L’e-mail è “forma scritta”?*
Avv. Andrea Lisi
(Curatore del Portale www.scint.it. Direttore Scientifico del Corso di Alta Formazione post lauream in Diritto & Economia del Commercio Elettronico Internazionale SCiNT – Ed. Simone(www.scint.it/altaformazione) )
* Estratto da un approfondimento di Andrea Lisi e Marco Cuniberti in pubblicazione su Punto-Informatico n.1999 di lunedì 02.02.2004
Nelle ML e nei “Circoli” giuridici non si parla d’altro: l’e.mail equivale, oppure no, a un documento cartaceo sottoscritto e può essere prodotta in giudizio? Il contributo di molti studiosi** sta arricchendo tale dibattito secondo una corretta dialettica che vede l’incontro di più tesi sostenute sia da giuristi, sia da tecnici dell’informatica e, la presenza di qualche nota stonata che vorrebbe chiudere la questione tacciando di distrazione quanti l’hanno portata all’attenzione del grande pubblico si commenta da sé… Il dibattito deve essere sempre alimentato, una pluralità di prospettive è sintomo di amore per la ricerca e lo studio: e quindi andiamo avanti con ulteriori considerazioni!
Come è noto la questione è sorta con la pubblicazione sul web del decreto ingiuntivo n. 848/03 emesso dal Tribunale di Cuneo sulla base della sola produzione di uno scambio di e.mail dalle quali si deduceva un riconoscimento di debito.
Poiché una voce solitaria ha contestato con forza la pubblicazione del decreto e, quindi, i commenti che ne sono seguiti (si veda per uno “stralcio” dell’articolo http://www.scint.it/news_new.php?id=408), allora sembra inevitabile fare chiarezza:
1) Il decreto ingiuntivo è un provvedimento emesso da un Giudice in un procedimento di natura sommaria e, quindi, per definizione non è “di parte” come qualcuno ha arditamente riferito in questi giorni (salvo a voler avallare le argomentazioni di una certa corrente politica che vorrebbe “di parte” qualsiasi provvedimento di un giudice…ma qui si cerca di parlare di diritto e non di politica!).
2) Il Giudice emette un decreto ingiuntivo se sono presenti i requisiti contenuti nell’art. 633 c.p.c. (e non art. 663 c.p.c. come era apparso inizialmente sull’articolo soprariportato, forse, scritto troppo in fretta e senza meditare): tra questi requisiti al punto 1) c’è anche la “prova scritta”!
3) Nel suo provvedimento il Giudice di Cuneo dice testualmente “visti gli artt. 633, 634 ingiunge (…)”: il Giudice, quindi, ha deciso di emettere il decreto sulla base del combinato disposto di due norme: gli artt. 633 e 634 c.p.c., e l’art. 634 c.p.c. altro non è che una “spiegazione” del nostro legislatore su cosa è la “prova scritta”…quindi, è indubbio che il Giudice ha sostenuto la tesi secondo la quale l’e.mail è equipollente a un documento scritto. D’altronde, questa tesi (secondo la quale ID e PW possono in qualche modo rappresentare una forma di autenticazione informatica e, quindi, costituire una “firma elettronica”) è stata già avallata da recente autorevole dottrina (si veda, ad esempio, la posizione di A. Graziosi, AA. VV. Il documento informatico e la sua efficacia probatoria nel processo civile, in un recente testo edito dalla Giappichelli dal titolo Commercio Elettronico Documento Informatico e Firma Digitale a cura di C. Rosello, G. Finocchiaro e E. Tosi pg. 543 e ss. o il recente articolo di Vito Amendolagine a commento del “famoso” decreto dal titolo “Il valore probatorio dell'e-mail nel ricorso per ingiunzione di pagamento” apparso di recente su Diritto e Giustizia, Giuffrè editore) e già c’erano state in proposito decisioni di altri giudici meno pubblicizzate (citiamo, a titolo di esempio, il decreto ingiuntivo n. 704/2002 emesso il 26 marzo 2002 dal Tribunale di Venezia su presupposti molto simili).
Firma elettronica leggera e avanzata…ma sono la stessa cosa?
Fatta chiarezza su questo aspetto, passiamo al nodo da sciogliere: l’e-mail deve essere considerata un documento informatico sprovvisto di qualsivoglia firma elettronica (quindi è una mera riproduzione meccanica), ovvero è un documento elettronico provvisto di firma elettronica leggera (e quindi soddisfa il requisito della “forma scritta”)?
Come già in precedenti articoli sottolineato, il comma 2 del novellato art. 10 DPR 445/2000 dispone che il documento informatico sottoscritto con "firma elettronica" "soddisfa il requisito legale della forma scritta", anche se sarà poi "liberamente valutabile dal giudice sul piano probatorio". A norma dell’art. 2 del d.lgs n. 10/2002 per firma elettronica si intende "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica". In questo 2° comma sembrerebbero (il condizionale è d’obbligo; infatti, sarebbe una pazzia avere certezze nella lettura interpretativa di una normativa in costante evoluzione) “trovare disciplina tutti quei sistemi che in vario modo permettono di identificare un soggetto, o in base a conoscenze dell’utente (si pensi all’esempio del PIN – Personal Identification Number – o della password), o in base a sue caratteristiche fisiche (si pensi ai sistemi biometrici collegati alle impronte digitali o al riconoscimento della retina), o considerando il suo possesso di un determinato oggetto (come ad esempio le smart card). La valutazione dell’efficacia probatoria di documenti informatici sottoscritti o formati con uno di questi eterogenei sistemi di firma elettronica è rimessa, come qualsiasi altra prova civile (art. 116 c.p.c.), al prudente apprezzamento del giudice” (A. Graziosi, in precedenza citato).
Cosa è allora questa fantomatica “autenticazione informatica” prevista dal nostro legislatore? E’, secondo una definizione fornita da una recente normativa (D. Lgs. 196/2003, art. 4, comma 3, lett c)) “l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità”.
Certamente il legislatore quando parla di firma elettronica cd. leggera, non si riferisce alla firma elettronica “avanzata” definita sempre nel DPR 445 come “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Quindi, a leggere attentamente la normativa vigente (e in attesa delle desiderate modifiche chiarificatrici) la firma elettronica “leggera” si differenzia da quella elettronica “avanzata” (come la firma digitale), perché in questo caso non sussiste alcun “procedimento di validazione” , come previsto solo per la firma digitale dall’art. 22 del DPR 445 (per “sistema di validazione” deve intendersi “il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità”).
Secondo questa ricostruzione, l’autenticazione informatica non garantirebbe l’immodificabilità e integrità del documento, né la sua sicura provenienza.
Nel caso dell’invio di e.mail (o attraverso un servizio “web mail” o attraverso il “client di posta”) siamo indubbiamente di fronte ad un caso di autenticazione a mezzo di ID e PW in entrata e, quanto meno in caso di “web mail”, in entrata e in uscita, ma non di fronte ad un caso di “validazione”. Nel caso in cui volessimo “validare” il documento utilizzeremmo un "sistema informatico o crittografico".
Una differente interpretazione eliminerebbe del tutto la differenza tra firma elettronica avanzata e firma elettronica leggera e non spiegherebbe perché il legislatore ha voluto delineare questa nuova nozione di firma elettronica garantendole una sua rilevanza giuridica (come d’altronde previsto dalla stessa direttiva n. 1999/93/CE recepita nel nostro ordinamento).
Uno sguardo al quotidiano: le ragioni di una scelta…
Ma perché mai il legislatore ha dato affidamento e credibilità giuridica ad un documento poco sicuro quale l’e-mail? Cerchiamo di spostare il nostro ragionamento dal piano teorico a quello pratico della quotidianità. D’altronde le e.mail non fanno parte dell’iperuranio, bensì della nostra vita di relazione…
1) Non possiamo certo negare che molte delle nostre azioni sono legate ad una chiave alfanumerica o a un codice personale che ci identifica e ce ne attribuisce univocamente la “paternità”. Infatti, prelevare del denaro ad uno sportello bancomat, utilizzare la carta di credito, accedere ad un servizio di e-banking, abbonarsi ad una rivista on-line, accendere un cellulare o il computer del nostro ufficio, o addirittura avviare alcuni tipi di automobili sono operazioni che possono compiersi solo con l’utilizzo di un codice personale.
Quando noi utilizziamo il nostro bancomat, la nostra carta di credito, o ci abboniamo ad un servizio a pagamento on-line, o accediamo all’area riservata di un sito web (…) abbiamo oppure o no posto in essere un’attività giuridicamente rilevante? Quei prelievi allo sportello bancomat, quei pagamenti con carta di credito, quell’abbonamento sono, o non sono, imputabili al nostro agire? Inoltre, se l'email non non dovesse soddisfare il requisito della forma scritta, e non dovesse soddisfarlo neppure l'autenticazione (con pw e id) di tutti i siti web per accedere alle aree riservate, allora il consenso espresso e documentato per iscritto per il trattamento dei propri dati personali (come richiesto dal Codice della Privacy) e la sottoscrizione di clausole vessatorie non potranno mai essere richiesti elettronicamente, se non quando in tutta Italia tutti avranno firme digitali…e tutto il mondo dovrà adeguarsi?
2) Inoltre, vale la pena ricordarlo, l’insicurezza del documento informatico è figlia dell’insicurezza del documento cartaceo! Tante volte ci si dimentica che la realtà presenta rischi identici se non maggiori del cyberspazio… Quanti testamenti, contratti, certificati, autorizzazioni, concessioni, licenze sono contraffatti? Quante carte intestate vengono sottratte negli uffici della Pubblica Amministrazione e riempiti illecitamente? Basta frequentare le aule di giustizia per rendersi conto della situazione…. E in questi casi sarà sempre il Giudice a dire se il documento prodotto in giudizio e provvisto di firma autografa sarà, o meno, autentico e spetterà sempre al Giudice valutarne l’efficacia probatoria.
3) La "firma informatica" (elettronica, digitale, analogica, forte, debole,..) è, quindi, solo uno dei tanti mezzi per formalizzare gli accordi fra privati. Anzi, per continuare i paragoni con la “realtà documentale cartacea”, dimostrare l'integrità di un fax è operazione che può rivelarsi più difficile rispetto a quella avente ad oggetto l’integrità di una e-mail. Se è vero che quest’ultima può essere copiata e cancellata nel suo percorso, è anche vero che spesso con operazioni tecnico-informatiche è possibile recuperare i dati cancellati (o alterati) o almeno alcuni frammenti degli stessi.
4) Infine, occorre sempre ricordare che le esigenze del commercio, e soprattutto del commercio internazionale, sono certamente diverse dalle esigenze sottese ai rapporti che legano P.A. e cittadini. E infatti :
a) Tutte le norme che prevedono l'invio obbligatorio di e.mail con firma digitale riguardano particolari rapporti tra privati e pubbliche amministrazioni e, quindi. mirano a garantire maggiori esigenze di certezza dell'imputabilità e sicurezza del traffico telematico (dal 3 novembre 2003 la firma digitale è obbligatoria: per l'invio telematico degli atti societari ai registri camerali - DL 236/02 - DM 20/3/2003; dal 1.gennaio 2004 per l'invio della fattura "europea" via e-mail - direttiva 2001/115/CE, art. 2; per le notificazioni dei trattamenti di dati personali al Garante - DLgv 196/03, art. 38 ...).
b) Il T.U. 445/2000 è stato pensato per ricomprendere tutte le disposizioni legislative e regolamentari in materia di documentazione amministrativa: anche se contiene principi poi applicabili a privati ha questo "vizio d'origine".
c) La direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 sulle firme elettroniche è, invece, una direttiva che non pensava ad un unico quadro unitario per privati e pubbliche amministrazioni nell'utilizzo di sistemi che garantissero in qualche modo l'autenticazione e la sicurezza dei dati informatici trasmessi attraverso le reti telematiche (e, infatti, qui ritroviamo l'ampia definizione di firma elettronica leggera attuata dal nostro legislatore con il d.lgs. n. 10/2003 e mod. del 445/2000).
d) Nel d.lgs n. 70/2003 (attuativo della direttiva 2000/31/CE), pensato, invece, per il solo commercio elettronico tra privati (e solo in via "sussidiaria" per le P.A.), non si parla mai di firme elettroniche per la conclusione dei contratti e non si nega la validità di contratti conclusi e ricevuti via e.mail (basta leggere e confrontare - anche con ragionamento a contrario - gli articoli 12/13 del decreto).
Da ciò si deduce che manca in Italia un coordinamento tra le norme che regolano i rapporti tra PA e cittadino e le norme che regolano il mero commercio elettronico tra privati. Per il commercio elettronico tra privati non è necessario imporre sistemi di validazione e sicurezza identici a quelli indispensabili per i rapporti che si consumano con la PA.
Quindi, queste conclusioni, forse provocatorie (perchè giustificate da una normativa confusa e poco chiara). hanno un senso nel commercio tra privati, dove le esigenze eccessive di sicurezza finirebbero per rallentare proprio lo sviluppo del commercio elettronico privato, creando una cesura tra commercio reale (dove si attribuisce - per tradizione giuridica - validità e rilevanza a documenti cartacei facilmente falsificabili quali il telefax) e commercio elettronico (dove invece uno strumento molto diffuso quale l’e-mail verrebbe ad essere parificato ad una semplice riproduzione meccanica).
Con questo articolo, quindi, non si vuole frenare lo sviluppo o l'utilizzo della firma digitale o di altri sistemi di sicurezza, ma si sottolinea come il loro utilizzo sia assolutamente indispensabile soltanto per accreditare i rapporti tra PA e privati; nei rapporti (soprattutto internazionali) tra privati - dove occorre maggiore elasticità e autoregolamentazione – le ragioni saranno eventualmente di opportunità nell'utilizzo di questi strumenti (come si consiglia all'imprenditore di rivolgersi ad un notaio se vuole sottoscrivere contratti miliardari!).
Pertanto, se non ci sono ragioni più serie (e non di mera opportunità) per non parificare (anche per gli effetti civili) la corrispondenza elettronica alla corrispondenza cartacea (come già avvenuto dal punto di vista penale e di tutela della riservatezza), allora il nostro legislatore dovrebbe pensare bene, in sede di emanazione delle regolamentazioni tecniche sulle firme elettroniche, a tenere in maggiore considerazione questa prassi così diffusa nei rapporti quotidiani che merita, quindi, a modesto avviso di chi scrive, un minimo di rilevanza giuridica.
********
**Si ringraziano per i vivaci spunti di riflessione i vari colleghi che hanno partecipato alle discussioni in merito al decreto ingiuntivo (n. 848/03 messo dal Tribunale di Cuneo) nelle ML del Circolo dei Giuristi Telematici e del CSIG (Centro Studi di Informatica Giuridica): oltre all’ormai “mitico” Marco Cuniberti, si ricordano in ordine sparso i colleghi Donato Caccavella, Massimiliano Pappalardo, Andrea Monti, Gerry Costabile, Pirluigi Perri, Giuseppe Bellazzi, Marco Pistis, Marisa Bonanno, Daniele Minotti, Antonio Gammarota, Stefano Cerutti, Patrizio Galeotti, Giovanni Ziccardi.