Gli strumenti della firma digitale e della posta elettronica certificata sono ormai entrati nelle nostre abitudini aziendali e ne conosciamo bene il significato e le opportunità di utilizzo. Probabilmente non tutti sanno invece che tali strumenti fanno parte di famiglie più grandi: la firma digitale appartiene al genus delle firme elettroniche e la PEC a quella dei servizi elettronici di recapito certificato (SERC).
Effettivamente nell’ordinamento europeo si intrecciano principi fondamentali, come quello di non discriminazione e quello di neutralità tecnologica che a loro volta vanno correttamente interpretati -come vedremo- attraverso l’ausilio del principio di accountability. Tali principi hanno determinato l’opportuna emersione nel mercato digitale di diversi servizi e strumenti utilizzabili per sviluppare rapporti commerciali giuridicamente rilevanti. Ovvio che tali strumenti vadano utilizzati cum grano salis, previa valutazione che verifichi di volta in volta se siano adatti alle proprie esigenze.
Ma procediamo con ordine.
Il valore della firma digitale e delle firme elettroniche qualificate
La piena validità giuridica degli strumenti “tradizionali” della firma digitale e della posta elettronica certificata è oggi ben espressa nel Codice dell’amministrazione digitale (CAD), contenuto nel decreto legislativo 82/2005. In particolare, secondo gli articoli 20 e 21 del CAD la firma digitale, garantendo pienamente sia l’imputabilità giuridica al documento informatico a cui è associata e sia l’integrità, l’immodificabilità e la sicurezza allo stesso, è in grado di assolvere a tutte le funzioni formali e probatorie di una scrittura privata. In poche parole, la firma digitale può essere utilizzata per tutti i contratti informatici e per tutti i documenti per i quali nel nostro ordinamento si preveda il requisito della forma scritta ad substantiam o ad probationem. Insomma, la firma digitale garantisce la piena prova della provenienza del documento informatico e dell’immodificabilità del suo contenuto, come un qualsiasi documento cartaceo scritto e sottoscritto.
In realtà, questa valenza formale e probatoria non è una novità ed è prevista nel nostro ordinamento nazionale dalla fine degli anni ’90. Le novità normative in merito alle firme elettroniche sono effettivamente derivate dalle necessità del mercato elettronico, ben individuate dal legislatore europeo nei principi sopra richiamati di neutralità tecnologica e non discriminazione. E così il CAD negli ultimi anni, alla luce delle nuove esigenze europee attualmente ricomprese nel regolamento eIDAS[1], ha dovuto piano piano adattarsi a questo necessario cambiamento allargando così le maglie del giuridicamente rilevante ai tanti nuovi strumenti offerti dal mercato, con un approccio più neutrale dal punto di vista tecnologico.
Oggi il CAD accoglie la firma digitale[2] nel genus delle firme elettroniche qualificate, di cui quindi la firma digitale costituisce una species tecnologicamente orientata, dovendo rispettare precisi standard internazionali. Quindi, come la firma digitale, anche tutte le firme elettroniche qualificate godono della piena validità giuridica e sono in grado di garantirla a qualsiasi documento informatico a cui sono associate.
Tale valenza formale e probatoria è dovuta non alla tecnologia utilizzata, ma a una serie di controlli e verifiche sui dispositivi sicuri utilizzati e sui certificati qualificati emessi da particolari soggetti, i prestatori di servizi qualificati (a loro volta vigilati da autorità di controllo statali[3]).
Il valore delle altre firme elettroniche
In realtà, secondo il CAD la forma scritta digitale, con effetti paragonabili alle firme elettroniche qualificate, deve essere garantita a qualsiasi firma elettronica avanzata (FEA), cioè, una qualsiasi tipologia di firma elettronica che sia connessa unicamente al firmatario, sia idonea a identificare il firmatario, sia creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo e sia collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati[4]. Tali caratteristiche devono essere in qualche modo documentate, secondo quanto previsto attualmente dal DPCM 22 febbraio 2013.[5] Tale necessaria documentazione servirà, in caso di contestazioni giudiziali, a dimostrane le caratteristiche di firma elettronica avanzata, proprio secondo quel principio di accountability che anima la materia. Inoltre, sempre secondo il CAD, se il documento informatico è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore comunque soddisfa i requisiti della forma scritta, come la FEA. Si tratta della cosiddetta “firma SPID”[6].
Infine, secondo il CAD – in piena aderenza con quanto preteso da eIDAS[7] – deve riconoscersi valore giuridico a qualsiasi altra tipologia di firma elettronica[8] che consenta al documento informatico di garantire quelle caratteristiche di sicurezza, integrità, immodificabilità e riconducibilità all’autore che gli consentano di assicurare comunque una forma scritta digitale. Sarà un giudice di volta in volta a doverlo valutare, verificando – con l’aiuto di esperti – la documentazione tecnica a corredo e le caratteristiche proprie del sistema di firma. Come credo risulti evidente, in quest’ultima categoria possono rientrare sistemi completamente diversi di autenticazione informatica, certificazione di transazioni digitali on line, sistemi di trasmissione elettronica.
Sostanzialmente la firma digitale è una species contenuta nelle firme elettroniche qualificate, le quali a loro volta sono uno species del genus firma elettronica avanzata, che a sua volta rientra nella vasta area delle firme elettroniche cosiddette semplici (FES), in una delicata gradazione formale e probatoria prevista nel CAD (spesso affidata alla discrezionalità di un giudice).
Cosa pretende eIDAS per le firme elettroniche, i sigilli e i servizi di recapito certificato
Il Regolamento UE 910/2014 è chiaro nel garantire effetti giuridici a tutti i documenti elettronici, le firme, i sigilli elettronici e i servizi elettronici di recapito certificato, secondo i fondamentali principi di neutralità tecnologica e non discriminazione che favoriscono usabilità e verificabilità di diversi strumenti informatici sul territorio europeo. Eppure, ancora oggi alcune Authority, tanti giuristi e molti operatori sembrano non accorgersene[9].
eIDAs recita: “a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate”. Così come “a un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati”. Stesso approccio per i SERC. “Ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico di recapito certificato qualificato”.
È senz’altro possibile, quindi, prevedere ex lege nel nostro ordinamento nazionale determinati effetti giuridici raggiunti in modo diretto e immediato (in re ipsa) attraverso strumenti o servizi qualificati, ma non ci possono essere discriminazioni per gli altri similari strumenti o servizi non qualificati presenti sul mercato, i quali – se raggiungono determinati risultati (di integrità, affidabilità, sicurezza) in modo diverso, vanno sempre accettati in giudizio e valutati da un giudice di volta in volta. E qualsiasi legge o regolamento (più o meno speciale), comunicazione (peraltro in molti casi introdotti nel nostro ordinamento per ignoranza e/o violando l’iter di approvazione previsto dall’eIDAS) vanno disapplicati, se incompatibili con i fondamentali principi di neutralità tecnologica e non discriminazione.
Ci piaccia o no, dobbiamo semplicemente prendere atto di questa impostazione UE che prevale su qualsiasi disposizione contraria nel nostro ordinamento. Quindi, accanto a firme digitali e PEC – che restano senz’altro sistemi robusti e affidabili, i quali consentono di validare la sottoscrizione e la trasmissione di documenti informatici garantendo comunque livelli di usabilità e accessibilità sempre più ampi – possono essere utilizzati tanti altri sistemi di firma o di trasmissione, sviluppati da fornitori del mercato digitale e in grado di assolvere funzioni simili e coprire esigenze svariate. Vanno analizzati con attenzione e verificati giuridicamente in base alle proprie esigenze, anche attraverso un’appropriata analisi del rischio.
Questa flessibilità giuridica va avvertita, quindi, da tutti gli operatori commerciali e i professionisti come una preziosa opportunità in grado di far adattare pienamente il mercato digitale alle nostre esigenze aziendali.
[1] Regolamento UE in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che abroga la direttiva 1999/93/CE.
[2] Secondo la definizione contenuta nel CAD la firma digitale è infatti un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. Mentre secondo il regolamento eIDAS la firma elettronica qualificata è una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.
[3] In Italia AgID (Agenzia per l’Italia Digitale).
[4] Così articolo 26 eIDAS.
[5] Che contiene le Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali. Tale decreto, in realtà, meriterebbe un corposo aggiornamento per attualizzarlo con le ultime novità di eIDAS (di cui peraltro si sta discutendo in ambito europeo per una sua nuova versione).
[6] La regolamentazione AgiD di tale tipologia di firma on line è stata affidata alla determinazione n. 157/2020 del 23 marzo 2020.
[7] L’art. 25 di eIDAS ricorda, infatti, che a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.
[8] Secondo eiDAS, per firma elettronica deve intendersi qualsiasi tipologia di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.
[9] Mi permetto in proposito di consigliare la lettura di un breve articolo scritto a quattro mani con il Collega Luigi Foglia dal titolo “La FES è davvero inutilizzabile in ambito fiscale e tributario?”, pubblicato su ANORC.
Il contributo è apparso originariamente sul numero di ottobre di “Cybermagazine”, la rivista curata da Assintel, dedicata alla cybersecurity e alla tecnologia digitale
Immagine di copertina: Pexel.com