IDENTITA' DIGITALE

Business continuity grazie alla firma elettronica: ecco le norme

Dalla firma digitale alla new entry autorizzata da Spid, si moltiplicano gli strumenti in grado di garantire la prosecuzione delle attività economiche e amministrative. Analizziamo le varie tecnologie in campo e il quadro normativo che le regolamenta

01 Set 2020
Marta Licini

avvocato e membro del Dipartimento Corporate, Finance e Capital Market dello Studio Legale Morri Rossetti e Associati

Giorgia Valsecchi

dipartimento tmt e data protection, Studio Legale Morri Rossetti e Associati


Firma elettronica – anche con SPID – e documento informatico sono strumenti in grado di assicurare continuità operativa e supporto agli operatori economici, aprendo la strada a una corretta cittadinanza digitale.

Dall’emergenza spinta agli strumenti digitali

E non c’è mai stato momento più opportuno per imparare a usarli. La situazione di emergenza epidemiologica non ha colpito infatti solo le singole persone e le loro abitudini, ma anche l’operatività giornaliera delle società che si sono trovate a far fronte a varie difficoltà: dall’impossibilità di trovarsi fisicamente in un luogo per una riunione, all’impossibilità di stampare e firmare documenti cartacei.

Ne deriva che il lockdown delle strutture e l’obbligo di smart working hanno costretto gli operatori a trovare soluzioni alternative che – nonostante la straordinarietà della situazione – hanno consentito alle società di continuare ad operare anche nell’ambito di attività “ordinarie” quali la conclusione e la sottoscrizione di contratti.

Gli strumenti tecnologici a disposizione hanno giocato e giocano tuttora un ruolo fondamentale, basti pensare alle diverse piattaforme che consentono di organizzare meeting online, ma anche gli strumenti giuridici, di cui talvolta non si conosce l’esistenza o la portata, possono risultare determinanti.

In particolare, tra gli strumenti che possono venire in supporto alle esigenze pratiche delle società vi è la firma elettronica – la cui disciplina è espressamente prevista dal diritto sovranazionale e nazionale – che consente, tra le altre cose, anche la sottoscrizione e la conclusione di contratti su supporti informatici.

Firma elettronica, il quadro normativo

A livello europeo, la disciplina è dettata dal Regolamento eIDAS, il regolamento UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (Electronic IDentification Authentication and trust and service for electronic transactions in the internal market and repealing Directive 1999/93/EC). Quest’ultimo si pone l’obiettivo di “rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’e-business e del commercio elettronico, nell’Unione europea”.

A livello nazionale, la disciplina è invece prevista dal Decreto Legislativo 7 marzo 2005, n. 82, e successive modifiche, il c.d. Codice dell’Amministrazione Digitale (“CAD“), le cui disposizioni e relative regole tecniche trovano applicazione nei confronti delle Pubbliche Amministrazioni, dei gestori di servizi pubblici e delle società di controllo pubblico. Inoltre, ai sensi dell’art. 2, co. 3 del CAD, le disposizioni dello stesso concernenti, tra l’altro, il documento informatico, le firme elettroniche, la riproduzione e conservazione dei documenti informatici nonché il domicilio digitale e le comunicazioni elettroniche si applicano anche ai privati.

Il CAD ha subito nel tempo diverse modifiche e integrazioni, da parte di numerosi interventi normativi, in particolare rilevano le modifiche introdotte dal Decreto Legislativo 13 dicembre 2017, n. 217 in materia, inter alia, di formazione, gestione e conservazione dei documenti informatici firmati digitalmente – o con altra firma elettronica – e il valore probatorio ad essi attribuito.

Un ruolo fondamentale in merito all’attuazione e al rispetto delle norme del CAD è svolto a livello nazionale dall’Agenzia per l’Italia Digitale (“AGID”) – istituita ai sensi del Decreto Legge 22 giugno 2012, n. 83 (convertito con modificazioni dalla Legge 7 agosto 2012, n. 134) e sottoposta ai poteri di indirizzo e vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato – la quale, ai sensi dell’art. 14-bis del CAD, è deputata, inter alia, all’“emanazione di linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull’attuazione e sul rispetto delle norme di cui al CAD, anche attraverso l’adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell’Unione europea”.

Come precisato dal Consiglio di Stato, le linee guida di volta in volta adottate dall’AGID ai sensi dell’art. 71 del CAD, al fine di rendere l’attuazione tecnico-operativa delle disposizioni di legge capace di stare al passo con la continua evoluzione tecnologica, hanno carattere vincolante e assumono valenza erga omnes. Ne deriva che, nella gerarchia delle fonti, le stesse vengono inquadrate quale atto di regolazione, seppur di natura tecnica, da ritenersi pienamente azionabile davanti al giudice amministrativo in caso di violazione delle prescrizioni ivi contenute.

Tipologie di firme elettroniche

Ai sensi della normativa richiamata, diverse sono le tipologie di firme elettroniche.

  • La firma elettronica “semplice” è definita dal Regolamento eIDAS come un insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”.
  • La firma elettronica avanzata è invece definita come un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico, che consentono l’identificazione del firmatario e garantiscono la connessione univoca allo stesso e sussiste nel caso siano rispettati, a livello europeo, i requisiti dettati dall’art. 26 del Regolamento eIDAS e, a livello nazionale, le disposizioni di cui agli artt. 55 – 61 del Dpcm 22 febbraio 2013. Caratteristica di tale tipo di firma è la circostanza per cui i dati sono creati con mezzi sui quali il firmatario può conservare un controllo esclusivo e tali mezzi risultano collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
  • La firma elettronica qualificata è una tipologia di firma elettronica avanzata, definita dal Regolamento eIDAS (art. 3, co. 1 n. 12) quale firma “creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”, i cui requisiti sono regolati, rispettivamente, dall’Allegato II e dall’Allegato I del Regolamento eIDAS.
  • In ultimo, la firma digitale, definita dall’art. 1, co.1 lett. s) del CAD come “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo, tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”, risulta essere una particolare tipologia di firma elettronica qualificata, basata su una tecnologia che permette di verificare la provenienza e l’integrità del documento informatico.
WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Un esempio di firma elettronica avanzata è la firma grafometrica, soluzione che consente di raccogliere le caratteristiche comportamentali e tipiche della firma autografa (attraverso l’uso di tavolette molto evolute o anche su dispositivi tablet di uso generale equipaggiati con opportuni sensori e programmi software) quali il tratto grafico, la velocità, l’inclinazione, la pressione, l’accelerazione e i rallentamenti. Si precisa che la firma elettronica avanzata trova un limite nell’art. 60 del Dpcm 22 febbraio 2013 in quanto utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che eroga la soluzione ai sensi dell’art. 55, co. 2, lett. a) del medesimo Dpcm.

Come altresì precisato dall’AGID, la firma elettronica qualificata e la firma digitale, invece, sono il risultato di una procedura informatica, detta validazione, che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici. La firma digitale può essere utilizzata con due modalità: (i) in “locale”: per la quale si intende la firma digitale generata in uno strumento nel possesso fisico del titolare, smartcard o token; e (ii) da “remoto”: utilizzando strumenti di autenticazione (tipicamente User ID + Password + One Time Password “OTP” o telefono cellulare) che consentono la generazione della propria firma su un dispositivo esterno, c.d. Hardware Security Module (“HSM”), custodito dal prestatore del servizio fiduciario qualificato.

Con riferimento invece alle persone giuridiche, il Regolamento eIDAS ha introdotto e regolamentato, agli artt. 35 e 36, il sigillo elettronico qualificato, il quale può essere ritenuto sostanzialmente equivalente alla firma elettronica qualificata per le persone fisiche. In altri termini, mentre da una firma è possibile individuare con certezza un soggetto attraverso il suo nome, cognome, codice fiscale ecc., da un sigillo è possibile risalire con certezza ad una persona giuridica attraverso la sua denominazione, partita IVA o codice fiscale, ma non si ha alcun riferimento alla persona fisica che ha materialmente utilizzato le credenziali per generare tale sigillo, fermo restando che, come indicato dal Considerando 60 del Regolamento eIDAS i prestatori di servizi fiduciari che rilasciano certificati qualificati di sigilli elettronici dovrebbero attuare le misure necessarie per poter stabilire l’identità della persona fisica rappresentante la persona giuridica a cui è fornito il certificato qualificato di sigillo elettronico, quando tale identificazione è necessaria a livello nazionale nel contesto di procedimenti giudiziari o amministrativi.

Firme elettroniche: effetti giuridici 

Come è stato altresì precisato dall’”Analisi comparativa delle varie tipologie presenti nella normativa nazionale e comunitaria”, pubblicata nel dicembre 2019 dall’AGID, alle diverse tipologie di firme sono collegati diversi effetti giuridici e un conseguente diverso valore dei documenti informatici a cui sono apposte.

A questo proposito, tra le altre, la firma elettronica “semplice” non consente di garantire adeguata certezza giuridica, in quanto, in un eventuale procedimento giudiziale, l’idoneità del documento a cui è apposta a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. Tuttavia, anche nel caso di utilizzo di firma elettronica “semplice”, rimane fermo quanto previsto dall’art. 25, co. 1 del Regolamento eIDAS, ai sensi del quale “a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate”.

I diversi e maggiori effetti giuridici delle firme elettroniche avanzate e di quelle qualificate sono invece riconducibili, in particolare, a:

  • la loro capacità di consentire al documento informatico di soddisfare il requisito della forma scritta nonché la particolare efficacia del documento informatico stesso: l’art. 20, co. 1-bis del CAD prevede infatti che “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 c.c. quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata”. Viene pertanto garantita l’efficacia giuridica del documento ai sensi dell’art. 2702 c.c., in quanto tali firme sono considerate attendibili circa l’identità del firmatario e la scrittura privata fa piena prova (fino a querela di falso) della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta;
  • il loro valore probatorio e quindi il regime dell’onere della prova, da intendersi quale l’individuazione del soggetto che, in caso di contestazione, deve fornire prove atte a dimostrare la validità o invalidità della firma oggetto di contestazione.

Sotto quest’ultimo profilo, vi è una differenza tra firma elettronica avanzata e firma elettronica qualificata (e digitale):

  • con riferimento alla firma elettronica avanzata, il soggetto a cui la firma afferisce può disconoscerla ed è onere della parte che vuole avvalersi degli effetti giuridici di tale firma dimostrare la conformità ai requisiti di legge;
  • con riferimento alla firma elettronica qualificata, ai sensi dell’art. 20, co. 1-ter del CAD, “l’utilizzo del dispositivo di firma elettronica qualificata si presume riconducibile al titolare della firma elettronica, salvo che questi ne dia prova contraria”, ed è quindi prevista un’inversione dell’onere della prova.

In aggiunta, alla luce della maggior sicurezza che possono garantire in merito a integrità e provenienza del documento, la firma elettronica qualificata e la firma digitale producono effetti giuridici più ampi. In particolare:

  • l’art. 25, co. 2 del Regolamento eIDAS stabilisce che “una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa“;
  • le stesse possono essere ulteriormente utilizzate per la sottoscrizione delle categorie di atti di cui all’art. 1350 c.c. (c.d. contratti con forma scritta ad substantiam), i quali devono essere stipulati sotto forma di atto pubblico o di scrittura privata, a pena di nullità degli stessi. A tal proposito, l’art. 21, co. 2-bis del CAD precisa che, salvo il caso di sottoscrizione autenticata, le scritture private di cui ai numeri da 1 a 12 dell’art. 1350 c.c., se redatte con un documento informatico, debbano essere sottoscritte, a pena di nullità, con firma elettronica qualificata o digitale, mentre gli atti di cui al punto 13 del medesimo articolo, redatti su documento informatico o formati attraverso procedimenti informatici, possono essere sottoscritti anche con firma elettronica avanzata (ovvero formati con le ulteriori modalità di cui all’art. 20, co. 1-bis, primo periodo del CAD);
  • infine, sempre ai sensi dell’art. 25, co. 3 del Regolamento eIDAS, è previsto un principio di mutuo riconoscimento della firma elettronica qualificata in quanto se “basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri”.

Utilizzo delle firme digitali e qualificate

Si rileva, tuttavia, che a fronte di una maggior sicurezza in merito a integrità e provenienza del documento garantita dalla firma elettronica qualificata e dalla firma digitale, il processo di apposizione delle firme nonché il loro utilizzo potrebbero risultare potenzialmente meno immediati da un punto di vista pratico, in particolare se si considera che ogni contraente è tenuto ad avere una firma personale ed è possibile richiederla ai soli prestatori di servizi fiduciari qualificati, la cui lista è disponibile sul sito dell’AGID e, inoltre, che le modalità di generazione delle firme digitali richiedono in ogni caso l’uso di strumenti quali smartcard o token o strumenti di autenticazione che consentano la generazione della firma sui dispositivi esterni (i.e. Hardware Security Module – “HSM”).

Tuttavia, come emerge dal monitoraggio costante svolto dall’AGID in merito alla diffusione dei servizi fiduciari qualificati, anche a seguito del processo di armonizzazione della disciplina introdotto con il Regolamento eIDAS, l’utilizzo della firma digitale risulta ad oggi nettamente aumentato, evidenziando altresì come, con riferimento alle modalità di utilizzo della stessa, recentemente gli HSM abbiano superato in numero di dispositivi utilizzati le smartcard e i token.

Firma elettronica con SPID e valore giuridico

In aggiunta agli strumenti sopra descritti, con determinazione n. 157/2020 del 23 marzo 2020, l’AGID ha pubblicato le “Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD (“Linee Guida SPID”) con le quali viene riconosciuta la possibilità ai cittadini di sottoscrivere atti e contratti con il Sistema Pubblico di Identità Digitale (“SPID”), regolamentando in tal senso una quinta tipologia di firma elettronica: la firma elettronica con SPID, a cui è riconosciuto pari valore giuridico della firma autografa.

SPID è una soluzione che permette ai cittadini di accedere ai servizi online della Pubblica Amministrazione e dei soggetti privati aderenti con un’unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone.

Le Linee Guida SPID consentono di utilizzare SPID in conformità all’art. 20, co. 1-bis del CAD ai sensi del quale il documento informatico soddisfa il requisito della forma scritta e produce gli effetti di cui all’art. 2702 c.c. “quando […] è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AGID ai sensi dell’art. 71 del CAD con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.

Le Linee Guida SPID definiscono la procedura di sottoscrizione dei documenti informatici con SPID, divisa in due fasi (fase di predisposizione alla sottoscrizione e fase di prestazione del consenso alla sottoscrizione), disciplinando le modalità con cui i fornitori di servizi online possono permettere agli utenti di sottoscrivere atti e contratti tramite la loro identità digitale.

Occorre, tuttavia, precisare che, come indicato all’art. 11 delle Linee Guida SPID, al fine di poter utilizzare SPID come strumento di sottoscrizione, è necessario che i gestori dell’identità digitale e i fornitori dei servizi online aderiscano a SPID, adesione che avviene su base volontaria.

Un’ulteriore precisazione attiene alla procedura di sottoscrizione ex art. 20, co. 1-bis del CAD, descritta dall’art. 3 delle Linee Guida SPID. Infatti, il processo secondo il quale il documento informatico soddisfa il requisito della forma scritta e acquista l’efficacia prevista dall’articolo 2702 c.c. non può essere adoperato utilizzando identità digitali SPID per persona giuridica; al contrario, possono essere utilizzate esclusivamente le identità digitali della persona fisica e le identità digitali per uso professionale (quest’ultime regolamentate dalle “Linee guida per il rilascio dell’identità digitale per uso professionale”, pubblicate con Determinazione AGID n. 318/2019).

Priorità digitalizzazione dei servizi

Seppur nella situazione di emergenza epidemiologica l’utilizzo degli strumenti descritti sia potuto inizialmente risultare forzato e “scomodo”, pare evidente che gli stessi possano portare benefici agli operatori economici, in quanto in grado di rendere l’operatività delle società più efficiente e veloce, ma anche più sicura, in termini di identificabilità e reperibilità del firmatario (a seconda della firma utilizzata).

Infatti, alla luce delle diverse tipologie di firme previste, tali strumenti risultano in grado di soddisfare esigenze di varia natura: dalla sottoscrizione di contratti commerciali, nell’ambito dell’operatività ordinaria di una società, alla sottoscrizione di atti di straordinaria amministrazione quali gli atti notarili, in entrambe le forme della scrittura privata autenticata o dell’atto pubblico, come meglio indicato di seguito.

Quanto al primo punto, si rileva che nell’ambito del processo di digitalizzazione, tali strumenti risultano essere sempre più accessibili sul mercato, il quale è in grado di offrire agli operatori economici diverse soluzioni a seconda della diversa tipologia di firma che si vuole utilizzare (si pensi, ad esempio, ai provider InfoCert, Aruba e DocuSign), fermo restando che è sempre raccomandato affidarsi e accertarsi che tali provider siano in grado di fornire idonee garanzie in merito alle tecnologie utilizzate e che le stesse siano in grado di soddisfare i requisiti e le caratteristiche di sicurezza, integrità e immodificabilità tipiche delle diverse tipologie di firma. In ogni caso, come già indicato, occorre ulteriormente evidenziare che, con particolare riferimento all’utilizzo della firma digitale, è necessario rivolgersi a provider che siano prestatori di servizi fiduciari qualificati.

Quanto al secondo punto, l’utilizzo degli strumenti può risultare utile per la sottoscrizione di atti notarili, ad esempio, attraverso l’apposizione della firma digitale delle parti sul documento informatico, seguito dall’apposizione della firma digitale del notaio (come si legge anche sul sito del Consiglio Nazionale del Notariato – cfr. www.notariato.it/it/atto-pubblico-informatico – pur risultando necessario precisare che il tema è ancora oggi oggetto di dibattito, soprattutto con riferimento alla necessità della presenza fisica del sottoscrittore). Inoltre, in caso di scrittura privata autenticata, la firma potrà essere apposta attraverso l’utilizzo delle firme elettroniche e, ai sensi dell’art. 25 del CAD, la stessa “si ha per riconosciuta ai sensi dell’art. 2703 c.c., purché autenticata da un notaio o da un altro pubblico ufficiale a ciò autorizzato”.

Ferma restando la loro utilità pratica, gli strumenti informatici risultano inoltre svolgere un ruolo fondamentale in un processo che volge sempre più in direzione di una maggior dematerializzazione dei documenti e digitalizzazione dei servizi e rispetto al quale l’Italia deve ancora ampiamente uniformarsi, come rilevato, da ultimo, dal rapporto annuale del 2020 stilato dalla Commissione europea per la valutazione dell’indice di digitalizzazione dell’economia e della società (“DESI”).

In conclusione, nonostante la complessità e unicità del momento storico che stiamo vivendo, è presumibile che il periodo di lockdown a cui siamo stati sottoposti e l’aumento delle attività in smart working possano aver contribuito, e contribuire tuttora, a dare una forte spinta alla diffusione e all’utilizzo di tali strumenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4