Introduzione: l’identità digitale e l’importanza delle firme elettroniche
Lo sviluppo dell’identità digitale e del mercato digitale (in particolare, del digital single market a livello comunitario) sono inquadrabili tra gli sviluppi connessi al progresso tecnologico. E’ innegabile l’importanza crescente che le moderne tecnologie stanno assumendo, in modo sempre più omnicomprensivo, nella nostra vita, ridefinendo ogni suo aspetto e i gesti più quotidiani. Un numero crescente di azioni si sta spostando dal mondo offline a quello online. Valga come esempio, elemento per altro centrale nel presente commento, l’e-commerce, definito come “the sale or purchase of goods or services, whether between businesses, households, individuals or private organizations, through electronic transactions conducted via the internet or other computer-mediated (online communication) networks” dall’Eurostat, l’ufficiale ufficio statistico dell’Unione Europea.
Come noto, tuttavia, questa innovazione, al pari di ogni altra evoluzione della storia dell’uomo, si accompagna a rilevanti sfide. Dal punto di vista giuridico, appaiono rilevanti la definizione di identità digitale e la conseguente identificazione digitale. Senza questi elementi, infatti, la fiducia dei (possibili) consumatori è destinata a diminuire, con la conseguenza che le possibilità offerte dalle moderne tecnologie resterebbero incompiute.
L’identità digitale è definibile come “l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un utilizzatore del suddetto”(1). Le informazioni sono protette da un sistema di autenticazione che può essere basato su “qualcosa che so” (password), “qualcosa che ho” (smart card, tessera magnetica), “qualcosa che sono” (sistemi biometrici). In Italia, invece, il Codice della Pubblica Amministrazione Digitale (d. lgs. 82/2005, il “Codice”) definisce l’identità digitale come “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale”. Un importante sistema di autenticazione ideato nel nostro Paese è il Servizio Pubblico di Identità Digitale (“SPID”), che consente di creare una corrispondenza biunivoca tra un cittadino e i suoi attributi identificativi, secondari o qualificati(2).
Sebbene rispetto al passato si evidenzia una maggiore tendenza alla ricerca di un’identità digitale unica e sempre più legata all’identità personale (si pensi, ad esempio, al tentativo di Facebook di rimuovere ogni account giudicato falso e a quello di interconnettere molteplici applicazioni web) – alimentando il dibattito tra authenticity e anonimity(3) – possono ancora esistere diverse identità digitali legate ad un’unica persona reale. Anche parlando di identità digitale, oltre che per la più nota dicotomia lotta al terrorismo-tutela di diritti e libertà, si ripresenta dunque il problema del bilanciamento tra sicurezza e anonimato (i.e. libertà sul web).
A prescindere da tale discussione, che esulta dai fini della nostra analisi, un elemento cruciale quando si analizza lo sviluppo del digital single market e, dunque, l’identità digitale, è costituito dall’autenticazione, ossia dalla possibilità di verificare la corrispondenza tra un utente reale e i dati elettronici a esso collegati. Si può, pertanto, affermare che l’identità digitale sia formata da due fattori: “da una parte, l’identificazione dell’esistenza del soggetto fisico; dall’altra, l’attribuzione a tale soggetto fisico di un insieme di codici elettronici tali che, una volta introdotti in uno o più calcolatori, singoli o in rete, la persona possa essere identificata, collegando i codici alla sua identità”(4). In tal senso, assumono un ruolo fondamentale le firme elettroniche, un insieme di dati che consentono di verificare (a seconda della tipologia, con una certezza maggiore o minore) l’identità di un soggetto in una transazione online.
Il Codice della Pubblica Amministrazione Digitale
In Italia, le firme elettroniche sono regolate dal Codice, emanato proprio per tenere conto, anche in Italia, dell’evoluzione tecnologica e sfruttarne le potenzialità. La finalità indicata è infatti quella di migliorare l’impiego delle tecnologie digitali da parte dell’amministrazione pubblica italiana, che deve assicurare “la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale” e organizzarsi a tal fine utilizzando le modalità più appropriate al soddisfacimento degli interessi degli utenti, ricorrendo alle tecnologie dell’informazione e della comunicazione (articolo 2, comma 1, Codice). L’ambito di applicazione soggettivo del Codice è principalmente costituito dalle “pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165” (articolo 2, comma 2, Codice)(5). Tuttavia, le “disposizioni di cui al capo II, agli articoli 40, 43 e 44 del capo III, nonché al capo IV”, quelle relative cioè al documento informatico e alle firme elettroniche, si applicano anche ai privati (articolo 2, comma 3, Codice). Dunque, tra i molti argomenti, il Codice disciplina anche le firme elettroniche e, a testimonianza della loro rilevanza nel mondo contemporaneo, dispone l’applicazione di tali disposizioni anche a soggetti diversi dalle amministrazioni pubbliche (in primo luogo a tutti i cittadini e alle imprese). Inoltre, il rilievo generale della materia è evidenziato dalle molte e costanti modifiche cui il Codice è stato sottoposto sin dalla sua entrata in vigore. Tra le novità di maggior rilievo si segnalano le seguenti: d. lgs. n. 99/2006, l. 69/2009, d. lgs 235/2010, d.l. 179/2012, d. lgs. 179/2016.
Proprio l’esistenza di tutti questi interventi legislativi ha fatto sì che i più recenti aggiornamenti non siano stati sempre recepiti da dottrina e operatori. Inoltre, tale panorama legislativo si complica a causa dei continui interventi normativi europei finalizzati alla promozione del digital single market. Vale quindi la pena esporre la disciplina attualmente esistente riguardante le varie definizioni di firme elettroniche oggi accettate a livello europeo e italiano e all’efficacia giuridica di tali firme, al fine fini di cogliere la possibilità di sfruttarle in sostituzione della firma autografa per lo sviluppo dell’e-commerce e, in un’ottica più estesa, per l’identificazione digitale e la creazione del digital single market. Va comunque sin d’ora chiarito che le novità normative più recenti, quantomeno riguardanti le firme elettroniche, oggetto della nostra ricostruzione, sono sul piano pratico limitate, ma la risistemazione della disciplina offre comunque un’occasione di chiarire la disciplina vigente.
Il Regolamento europeo e i suoi effetti per la disciplina italiana
Gli ultimi aggiornamenti in tema di firme elettroniche sono stati previsti dal Regolamento (UE) n. 910/2014 (cd. Regolamento eIDAS – electronic IDentification Authentication and Signature – il “Regolamento”) e dal Decreto Legislativo 179/2016 (il “Decreto Legislativo”) che ha, tra le altre cose, cercato di dare applicazione in Italia al Regolamento.
Il Regolamento, definitivamente pubblicato sulla Gazzetta Ufficiale dell’Unione europea il 28 agosto 2014 per essere poi applicato in tutti gli Stati Membri dal 1 luglio 2016, mira principalmente alla costruzione del digital single market e punta a tal fine a un rafforzamento della fiducia dei consumatori, delle imprese e delle autorità pubbliche nell’ambito delle transazioni online, ancora limitata a causa delle differenze delle legislazioni nazionali, dell’incertezza riguardante l’identificazione digitale e del diffondersi dei cyber crimes. E’ lo stesso Regolamento a chiarire che il suo fine è “garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari” (articolo 1 Regolamento), che sono individuati come gli strumenti chiave per raggiungere il suddetto fine.
L’identificazione elettronica assume dunque un ruolo chiave nel Regolamento, che la definisce come “il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica” (articolo 3, paragrafo 1, Regolamento), chiarendo, inoltre, che i mezzi di identificazione elettronica sono “un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online” (articolo 3, paragrafo 2, Regolamento). Questi mezzi vengono individuati, rispettivamente per le persone fisiche e giuridiche, nelle firme elettroniche e nei sigilli elettronici.
L’obiettivo del Regolamento non è comunque quello di definire nello specifico i mezzi di identificazione elettronica che ogni Stato Membro deve adottare (l’unica limitazione europea è costituita da alcune regole tecniche che devono essere rispettate)(6) quanto piuttosto di istituire un quadro giuridico unitario per favorire lo sviluppo del digital single market, soprattutto a livello definitorio e classificatorio. Resta invece nella discrezionalità degli Stati Membri la scelta concreta circa lo sviluppo del proprio sistema di firme e sigilli elettronici(7). Per l’Italia, ad esempio, si è fatto riferimento allo SPID.
La disciplina italiana: quali firme?
L’adeguamento della disciplina italiana alle prescrizioni del Regolamento, di per sé peraltro perfettamente applicabile, è avvenuto tramite il Decreto Legislativo e ha investito principalmente il Codice. In particolare, i commi q, q-bis e r dell’articolo 1 del Codice, contenenti le definizioni di, rispettivamente, firma elettronica, firma elettronica avanzata e firma elettronica qualificata sono stati abrogati. Tali istituti sono ora definiti direttamente dall’articolo 3 del Regolamento. In tal senso, nonostante, come detto e risaputo, le disposizioni del Regolamento sarebbero state ugualmente applicabili e prevalenti sulle definizioni del Codice, e nonostante la similitudine tra la disciplina italiana e quella europea avrebbe comunque limitato i problemi interpretativi, l’intervento del legislatore italiano va considerato come opportuno per via della sua finalità chiarificatrice, che ha certamente facilitato il compito dell’interprete.
Analizzando le tipologie di firme elettroniche oggi esistenti, la firma elettronica consiste in “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare” (articolo 3, 10), Regolamento). Si tratta della tipologia più semplice e, come vedremo, debole di firma elettronica. Essa consiste, nella maggior parte dei casi, in un semplice username collegato a una password (dati validanti) associati, a loro volta, a un insieme di dati da validare (ad esempio, un documento informatico).
La firma elettronica avanzata è, invece, quella firma che rispetta i requisiti dell’articolo 26 del Regolamento e cioè: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati” (articolo 26 Regolamento). Un esempio di firma elettronica avanzata, sempre più utilizzato, è la firma grafometrica che collega un documento informatico ad alcuni parametri biometrici del sottoscrittore. Nonostante il gesto di autenticazione possa sembrare identico (una firma apposta su un dispositivo, come un tablet), la firma grafometrica non va confusa con una firma apposta tramite un semplice programma di scrittura informatica né tantomeno alla firma digitalizzata (i.e. scannerizzata). Infatti, il software che rende la firma grafometrica una firma elettronica avanzata consente di valutare alcuni dati biometrici come la velocità di scrittura, la pressione impressa con la penna, l’angolo di inclinazione, i movimenti effettuati durante la firma(8).
Infine, la firma elettronica qualificata deve rispettare il requisito del certificato, ottenuto da un ente certificatore e, nello specifico, è “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche” (articolo 3, 12), Regolamento).
Resta, invece, definita direttamente dal Codice la sola firma digitale, “un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” (articolo 1 s) Codice), che va comunque inquadrata, in ottica di armonizzazione, come un tipo speciale della firma elettronica qualificata definita dal Regolamento. Si muove chiaramente in questa direzione l’ultima modifica dell’articolo 1, lettera s) Codice, operata proprio dal Decreto Legislativo. Infatti, si è aggiornata la precedente disposizione del Codice, che definiva la firma digitale come un particolare tipo di firma avanzata, stabilendo, ora, che si tratta di “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche”. In tal modo, pur sopravvivendo la peculiarità italiana, essa si pone in linea con il Regolamento rientrando nella categoria europea di firma elettronica qualificata. Oltre alle chiavi crittografiche, infatti, la firma digitale si basa, come quella qualificata, anche sull’emissione di un certificato da parte di un ente certificatore. Alcuni esempi di firma digitale sono l’autenticazione, a seguito dell’ottenimento del detto certificato, tramite l’utilizzo di una smart card, di una chiavetta USB contenente uno specifico software o, a seguito delle più recenti innovazioni tecnologiche, anche tramite un accesso da remoto con l’utilizzo di uno smartphone dotato di idonea applicazione.
Nonostante il nuovo assetto definitorio muti leggermente nella forma e nei testi legislativi che vanno considerati per l’individuazione della disciplina applicabile, poco è mutato nella sostanza, anche se dottrina e giurisprudenza sembrano silenti sul punto. Si può comunque rilevare che le precedenti definizioni non si discostano molto da quelle stabilite dal Regolamento, al punto da potersi affermare che la disciplina sostanziale sia rimasta immutata(9). Di conseguenza, è probabile che gran parte dei commenti effettuati in precedenza con riferimento alle firme elettroniche continueranno a trovare applicazione così come le norme tecniche stabilite dal DPCM 22 febbraio 2013 che stabilisce le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71” (il “DPCM”). Ad esempio, con riferimento alla firma elettronica avanzata, il DPCM chiarisce che la realizzazioni di soluzioni di firma elettronica avanzata è libera e non soggetta ad alcuna autorizzazione preventiva (articolo 55 DPCM). Esso stabilisce, però, dei requisiti tecnici e delle obbligazioni che devono essere rispettati per l’utilizzo di tale tipologia di firma elettronica in Italia.
Sebbene si confermi quanto sopra detto con riferimento al non contrasto tra il DPCM e il Regolamento, va altresì constatato che le norme tecniche e i requisiti da esso stabilite non sono applicabili in altri Stati Membri, con la conseguenza che l’effetto armonizzatore del Regolamento verrebbe limitato. In altre parole, alcuni dubbi inevitabilmente rimangono(10). Certamente l’UE non intendeva disciplinare nel dettaglio le firme elettroniche, limitandosi, come detto, a fornire delle categorie generali di firme elettroniche(11). Tuttavia, un intervento chiarificatore potrebbe risultare opportuno e il legislatore italiano ha certamente perso un’occasione con l’emanazione del Decreto Legislativo.
L’efficacia giuridica delle firme elettroniche in Italia: sostituzione della firma autografa?
Risolto il problema definitorio, rilevante per l’individuazione della categoria cui lo specifico sistema di firma va ricondotto, bisogna ora rivolgere l’attenzione al regime giuridico applicabile a ognuna di tali categorie di firme. In tal modo si potrà verificare, per ogni soluzione di firma elettronica, se e come essa potrebbe sostituirsi alla firma autografa facilitando lo sviluppo dell’e-commerce e del digital single market.
Alcune premesse sono necessarie. Anzitutto, il Regolamento ha un ruolo assolutamente limitato in tale materia, essendosi lasciata la disciplina dell’efficacia giuridica delle firme elettroniche ai legislatori nazionali. L’unica disposizione europea in tale campo impone di attribuire alla firma elettronica qualificata un effetto giuridico equivalente a quello della firma autografa (Considerando 49 e articolo 25 Regolamento)(12).
Inoltre, la distinzione rilevante ai fini dell’efficacia giuridica delle firme elettroniche non è la quadripartizione tra firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale, quanto piuttosto quella tra firma debole e firma forte(13). Ricadrebbero nel secondo tipo tutte le tipologie di firma con l’esclusione della sola firma elettronica, unica tipologia di firma debole.
La firma elettronica soddisfa il requisito della forma scritta ma, sul piano probatorio, “è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità” (articolo 21, comma 1, Codice, come modificato dal Decreto Legislativo). Al contrario, le firme forti non solo soddisfano il requisito della forma scritta, ma hanno “altresì l’efficacia prevista dall’articolo 2702 del codice civile” (articolo 21, comma 2, Codice, come modificato dal Decreto Legislativo). Pertanto, un documento informatico sottoscritto con firma forte ha la stessa efficacia della scrittura privata e “fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta” (articolo 2702 c.c.).
L’unica differenza circa l’efficacia delle varie tipologie di firme forti riguarda gli atti elencati dall’articolo 1350 c.c. Se, infatti, la firma elettronica qualificata e la firma digitale possono essere adottate per ognuno di tali atti, la firma elettronica avanzata non può essere utilizzata per gli atti espressamente elencati dall’articolo 1350 c.c. ma solo per “gli altri atti specialmente indicati dalla legge” (articolo 1350, numero 13), c.c.,)(14).
In conclusione, le firme elettroniche forti consentono di autenticare i dati da validare riconducendoli a uno specifico individuo. La disciplina di tale istituto giuridico, di per sé reso possibile dai recenti sviluppi tecnologici, consente pertanto di sfruttare a pieno le nuove tecnologie garantendo un’autenticazione ragionevolmente certa. Ad esempio, le firme forti possono essere di grande supporto nello sviluppo dell’e-commerce, mentre le firme grafometriche sono spesso già utilizzate da molte banche.
Inoltre, i vari tentativi europei di armonizzazione della disciplina delle firme elettroniche, da ultimo con il Regolamento, consentono di avere un regime giuridico unitario all’interno dell’UE quantomeno per le categorie di firme riconosciute e gli effetti giuridici collegati alla firma elettronica qualificata. Questo può essere di evidente rilievo per lo sviluppo del digital single market.
(1) E. Bassoli, Come difendersi dalla violazione dei dati su internet. Diritti e responsabilità, Maggioli Editore, p. 145
(2) M.F. Cocuccio, Il diritto all’identità personale e l’identità digitale, Diritto di Famiglia e delle Persone, 2016, 3, pp. 949 ss
(3) Si veda, in tal senso, A. Krotosky, Online identity: is authenticity or anonymity more important?, The Guardian, disponibile a https://www.theguardian.com/technology/2012/apr/19/online-identity-authenticity-anonymity
(4) M.F. Cocuccio, op. cit.
(5) Il D. Lgs 165/2001 così definisce la categoria di pubbliche amministrazioni. Esse comprendono “tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti i del Servizio sanitario nazionale, l’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300” (articolo 1, comma 2, d. lgs 165/2001)
(6) Si veda, a titolo di esempio, la decisione di esecuzione (UE) 2015/1506 della Commissione
(7) M.F. Cocuccio, op. cit.
(8) S. Allegrezza, La gestione informatica dei documenti. Documento informatico e firme elettroniche, http://media.regesta.com/dm_0/ANAI/anaiCMS//ANAI/000/1037/ANAI.000.1037.0013.pdf
(9) La versione del CAD vigente prima dell’entrata in vigore del Decreto Legislativo così definiva le quattro figure di firme elettroniche:
“q) firma elettronica: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario puo’ conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
E’ del tutto evidente la similitudine con le attuali definizioni del Regolamento.
(10) Per avere contezza di alcuni dubbi che riguardano la firma digitale, si veda M. Nicotra, Firma digitale, come cambierà in Italia dopo eIDAS, http://www.forumpa.it/pa-digitale/documenti-firma-digitale-ecco-come-cambiera-in-italia-dopo-eidas
(11) Allo stesso risultato si arriva guardando anche le Decisioni di esecuzione della Commissione. Esse, infatti, consistono nell’adozione di norme tecniche, così confermando la necessità di avere norme tecniche attuative del Regolamento.
(12) Si veda anche M.L. Maddalena, La digitalizzazione della vita dell’amministrazione e del processo, Foro Amministrativo, 2016, 10, pp. 2535 ss.
(13) G. Cassano, C. Giurdanella, Codice della pubblica amministrazione digitale, Giuffrè
(14) Conseguentemente, la firma elettronica avanzata, salvo sottoscrizione autenticata (si veda l’articolo 23 Codice, non modificato dai recenti interventi normativi), non può essere utilizzata per sottoscrivere: “1) i contratti che trasferiscono la proprietà di beni immobili; 2) i contratti che costituiscono, modificano o trasferiscono il diritto di usufrutto su beni immobili, il diritto di superficie, il diritto del concedente e dell’enfiteuta; 3) i contratti che costituiscono la comunione di diritti indicati dai numeri precedenti; 4) i contratti che costituiscono o modificano le servitù prediali, il diritto di uso su beni immobili e il diritto di abitazione; 5) gli atti di rinunzia ai diritti indicati dai numeri precedenti; 6) i contratti di affrancazione del fondo enfiteutico; 7) i contratti di anticresi; 8) i contratti di locazione di beni immobili per una durata superiore a nove anni; 9) i contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo indeterminato; 10) gli atti che costituiscono rendite perpetue o vitalizi, salve le disposizioni relative alle rendite dello Stato; 11) gli atti di divisione di beni immobili e di altri diritti reali immobiliari le transazioni che hanno per oggetto controversie relative ai rapporti giuridici menzionati nei numeri precedenti” (articolo 1350 c.c.).