L’amico e collega Manlio Cammarata mi ha invitato ad esprimere il mio parere sulla sua proposta di revisione delle “definizioni” relative al documento informatico ed alle firme elettroniche contenute nel Codice dell’amministrazione digitale.
Prima di entrare nel merito della proposta, ardita ed affascinante, è necessaria una premessa metodologica che ritengo utile e che ho avuto modo di maturare, tra l’altro, in questi anni passati a stretto contatto con tecnici informatici per via di innumerevoli progetti nei quali sono stato chiamato a prestare la mia opera professionale. Negli scritti giuridici appartenenti alla nostra tradizione le “definizioni” assumono solitamente un ruolo ed un significato diverso rispetto agli scritti tecnici. Parallelamente, i giuristi italiani sono soliti sviluppare ed utilizzare le “definizioni” in modo differente rispetto a quanto fanno i tecnici, considerando in questa categoria i professionisti che hanno una formazione di base incentrata sulle cd. “scienze esatte”, più in particolare legata allo studio dell’analisi matematica. Occorre dire, inoltre, che l’uso delle definizioni negli scritti giuridici, contratti e testi normativi, è alquanto recente per il nostro ordinamento a differenza di quanto accade in altri ordinamenti. A questo riguardo si confrontano due tradizioni tra loro differenti: quella germanica, che ricorre a definizioni di tipo dogmatico con scopo meramente interpretativo ed al fine di esattezza delle norme giuridiche, soprattutto per il caso di concetti ed istituti ripetuti in varie parti di quell’ordinamento; quella di “common law” anglo-sassone, dove l’uso delle definizioni assume nei testi normativi non solo un ruolo interpretativo ma anche vincolante per la giurisprudenza, per i casi rientranti nelle definizioni date (cd. Statute). Ciò risulta maggiormente spiegabile se inquadrato nel sistema di “common law” e nel ruolo che assume il giudice in quel sistema. Il ricorso all’uso delle definizioni è progressivamente filtrato nel nostro ordinamento, prima a livello contrattuale e più di recente a livello normativo, grazie soprattutto alle disposizioni contenute nelle direttive europee ed al loro meccanismo di attuazione. Le definizioni si sono rese necessarie nel processo di produzione normativa comunitaria sia in ragione delle difficoltà linguistiche, sia anche in ragione delle disarmonie e differenze negli istituti presenti nei diversi ordinamenti dei Paesi membri, sia infine grazie alla forte tradizione anglo-sassone.
Detto questo, emerge una caratteristica di fondo nell’utilizzo delle definizioni (sia contrattuali, sia legislative) nel nostro ordinamento e nella nostra tradizione giuridica: esse sono storicamente desunte dalla dottrina quali elementi caratterizzanti determinati istituti se non presenti nel testo, ovvero, più di recente, vengono predisposte con l’obiettivo di facilitare l’edizione di un testo contrattuale o normativo e la sua interpretazione, riportando i concetti ricorrenti in apposita sezione all’inizio, mentre non sono, solitamente, utilizzate quale elemento “definitorio” di fattispecie o conseguenze giuridiche in modo a sé stante. In questo senso la nostra tradizione giuridica si ispira e si avvicina molto a quella germanica e non assomiglia a quella di common law. Si noti bene, nella tecnica giuridica italiana le definizioni, quanto direttamente presenti nel testo legislativo, sono predisposte al termine della redazione, dopo aver sviluppato tutti gli istituti e le fattispecie che s’intende regolare. Solitamente si decide di dare rango di definizione ad un concetto, ad un istituto, solo nel caso in cui questi sia richiamato più volte nel medesimo testo. E’ esperienza ripetuta assistere alla cassazione di definizioni che, sebbene già predisposte, a seguito di successive revisioni e modifiche, non sono più richiamate nel testo definitivo. Diverso è l’approccio adottato dai tecnici, o meglio negli scritti di natura tecnica. In questo caso emerge, alla base, il metodo matematico il quale pone all’inizio i termini del problema, li “definisce”, e da questo deriva tutte le conseguenze sino alla dimostrazione del teorema, o alla soluzione del problema. Nell’approccio matematico accade dunque l’opposto rispetto all’approccio giuridico tradizionale italiano: prima si pongono i termini della questione (le definizioni) e poi da queste si derivano tutte le conseguenze. Da questo punto di vista una definizione può anche avere fine a sé stessa, nel senso che serve a porre un presupposto, una regola anche se non viene ulteriormente utilizzata nel testo che segue. Nel “modello matematico”, quindi, le definizioni non hanno scopo interpretativo, bensì “definitorio”. In effetti, la tradizione di common law riprende, per qualche verso, alcuni di questi effetti. Ovviamente non è il caso di stabilire quale sia il metodo migliore, se esiste un metodo migliore; si tratta solo di constatare le varie differenze e di prendere atto che in materia di documento informatico e firme elettroniche, tema di frontiera, che coinvolge sia il diritto, sia la tecnica, ancora una volta si assiste ad un “confronto” tra le diverse discipline, giuridiche e matematiche, questa volta sulla tecnica legislativa, mentre sullo sfondo abbiamo la progressiva osmosi tra sistemi giuridici diversi, dove assistiamo all’ingresso nel nostro ordinamento di tradizioni a noi inizialmente estranee e che devono armonizzarsi con il resto delle nostre norme.
Tutto questo cosa c’entra? C’entra eccome! Ora vediamo perché. In linea di principio sono pienamente d’accordo con l’idea del dottor Cammarata, il quale propone di inquadrare in tre categorie distinte i diversi fenomeni della cosiddetta “autenticazione” informatica: a) validazione a fini di sicurezza, b) firma elettronica semplice (priva di alcuni requisiti di qualità e sicurezza che l’attuale tecnologia rende disponibile e senza garanzia di identificazione del titolare), c) firma elettronica qualificata (in presenza dei requisiti di qualità e sicurezza superiori che l’attuale tecnologia rende disponibili in aggiunta alla garanzia di identificazione del titolare). Tale idea era contenuta in nuce nel mio precedente articolo pubblicato sul Forum per il decennale di InterLex intitolato Firmare elettronicamente non sempre equivale a sottoscrivere, dove avevo tentato di mettere in evidenza come molte volte il ricorso ad una firma elettronica avvenga non al fine di sottoscrivere un documento informatico nel senso proprio del termine (per indicare la provenienza del documento e per confermare la coincidenza della volontà del titolare con la rappresentazione, contenuta nel documento, di atti o fatti giuridicamente rilevanti), bensì al fine di rendere maggiormente sicuro un documento informatico (per renderlo statico e non modificabile), oppure al fine di manifestare la propria identità per poter accedere ad una risorsa informatica (a fini di identificazione). Quindi, l’opportunità di distinguere tra usi delle firme elettroniche a fini di sottoscrizione (elettronica) nel caso di formazione di un documento (informatico) ed usi a fini di mera identificazione del titolare (per il caso d’accesso a risorse informatiche) ovvero ancora con intento di “securizzazione” di documenti (es. fatture elettroniche, informativa pre-contrattuale e post-contrattuale richieste dalla normativa in tema di contratti a distanza ovvero dei mercati finanziari) è da me condivisa.
Detto questo, dopo aver partecipato agli “Stati generali della firma digitale”, devo ammettere di aver aderito alla considerazione lanciata dall’avvocato De Giovanni, capo dell’ufficio legislativo del Ministero dell’innovazione e della tecnologia, il quale paventa il rischio di una “iper-normazione” in tema di firme elettroniche. Normalmente le norme seguono i fenomeni e codificano i comportamenti, o meglio le regole sottese ai comportamenti che il legislatore ritiene di voler far assurgere al rango di norme valide erga omnes. In questo modo, si dice, c’è la possibilità di avere un vaglio delle regole sulla base dell’esperienza e di un ampia casistica che minimizzi il rischio di un assetto poco adatto all’uso specifico. Sono tantissimi gli esempi che si potrebbero fare di norme che hanno seguito i fenomeni a distanza di tempo, codificando in qualche modo le regole che la pratica ha fatto emergere. Per rimanere nel campo d’interesse di InterLex basterebbe ricordare che la disciplina del software è stata introdotta nel nostro ordinamento nel 1992, quella delle “banche di dati” nel 1999 e quella sui “nomi a dominio” è del 2005 (!) con il nuovo Codice della proprietà industriale. Nel caso del documento informatico e delle firme elettroniche si è detto più volte che non è possibile attendere che la giurisprudenza consolidi delle massime d’esperienza, dato che è indispensabile stabilire delle regole di funzionamento tecnico a priori, senza le quali non sarebbe possibile formare i documenti informatici ed associare a questi le firme elettroniche. In questo caso, il “metodo matematico” (o di common law) prende necessariamente il sopravvento e le definizioni precedono la stratificazione delle regole, delle fattispecie codificate. Tuttavia, è anche vero che una “iper-normazione, “che tentasse di “ingabbiare” tutti i fenomeni in rigidi schemi interpretativi, sarebbe forse velleitaria. Del resto il nostro codice civile dedica solo pochi articoli alle “prove documentali” e non si cura di entrare troppo nei dettagli. E’ stata naturalmente la giurisprudenza a riempire di sostanza l’intelaiatura delle norme codicistiche. Nel caso nostro, bisogna ammetterlo, c’è un certo timore, da parte di taluno, che i giudici non applicheranno le norme nel modo in cui sono state concepite, o forse rispetto al paradigma delle infrastrutture a chiave pubblica da cui deriva l’impiego delle firme elettroniche, o forse ancora rispetto a certi effetti desiderati a livello di mera astrazione tecnica. Tuttavia, al riguardo vale la pena di svolgere alcune brevi considerazioni: - anche ricorrendo a norme dettagliate non v’è possibilità di limitare la discrezionalità del giudice, sia in virtù del nostro sistema di processo civile, che prevede espressamente l’equo apprezzamento del giudice, sia anche perché le fattispecie sono infinite e non possono mai essere ricompresse nelle norme che devono rimanere a carattere generale; - è opportuno lasciare qualche grado di libertà al giudice dato che nessuno ha oggi certezza di tutte le problematiche che sorgeranno a seguito dell’utilizzo delle firme elettroniche e quindi un approccio eccessivamente “deterministico” rischierebbe di essere controproducente per i casi – o meglio per le conseguenze dell’impiego delle firme elettroniche – non previsti o addirittura oggi non prevedibili; - l’orientamento della giurisprudenza deve essere in qualche modo “sovrano” nel senso che dovrà, almeno in parte, poter consolidare quelle regole di massima che la società civile riterrà eque e corrette rispetto all’uso delle firme elettroniche ed alla formazione di documenti informatici. Detto questo, ritengo che sarebbe bene introdurre nel nostro ordinamento una summa divisio, a livello definitorio, tra firme elettroniche quando utilizzate a fine di sottoscrizione (elettronica) e quando, invece, utilizzate per altri fini (identificazione, validazione a fini di sicurezza).
Per tale motivo, quanto ai fini differenti dalla sottoscrizione elettronica, da collocare idealmente nella categoria “autenticazioni” (per usare ancora una volta il termine con il significato che gli attribuiscono i tecnici), mi sembrerebbe utile ripristinare la distinzione, presente nella prima bozza del Codice dell’amministrazione digitale, tra: - Identificazione informatica: intesa come processo volto a verificare l’identità di un soggetto che accede ad una determinata risorsa informatica (non implica sottoscrizione e non richiede necessariamente certificato qualificato; è in questo concetto rientra l’attuale “autenticazione informatica”); - Validazione informatica: intesa come applicazione di una misura informatica volta a rendere sicuro o stabile e non modificabile un documento informatico, (diversa nello scopo ed eventualmente anche nella struttura dalla firma elettronica semplice o qualificata); - Autorizzazione informatica: intesa come verifica del potere d’accesso ad una risorsa informatica riservata di un determinato soggetto.
E’ da notare, per inciso, che l’ultima definizione – insieme a quella di “autenticazione informatica” – è utilizzata dal “Codice in materia di protezione dei dati personali” il quale, tuttavia, non ne fornisce una disciplina giuridica; sarebbe quindi importante colmare questa lacuna, considerato che esse sono previste tra le “misure minime di sicurezza” la cui mancata adozione configura una fattispecie penale.
Accanto agli istituti sopra richiamati, andrebbero confermati – beninteso – quelli attuali della “firma elettronica”, della “firma elettronica qualificata”, della “firma digitale” (tutti anche nella formulazione attuale) e della “firma elettronica qualificata autenticata” (oggi non definita e tuttavia disciplinata nel Codice), da collocare idealmente nella categoria “sottoscrizioni elettroniche”. Quale contro-bilanciamento alla predeterminazione “definitoria” degli istituti (di “tipo matematico” o common law), ritengo che, quanto agli effetti giuridici derivanti da tali istituti, sarebbe bene non eccedere nel determinismo ed adottare – secondo la nostra tradizione – un sistema con qualche grado di libertà, basato questa volta sull’analisi delle conseguenze, affidato in pratica alla giurisprudenza che si verrà formando nel tempo. In sostanza, per quanto riguarda l’inquadramento degli effetti giuridici rispetto agli istituti sopra delineati, ritengo sarebbe bene mantenere una fondamentale e generale “bipartizione” tra: - istituti per i quali vi è una espressa e predeterminata validità giuridica e efficacia quale mezzo di prova, stabilita a priori dal legislatore: efficacia di scrittura privata ex art. 2702 cod. civ. per il documento informatico sottoscritto con firma elettronica qualificata o digitale e conseguente efficacia di forma scritta, quanto prevista a pena di nullità; efficacia di scrittura privata autenticata ex art. 2703 cod. civ. per il documento informatico sottoscritto con firma elettronica qualificata o digitale di fronte al notaio o al pubblico ufficiale; efficacia di riproduzione meccanica ex art. 2712 per le rappresentazioni informatiche; - istituti per i quali è lasciata discrezionalità al giudice nel valutare la validità giuridica e l’efficacia quale mezzo di prova: tutti i rimanenti casi di impiego di firme elettroniche (semplici) e di strumenti di identificazione e validazione informatica. Tale soluzione potrebbe essere un buon compromesso volto ad assicurare, da un lato, cittadinanza giuridica a tutta una serie di fenomeni informatici oggi noti e largamente utilizzati, per i quali una definizione normativa a priori risulta, invero, indispensabile; dall’altro lato, efficacia come mezzo di prova certa e predeterminata solo per i casi ritenuti meritevoli dell’attribuzione del massimo rilievo giuridico, lasciando – tuttavia – spazio alla giurisprudenza per determinare l’efficacia da attribuire a tutti gli altri casi, in funzione del livello di qualità e sicurezza realmente presentato, secondo quanto sarà accertato dal giudice. |