Firma Elettronica: poche Illusioni
del dott. Guido Tarizzo

Pubblicato sulla Gazzetta Ufficiale il 13 marzo 1998, il DPR n. 513 del 10 novembre 1997, contiene un'affermazione del seguente tenore: "il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento" (art. 2).

Il DPR in questione è, in realtà, il regolamento di attuazione richiesto e previsto dall'art. 15 della Legge 15 marzo 1997 n. 59 (nota anche come Legge Bassanini), il quale per l'appunto contiene nel primo comma una disposizione del tutto analoga a quella riportata; e non certo di poco conto, ove si consideri che sin dalla nascita dell'informatica moderna ogni sforzo indirizzato a fornire un qualche rilievo giuridico (ma non solo) al documento informatico era miseramente fallito. Ostavano, infatti, le peculiarità di tale "tipo" di documento: scritto in una lingua comprensibile solo ad una macchina; decifrabile e utilizzabile solo con l'ausilio di un calcolatore; non distinguibile da ogni eventuale sua copia; facilmente alterabile; sprovvisto di ogni certezza in ordine alla sua paternità o datazione; archiviabile in formato e su supporto elettronico non sempre utilizzabile da ogni computer.

Ora qualcosa sembra essere cambiato. Seguendo un certo numero di regole (quelle indicate nel DPR), più o meno agevoli e più o meno dispendiose, al documento informatico potrà essere garantito lo stesso valore di un qualunque altro documento tradizionalmente inteso.


Il principio indicato dal legislatore è quello della cd. "firma elettronica", ovvero di una procedura di autenticazione capace, per l'appunto, di garantire che il contenuto di un dato documento (informatico) sia esattamente quello voluto dal suo autore e, soprattutto, che tale documento "provenga" proprio da quell'autore.

Il funzionamento di una simile procedura è tutt'altro che complicato: esso si basa su una coppia di chiavi dette asimmetriche, capaci di codificare una firma (in realtà una sequenza alfanumerica). Le due chiavi hanno però due fondamentali caratteristiche: la coppia di chiavi è inscindibile (ad una chiave A corrisponde una e una sola chiave B - e viceversa); se la chiave A è utilizzata per codificare, per la decodifica è necessaria la chiave B (da qui il termine "asimmetrico").

Delle due chiavi, inoltre, una deve essere resa pubblica, ovvero accessibile a chiunque. Ciò significa che una volta sottoscritto un dato documento (informatico) e codificato con la chiave privata, colui che ne venga in possesso potrà prelevare la chiave "pubblica" del "presunto" autore e con essa provare a decodificarlo, verificando così la reale paternità del documento stesso.

Ciò potrebbe rappresentare finalmente e davvero la soluzione ad un problema cogente, che aumenta di pari passo con la diffusione dell'informatica. E tali speranze sono senza dubbio avvalorate dal tenore di molti articoli del DPR, tra i quali il numero 4 che recita: "Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta."

L'art. 5 è ancor più perentorio: "il documento informatico, sottoscritto con firma digitale ... ha efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile." Ma non solo: "il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'art. 2712 del codice civile ...".

Infine, l'art. 11, afferma che "i contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge."

Eppure, accantonando l'entusiasmo iniziale, leggendo e rileggendo la norma, molte perplessità si ripresentano affatto dissipate.

Ad esempio, non sarà certo sfuggito all'osservatore più attento che l'adozione della firma elettronica comporta necessariamente una serie di infrastrutture (dette comunemente PKI - Public Key Infrastructures) capaci di: fornire o generare le chiavi asimmetriche; mantenere e garantire l'effettiva accessibilità a chiunque della chiave pubblica; garantire la "sicurezza" e l'univocità delle chiavi elettroniche. Solo se soddisfatte queste tre prime esigenze, la firma elettronica potrà davvero diffondersi.

Per quel che riguarda le prime due esigenze, la legge crea la figura dell'Ente Certificatore, ovvero di un soggetto autorizzato a rilasciare tali chiavi e a mantenere (per almeno dieci anni - art. 8, comma 2, del DPR 513/1997) presso di se le chiavi pubbliche. In buona sostanza, e stante le caratteristiche richieste dalla legge stessa, ad assumere da subito tale ruolo saranno gli attuali istituti di credito, le banche. Che però dovranno affrontare costi e investimenti non certo indifferenti… ma questo è un problema diverso.

Ciò che più preme è invece la terza condizione: ovvero la sicurezza delle chiavi elettroniche, da cui inevitabilmente discende la sicurezza della stessa firma digitale. Il timore non sta tanto nella possibilità che la chiave privata possa essere rubata o comunque sottratta al legittimo possessore quanto nella possibilità che, partendo magari dalla chiave pubblica, sia possibile ricavare, risalire alla chiave privata.

Se prima è stato possibile sorvolare sulle caratteristiche tecniche delle chiavi asimmetriche, per meglio comprendere i termini della questione occorre invece adesso sottolineare che tali chiavi non si discostano affatto da un comune (ancorché complesso - e in modo impreciso definibile) "programma informatico". Esse sono per l'appunto generate da un algoritmo e la loro peculiare caratteristica di interdipendenza, di stretto legame reciproco, rappresenta anche il punto più debole del sistema. Con le conoscenze ed i mezzi tecnico/informatici attuali, risalire alla chiave privata (conservata presso di se dal legittimo titolare) partendo dalla chiave pubblica (ovvero disponibile e prelevabile da chiunque) è un'operazione tanto complessa da richiedere alcune decine di anni. Eppure ciò non significa affatto che "domani" (e in termini informatici "domani" è tra un paio d'ore) le future conoscenze e i prossimi calcolatori non consentiranno, partendo sempre da "quella" chiave pubblica, di "scoprire" in pochi minuti quale è la corrispondente chiave privata.

Se ciò dovesse accadere, le garanzie promesse dall'utilizzo della firma elettronica verrebbero meno, perché meno sarebbe venuto il principio di univocità che esige che ad ogni coppia di chiavi corrisponda uno e sicuramente un solo soggetto.

Il legislatore ha espressamente considerato questo problema, ed ha considerato come possibile soluzione l'imposizione, da un lato, di "caratteristiche tecniche minime" della firma elettronica; dall'altro prevedendo che tali caratteristiche siano oggetto di revisione biennale, così da poter tenere conto delle conoscenze tecniche nel frattempo raggiunte (art. 3, comma 2, del DPR).

Questa soluzione, ancorché opportuna, ha però delle notevolissime ricadute sullo stesso DPR, e soprattutto sui principi innovativi che esso contiene. Alla luce delle considerazioni finora svolte, il valore della firma elettronica e, di conseguenza, il valore che essa conferisce al documento informatico, deve essere considerata "a tempo". Dopo due anni l'Ente Certificatore, che all'atto di emissione di una coppia di chiavi asimmetriche comunica "il periodo di validità delle chiavi in funzione degli algoritmi impiegati" (art. 4, comma 7, del DPCM attuativo, ora in fase di approvazione), non sarà più nelle condizioni di garantire la sicurezza delle chiavi elettroniche; quindi che esse non sono alterabili; quindi che la sottoscrizione di un documento informatico effettuata utilizzando quelle chiavi è valida.

Volendo fare un esempio molto semplice, la situazione creatasi è identica a quella che si otterrebbe se si utilizzasse per la sottoscrizione di un documento una penna caricata con "inchiostro simpatico". Certamente, nell'immediato, il documento è pienamente valido... ma cosa accadrà quando l'inchiostro sarà totalmente sbiadito?


Che valore hanno, allora, le "promesse" contenute negli artt. 2, 4, 5 e 11 ricordati all'inizio? "Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta"? Si, ma solo per un certo periodo.

Commetterebbe un profondo errore chi ritenesse che, a firma elettronica scaduta, il documento con essa sottoscritto si trovi nella medesima condizione di ogni altro documento cartaceo, suscettibile di falsificazione. Perché assi più arduo (se non aprioristicamente impossibile) è il rilevare tale falsificazione. Un chiave privata indebitamente duplicata sarà infatti assolutamente sempre "identica" all'originale e da esso non distinguibile. Dunque un documento informatico sottoscritto con la chiave "falsa" (ma - giova ripeterlo - in nulla diversa da quella originale), sarà indistinguibile da un diverso documento sottoscritto con la chiave originale.

"Il documento informatico, sottoscritto con firma digitale ... ha efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile"? Si, a patto però che ogni due anni, oppure alla diversa scadenza indicata dall'Ente Certificatore, le parti si ritrovino intorno ad un tavolo (o davanti ad un computer) e ri-firmino nuovamente la scrittura.

"I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge"? Valgono anche qui le considerazioni appena svolte. A cui si aggiunge la banale osservazione che molto spesso l'importanza di un contratto, o meglio, della sua "valenza probatoria", della sua capacità di raccontare ciò che le parti davvero stabilirono, rileva molto, molto tempo dopo la sua sottoscrizione.

Con un certo sconforto si ricava la considerazione che forse il DPR 513/97, e prima ancora l'art. 15 della Legge 59/97, non possono essere considerati "alla lettera". Molta strada deve essere ancora percorsa prima che il documento informatico sia valutabile, a tutti gli effetti, come un "documento" pari ad un altro. Per il momento ci si deve accontentare della veridicità del secondo comma dell'art. 5 ("il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'art. 2712 del codice civile …"), laddove più verosimilmente il documento informatico viene equiparato ad una "rappresentazione meccanica di fatti o cose" che "formano piena prova … se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime". Con l'intima convinzione il disconoscimento di un documento informatico sarà oltremodo agevole.
 


[back to index]