Il documento telematico tra DPR 513/97 e progetto di Direttiva Europea: liceità del documento criptato.

La liceità o meno del documento criptato è da molti anni oggetto di discussione all'interno della comunità giuridica internazionale che si occupa del commercio elettronico e della sua disciplina normativa.

Una discussione ancora oggi molto accesa che, comunque, non riguarda i documenti informatici che in base a generalissimi criteri di valutazione potremmo definire "protetti" o comunque oggetto di pubblico interesse (transazioni bancarie, informazioni di polizia, atti giudiziari, corrispondenza diplomatica, etc.), riguardando in massima parte, se non esclusivamente, i documenti informatici tra privati (qualunque ne sia il contenuto).

E' sufficiente un velocissimo sguardo al modo in cui il problema viene affrontato e variamente risolto nei singoli ordinamenti per rendersi conto di quale vasta gamma di soluzioni possa ipotizzarsi.

Se alcuni Stati propongono soluzioni di divieto assoluto, (sostanzialmente giustificate da dichiarate esigenze di sicurezza nazionale), altri Stati ad essi si oppongono con soluzioni di assoluta libertà (in esse compresa la soluzione del silenzio), ed è ben folta la schiera di quei Paesi che hanno affrontato il problema proponendo soluzioni mediate o di compromesso.

Non è questa la sede per tracciare un quadro delle soluzioni internazionalmente adottate: basti pensare, a solo scopo esemplificativo all'esperienza francese (ove, in base alle norme del 1990, la crittografia è ammessa solo previa autorizzazione statale), o a quella americana (Clipper resolution e restrizioni varie alla esportabilità dei sistemi crittografici, ritenuti di interesse per la sicurezza pubblica).

Per un esame più approfondito dello scenario internazionale mi sia permesso un rinvio all'ottimo lavoro del collega che oggi sostituisco, l'amico Mario Miccoli, in Letture Notarili - Documento e Commercio Telematico -Guida al Regolamento Italiano, edito a Torino nel luglio 1998

Il tema assegnato riguarda la normativa italiana ed il contesto europeo: restiamo quindi "in casa" esaminando il documento informatico così come definito e regolato dal DPR 513/97.

Una prima domanda cui l'interprete deve rispondere e' quella riguardante la sussumibilità o meno del documento informatico tra i documenti che possono formare o formano oggetto di corrispondenza epistolare.

Se guardiamo al "sistema di trasporto", sottolineando così la trasmissibilità del documento informatico da un sistema a un altro, da un indirizzo ad altro indirizzo, tale sussumibilità risulta essere di tutta evidenza, il che porta a ritenere di immediata applicabilità sia la norma costituzionale sul segreto epistolare (Art. 15: La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili) sia le, precedenti ma non meno importanti, norme del T.U. sul servizio postale e (nella dovuta misura) della legge sul diritto d'autore.

Qualora, al contrario, non si volesse condividere tale impostazione, la riservatezza delle informazioni contenute nel documento informatico trova tuttavia esplicita tutela in seno allo art. 3 del DPR 513/97 che al comma 3 così recita: "Con il decreto di cui al comma 1 sono altresì dettate le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all'eventuale uso di chiavi biometriche.".

Alla semplicità e chiarezza di tale norma fa seguito, nello stesso art. 3, un ultimo comma: "Resta fermo quanto previsto dall'articolo 15 della legge 31 dicembre 1996, n.675." la cui portata ed il cui significato restano alquanto sibillini.

Non vi è alcun senso, all'interno di una norma delegata che si occupa di documento informatico e della sicurezza dei sistemi informativi per la gestione delle chiavi di cifratura, nel richiamare una norma che si occupa anch'essa di sicurezza dei sistemi informatici, ma per ben altri e superiori scopi, perdippiù dall'interno di una normativa di grado superiore, una legge e non un dpr.

Il problema della riservatezza delle informazioni contenute nel documento informatico non era certamente sfuggito ai redattori della bozza di quello che sarebbe poi divenuto il DPR 513/97, i quali, in termini molto espliciti, avevano proposto la formulazione di una specifica disposizione al primo comma dello art. 13:

Una formulazione respinta dal legislatore in sede di approvazione del DPR 513/97 poiché ritenuta come inutile ripetizione del dettato costituzionale.

Stranamente, però, lo stesso legislatore ha pleonasticamente inserito tra gli obblighi del certificatore (esonerandone l'utente ??) quello di... " attenersi alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;"

Vi è qualcosa che stride:

- perché richiamare un obbligo di legge dall'interno di una norma di rango inferiore?

- perché limitare al solo certificatore l'obbligo di attenersi a determinate misure minime di sicurezza (peraltro sino ad oggi non determinate ne' emanate) alle quali la legge 675/96 sembra obbligare anche l'utente??

A questi interrogativi si contrappone una certezza: il documento informatico (almeno in Italia...) può essere legittimamente codificato con tecniche crittografiche.

Tale certezza, anche se non espressamente sancita in alcuna norma ad hoc, si desume sia dall'insieme della normativa sia dallo attuale stato della tecnologia.

Ed invero, se l'unica forma tecnologicamente possibile per rendere "riservato" un documento informatico e' oggi quella di ricorrere a tecniche di crittografia, l'insieme delle norme, proprio nel volere e dovere garantire la riservatezza delle informazioni e dei dati personali, intrinsecamente e necessariamente a tali tecniche debbono riferirsi, sia che lo facciano con riferimento al dettato costituzionale, sia che lo facciano con riferimento agli obblighi di tutela espressi nel DPR 513/97.

Fino ad ora si è parlato di riservatezza senza fare alcuna distinzione tra contenuto documentale e dati personali. Soffermiamoci un momento su questi ultimi.

Sappiamo bene che la legge 675/96 tutela in modo particolare i dati personali, ed ancora di più i c.d. dati sensibili.

Ignoriamo qui i dati sensibili: essi non sono richiesti (e non c'è alcun motivo per cui lo siano) ai fini del rilascio di un certificato di firma digitale.

I dati personali, a loro volta, debbono essere comunicati dall'utente alla "registration authority" e da questa alla "certification authority", e tale comunicazione e' certamente un atto "dovuto" per l'ottenimento del certificato.

I dati personali da comunicare alla C.A. saranno necessariamente quelli da trasfondere nel certificato di firma, ma facilmente in aggiunta ad essi vi sarà, da parte delle singole C.A., la richiesta di fornire ulteriori dati, non classificabili tra quelli strettamente personali nè tra quelli sensibili, da utilizzare - ad esempio - a fini contabili o statistici.

Ritengo che, a parte le limitazioni e gli obblighi derivanti dalla legge 675/96, una forma di garanzia di pubblico interesse possa essere quella di procedere a quella che potremmo definire la "strong identification" del soggetto richiedente.

Il DPR 513/97 richiede che l'utente venga identificato "con certezza". L'ordinamento giuridico italiano, e la normativa notarile in particolare, ci insegnano che con tale allocuzione si esclude la possibilità di identificare un soggetto in base alla mera esibizione di un documento di identità, il quale da solo costituisce uno dei più elementi attraverso i quali pervenire alla identificazione vera e propria.

Una lettura restrittiva di tale norma, e la conseguente possibilità di acquisire dati "più che sicuri", determinerebbe la necessità di verificare con particolare attenzione la correttezza dei dati forniti e la loro corrispondenza con i dati inseriti nel sistema; del pari determinerebbe una forte fiducia nel sistema stesso rafforzando le basi per un sereno sviluppo del commercio elettronico.

In altri termini, ad una rigorosa regolamentazione (in ambito di policy, ancor più che a livello legislativo) della attività delle R.A. farebbe da contraltare la non necessità di richiedere dati personali ultronei rispetto a quelli strettamente necessari e conseguentemente la possibilità, ove legislativamente previsto, di consentire l'uso dello pseudonimo così come ipotizzato nella bozza di direttiva europea senza con ciò far diminuire le garanzie in tema di identificazione ed affidamento.

La bozza di direttiva (e ricordiamo bene che si tratta ancora di una bozza) europea si occupa in più parti della tutela della riservatezza, mentre ben poco o per nulla si occupa delle tecnologie di firma digitale e dei problemi di crittografia del documento informatico.

In essa è ben visibile un atteggiamento agnostico, da molti giudicato dannoso poiché in tal modo favorevole ad un disordinato sviluppo del commercio elettronico.

Per nulla essa si occupa di crittografia, dando così spazio al sorgere, all'interno dei singoli stati membri, di normative tra loro discordanti e per ciò stesso dannose.

Il documento comunitario è ancora "in costruzione" ed è possibile che in una successiva sua versione verrà posto qualche accento sul problema "crittografia".

Sarà quello il momento in cui potremo giudicare la "vera" tendenza dell'Europa sulla soluzione di tali problematiche: una adesione al sistema decisamente restrittivo tipico del mondo anglosassone oppure, e questo è il mio auspicio, una adesione al sistema da noi adottato, e cioè un sistema di assoluta libertà.

Una libertà sulla quale e sui cui contenuti ben pochi sono oggi in grado di darci qualsivoglia lezione.