Valore giurìdico della firma digitale e conclusione telematica del contratto

• Autore: Raimondo Zagamj
• Pagine: 117-134

Raimondo Zagamj¹

Page 117

@1. La firma digitale quale fonte di certezze giuridiche

La firma digitale è una tecnologia matematico-informatica che si propone di realizzare nei documento informatico le stesse funzioni tradizionalmente soddisfatte dalla sottoscrizione nel documento cartaceo. Norma eminente in tal senso è l'art, 10 comma 2 del D.P.R. n. 513/1997, secondo cui «L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo». Tale "equivalenza" è da riferirsi solo alle funzioni della sottoscrizione (indicativa, dichiarativa e probatoria), ma non anche ai suoi requisiti, i quali sono invece profondamente diversi tra sottoscrizione cartacea e firma digitale.

"L'equivalenza" tra firma digitale e sottoscrizione cartacea conduce di conseguenza all'attribuzione al documento informatico della stessa efficacia probatoria tradizionalmente riconosciuta al documento cartaceo nelle sue varie forme. E così l'art. 5 comma 1 del D.P.R. n. 513/1997 stabilisce che «li documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile»; l'art. 16 comma 1 dello stesso D.P.R., che «Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dai notaio o da altro pubblico ufficiale autorizzato»; non vi è ancora alcun riconosci- Page 118 mento legislativo dell'atto pubblico notarile "originale" in forma informatica.

Dal punto di vista della tecnologia, una firma digitale è un codice informatico più o meno lungo (circa 100 caratteri), risultato dell'applicazione di un procedimento di cifratura asimmetrico (algoritmo) e di una chiave privata ad un documento informatico. La verifica dell'autenticità di una firma digitale si effettua applicando lo stesso algoritmo di cifratura asimmetrico, unitamente alla chiave pubblica correlata alla chiave privata originariamente utilizzata per la firma. Si usano, infatti, coppie di chiavi di cifratura, formate da una chiave privata con cui si appone la firma e da una correlata chiave pubblica con cui si verificano le firme già apposte.

La firma digitale, a seguito della verifica, offre soltanto due (relative) certezze: in primo luogo, che la firma è stata calcolata impiegando la chiave privata corrispondente a quella pubblica utilizzata per la verifica; in secondo luogo, che il documento informatico firmato non è stato modificato dal momento del calcolo della firma stessa (integrità). Scrivo "relative" certezze, perché è noto che la sicurezza di una firma digitale dipende dalla robustezza del sottostante sistema di cifratura e, dunque, non è impossibile falsificare una firma, bensì solo estremamente difficile, richiedendosi straordinarie capacità di calcolo e lunghissimi tempi di elaborazione. La sicurezza di un procedimento di cifratura è, peraltro, direttamente proporzionale alla lunghezza delle chiavi utilizzate.

Di per sé la verifica di una firma digitale non è in grado di offrire alcuna risultanza probatoria riguardo all'identità del soggetto sottoscrittore (la provenienza del documento). La correlazione tra chiave pubblica e chiave privata è, infatti, soltanto di tipo matematico. Diversamente, una sottoscrizione cartacea, eventualmente a seguito di verificazione, consente di stabilire un collegamento immediato e diretto tra sottoscrizione stessa e soggetto sottoscrittore.

La sottoscrizione cartacea è un dato somatico e personale, che risulta in un segno diverso per ogni soggetto che l'appone. La firma digitale, invece, non è un dato somatico, in quanto risulta dall'applicazione di un dato informatico (la chiave privata), un mezzo tecnico astrattamente utilizzabile da chiunque, in modo del tutto analogo ad un sigillo. L'analogia con un sigillo è ancora più pregnante qualora si consideri che la chiave privata è memorizzata in un dispositivo di firma che, presumibilmente, Page 119 consisterà in una carta dotata di memoria e microprocessore (smart card). Proprio per sottolineare questa peculiarità e differenza, nel breve dibattito che ha preceduto l'emanazione del D.P.R. n. 513/1997 si è sostenuta l'opportunità di parlare di "sigillo informatico", piuttosto che di "firma digitale" (MICCOLI). Pertanto, firme digitali apposte da soggetti diversi sullo stesso documento, utilizzando la stessa chiave e lo stesso algoritmo, non sono tra loro tecnicamente distinguibili.

Il problema è, dunque, quello di stabilire un legame tra la firma digitale apposta ed il soggetto firmatario; tra il documento informatico ed il suo autore. In altri termini, determinare il soggetto autore della firma digitale a seguito della sua verifica.

@2. Il ruolo delle terze parti fidate nel sistema della firma digitale

Il pieno collegamento soggettivo tra la firma digitale ed il soggetto firmatario si realizza con l'intervento di una terza parte fidata ed imparziale in due distinte fasi.

@@A) In primo luogo, occorre stabilire un legame tra la coppia di chiavi ed un'identità soggettiva.

Questo legame può essere posto solo mediante l'intervento della terza parte fidata che certifica la titolarità della coppia di chiavi in capo ad un determinato soggetto previamente identificato (art. 9 comma 2 lett. a D.P.R. n. 513/1997).

In realtà, tale certificazione può riferirsi solo alla chiave pubblica e non anche a quella privata, dato che la prima è di per sé correlata alla seconda, Non è quindi necessario, ai fini delle risultanze della firma digitale, che il certificatore conosca la chiave privata.

La certificazione della chiave pubblica è contenuta in un documento informatico definito come certificato, a sua volta firmato digitalmente dalla parte emittente, Il certificato è emesso preliminarmente ed è poi valido per una moltitudine successiva ed indeterminata di firme, salvo una sua cessazione di validità (scadenza, sospensione o revoca).

La terza parte fidata che certifica le chiavi, secondo la scelta normativa italiana, è un soggetto che deve rivestire la forma di società per azioni e deve rispondere a stringenti requisiti per essere iscritto in un apposito elenco pubblico tenuto dall'AIPA (art. 8 D.P.R. n. 513/1997).

Page 120

La verifica di una firma digitale compiuta con una chiave pubblica certificata consente di ottenere un'identità soggettiva cui ricollegare la chiave stessa e dunque la firma. Sì può così affermare con (relativa) certezza che la firma digitale verificata sia stata apposta con la chiave privata di titolarità del soggetto che risulta dal relativo certificato.

Si badi bene, con la certificazione della chiave non si ha la certezza che Tizio, titolare della chiave come risulta dal certificato, ha apposto la firma utilizzando la correlata chiave privata; bensì soltanto che la firma stessa è stata apposta utilizzando la chiave privata di titolarità di Tìzio. Tecnicamente non si può conoscere Fautore della firma, ma solo il soggetto titolare della chiave. Resta incerto se la chiave privata sìa stata utilizzata realmente da Tizio nell'apporre la firma o se, invece, non sìa stata utilizzata concretamente da Caio.

Si ribadisce, infatti, che la chiave privata è un dato informatico, uno strumento tecnico, contenuto in una smart card, utilizzabile astrattamente da chiunque. Una firma digitale non essendo un dato somatico è sempre uguale (se apposta con la stessa chiave e sullo stesso documento) e, quindi, correttamente (matematicamente) verificabile, anche se apposta da soggetti diversi.

Così, nello scambio di dichiarazioni telematiche, il destinatario - oppure chi verifica un documento ex posi - non può avere la certezza che la firma digitale che riceve, ancorché verificata con un certificato valido (non scaduto e non revocato o sospeso), sia stata effettivamente apposta dal titolare della chiave,

Le regole tecniche approvate con D.P.C.M. 8 febbraio 1999 stabiliscono che «il dispositivo di firma deve procedere all'identificazione del titolare» (art. 10 comma 4), negando così fuso della chiave ad una persona diversa. Presumibilmente si tratterà di una smart card protetta da un codice segreto come un PIN o una. password. Questo codice non è inattaccabile; inoltre, è concepibile una cessione volontaria della chiave ad altri, con la comunicazione dei codice3 oppure una sua decifrazione mediante attacco al cifrario.

Si sostiene che le tecniche di riconoscimento biometriche, basate sulle caratteristiche fisiche della persona (ad es. impronte digitali, impronta della retina, codice genetico, ecc.), sarebbero in grado di attribuire alla firma digitale quella caratteristica di somaticità e personalità che le manca, avvicinandola (o parificandola) alla sottoscrizione cartacea, Il D.P.R. Page 121 n, 513/1997 definisce il concetto di "chiave biometrica" (art. 1 lett, g) e rinvia, poi, alle regole tecniche per disciplinarne l'eventuale uso (art. 3 comma 3), Le regole tecniche emanate non contengono però ancora espliciti riferimenti all'impiego di tecniche di riconoscimento biometriche; nell'art. 8 comma 4 lett, b si parla piuttosto di «informazioni di abilitazione all'uso della chiave privata».

L'eventuale impiego dei dati biometrici quale strumento per l'accesso...