Sarà possibile attribuire valore giuridicoai documenti formati su supporto informatico ed inviati attraversole reti informatiche? In particolare i privati cittadini e gliimprenditori potranno beneficiare delle agevolazioni offerte dallatecnologia informatica per scambiarsi documenti giuridicamenterilevati e per concludere rapporti contrattuali validi a tuttigli effetti? Si potranno intrattenere rapporti, presentare domandee richiedere autorizzazioni alla Pubblica Amministrazione attraversola posta elettronica?

Sembra proprio di poter rispondere positivamentea queste domande dopo che il legislatore, nell'ambito delle procedureper la semplificazione dei rapporti tra i privati e la pubblicaamministrazione, ha introdotto nell'ordinamento giuridico italianoalcuni principi di rilevante importanza, la cui portata profondamenteinnovativa potrà essere apprezzata pienamente soltantonegli anni a venire.

In particolare l'articolo 15, comma secondo, dellaLegge 15 marzo 1997, n. 59, meglio nota come "Legge Bassanini",ha stabilito, innanzitutto, il fondamentale principio secondocui "gli atti, i dati e i documenti formati dalla pubblicaamministrazione e dai privati con strumenti informatici e telematici,i contratti stipulati nelle medesime forme , nonché laloro archiviazione trasmissione con strumenti informatici e telematici,sono validi e rilevanti ad ogni effetto di legge."

Questa norma afferma - con la solennità propriadei principi generali - il valore e l'efficacia "ad ognieffetto di legge" degli atti e dei documenti formati construmenti informatici e trasmessi per via telematica. Una voltaaffermata la generale validità del documento informatico- come informazione originale e primaria generata dal calcolatore- occorre verificare le modalità di attuazione di questoprincipio e, in particolare, le condizioni tecniche e giuridicheche consentono di attribuire con certezza il documento informaticoal suo autore.

I problemi tecnici: la crittografia asimmetricae la firma elettronica

Nel mondo della carta, la sottoscrizione autografa(cioè la firma) apposta dal privato in calce al documentoesprime sino a prova contraria il consenso del firmatario sulcontenuto dell'atto sottoscritto.

Nel mondo informatico, invece, il problema dellasottoscrizione elettronica viene affrontato e risolto in modosostanzialmente differente.

Infatti è bene chiarire subito, per evitareequivoci e fraintendimenti che la firma autografa e la firma elettronicasono due cose sostanzialmente diverse:

a) la firma autografa è un "segno"che una persona appone in calce alle proprie dichiarazioni conlo scopo di attestare, attraverso la riconoscibilità dellagrafia, la personale provenienza della dichiarazione stessa,

b) la firma elettronica, invece, è un metododi attribuzione della paternità e di garanzia della riservatezzadi un documento informatico che si basa su un procedimento tecnicofondato sui principi individuati dalla crittografia moderna.

Ma, allora, che cosa è la cosiddetta firmaelettronica?

In pratica il nuovo metodo consiste nell'applicaread un documento accessibile a chiunque (che il gergo tecnico qualificacome "documento in chiaro") una chiave di cifraturache scomponga il testo in una sequenza di caratteri non immediatamentecomprensibili. Dopo questa operazione di "criptazione"solo il possessore della chiave può decifrare il documento,attraverso il processo che tecnicamente si definisce decifrazione.

Il meccanismo fin qui descritto è quello solitamenteutilizzato dalla crittografia classica (che ha avuto ampia applicazionenel settore della sicurezza militare, basandosi sull'uso di un"codice" per i messaggi cifrati, situazione ben notaagli appassionati di spy stories). Tuttavia questo sistemapresenta il grande inconveniente di basare la sicurezza su un'unicachiave, per cui è sufficiente che qualcuno scopra la chiaveper decifrare il messaggio, rendendone possibile anche l'alterazionee mettendone in dubbio la paternità..

Per ovviare a questo inconveniente si è cercatodi realizzare un sistema che garantisse maggiormente:

a) la riservatezza e l'inviolabilità del documento

b) l'integrità dei dati contenuti nel messaggio

c) l'autenticità della provenienza del documento

d) l'impossibilità di disconoscere la trasmissioneo la ricezione del documento stesso (cosiddetto "non ripudio").

Un'adeguata risposta a queste esigenze legate all'attribuzionedi valore giuridico ai documenti elettronici è stata offertada un nuovo sistema di crittografia (individuata da due ricercatoristatunitensi W. Diffie e M. Hellmann) che si basa sulla teoriadella "coppia inscindibile di chiavi asimmetriche".

In pratica questo metodo di crittografia si basasui seguenti principi:

1) ogni utilizzatore ha a disposizione una coppiadi chiavi per la cifratura;

2) ogni chiave può essere indifferentementeutilizzata per cifrare o per decifrare;

3) la conoscenza di una delle due chiavi non forniscealcuna informazione sull'altra chiave.

In pratica chi vuole utilizzare un sistema di firmaelettronica si deve munire di una coppia di chiavi asimmetriche.Dovrà quindi renderne pubblica una, mediante il depositopresso un registro accessibile per via telematica (mediante larete INTERNET) . La seconda chiave resterà invece segreta(è la cosiddetta chiave "privata").

A questo punto, a seconda delle diverse esigenzedell'utilizzatore, mediante il ricorso a questa coppia di chiavisarà possibile garantire di volta in volta la riservatezza,l'integrità dei dati, l'autenticità ed il non ripudiodel documento informatico inviato attraverso una rete telematica(ad esempio per posta elettronica).

Così se qualcuno vuole inviare un documentoche deve rimanere riservato, cioè comprensibile al solodestinatario, dovrà prelevare dal registro accessibilea tutti la chiave pubblica del destinatario e, con questa, cifrareil testo. Il destinatario, una volta ricevuto il documento, utilizzandola sua chiave privata può avere la certezza di essere l'unicapersona che può accedere al documento in chiaro (in quantosolo lui dispone della coppia di chiavi che rende leggibile ildocumento).

Se invece un soggetto vuole inviare un documentoche non desidera resti riservato ma vuole invece garantire aldestinatario che quel documento proviene effettivamente da luidovrà comportarsi in questo modo: cifrerà il documentocon la propria chiave privata ed il destinatario, quando lo riceve,prelevando la chiave pubblica del mittente potrà decifrareil documento ed avere la certezza che esso proviene proprio dalmittente (il quale è l'unico soggetto che dispone dellasua chiave privata).

Ovviamente queste due modalità si possonoutilizzare congiuntamente nel caso in cui un soggetto voglia garantiretanto la riservatezza quanto l'autenticità del documento.

Come si vede la crittografia asimmetrica presentaquelle doti di flessibilità ed affidabilità chesono il presupposto tecnico necessario per attribuire pubblicafede ai documenti informatici. Tanto più che un'ulterioreapplicazione consente, attraverso la cosiddetta marcatura temporale,di eliminare i dubbi anche sulla data e sull'ora del documentoinviato attraverso la rete telematica.

Si è detto, inoltre, che - secondo i principidella crittografia moderna di Diffie ed Hellmann - la conoscenzadella chiave pubblica non deve fornire alcuna informazione utileper la ricostruzione della chiave privata corrispondente, e questoprincipio vale soltanto per chiavi di una certa lunghezza. Lechiavi troppo brevi, infatti, non resistono a lungo al processodi decifrazione (tecnicamente viene definito "criptoanalisi"), che è favorito dalla disponibilità a basso costodi potenze di calcolo sempre maggiori.

In estrema sintesi, dunque, il sistema funziona acondizione che la chiave pubblica sia "certificata"e che la coppia inscindibile di chiavi sia di lunghezza (calcolatain bit) adeguata a garantirne una sufficiente robustezza sullabase delle potenze di calcolo disponibili.

La procedura di certificazione

E' per questi motivi, dunque, che è necessarioaffidare la validità dell'intero processo ad una "proceduradi certificazione". Le chiavi asimmetriche di cifratura hannouna durata limitata e possono essere sospese o revocate dal lorotitolare (analogamente a quanto avviene, sotto altro profilo,per le carte di credito). Il deposito della chiave pubblica deveessere effettuato presso un soggetto in grado di assicurare lacorretta manutenzione del sistema di certificazione e - in particolare- in grado di garantire l'accesso telematico al registro dellechiavi pubbliche. Si tratta di una attività di grande importanzae delicatezza, che deve essere affidata a soggetti dotati di adeguatirequisiti tecnici e di affidabilità.

Conseguentemente è essenziale, come prevedeil regolamento attuativo della "Legge Bassanini", chele attività di certificazione siano effettuate da certificatoriinclusi, sulla base di una dichiarazione anteriore all'iniziodell'attività, in apposito elenco pubblico, consultabilein via telematica, predisposto, tenuto e aggiornato a cura dell'Autoritàper l'informatica nella pubblica amministrazione. I certificatoriprivati devono avere forma di società per azioni e capitalesociale non inferiore a quello necessario ai fini dell'autorizzazioneall'attività bancaria. Devono inoltre:

a) dimostrare il possesso da parte dei rappresentantilegali e dei soggetti preposti all'amministrazione, dei requisitidi onorabilità richiesti ai soggetti che svolgono funzionidi amministrazione, direzione e controllo presso banche;

b) affidare le attività di certificazionea responsabili tecnici che, per competenza ed esperienza comprovate,siano in grado di rispettare le norme e le regole tecniche previstedal regolamento;

c) dimostrare la qualità dei processi informaticie dei relativi prodotti, sulla base di standard riconosciuti alivello internazionale.

La procedura di certificazione può esseresvolta anche da un certificatore operante sulla base di licenzao autorizzazione rilasciata da altro Stato membro dell'Unioneeuropea o dello Spazio economico europeo, sulla base di equivalentirequisiti.

Peraltro va ricordato che chiunque intenda utilizzareun sistema di chiavi asimmetriche per la firma digitale, ètenuto ad adottare tutte le misure organizzative e tecniche idoneead evitare danno ad altri.

Il certificatore, in particolare, è tenutoa :

a) identificare con certezza la persona che fa richiestadella certificazione;

b) rilasciare e rendere pubblico il certificato;

c) specificare, su richiesta dell'istante, e conil consenso del terzo interessato, la sussistenza dei poteri dirappresentanza o di altri titoli relativi all'attivitàprofessionale o a cariche rivestite;

d) attenersi alle regole tecniche stabilite con l'appositodecreto indicato alla lettera b);

e) informare i richiedenti, in modo compiuto e chiaro,sulla procedura di certificazione e sui necessari requisiti tecniciper accedervi;

f) attenersi alle norme sulla sicurezza dei sistemiinformatici e a quelle sul trattamento dei dati personali;

g) non rendersi depositario di chiavi private;

h) procedere tempestivamente alla revoca od allasospensione del certificato in caso di richiesta da parte deltitolare o del terzo dal quale derivino i poteri di quest'ultimo,di perdita del possesso della chiave, di provvedimento dell'autorità,di acquisizione della conoscenza di cause limitative della capacitàdel titolare , di sospetti abusi o falsificazioni;

i) dare immediata pubblicazione della revoca e dellasospensione della coppia di chiavi asimmetriche;

j) dare immediata comunicazione all'Autoritàper l'informatica nella pubblica amministrazione ed agli utenti,con un preavviso di almeno sei mesi, della cessazione dell'attivitàe della conseguente rilevazione della documentazione da partedi altro certificatore o del suo annullamento.

Non è il caso, evidentemente, di soffermarsisull'analisi tecnico-giuridica di ciascuno dei predetti obblighi.Può essere utile osservare, comunque, che l'inosservanzada parte del certificatore, degli obblighi inerenti alle misureminime di sicurezza per la tutela dei dati personali (previstidagli articoli 15, comma 2, e 36 della legge 31 dicembre 1996,n. 675) dà luogo a responsabilità penale.

Il valore giuridico del documento elettronico

Passiamo ora ad analizzare brevemente gli effettigiuridici del meccanismo tecnico che abbiamo sommariamente descritto.

Il documento informatico, se conforme alle regoletecniche, e sottoscritto dal suo autore con l'uso della firmadigitale, ha efficacia di scrittura privata (art. 2702 del codicecivile), e, qualora costituisca riproduzione di altro documento,soddisfa il requisito della forma scritta ed ha la stessa efficaciaprobatoria degli originali formati su carta (art. 2712 del codicecivile). Una volta risolto, con l'adozione del sistema di firmadigitale, il problema della univoca identificazione dell'autore,il documento formato su supporti informatici ha il valore di attooriginale, cui la legge attribuisce piena efficacia giuridica.Pertanto l'apposizione di firma digitale sostituisce, ad ognifine previsto dalla normativa vigente, l'apposizione di sigilli,punzoni, timbri, contrassegni e marchi di qualsiasi genere. Lacopia informatica, dell'originale formato su carta, puòsostituire ad ogni effetto di legge l'originale cartaceo da cuiè tratto se è rilasciata da pubblici depositariautorizzati che attestino la conformità all'originale conla apposizione della loro firma digitale, analogamente a quantodispongono gli articoli 2714 e 2715 del codice civile per i documentiformati su carta. Peraltro devono ancora essere stabilite le modalitàtecniche con cui il pubblico ufficiale può dichiarare laconformità delle copie al loro originale.

Gli obblighi fiscali inerenti ai documenti informatici(ivi comprese le copie informatiche di atti formati in originesu carta) dovranno essere assolti, infine, con modalitàtecniche diverse da quelle, attualmente in uso, utilizzate peril computo dei fogli cartacei. La definizione di queste modalitàè rimessa ad un decreto del competente Ministro delle Finanze,che fissa i parametri tecnici di questo sistema di archiviazione.

A conclusione di questo rapido sguardo d'orizzontedelle principali innovazioni introdotte dall'articolo 15 dellalegge Bassanini, può dirsi, dunque, che il principio fissatonel nostro ordinamento impone di adattare le norme vigenti (inparticolare la disciplina in materia di efficacia probatoria degliatti e dei documenti del codice civile) alle nuove realtàinformatiche e telematiche. La principale novità consiste,per i privati cittadini, nell'equiparazione del documento informatico,sottoscritto con l'uso della cosiddetta firma digitale, alla scritturaprivata e, per la pubblica amministrazione, nella definizionedegli atti e dei documenti informatici delle pubbliche amministrazionicome "informazione primaria ed originale, da cui èpossibile effettuare, su diversi tipi di supporto, riproduzionio copie per gli usi consentiti dalla legge".

In particolare, come è stato osservato, nellaPubblica Amministrazione si prospetta una "rivoluzione copernicana"in quanto viene invertito il rapporto che oggi lega gli originali(cartacei) con le copie (su supporti informatici, a mero scopodi archiviazione), consentendo ed incoraggiando, tra l'altro,il totale recupero su supporti informatici degli ingombranti epoco funzionali archivi cartacei che caratterizzano gli ufficipubblici. Altra novità di rilievo è costituita dalregime delle copie su supporto informatico, che sostituisconoad ogni effetto di legge gli originali da cui sono tratte se laloro conformità all'originale è certificata da unnotaio o da altro pubblico ufficiale autorizzato.

Infine, la sottoscrizione autografa del funzionarioresponsabile, in tutti i documenti della pubblica amministrazionein cui è prevista, viene sostituita con la firma digitale.Entro cinque anni dall'entrata in vigore del regolamento indicatodalla Legge Bassanini sarà possibile, pertanto, acquistareimmobili o automobili senza muoversi da casa, inoltrare attraversouna rete pubblica di telecomunicazioni una domanda di concorso- per la quale già oggi non è più necessariala firma autenticata -, costituire una società attraversola posta elettronica e richiedere ed ottenere dalla pubblica amministrazionecertificati trasmessi per via telematica, evitando di sopportareinesauribili code e di perdere giornate lavorative per gli adempimentiburocratici.

E' importante, quindi, che i privati acquistino consapevolezzadi queste nuove opportunità che l'ordinamento giuridicomette loro a disposizione e si organizzino per tempo al fine direndere concrete quelle aspirazioni che, fino a poco fa , appartenevanoesclusivamente al mondo dei sogni.

Glossario sul documento informatico

documento informatico	la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
firma digitale	il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
sistema di validazione	il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità;
chiavi asimmetriche	la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici;
chiave privata	l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica.
chiave pubblica	l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi;
chiave biometrica	la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente;
certificazione	il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni;
validazione temporale	il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi;
indirizzo elettronico	l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici;
certificatore	il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati

Milano, ottobre 1997

LEGGE 15 MARZO 1997 N. 59, Art. 15, comma 2

Gli atti, dati e documenti formati dalla pubblica amministrazionee dai privati con strumenti informatici o telematici, i contrattistipulati nelle medesime forme, nonché la loro archiviazionee trasmissione con strumenti informatici sono validi e rilevantia tutti gli effetti di legge; i criteri di applicazione del presentecomma sono stabiliti, per la pubblica amministrazione e per iprivati, con specifici regolamenti da emanare, entro centottantagiorni dalla data di entrata in vigore della presente legge aisensi dell'articolo 17, comma 2 della legge 23 agosto 1988 n.400. Gli schemi dei regolamenti sono trasmessi alla Camera deiDeputati e al Senato della Repubblica per l'acquisizione del pareredelle competenti Commissioni.