Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

E-mail e forma scritta

Scritto da Letizia Scarselli

La pubblicazione deI decreto ingiuntivo n.848/03, emesso dal Tribunale di Cuneo sulla base di un semplice riconoscimento di debito avvenuto via e-mail, ha sollevato la questione se l'e-mail soddisfi o meno il requisito legale della forma scritta. Si tratta sicuramente della prima pronuncia di un Giudice italiano sul complesso ed articolato tema della validità e producibilità in giudizio dei documenti informatici. Successivamente il Tribunale di Bari prima e quello di Mondovì poi hanno emesso due decreti ingiuntivi su identici presupposti.

L'avvocato Marco Cuniberti, in particolare, che ha ottenuto l'emissione del primo decreto, ha sostenuto che un sistema di autenticazione basato su user id e password, associato agli headers del messaggio di posta elettronica e alla stessa firma in calce al documento, possano certamente integrare i requisiti generici previsti dal legislatore per la piena equiparabilità del documento informatico, dotato di firma elettronica cd. leggera, alla forma scritta.

Il Giudice di Cuneo, dal canto suo, ha emesso il decreto sulla base del combinato disposto degli artt.633, 634 c.p.c.; ora, dal momento che l'art. 634 definisce semplicemente la prova scritta, il Giudice ha sostenuto la tesi per cui l'e-mail e' equivalente ad un documento scritto.

Il riferimento normativo e' al D.P.R. 445/2000, così come modificato dal D.Lgs. 23/01/2002 n.10, dalla legge 16/01/2003 n.3 e dal D.P.R. 7/04/2003 n.137.

Ai sensi dell'art.1, primo comma , lettera b, il documento informatico e' la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti, per cui l'e-mail rappresenta sicuramente un documento informatico.

L'art.10 comma 2 prescrive poi che il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta, benché con valore probatorio liberamente valutabile dal giudice, che quindi verifica la genuinità e riconducibilità effettiva del suo contenuto al titolare dell'indirizzo mail utilizzato (ma questo riguarda l'eventuale fase di merito e non la fase monitoria). La firma elettronica, ex art.1, primo comma, lettera cc) e' l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica.

Sembra che anche per il CNIPA l'e-mail equivalga a forma scritta, quale documento munito di firma elettronica leggera, e non sia invece una mera riproduzione meccanica sprovvista di qualunque tipo di firma elettronica.

Se, dunque, fino a poco tempo fa i documenti prodotti attraverso l'elaboratore elettronico non avevano alcun valore giuridico, richiedendo per ciò infatti la legge la necessaria stampa su carta e l'attuazione di procedure "tradizionali", tra cui la sottoscrizione della pagina stampata, la firma digitale diventa oggi il sistema mediante cui l'ordinamento attribuisce valore di piena prova alla documentazione prodotta, gestita e trasmessa attraverso l'uso del computer, prescindendo dalla necessità della relativa stampa.

Mentre per "firma elettronica" si deve intendere la firma apposta mediante un sistema informatico, la "firma elettronica avanzata" è ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati cui si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; la "firma digitale", specifica applicazione della precedente, è infine la sottoscrizione predisposta mediante un pc, ma sulla base della crittografia a chiave asimmetrica e di particolari funzioni matematiche.

Si tratta di una specifica applicazione della tecnologia crittografica, che consente, con l'aiuto di un algoritmo matematico, cosiddetta chiave di cifratura, di trasformare un messaggio leggibile da tutti, in un altro che è illeggibile per tutti coloro che non possiedano una chiave segreta di decifrazione. La funzione è reversibile, per cui l'applicazione dello stesso algoritmo, cioè della stessa chiave segreta al testo cifrato, restituisce il testo originale.

La crittografia può essere basata su un sistema con un'unica chiave per criptare (prima) e decriptare (poi) i messaggi, detto quindi "simmetrico"; oppure con due distinte chiavi, sistema definito "asimmetrico", entrambe necessarie per proteggere prima, e leggere poi il documento (ciò che è criptato da una può essere decriptato solo dall'altra, e viceversa), delle quali una viene quindi resa pubblica, mentre l'altra rimane privata, segreta.

Di fondamentale importanza è la sicurezza che si deve avere circa la corrispondenza di una delle due chiavi di crittografia, quella c.d. "pubblica", e il titolare della stessa; si acquisisce attraverso l'intervento di un organismo esterno detto Certificatore che, una volta accertata l'identità del soggetto, rilascia un certificato che attesta l'indicata corrispondenza e lo inserisce insieme alla chiave pubblica dell'utente nell'elenco delle chiavi di sua gestione, posto on-line a disposizione di chiunque voglia accertare la provenienza di un documento elettronico firmato digitalmente.

L'utente deve poi ricavare l'impronta della dichiarazione, mediante una smart card, e quindi, sempre mediante questo dispositivo, applicare la propria chiave privata ottenendo in questo modo la "generazione" della firma, cioè di quella determinata stringa che è il risultato dell'impronta di hash (funzione matematica che effettua una specie di riassunto di poche righe del testo, qualunque sia la sua lunghezza, rendendo più facile, sicura e veloce l'applicazione della chiave privata) crittografata, che può poi essere apposta in calce al testo oggetto del procedimento, oppure associata a questo. Chi riceve il messaggio risultato dell'operazione di sottoscrizione elettronica procede all'apertura e verifica dello stesso, mediante il proprio software per l'attività di firma. Agendo sul documento criptato, acquisisce dal certificato annesso al documento firmato la chiave pubblica del mittente; a questo punto, applicando la chiave pubblica del mittente, "apre" la stringa della firma, ottenendo dunque l'impronta di hash; prende quindi il testo originario, calcola da quest'ultimo a sua volta l'impronta, e poi confronta le due versioni: se coincidono è allora sicuro della provenienza e della genuinità del messaggio.

Il servizio di certificazione della firma digitale è fornito da Postecom Spa, società del gruppo poste italiane iscritta all'elenco pubblico dei certificatori della firma digitale custodito dall'AIPA. Il servizio Postecert è un completo kit per firmare, cifrare e decifrare digitalmente i documenti ed un'intera gamma di servizi ad esso collegati, tra cui la possibilità di validare temporalmente i documenti elettronici, cioè applicare agli stessi una "marca temporale" in formato digitale, in modo da attestarne la data ed ora di emissione. Il servizio è rivolto oltre che al singolo cittadino anche alle Pubbliche Amministrazioni, agli Enti ed alle Organizzazioni, alle Aziende.

In relazione al commercio elettronico, grazie alla firma digitale anche nelle transazioni on line è ora possibile avere certezza dell'identità della controparte negoziale, della non manomissione del contenuto dell'accordo, del non ripudio da parte del sottoscrittore dei contenuti del contratto sottoscritto a distanza, così garantendo una maggiore sicurezza delle transazioni e la garanzia del valore legale dei contratti sottoscritti tra le parti.

Anche le Pubbliche Amministrazioni, in un'ottica di miglioramento della qualità dei servizi erogati al cittadino, si troveranno sempre più a definire nuove opportunità di accesso ai servizi pubblici anche per via informatica, trovando nella diffusione di internet un potente alleato all'innovazione. I due elementi determinanti ai fini dello snellimento e della semplificazione dei rapporti tra le P.A. ed i cittadini sono l'uso della firma digitale per firmare documenti informatici con validità legale e la gestione informatica dei processi. In questo contesto, i sistemi di protocollo informatico offrono la possibilità di protocollare non solo i tradizionali documenti cartacei ma anche i documenti informatici, con l'obiettivo della costruzione di un sistema integrato di informazioni sui documenti.

In conclusione, a seconda del livello di sicurezza nella procedura tecnica utilizzata per "firmare" il documento si distinguono firme elettroniche "semplici", chiamate anche "deboli", e firme elettroniche "avanzate", chiamate anche "forti"; nel secondo caso l'ipotesi più importante è la firma digitale. A seconda delle necessità degli utenti si può scegliere l'una o l'altra categoria.

Del resto sia il legislatore comunitario che quello nazionale hanno volutamente introdotto un'ampia tipologia di firme elettroniche, e non solo la firma digitale, l'unica che garantisce valore legale al documento, autenticità del mittente, integrità dei contenuti e non ripudiabilità del documento informatico firmato.

Ne consegue che l'e-mail può essere considerata documento informatico munito di firma elettronica leggera nei casi in cui per il suo invio sia necessario ricorrere ad un metodo di autenticazione informatica, quale "insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità", tra cui il sistema di codice di identificazione o user id e password, uniti agli headers associati al messaggio. Infatti l'appartenenza del documento ad un soggetto e la loro associazione sono determinate ormai non solo dalla fisicità della grafia o dalla sigillazione, ma anche e soprattutto dal potere di gestione dello strumento di comunicazione utilizzato.

Ma la firma elettronica leggera si differenzia da quella elettronica avanzata, tra cui la firma digitale, poiché in essa manca il procedimento di validazione, quale sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità; ne consegue che l'autenticazione informatica di per sé non garantisce l'immodificabilità ed integrità del documento, né la sua sicura provenienza.

Ciò non toglie che le esigenze del commercio elettronico, soprattutto internazionale, tra privati, sono molto diverse da quelle sottese ai rapporti tra P.A. e P.A. e tra P.A. e privati, occorrendo maggiore elasticità ed autoregolamentazione, anche a scapito della sicurezza; ciò anche al fine di trovare nel tempo nuove soluzioni tecnologiche più appropriate alle esigenze della prassi commerciale.

I pochi autori contrari all'equivalenza dell'e-mail alla forma scritta sostengono dal canto loro che user id e password, pur costituendo un insieme di dati in forma elettronica, non sono allegati o connessi tramite associazione logica ad altri dati elettronici, quelli cioè che devono essere validati e che costituiscono il messaggio e-mail; manca pertanto la connessione logica tra i dati validanti ed i dati che devono essere validati. In sostanza tale tecnica non è un metodo di autenticazione della sorgente dei dati contenuta in un file e non consente di appurare ex post la corrispondenza al vero dell'identità dichiarata da chi appare come l'autore di un documento in formato digitale.

Ad ulteriore conferma di quanto fin qui sostenuto si ricorda, tra l'altro, che il Consiglio dei Ministri ha approvato uno schema di DPR su proposta di Lucio Stanca e Luigi Mazzella che riconosce piena validità giuridica ai documenti trasmessi per posta elettronica, che può diventare "posta certificata", come una normale raccomandata con avviso di ricevimento, così che l'invio e la ricezione di documenti con strumenti informatici (e- mail) abbia "pieno valore legale".

Il servizio di trasmissione di documenti informatici mediante posta elettronica certificata consente la trasmissione di documenti prodotti mediante strumenti informatici; prevede tre distinti soggetti con ruoli specifici, e cioè il mittente, il destinatario ed il gestore del servizio. Quest'ultimo è il soggetto pubblico o privato (con natura giuridica di società di capitali) che eroga il servizio di posta elettronica certificata e che gestisce uno o più domini di posta certificata con i relativi punti di accesso, ricezione e consegna; il gestore del servizio è presente in un registro informatico dedicato, denominato indice dei gestori di posta certificata. I gestori del servizio di posta elettronica certificata devono garantire l'utilizzo di metodi per la verifica che il messaggio sia trasportato dal mittente al destinatario integro nelle sue parti.

La trasmissione del messaggio di posta elettronica certificata tra mittente e destinatario avviene mediante l'invio del messaggio di posta certificata sottoscritto dal gestore di riferimento del mittente con firma elettronica.

Durante le fasi di trattamento del messaggio i gestori devono mantenere traccia delle operazioni svolte su un apposito registro, i cui dati devono essere conservati per almeno due anni e devono essere disponibili ed accessibili per la consultazione a fini ispettivi. Nella gestione del registro i gestori devono garantire riservatezza e sicurezza delle informazioni in esso contenute.