Cibersicurezza su vasta scala, come la Ue riorganizza la difesa

La nuova politica per la cibersicurezza dell'Unione Europea Attacchi informatici sempre più mirati e su vasta scala hanno spinto l’Ue ha…

Blockchain e Pubblica Amministrazione

Su agendadigitale.eu è stato pubblicato il mio articolo su "Blockchain e PA: i casi d'uso a vantaggio di trasparenza e…

Blockchain, i tre approcci per governarla

Anche su Agendadigitale.eu è stato ripreso l'articolo sull'intervento sulla blockchain tenuto in occasione del ForumPA 2017. Il titolo sintetizza gli approcci…

Intervento a ForumPA2017 sulla governance della blockchain

Vi segnalo il testo del mio intervento sulla governance della blockchain e sulle sue possibili applicazioni nella pubblica amministrazione italiana che…

Spid, per la sicurezza bisogna cambiare il sistema di riconoscimento

In merito alle recenti vicende relative alla presunta falla nel sistema di riconoscimento per il rilascio di un'identità digitale SPID…

«
»

Il valore probatorio del documento informatico, delle firme elettroniche e della posta  elettronica certificata

L’esame del valore probatorio del documento informatico, delle firme elettroniche e della posta elettronica certificata richiede, anche se a brevi cenni, una ricostruzione dell’evoluzione legislativa sul tema.

Il tema del documento informatico, infatti, risale alla c.d. «legge Bassanini “uno”», la L. 15 marzo 1997, n. 59, con cui veniva delegato il Governo ad adottare provvedimenti per la riforma della pubblica amministrazione e la semplificazione amministrativa.

In tale ottica, l’informatizzazione della pubblica amministrazione era considerata un veicolo di semplificazione, e così il legislatore, anche ampliando la portata del provvedimento rispetto ai suoi scopi primari, al co. 2 dell’art. 15 della L. n. 59/1997 stabiliva che: «Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. I criteri e le modalità di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell’art. 17, comma 2, della L. 23 agosto 1988, n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l’acquisizione del parere delle competenti Commissioni».

Tale norma sanciva, per la prima volta nell’ordinamento italiano la validità e rilevanza “a tutti gli effetti di legge” dei documenti informatici, introducendo una nuova tipologia di forma documentale, quella informatica.

Il D.P.R. 10 novembre 1997 n. 513 dava attuazione alla norma ora esaminata individuato nella firma digitale lo strumento tecnologico per conferire ai documenti informatici quelle caratteristiche di integrità, sicurezza, immodificabilità e paternità necessarie a poterli ritenere equivalenti alla forma scritta.

Con il D.P.R. 28 dicembre 2000, n. 445 veniva poi emanato il “Testo unico della documentazione amministrativa”, che abrogava, recependole al proprio interno, le regole dettate dal D.P.R. n. 513/1997.

A soli due anni di distanza, con il D. Lgs. 23 gennaio 2002, n. 10, l’Italia dava attuazione alla Direttiva 1999/93/CE del Parlamento Europeo e del Consiglio “relativa ad un quadro counitario per le firme elettroniche” ed, in accoglimento delle istanze europee, venivano introdotte nell’ordinamento diverse tipologie di “firme elettroniche”, con una gradazione del valore che le stesse potevano conferire ai documenti informatici. In particolare, alla firma elettronica semplice era riconosciuta la possibilità di integrare il requisito della forma scritta, mentre la firma digitale o altra tipologia di firma elettronica avanzata conferivano «piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta» (art. 10 del T.U.D.A. come modificato dal D.Lgs.  n. 10/2002) [1].

Successivamente è stato emanato il D.P.R. 7 aprile 2003, n. 137, il quale inseriva, a sua volta, una tripartizione di tipologie di firma: firma elettronica semplice, firma elettronica avanzata e firma elettronica qualificata.

Dopo un biennio, il Governo, esercitando la delega contenuta nell’art. 10 della L. 29 luglio 2003, n. 229, emanava, con D.Lgs. del 5 marzo 2005, n. 82 il CODICE DELL’AMMINISTRAZIONE DIGITALE (C.A.D.). Nell’originaria impostazione il C.A.D. manteneva inalterate le tipologie di firma, ma modificava sensibilmente il valore del documento informatico sancendo che il requisito della forma scritta poteva ritenersi soddisfatto solamente mediante una firma elettronica qualificata o una firma digitale, e non più, come previsto dal T.U.D.A., da una semplice firma elettronica.

Inoltre, la sottoscrizione con firma elettronica qualificata o firma digitale non conferiva più il valore di piena prova, fino a querela di falso, della provenienza delle dichiarazioni, ma ritornava la previsione, già contenuta nel D.P.R. n. 513/1997, della validità ex art. 2702 c.c. del documento informatico sottoscritto con tali tipologie di firme.

Nel 2006 il C.A.D. subiva ulteriormente delle modifiche. Il D.Lgs. del 4 aprile 2006 n. 159, infatti, apportava alcune integrazioni a carattere definitorio, e modificava gli articoli 20 e 21 del C.A.D. mutando nuovamente il valore del documento informatico a seconda della tipologia di firma elettronica utilizzata per la sottoscrizione.

Così, dopo aver espresso il concetto di libera valutabilità da parte del giudice dell’idoneità di un documento informatico sottoscritto con firma elettronica a soddisfare il requisito della forma scritta, il legislatore stabiliva che «il documento informatico sottoscritto con firma elettronica qualificata o firma digitale, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, si presume riconducibile al titolare del dispositivo di firma ai sensi dell’articolo 21, comma 2, e soddisfa comunque il requisito della forma scritta, anche nei casi previsti, sotto pena di nullità, dall’art. 1350, primo comma, numero da 1 a 12 del codice civile». A sua volta l’art. 21, co. 2, stabiliva che «Il documento informatico, sottoscritto con firma digitale o con altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’art. 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria».

Successivamente, con il D.Lgs. 30 dicembre 2010, n. 235, la disciplina del C.A.D. viene nuovamente modificata. Il decreto reintroduce la figura della firma elettronica avanzata, accanto alle tre tipologie già previste dal C.A.D., e modifica l’art. 21 stabilendo che:

«Il documento informatico  sottoscritto  con  firma  elettronica  avanzata, qualificata o digitale, formato nel rispetto delle regole  tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria. 

Salvo  quanto  previsto  dall’articolo  25,  le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12,  del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica  qualificata o  con firma digitale».

La nuova tipologia di firma elettronica avanzata, quindi ha analoga efficacia probatoria della firma elettronica qualificata o digitale.

La lettura combinata delle nuove introdotte dal D.Lgs. n. 235/2010 faceva desumere che:

  • ai fini della valutazione dell’idoneità del documento informatico a soddisfare il requisito della forma scritta è necessario attenersi alle previsioni di cui all’art. 21 (art. 20, co. 1-bis);
  • l’efficacia di cui all’art. 2702 del codice civile (ossia l’efficacia di scrittura privata) è riconosciuta al documento informatico sottoscritto con firma elettronica avanzata, firma qualificata o firma digitale (nel rispetto delle regole tecniche);
  • l’utilizzo della firma digitale o qualificata è richiesto, a pena di nullità, unicamente per la sottoscrizione delle scritture di cui all’art. 1350 c.c., numeri da 1) a 12). È opportuno sottolineare che la norma non citava il numero 13) dell’art. 1350 c.c., così non richiedendo l’utilizzo della firma qualificata o digitale per «gli altri atti specialmente indicati dalla legge».

In via interpretativa, quindi, veniva riconosciuta alla firma elettronica avanzata la capacità di conferire al documento informatico l’efficacia di cui all’art. 2702 c.c., soddisfando il requisito della forma scritta, in tutte le ipotesi che tale forma sia richiesta dalla legge a pena di nullità, fatto salvo per i contratti di cui all’art. 1350 c.c., numeri da 1) a 12) per cui era necessario l’utilizzo di una firma elettronica qualificata o di una firma digitale.

Da ultimo, la legge 17 dicembre 2012, n. 221 di conversione, con modificazioni, del D.L. 18 ottobre 2012 n. 179 ha ulteriormente modificato l’art. 21, co. 2-bis, del C.A.D., la cui vigente formulazione è la seguente:

«Salvo quanto previsto dall’ articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile , se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale».

Dal breve riassunto delle vicende normative che hanno coinvolto la materia del documento informatico e delle firme elettroniche in Italia si può comprendere che si tratta di un tema in continua evoluzione, ma d’altronde, non potrebbe essere diversamente stante anche la rapida evoluzione tecnologica del settore informatico in questi anni.

Al momento attuale, quindi, per ricostruire la disciplina giuridica del valore del documento informatico in genere, è necessario basarsi sul testo del Codice dell’Amministrazione Digitale come novellato dal recente intervento della L. 17 dicembre 2012, n. 221.

Il principio generale è quello sancito dall’art. 20 del C.A.D., che riprende l’originaria impostazione del secondo comma dell’art. 15 della L. n. 59/1997, sancendo la validità e rilevanza a tutti gli effetti di legge del documento informatico.

Dal punto di vista probatorio il documento informatico riceve un trattamento analogo alle riproduzione meccaniche, in considerazione dell’art. 2712 c.c. che ne sancisce la capacità delle riproduzioni informatiche di formare piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime.

L’idoneità del documento informatico a soddisfare il requisito della forma scritta, ma anche il suo valore probatorio, sono comunque liberamente valutabili dal giudice, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità del documento stesso.

Nel caso di utilizzo di una firma elettronica l’art. 21 del C.A.D. pone una gradazione di valore del documento informatico.

Qualora venga sottoscritto un documento informatico con una firma elettronica [2] il giudice ha facoltà di valutare liberamente il documento sul piano probatorio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Qualora venga utilizzata una firma elettronica avanzata, una firma qualificata o una firma digitale [3] il documento informatico, «formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria».

Dal punto di vista dei requisiti di forma la norma stabilisce quanto già sopra riportato, ossia l’obbligatorietà di sottoscrivere, a pena di nullità, i documenti di cui all’art. 1350, primo comma, c.c. dai numeri 1) a 12), e l’idoneità della sottoscrizione con firma elettronica avanzata, qualificata o digitale a soddisfare il requisito della forma scritta per gli atti di cui all’art. 1350, co. 1, numero 13) del codice civile.

Il commento al valore probatorio delle firme elettroniche non può prescindere da una loro breve descrizione, anche al fine di comprendere meglio lo strumento a cui il legislatore fa il riferimento.

Secondo la norma la firma elettronica avanzata è un’insieme di dati che sono connessi o collegati ad un documento informatico, garantendo l’identificazione del firmatario. Tali dati devono essere univocamente attribuiti al firmatario e creati con strumenti su cui il firmatario ha il controllo esclusivo. Infine, l’apposizione della firma elettronica avanzata deve garantire di rilevare eventuali modifiche dei dati che sono stati firmati con la stessa.

Pertanto, per aversi una firma elettronica avanzata idonea a soddisfare il requisito della forma scritta è necessario soddisfare i seguenti requisiti:

  • presenza di un’insieme di dati in forma elettronica;
  • connessione o allegazione di tali dati a un documento informatico;
  • collegamento di tali dati all’identità di un firmatario;
  • connessione univoca dei dati al firmatario;
  • controllo esclusivo da parte del firmatario degli strumenti di creazione dei dati;
  • collegamento dei dati in forma elettronica con quelli del documento informatico tale da consentire di rilevare se i dati (del documento) siano stati modificati successivamente all’apposizione della firma;
  • identificabilità dell’autore del documento;
  • integrità del documento;
  • immodificabilità del documento.

Il rispetto dei requisiti sopra indicati consente di ritenere conferire l’efficacia di cui all’art. 2702 c.c. ad un documento informatico sottoscritto con firma elettronica avanzata. È da evidenziare che la peculiarità di tale tipologia di firma rispetto alle più note firma elettronica qualificata o digitale, è l’assenza di un certificato elettronico emesso da un ente certificatore, utilizzato al fine di identificare il titolare della firma. I dati di riconoscimento del firmatario, quindi, saranno connessi in altra maniera e potranno essere “incorporati” all’interno del documento informatico stesso.

La firma elettronica avanzata deve rispettare anche i requisiti indicati nelle regole tecniche di cui all’art. 20, co. 3 del C.A.D.. Al momento in cui si scrive, tali regole tecniche non sono state ufficialmente pubblicate nella Gazzetta Ufficiale, ma è disponibile lo schema predisposto dallo Stato Italiano notificato [4], ai sensi della la Direttiva del Parlamento europeo e del Consiglio 98/34/CE del 22 giugno 1998, alla Commissione europea in data 13 febbraio 2012 con notifica n. 2012/103/l.

È, pertanto, a tale schema che si deve fare riferimento, considerato anche che una qualsiasi variazione dello stesso comporterebbe l’attivazione di una nuova procedura di notifica e che l’attuale testo è stato restituito dagli Uffici della UE senza alcuna modifica.

La disciplina della firma elettronica avanzata è contenuta nel titolo V dello schema di regole tecniche (artt. 55 – 61).

L’art. 55, prevede che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. Inoltre, il secondo comma dell’art. 55 precisa che i soggetti che erogano o realizzano soluzioni di firma elettronica avanzata possono essere coloro che svolgono tale attività quale oggetto principale della propria impresa, oppure soggetti che erogano tali soluzioni, anche realizzate dai primi, al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali.

L’art. 56 stabilisce le caratteristiche che devono assicurare le soluzioni di firma elettronica avanzata, ossia:

  1. l’identificazione del firmatario del documento;
  2. la connessione univoca della firma al firmatario;
  3. il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
  4. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
  5. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
  6. l’individuazione del soggetto che ha realizzato la soluzione di firma elettronica avanzata;
  7. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
  8. la connessione univoca della firma al documento sottoscritto.

Si tratta, in sostanza, dei medesimi requisiti già individuati attraverso l’esame delle previsioni del C.A.D., a cui sono stati aggiunti specificamente i punti di cui alle lett. e), f) e g).

Appare importante sottolineare l’espresso riferimento, nella lett. c) dell’articolo appena citato, ai «dati biometrici eventualmente utilizzati per la generazione della firma medesima» riconoscendo in tal modo la norma la possibilità che nell’ambito della categoria della firma elettronica avanzata vi rientrino le c.d. «firme biometriche».

Gli obblighi dei soggetti erogatori di soluzioni di firma elettronica avanzata sono stabiliti all’art. 57, secondo cui essi devono:

a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lett. a) ed ogni altra informazione atta a dimostrare l’ottemperanza ai requisiti richiesti dall’art. 56, garantendone la disponibilità, integrità, leggibilità e autenticità;

c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;

d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;

e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’articolo 56, co. 1;

f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto,

g) pubblicare le caratteristiche di cui alle lett. e) ed f) sul proprio sito internet;

h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all’utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza.

La normativa consente ai soggetti che realizzano le soluzioni di far attestare il grado di conformità della soluzione di firma elettronica avanzata rispetto alle regole tecniche a mezzo di una certificazione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia. Tali soggetti possono anche dare evidenza del grado di conformità alla norma ISO/IEC 27001 del proprio sistema di gestione per la sicurezza delle informazioni a supporto della soluzione di firma elettronica avanzata proposta, richiedendo la certificazione ad una terza parte indipendente autorizzata allo scopo secondo le norme vigenti in materia.

L’art. 60, stabilisce un limite d’uso della firma elettronica avanzata, essendone consentito l’utilizzo limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, co. 2, lett. a), ossia al soggetto che adotta la soluzione al fine di utilizzarla nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali.

Tale ultima previsione implica che l’efficacia di cui all’art. 2702 c.c. e l’idoneità del documento informatico sottoscritto con firma elettronica avanzata a soddisfare il requisito della forma scritta, avranno validità unicamente nei rapporti tra il soggetto che ha adottato la soluzione di firma elettronica avanzata ed i terzi, qualora si tratti di rapporti istituzionali, commerciali o societari. L’utilizzo di una firma elettronica avanzata tra due soggetti privati che non abbiano adottato la soluzione per tali motivi, ad esempio due comuni cittadini, non potrà fornire al documento informatico le caratteristiche di cui all’art. 21 del C.A.D..

In tali casi, quindi, sarà sempre necessario utilizzare una firma qualificata o una firma digitale. Tali tipologie si differenziano dalla firma elettronica avanzata per la presenza di un certificato elettronico, rilasciato da un soggetto certificatore, che attesta l’identità del titolare della firma, e, per la firma digitale, per l’utilizzo di una tecnologia a chiavi asimmetriche.

Sia la firma qualificata sia la firma digitale, inoltre, devono essere realizzate con un dispositivo sicuro per la generazione della firma.

L’art. 21 del C.A.D., come anche modificato dalla legge 17 dicembre 2012, n. 221, stabilisce che: «L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria». [5]

La presunzione fa riferimento alla riconducibilità al titolare dell’utilizzo del dispositivo di firma, e deve essere letta congiuntamente all’obbligo di cui all’art. 32, co.1 del C.A.D., secondo cui Il titolare del certificato di firma «è tenuto ad assicurare la custodia del dispositivo di forma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma».

La presunzione iuris tantum di riconducibilità impone all’autore del documento firmato con firma elettronica qualificata o con firma digitale l’onere di provare le circostanze che valgano ad interrompere il nesso di imputazione normativa con il documento. Egli ha quindi l’onere di dimostrare che il dispositivo sia stato utilizzato da un terzo contro la sua volontà, oltre a dover dimostrare di aver adottato l’opportuna diligenza nella custodia del dispositivo.

Dal punto di vista processuale, quindi, non sarà sufficiente il mero disconoscimento della firma ex art. 214 c.p.c., ma sarà necessario fornire una prova positiva che sia idonea a superare la presunzione posta dal legislatore.

Nel caso in cui venga utilizzata una firma elettronica avanzata, invece, non essendo prevista in tal caso la presunzione iuris tantum di utilizzo dello strumento il firmatario potrà limitarsi a disconoscere la firma apposta sul documento informatico, e sarà onere di chi produce il documento in giudizio di fornire la prova positiva circa l’apposizione della firma.

Tale prova potrà essere costituita sia attraverso gli strumenti tradizionali, così ad esempio, in caso di firma grafometrica, attraverso il processo di verificazione ex art 216 c.p.c., che potrà essere effettuato anche con la redazione di scritture di comparazione, sia mediante strumenti innovativi, qualora la firma elettronica avanzata non si basi su dati biometrici relativi alla scrittura. In tale ultima ipotesi il giudice potrà avvalersi di un consulente tecnico di ufficio che verifiche le evidenze, informatiche e non, idonee a fornire prova dell’apposizione della firma da parte del firmatario.

In ogni caso, il soggetto che vorrà avvalersi del documento sottoscritto con firma elettronica avanzata dovrà essere in grado di documentare compiutamente le procedure adottate per garantire la sicurezza dello strumento, eventualmente anche prevedendo, nelle condizioni che regolano il servizio di firma elettronica avanzata, apposite clausole di assunzione di responsabilità da parte del firmatario circa gli oneri di custodia dei dati di attivazione della firma e di utilizzo della stessa.

Esaurita la disamina sull’efficacia probatoria del documento informatico e delle firme elettroniche, siano consentiti dei brevi cenni sulla validità, dal punto di vista probatorio, della Posta Elettronica Certificata (PEC). Deve innanzitutto chiarirsi che, nonostante alcuni interventi del legislatore che non favoriscono la chiarezza su tale tema, la PEC è individuata dalle norma primariamente quale uno strumento di trasmissione del documento informatico, e non di attribuzione della paternità dello stesso.

Ai sensi dell’art. 48 del C.A.D., infatti, «La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68 , o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA . La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta. La data e l’ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68 , ed alle relative regole tecniche, ovvero conformi al decreto del Presidente del Consiglio dei Ministri di cui al comma 1».

L’utilizzo della PEC consente quindi di trasmettere documenti informatici nei casi in cui sia necessaria la prova dell’avvenuta spedizione e dell’avvenuta consegna del messaggio. L’articolo sopra riportato, infatti, prevede l’opponibilità ai terzi della data ed ora di trasmissione e ricezione del documento informatico trasmesso a mezzo PEC.

La PEC inoltre, è in grado di garantire anche l’esistenza di un determinato documento ad una certa data. Infine, la PEC, qualora venga richiesta la cd. «ricevuta estesa» [6], è in grado anche di fornire prova circa il contenuto di un eventuale documento allegato al messaggio di PEC.

Ciò che la PEC non è idonea a garantire, invece, è la paternità del messaggio che è stato trasmesso, dato che, di regola, non vi sono obblighi di identificazione dei titolari delle caselle. Ciò è confermato dalla previsione dell’art. 65, co. 1, lett. c-bis) del C.A.D., secondo cui le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni ed ai gestori di pubblici servizi sono valide se trasmesse a mezzo posta elettronica certificata, «purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’ articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato».

Solamente nel caso in cui il titolare della casella sia stato identificato al momento del rilascio della stessa, quindi, il messaggio PEC garantirà anche la paternità del documento trasmesso.

Nelle altre ipotesi, ossia quando tale identificazione non vi sia stata, la PEC varrà unicamente a provare la data ed ora di trasmissione e ricezione del messaggio, ma la singola istanza o dichiarazione dovrà essere sottoscritta con firma elettronica qualificata o firma digitale, il cui certificato sia stato rilasciato da un certificatore accreditato, del soggetto che effettua la dichiarazione.

Note

[1] Nel D.P.R. n. 513/1997 e nell’originario T.U.D.A. la firma digitale conferiva al documento informatico l’efficacia di cui all’art. 2702 c.c., e pertanto, la stessa efficacia della scrittura privata il cui disconoscimento è sempre possibile, ai sensi dell’art. 214 c.p.c., senza necessità di avviare in sede processuale il procedimento di querela di falso.

([2]) Per una definizione di firma elettronica vedi C.A.D.

([3]) Per una definizione di firma elettronica avanzata, qualificata e digitale C.A.D.

(4] Consultabile in : <http://ec.europa.eu/enterprise/tris/pisa/app/search/index.cfm?fuseaction=pisa_notif_overview&iYear=2012&inum=103&lang=IT&sNLang=IT>.

[5] È opportuno notare che la versione della norma prima dell’ultima modifica apportata non specificava che il dispositivo di firma era riferito alla firma elettronica avanzata ed alla firma digitale, ponendo la presunzione di utilizzo del dispositivo anche per la firma elettronica avanzata. Si trattava, evidentemente, di una svista del legislatore, dato che la firma elettronica avanzata, secondo anche la definizione contenuta all’art. 1, non deve necessariamente essere apposta mediante un dispositivo sicuro, potendo i dati di creazione della firma essere collegati al firmatario anche secondo tecniche biometriche che prescindono dall’esistenza di un dispositivo.

[6] Le ricevute di consegna ed accettazione dei messaggi riportano, in un unico file, i dati relativi alla data ed ora di ricezione e trasmissione dello stesso, ed, ovviamente, il contenuto del messaggio. La “ricevuta estesa” allega alle ricevute ordinarie anche l’eventuale documento allegato al messaggio di PEC. Tali documenti vengono “imbustati” in un apposito file che è firmato elettronicamente dal gestore di posta elettronica certificata.