|
La risposta dell'avv. Cuniberti alle critiche del dr. Cammarata:
Email e requisito di forma scritta
* Estratto da un approfondimento di Andrea Lisi e Marco Cuniberti in pubblicazione su Punto-Informatico n.1999 di lunedì 02.02.2004
Egregi... tutti :-),
negli ultimi giorni ha fatto scalpore la notizia di un decreto ingiuntivo che il Tribunale di Cuneo, accogliendo un mio ricorso, ha concesso sulla base di semplici email, accogliendo la tesi secondo cui, alla luce della normativa in tema di documento informatico, anche la email "semplice" si può considerare sottoscritta con firma elettronica, soddisfando quindi il requisito legale di forma scritta.
Ammetto che nel ricorso ho, volutamente, esposto in modo sommario e
superficiale la questione giuridica; ho però purtroppo anche fatto, questo non
volutamente (e chiedo scusa a tutti quelli che si sono sentiti offesi :-))),
degli errori, soprattutto tecnici.
Tuttavia, per i motivi che andrò a esporre, resto convinto che anche la
"semplice" email possa rientrare (vorrei dire "debba", ma - diversamente da
altri - ritengo che con l'attuale caos normativo e le relative
contraddizioni, una certezza assoluta sia difficile da sostenere)
tra i documenti informatici sottoscritti con firma leggera.
Altra premessa (da praticone del diritto, da frequentatore di aule e
cancellerie, non certo da studioso): a me dei lavori preparatori di una
legge, delle leggi precedenti che essa stessa ha abrogato, dei lavori
preparatori delle direttive europee e della giurisprudenza degli Stati
Uniti, non importa, nè può importare - scusate l'espressione - un fico secco.
O meglio, a me (e al giudice, ovviamente non specializzato) interessa la LETTERA delle
norme e, eventualmente, la giurisprudenza (se c'è).
Io sono in studio, arriva un cliente, mi espone un problema relativo a una
legge: allora prendo la legge, la conosco e la studio quindi incidentalmente,
poi cerco di interpretarla e di applicarla, nella maniera migliore per il
mio cliente.
Nel caso di specie, mi sono posto il problema: posso interpretare il dpr
445/00 in modo che ad una email semplice venga attribuita FORMA (attenzione:
non valore di prova, ma semplicemente forma!) scritta?
Una parentesi: io avevo tutta la documentazione cartacea che volevo, ma ho
appositamente voluto produrre solo il documento informatico (e relativa
stampa, specificando espressamente che si trattava di semplice
rappresentazione cartacea di documento informatico): si è trattato di una
provocazione, ammetto che l'ho fatto apposta, mi sarebbe andato bene anche se il
giudice non mi avesse concesso il decreto (ci avrei rimesso 32 euro MIEI e
poi avrei riproposto il ricorso con le forme...tradizionali): in caso di
un'eventuale opposizione, invece, avrei prodotto tutto quello che avevo.
Pertanto, stavo in una "botte de' fero".
Comunque: ci ho pensato un po' e sono arrivato a concludere (e qui non c'è
niente di giuridico) che tra una lettera contenente un foglio in cui c'è
scritto "io sottoscritto Mario Rossi ti devo mille lire" cui segue una firma
a penna dove si legge Mario Rossi (con il quale foglio io posso, ex art. 634
cpc, ottenere un DI) e una email con lo stesso contenuto, mi devo fidare molto
meno della prima.
Infatti, la lettera cartacea può non provenire dall'apparente autore e io,
nella migliore delle ipotesi, potrò solo scoprirne (e nemmeno di sicuro, se
il falsario è bravo) la falsità, mentre nel caso della mail ci sono un sacco
di belle informazioni che mi dicono quasi tutto, o comunque molto di più
della carta.
Ciò premesso, mi sono messo ad esaminare il 445/00 e le norme sul documento
informatico sottoscritto con firma elettronica leggera.
Per prima cosa mi son quindi chiesto: la email è un documento informatico?
L'art. 1, comma 1, lett. b) lo definisce "la rappresentazione informatica di
atti, fatti o dati giuridicamente rilevanti": e poichè la email è la
rappresentazione informatica di tante cose, tra cui una dichiarazione di
volontà o di scienza, non vedo come si possa negare che rivesta le
caratteristiche della norma citata.
A questo punto, l'art. 10, comma 2, mi dice che "Il documento informatico,
sottoscritto con firma elettronica, soddisfa il requisito legale della forma
scritta".
Punto e basta, non andiamo oltre.
Se riesco quindi a dire che la email è sottoscritta con firma elettronica, è
fatta, potrò dire che riveste, per la nostra legge, forma scritta.
L'art. 1, comma 1, lett. cc), mi dice che la FIRMA ELETTRONICA è l'insieme
dei dati in forma elettronica, allegati oppure connessi tramite associazione
logica ad altri dati elettronici, utilizzati come metodo di autenticazione
informatica.
Ora, poichè a me - che non sono un ingegnere, nè il padre della firma digitale o un suo omofono - sembra ovvio che la
definizione "sottoscrizione" costituisce, per quel che riguarda un documento
informatico e quindi la rappresentazione grafica di dati, una fictio juris
(in quanto in nessun caso si scrive alcunchè, neppure con la firma digitale,
che corrisponde all'inserimento, da parte di qualcuno - quasi sempre diverso
dall'effettivo titolare :-((( - di una smart card e della digitazione di un
PIN, che non viene certo riportato nella mail), mi sento di dire che
"documento informatico sottoscritto con firma elettronica" possa anche esser
interpretato con "firma elettronica apposta (o allegata) al documento
informatico".
Per cui, secondo la mia interpretazione, è necessario che al
documento informatico sia più che altro allegata una firma elettronica, la
deve comunque contenere, in modo che il destinatario la possa controllare (o
addirittura verificare).
Se ciò è vero, la mia email deve contenere una firma elettronica, cioè:
1) Un insieme di dati in forma elettronica;
2) Che siano allegati oppure connessi - tramite associazione logica - ad
altri dati elettronici, utilizzati come metodo di autenticazione informatica.
Prima di analizzare questi due punti, puntualizziamo che la norma non mi
chiede assolutamente che questa "firma" sia sicura, certa, infalsificabile,
con Hash, Dash o Dixan, ecc: esattamente come per un foglio di carta (è
comunque forma scritta, indipendentemente dal fatto che la firma sia falsa)
si richiede solo che questa firma (o cos'altro è) ci sia.
Allora:
1) La mia email ha (oltre ovviamente alla firma del mittente, in fondo alla
mail stessa, che ai nostri fini non serve a niente, anche se ritengo che
potrebbe avere rilevanza ai fini penali, ex art. 491 bis c.p.) un indirizzo
di provenienza (che mi dice - a parte il fatto che possa essere
falsificata - chi l'ha mandata) e sopratutto gli headers: cioè una serie di
dati precisi che mi dicono un sacco di cose (molte più di quante potrebbe
dirmi uno sconosciuto foglio di carta!), tra cui tutto il percorso della
email e, soprattutto, da quale ISP arrivi. In pratica, mi dice che arriva da
un'area riservata di un ISP (cioè che per mandarla occorreva aver accesso a
quell'area riservata).
Mi dice inoltre il momento di invio e l'IP, da cui posso risalire addirittura alla macchina che me l'ha mandata.
2) Che un sistema di ID + PW sia, almeno per la lingua italiana, un metodo
di autenticazione informatica, non ci piove. Il dato è inoltre confortato
dal nuovo codice della privacy, che lo ha disposto espressamente.
Come abbiamo visto, gli headers mi dicono che quella email è stata scritta da
qualcuno che ha dovuto necessariamente, per scriverla, inserire
un ID e una PW; o meglio, che chi l'ha scritta, non può non aver inserito
l'ID e la PW.
Per cui posso dire di sapere, grazie agli headers, che per scrivere quella
email è stato utilizzato un metodo di autenticazione informatica.
E a questo punto, come posso negare che ci sia una connessione logica,
un'associazione di idee tra l'insieme di dati indirizzo-headers (contenuti
nella email da me ricevuta e quindi in mio possesso) e il metodo di
validazione necessariamente (condicio sine qua non) utilizzato?
Mi è stato eccepito che quanto sopra varrebbe per la webmail, mentre
solitamente i client di posta possono inviare posta senza autenticarsi
(l'autenticazione sarebbe richiesta solo per la ricezione della posta):
ebbene, se da un lato mi sembra... già qualcosa (e chiedo ai tecnici se sia possibile vedere dagli headers se è stato usato un client o si tratta di webmail), dall'altro ritengo comunque agevole rispondere che, anche se
non ci si autentica in quella specifica occasione, si utilizza comunque un
identificativo (l'indirizzo del mittente) relativo a un'area
riservata creata apposta e quindi comunque protetta dal suddetto metodo di
autenticazione, per cui l'associazione di idee con detto metodo non viene a mancare (in caso contrario - se cioè il mittente
inserisse appositamente nel suo client un indirizzo che non esiste, come ad
esempio mariorossi@libero.it, approfittando del fatto che non è richiesta
l'autenticazione, facendomi credere falsamente che arriva da
quell'inesistente account - commetterebbe un illecito, poichè chiunque
crederebbe che quell'account è "normale", cioè esista un'area riservata
relativa al titolare).
Se poi si pensa alle email cd. "di risposta" (cioè quelle con in allegato o
in quoting il contenuto della stessa email cui si vuole rispondere), allora
saremo addirittura sicuri che l'autore è proprio colui cui io ho scritto ed
avrà certamente dovuto autenticarsi.
Un altra eccezione è quella secondo cui, l'art. 22 del 445 definisca il
"sistema di validazione" come "il sistema informatico e crittografico in
grado di generare ed apporre la firma digitale o di verificarne la
validità", per cui il mio bel sistema di ID + PW andrebbe a farsi benedire.
Semplicemente, però, ritengo si parli d'altro: la norma dice infatti che la
firma elettronica è un "metodo di autenticazione informatica" e un "sistema
di validazione". Perchè il legilatore, nello stesso decreto (anzi, T.U.!),
usa due espressioni diverse? Ha paura delle ripetizioni? O forse si
riferisce a qualcos'altro, più specifico? Io propendo per la seconda
ipotesi.
Invece, il successivo codice della privacy (che si presume quindi scritto
anche alla luce del 445: chi la pensa diversamente - magari anche a
ragione - provi a spiegarlo ad un giudice...), usa
esattamente le stesse parole, proprio di "autenticazione informatica" e,
guarda caso, parla di ID + PW.
Bene, può darsi che i ragionamenti di cui sopra (scritti di getto, tra un atto di citazione e una richiesta di patteggiamento, per cui probabilmente la forma non sarà impeccabile :-)) non rappresentino una verità
assoluta, siano opinabili e magari anche sbagliati, ma non mi sembra che
giustifichino la necessità di... sostenere nuovamente l'esame di diritto privato.
Non sono un tecnico e può ben darsi che abbia commesso degli errori tecnici:
ricordiamoci però che nemmeno il giudice è un tecnico e, anche se chi ha
scritto la legge aveva in mente qualcosa di particolare, l'unica cosa che
interesserà al giudice che l'applicherà (per cui al cliente che agisce in
giudizio, per cui a me) sarà il significato letterale delle norme e quanto se
ne può desumere.
Sappiamo tutti che spesso le norme si prestano a più interpretazioni:
prendiamone atto - i giudici servono appunto a interpretare le leggi - e adeguiamoci.
Ripeto: io sono un avvocato. Se c'è una legge scritta male (rectius: un
sistema di norme che fanno effettivamente a pugni tra di loro), invece di
semplicemente invocare una riforma (l'ennesima...), devo cercare di
intepretarla per com'è.
Mi sembra che comunque questo gran polverone abbia finalmente
portato l'attenzione sulla email "normale".
Mi spiego meglio: fino ad oggi ci si è sempre concentrati sul documento
"sicuro", cioè sottoscritto con firma digitale, cercando di imporre tale
metodo di validazione che nella realta dei rapporti commerciali (quella
quotidiana) - malgrado siano passati oltre 6 anni dalla sua introduzione e
si sia cercato di imporlo per legge in sempre maggiori ambiti - NON ESISTE
ed ha soprattutto alimentato polemiche (sulla sua compatibilità o meno ad ogni sistema operativo o ad ogni software), sospetti (ci sono parecchi interessi economici sottostanti) e... illeciti penali (basta chiedere ai commercialisti che firmano in luogo dei loro clienti).
Nella realtà, abbiamo invece la email "normale", che è oggi il metodo di
comunicazione più utilizzato non solo nel commercio elettronico, ma anche nei
rapporti commerciali "tradizionali": ormai tutta la fase precontrattuale e
di esecuzione dei contratti (specialmente servizi, appalti, contratti che
richiedano continui contatti tra le parti, ecc.), viene fatta via email
(viene lasciata al cartaceo solo la stipula del contratto vero e proprio);
per non parlare poi delle specifiche tecniche ed alle comunicazioni interne alle
aziende.
Inoltre, tale mezzo di comunicazione è certamente più sicuro di un atto che
abbia semplice forma scritta: come ho già accennato, mi sembra che se mi
arriva una lettera cartacea con una carta intestata ed una firma che non
conosco, avrò meno garanzie di quelle che, ad un'analisi approfondita, mi
può dare una email (pensiamo a quante informazioni ci sono negli headers,
mentre in una lettera posso al limite sapere con certezza da che città è
partita).
Sono sicuro che se ad un PM... permaloso io invio una lettera di insulti
scrivendola con i guanti e la firmo Mario Rossi, tale PM non mi troverà mai,
mentre se gliela mando via email, posso anche inventarmi gli account che
voglio, ma temo che...
E' quindi fondamentale esaminare approfonditamente gli aspetti giuridici della
email "normale", alla luce delle norme che, volenti o nolenti, sono ora in
vigore in Italia.
E non vi sembra che - anche nell'ipotesi che la mia tesi non
fosse esattissima (ma non si può dire che sia assolutamente infondata) -
potrebbe non essere così azzardato (anche in una eventuale riforma normativa) riconoscere chiaramente alla email "normale" valore di FORMA scritta (non dico valore di PROVA scritta), con libera valutabilità della sua attendibilità in concreto da parte del Giudice?
Non vi sembra un po' eccessivo che, se in un'eventuale causa civile contro
di me l'attore produce 100 email da me inviategli, con tanto di allegazione o
quoting di email a cui io rispondevo, contenenti il mio nome e provenienti
da marco.cuniberti@cuniberti.it, io possa, semplicemente disconoscendole,
renderle completamente inutili? Mentre invece, se l'attore si fosse da sè
creato un semplice foglietto di carta a mia firma, io sarei costretto a
chiedere una perizia calligrafica, pregando che la mia firma non sia stata
falsificata troppo bene?
A me sì.
Marco Cuniberti
31/01/2004
|