Il documento informatico e la firma digitale nel processo telematico

Il primo dato che sorprende l'interprete quando cerca di capire cosa sia il documento scritto nel diritto civile, è che non esiste una definizione precisa. Il Capo II del Codice Civile si occupa sì della prova documentale, ma si limita ad elencarne dei tipi: l'atto pubblico, la scrittura privata, altri documenti. L'art. 1350 c.c. parla di «Atti che debbono farsi per iscritto» nella rubrica, ma poi nella disposizione parla di atti che devono farsi «per atto pubblico o per scrittura privata». Dunque, sembrerebbe che documento scritto significhi scrittura privata o atto pubblico. Seppure non sia del tutto esatto, per semplicità consideriamo che “documento scritto” e “scrittura privata” siano sinonimi.

Si ricava dal sistema, comunque, che l'efficacia e il valore della scrittura privata dipendano da un lato dalla sottoscrizione del proferente e dall'altro dal non disconoscimento della parte contro la quale viene prodotta. Grosso modo, dunque, esiste una inscindibilità tra il documento scritto (dunque fissato su carta o supporto simile) e sottoscrizione. L'uno senza l'altro non sussiste. La fissazione fa sì che il contenuto materiale del documento sia immodificabile; la sottoscrizione fa sì che lo stesso documento sia fatto proprio dal sottoscrittore. “Sottoscrivere”, anche nel linguaggio comune, significa infatti “approvare, far proprio”.

Il codice civile non esplicita cosa sia la scrittura privata: invece di usare una tecnica definitoria (“La scrittura privata è ...”), esordisce direttamente con la disciplina (“La scrittura privata fa prova...”), evidentemente perché il legislatore ritiene la definizione sovrabbondante. Si noti “fa prova”, ovvero è idonea di per sé a dare certezza giuridica (soprattutto processuale). Ma la forma scritta non è solo per la prova, è un requisito di validità di alcuni atti. Potrebbe mancare la prova (il documento), ma ciò non renderebbe il contratto nullo. Tanto è vero che attraverso altre prove (confessione, giuramento) posso provare che un contratto scritto è esistito, il requisito di validità è rispettato; ma non posso provare con gli stessi mezzi un contratto formale se non allego che è esistito in un documento scritto, che è andato disperso (art. 2725 c.c.).

Gli atti del processo sono scritture private o atti pubblici. La sottoscrizione è elemento fondamentale anche di essi. Nel processo civile la mancata sottoscrizione del giudice è causa di radicale nullità della sentenza. La sottoscrizione dell'avvocato è un elemento fondamentale della citazione, anche se l'art. 125 comma 1 c.p.c. la elenca assieme ad altri elementi che comportano solo nullità relative (a cui più di recente sono stati aggiunti elementi che non comportano nessuna nullità). La mancata sottoscrizione per autentica della procura ex art. 83 c.p.c. determina l'inesistenza dello ius postulandi dell'avvocato. E così via.

Sottoscrizione e forma scritta, ripetiamo, sono inscindibili.

Non stupisce che tale inscindibilità permanga anche quando il documento diventa informatico. La norma fondamentale è in una legge dal nome fuorviante, il Codice dell'amministrazione digitale (D.lgs. 7 marzo 2005 n. 82, di seguito “CAD”). Fortunatamente, il CAD definisce sia il documento informatico e le sue sottospecie (artt. 1. lett. p), 20-22 CAD), sia la firma elettronica e le sue sottospecie (artt. 1, lett. q) e s) CAD), e lega espressamente il concetto e il tipo di documento informatico al tipo o categoria di sottoscrizioni che lo formano. A seconda del tipo di sottoscrizione muta l'efficacia di forma scritta del documento e l'opponibilità a chi l'ha sottoscritto.

La normativa del Processo Civile Telematico (PCT) fa proprie tali definizioni, facendone un rinvio espresso. In particolare, gli atti del PCT richiedono che i documenti siano sottoscritti con una firma digitale, ovvero «un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro» (art. 1, lett. p) CAD). Non un qualsiasi documento informatico, ma quello previsto dall'art. 21, comma 2-bis CAD, il quale soddisfa i requisiti dell'art. 1350 c.c. (che chiameremo per comodità “documento digitale”).

Norma simile è prevista nel provvedimento del Ministero delle Finanze per il Processo Telematico Tributario (PTT), art. 10 comma 1, lett. d), d.m. 4 agosto 2015. Al momento non è stato ancora pubblicato il regolamento tecnico del Processo Amministrativo Telematico (PAT), la bozza informale a nostra disposizione riporta una disposizione simile: art. 9, comma 1, allegato A - art. 6.

I requisiti della firma digitale sono previsti dall'art. 24 CAD, integrate dalle norme tecniche previste dall'art. 71 CAD (attualmente, d.P.C.M. 22 febbraio 2013, in G.U. 21 maggio 2013). Le firme digitali fondamentalmente sono su due differenti supporti: su un dispositivo fisicamente in possesso del titolare (art. 31, comma 1 CAD); oppure su un dispositivo remoto custodito da un operatore abilitato: il titolare è in possesso di due fattori di autenticazione, normalmente una password segreta e un dispositivo che genera codici validi una volta sola (One Time Password, OTP).

Nel PCT, vengono introdotti ulteriori requisiti, sia quanto al formato del documento-atto in sé, sia quanto al formato della firma. Il documento può solo essere PDF (testo, senza elementi dinamici). Inoltre, il formato della firma può essere fondamentalmente di due tipi:

PadES

CadES

Nel PAT, i formati del documento ammessi sono il PDF (che è uno standard), testo piano (che è uno standard), testo formattato RTF (che non è uno standard), archivio WinZip/WinRar (che non sono formati, ma contenitori di file, né sono standard, transeat) contenente uno o più file nei formati precedenti. Il formato di firma ammesso è invece solo il

PadES

CadES

Quali siano i requisiti minimi per la forma scritta, al di là della sottoscrizione, non è dato ricavarlo dal codice, ma solo dal diritto pretorio. I notai sogliono richiedere la “firma per esteso e leggibile”, ma ciò non ha un riscontro normativo. Le sottoscrizioni sono spesso dei geroglifici illeggibili: in tal caso non sono valide? E se sono riconosciute? Cosa fa di una sottoscrizione una sottoscrizione, e di una scrittura privata una scrittura privata? La certezza, data dall'autografia, del fatto che il sottoscrittore ha fatto proprio il contenuto. È una valutazione fatta una volta per tutte dell'idoneità di un segno a ricondurre la paternità materiale ed ideologica del documento al suo stesso autore. Ciò è un fatto storico rimesso alla libera valutazione del giudice in caso di contestazione, tramite procedimenti formali.

L'efficacia probatoria, e dunque il valore, della sottoscrizione e del documento sottoscritto sono legati ad alcune caratteristiche che si suppongono “uniche”, legate all'individualità e inimitabilità del tratto grafico di pugno. Ma il segno grafico è solo una traccia di un evento, la cui apparenza (essere una firma attribuibile a una data persona fisica) impone solo l'onere di disconoscimento. La certezza della riferibilità si ha solo, appunto, con il non disconoscimento, al quale disconoscimento è legato l'evento processuale dell'istanza di verificazione. Fino ad allora, è una certezza prima facie.

Il documento digitale, al quale è apposta una firma digitale valida (verificabile), non soggiace all'onere di disconoscimento, ma al più pregnante onere di dimostrare che il dispositivo di firma è stato usato senza il consenso del titolare. Il suo valore è legato a un fatto tecnico, ovvero che la firma sia valida (al momento della produzione). A differenza del tratto di penna, non è ragionevolmente possibile dimostrare che la firma è stata imitata, ovvero artefatta, ma solo che qualcuno ha carpito lo strumento di firma contro la volontà del titolare. La presenza di una firma valida, dunque, ex lege attribuisce valore al documento anche in caso di disconoscimento.

Il documento digitale si genera mettendo in rapporto quattro elementi inscindibilmente legati da una corrispondenza univoca data da un algoritmo:

a) Un documento da firmare (un file codificato secondo un formato arbitrario, PDF nel nostro caso);

b) Un certificato privato (segreto) di firma (un elemento digitale generato secondo uno standard predeterminato e gestito secondo quanto previsto dalle norme);

c) Un certificato pubblico disponibile a chiunque, e che corrisponde univocamente a quello privato (si parla infatti di “coppia” di chiavi asimmetrica);

d) Un segno digitale, ovvero la “firma” generato attraverso i primi due.

Sfruttando l'asimmetria computazionale di alcune funzioni matematiche, si rende sufficientemente impossibile ricostruire il certificato privato a partire dagli altri tre elementi, e si rende sufficientemente impossibile generare una firma che corrisponda al certificato pubblico e al documento senza avere il certificato privato, o generare un documento che corrisponda alla firma e al certificato pubblico, ma diverso da quello originale. Pertanto, se sono in possesso di un documento e di una firma, l'unico elemento che mi serve per verificare che la firma e il documento sono veri, è il certificato pubblico.

Chi mi dice però che quel certificato pubblico appartenga a quel soggetto? Il meccanismo previsto dalla legge è quello di una terza parte affidabile, perché autorizzata da un'autorità centrale a ciò designata dalla legge. L'Agenzia per l'Italia Digitale (AGID) è l'ente che abilita i certificatori, o autorità di certificazione. In realtà, esiste un mutuo riconoscimento in Europa sulla base di una direttiva, e prossimamente di un regolamento, ma non complichiamo oltremodo la questione. Il certificatore emette i dispositivi sicuri di firma (e dunque genera la coppia di certificati) e gestisce due elenchi: l'elenco dei certificati pubblici, e le liste di revoca (CRL). Il certificatore verifica l'identità del soggetto al quale affida lo strumento di firma. Esso è tra l'altro anche un dispositivo di identificazione digitale.

Il documento digitale è dunque un insieme ordinato di bit formato da un documento, un segno di firma e un certificato pubblico a cui viene data pubblica fede da un certificatore. Dati questi elementi, verificato che essi sono attribuiti al soggetto firmatario, che il certificato non è stato revocato e che la firma è stata apposta nel periodo di validità del certificato, la firma è valida. Validità, da un punto di vista logico comporta due certezze: la sottoscrizione è imputabile (non ripudiabilità, autenticità) e il documento non è stato modificato dal momento della firma (non alterabilità).

A differenza del documento fisico, del documento digitale non esiste un originale. Esso non ha una fisicità, ma esiste come informazione. Nel cartaceo esiste uno e un solo documento: le parti possono sì crearne molteplici, ma solo di comune intesa. Nel digitale no, perché un'informazione replicata con perfetta fedeltà rimane la stessa informazione.

Il concetto di “duplicato informatico” è un assurdo, perché l'informazione non è un ente numerabile. Se ve ne sono due, sono diverse, se sono identiche, sono la stessa cosa, indipendentemente da dove sono conservate. Nel digitale “duplicato” è un concetto artificiale, perché non esiste fisicità dell'informazione, ma solo una sua rappresentazione o conservazione “ideologica”. È originale dunque tutto ciò che ripete fedelmente l'informazione in modo verificabile. Perde anche di senso il concetto di “copia autentica” (se non in caso di trasformazione del documento) e scema quello di autenticazione.

Per identificare univocamente un documento e per verificare se ha subito modifiche, non si usano contrassegni, timbri, ologrammi: si usa un'impronta digitale ottenuta tramite un algoritmo detto di hash. L'impronta di hash (o semplicemente “l'hash”) di un file è un codice univoco costituito da una serie di caratteri esadecimali: è praticamente impossibile avere due documenti con lo stesso hash. Se modifico un bit, l'hash cambia, non c'è modo di ulteriormente modificare il documento per ritrovare lo stesso hash.

Al momento in cui scrivo questo paragrafo, questo articolo ha il seguente hash (SHA256):

fbc46b61b109355e8df8a9910540721832f7fe3876623e9dfd44196c5641501f

Perché ne parlo qui? Perché in realtà ciò che viene firmato non è il documento in sé, ma la sua impronta di hash. Il meccanismo di firma infatti prima calcola l'hash del documento, poi cifra l'hashcon la chiave privata. La firma e il documento potrebbero anche viaggiare separati, e venire duplicati in sequenze diverse: quello che importa è avere, alla fine, la possibilità verificare la firma.

La verifica della firma procede in senso inverso: l'hash cifrato (la firma vera e propria) viene decifrato con il certificato pubblico, previa verifica della sua autenticità e del fatto che non sia stato revocato. Si ottiene dunque l'hash de-cifrato. Si prende il documento ostensibilmente firmato, si ricalcola l'hash con lo stesso algoritmo, se i due hash corrispondono, la firma è verificata. Si è verificato infatti che solo chi aveva la chiave privata ha potuto generare quella firma, decifrabile con il certificato pubblico.

È possibile avere più firme dello stesso documento: si procede o emettendo una seconda firma che si aggiunge alla prima (entrambe cifrano lo stesso hash), oppure si può controfirmare il documento già firmato, nel qual caso il file firmato è il contenitore di documento e prima firma. Poco cambia, se non il fatto di provare che una firma è stata apposta dopo l'altra.

Il documento cartaceo vale per sempre. La firma digitale no. Essa si basa sul presupposto che è estremamente difficile ricostruire un elemento mancante del quartetto che compone la firma o sostituirlo. Difficile, ma non impossibile. Con tempo e risorse infinite è certo che si riesce a “forzare” qualche elemento. Il trascorrere del tempo inoltre porta attrezzature sempre più potenti, le quali potrebbero rendere proporzionalmente più facile questo calcolo.

Si può ovviare a questo problema incrementando la difficoltà del compito, usando cifrature molto più forti, ma questo è poco pratico. Oppure si può farlo imponendo un tempo limite per il calcolo. Questa è la scelta operata: la firma scade con la scadenza del certificato. Ma la validità del documento non può ovviamente essere a termine, né si può legare la validità della firma alla diligenza del firmatario nel rinnovare il certificato.

Per evitare che la firma scada, occorre utilizzare uno strumento di conservazione nel tempo. Sostanzialmente, tramite un “riferimento temporale opponibile ai terzi” (previsti dall'art. 41 delle Norme Tecniche), tra i quali il principale è la marca temporale, si dà pubblica evidenza che quella coppia firma-documento è stata creata non successivamente a un certo momento. Anche il riferimento temporale scadrà, ma il gioco si ripete apponendo una serie di ulteriori riferimenti temporali. La conservazione del documento, dunque, dipende dalla diligenza di chi ha interesse a provare l'altrui firma, e non ha chi ha interesse a negarla. Secondo l'art. 62 del le Norme Tecniche se un documento è firmato con un certificato scaduto, sospeso, revocato, il documento è valido se la firma è collocabile in un momento precedente all'evento revocatorio, tramite un riferimento temporale opponibile ai terzi.

I documenti prodotti in giudizio, per definizione, sono dotati di tale caratteristica.

La posta elettronica certificata è un passo ulteriore nella digitalizzazione del cartaceo. Essa è un documento (un messaggio di posta elettronica semplice) che viene spedito non tramite un server normale, ma via un server certificato di un operatore autorizzato, con il quale il mittente stipula un contratto. Questo server parla con un altro server certificato del destinatario. Il tutto sotto l'imperio del d.P.R. 11 febbraio 2005, n. 68, ovvero il regolamento sulla PEC e dell'art. 48 CAD.

Quello che avviene rispetto a un normale flusso di email, è che questi due server (in caso di ricezione) emettono ciascuno una ricevuta. Il server dell'emittente restituisce una ricevuta di accettazione (“Il messaggio è stato spedito”), il server del ricevente restituisce una ricevuta di consegna (“Il messaggio è nella casella e a disposizione del destinatario”). La ricevuta di consegna completa (che ci interessa qui) contiene informazioni sull'avvenuta ricezione, compreso un preciso riferimento temporale, il contenuto completo del messaggio ricevuto, il tutto sottoscritto digitalmente. La sottoscrizione e il riferimento temporale equivalgono al timbro e alla firma della raccomandata, di cui la PEC ha il valore, con la differenza che qui non solo si ha prova del fatto che qualcosa è stato inviato e ricevuto, si ha prova di cosa il plico contenesse. Anche chi l'ha ricevuto ha la stessa prova.

Dunque la PEC alla fine del percorso vive in due documenti “originali” di cui è certo (legalmente) lo scambio. Ha anche data certa (art. 48, comma 2 CAD, art. 41, comma 4, lett. c) d.P.C.M. 22 febbraio 2013). Il messaggio di PEC (ricevuto dal destinatario, e nella ricevuta completa restituita al mittente), viene trattato come un vero e proprio documento digitale firmato dal certificatore, e per conservare efficacia di prova deve anch'esso essere conservato (possibilmente con idoneo backup!) oltre il periodo di validità del certificato di firma del certificatore, tramite un riferimento temporale opponibile ai terzi, altrimenti è come se fosse perduto!

Abbiamo appena scalfito la superficie di un tema del tutto nuovo per gli operatori del processo, ma uno strumento che va conosciuto almeno nei suoi tratti fondamentali per potersi porre le domande corrette, e soprattutto per conservare la prova di quanto ottenuto digitalmente. Non sempre a ciò è sufficiente la buona volontà o il buon senso, né le regole apprese in anni di pratica. Applicare le nozioni apprese nel mondo cartaceo può fornire una base di partenza, ma non possono valere le stesse regole, né giuridiche, né pratiche.