FIRMA
ELETTRONICA: POCHE ILLUSIONI
di Guido Tarizzo
Pubblicato sulla Gazzetta Ufficiale il 13 marzo 1998, il DPR n. 513
del 10 novembre 1997, contiene un'affermazione del seguente tenore: "il
documento informatico da chiunque formato, l'archiviazione su supporto
informatico e la trasmissione con strumenti telematici, sono validi e rilevanti
a tutti gli effetti di legge se conformi alle disposizioni del presente
regolamento" (art. 2).
Il DPR in questione è, in realtà, il regolamento
di attuazione richiesto e previsto dall'art. 15 della Legge 15 marzo 1997
n. 59 (nota anche come Legge Bassanini), il quale per l'appunto contiene
nel primo comma una disposizione del tutto analoga a quella riportata;
e non certo di poco conto, ove si consideri che sin dalla nascita dell'informatica
moderna ogni sforzo indirizzato a fornire un qualche rilievo giuridico
(ma non solo) al documento informatico era miseramente fallito. Ostavano,
infatti, le peculiarità di tale "tipo" di documento: scritto in
una lingua comprensibile solo ad una macchina; decifrabile e utilizzabile
solo con l'ausilio di un calcolatore; non distinguibile da ogni eventuale
sua copia; facilmente alterabile; sprovvisto di ogni certezza in ordine
alla sua paternità o datazione; archiviabile in formato e su supporto
elettronico non sempre utilizzabile da ogni computer.
Ora qualcosa sembra essere cambiato. Seguendo un certo numero
di regole (quelle indicate nel DPR), più o meno agevoli e più
o meno dispendiose, al documento informatico potrà essere garantito
lo stesso valore di un qualunque altro documento tradizionalmente inteso.
Il principio indicato dal legislatore è quello della cd.
"firma elettronica", ovvero di una procedura di autenticazione capace,
per l'appunto, di garantire che il contenuto di un dato documento (informatico)
sia esattamente quello voluto dal suo autore e, soprattutto, che tale documento
"provenga" proprio da quell'autore.
Il funzionamento di una simile procedura è tutt'altro
che complicato: esso si basa su una coppia di chiavi dette asimmetriche,
capaci di codificare una firma (in realtà una sequenza alfanumerica).
Le due chiavi hanno però due fondamentali caratteristiche: la coppia
di chiavi è inscindibile (ad una chiave A corrisponde una e una
sola chiave B - e viceversa); se la chiave A è utilizzata per codificare,
per la decodifica è necessaria la chiave B (da qui il termine "asimmetrico").
Delle due chiavi, inoltre, una deve essere resa pubblica, ovvero
accessibile a chiunque. Ciò significa che una volta sottoscritto
un dato documento (informatico) e codificato con la chiave privata, colui
che ne venga in possesso potrà prelevare la chiave "pubblica" del
"presunto" autore e con essa provare a decodificarlo, verificando così
la reale paternità del documento stesso.
Ciò potrebbe rappresentare finalmente e davvero la soluzione
ad un problema cogente, che aumenta di pari passo con la diffusione dell'informatica.
E tali speranze sono senza dubbio avvalorate dal tenore di molti articoli
del DPR, tra i quali il numero 4 che recita: "Il documento informatico
munito dei requisiti previsti dal presente regolamento soddisfa il requisito
legale della forma scritta."
L'art. 5 è ancor più perentorio: "il documento
informatico, sottoscritto con firma digitale ... ha efficacia di scrittura
privata ai sensi dell'art. 2702 del codice civile." Ma non solo: "il documento
informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia
probatoria prevista dall'art. 2712 del codice civile ...".
Infine, l'art. 11, afferma che "i contratti stipulati con strumenti
informatici o per via telematica mediante l'uso della firma digitale secondo
le disposizioni del presente regolamento sono validi e rilevanti a tutti
gli effetti di legge."
Eppure, accantonando l'entusiasmo iniziale, leggendo e rileggendo
la norma, molte perplessità si ripresentano affatto dissipate.
Ad esempio, non sarà certo sfuggito all'osservatore più
attento che l'adozione della firma elettronica comporta necessariamente
una serie di infrastrutture (dette comunemente PKI - Public Key Infrastructures)
capaci di: fornire o generare le chiavi asimmetriche; mantenere e garantire
l'effettiva accessibilità a chiunque della chiave pubblica; garantire
la "sicurezza" e l'univocità delle chiavi elettroniche. Solo se
soddisfatte queste tre prime esigenze, la firma elettronica potrà
davvero diffondersi.
Per quel che riguarda le prime due esigenze, la legge crea la
figura dell'Ente Certificatore, ovvero di un soggetto autorizzato a rilasciare
tali chiavi e a mantenere (per almeno dieci anni - art. 8, comma 2, del
DPR 513/1997) presso di se le chiavi pubbliche. In buona sostanza, e stante
le caratteristiche richieste dalla legge stessa, ad assumere da subito
tale ruolo saranno gli attuali istituti di credito, le banche. Che però
dovranno affrontare costi e investimenti non certo indifferenti… ma questo
è un problema diverso.
Ciò che più preme è invece la terza condizione:
ovvero la sicurezza delle chiavi elettroniche, da cui inevitabilmente discende
la sicurezza della stessa firma digitale. Il timore non sta tanto nella
possibilità che la chiave privata possa essere rubata o comunque
sottratta al legittimo possessore quanto nella possibilità che,
partendo magari dalla chiave pubblica, sia possibile ricavare, risalire
alla chiave privata.
Se prima è stato possibile sorvolare sulle caratteristiche
tecniche delle chiavi asimmetriche, per meglio comprendere i termini della
questione occorre invece adesso sottolineare che tali chiavi non si discostano
affatto da un comune (ancorché complesso - e in modo impreciso definibile)
"programma informatico". Esse sono per l'appunto generate da un algoritmo
e la loro peculiare caratteristica di interdipendenza, di stretto legame
reciproco, rappresenta anche il punto più debole del sistema. Con
le conoscenze ed i mezzi tecnico/informatici attuali, risalire alla chiave
privata (conservata presso di se dal legittimo titolare) partendo dalla
chiave pubblica (ovvero disponibile e prelevabile da chiunque) è
un'operazione tanto complessa da richiedere alcune decine di anni. Eppure
ciò non significa affatto che "domani" (e in termini informatici
"domani" è tra un paio d'ore) le future conoscenze e i prossimi
calcolatori non consentiranno, partendo sempre da "quella" chiave pubblica,
di "scoprire" in pochi minuti quale è la corrispondente chiave privata.
Se ciò dovesse accadere, le garanzie promesse dall'utilizzo
della firma elettronica verrebbero meno, perché meno sarebbe venuto
il principio di univocità che esige che ad ogni coppia di chiavi
corrisponda uno e sicuramente un solo soggetto.
Il legislatore ha espressamente considerato questo problema,
ed ha considerato come possibile soluzione l'imposizione, da un lato, di
"caratteristiche tecniche minime" della firma elettronica; dall'altro prevedendo
che tali caratteristiche siano oggetto di revisione biennale, così
da poter tenere conto delle conoscenze tecniche nel frattempo raggiunte
(art. 3, comma 2, del DPR).
Questa soluzione, ancorché opportuna, ha però delle
notevolissime ricadute sullo stesso DPR, e soprattutto sui principi innovativi
che esso contiene. Alla luce delle considerazioni finora svolte, il valore
della firma elettronica e, di conseguenza, il valore che essa conferisce
al documento informatico, deve essere considerata "a tempo". Dopo due anni
l'Ente Certificatore, che all'atto di emissione di una coppia di chiavi
asimmetriche comunica "il periodo di validità delle chiavi in funzione
degli algoritmi impiegati" (art. 4, comma 7, del DPCM attuativo, ora in
fase di approvazione), non sarà più nelle condizioni di garantire
la sicurezza delle chiavi elettroniche; quindi che esse non sono alterabili;
quindi che la sottoscrizione di un documento informatico effettuata utilizzando
quelle chiavi è valida.
Volendo fare un esempio molto semplice, la situazione creatasi
è identica a quella che si otterrebbe se si utilizzasse per la sottoscrizione
di un documento una penna caricata con "inchiostro simpatico". Certamente,
nell'immediato, il documento è pienamente valido... ma cosa accadrà
quando l'inchiostro sarà totalmente sbiadito?
Che valore hanno, allora, le "promesse" contenute negli artt.
2, 4, 5 e 11 ricordati all'inizio? "Il documento informatico munito dei
requisiti previsti dal presente regolamento soddisfa il requisito legale
della forma scritta"? Si, ma solo per un certo periodo.
Commetterebbe un profondo errore chi ritenesse che, a firma elettronica
scaduta, il documento con essa sottoscritto si trovi nella medesima condizione
di ogni altro documento cartaceo, suscettibile di falsificazione. Perché
assi più arduo (se non aprioristicamente impossibile) è il
rilevare tale falsificazione. Un chiave privata indebitamente duplicata
sarà infatti assolutamente sempre "identica" all'originale e da
esso non distinguibile. Dunque un documento informatico sottoscritto con
la chiave "falsa" (ma - giova ripeterlo - in nulla diversa da quella originale),
sarà indistinguibile da un diverso documento sottoscritto con la
chiave originale.
"Il documento informatico, sottoscritto con firma digitale ...
ha efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile"?
Si, a patto però che ogni due anni, oppure alla diversa scadenza
indicata dall'Ente Certificatore, le parti si ritrovino intorno ad un tavolo
(o davanti ad un computer) e ri-firmino nuovamente la scrittura.
"I contratti stipulati con strumenti informatici o per via telematica
mediante l'uso della firma digitale secondo le disposizioni del presente
regolamento sono validi e rilevanti a tutti gli effetti di legge"? Valgono
anche qui le considerazioni appena svolte. A cui si aggiunge la banale
osservazione che molto spesso l'importanza di un contratto, o meglio, della
sua "valenza probatoria", della sua capacità di raccontare ciò
che le parti davvero stabilirono, rileva molto, molto tempo dopo la sua
sottoscrizione.
Con un certo sconforto si ricava la considerazione che forse il
DPR 513/97, e prima ancora l'art. 15 della Legge 59/97, non possono essere
considerati "alla lettera". Molta strada deve essere ancora percorsa prima
che il documento informatico sia valutabile, a tutti gli effetti, come
un "documento" pari ad un altro. Per il momento ci si deve accontentare
della veridicità del secondo comma dell'art. 5 ("il documento informatico
munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria
prevista dall'art. 2712 del codice civile …"), laddove più verosimilmente
il documento informatico viene equiparato ad una "rappresentazione meccanica
di fatti o cose" che "formano piena prova … se colui contro il quale sono
prodotte non ne disconosce la conformità ai fatti o alle cose medesime".
Con l'intima convinzione il disconoscimento di un documento informatico
sarà oltremodo agevole.
|