Una diversa definizione di firma digitale, rispetto a quella del CAD già commentata è contenuta nel recente Decreto del ministero della giustizia n. 44 del 2011 , concernente le regole tecniche nel processo telematico, e pubblicato sulla “Gazzetta Ufficiale” del 18 aprile 2011 n. 89.
Il “Regolamento concernente le regole tecniche per l’adozione nel processo civile e nel processo penale, delle tecnologie dell’informazione e della comunicazione, in attuazione dei principi previsti dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ai sensi dell’articolo 4, commi 1 e 2, del decreto-legge 29 dicembre 2009, n. 193, convertito nella legge 22 febbraio 2010 n. 24” definisce all’art. 2, comma 1, lett. g), la firma digitale come “firma elettronica avanzata, basata su un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura, di cui al decreto legislativo 7 marzo 2005, n. 82”. Questa definizione era sostanzialmente presente anche nel previgente d. m. 17 luglio 2008, sul processo telematico, ma non muta nonostante le modifiche apportate recentemente al CAD.
La firma digitale è invece definita all’art. 1, comma 1, lett. s), del Codice dell’amministrazione digitale modificato, come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
La definizione del CAD di “firma digitale”, basata su quella di firma elettronica avanzata, invece che, come nel Codice previgente, su quella di firma elettronica qualificata, è incompleta, dal momento che è priva del riferimento al dispositivo sicuro.
Tuttavia anche la definizione del D.M. è incompleta, dal momento che manca il riferimento al sistema di chiavi crittografiche, che incontestabilmente caratterizza la firma digitale. Si segnala, inoltre, che nel d.m. in commento si precisa, nella definizione stessa di firma digitale, che il certificatore può essere solo un certificatore accreditato, e non anche un certificatore qualificato. Questo ulteriore requisito sarebbe stato comunque richiesto per gli atti dell’amministrazione, ai sensi dell’art. 34 del CAD. Considerato l’ambito di applicazione del decreto, è presumibilmente volto ad elevare la sicurezza degli atti informatici prodotti.
Le recenti Linee Guida del Garante in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web ribadiscono alcuni principi fondamentali dettati dal Codice per la protezione dei dati personali e li declinano in un contesto assai particolare, quello della pubblicazione di atti sui siti web da parte della P.A.
Si segnala anche un’utile sintesi pubblicata dallo stesso Garante.
I principi ribaditi sono quelli della necessità (artt. 3 e 11) nel trattamento di dati personali, nonché quelli che presiedono alla diffusione dei dati personali da parte delle PP.AA. (artt. 19 e 20).
Le novità attengono all’enfasi posta sulle misure tecnologiche da adottare per garantire il rispetto dei principi sopra ricordati. Fra queste, le misure atte a limitare la reperibilità dei dati da parte dei motori di ricerca, quelle che limitano il tempo di permanenza dei dati su Internet, quelle volte ad evitare la duplicazione massiva dei file, ed infine quelle volte a garantire l’integrità dei file.
Ampio spazio, dunque, alla tecnologia come strumento (necessario ed inevitabile) per garantire l’attuazione delle norme e dei principi giuridici.
Il recente licenziamento della dipendente inglese che sarebbe stata allontanata dal lavoro per essersi lamentata, attraverso il proprio profilo Facebook, del proprio stipendio, torna a far riflettere sul tema dell’utilizzo delle risorse tecnologiche da parte dei lavoratori. Si fa riferimento a Facebook solo come modello – il più noto e diffuso – di social network.
1) È vietato usare Facebook nel posto di lavoro?
Non sempre, dipende: è una scelta del datore di lavoro.
2) Come si fa a conoscere qual è la scelta?
Occorre leggere la policy o le linee guida (i nomi possono essere molto vari) emanate dal datore di lavoro, anche ai sensi delle Linee Guida del Garante (Linee Guida per posta elettronica e Internet).
3) Se non esistono policy?
Naturalmente la scelta può essere ricavata altrimenti, anche dal contratto, per esempio. In questo caso, si ritiene che gli strumenti di lavoro siano affidati dal datore di lavoro al lavoratore per lo svolgimento dell’attività lavorativa.
4) Le policy possono prevedere un utilizzo di Facebook per fini personali?
In generale, sì. Le scelte dei datori di lavoro possono essere molto diverse, anche di tolleranza.
5) Se il datore di lavoro è una pubblica amministrazione?
In questo caso, la questione è più delicata. Si ricorda che il codice penale punisce il reato di peculato c.d. “d’uso”.
6) Il lavoratore è vincolato nell’esprimersi su Facebook se fa riferimento al suo lavoro o al datore di lavoro?
È vincolato da norme di natura generale, che si applicano a Facebook come a qualunque altro contesto. Si tratta, solo per fare qualche esempio, degli obblighi di fedeltà, correttezza, non concorrenza, tutela dei dati personali, oltre che di rispetto dell’onore e della reputazione altrui.
7) Il datore di lavoro può utilizzare le informazioni che trova su Facebook?
Se ne viene lecitamente a conoscenza, mediante la particolare catena di consensi che caratterizza Facebook, sì.
8) Le informazioni inserite su Facebook sono da considerarsi “private”?
Dipende da cosa si intende per “privato”. Le informazioni pubblicate su Facebook sono visibili a soggetti autorizzati, direttamente o indirettamente (amici, amici degli amici) e quindi, potenzialmente, anche da molti soggetti.
9) Le informazioni inserite su Facebook possono essere utilizzate solo per certe finalità (personali) e non per altre (lavorative)?
Solo se questa limitazione è espressamente dichiarata. Al momento, non risulta.
10) Occorre una legge ad hoc?
La Germania si è orientata in questo senso. Resto contraria ad una legge per ogni innovazione tecnologica. Ci vuole più consapevolezza.
Analogamente a quanto già disposto per l’Agenzia delle entrate il nuovo CAD si applica con limitazioni anche alla Presidenza del consiglio dei ministri.
è quanto disposto dal d.p.c.m. 9 febbraio 2011 pubblicato nella G.U. del 4.4.2011.
Non si applicano le disposizioni del CAD alle attività ed alle funzioni di competenza della Presidenza del consiglio, direttamente o indirettamente riferite agli atti di alta amministrazione e alla sicurezza nazionale.
Si applicano alla Presidenza del consiglio dei ministri compatibilmente con le funzioni istituzionali assegnate e le esigenze delle singole strutture le norme del CAD sulla valutazione, la quantificazione e il riutilizzo dei risparmi derivanti da digitalizzazione e riorganizzazione; sull’organizzazione degli uffici; sul contenuto dei siti delle pubbliche amministrazioni e infine sulle modalità di fruibilità dei dati.
Saranno successivamente individuate le specifiche modalità di applicazione dell’art. 5-bis del CAD, sulla comunicazione fra imprese e pubblica amministrazione, alla Presidenza del consiglio.
Saranno stabiliti con decreto del Presidente del consiglio dei ministri modalità e limiti di applicazione delle norme del CAD concernenti la valutazione dei dirigenti.
Anche in questo caso, la deroga si fonda sulla disposizione contenuta nell’art. 2, comma 6 del CAD.
Esaminare il tema, assai complesso, della responsabilità del provider oggi impone di distinguere due profili: il primo, tecnico-giuridico; il secondo, di politica legislativa.
1) Profilo tecnico-giuridico: applicazione delle norme vigenti
L’aspetto tecnico-giuridico è in estrema sintesi il seguente: è corretto argomentare, come fanno molte recenti sentenze italiane, nel senso dell’esclusione dell’esonero da responsabilità per il provider previsto dall’art. 17 del d. lgs. 70/2003? E quindi affermare che il provider è responsabile?
L’art. 17 dispone che il provider non è tenuto ad un obbligo di sorveglianza.
L’art. 16 dispone che il provider di hosting non è responsabile delle informazioni memorizzate se non è a conoscenza del fatto che l’informazione è illecita.
Il provider è invece responsabile se non rimuove o disabilita l’accesso, ma avendo ricevuto una richiesta dell’autorità.
La questione cruciale è: chi qualifica l’illiceità dell’informazione?
Certo non il soggetto che è interessato a rimuovere l’informazione, né il provider che cautelativamente potrebbe scegliere (anche a legislazione vigente) di rimuovere sempre le informazioni. Dovrebbe provvedere un terzo, rispetto alle parti, cioè il giudice.
Questa è la questione più delicata: la prova della conoscenza da parte del provider e la qualificazione dell’illiceità delle informazioni.
2) Profilo di politica legislativa: modifiche normative
Se si ritiene che chi trae anche indirettamente profitto dalla pubblicazione delle informazioni ne debba rispondere, allora va modificata la normativa vigente e va adottato un regime giuridico più vicino al DMCA statunitense, ove si declinano l’effettiva conoscenza e il sistema di notice and take down. E a questo ordinamento sembra ispirarsi il giudice della sentenza Yahoo!.
La giurisprudenza italiana sembra stia cercando di costruire una responsabilità del provider come fornitore di contenuti, nonostante una previsione normativa in senso diverso. Ma occorre un intervento legislativo.
La recente decisione del Tribunale di Milano, pubblicata sul Post offre lo spunto per alcune riflessioni.
In sintesi, il Tribunale ha respinto il ricorso e ordinato a Google di interrompere l’associazione fra il nome e il cognome di un imprenditore e termini quali “truffa” e “truffatore” che apparivano automaticamente quando si digitava sul motore di ricerca il nome e il cognome dell’imprenditore e la lettera “t”. La tesi difensiva di Google era che l’associazione fosse automatica in quanto compiuta attraverso il software che completa la stringa di ricerca sulla base delle ricerche già effettuate dagli utenti. Google ha peraltro ottemperato alla sentenza.
Il punto più interessante della decisione, per il giurista, è che il Tribunale qualifica il motore di ricerca come una banca dati. Non si applica, dunque, il d. lgs. 70/2003 sulla responsabilità del provider, e i previsti esoneri di responsabilità.
Non viene, dunque, in rilievo la questione della “conoscenza dell’illiceità” da parte del provider.
Questa è invece al cuore di altre decisioni giurisprudenziali italiane. Da ultima, la dotta ordinanza del Tribunale di Roma del 23 marzo sul caso Yahoo.
È stato pubblicato nella G.U. del 25.3.2011 il d.p.c.m. 2 marzo 2011, nel quale si definiscono i limiti di applicazione del Codice dell’amministrazione digitale all’Agenzia delle entrate.
In particolare, si precisa che all’Agenzia non si applicano le disposizioni del CAD concernenti le modalità di conservazione ed esibizione dei documenti per via informatica, relative alla conservazione per fini fiscali. La conservazione digitale per fini tributari resta disciplinata dal decreto del Ministero dell’economia e delle finanze del 23 gennaio 2004.
Si precisa, inoltre, che anche le modalità di comunicazione con l’Agenzia delle entrate non sono necessariamente disciplinate dal CAD, ove siano previsti specifici sistemi di trasmissione telematica per il settore tributario.
La deroga si fonda sulla previsione dell’art. 2, comma 6 del CAD.
Recentemente ha suscitato un certo interesse la decisione Cass. pen., sez. V, 14 marzo 2011, n. 10200. L’interesse è soprattutto riconducibile alla novità della materia e al fatto che si tratta di una delle prime decisioni relative ad un falso perpetrato per ottenere il rilascio della firma digitale.
Pare, ma non è dato conoscere compiutamente i fatti, che –fra l’altro- sia stata presentata una falsa richiesta di certificato elettronico qualificato per la firma digitale, a nome di un ignaro imprenditore, alla Camera di commercio. Come si sa, senza certificato qualificato non si ha firma digitale e il certificato di cui si tratta è un certificato molto particolare, strettamente connesso alla natura della firma digitale.
Il nucleo della sentenza è l’affermazione che “la condotta relativa alla richiesta del privato per ottenere il rilascio della firma digitale resta disciplinata dal d. lgs. 7 marzo 2005, n. 82, e appare riconducibile allo schema normativo dell’art. 483 c.p. dato che trattasi di attività diretta alla Pubblica Amministrazione – nella specie alla Camera di Commercio – per ottenere il rilascio della firma digitale, come tale assimilabile alla richiesta di un certificato o autorizzazione amministrativa”. L’art. 483 c.p. disciplina, come è noto, la falsità ideologica commessa dal privato in atto pubblico e dispone: “chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione fino a due anni”.
La norma applicabile oggi sarebbe invece l’art. 495-bis c.p. “falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri”, il quale dispone che chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno. Questa norma è stata inserita nel codice penale italiano dall’art. 3 della l. 18 marzo 2008, n. 48, “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica”, cosiddetta “Convenzione di Budapest” sul cybercrime.
Non si possono non ricordare, infine, anche i rilevanti obblighi del certificatore che, ai sensi dell’art. 32 del CAD, deve provvedere con certezza alla identificazione di chi fa richiesta della certificazione.
L’art. 5-bis del nuovo Codice dall’amministrazione digitale sembra finalmente digitalizzare la comunicazione fra imprese e amministrazioni pubbliche. Dispone che la comunicazione debba avvenire esclusivamente con mezzi telematici, precisamente affermando che: la presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione.
Sono ormai molti anni che si parla di digitalizzazione della pubblica amministrazione e questa norma costituisce un ulteriore passo in quella direzione.
Tuttavia, si tratta di una norma che va declinata con riferimento alle specifiche comunicazioni e agli specifici obblighi per la comunicazione, posti dalle singole disposizioni del Codice: ad esempio, posta elettronica certificata, firma digitale, ecc. I mezzi telematici da utilizzare per la comunicazione variano di volta in volta. Ad esempio, l’art. 65 del Cad, per la trasmissione di istanze o dichiarazioni alla pubblica amministrazione, richiede alternativamente l’uso della firma digitale o della carta d’identità elettronica o della carta nazionale dei servizi o di strumenti di identificazione predisposti dalle pubbliche amministrazioni o della posta elettronica certificata.
Il file privo di ogni tipo di firma è probabilmente il documento informatico più diffuso. Esso ha una specifica efficacia probatoria, già riconosciuta dalla legge e anche dalla giurisprudenza, addirittura di Cassazione (Cass. 11445/2001; Cass. 9884/2005).
Sull’efficacia probatoria di questa tipologia di documento informatico non c’è mai stato grande dibattito, ma anzi c’è sempre stato un sostanziale accordo fra dottrina, legislatore e giurisprudenza.
L’efficacia del documento informatico, che si affermava ai sensi dell’art. 2712 del codice civile, richiamato dall’art. 23 del previgente CAD, è quella delle riproduzioni meccaniche, le quali formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti e alle cose medesime.
Apparentemente il nuovo art. 23-quater del Codice dell’amministrazione digitale, sembra confermare la norma previgente, disponendo: “all’art. 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘, informatiche’,” esattamente come già disponeva l’art. 23 del CAD previgente.
Invece, nel nuovo art. 20, comma 1-bis, si legge: “L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’art. 21”.
Quindi ci sono due norme nel nuovo CAD che disciplinano la stessa fattispecie: l’efficacia probatoria del documento informatico senza firma.
Quale applicare?
Non potendo due norme diverse (nuovo art. 20, comma 1-bis e nuovo art. 23-quater) disciplinare in modo diverso l’efficacia probatoria della medesima fattispecie (il documento informatico senza firma), non resta che sperare in un intervento correttivo del legislatore.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
