Efficacia del documento sottoscritto con firma elettronica qualificata o con firma digitale: ritorno al futuro
Il nuovo progetto di Codice dell'amministrazione digitale,
recentemente approvato dal Governo ed ora all'esame del Consiglio di
Stato e delle varie Commissioni parlamentari, reca alcune rilevanti
novità in tema di forma ed efficacia del documento informatico (preferisco
utilizzare questa classificazione, a mio avviso più corretta secondo la
tradizione giuridica italiana, piuttosto che parlare di efficacia della
firma digitale). Ciò discende direttamente dalla delega legislativa che
era stata attribuita al Governo con la Legge di semplificazione 2003, la
quale prevedeva espressamente la facoltà introdurre modifiche di
riordino della normativa in tema di documento informatico e firma
elettronica, con lo scopo di graduare gli effetti giuridici riconosciuti
alle varie tipologie di firme elettroniche e digitali in funzione del
loro grado di sicurezza.
Prima di commentare l'articolo 18,
che contiene una nuova disciplina dell'efficacia del documento
sottoscritto con firma elettronica avanzata o digitale, occorre fare un
breve excursus storico e rivisitare le norme che si sono succedute nel
tempo, indagando le ragioni che sottendevano a tali scelte legislative.
Come a tutti noto, il DPR 513/93 stabiliva all'art 5 (Efficacia
probatoria del documento informatico) che: "1. Il documento
informatico, sottoscritto con firma digitale ai sensi dell'articolo 10,
ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice
civile."
Tale impostazione, scelta dei primi studiosi che
si erano occupati di questo delicato aspetto delle firme elettroniche
(principalmente D. Limone e F. Cocco), era, per certi versi, obbligata.
Da un lato, vi era stata la scelta di politica legislativa operata con
la cd. "Bassanini 1" (legge 59/1997), in base alla quale si era
stabilito di replicare le categorie giuridiche esistenti nel diritto
tradizionale anche per il "cyberspazio", anziché crearne di nuove.
Dall'altro lato, vi era il Codice civile italiano che offriva una
ripartizione, per così dire, su quattro livelli, ad efficacia probatoria
crescente, all'interno dei quali si era ritenuto inevitabile, per una
sorta di "parallelismo assoluto", ricomprendere i "nuovi fenomeni
digitali":
* "documento informatico non sottoscritto" quale
"riproduzione meccanica" (art. 2712 cod. civ.);
* "documento
informatico sottoscritto con firma digitale" quale "scrittura privata"
(art. 2702 cod. civ.);
* "documento informatico sottoscritto con
firma digitale davanti al notaio o pubblico ufficiale" quale "scrittura
privata autenticata" (art. 2703 cod. civ.);
* "atto pubblico" (art.
2700 cod. civ.) per il quale non veniva previsto (forse perché non
ritenuto possibile) un equivalente basato su documento informatico.
Tale scelta iniziale appariva senza dubbio molto logica, molto
suggestiva. Inoltre, semplificazione non da poco, vi era un solo tipo di
firma digitale da disciplinare.
Il Testo Unico in materia di
documentazione amministrativa (DPR 445/2000), a parte uno "svarione"
sulle cd. "riproduzioni meccaniche" contenuto nel comma 1, non aveva
inizialmente introdotto novità in tema di forma ed efficacia del
documento informatico. Stabiliva, infatti, all'art. 10 (originario) che
"3. Il documento informatico, sottoscritto con firma digitale ai sensi
dell'art. 23, ha l'efficacia di scrittura privata ai sensi dell'art.
2702 cod. civ.".
Solo successivamente, in sede di
attuazione della Direttiva 1999/93/CE, con la modifica dell'art. 10 del
DPR 445/2000 introdotta dal Decreto Legislativo 10 gennaio 2002, n. 10,
si è avuta una rilevantissima differenza laddove il comma 3 è stato
modificato nel modo seguente: "3. Il documento informatico, quando è
sottoscritto con firma digitale o con un altro tipo di firma elettronica
avanzata, e la firma è basata su di un certificato qualificato ed è
generata mediante un dispositivo per la creazione di una firma sicura,
fa inoltre piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l'ha sottoscritto".
Questa differenza
ha naturalmente determinato un dibattito accesissimo tra gli studiosi
delle infrastrutture di sicurezza a chiave pubblica.
L'argomento principe che suffragava la scelta del legislatore in sede
d'attuazione della direttiva, come si evince chiaramente dalla relazione
d'accompagnamento al Decreto legislativo 10/2002, è di natura
eminentemente pratica.
In estrema sintesi, il ragionamento
era questo. Poiché, in base all'art. 2702 cod. civ., una scrittura
privata (cartacea) "fa piena prova, fino a querela di falso, della
provenienza delle dichiarazioni da chi l'ha sottoscritta", se questa
è considerata legalmente riconosciuta; e poiché la scrittura (cartacea)
è legalmente considerata come riconosciuta, tra le varie ipotesi, se al
termine del processo di verificazione di cui all'art. 214 e segg. cod.
proc. civ., la grafia contenuta nel documento, sulla base dell'analisi
delle scritture di comparazione di provenienza certa, risulta
attribuibile all'autore (l'art. 220 cod. proc. civ. recita esattamente
"scrittura o sottoscrizione di mano della parte che l'ha negata");
assumendo che la validazione della firma digitale, passaggio
indispensabile per appurare l'esistenza e la validità di una firma
digitale apposta ad un documento informatico, fosse l'equivalente del
culmine della verificazione giudiziale di un documento cartaceo, il
legislatore del DPR 445/2000 aveva concluso che la firma digitale doveva
considerarsi sempre come verificata quanto a provenienza. Pertanto,
concludendo questo sillogismo normativo, il legislatore aveva stabilito
che se la firma digitale era certa quanto a provenienza (in quanto
diversamente non sarebbe nemmeno esistita), rendendosi la verificazione
inutile, in quanto implicita nella procedura di validazione della firma
digitale, ricorrendo de facto uno dei presupposti in base ai quali il
documento (informatico) poteva essere ritenuto come legalmente
riconosciuto, allora non poteva che discenderne l'efficacia fino a
querela di falso.
Si noti come la considerazione della
sostanziale inutilità della verificazione (intesa come il procedimento
previsto dalle norme processuali civilistiche) applicata alla firma
digitale era stata sostenuta in dottrina da alcuni valenti studiosi, tra
cui R. Zagami, il quale aveva ipotizzato, già in sede di commento del
DPR 513/97, un'efficacia di fatto più simile alla scrittura privata
autenticata ex art. 2703 cod. civ..
Da molti si è gridato allo
"scandalo", sostenendo che l'attribuzione di un'efficacia fino querela
di falso fosse un assurdo giuridico, anche perché vi era difetto
d'intervento del soggetto che può attribuire la fede pubblica, vale a
dire il notaio o il pubblico ufficiale. Tra i sostenitori di questa tesi
vi sono, con varie argomentazioni, E. Santangelo e M. Nastri, U. Bechini,
M. Cammarata e E. Maccarone ed in misura più attenuata G. Finocchiaro.
L'attuazione della direttiva europea 1999/93/CE rendeva vieppiù
complicato il quadro giuridico in tema di forma ed efficacia del
documento informatico anche per altri motivi. Come noto, la direttiva
europea risultava il frutto di un vistoso compromesso tra Paesi che
propugnavano l'utilizzo di firme cd "forti" (Italia, Spagna, Germania e
Francia) e Paesi che propugnavano il ricorso a firme cd. "deboli" (soprattutto
i Paesi Scandinavi), peggiorato dalla scelta (obbligatoria per un atto
normativo comunitario) dell'approccio "tecnologicamente neutro", che non
solo vanificava illuminate scelte normative italiane, ma riscriveva
financo le definizioni che il legislatore italiano aveva già adottato.
Da qui nasceva la previsione di due categorie di firme: le elettroniche
e le elettroniche avanzate, con le firme digitali del DPR 513/97 che
rientravano in qualche modo nella categoria delle firme elettroniche
avanzate.
A questo punto, dunque, il recepimento della
direttiva, in un certo modo, "sparigliava" il "parallelismo assoluto" su
cui si era basato il legislatore del DPR 513/97, dato che nella
tripartizione classificatoria sopra accennata: riproduzione meccanica
(documento informatico non sottoscritto), scrittura privata (documento
informatico con firma digitale) e scrittura privata autenticata
(documento informatico con firma digitale apposta davanti al notaio o
pubblico ufficiale), introduceva un quarto elemento, documento
informatico sottoscritto con firma elettronica (non avanzata), per il
quale si trattava letteralmente di "inventarsi" una soluzione, come
quando si hanno quattro invitati ma solo tre posti a sedere a tavola.
Come noto, per le firme elettroniche, la soluzione è stata quella di
riconoscere, con vistosa e reiterata contraddittorietà nell'ambito di un
solo comma, il secondo, dell'art. 10 del DPR 445/2000: efficacia di
forma scritta; nel contempo, assenza di efficacia sul piano probatorio
salvo rinviare la determinazione degli effetti giuridici alla decisione
del giudice sulla base delle caratteristiche oggettive di qualità e
sicurezza; ed infine ancora, efficacia ai fini dell'assolvimento
dell'obbligo di tenuta delle scritture contabili obbligatorie (ex art.
2214 e seguenti del codice civile e da ogni altra analoga disposizione
legislativa o regolamentare).
Sarebbe interessante capire per
quale motivo un documento non ritenuto adeguato in linea di principio a
costituire mezzo di prova, salvo valutazione favorevole del giudice
quanto all'adeguatezza delle caratteristiche oggettive di qualità e
sicurezza, veniva invece considerato dal legislatore dell'attuazione
della direttiva come sufficiente ed adeguato ai fini della tenuta delle
scritture contabili.
Detto questo, il riconoscimento dell'efficacia
fino a querela di falso di un documento informatico sottoscritto con
firma digitale o firma elettronica qualificata potrebbe apparire per
certi versi un male minore rispetto alla soluzione del DPR 513/97.
Vediamo perché, e subito dopo vediamo perché la soluzione prevista dal
nuovo Codice dell'amministrazione digitale mi sembra preferibile alle
altre due soluzioni "contendenti in campo". Tesi, antitesi e sintesi.
Sul piano logico, e terminologico, occorre osservare che l'efficacia
dell'art. 10 del DPR 445/2000 (mi riferirò qui solo a documenti
informatici sottoscritti con firma digitale o con firma elettronica
qualificata) non sia mai stata classificata dal legislatore come
integrante una scrittura privata autenticata (di cui all'art. 2703 cod.
civ.). Questo anche in funzione del difetto di soggettività ad
attribuire la fede pubblica. Meglio sarebbe dire che un documento
sottoscritto digitalmente viene considerato come legalmente riconosciuto
in base all'art. 2702 cod. civ. (a tutti e nota la curiosa formulazione
del codice civile a proposito della scrittura privata a concetto
invertito, si parla di riconoscimento per attribuire la possibilità del
disconoscimento).
Tuttavia, tale constatazione potrebbe
risultare debole ed inconferente, giacché gli effetti pratici sono gli
stessi di quelli previsti dall'art. 2703 cod. civ. che disciplina invece
la scrittura privata autenticata.
Piuttosto, mi sembra che valga la
pena di notare come, tra l'efficacia di scrittura privata e l'efficacia
fino a querela di falso, quest'ultima, fino ad approvazione del nuovo
Codice dell'amministrazione digitale, meglio abbia tutelato lo sviluppo
della giovane e purtroppo debole e minacciata vita della firma digitale.
Mi spiego meglio. A mio parere, l'efficacia di scrittura privata ex art.
2702 cod. civ. appare insufficiente e qualora fosse ripristinata
tucur rischierebbe di determinare la morte (mediante processo civile:
un "ossimoro" in questo senso) della firma digitale.
La
ragione è semplice: come accennato, nel nostro ordinamento non sono
state create norme specifiche per disciplinare i fenomeni
dell'informatica e del cyberspazio, preferendo ricorrere alle categorie
giuridiche preesistenti. Soprattutto, da un punto di vista processuale,
non è stato introdotta alcuna norma specifica per disciplinare le
modalità di disconoscimento e di verificazione di un documento
informatico sottoscritto digitalmente.
Se ciò è vero, e se consideriamo che uno dei principi base del nostro
processo civile è l'onere della prova a carico dell'attore stabilito
dall'art. 99 cod. proc. civ. (onus probandi incumbit ei qui dicit),
allora risulta chiaro che in caso di disconoscimento della provenienza
di un documento sottoscritto digitalmente (si noti, più propriamente che
non disconoscimento della firma digitale) da parte del titolare, allora
chi ha prodotto il documento (l'attore) dovrà dare dimostrazione della
provenienza, sopportando l'onere della prova per intero. Solo
successivamente alla vittoriosa dimostrazione di provenienza il
documento potrà essere considerato riconosciuto e valido fino a querela
di falso.
Ora, il fatto è che, a differenza di un documento
cartaceo con sottoscrizione olografa, dove la grafia è la diretta
espressione psicosomatica del firmatario (abbiamo ricordato la felice
espressione del codice di rito "di mano della parte che l'ha negata"), e
dove l'accertamento del perito serve a stabilire l'abbinamento
grafia-autore, nel caso di sottoscrizione digitale l'operazione di
apposizione di una firma digitale può avvenire solo tramite l'utilizzo
di un mezzo materiale, il dispositivo sicuro per la creazione di firma.
In altri termini, la firma digitale o elettronica qualificata non
fluisce direttamente dalla mano del firmatario, bensì risulta
dall'utilizzo di un corpus mechanicus, indipendentemente dalla
"mano" che l'ha utilizzata.
Orbene, se si applica per intero
il principio dell'onere della prova a carico all'attore, quale stabilito
dall'art. 99 cod. proc. civ., allora ne consegue che l'attore dovrebbe
dare dimostrazione, a fini della provenienza del documento, non solo
della validità del certificato, o meglio della validità della chiave
pubblica al momento della sottoscrizione, bensì anche dell'imputabilità
al titolare medesimo dell'utilizzo del dispositivo di firma. Prova a dir
poco impossibile per l'attore, qualora la sottoscrizione digitale non
sia avvenuta alla presenza di un terzo (pubblico ufficiale o notaio?).
Temo, dunque, che un ripristino dell'efficacia di scrittura privata
rischierebbe di rendere facilmente, troppo facilmente, disconoscibile un
documento sottoscritto con firma digitale, che così degraderebbe - nei
fatti - al ragno di riproduzione meccanica. Ed a questo punto il cd.
"non ripudio", tanto caro agli informatici che si occupano di questa
materia, sarebbe una chimera irraggiungibile ed il valore di una firma
digitale equivarrebbe a nulla. E se così dovesse accadere, temo che
della firma digitale non interesserebbe più a nessuno dei potenziali
utilizzatori e tanto meno alle loro controparti.
Se, dunque,
l'efficacia di scrittura privata potrebbe essere considerata troppo
debole (in assenza di correttivi della legge processuale, precisamente
sul procedimento di verificazione), è altrettanto vero che anche
l'efficacia fino a querela di falso potrebbe essere considerata
eccessiva. Anche in questo caso mi spiego meglio.
Se è vero
che, nel caso di efficacia di scrittura privata, il titolare potrebbe
semplicemente disconoscere la provenienza del documento e lasciare alla
controparte l'onere di provarla, nel caso di efficacia fino a querela di
falso è chiaro che spetterebbe al titolare della firma digitale o
elettronica qualificata l'onere di disconosce con ogni mezzo la
provenienza del documento informatico prodotto in giudizio.
Ebbene, come ha acutamente notato su queste colonne il Capo dell'ufficio
legislativo del Dipartimento per l'innovazione e le tecnologie, avvocato
Enrico De Giovanni nell'intervista del 4 aprile 2003 (http://www.interlex.it/docdigit/degiovanni2.htm),
liberarsi degli effetti di una firma digitale o elettronica qualificata
apposta illecitamente potrebbe risultare eccessivamente oneroso per il
titolare. Egli dovrebbe, infatti, promuovere, tramite querela di falso,
un apposito procedimento da celebrarsi davanti al Tribunale in
composizione collegiale, con l'intervento del pubblico ministero ai
sensi dell'art. 221 e segg. cod. proc. civ.. Insomma, con un
procedimento soggetto ad una certa durata, comunque dotato di rilevanza,
giacché si dibatterebbe di fede pubblica, durante il quale rischierebbe
in ogni modo di subire - medio tempore - gli effetti
dell'utilizzo illecito prodottisi comunque prima del procedimento
incidentale che risulterebbe necessario sollevare (pagamenti,
trascrizioni, pignoramenti, ecc.).
Considerando appieno tutti
gli aspetti di questa situazione, dove l'efficacia di scrittura privata
appare troppo "debole" e l'efficacia fino a querela di falso troppo "forte"
appare dunque inevitabile approdare ad una nuova soluzione.
In
effetti, a ben vedere, il punto critico di tutta la questione
dell'efficacia della firma digitale e del suo disconoscimento risiede
proprio in questo: da un lato nel rischio di rendere eccessivamente
facile (per il titolare di un certificato) il disconoscimento della
sottoscrizione digitale e, dall'altro lato, nel rischio di rendere quasi
impossibile (per l'attore che producesse un documento sottoscritto
digitalmente) fornire la prova dell'utilizzo del dispositivo di
sottoscrizione recante la chiave privata abbinata alla chiave pubblica
contenuta nel relativo certificato.
Logico quindi pensare che
un ritorno alla "efficacia di scrittura privata", in modo da correggere
le tante anomalie della "efficacia fino a querela di falso", deve essere
accompagnato da un "correttivo", tale da impedire al titolare un
disconoscimento di comodo ed al contempo in grado di alleviare la
controparte dell'onere di una prova quasi impossibile, in modo tale da
evitare di svuotare di significato la firma digitale.
A mio
modo di vedere, si tratta dunque di temperare il regime probatorio a
carico dell'attore, inserendo una presunzione d'attribuibilità
dell'utilizzo del dispositivo sicuro di firma in capo al titolare, salvo
che questi provi il contrario.
In questo modo si ritorna
nell'ortodossia della classificazione giuridica del codice civile
italiano, si evita di scomodare la querela di falso e le conseguenti
implicazioni processual civilistiche e si ottiene, inoltre, un "bilanciamento"
degli interessi delle parti.
In aggiunta, oltre a sgravare
l'attore che produce un documento sottoscritto digitalmente dell'onere
della prova impossibile, si ottengono anche due ulteriori vantaggi. Si
consente al titolare, se necessario, di disconoscere la provenienza del
documento, o meglio dell'utilizzo del dispositivo di firma, in modo
anticipato, direttamente durante il processo ordinario di cognizione,
con indubbia economia di tempo ed attività giudiziale e difensiva;
inoltre, si fornisce al giudice di merito una chiave interpretativa
chiara in materia di disconoscimento della firma digitale ed elettronica
qualificata, evitando di coinvolgerlo in una valutazione che in qualche
caso potrebbe avvenire anche non considerando appieno tutti gli aspetti
connessi al funzionamento tecnico e di sicurezza ovvero che potrebbe
portare a vistose disparità di valutazione da parte di giudici diversi a
parità di situazione.
In questo senso va letta favorevolmente
la nuova disposizione contenuta nell'art. 18 (Valore probatorio del
documento informatico sottoscritto) del nuovo Codice
dell'amministrazione digitale, che sostituisce il comma 3 dell'art. 10
nel modo seguente: "2. Il documento informatico, sottoscritto con
firma digitale o con un altro tipo di firma elettronica qualificata, ha
l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo
del dipositivo di firma si presume riconducibile al titolare, salvo che
sia data prova contraria."
La nuova formulazione mi sembra
colga bene le esigenze che sopra ho espresso, attui un buon
bilanciamento tra gli interessi delle parti ed inoltre renda equilibrato,
in termini di oneri probatori, un eventuale fase di disconoscimento del
documento informatico sottoscritto con firma digitale o con firma
elettronica qualificata.
La parola ora passa alla
giurisprudenza. Questa ci dovrà dare finalmente un riscontro
dell'applicazione concreta di questa costruzione giuridica nella vita
giudiziaria di tutti i giorni. Certo, tre cambi d'indirizzo in pochi
anni sono tanti; tuttavia sarebbe stato peggio non evolvere il pensiero
giuridico e non adattare le norme alla nuova realtà tecnica, anche alla
luce della conoscenza via via acquisita ed affinata in un campo senza
dubbio nuovo.
Milano, 29 novembre 2004
Luigi Neirotti
Avvocato in Milano
Partner Studio Legale Tributario - EYLaw
Responsabile del dipartimento di diritto dell'informatica