12 giugno 2020

Mantenere l’operativitàdelle società da remoto:firma elettronicae documento informatico

Mantenere l’operatività delle società da remoto: firma elettronica (anche con SPID) e documento informatico quali strumenti a supporto degli operatori economici

La situazione di emergenza epidemiologica che stiamo attualmente vivendo non ha colpito solo le singole persone e le loro abitudini ma anche l’operatività giornaliera delle società, le quali si sono trovate a far fronte alle più semplici difficoltà di natura pratica: dall’impossibilità di trovarsi fisicamente in un luogo per una riunione, all’impossibilità di stampare e firmare documenti cartacei.

Ne deriva che il lockdown delle strutture e l’obbligo di smart working hanno costretto gli operatori a trovare soluzioni alternative che – nonostante la straordinarietà della situazione – hanno consentito alle società di continuare ad operare anche nell’ambito di attività “ordinarie” quali la conclusione e la sottoscrizione di contratti.

Gli strumenti tecnologici a disposizione hanno giocato e giocano tuttora un ruolo fondamentale, basti pensare alle diverse piattaforme che consentono di organizzare meeting online, ma anche gli strumenti giuridici, di cui talvolta non si conosce l’esistenza o la portata, possono risultare determinanti.

In particolare, tra gli strumenti che possono venire in supporto alle esigenze pratiche delle società vi è la firma elettronica – la cui disciplina è espressamente prevista dal diritto sovranazionale e nazionale - che consente la sottoscrizione e la conclusione di contratti su supporti informatici.

1. Inquadramento normativo

A livello europeo, la disciplina è dettata dal Regolamento UE 910/2014 in materia di identificazione elettronica sui servizi fiduciari per le transazioni elettroniche (electronic IDentification Authentication and trust and service for electronic transactions) (il "Regolamento eIDAS"). Quest’ultimo si pone l’obiettivo di “rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità

pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’ebusiness e del commercio elettronico, nell’Unione europea”.

Il Regolamento eIDAS è stato integrato, a livello nazionale, dal Decreto Legislativo 7 marzo 2005, n. 82, e successive modifiche, il c.d. Codice dell'Amministrazione Digitale ("CAD"), le cui disposizioni e relative regole tecniche trovano applicazione nei confronti delle Pubbliche Amministrazioni, dei gestori di servizi pubblici e delle società di controllo pubblico.

Tuttavia, a seguito delle modifiche introdotte all’art. 3 co. 2 del CAD dal Decreto Legislativo 13 dicembre 2017, n. 217, è ora previsto che si applichino anche ai privati le disposizioni del CAD concernenti, tra l'altro, il documento informatico, le firme elettroniche, la riproduzione e conservazione dei documenti informatici nonché il domicilio digitale e le comunicazioni elettroniche.

Un ruolo fondamentale in merito all’attuazione e al rispetto delle norme del CAD è svolto a livello nazionale dall’Agenzia per l'Italia Digitale (“AGID”) - istituita ai sensi dell’art. 14-bis del CAD –deputata, inter alia, all’“emanazione di linee guidacontenenti regole, standard e guide tecniche, nonchédi indirizzo, vigilanza e controllo sull’attuazione e sulrispetto delle norme di cui al CAD, anche attraversol’adozione di atti amministrativi generali, in materiadi agenda digitale, digitalizzazione della pubblicaamministrazione, sicurezza informatica,interoperabilità e cooperazione applicativa trasistemi informatici pubblici e quelli dell’Unioneeuropea”.

Le linee guida di volta in volta adottate dall’AGID, al fine di rendere l'attuazione tecnico-operativa delle disposizioni di legge capace di stare al passo con la continua evoluzione tecnologica, hanno carattere vincolante e assumono valenza erga omnes. Ne deriva che, nella gerarchia delle fonti, le stesse vengono inquadrate quale atto di regolamentazione, seppur di natura tecnica,

pienamente azionabile davanti al giudice amministrativo in caso di violazione delle prescrizioni ivi contenute.

2. Tipologie di firme elettroniche

Ai sensi della normativa richiamata, diverse sono le tipologie di firme elettroniche.

La firma elettronica “standard” è la forma più semplice di identificazione informatica, ed è definita dal Regolamento eIDAS come un insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”.

La firma elettronica avanzata è invece definita come un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico, volti ad assicurare l'identità del firmatario e a garantire la connessione univoca al firmatario e sussiste nel caso siano soddisfatti i requisiti dettati dall’art. 26 del Regolamento eIDAS e dagli artt. 55 – 61 del Dpcm 22 febbraio 2013. Caratteristica di tale tipo di firma è la circostanza per cui i dati sono creati con mezzi sui quali il firmatario può conservare un controllo esclusivo e tali mezzi risultano collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

La firma elettronica qualificata è una tipologia di firma elettronica avanzata, definita dal Regolamento eIDAS (art. 3 co. 1 n. 12) quale firma “creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”, i cui requisiti sono regolati, rispettivamente, dall’Allegato II e dall’Allegato I del Regolamento eIDAS.

In ultimo, la firma digitale, definita dall’art. 1 lett s) del CAD come "un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici", risulta essere una

particolare tipologia di firma elettronica qualificata, basata su una tecnologia che permette di verificare la provenienza e l’integrità del documento informatico.

Solitamente la firma elettronica qualificata e la firma digitale vengono apposte attraverso una procedura informatica, detta di validazione, per mezzo di dispositivi esterni, i c.d. Hardware Security Module (HSM), i quali consentono di conservare la chiave privata e identificare il firmatario che autorizza l’apposizione della firma.

Con riferimento invece alle persone giuridiche, il Regolamento eIDAS ha introdotto e regolato, agli art. 35 e 36, il sigillo elettronico qualificato, il quale corrisponde alla firma elettronica qualificata per le persone fisiche. In altri termini, mentre da una firma è possibile individuare con certezza un soggetto attraverso il suo nome, cognome, codice fiscale ecc., da un sigillo è possibile risalire con certezza ad una persona giuridica attraverso la sua denominazione, partita IVA o codice fiscale, ma non si ha alcun riferimento alla persona fisica che ha materialmente utilizzato le credenziali per generare tale sigillo.

3. Effetti e valore giuridico delle firme elettroniche e del documento informatico

Come è stato individuato dall’”Analisi comparativa delle varie tipologie presenti nella normativa nazionale e comunitaria" (“Analisi Comparativa”), pubblicata nel dicembre 2019 dall’AGID, alle diverse tipologie di firme sono collegati diversi effetti giuridici – e un conseguente diverso valore dei documenti informatici a cui sono apposte.

A questo proposito, tra le altre, la firma elettronica standard garantisce minore certezza giuridica, in quanto, in un eventuale procedimento giudiziale, l’idoneità a soddisfare il requisito della forma scritta del documento a cui è apposta nonché a conferire valore probatorio allo stesso sono liberamente valutabili dal giudice. Tuttavia, anche nel caso di utilizzo di firma elettronica standard, rimane fermo quanto previsto dall’art. 25 co. 1 del Regolamento eIDAS, ai sensi del quale “a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti

giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate”.

I diversi e maggiori effetti giuridici delle firme elettroniche avanzate e di quelle qualificate sono invece riconducibili, in particolare, a:

i. la loro capacità di consentire al documento informatico di soddisfare il requisito della forma scritta nonché la particolare efficacia del documento informatico stesso: l'art. 20, co. 1-bis CAD prevede infatti che "il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 c.c. quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata”. Viene pertanto garantita l’efficacia giuridica di un documento scritto ai sensi dell'art. 2702 c.c., in quanto tali firme sono considerate attendibili circa l'identità del firmatario e la scrittura privata fa piena prova (fino a querela di falso) della provenienza delle dichiarazioni da chi l'ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta;

ii. l’opponibilità a terzi di data e ora di formazione del documento informatico così formato, qualora le stesse siano apposte in conformità alle linee guida adottate dall’AGID e nel rispetto delle previsioni del Dpcm 22 febbraio 2013, disciplinante le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali (ad esempio, attraverso la c.d. marcatura temporale o l’utilizzo di una casella di posta certificata);

iii. il loro valore probatorio e quindi il regime dell’onere della prova, da intendersi quale l’individuazione del soggetto che, in caso di contestazione, deve fornire prove atte a dimostrare la validità o invalidità della firma oggetto di contestazione.

Sotto questo profilo, vi è una differenza tra firma elettronica avanzata e firma elettronica qualificata (e digitale):

con riferimento alla firma elettronica avanzata, il soggetto a cui la firma afferisce può disconoscerla ed è onere della parte che vuole avvalersi degli effetti giuridici di tale firma dimostrare la conformità ai requisiti di legge;

con riferimento alla firma elettronica qualificata, ai sensi dell’art. 21, co. 2 del CAD, “l’utilizzo del dispositivo di firma elettronica qualificata si presume riconducibile al titolare della firma elettronica, salvo che questi ne dia prova contraria”, ed è quindi prevista un’inversione dell’onere della prova (a condizione che il certificato qualificato, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso).

In aggiunta, alla luce della maggior sicurezza che possono garantire in merito a integrità e provenienza del documento, la firma elettronica qualificata e la firma digitale (in quanto particolare tipo di firma elettronica qualificata) producono effetti giuridici più ampi. In particolare:

a) l’art. 25 co. 2 del Regolamento eIDAS stabilisce che "una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa";

b) possono essere ulteriormente utilizzate per l'esecuzione delle categorie di contratti di cui all'art. 1350 c.c. (c.d. contratti con forma scritta ad substantiam), che devono essere stipulati sotto forma di atto pubblico o di scrittura privata, a pena di nullità degli stessi. A tal proposito, l’Analisi Comparativa dell’AGID ha chiarito che gli atti elencati ai punti da 1 a 12 dell’art. 1350 c.c. debbano essere sottoscritti, a pena di nullità, con firma elettronica qualificata o digitale, mentre gli atti di cui al punto 13 del medesimo articolo possono essere sottoscritti anche con firma elettronica avanzata;

c) infine, sempre ai sensi dell’art. 25 co. 3 del Regolamento eIDAS, è previsto un principio di mutuo riconoscimento della firma elettronica qualificata in quanto "basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri".

Occorre, tuttavia, precisare che, la maggior sicurezza in merito a integrità e provenienza del documento garantita dalla firma elettronica qualificata e dalla firma digitale, rende le firme stesse più complesse sotto due diversi profili.

La fase di acquisizione delle firme in questione risulta meno accessibile da un punto di vista pratico, ogni contraente è infatti tenuto ad averne una personale, richiedendola ai soli prestatori di servizi fiduciari qualificati.

Inoltre, l’utilizzo delle stesse è meno immediato, dal momento che oltre al dispositivo per la firma (che sia conforme all’Allegato II del Regolamento eIDAS), è richiesta la memorizzazione di un codice PIN e a volte l’uso dispositivi esterni (i.e. Hardware Security Module - HSM).

Con riferimento ai profili descritti, la firma elettronica avanzata risulta, invece, ampiamente più agevole e, di conseguenza, più diffusa in quanto non necessita di prestatori di servizi fiduciari qualificati e il mercato offre soluzioni diversificate in grado di soddisfare i parametri di sicurezza richiesti e al contempo non soggette a controlli o autorizzazioni da parte dell’AGID.

4. Le recenti Linee Guida SPID dell’AGID: firma elettronica con SPID e valore giuridico

In aggiunta agli strumenti sopra descritti, con determinazione n. 157/2020 del 23 marzo 2020, l’AGID ha pubblicato le “Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD” (“Linee Guida SPID”) con le quali viene riconosciuta la possibilità ai cittadini di sottoscrivere atti e contratti con il Sistema Pubblico di Identità Digitale (“SPID”), regolamentando in tal senso una quinta tipologia di firma elettronica: la

firma elettronica con SPID, a cui è riconosciuto pari valore giuridico della firma autografa.

SPID è una soluzione che permette ai cittadini di accedere ai servizi online della Pubblica Amministrazione e dei soggetti privati aderenti con un'unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone.

Le Linee Guida SPID consentono di utilizzare SPID in conformità all’art. 20 del CAD ai sensi del quale il documento informatico soddisfa il requisito della forma scritta e produce gli effetti di cui all’art. 2702 c.c. “quando […] è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AGID ai sensi dell’art. 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore”.

Le Linee Guida SPID definiscono la procedura di sottoscrizione dei documenti informatici con SPID, divisa in due fasi (fase di predisposizione alla sottoscrizione e fase di prestazione del consenso alla sottoscrizione), disciplinando le modalità con cui i fornitori di servizi online possono permettere agli utenti di sottoscrivere atti e contratti tramite la loro identità digitale.

Occorre, tuttavia, precisare che, come indicato all’art. 11 delle Linee Guida SPID, al fine di poter utilizzare SPID come strumento di sottoscrizione, è necessario che i fornitori dei servizi online aderiscano a SPID, adesione che avviene su base volontaria e che è possibile effettuare dal 4 aprile 2020, data di pubblicazione delle Linee Guida SPID in Gazzetta Ufficiale.

Un’ulteriore precisazione attiene alla Procedura di sottoscrizione ex art. 20 comma 1-bis del CAD, descritta dall’art 3 delle Linee Guida SPID. Infatti, il processo secondo il quale il documento informatico soddisfa il requisito della forma scritta e acquista l'efficacia prevista dall'articolo 2702 c.c. non può essere adoperato utilizzando identità digitali SPID per persona giuridica; al contrario, possono essere utilizzate esclusivamente le identità digitali della persona fisica e le identità digitali per uso professionale (quest’ultime regolamentate dalle “Linee guida per il rilascio dell’identità digitale

per uso professionale”, pubblicate con Determinazione AGID n. 318/2019 e successive modificazioni).

5. Conclusioni

Seppur nella situazione di emergenza epidemiologica l’utilizzo degli strumenti descritti sia potuto inizialmente risultate forzato e “scomodo”, pare evidente che gli stessi possano portare benefici agli operatori economici, in quanto in grado di rendere l’operatività delle società più efficiente e veloce, ma anche più sicura, in termini di identificabilità e reperibilità del firmatario e di certezza quanto a data e firma del documento informatico.

Infatti, alla luce delle diverse tipologie di firme previste, tali strumenti risultano in grado di soddisfare esigenze di varia natura: dalla sottoscrizione di contratti commerciali, nell’ambito dell’operatività ordinaria di una società, alla sottoscrizione di atti di straordinaria amministrazione quali gli atti notarili, in entrambe le forme della scrittura privata autenticata o dell’atto pubblico.

Quanto al primo punto, si rileva che nell’ambito del processo di digitalizzazione, tali strumenti risultano essere sempre più accessibili sul mercato, il quale è in grado di offrire agli operatori economici diverse soluzioni (si pensi ai provider DocuSign e SignNow), fermo restando che è sempre raccomandato affidarsi a provider in grado di fornire idonee garanzie in merito alle tecnologie utilizzate e che le stesse siano in grado di soddisfare i requisiti e le caratteristiche di sicurezza, integrità e immodificabilità tipiche delle diverse tipologie di firma.

Quanto al secondo punto, l’utilizzo degli strumenti risulta particolarmente utile nel caso in cui sia complicato, se non impossibile, garantire la presenza fisica del firmatario davanti al notaio. La firma, infatti, potrà essere apposta attraverso l’utilizzo delle firme elettroniche e ai sensi dell’art. 25 del CAD, "si ha per riconosciuta ai sensi dell'art. 2703 c.c., purché autenticata da un notaio o da un altro pubblico ufficiale a ciò autorizzato".

Ferma restando l’utilità pratica degli stessi, tali strumenti risultano inoltre svolgere un ruolo fondamentale in un processo che volge sempre più in direzione di una maggior dematerializzazione dei documenti e digitalizzazione dei servizi e rispetto al quale l’Italia deve ancora uniformarsi, come rilevato dal rapporto annuale del 2019 stilato dalla Commissione europea per la valutazione dell’indice di digitalizzazione dell’economia e della società (“DESI”) e confermato dalla rilevazione Eurostat 2019 sulla Digital Economy and Society in Europa, la cui elaborazione porterà nei prossimi mesi al calcolo del DESI 2020.

In conclusione, nonostante la complessità e unicità del momento storico che stiamo vivendo, è indubbio che il periodo di lockdown a cui siamo stati sottoposti nonché l’aumento delle attività in smart working abbiano dato una forte spinta alla diffusione e all’utilizzo di tali strumenti.

Referente

Carlo Impalà Responsabile Dip. TMT e Data Protection

Carlo.Impala@MorriRossetti.it

Morri RossettiPiazza Eleonora Duse, 2

20122 MilanoMorriRossetti . it