma digitale, analogamente a quanto dispongono gli articoli 2714 e 2715 del codice civile per i documenti formati su carta. Peraltro devono ancora essere stabilite le modalità tecniche con cui il pubblico ufficiale può dichiarare la conformità delle copie al loro originale.

Gli obblighi fiscali inerenti ai documenti informatici (ivi comprese le copie informatiche di atti formati in origine su carta) dovranno essere assolti, infine, con modalità tecniche diverse da quelle, attualmente in uso, utilizzate per il computo dei fogli cartacei. La definizione di queste modalità è rimessa ad un decreto del competente Ministro delle Finanze, che fissa i parametri tecnici di questo sistema di archiviazione.

A conclusione di questo rapido sguardo d'orizzonte delle principali innovazioni introdotte dall'articolo 15 della legge Bassanini, può dirsi, dunque, che il principio fissato nel nostro ordinamento impone di adattare le norme vigenti (in particolare la disciplina in materia di efficacia probatoria degli atti e dei documenti del codice civile) alle nuove realtà informatiche e telematiche. La principale novità consiste, per i privati cittadini, nell'equiparazione del documento informatico, sottoscritto con l'uso della cosiddetta firma digitale, alla scrittura privata e, per la pubblica amministrazione, nella definizione degli atti e dei documenti informatici delle pubbliche amministrazioni come "informazione primaria ed originale, da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni o copie per gli usi consentiti dalla legge".

In particolare, come è stato osservato, nella Pubblica Amministrazione si prospetta una "rivoluzione copernicana" in quanto viene invertito il rapporto che oggi lega gli originali (cartacei) con le copie (su supporti informatici, a mero scopo di archiviazione), consentendo ed incoraggiando, tra l'altro, il totale recupero su supporti informatici degli ingombranti e poco funzionali archivi cartacei che caratterizzano gli uffici pubblici. Altra novità di rilievo è costituita dal regime delle copie su supporto informatico, che sostituiscono ad ogni effetto di legge gli originali da cui sono tratte se la loro conformità all'originale è certificata da un notaio o da altro pubblico ufficiale autorizzato.

Infine, la sottoscrizione autografa del funzionario responsabile, in tutti i documenti della pubblica amministrazione in cui è prevista, viene sostituita con la firma digitale. Entro cinque anni dall'entrata in vigore del regolamento indicato dalla Legge Bassanini sarà possibile, pertanto, acquistare immobili o automobili senza muoversi da casa, inoltrare attraverso una rete pubblica di telecomunicazioni una domanda di concorso - per la quale già oggi non è più necessaria la firma autenticata -, costituire una società attraverso la posta elettronica e richiedere ed ottenere dalla pubblica amministrazione certificati trasmessi per via telematica, evitando di sopportare inesauribili code e di perdere giornate lavorative per gli adempimenti burocratici.

E' importante, quindi, che i privati acquistino consapevolezza di queste nuove opportunità che l'ordinamento giuridico mette loro a disposizione e si organizzino per tempo al fine di rendere concrete quelle aspirazioni che, fino a poco fa , appartenevano esclusivamente al mondo dei sogni.

Glossario sul documento informatico

documento informatico	la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
firma digitale	il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
sistema di validazione	il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità;
chiavi asimmetriche	la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici;
chiave privata	l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica.
chiave pubblica	l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi;
chiave biometrica	la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente;
certificazione	il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni;
validazione temporale	il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi;
indirizzo elettronico	l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici;
certificatore	il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati

Milano, ottobre 1997

LEGGE 15 MARZO 1997 N. 59, Art. 15, comma 2

Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge; i criteri di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare, entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell'articolo 17, comma 2 della legge 23 agosto 1988 n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l'acquisizione del parere delle competenti Commissioni.