Eredità digitale e legato di password

È ereditabile, può formare oggetto di successione per causa di morte, il patrimonio digitale (dati, fotografie, contatti) di ognuno di noi?

In Italia non esiste una legislazione specifica né ha avuto modo di affrontare la questione la giurisprudenza; anche negli USA solo pochi Stati hanno regole in materia, e neppure troppo chiare. Solo di recente, l'amministrazione Obama ha - con una campagna mediatica - sottolineato l'opportunità di disporre per testamento della propria identità on line.

I notai italiani sono stati fra i primi ad occuparsi di eredità digitale, con un importante studio del 2007 (Consiglio nazionale del Notariato, studio n. 6-2007/IG, Password, credenziali e successione mortis causa, rel. U. Bechini, in CNN Notizie 24 settembre 2007).

Il Consiglio nazionale del Notariato ha redatto anche un decalogo per districarsi nella complessità della materia (disponibile sul sito internet istituzionale) e si è fatto promotore, nel dicembre del 2014, di una tavola rotonda a Milano con l'ambizione di sviluppare un protocollo che agevoli gli eredi di un utente scomparso nei rapporti con l'operatore, al fine di facilitare l'accesso alle risorse on-line del defunto.

La natura digitale dei contenuti non è di per sé - sotto il profilo che qui interessa - rilevante. In linea di principio, le risorse digitali passano nella disponibilità dei successori mortis causa così come quelle fisiche: il titolare può disporne a titolo di eredità o di legato; in mancanza si aprirà la successione legittima.

Una sola precisazione s'impone: il diritto (di natura obbligatoria) di accedere ad una risorsa on-line, non corrisponde necessariamente ad un diritto (dominicale) su tutti i contenuti cui si ha accesso. È possibile disporre (anche) a causa di morte solo del patrimonio digitale di cui il titolare sia effettivamente proprietario. Non si può disporre di quei contenuti informatici, di cui si abbia solo la licenza d'uso o di cui si disponga per conto di altri, come per esempio della casella di posta elettronica aziendale.

Se l'argomento richiede questo approfondimento non è quindi a causa del suo oggetto mediato, cioè del materiale in sé, ma delle modalità di accesso al materiale stesso.

La trasmissione per causa di morte di risorse informatiche o digitali, in particolare, pone qualche particolarità in relazione alle risorse protette da credenziali (PIN, password, username, ecc..).

Possiamo dividere le credenziali in due categorie:

a)un primo gruppo è rappresentato dalle credenziali che governano l'accesso ad un computer, ad altre risorse fisiche;

b)un secondo gruppo è rappresentato dalle credenziali che consentono l'accesso a risorse on-line.

Per quanto concerne il primo gruppo, e cioè le credenziali di accesso a dispositivi fisici, in assenza di disposizioni dettate dal defunto, si può solo contare sull'aiuto di tecnici capaci di padroneggiare (per finalità lecite, in questo caso) le tecniche tipiche degli hackers.

Per quanto concerne il secondo gruppo, e cioè le credenziali di accesso a sistemi governati da operatori on-line, un soggetto correttamente legittimato (in primis, quale successore nel rapporto contrattuale relativo all'uso del sistema) potrebbe puntare ad ottenere dal gestore un duplicato delle credenziali o nuove credenziali. Non sarebbe quindi indispensabile ricorrere alla conservazione diretta della credenziale. Si tenga tuttavia presente che:

a)il patrimonio digitale presente sul web è sottoposto ai contratti imposti dai provider;

b) molti servizi online correntemente utilizzati anche da residenti in Italia sono localizzati negli Stati Uniti (perlopiù in California) e quindi regolati dalle leggi statunitensi e sottoposti alla giurisdizione delle Corti statunitensi;

c) la maggior parte dei provider prevedono, fra le condizioni generali di contratto, clausole che possono essere definite come clausole di intrasmissibilità mortis causa delle posizione contrattuale; prevedono cioè che in caso di morte del titolare l'account venga rimosso ed il contenuto distrutto. Altri account permettono agli eredi l'accesso alla posta elettronica del defunto, ma solo a determinate condizioni: esibendo il certificato di morte (tradotto in inglese con perizia giurata) e la prova di aver intrattenuto con il de cuius corrispondenza telematica. Se gli eredi non hanno avuto alcuna corrispondenza via e-mail con il loro dante causa, anche se parenti stretti o coniuge, non è consentito loro di avere dal provider alcun accesso o documento.

In molti casi, la possibilità di ottenere l'accesso alle risorse digitali del defunto potrebbe quindi dipendere dall'esperimento vittorioso di una causa giudiziaria, e di una causa internazionale.

Vi sono ad onor del vero importanti eccezioni. Ad esempio, Google ha elaborato (dall'aprile 2013) un servizio che fornisce ai detentori di dati archiviati sui server di Google la facoltà di deciderne la sorte in caso di decesso, scegliendo fra due alternative: la cancellazione automatica di tutti i contenuti ovvero l'indicazione fino a dieci persone di fiducia, a cui Google invierà via e-mail le credenziali di accesso all'account del defunto. Il sistema si attiva automaticamente decorso un determinato periodo di inattività dei servizi che fanno capo ad un account Google, previo invio di un sms al titolare per accertarsi che l'inattività non sia dovuta a cause diverse dal decesso. Facebook ha lanciato a febbraio dell'anno scorso un servizio analogo.

Il linea generale, appare comunque preferibile che l'utente disponga delle credenziali o password per il tempo in cui avrà cessato di vivere.

La prima domanda da porsi è allora se sia giuridicamente possibile disporre post mortem delle proprie password.

Secondo la ricostruzione del citato studio del CNN, le credenziali non avrebbero natura giuridica di firma elettronica (cd. firma elettronica semplice o leggera) ai sensi dell'art. 1 del d.lgs. 5 marzo 2005, n. 82, Codice dell'amministrazione digitale, nel testo modificato con d.lgs. 4 aprile 2006, n. 159, che detta la seguente definizione: «l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica». Si tratta infatti certamente di dati in forma elettronica, ma non pare di scorgere il requisito dell'associazione logica ad altri dati elettronici prevista dalla norma.

Più probabilmente, i metodi di accesso basati su credenziali dovrebbero semplicemente considerarsi come un metodo, contrattualmente definito, per l'identificazione telematica dell'avente diritto all'accesso, dinamicamente rassomigliante ai documenti di legittimazione di cui all'art. 2002 c.c..

Anche ammettendo che di firma elettronica leggera si tratti, andrebbe però sottolineato un profilo ai nostri fini assai rilevante di tale figura che si può desumere dal confronto con la nozione di firma elettronica qualificata, che la medesima legge definisce come «la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario». Mentre per la firma elettronica qualificata, la necessità di un rapporto univoco con un determinato firmatario rende assai discutibile la possibilità di un utilizzo post-mortem, tale perplessità non sussiste per la firma elettronica semplice.

Può quindi preliminarmente affermarsi che eventuali negozi tesi a porre a disposizione di altri soggetti una credenziale dopo la morte del suo titolare, non incontrano ostacoli derivanti dall'intrinseca natura giuridica della credenziale stessa.

Deve escludersi la liceità di ogni disposizione od accorgimento diretto ad assicurare a qualsivoglia soggetto la disponibilità del PIN o password di accesso a dispositivi di firma elettronica qualificata dopo la morte del titolare; a fortiori ciò vale per la firma digitale, che della firma elettronica qualificata rappresenta un sottotipo. Neppure per un istante può poi pensarsi ad un utilizzo post-mortem di sistemi di firma/funzione che documentano non solo l'identità del sottoscrivente ma anche la specifica funzione da lui ricoperta: è il caso della firma digitale del notaio.

Per converso, non presentano particolare interesse, ai nostri fini, i servizi che prevedono Internet quale modalità di accesso alternativa: il caso più evidente è quello dell'home banking, ove la perdita delle credenziali non impedirà agli aventi diritto di far valere i propri diritti nelle forme ordinarie. Si potrà presentare piuttosto l'eventualità inversa, e cioè un impiego abusivo delle credenziali da parte di altri soggetti, questione estranea al tema in esame.

Analizziamo dunque le soluzioni a disposizione di chi voglia espressamente disporre delle proprie credenziali.

Sicuramente, sarebbe improponibile l'inclusione delle credenziali nel corpo di un testamento, giacché in tal modo ci si porrebbe irreparabilmente alla mercé del più lesto a richiedere la pubblicazione.

Lo strumento più utile sembra essere il mandato post-mortem exequendum: mandato conferito a termine iniziale (di adempimento), a decorrere dal momento della morte del mandante (cfr. Cass. 2804/1962). Altro, rispetto a quello qui considerato è ciò che comunemente si definisce mandato post-mortem (in senso stretto), ovvero l'incarico conferito con atto unilaterale e non con contratto: esso potrà scuramente avere ad oggetto attribuzioni a causa di morte, ma a condizione di essere rivestito delle forme proprie del testamento.

Lecito pure immaginare che un soggetto sia costituito depositario delle credenziali, e che altro soggetto sia legittimato dal mandato ad ottenere post-mortem le credenziali dal depositario per compiere le attività previste dal mandante. In ogni caso, tali attività dovranno essere analiticamente previste, specialmente laddove siano suscettibili di produrre conflitti con altrui posizioni soggettive: è soprattutto il caso del mandato a distruggere contenuti informatici, nei limiti in cui questo sia da reputarsi lecito secondo i principi.

Lo stesso potere potrà essere altresì conferito per via testamentaria ad un esecutore testamentario.

Diversa dalla disposizione che abbia ad oggetto unicamente la trasmissione delle credenziali (mandato post mortem exequendum, esecutore testamentario, mandato post mortem, contratto di deposito) è la disposizione che abbia ad oggetto il contenuto digitale protetto dalle credenziali.

La dottrina, che si è occupata della questione, parla di legato di password con riferimento a quella attribuzione testamentaria complessa, con la quale il testatore a mezzo dell'attribuzione diretta delle credenziali intende attribuire al beneficiario altresì i diritti su ciò che le password custodiscono. Il legato assume così un oggetto complesso: un oggetto immediato (le password) ed un oggetto mediato (il contenuto cui le password danno accesso). In questa prospettiva, il legato di password può essere altresì considerato come una fattispecie di relatio, costituendo le credenziali un mero criterio per individuare l'oggetto della disposizione a titolo particolare.

In considerazione del fatto che i contratti con i provider internet prevedono, nella maggior parte dei casi, che in caso di morte del titolare l'account venga rimosso ed il contenuto distrutto, appare consigliabile adottare soluzioni che, attribuendo a terze persone il controllo delle credenziali, non impongano il ricorso ad iniziative giudiziali o stragiudiziali (spesso da condurre nell'ambito di ordinamenti stranieri).

Lo strumento più utile sembra a tal fine il mandato post-mortem exequendum: mandato conferito a termine iniziale (di adempimento), a decorrere dal momento della morte del mandante, eventualmente accompagnato da un contratto di deposito: un soggetto viene costituito depositario delle credenziali e un altro soggetto viene incaricato di ottenere post-mortem le credenziali dal depositario per compiere le attività previste dal disponente.

M. Cinque, La successione nel "patrimonio digitale": prime considerazioni, in Nuova giur. civ., 2012, 645

G. Corapi, La trasmissione ereditaria delle c.d. "nuove proprietà", in Fam. Pers. Succ., 2011, 379

L. Luca, Il legato di password, in Notariato, 2014, 144

A. Magnani, L'eredità digitale, in Notariato, 2014, 519