Crimine_Dottrina

IL DOCUMENTO ELETTRONICO
NELLA SOCIETA' DELL'INFORMAZIONE

[di Leo Stilo]

[18/10/2004]

1. Premessa

Il 24 settembre 2004 si è tenuto a Roma il Convegno “L’evoluzione del documento e della posta elettronica certificata nella Società dell’Informazione: aspetti normativi e pratici”.

Gli organizzatori e promotori del Convegno, il Centro Studi Informatica Giuridica [1] e la società EUR SpA, hanno saputo riunire in un unico evento numerosi esperti della materia offrendo ai presenti non solo l’opportunità di apprendere nuovi aspetti della materia ma, anche e soprattutto, l’occasione di compiere alcune riflessioni critiche in merito ai classici strumenti di approccio speculativo alle questioni giuridiche nella società dell’informazione.

L’intento di questo scritto è quello di ripercorrere alcuni momenti del convegno, affiancando ad essi delle considerazioni di carattere generale, al fine di offrire una descrizione, seppure breve, delle questioni giuridiche attualmente aperte, in una società in cui l’informatica è un elemento compiutamente integrato nelle diverse realtà fenomeniche dell’agire umano.

2. Il documento amministrativo elettronico nella Pubblica Amministrazione

L’intervento del Prof. Avv. Aldo Loiodice si è incentrato sull’esame normativo della disciplina del documento amministrativo con particolare attenzione alle problematiche relative alla sicurezza del documento informatico.

Il riferimento al tema della sicurezza ha offerto l’opportunità di soffermarsi sulla necessaria presenza di alcune imprescindibili “qualità”[2] che dovrebbero essere sempre presenti in qualunque documento amministrativo informatico.

L’esigenza di garantire la presenza delle suddette caratteristiche minime, sia da un punto di vista giuridico che tecnico, ha determinato l’introduzione, nelle dinamiche del procedimento amministrativo, della firma digitale.

Una breve riflessione è stata dedicata dall’oratore alla necessaria presenza di un’ulteriore caratteristica, che coinvolge non solo il documento in sé ma anche i diversi apparati ed uffici in cui si diparte la P.A.: la disponibilità del contenuto informativo del documento amministrativo informatico.

Per garantire la piena disponibilità, fruibilità, del documento informatico, infatti, è necessaria una piena e capillare compatibilità delle tecnologie, software ed hardware, utilizzate dalle diverse ed eterogenee realtà che costituiscono la P.A.

Degna di particolare attenzione è stata, inoltre, la brillante considerazione sul fatto che l’introduzione delle nuove tecnologie informatiche da un lato ha facilitato il lavoro delle persone che operano all’interno della Pubblica Amministrazione ma dall’altro ha creato, in capo agli stessi soggetti, l’obbligo di un supplemento d’attenzione.

La massiccia informatizzazione della P.A., afferma chiaramente Loiodice, produce come effetto immediato un esplicito richiamo alla responsabilità di tutti gli operatori che vengono coinvolti nel procedimento.

Se il documento cartaceo offriva, o poteva offrire, in caso di errore o trascuratezza una via di fuga anche all’ultimo minuto, con l’utilizzo del documento informatico e della firma digitale questo non sarà più possibile.

3. Sicurezza, riservatezza e comportamenti a rischio: dalla carta ai bits.

L’intervento del dott. Gerardo Costabile, Guardia di Finanza di Milano[3], in tema di sicurezza può essere idealmente suddiviso in due fasi.

Il primo momento di riflessione sopraggiunge a chiusura dell’intervento del Prof. Loiodice, e riguarda la considerazione che nell’articolo 491 bis c.p. è presente quella che può essere definita una sorta di incrostazione culturale del diritto penale (sostanziale e processuale) di legare il contenuto informativo del documento informatico al supporto materiale e tangibile che ne costituisce solo un semplice contenitore occasionale.

Naturalmente, il discorso sugli articoli del codice penale si riverbera sulla disciplina dell’acquisizione e della conseguente utilizzazione processuale della prova informatica.

Il secondo momento di riflessione attiene, in modo precipuo, al contenuto dell’intervento programmato in tema di riservatezza e comportamenti a rischio. In questa prospettiva il dott. Costabile si sofferma a puntualizzare come il concetto di sicurezza informatica sia strettamente legato e determinato dall’agire umano.

Le azioni, le omissioni ma anche semplicemente l’approccio culturale alle tecnologie informatiche da parte delle persone chiamate in concreto ad utilizzarle diventa un elemento determinante in qualunque discorso in tema di sicurezza informatica. Il fattore umano, per usare un termine caro agli esperti della materia, è in sé una vulnerabilità di difficile contenimento.

L’adozione delle più recenti ed affidabili tecnologie di sicurezza non è sufficiente a garantire un livello ottimale di sicurezza. L’anello debole della catena, l’uomo, rappresenta sempre e comunque un fattore di rischio difficilmente contenibile.

Da quanto affermato, si desume che la sicurezza informatica non è una dimensione esclusivamente materiale, software ed hardware dei più evoluti, ma anche e soprattutto un complesso di procedure in cui devono essere costantemente coinvolti, in un’incessante opera di formazione, i soggetti chiamati ad operare sui sistemi informatici. Basta dare un’occhiata allo stato della sicurezza di molte aziende per avere un’idea dell’entità del problema.

In queste ultime, infatti, non è raro trovare una tecnologia estremamente avanzata ed attenta a tutte le novità; purtroppo, non appena si entra in contatto con le risorse umane dell’azienda ponendo alcuni quesiti in merito alla custodia o alla gestione delle password o alle politiche di sicurezza adottate in merito all’utilizzo, e riutilizzo, dei supporti informatici contenenti dati personali, o altri dati di estrema rilevanza per l’azienda, ci si rende conto del basso livello di attenzione che la stessa azienda ha dedicato alla formazione.

4. Analisi del rischio e standard BS7799 per la sicurezza delle informazioni.

Il dott. Massimo Di Giacobbe, Senior Security Consultant Gfi-OiS [4], ha descritto le linee generali dello standard per la Sicurezza delle Informazioni BS7799. Quest’ultimo, germogliato nel mondo dell’impresa e della finanza inglese, è stato compilato per rispondere all’esigenza di sicurezza proveniente dai settori dell'industria, del commercio e della Pubblica Amministrazione.

Il fine è stato quello, in estrema sintesi, di creare un tessuto di regole comuni di gestione della sicurezza idoneo ad aumentare, a seguito di una sua capillare applicazione, la fiducia nei rapporti interaziendali.

Oggi il suddetto standard è accettato a livello internazionale come un fondamentale punto di riferimento per la realizzazione di sistemi di sicurezza delle informazioni. Nello standard BS7799 sono identificabili due parti ben distinte: nella prima sono elencate le c.d. best practice, dirette ad implementare un piano di sicurezza delle informazioni; nella seconda, vengono puntualizzati i requisiti per la costruzione, e la verifica di efficacia, di un Information Security Management System (ISMS).

In questa politica di gestione della sicurezza una fase fondamentale è rappresentata dall’analisi dei rischi. Il rischio, inteso come “la possibilità di subire perdite a seguito del verificarsi di un evento dannoso”, rappresenta il punto nodale dell’intero processo tecnico e procedurale diretto alla realizzazione di un sistema di sicurezza degli asset aziendali.
La rilevanza dell’analisi consiste, infatti, nell’identificare i rischi e nel fissare gli obiettivi, di breve e lungo periodo, che dovranno essere raggiunti attraverso l’adozione delle opportune contromisure dirette a ridurre le vulnerabilità del sistema.

Tra le diverse metodologie di analisi dei rischi, Di Giacobbe, si è soffermato, brevemente, sulla metodologia CRAMM, anch’essa di origine inglese.

Utilizzando la predetta metodologia di analisi si riesce a calcolare il rischio in base ai seguenti parametri: minaccia, vulnerabilità, impatto.

Lo standard BS7799, in conclusione, è uno strumento di gestione della sicurezza che attraverso un’attenta pianificazione degli aspetti organizzativi e procedurali ed un’attenta gestione del fattore umano tende a governare, attraverso una pianificazione preventiva, il rischio di futuri danni.

5. Il documento elettronico, firma digitale, archiviazione ottica.

Il dott. Stefano Arbia, Funzionario Ministero per l’Innovazione e le Tecnologie, ha svolto una sintetica ed efficace descrizione degli aspetti di carattere teorico e pratico attinenti alla disciplina del documento informatico ed alla tecnologia relativa all’utilizzo della firma digitale[5].

Nonostante la pluralità degli argomenti trattati, l’oratore ha messo in evidenza diverse problematiche relative a problemi di approccio ed adattamento culturale alle tecnologie più che alla complessità dell’utilizzo degli stessi strumenti.

Per questo motivo si coglie l’occasione per riproporre brevemente alcuni concetti che costituiscono la base logica e tecnica necessaria per comprendere le potenzialità degli strumenti in esame.

Il documento può essere definito come la rappresentazione di un insieme di informazioni espressa in un linguaggio comprensibile a più individui.

Nel momento in cui si adotta la tecnologia informatica, memorizzando su supporti ottici o magnetici, il contenuto “informativo” (astratto) del documento diviene necessario distinguere tra “contenuto” e “contenitore”.

I computer hanno la peculiarità di riuscire a memorizzare e gestire un’ingente quantità di dati in tempi brevi e con poco dispendio di energie. Tuttavia, gli elaboratori elettronici riescono a comunicare tra loro e a memorizzare le informazioni solo attraverso la loro “traduzione” in una lunga serie di bit. Ogni informazione elaborata da un computer deve necessariamente essere tradotta in simboli binari.

In tale prospettiva, un documento “informatico” non è altro che un documento tradotto in un linguaggio comprensibile alla macchina ma non immediatamente percepibile dall’uomo che avrà bisogno di uno strumento “mediatore” (traduttore) per comprenderne il contenuto. Così facendo si separa l’informazione astratta (il contenuto) dal supporto materiale che di volta in volta potrà contenerla e rappresentarla in forma intelligibile all’essere umano. Appare chiaro, quindi, che l’informazione memorizzata dal computer non è direttamente utilizzabile dall’essere umano divenendo per quest’ultimo, senza il computer mediatore, un’entità “astratta”.

La lunga serie di bit che rappresenta il contenuto del documento informatico si presenta estremamente fluida e, per quel che rileva ai fini della originalità del contenuto, senza valide garanzie contro possibili contraffazioni o alterazioni.

Alla luce di questi rischi il documento dovrebbe possedere, a seconda delle diverse esigenze, le seguenti caratteristiche:
A) Riservatezza, in quanto il contenuto del documento non deve poter essere interpretabile da persone non autorizzate;
B) Integrità, in quanto un malintenzionato potrebbe modificarne una parte in modo da poter trarre un qualche vantaggio in una sua eventuale comunicazione a distanza; il destinatario, quindi, deve avere la possibilità di accertarsi che il messaggio ricevuto sia esattamente quello che gli è stato inviato;
C) Autenticazione, in quanto un soggetto non autorizzato potrebbe inviare messaggi con notizie false spacciandosi per un altro soggetto (per scongiurare simili eventualità deve essere possibile legare in modo certo un documento ad una ben precisa persona fisica o giuridica);
D) Non ripudiabilità, in quanto deve essere impossibile per il mittente negare di aver inviato un documento e per il destinatario affermare di non averlo ricevuto;
E) Certificazione temporale, in molti campi è necessario riconoscere con assoluta certezza la data e l'ora in cui è stato redatto un documento.

E' importante notare che ciascuna delle proprietà elencate può essere ottenuta separatamente dalle altre. Questa caratteristica permette di ottenere diversi livelli di protezione, a seconda dell'importanza dei dati e delle situazioni specifiche di utilizzo. A volte potrebbe essere necessario assicurare l'autenticazione e l'integrità di un documento ma non la sua riservatezza. Altre volte invece potrebbe essere importante la sola integrità ma non l'autenticazione e la riservatezza.

Lo strumento tecnico maggiormente utilizzato per garantire tutte o una parte delle predette “qualità” del documento informatico è, da un punto di vista tecnico e giuridico, la “firma elettronica”. Le origini della tecnologia in argomento si devono rintracciare nella ricerca di un sistema di crittografia che riuscisse a risolvere i problemi messi in evidenza dall’utilizzo della tecnologia della c.d. "crittografia convenzionale". Questa soluzione venne trovata nella seconda metà degli anni '70 da due studiosi: Diffie ed Hellman, i quali proposero l'utilizzazione di un sistema che in seguito verrà denominato “Crittografia Asimmetrica” o a “Chiave Pubblica”, le cui principali caratteristiche possono essere così riassunte:
1. l’utilizzo di una coppia di chiavi di codifica (Chiave Privata e Chiave Pubblica);
2. il fatto che il documento possa essere cifrato indifferentemente sia con la chiave privata che con quella pubblica;
3. la possibilità che la codifica di un messaggio possa essere effettuata con una (qualsiasi) delle due chiavi e di conseguenza che la decifrazione possa essere portata a termine esclusivamente utilizzando la chiave complementare della coppia.

A questo si deve aggiungere che un punto cruciale nell'uso della crittografia risiede nella gestione delle chiavi. Infatti, al termine della generazione delle chiavi una delle due è resa pubblica mentre l'altra è tenuta segreta. Da questa segretezza dipende l'efficacia di tutto il meccanismo denominato “firma digitale”[6].

6. La posta elettronica certificata: soluzioni pratiche

L’intervento del Dott. Giovanni Utili (Actalis S.p.A. Ente Certificatore riconosciuto CNIPA)[7] è stato diretto ad illustrare gli aspetti tecnici legati all’utilizzo della posta elettronica certificata.

L’utilizzo di questo strumento è diretto a sostituire i tradizionali mezzi di comunicazione utilizzati per garantire la sicurezza della comunicazione e della sua effettiva realizzazione. Quello che consente, in estrema sintesi, il servizio di posta certificata è la trasmissione di un documento informatico per via telematica con l’assicurazione dell’avvenuta consegna dello stesso.

Si tratta di “…un servizio basato sulla posta elettronica, come definito dallo standard SMTP e sue estensioni, che consenta la trasmissione di documenti prodotti mediante strumenti informatici nel rispetto dell’articolo 14 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445”.

Il Centro Tecnico per la RUPA ha dettato le linee guida in materia dirette ad identificare gli aspetti più rilevanti del servizio[8]. Tra i diversi obblighi imposti ai gestori del servizio vi è quello di utilizzare, in modo “dedicato” ed esclusivo, uno o più domini DNS (Domain Name Server) per il servizio di posta elettronica certificata.

L’invio da parte del mittente di un messaggio di posta elettronica certificata equivale all’utilizzo dei classici sistemi di inoltro dei documenti, con ricevuta di ricezione, per mezzo del servizio postale.

L’obiettivo che si prefigge l’utilizzatore della posta elettronica certificata è, infatti, quello di ricevere/dare certezza in merito all’inoltro, dalla casella di posta del mittente, ed alla ricezione, nella mailbox del destinatario, del messaggio attraverso la certificazione dei tempi e delle modalità in cui tale processo è iniziato e si è concluso. I soggetti che entrano in scena nell’ambito del servizio di posta elettronica certificata, possono essere così identificati: mittente, destinatario, gestore/i del servizio. La trasmissione del messaggio di posta elettronica certificata tra il primo e il secondo avviene, dunque, mediante l’invio dello stesso da parte del gestore del mittente con firma elettronica.

Tutte le fasi del trattamento del suddetto messaggio sono memorizzate in specifici registri. E’ dovere dei gestori fornire al mittente la ricevuta di accettazione (generata dal gestore di riferimento del mittente) e di avvenuta consegna (generata dal gestore di riferimento del destinatario) con l’indicazione dei dati di certificazione attestanti l’invio e l’avvenuto recapito presso la casella di posta del destinatario. Alla luce di alcuni dubbi sollevati in merito alla ricevuta di avvenuta consegna, è necessario puntualizzare che la stessa è rilasciata contestualmente alla avvenuta disponibilità del messaggio nella casella di posta del destinatario, non rilevando a tal fine l’effettiva lettura dello stesso.

Il contenuto della ricevuta contiene, ricapitolando quanto affermato, necessariamente la certificazione dell’avvenuto recapito, della data e dell’ora dell’evento (marcatura temporale). Infine, come ha messo ben in evidenza Utili è necessario precisare che possono essere gestori del servizio di posta elettronica certificata solo dei soggetti particolarmente qualificati.

Il richiedente l’iscrizione nell’indice dei gestori di posta elettronica certificata, oltre a dover possedere la natura giuridica di società di capitali deve dimostrare l’affidabilità organizzativa e tecnica necessaria per svolgere l’attività in questione, impiegando idonee garanzie anche rispetto al personale ed ai mezzi tecnici e procedurali impiegati al fine di dimostrare il pieno rispetto della normativa in materia.

7. La responsabilità civile dell’utente e del certificatore

L’Avv. Francesco Di Ciommo ha illustrato, in modo chiaro ed incisivo, alcuni aspetti problematici della disciplina della responsabilità civile dell’utente e del certificatore.
Al fine di compiere alcune riflessioni di più ampio respiro, Di Ciommo ha evidenziato la crisi del classico concetto di responsabilità di fronte alle nuove realtà tecnologiche e sociali[9].

Non si tratta, tuttavia, di una crisi tesa ad eliminare questo fondamentale concetto di civiltà giuridica. Ancora oggi, infatti, il principio di responsabilità appare essere uno degli ultimi “collanti” capaci di tenere assieme una società in cui i fattori economici e tecnologici appaiono prevalere sull’aspetto personale dell’ordinamento giuridico.

E’ la stessa società dell’informazione, con le numerose problematiche sollevate dalle tecnologie informatiche nel campo della comunicazione e della sicurezza, a rinnegare, in un certo senso, la classica dimensione personale della responsabilità. Quello che si avverte è, in altre parole, la crisi di una particolare visione del suddetto principio alla luce della obiettiva difficoltà di individuare, nelle nuove dinamiche relazionali, dei soggetti responsabili ed una dimensione effettiva del danno risarcibile.

L’evoluzione tecnologica richiede una nuova lettura delle regole relative alla responsabilità civile e del rapporto tra “creazione del danno”, fonte primaria dell’obbligazione, ed il sorgere dell’obbligo di risarcire quest’ultimo al danneggiato. Nel momento in cui, si assiste al passaggio da forme di responsabilità con colpa a forme di «responsabilità oggettiva», la stessa funzione della responsabilità assume una nuova dimensione e degli obiettivi ulteriori rispetto a quelli classici della c.d. responsabilità aquiliana.

In questa prospettiva evolutiva del concetto di responsabilità, simbolicamente culminante nella individuazione del “tipo” di responsabilità dei provider rispetto ai danni causati a terzi (D.lgs. n. 70 del 2003) e dei titolari del trattamento dei dati personali rispetto ai danni cagionati agli interessati (D.lgs. n. 196 del 2003), probabilmente, con le dovute differenziazioni, si dovranno ricercare le soluzioni alle questioni relative al confine tra la responsabilità civile dell’utente e del certificatore per danni cagionati a terzi.

NOTE

[1] Il Centro Studi di Informatica Giuridica ( www.csig.it ) è diretto dall’Avv. MASSIMO MELICA.

[2] Tra le diverse si ricorda, ad esempio, l’integrità e l’autenticità.

[3] Si consiglia, per maggiore approfondimento del tema sicurezza, di prendere visione degli articoli scritti dal dott. GERARDO COSTABILE consultabili all’interno del sito www.costabile.net .

[4] Maggiori informazioni in merito alla società Gfi OiS SpA sono reperibili sul sito www.ois.it.

[5] Per approfondimenti si rinvia al sito www.cnipa.gov.it e www.protocollo.gov.it .

[6] Per chiarimenti in merito alla distinzione “firma digitale” / “firma elettronica”, e per un’attenta disamina della disciplina in commento si rinvia a quanto autorevolmente espresso all'interno della rivista telematica InterLex [www.interlex.it] (sez. dedicata alla firma digitale).

[7] Maggiori informazioni sui servizi di posta certificata offerta dalla società Actalis SpA possono essere reperite all’interno del sito www.actalis.it .

[8] All'interno del sito del CNIPA (www.cnipa.gov.it) - sezione PEC - si può prendere visione dei seguenti documenti: delle linee guida alle quali è ispirato il servizio; dell’allegato tecnico alle linee guida che costituisce il riferimento tecnico/funzionale che una generica implementazione del servizio deve rispettare (aggiornato al 29 maggio 2003), in attesa della nuova versione con tutte le indicazioni relative alle ulteriori funzionalità previste per il servizio; dell’insieme dei test richiesti per la verifica dell’interoperabilità dei sistemi (aggiornato al 29 maggio 2003), in attesa della nuova versione con i test relativi alle ulteriori funzionalità previste per il servizio; della lista dei client di posta elettronica, disponibili sul mercato, per i quali è stato verificato il corretto funzionamento con il servizio; della situazione sui test di interoperabilità in corso; della lista degli operatori di posta certificata i cui servizi hanno superato i test di interoperabilità; della lista delle soluzioni di posta certificata che hanno superato i test di interoperabilità;dei quesiti tecnici sulla PEC: alcuni chiarimenti utili per chi realizza un sistema di PEC.

[9] Per un opportuno approfondimento si rinvia a: DI CIOMMO, Responsabilità civili in Internet: i soggetti, i comportamenti illeciti, le tutele, pubblicato nella rivista telematica Altalex [ http://www.altalex.com/index.php?idnot=6878 ]; ID., Evoluzione tecnologica e regole di responsabilità civile, Esi, Napoli, 2003.