1. Premessa
2. Inquadramento normativo
3. Profili generali di responsabilità ed obblghi particolari a carico dei vari soggetti
4. Profili di responsabilità ed obblighi specifici del titolare
5. Profili di responsabilità ed obblighi specifici del certificatore qualificato
6. Profili di responsabilità ed obblighi del terzo
7. Profili di responsabilità ed obblighi del notaio e del pubblico ufficiale
8. Conclusioni
1. Premessa
Al fine di una chiara comprensione generale dell'argomento in esame e per un corretto inquadramento sistematico dei vari obblighi e conseguenti profili di responsabilità che possono colpire i diversi soggetti interessati occorre fare, preliminarmente, un breve excursus storico sulle norme rilevanti in tema di firme elettroniche e servizi di certificazione.
Nella presente trattazione sarà sviluppato principalmente il regime di responsabilità conseguente alla prestazione dei servizi di certificazione da parte di certificatori accreditati e per quanto riguarda i titolari relativamente all'utilizzo di firme digitali; saranno fatti solamente alcuni brevi cenni agli altri prestatori di servizi di certificazione nonché ai titolari di certificati non qualificati.
2. Inquadramento normativo
Come noto, nell'ordinamento italiano la prima disciplina normativa organica in tema di documento informatico e firma digitale venne fornita dal decreto del Presidente della Repubblica 10 novembre 1997, n. 513, “Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell'art. 15, comma 2, della legge 15 marzo 1997, n. 59“ (nel seguito: DPR 513/1997).
Nel volgere di breve termine il DPR 513/1997 venne abrogato e sostituito dal decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (nel seguito: DPR 445/2000).
Il DPR 445/2000 è stato modificato una prima volta per opera del Decreto legislativo 23 gennaio 2002, n. 10, “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche” (nel seguito: Dlgs 10/2002) e da ultimo, in ordine temporale, dal Decreto del Presidente della Repubblica 7 aprile 2003, n. 137, “Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'art. 13 del decreto legislativo 23 gennaio 2002, n. 10” (nel seguito: DPR 137/2003).
Nonostante le diverse modifiche subite, il DPR 445/2000 rimane il testo base per la disciplina delle firme elettroniche e per lo svolgimento dell'attività di certificazione ed a questo provvedimento normativo faremo principalmente riferimento nell'analisi seguente.
Al momento non è dato sapere se le norme in tema di obblighi e responsabilità dei vari soggetti interessati subiranno ulteriori modifiche in funzione della delega attribuita al Governo a mezzo della legge di semplificazione 2003 (Legge 29 luglio 2003, n. 229: “Interventi in materia di qualità della regolazione, riassetto normativo e codificazione”) per quanto riguarda specificamente il riassetto delle disposizioni in materia di documento informatico, firma elettronica e digitale.
Ripercorrendo storicamente le varie disposizioni che si sono stratificate nel tempo osserviamo che la prima disciplina fornita dal DPR 513/1997, quanto a profili di responsabilità ed obblighi, era del tutto embrionale. Essa prevedeva infatti una sola disposizione dedicata agli “obblighi” dell'utente e del certificatore (1), e non prevedeva alcuna disposizione specifica in tema di responsabilità. Altre disposizioni che verranno esaminate in dettaglio nel seguito prevedevano alcuni obblighi del certificatore (2).
Nella sua prima formulazione, in ossequio alla natura di testo unico, il DPR 445/2000 non si discostava per nulla dal regime introdotto dal DPR 513/1997: l'art. 28 riproduceva, infatti, pedissequamente l'art. 9 del DPR 513/1997.
Con l'approvazione del Dlgs 10/2002 si registrava una prima importante novità: veniva introdotto nel DPR 445/2000 l'art. 28-bis (“responsabilità del certificatore”) che introduceva un regime esplicito e particolare in tema di responsabilità del certificatore qualificato (3).
Con l'approvazione del DPR 137/2003 si sono registrate ulteriori interessanti novità. L'art. 28 viene ora rubricato come 29-bis e, aspetto ben più importante, disciplina ora esplicitamente le responsabilità del titolare e del certificatore. In effetti, sia l'art. 9 del DPR 445/1997, sia l'art. 28 del DPR 445/2000 prima formulazione, recavano una disposizione che si prestava a qualche ambiguità interpretativa. Mentre la rubrica di entrambi indicava chiaramente di riferirsi sia all'“utente”, sia al “certificatore”, nel comma 1 di entrambi si utilizzava invece l'espressione compendiosa, tuttavia ambigua, “chiunque”.
Ora, proprio dal raffronto con il comma 2, chiaramente riferito al certificatore, più che dalla rubrica, si traevano argomenti di interpretazione per sostenere che l'espressione “chiunque” contenuta nel comma 1 fosse riferita sia all'utente, sia al certificatore (4). Di tal guisa, si concludeva che il precetto del comma 1 fosse diretto sia all'utente del certificato, sia al certificatore. Con l'ultima modifica normativa, come anzidetto, tale dubbio interpretativo viene definitivamente fugato (5).
Un secondo aspetto preliminare da osservare è che la maggior parte dei commentatori hanno esaminato le disposizioni sopra accennate, specialmente l'art. 9 del DPR 513/97 e, successivamente, l'art. 28 (ora 29-bis) come se entrambe riguardassero il regime di responsabilità dettato a carico di certificatori e titolari.
In realtà, se si analizza attentamente il testo dell'art. 29-bis del DPR 445/2000, così come era anche per l'art. 9 del DPR 513/1997 e per l'art. 28, prima formulazione, del DPR 445/2000, si nota che si tratta di una disposizione che non disciplina affatto il regime di responsabilità, bensì stabilisce alcuni obblighi di comportamento, che solo in caso di inadempimento risulterebbero, previa indagine sull'elemento soggettivo, quale fonte di responsabilità. Quindi, a ben vedere, solamente l'art. 28-bis del DPR 445/2000 risulta disciplinare esplicitamente un regime di responsabilità particolare.
Prima di entrare nel vivo dell'esame delle disposizioni, sia consentito precisare che la presente indagine, per ragioni di concisione, prescinde volutamente da riferimenti ai diversi ordinamenti europei nell'ambito dei quali altri soggetti potrebbero prestare servizi di certificazione a beneficio di soggetti residenti in Italia ovvero dove potrebbero risiedere i titolari che potrebbero utilizzare servizi prestati da certificatori italiani. Da questo punto di vista sarebbe senz'altro interessante sviluppare un'analisi al fine di verificare quanto il regime italiano si discosti o meno dai regimi degli altri Paesi europei e quanto eventuali diversità riscontrate potrebbero influire nella diffusione dell'utilizzo delle infrastrutture di crittografia a chiave pubblica ovvero condizionare la capacità competitiva dei certificatori italiani. Tali argomenti potranno costituire argomenti di indagini future.
3. Profili generali di responsabilità ed obblighi particolari a carico dei vari soggetti
Come abbiamo avuto modo di osservare preliminarmente, non v'è dubbio che le disposizioni dell'art. 29-bis (6), comma 1, del DPR 445/2000, siano riferite sia al titolare, sia al certificatore. In particolare, risulta evidente, inoltre, che nel precetto in esame ci si riferisca a qualsiasi tipologia di certificatore, e non specificamente ed esclusivamente ai certificatori qualificati, né tanto meno accreditati, nonché a titolari di qualsiasi tipo di firma elettronica. La norma ha dunque portata molto ampia e si pone come precetto generale base rivolto a tutti gli utilizzatori di firme elettroniche o prestatori di servizi di certificazione.
É opportuno ora esaminare in quale rapporto si ponga tale norma generale rispetto alle disposizioni “speciali” rivolte direttamente ad alcuni tipi di certificatore.
In letteratura si è molto dibattuto se tale disposizione implichi a carico del titolare e del certificatore un regime di responsabilità aggravata, simile al regime di responsabilità che l'art. 2050 (7)cod. civ. stabilisce per l'esercizio delle attività pericolose, ovvero se tale disposizione implichi meramente un richiamo alla responsabilità contrattuale di cui all'art. 2043 cod. civ.(8) .
Ora, è evidente la suggestione che la formulazione della norma in commento è in grado di esercitare sull'interprete, per via soprattutto dell'espressione utilizzata “tutte le misure organizzative e tecniche idonee ad evitare danno ad altri”, che richiama direttamente l'espressione, ben familiare a tutti i giuristi, dell'art. 2050 cod. civ..
Da un punto di vista dell'onere di diligenza, non v'è dubbio che la norma imponga sia al titolare, sia al certificatore, l'obbligo di tenere comportamenti particolarmente rigorosi. Questi dovranno comprendere l'adozione di protezioni di massima sicurezza in funzione degli strumenti utilizzati, nonché costantemente aggiornati da un punto di vista tecnico, con il progredire delle tecniche di attacco e di difesa delle firme elettroniche. Dunque, da questo punto di vista, sembrerebbe effettivamente di poter riscontrare l'elemento tipico distintivo che caratterizza la responsabilità aggravata ex art. 2050 cod. civ. e sembrerebbe logico concludere per tale tipo di interpretazione.
A ben guardare, tuttavia, si nota che esistono almeno due argomenti che ostano ad una simile interpretazione.
Da un punto di vista sistematico, accettando l'interpretazione della responsabilità equivalente a quella per esercizio di attività pericolose, non si capirebbe in quale rapporto si porrebbe la disposizione del primo comma con le specifiche disposizioni del secondo comma dell'art. 29-bis (9), dettate specificamente a carico dei certificatori che rilasciano certificati qualificati di cui all'art. 27 del DPR 445/2000, per i quali sono richiesti requisiti particolari, sicuramente maggiormente onerosi in termini di qualità e sicurezza, rispetto ai certificatori semplici.
Più ancora, risulterebbe inspiegabile per quale motivo l'unica disposizione dettata specificamente in tema di regime di responsabilità, e cioè l'art. 28-bis, che esamineremo più avanti, stabilisca un regime di responsabilità esclusivamente per il caso in cui il certificatore dimostri di aver agito “senza colpa”, implicando dunque una valutazione dell'elemento soggettivo. Ciò risulterebbe in un contrasto insanabile tra le due disposizioni (10).
Inoltre, se si esamina attentamente il disposto dell'art. 29-bis del DPR 44572000, si può notare che il legislatore ha sì utilizzato un'espressione simile a quella dell'art. 2050 cod. civ., tuttavia solo nella parte inerente alla diligenza richiesta, mentre, rispetto al disposto del codice civile in tema di responsabilità per esercizio di attività pericolosa manca un elemento fondamentale: l'inversione dell'onere della prova (11).
Più ancora, da un punto di vista sistematico, si deve osservare che laddove il legislatore ha voluto stabilire un effettivo regime di responsabilità extracontrattuale aggravata lo ha fatto con riferimento esplicito all'art. 2050 cod. civ., come ad esempio nell'art. 18 della legge 31 dicembre 1996, n. 675, e successivamente nell'art. 15, comma 1, del decreto legislativo 30 giugno 2003, n. 196, Codice in materia di tutela dei dati personali.
La situazione parrebbe, a questo punto, ingarbugliata. Da un lato il legislatore richiede al certificatore ed al titolare di adottare “tutte le misure organizzative e tecniche idonee a evitare danno ad altri”, con espressione che richiama una responsabilità simile a quella per esercizio di attività pericolosa. Dall'altro, il legislatore non grava certificatore e titolare dell'onere di provare di aver adottato tali misure e, infine, in altre disposizioni sembrerebbe riferirsi ad un regime di responsabilità extracontrattuale ordinaria.
In effetti, sia per la lettera della norma, sia per l'inquadramento sistematico della disposizione nel quadro generale delle altre disposizioni in argomento, verrebbe da concludere che l'art. 29-bis del DPR 445/2000 non introduca un vero e proprio regime di responsabilità aggravata, e che sia più corretto parlare, per l'utente ed il certificatore, di (ordinaria) responsabilità aquiliana ex art. 2043 cod. civ..
Tuttavia, se così fosse, rimarrebbe da spiegare la ragione per la quale il legislatore ha introdotto il comma 1 dell'art. 29-bis del DPR 44572000. In effetti, se il regime di responsabilità che colpisce certificatori e titolari fosse quello di cui all'art. 2043 cod. civ. la, disposizione in esame parrebbe superflua, dato che l'art. 2043 cod. civ. conterrebbe già in se tutti gli elementi per stabilire quali siano i comportamenti a cui debbano attenersi certificatori e titolari. Al contrario il primo comma dell'art. 29-bis del DPR 445/2000 sembrerebbe chiedere qualcosa di più del normale alterum non laedere; tuttavia, cosa.
Tutto sommato, in ragione degli argomenti sopra esaminati, e soprattutto delle contraddizioni che emergono dal raffronto sistematico della varie norme, non volendo accedere all'ipotesi che il legislatore del DPR 445/2000 abbia voluto creare una nuova figura di responsabilità extra-contrattuale, sembrerebbe di poter concludere che il primo comma dell'art. 29-bis del DPR 445/2000 non stabilisca affatto un regime particolare di responsabilità aggravata. Anzi, a ben vedere, sembrerebbe di poter dire che esso non stabilisca per nulla un regime di responsabilità, dato che si risolve nel prescrivere solamente un generale obbligo di comportamento, risultando il regime di responsabilità per titolari e certificatori non qualificati dettato dall'art. 2043 cod. civ..
4. Profili di responsabilità ed obblighi specifici del titolare
Alla luce di quanto sopra esposto a commento del comma 1 dell'art. 29-bis del DPR 445/2000, risulta dunque che il titolare sia gravato dell'obbligo di proteggere con particolare rigore il proprio dispositivo di firma nonché i propri dati per la creazione e per la verifica di firma, oltre naturalmente ai sistemi informatici di cui si avvale per l'utilizzo di tali certificati. Indicazione concreta dei comportamenti a cui il titolare deve soggiacere sono contenuti inoltre nell'art. 8, comma 3, delle Regole tecniche allegate (12) al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 (nel seguito: Regole tecniche).
In ogni caso, per le ragioni sopra esposte, sembra di poter dire che il titolare sia assoggettato al generale principio di responsabilità aquiliana ex art. 2043 cod. civ. nei confronti di tutti i terzi. Naturalmente, risponderà a titolo di responsabilità contrattuale per tutti quei casi in cui venga meno ad obblighi contrattuali stipulati nei confronti di un soggetto certificatore.
Alcuni commentatori (13), trovano giustificazione al maggior onere di diligenza richiesto al titolare, nonché della responsabilità assimilata a quanto disposto dall'art. 2050 cod. civ. a carico specificamente di quest'ultimo, in considerazione della particolare rilevanza data dal legislatore alla firma elettronica qualificata, dato che essa fa piena prova fino a querela di falso a mente dell'art. 10, comma 3, del DPR 445/2000 (14).
Tale argomento non pare convincente se si considera che il comma 1 dell'art. 29-bis del DPR 445/2000 si riferisce a qualunque tipo di titolare, per qualunque tipo di firma elettronica, mente l'efficacia fino a querela di falso è riconosciuta solo a ben determinate fattispecie di firma elettronica (qualificata o digitale). Infatti, è ben vero che il documento informatico sottoscritto con firma elettronica qualificata o digitale dispiega una particolare efficacia, i cui effetti potrebbero essere vanificati solo dietro vittoriosa querela di falso ad opera del titolare (e che tale procedimento potrebbe anche richiedere un certo lasso di tempo); tuttavia, è altrettanto vero che nel caso di documento informatico sottoscritto firma elettronica l'efficacia riconosciuta è molto tenue nonché soggetta all'apprezzamento del giudice (15). Dunque non può essere questa la ragione per concludere a favore dell'interpretazione che ritiene l'art. 29-bis, comma 1, del DPR 445/2000 quale fonte di responsabilità simile a quella dell'art. 2050 cod. civ..
Ulteriori fonti di responsabilità derivano, a carico del titolare, soprattutto in tema di revoca e sospensione del certificato, ai sensi di quanto stabilito dall'art. 29-quater (16) del DPR 445/2000 in combinazione particolarmente con il disposto delle lettere c) e d) dell'art. 29-septies (revoca e sospensione dei certificati qualificati) (17) del DPR 445/2000.
É interessante osservare, tuttavia, che il titolare non sarà onerato del disconoscimento di una firma falsa qualora questa fosse stata apposta dopo la notifica al certificatore della richiesta di revoca o sospensione del certificato (18). Per il caso del certificato scaduto il titolare non sarà onerato nemmeno di tali incombenze, così come non sarà onerato di alcunché per il caso di firma falsa in quanto basata su coppia di chiavi non corrispondenti, ovvero di firma basata su certificato attribuito ad altra persona.
Analizzando attentamente le disposizioni contenute nell'art. 27 (19) del DPR 445/2000 in tema di contenuto e struttura del certificato qualificato, particolarmente nel comma 3, si possono trarre ulteriori obblighi a carico del titolare, possibili fonti di responsabilità nei confronti dei terzi.
In particolare, sembrerebbe di poter sostenere che laddove il titolare chieda al certificatore l'inserimento nel certificato di indicazioni relative a “qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza”, per le quali peraltro sia abilitato a richiederne l'inserimento senza l'obbligo del consenso del terzo interessato (20), sarà gravato dell'obbligo di comunicare al certificatore ogni variazione o revoca di tali attribuzioni in modo da non violare l'eventuale affidamento di terzi inconsapevoli.
Infine, sembrerebbe necessario suggerire per la riforma in corso nell'ambito della legge di semplificazione 2003 l'obbligo del titolare di sottoscrivere documenti informatici aventi caratteristiche di immutabilità tali da garantire la funzione tipica del documento: vale a dire la riproduzione nel tempo di “atti, fatti o dati giuridicamente rilevanti “(21).
In particolare, sembrerebbe opportuno imporre al titolare di astenersi dal firmare elettronicamente documenti informatici contenenti “macroistruzioni o codice eseguibile, tali da attivare funzionalità che possano modificarne la struttura o il contenuto.”(22) .
Un'interessante novità in argomento si è registrata con l'emissione del Decreto del ministro dell'economia e delle finanze 23 gennaio 2004, in materia di assolvimento degli obblighi fiscali (23) ove si è stabilito un requisito specifico per i documenti informatici rilevanti ai fini tributari. Si è infatti stabilito che tale documenti devono avere “la forma di documenti statici non modificabili”.
5. Profili di responsabilità ed obblighi specifici del certificatore qualificato
Abbiamo visto in precedenza come, accanto ad un precetto generale rivolto al titolare ed al certificatore genericamente considerati, contenuto nell'art. 29-bis del DPR 445/2000, vi siano ulteriori e più specifici obblighi che si rivolgono direttamente al certificatore qualificato (24). Essi sono rinvenibili in una serie di disposizioni.
In base al nuovo quadro normativo introdotto dal DPR 137/2003, infatti, mentre per lo svolgimento dell'attività di certificatore non occorre alcuna autorizzazione preventiva e per esso vengono stabiliti dei meri requisiti di carattere soggettivo (25), per il caso del certificatore qualificato l'art. 27, comma 2, del DPR 445/2000, prescrive più specifici requisiti di carattere organizzativo (26) i quali, sostanzialmente, attengono alle caratteristiche organizzative, tecniche e finanziarie; alle conoscenze ed all'esperienza specifica del personale impiegato; alle procedure amministrative e contabili; ai sistemi e prodotti di firma; alla protezione dei dati personali.
Sorge ora il problema di valutare quale sia la portata di tali disposizioni. Da un lato, potrebbe apparire che tali disposizioni descrivano quelli che sono i pre-requisiti che il certificatore qualificato deve possedere al fine di poter svolgere una così delicata funzione. Tuttavia, considerando che solo per i certificatori accreditati viene svolta una verifica preventiva, mentre per gli altri certificatori qualificati è sufficiente una mera informazione preventiva al Dipartimento dell'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri, attestante “l'esistenza dei presupposti e dei requisiti”, viene da pensare che esista un vero e proprio obbligo di mantenimento di tali requisiti a beneficio di tutti i terzi. Del resto, anche l'esame letterale delle disposizioni denota chiaramente il carattere immanente di tali requisiti, salvo per la lettera a), dove l'espressione “dimostrare” appare problematica per due ordini di motivi: perché presuppone una verifica preventiva, che viene effettuata solo per i certificatori accreditati; perché sembra riferirsi solo al momento iniziale, senza implicare un obbligo di mantenimento; tutto ciò, evidentemente, in contrasto con le espressioni utilizzate per gli altri punti e con l'interesse dei terzi al permanere delle condizioni di massima affidabilità e sicurezza.
Acclarata la presenza di questi obblighi nei confronti di tutti i terzi, e sicuramente anche dei titolari di certificati qualificati, viene da domandarsi quali siano le conseguenze di un eventuale inadempimento a tali obblighi. Al riguardo sembrerebbe profilarsi un regime di responsabilità extracontrattuale ex art. 2043 cod. civ.: al verificarsi di un danno, l'inadempimento ad una o più delle disposizioni in questione si risolverebbe necessariamente in un'inosservanza di una norma precettiva e come tale configurerebbe, senz'ombra di dubbio, una colpa, rilevante quale elemento soggettivo.
Premesso quanto sopra, occorre ora considerare come i profili di responsabilità del certificatore qualificato possano essere concettualmente distinti in profili di natura contrattuale e profili di natura extracontrattuale. I primi attinenti al rapporto che si instaura tra il certificatore ed il titolare. I secondi attinenti al rapporto tra certificatore e tutti i terzi.
Nel caso dei rapporti con il titolare (“profili contrattuali”) sembrerebbe di poter dire che gli obblighi a carico del certificatore qualificato siano contenuti non solo nel testo contrattuale che viene fatto sottoscrive al titolare, bensì anche nel contenuto del Manuale operativo di cui all'art. 45 delle Regole tecniche. Ebbene, sembrerebbe proprio di poter dire che il manuale operativo costituisca un'appendice contrattuale rilevante per la disciplina del rapporto tra titolare e certificatore. In esso, a mente del contenuto stabilito dalla norma in commento, verranno infatti puntualmente descritti e disciplinati i seguenti aspetti:
* obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme;
* responsabilità ed eventuali limitazioni agli indennizzi;
* tariffe;
* modalità di identificazione e registrazione degli utenti;
* modalità di generazione delle chiavi;
* modalità di emissione dei certificati;
* modalità di sospensione e revoca dei certificati;
* modalità di sostituzione delle chiavi;
* modalità di gestione del registro dei certificati;
* modalità di accesso al registro dei certificati;
* modalità di protezione della riservatezza;
* procedure di gestione delle copie di sicurezza;
* procedure di gestione degli eventi catastrofici.
* che a nostro modo di vedere costituiscono aspetti rilevanti delle obbligazioni contrattualmente assunte dal certificatore.
Ulteriore obblighi informativi rivengono dal combinato disposto dell'art. 29-bis, comma 2, lett. e), del DPR 445/2000, in merito alle procedure di certificazione, loro caratteristiche e limitazioni d'uso dei certificati, nonché dall'art. 24 delle Regole tecniche, riguardo alla protezione e segretezza della chiave privata ed alla conservazione dei dispositivi di firma nonché relativamente ad eventuali accordi di certificazione stipulati con altri certificatori.
Venendo agli aspetti operativi, il certificatore qualificato è onerato di particolari obblighi sia con riferimento alla fase di generazione e pubblicazione del certificato (art. 27 e 28 delle Regole tecniche), sia soprattutto per la fase di (eventuale) revoca o sospensione del certificato, secondo il combinato disposto dell'art. 29-septies del DPR 445/2000 e degli art. 29, 30, 31, 32, 33, 34, 35 e 36 delle Regole tecniche.
Particolari profili di responsabilità possono essere configurati, inoltre:
– nella fase di emissione del certificato qualificato, con riguardo alla verifica dell'identità del titolare, alla verifica che la chiave pubblica di cui si richiede la certificazione non sia già stata certificata da altro certificatore qualificato, nonché della corrispondenza e compatibilità tra chiave pubblica e chiave privata;
– nella fase di revoca o sospensione del certificato qualificato, per tutte le ipotesi di omissione o ritardo nell'esecuzione dell'azione richiesta ovvero per il caso di negligenza nella verifica dei presupposti, soprattutto per il caso in cui il certificatore operi una revoca o sospensione del certificato su richiesta del terzo interessato ovvero d'ufficio.
Abbiamo visto come l'art. 28-bis, comma 3, del DPR 445/2000, introduca in principio di limitazione della responsabilità del certificatore per il caso in cui siano stati inseriti nel certificato qualificato particolari limiti d'uso o di valore.
Per quanto riguarda i rapporti con i terzi (profili di “responsabilità extracontrattuale“), già molto si è detto in precedenza riguardo alla configurabilità come responsabilità ex art. 2043 cod. civ. ovvero 2050 cod. civ..
Qui occorre richiamare gli obblighi specifici che l'art. 29-bis del DPR 445/2000 introduce a carico dei certificatori qualificati e che potrebbero configurare ipotesi di responsabilità verso i terzi per il caso di inadempimento negligente:
– obblighi di identificazione del titolare e di verifica delle eventuali “attribuzioni” (27);
– obblighi di pubblicazione, revoca o sospensione dei certificati;
– obblighi di tutela e protezione dei dati personali del titolare;
– obblighi di corretto funzionamento degli elenchi dei certificati emessi e delle procedure di revoca e sospensione dei certificati e dei relativi elenchi;
– obblighi di conservazione dei documenti e delle evidenze relative allo svolgimento dell'attività di certificazione;
– obblighi di protezione delle chiavi private del titolare (astensione dalla custodia).
L'art. 28-bis del DPR 445/2000, commi 1 e 2, stabilisce invece particolari obblighi in tema di corretta identificazione del titolare e di pronta revoca o sospensione dei certificati, salvo la dimostrazione dell'assenza di colpa.
Ultimo profilo di responsabilità che viene in esame è quello relativo alla cessazione dell'attività del certificatore qualificato, secondo la disciplina introdotta dall'art. 29-octies del DPR 445/2000 il quale prevede specifici obblighi informativi nei confronti sia del titolare sia di tutti i terzi.
6. Profili di responsabilità ed obblighi del terzo
Venendo a trattare della sfera del terzo, occorre sottolineare come sia probabilmente improprio o eccessivo ipotizzare delle vere e proprie ipotesi di responsabilità in capo a tale soggetto. Intanto, perché non vi sono fattispecie specifiche nell'attuale normativa che prevedano delle vere e proprie ipotesi di responsabilità; e poi anche perché, da un punto di vista sistematico, il terzo appare la parte tutelata dal complesso di norme in tema di servizi di certificazione. Nondimeno, il terzo è sicuramente onerato sia di un generale obbligo di diligenza al fine di poter godere della cd. tutela dell'affidamento – che come noto viene concessa solo nel caso di “affidamento incolpevole” -, sia di comportamenti specifici i quali si ricavano specularmene da alcune delle norme rilevanti che pongono obblighi specifici in capo al titolare ovvero al certificatore.
In generale, emerge che quanto maggiore sarà la valenza probatoria del documento informatico sottoscritto con firma elettronica, tanto maggiore saranno anche le cautele cui dovrà far fronte il soggetto terzo (che in letteratura anglosassone viene definito, con felice espressione: “relying party“, ovvero la parte che fa affidamento, che si affida in qualche modo al risultato dell'utilizzo dell'infrastruttura di crittografia a chiave pubblica).
La riformulazione dell'art. 29-bis del DPR 445/2000, che (come già visto) ha sostituito l'espressione “chiunque” con “il titolare ed il certificatore”, sembrerebbe aver escluso il terzo dal novero dei soggetti tenuti ad adottare tutte le misure tecniche ed organizzative idonee ad evitare danno nell'utilizzazione di un sistema di firma elettronica.
Analizzando e valutando con attenzione l'attuale quadro normativo, sembrerebbe di poter dire che le uniche disposizioni che implicano un vero e proprio onere specifico a carico del terzo siano quelle contenute nell'art. 28-bis “Responsabilità del certificatore”, comma 2 (28) , del DPR 445/2000, laddove si disciplinano le conseguenze della revoca o della sospensione del certificato qualificato. Più discutibile appare l'individuazione di un principio di responsabilità a carico del terzo nella disposizione contenuta nel comma 3 (29) dello stesso articolo, laddove si disciplinano le conseguenze dell'inserimento nel certificato qualificato di determinati limiti d'uso o di valore.
Esaminiamo queste due disposizioni con ordine. Il comma 2 dell'articolo in questione stabilisce, come visto, un principio fondamentale di responsabilità a carico del certificatore qualificato ed a favore del terzo (che faccia affidamento su un certificato qualificato) per il caso di omessa o tardiva revoca o sospensione del medesimo certificato qualificato. La disposizione, tuttavia include una rilevante specificazione relativa al comportamento del terzo: essa stabilisce infatti che l'affidamento del terzo deve essere “ragionevole“. Si tratta, in questo caso, di interpretare il rilievo ed il significato della qualificazione che il legislatore ha ritenuto di introdurre (30).
Ebbene, “ragionevole affidamento” sembrerebbe indicare che il terzo sia gravato dell'onere di un controllo dei requisiti di validità del certificato. Tuttavia rimangono per il momento oscuri quali siano i comportamenti specifici che il terzo debba porre in essere. Se ci si riferisca genericamente all'onere di controllare che il certificato qualificato sia, ed appaia, come tale, completo nella sua sintassi logica, informatica, nonché dotato di tutti i requisiti di legge, come stabiliti dall'art. 27-bis del DPR 445/2000 (31). Ovvero, se ci riferiscae a comportamenti che includono oneri di verifica e controllo più ampi e pregnanti.
A prima vista sembrerebbe che, per poter ritenere ragionevole l'affidamento, il terzo debba effettuare (anche) controlli sulla validità del certificato e specificamente verificare che esso non risulti revocato o scaduto, come Dolzani specificamente ipotizza nella sua analisi sul regime di responsabilità dei sistemi di crittografia a chiave pubblica (32).
Tale impostazione appare condivisibile, pur se, tuttavia, alquanto problematica, se si considerano le disposizioni contenute nell'art. 23 del DPR 44572000, comma 3 (33), ed anche, con singolare duplicazione (dovuta alla stratificazione normativa, che a prima vista non dovrebbe porre problemi ermeneutica) nell'art. 29-quater (34), completate anche dalle disposizioni dell'art. 29-septies.(35)
Ebbene, il significato delle disposizioni in questione parrebbe chiaro. In esse si stabilisce che in presenza di certificato qualificato revocato o scaduto non si ha valida sottoscrizione. In altre parole, la sottoscrizione digitale di un documento informatico basata su un certificato revocato o scaduto non esiste giuridicamente (ancorché fisicamente, o meglio da un punto di vista informatico, apparirebbe come esistente). E tale difetto assoluto di efficacia non viene fatto discendere da alcun onere di verifica o valutazione del terzo. La conseguenza è la mancata sottoscrizione, senza condizioni, senza necessità di verifica preventiva da parte del terzo che fa affidamento.
Una stretta interpretazione letterale della norma sembrerebbe dunque suggerire che il terzo non sia gravato da un onere di diligenza particolare con riferimento alla validità del certificato e che potrebbe sempre eccepire la mancata sottoscrizione del documento informatico tutte le volte che tale sottoscrizione fosse avvenuta in presenza di certificato revocato o scaduto.
Proprio la disposizione contenuta nell'art. 23 del DPR 445/2000 “salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate” sembrerebbe confermare tale interpretazione. In essa si evince, infatti, da un lato che non esiste un obbligo generale di consultazione degli elenchi dei certificati revocati o scaduti, dall'altro che la conoscenza del terzo della revoca o sospensione del certificato potrebbe operare ugualmente, pur in assenza di pubblicazione di tali provvedimenti; tuttavia in quest'ultimo caso risulta evidente che ci si riferisce ad ipotesi portate a conoscenza del terzo, dove questi, dunque, ha assunto un atteggiamento passivo.
Il quadro risultante dalle considerazioni sopra svolte, risultato di un'interpretazione meramente letterale delle norme rilevanti, non appare tuttavia del tutto convincente. La conseguenza dell'assenza di sottoscrizione per il caso di certificato qualificato revocato o scaduto, senza necessità di eccezione da parte del terzo, ci fa capire che in questo caso non opera alcuna tutela dell'affidamento del terzo (36).
Mutuando i concetti tipici del diritto privato in tema di errore rilevante (art. 1428 cod. civ.) e di apparente procura (art. 1396 cod. civ.) o procura revocata (art. 1396 cod. civ.), si comprende meglio la portata delle disposizioni dell'art. 23 e 29-quater del DPR 445/2000. Sia nel caso di errore (che sia al contempo “essenziale e riconoscibile”), sia nel caso di procura apparente, ovvero revocata, l'ordinamento italiano “protegge” il terzo il quale sia vittima dell'errore ovvero ignaro dell'assenza o revoca di procura.
Nel caso della sottoscrizione elettronica tale sistema di protezione del terzo che fa affidamento sul certificato invece, abbiamo visto, non sussiste. Ergo, se ne deve dedurre che questi è onerato per forza di cose dell'obbligo di verificare preventivamente la validità del certificato. E ciò anche in forza del generale precetto stabilito dall'art. 1127 cod. civ. in base al quale il concorso colposo del creditore determina una diminuzione del risarcimento del danno.
Per il caso di conclusione di un atto giuridico mediante documento informatico sottoscritto elettronicamente si potrà, probabilmente, ritenere il titolare responsabile delle conseguenze dannose derivanti dall'utilizzo di un certificato qualificato revocato o scaduto. Tuttavia, l'assenza di verifica preventiva da parte del terzo che fa affidamento sul certificato dovrebbe condurre a determinare una diminuzione, ovvero, sulla base del secondo comma dell'art. 1227 cod. civ., addirittura ad un'esclusione di responsabilità del titolare, ove si ritenesse che nell'”ordinaria diligenza” richiesta rientri (anche) il controllo di validità del certificato.
Quanto sopra riguarda unicamente fattispecie relative a certificati qualificati: di conseguenza si può indurre che il regime sopra illustrato non si applichi ad ipotesi di terzi che ricevano certificati non qualificati e che pertanto a carico del terzo non sussistano particolari oneri di diligenza, se non quelli relativi alle regole generali dell'affidamento incolpevole.
Abbiamo visto sopra che l'art. 28-bis del DPR 445/2000, nel comma 3 stabilisce la facoltà per il certificatore di inserire nel certificato particolari limiti d'uso o di valore. Abbiamo visto anche che la norma prevede che tali indicazioni relative a limiti d'uso o di valore siano “riconoscibili dai terzi”. Tale disposizione non sembra, tuttavia, indicare particolari oneri di diligenza in capo al terzo che fa affidamento (anche perché in questo caso non richiama il principio del “ragionevole affidamento“).
Sembra piuttosto un limite posto a carico del certificatore che in tal modo beneficia di una riduzione della propria esposizione al rischio del risarcimento del danno (anche se sarebbero tutte da valutare le implicazioni con l'art. 1229 cod. civ. in tema di esclusione o limitazione di responsabilità).
Stesse osservazioni potrebbero valere per il caso di inserimento nel certificato, in base a quanto previsto dal comma 3, dell'art. 27-bis del DPR 445/2000, delle “qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza”. In tal caso, non sembra che in capo al terzo incombano obblighi di verifica particolare. Dato che non esiste alcuna disposizione che impone oneri al riguardo a carico del terzo, si potrebbe pensare che rappresenti una mera facoltà concessa al titolare.
Tuttavia, anche in questo caso la soluzione che appare dettata da un'interpretazione letterale non appare pienamente soddisfacente, soprattutto se considerata alla luce del principio della tutela dell'affidamento.
In tema di società di personale, in base all'art. 2298 cod. civ. “le limitazioni (al potere di rappresentanza attribuite agli amministratori) non sono opponibili ai terzi, se non sono iscritte nel registro delle imprese e se non si prova che i terzi ne hanno avuto conoscenza”.
In materia di diritto societario sembrerebbe, dunque, che incomba in capo al terzo che faccia affidamento su un certificato l'onere di verificare attentamente eventuali indicazioni relative al potere di rappresentanza eventualmente contenute in un certificato qualificato. Da questo punto di vista, se ne potrebbe concludere che esiste comunque un onere di diligenza in capo al terzo consistente nella presa di conoscenza di eventuali indicazioni o anche limitazioni contenute nel certificato.
La situazione si complica tuttavia se si passa al caso delle società di capitali. In questo caso l'art. 2384-bis cod. civ. stabilisce un principio diametralmente opposto laddove prevede che: “le limitazioni al potere di rappresentanza che risultano dall'atto costitutivo o dallo statuto, anche se pubblicate, non sono opponibili ai terzi, salvo che si provi che questi abbiano intenzionalmente agito a danno della società”.
Le osservazioni appena esposte in tema di società di persone sembrerebbero qui venire meno per le società di capitali dove parrebbe vigere l'assenza dell'onere di diligenza consistente nel controllo del contenuto del certificato qualificato, con riferimento specifico alle indicazioni dei poteri di rappresentanza.
Tutto ciò particolarmente in tema di poteri di rappresentanza di amministratori di società. Tutto sommato, dato che per il solo caso delle società di persone sembrerebbe valere un principio di verifica, mentre per tutti gli altri casi non sembrerebbe valere, si potrebbe pensare di concludere che in generale il terzo non sia particolarmente onerato nel verificare e valutare le indicazioni contenute nel certificato e che queste siano più adatte a completare il quadro informativo relativo al soggetto titolare, soprattutto in considerazione della mancanza di “contatto” fisico tra titolare e terzo e quindi dell'assenza di una qualsiasi possibilità di specificazione dell'ambito nel quale il titolare opera (e soprattutto della sfera giuridica in cui si determinano gli effetti dell'utilizzo del certificato qualificato). Una simile interpretazione consente anche di salvaguardare il regime ordinario della pubblicità legale.
Da ultimo occorre considerare le questioni relative al “Manuale operativo” previsto dalle cd. Regole Tecniche. In via sistematica, occorrerebbe osservare che in nessuna delle disposizioni contenute nel DPR 445/2000, e particolarmente in quelle che riguardano responsabilità del certificatore, del titolare, ovvero oneri di diligenza del certificatore, del titolare e del terzo, è presente alcun riferimento al manuale operativo. Da questo punto di vista sembrerebbe che questo integri da un lato uno strumento necessario o per l'accreditamento preventivo del certificatore qualificato, ovvero per lo svolgimento dell'attività di vigilanza sui certificatori qualificati non accreditati (che abbiano meramente notificato all'autorità l'inizio delle loro attività), dall'altro lato completi le pattuizioni che disciplinano il rapporto contrattuale corrente tra certificatore e titolare.
Tuttavia, a ben vedere, anche in questo caso, la soluzione che prevede una totale esclusione di oneri di diligenza a carico del terzo appare insoddisfacente. Innanzitutto, perché non si spiegherebbe la ragione dell'obbligo di pubblicazione del manuale operativo: se veramente fosse mero strumento di integrazione delle pattuizioni contrattuali tra titolare e certificatore, sarebbe sufficiente uno scambio tra le parti della relativa documentazione.
V'è, tuttavia, di più. Ritornando ai ragionamenti iniziali in tema di “ragionevole affidamento“, si è indotti a ritenere che l'affidamento, per essere completamente ragionevole, debba implicare anche, da parte del terzo, una presa di coscienza (o meglio di conoscenza) delle modalità tecniche di funzionamento del certificatore, delle sue procedure, e soprattutto dei meccanismi di identificazione del titolare e di revoca o sospensione dei certificati qualificati. Da questo punto di vista, sembrerebbe di poter ritenere anche il terzo che fa affidamento su di un certificato qualificato come soggetto onerato di un controllo preventivo del contenuto del manuale.
Tutto ciò, pur tuttavia, tenendo ben presente l'estraneità del terzo al rapporto di natura contrattuale che si instaura tra certificatore e titolare, dell'estraneità del terzo a tutte le eventuali limitazioni contenute nel manuale operativo, soprattutto per il caso in cui il terzo sia un consumatore (37).
7. Profili di responsabilità ed obblighi del notaio e del pubblico ufficiale
In questa trattazione ci si limiterà ad esaminare i profili di responsabilità e gli oneri di diligenza del notaio e del pubblico ufficiale strettamente legati all'utilizzo di firme elettroniche ovvero correlate a sistemi di crittografia a chiave pubblica, secondo la disciplina introdotta dall'articolo 24 del DPR 445/2000 (38).
Posto che nel comma 1 si introduce la possibilità di formare una firma digitale riconosciuta, ai sensi dell'articolo 2703 del codice civile, per il caso in cui l'apposizione sia autenticata dal notaio o da altro pubblico ufficiale autorizzato, come prima problematica viene da domandarsi se tale possibilità sia riservata esclusivamente per il caso di formazione di una firma digitale, ovvero se sia possibile anche per altre tipologie di firme, a cominciare dalla firma elettronica qualificata. La soluzione parrebbe negativa, se si volesse accedere ad una mera interpretazione letterale della norma, dato che questa contempla esclusivamente le sole firme digitali.
Concentrandosi, per tale motivo, sulla sola ipotesi di autenticazione della firma digitale, occorre considerare che l'autenticazione consiste specificamente in diverse attestazioni da parte del pubblico ufficiale o del notaio, in funzione sia del funzionamento della stessa firma digitale, sia anche dei doveri professionali imposti ai pubblici ufficiali dal nostro ordinamento.
Tra gli oneri di diligenza specifica, spicca la verifica che il pubblico ufficiale o il notaio deve compiere in relazione all'identità del titolare ed alla validità del certificato. La firma digitale autenticata, infatti, deve essere apposta dal titolare al cospetto del pubblico ufficiale o del notaio. E tale operazione deve avvenire previo accertamento della sua identità personale e della validità della chiave utilizzata. Per aversi firma digitale autenticata occorre dunque che l'operazione di apposizione o di associazione della firma al documento informatico avvenga sotto gli occhi del pubblico ufficiale o del notaio, il quale dovrà constatare che effettivamente il dispositivo sicuro di firma sia nella disponibilità del titolare e che il titolare provveda all'utilizzazione del medesimo mediante “applicazione” della propria chiave privata al contenuto (hash) del documento da sottoscrivere.
Ancora, il pubblico ufficiale ed il notaio sono onerati della verifica di validità del certificato, con ciò esonerando evidentemente il terzo da oneri particolari circa verifiche al riguardo. Con la firma autenticata, effettivamente si raggiunge un livello di certezza massimo per un sistema di crittografia a chiave pubblica dal momento che un soggetto terzo, e particolarmente qualificato (39), procede alla verifica dell'esistenza dei presupposti tecnici di validità, dell'identità del soggetto che opera la sottoscrizione e financo dell'utilizzo del dispositivo sicuro di firma.
Non occorre spendere molte parole per individuare potenziali profili di responsabilità del notaio e del pubblico ufficiale laddove questi dovessero condurre in modo superficiale o addirittura omettere di effettuare le verifiche sopra delineate.
Non destano particolare rilievo, ai fini della nostra trattazione e per questo non saranno commentati, gli oneri previsti dall'articolo 28, primo comma, n. 1 della legge 6 febbraio 1913, n. 89, relativamente al fatto che il documento sottoscritto debba rispondere alla volontà della parte e non sia in contrasto con l'ordinamento giuridico.
Al livello di impostazione legislativa non si può tacere, sia pure in questo contesto, il disagio del giurista nell'osservare che sono state introdotte nel nostro ordinamento norme che prevedono la figura della “firma digitale autenticata“, con ciò disciplinando direttamente il fenomeno della sottoscrizione ed i relativi effetti giuridici, in luogo di disciplinare, come sarebbe più opportuno secondo la nostra tradizione giuridica, il mezzo di prova risultante, vale a dire un documento informatico (o se si vuole una scrittura privata formata mediante documento informatico), sottoscritto con firma digitale, autenticato o meno dal notaio o dal pubblico ufficiale autorizzato.
In effetti, il recepimento della direttiva ha “imbastardito” il nostro diritto, e ci troviamo oggi a discutere di firme, di validità di firme, e addirittura di firme autenticate, mentre dovrebbero assumere rilievo giuridico le prove documentali previste dal Libro VI, Titolo II, capo II del nostro codice civile in ragione dei supporti di formazione (cartacei o elettronici). Le diverse forme della sottoscrizione elettronica (integrante la funzione dichiarativa ed indicativa) dovrebbero costituire, più opportunamente, uno degli elementi di valutazione atti a determinare il rilievo giuridico da attribuire al “fenomeno informatico” complessivo, in funzione dei requisiti di qualità e sicurezza insiti nel loro funzionamento e quindi del grado di certezza complessivo in grado di attribuire al mezzo di prova risultante.
La direttiva 1999/93/CE, tuttavia, come noto, ha disciplinato direttamente le firme elettroniche e ci troviamo così a discutere di una parte del documento per il tutto (con singolare sineddoche giuridica) e ci abitueremo anche a questo.
8. Profili di responsabilità ed obblighi del notaio e del pubblico ufficiale
L'esame condotto ci ha consentito di valutare come il quadro normativo attuale sia piuttosto confuso per quanto riguarda gli aspetti di responsabilità dei vari soggetti coinvolti. Le norme dedicate ai certificatori qualificati sono numerose e mal coordinate tra loro, mentre per i certificatori non qualificati sono quasi assenti. Come visto, esistono dubbi circa la reale portata della norma fondamentale in tema di obblighi di diligenza a carico del titolare e del certificatore, non essendo chiaro se comporti o meno una responsabilità simile a quella per esercizio di attività pericolose. Anche le norme dedicate al titolare appaiono non ben definite e chiare. Logico quindi auspicare un intervento chiarificatore del legislatore, nel quale sia anche possibile tenere conto delle numerose esperienze maturale sul campo dai vari operatori.
Luigi Neirotti
Avvocato in Milano
Partner dello Studio Legale Tributario – EYLaw
Consigliere giuridico di Assocertificatori
Milano, 2 marzo 2004
———————————————————————————————-
(1) Per la verità, come vedremo, tale distinzione non era nemmeno accennata dal momento che la norma in esame, l'art. 9, stabiliva con espressione compendiosa: “Chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri” e si discuteva se tale disposizione riguardasse anche gli “utenti”; cfr. oltre sulla distinzione tra “utente” e “certificatore” quali destinatari del precetto in esame.
(2) Che all'epoca poteva essere unicamente iscritto nell'elenco pubblico tenuto dall'AIPA.
(3) Art. 28-bis (L) del DPR 445/2000 (Responsabilità del certificatore)
1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l'affidabilità del certificato è responsabile, se non prova d'aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento:
a) sull'esattezza delle informazioni in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
c) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.
2. Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato, salvo che provi d'aver agito senza colpa.
3. Il certificatore può indicare, in un certificato qualificato, i limiti d'uso di detto certificato ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi. Il certificatore non è responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.”
Tale norma riprendeva, in particolare, con qualche adattamento linguistico, il contenuto dell'art. 6 della direttiva 1999/93/CE che per primo aveva dettato un abbozzo di regime di responsabilità nello svolgimento dell'attività di certificazione. Evidentemente il legislatore europeo si era preoccupato, sulla scorta di alcune esperienze nordamericane e soprattutto della prassi “selvaggia” del mercato, di stabilire un chiaro principio minimo di responsabilità a carico dei prestatori dei servizi di certificazione.
(4) Cfr. in argomento. G. Finocchiaro, La firma digitale, Bologna, 2000, 92, nonché M. Dolzani, Firme Elettroniche, Milano 2003, 69.
(5) Si noti tuttavia che il legislatore ha mutato espressione ed in luogo dell'utente, espressione invero generica, si riferisce ora più precisamente al “titolare”, giusta definizione contenuta nell'art. 1 del DPR 445/2000 come risultante dalle modifiche apportate dal DPR 137/2000: “ff) TITOLARE la persona fisica cui è attribuita la firma elettronica e che ha accesso al dispositivo per la creazione della firma elettronica;”. Anche in questo caso si nota l'influsso della Direttiva, dato che nelle definizioni dell'art. 1 ha introdotto quella di “firmatario”, tradotta dal legislatore italiano in “titolare”. Da notare che questo passaggio vale ad escludere in modo esplicito la possibilità di attribuire certificati a persone giuridiche. Sull'argomento cfr. Zagami, Firma digitale e sicurezza giuridica, Padova 2000, pag. 132 e segg.
(6) Art. 29-bis (R), comma 1, del DPR 445/200 (Obblighi del titolare e del certificatore)
“1. Il titolare ed il certificatore sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.”
(7) Art. 2050 cod. civ.: “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno”
(8) In particolare, M. Miccoli, in Documento e commercio telematico, p. 79 segg., propende per l'ipotesi di responsabilità aggravata, mentre M. Dolzani, cit., 71, propende per l'ipotesi di responsabilità aquiliana ordinaria ex art. 2043 cod. civ.
(9) Art. 29-bis (R), comma 2, del DPR 445/2000 (Obblighi del titolare e del certificatore):
“Il certificatore che rilascia, ai sensi dell'articolo 27, certificati qualificati è tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel rispetto della legge 31 dicembre 1996, n. 675, e successive modificazioni;
c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati personali, ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma del titolare;
h) procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità,
di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonché garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
n) non copiare, né conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.”
(10) Che invero risultano dalla stratificazione di due interventi normativi differenti, ed in particolare, il secondo deriva dall'attuazione della direttiva 1999/93/CE.
(11) Tanto è vero che per alcuni, il regime di responsabilità ex art. 2050 cod. civ. costituirebbe, di fatto, responsabilità oggettiva. Cfr. Trimarchi, Rischio e responsabilità oggettiva, p. 275 e segg., Alpa e Bessone, Tr. Rescigno, 14.
(12) Era previsto che queste fossero adeguate alle esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche, con cadenza almeno biennale (art. 8, comma 2 del DPR 445/2000). Al momento non si consta alcun aggiornamento, anche se sembra di imminente pubblicazione.
(13) Particolarmente M. Dolzani, cit., 84-85.
(14) Come modificato dall'art. 6 del Decreto legislativo 23 gennaio 2002, n. 10 in attuazione della direttiva 1999/93/CE. Si tratta di una delle norme più discusse del recepimento del quadro uniforme in tema di firme elettroniche.
(15) Oltre che meramente disconoscibile dal titolare ex art. 215, n.2, c.p.c. per il caso in cui venisse ritenuta meritevole di affidamento da parte del giudice.
(16) Art. 29-quater (R) del DPR 445/2000 (Efficacia dei certificati qualificati)
“1. La firma elettronica, basata su un certificato qualificato scaduto, revocato o sospeso non costituisce valida sottoscrizione.”
(17) Art. 29-septies (R) del DPR 445/2000 (Revoca e sospensione dei certificati qualificati)
“Il certificato qualificato deve essere a cura del certificatore:
a) revocato in caso di cessazione dell'attività del certificatore;
b) revocato o sospeso in esecuzione di un provvedimento dell'autorità;
c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare, secondo le modalità previste nel presente decreto;
d) revocato o sospeso in presenza di cause limitative della capacità del titolare o di abusi o falsificazioni.
2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei casi previsti dalle regole tecniche di cui all'articolo 8, comma 2.
3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.
4. Le modalità di revoca o sospensione sono previste nelle regole tecniche di cui all'articolo 8, comma 2.”
(18) Si pensi, a titolo di mero esempio, al caso dello smarrimento del dispositivo di firma ovvero alla compromissione della coppia di chiavi.
(19) Art. 27-bis (R) del DPR 445/2000 (Certificati qualificati)
3. Il certificato qualificato può inoltre contenere, su domanda del titolare o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.
(20) Si possono ipotizzare quali terzi interessati abilitati ad esprimere al soggetto certificatore il consenso all'inserimento di tali indicazioni: il soggetto che ha conferito la rappresentanza al titolare, il preponente in caso di rappresentanza organica, una pubblica amministrazione per il caso di cariche o funzioni pubbliche, l'ordine o il collegio professionale per il caso di iscrizione rispettivamente ad albi ovvero elenchi professionali. Si tenga presente che l'art. 29-quinques del DPR 445/2000 (Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati), comma 3, disciplina specificamente le regole per l'inserimento nei certificati qualificati delle indicazioni relative a determinati soggetti: ” 3. Le regole tecniche concernenti la qualifica di pubblico ufficiale, l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate con decreti del Ministro per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in volta interessati, sulla base dei principi generali stabiliti dai rispettivi ordinamenti.”
(21) Cfr. Art. 1 (R), lett. b), del DPR 445/2000 (Definizioni).
(22) Cfr. Deliberazione AIPA n. 51/2000, del 23 novembre 2000, in tema di formato dei documenti in uso presso le pubbliche amministrazioni.
(23) Previsto dal comma 6 dell'art. 10 del DPR 445/2000.
(24) In base alla nuova definizione dell'art. 1, comma 1, lett. v), del DPR 445/2000 (come modificata dal DPR 137/2003), per Certificatore Qualificato si intende “il certificatore che rilascia al pubblico certificati elettronici conformi ai requisiti indicati nel (presente) testo unico e nelle regole tecniche di cui all'articolo 8, comma 2”.
(25) Cfr. Art. 26 (R), comma 1, del DPR 445/2000 (Certificatori): “… Detti certificatori, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono inoltre possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n. 385.”
(26) Art. 27 (R), comma 1, del DPR 445/2000 (Certificatori qualificati): “1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall'articolo 26.”
2. Cfr. Art. 27 (R), comma 2, del DPR 445/2000 (Certificati qualificati): “I certificatori di cui al comma 1 devono inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate, e che sia in grado di rispettare le norme del presente testo unico e le regole tecniche di cui all'articolo 8, comma 2;
c) applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi, nei casi in cui il certificatore generi tali chiavi.”
(27) Poteri di rappresentanza, cariche o funzioni pubbliche, iscrizione in albi o elenchi professionali o abilitazioni professionali. Cfr. supra.
(28) Art. 28-bis (L), comma 2 del DPR 445/2000 (Responsabilità del certificatore): “Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato, salvo che provi d'aver agito senza colpa.”
(29) Art. 28-bis (L), comma 3 del DPR 445/2000: “Il certificatore può indicare, in un certificato qualificato, i limiti d'uso di detto certificato ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi. Il certificatore non è responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.”
(30) Per la verità sembrerebbe che il legislatore italiano si sia limitato a recepire pedissequamente quanto contenuto nell'art. 6 della direttiva 1999/93/CE.
(31) Art. 27-bis (R), del DPR 445/2000 (Certificati qualificati):”1. I certificati qualificati devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il certificato.
2. In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.
3. Il certificato qualificato può inoltre contenere, su domanda del titolare o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.”
(32) Cfr. M. Dolzani, cit., pag. 82.
(33) Art. 23 (R), comma 3, del DPR 445/2000 (Firma digitale): “L'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.”
(34) Art. 29-quater (R), comma 1, del DPR 445/2000 (Efficacia dei certificati qualificati): “La firma elettronica, basata su un certificato qualificato scaduto, revocato o sospeso non costituisce valida sottoscrizione”.
(35) Art. 29-septies (R), comma 3, del DPR 445/2000 (Revoca e sospensione dei certificati qualificati): “La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.”
(36) Con singolare gioco di parole si potrebbe dire che colui che fa affidamento sul certificato non godrebbe di alcuna tutela dell'affidamento nei confronti del titolare. E probabilmente questa sia l'osservazione più pregnante di tutte: vale a dire che l'unica tutela il terzo la può ricavare dal certificato (altrimenti non si potrebbe definire “terzo che fa affidamento sul certificato”).
(37) Cfr. Al riguardo le analoghe argomentazioni di M. Dolzani, cit., pag. 83-84.
(38) Art. 24 (R), del DPR 445/2000 (Firma digitale autenticata): “1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.
2. L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico ai sensi dell'articolo 28, primo comma, n. 1 della legge 6 febbraio 1913, n. 89.
3. L'apposizione della firma digitale da parte del pubblico ufficiale integra e sostituisce ad ogni fine di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti.
4. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale, secondo le disposizioni dell'articolo 20, comma 3″
(39) al punto tale da poter conferire la “fede pubblica”.