Firme e documenti, dopo eIDAS cosa va cambiato nel nuovo Cad
Cosa significa conservare digitalmente un documento nel nostro ordinamento giuridico? Il riferimento alla “conservazione” contemplato nella definizione di “documento elettronico” del Regolamento eIDAS non può essere messo esclusivamente in relazione al versamento dei documenti in un sistema di conservazione, come disciplinato dalle Regole tecniche del DPCM 3 dicembre 2013. Vanno anche considerate altre modalità
28 Giugno 2016
Andrea Lisi e Sarah Ungaro, Digital&Law Department, Ufficio di Presidenza Anorc Professioni
Dal 1° luglio 2016 sarà direttamente applicabile il Regolamento UE 910/2014, c.d. eIDAS , in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. In altre parole, sulla scorta di tale Regolamento, si stabiliscono le condizioni in base alle quali gli Stati membri riconoscono reciprocamente i mezzi di identificazione elettronica delle persone fisiche e giuridiche notificati alla Commissione da ciascuno Stato membro e si stabiliscono le norme comuni relative ai c.d. servizi fiduciari (“trust services”)[1], ossia inerenti alla:
- creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
- creazione, verifica e convalida di certificati di autenticazione di siti web;
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
Si tratta di un regolamento self-executing, quindi direttamente applicabile negli ordinamenti nazionali. Tuttavia, com’è noto, per allineare le nostre norme a quelle di derivazione UE si discutono ormai da diversi mesi le modifiche al nostro Codice dell’Amministrazione digitale (D.Lgs. 82/2005).
Nello specifico, nelle modifiche previste nella bozza attualmente allo studio delle Camere[2], si prevede di lasciare inalterata all’art. 1 del CAD la definizione di “ documento informatico”[3] e di introdurre – tramite un richiamo a tutte le definizioni del menzionato Regolamento, che dovrebbe essere inserito al comma 1 -bis dell’art. 1 del nuovo CAD – quella di “ documento elettronico”, che l’art. 3 di eIDAS definisce come “ qualsiasi contenuto conservato in forma elettronica , in particolare testo o registrazione sonora, visiva o audiovisiva”.
Senza volerci impelagare,
per l’economia del presente articolo, nella controversa disquisizione
dottrinale in merito alla differenza tra “elettronico” e “informatico” e lungi
dal voler interpretare alla lettera la definizione di “documento elettronico”
come “oggetto conservato” per tutti gli ordinamenti degli Stati membri, ci
limiteremo esclusivamente a comprendere cosa possa significare conservare
digitalmente documenti nel nostro ordinamento giuridico.
Per cogliere appieno il concetto di conservazione
dei documenti informatici
a noi nota (come disciplinata agli artt. 43 e
seguenti del CAD
[4]), appare utile fare
riferimento alle nostre
Regole tecniche
sulla formazione del documento informatico, emanate con il DPCM 13 novembre
2014
, sulla scorta delle quali un
documento informatico – una volta reso statico
[5], immodificabile[6] e opportunamente
corredato dei metadati di formazione e di quelli relativi al contesto
archivistico di riferimento – deve essere in un certo senso “consolidato” o
“stabilizzato” in un sistema di conservazione
.
In un certo senso, dunque, sembra opportuno interpretare il riferimento alla “conservazione” contemplato nella definizione di “documento elettronico” del Regolamento eIDAS non esclusivamente in relazione al versamento dei documenti in un sistema di conservazione disciplinato dalle Regole tecniche del DPCM 3 dicembre 2013, ma anche considerando le altre modalità contemplate ai commi 4, 5 e 6 dell’art. 3 del DPCM 13 novembre 2014, dove sono elencate le operazioni idonee ad assicurare le caratteristiche di “immodificabilità” e “integrità” dei documenti informatici [7].
Proprio in tema di conservazione, è interessante rilevare che i servizi di conservazione dei documenti informatici attualmente disponibili nel mercato digitale italiano potrebbero non essere immediatamente riconducibili nel novero dei servizi fiduciari elencati al n. 16 dell’art. 3 del Regolamento eIDAS, in cui sarebbero ricompresi esclusivamente i servizi relativi alla “conservazione di firme, sigilli o certificati elettronici relativi a tali servizi”, e dunque non anche i servizi di conservazione di qualsiasi documento informatico. Tuttavia, al considerando n. 25 del Regolamento si precisa che “ è opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quale servizi fiduciari qualificati ”. Ciò significa che non è da escludersi che anche i servizi di conservazione attualmente forniti dagli operatori del mercato italiano possano essere riconosciuti a livello nazionale come servizi fiduciari qualificati , qualora soddisfino i requisiti stabiliti dalle Regole tecniche del DPCM 3 dicembre 2013 ed eventuali ulteriori requisiti stabiliti da AgID.
Ulteriore elemento di particolare interesse nelle norme del Regolamento eIDAS risulta essere il valore giuridico attribuito alle firme elettroniche qualificate, soprattutto in ottica comparativa con quanto disciplinato dal nostro CAD : in effetti, in base all’art. 25 di eIDAS, a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per le firme elettroniche qualificate; in particolare, il comma 2 dello stesso articolo 25 stabilisce che “ una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa ”. Ciò significa che – in assenza del disposto dell’art. 21 del CAD – l’apposizione di una firma elettronica qualificata avrebbe l’efficacia giuridica prevista dall’art. 2702 c.c. e quindi sarebbe disconoscibile ai sensi dell’art. 214 c.p.c.: nel nostro ordinamento, invece, il secondo comma dell’art. 21 del CAD attribuisce alle sole firme elettroniche qualificate e digitali una presunzione legale di riconducibilità del documento al firmatario [8]. Ciò significa che, rispetto al diverso e più generico valore giuridico e probatorio previsto dal regolamento eIDAS, alla luce del nostro CAD non è sufficiente procedere al disconoscimento di una firma elettronica qualificata per contestarne l’efficacia probatoria, ma si configura un’inversione dell’onere della prova tale per cui è il titolare della firma elettronica qualificata o digitale a dover produrre la concreta prova contraria idonea a dimostrare con ragionevole certezza di non essere stato l’autore della sottoscrizione effettuata con il dispositivo di firma di cui lo stesso era titolare. In tal senso, è lo stesso considerando n. 49 del regolamento eIDAS a precisare che spetta al diritto nazionale definire gli effetti giuridici delle firme elettroniche , fatta salva l’equivalenza dell’effetto giuridico di una firma elettronica qualificata a quello di una firma autografa stabilita dallo stesso Regolamento.
In modo speculare alle firme elettroniche, il regolamento eIDAS disciplina i sigilli elettronici , finora sconosciuti nel nostro ordinamento, che hanno la funzione di fungere da prova della provenienza o dell’autenticità di un documento elettronico – come di qualsiasi oggetto informatico (quali, ad esempio, codici software o registrazioni di log o video-audio) – da parte di una determinata persona giuridica (creatore del sigillo), dando la certezza dell’origine e dell’integrità dello stesso. In particolare, l’art. 35, comma 2, del Regolamento stabilisce una presunzione legale di integrità e di correttezza dell’origine del documento a cui è associato un sigillo elettronico qualificato: tale effetto giuridico è in ogni caso implicitamente attribuito anche alle firme elettroniche qualificate dal Regolamento eIDAS che, al considerando n. 58, prevede che qualora una transazione richieda un sigillo elettronico qualificato di una persona giuridica, è opportuno che sia accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica.
A ben vedere, infatti, è possibile apprezzare la diversa funzione di una firma elettronica (che il Regolamento eIDAS ricollega in ogni caso ai dati del “firmatario” persona fisica) e di un sigillo elettronico (che lo stesso Regolamento ricollega ai dati del “creatore del sigillo” persona giuridica) riprendendo le funzioni della sottoscrizione individuate da Carnelutti, che attribuiva all’apposizione della firma una funzione c.d. indicativa (necessaria a identificare il soggetto al quale la firma – o lo strumento di firma elettronica – appartiene), una funzione c.d. probatoria (per provare la provenienza di un documento), ma anche una funzione c.d. dichiarativa (per provare il consenso, la volontà, l’approvazione o la ratifica del contenuto del documento). Proprio tale ultima funzione attribuita da Carnelutti all’apposizione di una firma risulta essere invece assente nell’apposizione di un sigillo elettronico, a cui possono essere ricollegati solo gli effetti giuridici di integrità [9] e autenticità del documento, comunque riconosciuti anche all’apposizione di una firma elettronica qualificata [10].
Ma quali potranno essere, dunque, i possibili utilizzi di un sigillo elettronico (eventualmente prevedendo anche delle piccole modifiche alle norme attualmente vigenti nel nostro ordinamento)? Innanzitutto, i sigilli potranno essere utilizzati per le fatture elettroniche fra soggetti privati (per cui l’utilizzo di un sigillo avanzato è già previsto nella bozza di specifiche tecniche predisposte dall’Agenzia delle Entrate) e per le fatture elettroniche verso la PA (modificando l’Allegato B al DM 55/2013); per la pubblicazione degli atti nell’Albo pretorio on line da parte del Responsabile della pubblicazione; per il Pacchetto di Archiviazione del sistema di conservazione (modificando il DPCM 3 dicembre 2013); per le copie per immagine di documenti originariamente analogici e le copie informatiche di documenti informatici; per le estrazioni statiche di registrazioni informatiche, come i file di log, previste dall’art. 3 del DPCM 13 novembre 2014; per gli atti e i documenti depositati nel processo civile telematico, in sostituzione del timbro della Cancelleria che veniva apposto in caso di deposito cartaceo e, in generale, in tutti i casi in cui non sia necessario «sottoscrivere» un documento, ma sia sufficiente garantirne l’origine, l’autenticità e l’integrità .
[1] Definiti come servizi elettronici forniti normalmente dietro remunerazione.
[2] Schema di decreto legislativo recante modifiche e integrazioni al Codice dell’amministrazione digitale (A.G. n. 307).
[3] Definito come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti ”.
[4] Anche in considerazione della relativa definizione nella versione in lingua inglese dello stesso Regolamento, per la quale un documento elettronico “ means any content stored in electronic form, in particular text or sound, visual or audiovisual recording ”.
[5] Ossia la condizione per cui è garantita “ l’assenza di tutti gli elementi dinamici, quali macroistruzioni, riferimenti esterni o codici eseguibili, e l’assenza delle informazioni di ausilio alla redazione, quali annotazioni, revisioni, segnalibri, gestite dal prodotto software utilizzato per la redazione” , come previsto nella relativa definizione di cui all’Allegato 1 delle Regole tecniche.
[6] Ossia “la caratteristica che rende il contenuto del documento informatico non alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso” , come previsto nella relativa definizione di cui all’Allegato 1 delle Regole tecniche.
[7] Art. 3, commi 4, 5 e 6, DPCM 13 novembre 2014:
4. Nel caso di documento informatico formato ai sensi del comma 1, lettera a), le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle seguenti operazioni:
a) la sottoscrizione con firma digitale ovvero con firma elettronica qualificata;
b) l’apposizione di una validazione temporale;
c) il trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa;
d) la memorizzazione su sistemi di gestione documentale che adottino idonee politiche di sicurezza;
e) il versamento ad un sistema di conservazione.
5. Nel caso di documento informatico formato ai sensi del comma 1, lettera b, le caratteristiche di immodificabilità e di integrità sono determinate dall’operazione di memorizzazione in un sistema di gestione informatica dei documenti che garantisca l’inalterabilità del documento o in un sistema di conservazione.
6. Nel caso di documento informatico formato ai sensi del comma 1, lettere c) e d), le caratteristiche di immodificabilità e di integrità sono determinate dall’operazione di registrazione dell’esito della medesima operazione e dall’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema, ovvero con la produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione .
[8] Art. 21, comma 2, del CAD: “L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.
[9] In particolare, il Regolamento eIDAS prevede nell’art. 35, 2° comma che “un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico è associato”. Analoga presunzione, in verità, non è prevista (almeno mantenendoci al dato letterale dello stesso) nel Regolamento per le firme elettroniche qualificate.
[10] Da qui la considerazione che ove sia apposta una firma elettronica qualificata o digitale appare inutile l’apposizione anche di un sigillo elettronico, ma non viceversa.
