Una pronuncia della Suprema Corte offre lo spunto per riflettere sull’attuale impianto probatorio degli strumenti di sottoscrizione ed identificazione online, soprattutto in contesti, come quello bancario, in cui è noto che ai fini della validità della sottoscrizione dei contratti è sempre richiesta la forma scritta.
Infatti, la Corte suprema di Cassazione ha depositato l’ordinanza numero 9413 del 9 aprile 2021 con cui, confermando la decisione assunta dalla Corte d’Appello di Bologna, ha riconosciuto la validità di un contratto bancario (nella specie un covered warrant) stipulato mediante un “point and click” dell’utente nell’area riservata del sistema di home banking messo a disposizione dalla banca.
La pronuncia della Cassazione
La vicenda è relativa all’applicazione della normativa antecedente al Codice dell’amministrazione digitale (d.l.vo n. 82/2005) ed alla disciplina oggi vigente a livello europeo sulla base del Regolamento (UE) n. 910/2014 (eIDAS). Si trattava, infatti, di una vicenda regolata dall’allora vigente art. 10 del TU n. 445/2000 (il Testo Unico della Documentazione Amministrativa) come modificato dal d.l.vo n. 10/2002 di attuazione della direttiva 93/1999/CE.
Firma elettronica avanzata in banca: che cambia col DL Semplificazioni
L’iter normativo delle firme elettroniche
I giudici della Cassazione, ricostruiscono innanzitutto l’iter normativo della disciplina firme elettroniche in Italia. Ricordando la delega inserita nella cd. legge Bassanini in merito alla semplificazione e digitalizzazione dell’attività amministrativa, sottolineano che la firma digitale è stata disciplinata in Italia con il DPR n. 513/1997 (che vale pena ricordare è stata una delle prime normative al mondo, anticipata solo da quella del Massachusetts) il quale riconosceva una sola tipologia di firma elettronica (la cd. firma forte).
La norma è rimasta per così dire “dormiente” fino all’adozione delle regole tecniche nel 1999, anno in cui, però, l’allora Comunità Europea adottata la direttiva 93/1999/CE volta ad introdurre un quadro comunitario per le firme elettroniche. A differenza della disciplina italiana la norma europea in osservanza del principio di “neutralità tecnologica” non individuava un’unica soluzione di firma, così come aveva fatto il nostro legislatore riconoscendo validità alle sole firme basate su tecnologia a chiave asimmetrica, ma introduceva una gradazione di strumenti, lasciando poi ai singoli Stati membri il compito di individuare, in sede di recepimento della direttiva, la diversa valenza probatoria di ognuno di essi.
Così il Testo Unico n. 445/2000, che era stato appena pubblicato, subiva la prima modifica da parte del d.l.vo n. 10/2002 con la modifica dell’art. 10 in cui si prevedeva: a) l’equiparazione del documento informatico alle riproduzioni meccaniche ex art. 2712 c.c.; b) la capacità della firma elettronica (semplice) di soddisfare il requisito della firma scritta, lasciando però al giudice il compito di valutarne la capacità probatoria sulla base delle caratteristiche di qualità e sicurezza; c) l’efficacia fino a querela di falso (poi modificata con il richiamo all’art. 2702) del documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata con un dispositivo sicuro di firma.
Firma elettronica semplice e firma digitale: le differenze
In sostanza, quindi, pur recependo al direttiva europea il nostro legislatore distingueva tra due tipologie: la firma elettronica semplice e la firma digitale (dato che ai tempi non erano ancora presenti sul mercato italiano altre tipologie di firma elettronica avanzata basate su certificati). La firma elettronica “semplice” secondo le definizioni che erano state introdotte dal richiamato d.l.vo n. 10/2002 era considerata come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica“.
In sintesi quindi, secondo quanto stabilito da tale impianto, l’azione di un soggetto autenticato ad un sistema informativo con cui il medesimo esprime una determinata manifestazione di volontà equivale a firma elettronica e, pertanto, in quanto tale idoneo a soddisfare il requisito della forma scritta.
La pronuncia in esame, confermando la decisione della Corte d’appello di Bologna, ha applicato in maniera letterale la normativa, deducendo quindi la piena validità, almeno con riferimento al requisito della forma scritta, del contratto così “stipulato” tramite il “point and click” nell’area riservata dall’utente della banca, in quanto, appunto, tale manifestazione di volontà doveva ritenersi associata al documento previo meccanismo di autenticazione elettronica.
La valenza probatoria del documento
Seppur coerente con le disposizioni normative sarebbe stato interessante analizzare la fattispecie sotto l’ulteriore profilo della valenza probatoria del documento così creato, dato che comunque per tale requisito anche la disciplina previgente richiedeva una valutazione di “qualità e sicurezza” da parte del giudice. Inoltre, a parere di chi scrive forse si sarebbe dovuto tenere in debita considerazione il fatto che anche l’art. 10 del TUDA, come modificato dal d.l.vo n. 10/2002, richiedeva la “sottoscrizione” del documento informatico creato con una firma elettronica “semplice” prevedendo pertanto che la manifestazione di volontà relativa al documento stesso sia riconducibile in maniera evidente al firmatario tramite un segno (o altra evidenza) – capace ad integrare il requisito della “sottoscrizione” – idonea ad associare univocamente il firmatario al documento elettronico.
Le regole attuali
Le ultime considerazioni svolte nel precedente paragrafo offrono l’occasione per esaminare la possibilità di utilizzo di un sistema di firma elettronica “semplice” al fine di poter soddisfare il requisito della forma scritta, richiesto dalla normativa bancaria (TUB) e finanziaria (TUF) ai fini della valida stipulazione dei contratti. Inevitabilmente è necessario partire dal dato normativo contenuto nell’attuale art. 21 del Codice dell’amministrazione digitale, che, per gli atti di cui all’art. 1350, n. 13) del c.c. – ossia per tutti quegli atti in cui la legge richiede la forma scritta – stabilisce la necessità che i medesimi siano sottoscritti a pena di nullità con firma elettronica avanzata, qualificata o digitale ovvero siano formati con le ulteriori modalità di cui all’art. 20, comma 1 bis, primo periodo.
Le parole più significative di tale previsione sono “primo periodo”. Esse, infatti, vincolano gli operatori ad utilizzare una delle tipologie di firma elettronica o processi individuati in tale porzione della disposizione di cui all’art. 20 comma 1 bis, escludendo qualsiasi possibilità di far ricorso a tecnologie differenti la cui idoneità a soddisfare il requisito della forma scritta è rimessa alla libera valutazione del giudice, sulla base delle caratteristiche di sicurezza, integrità ed immodificabilità del documento informatico così creato.
SPID per firmare
Una pronuncia come quella dei giudici della Cassazione esaminata nel presente scritto sarebbe, pertanto, assolutamente non percorribile allo stato attuale della normativa. Una banca che voglia far sottoscrivere i contratti in una fase di onboarding dei clienti deve necessariamente ricorrere ad una firma elettronica qualificata, ad una firma elettronica avanzata o ad una “firma SPID”, quest’ultima delineata con la determinazione n. 157/2020 dell’Agenzia per l’Italia Digitale recante “Regole tecniche per la sottoscrizione dei documenti ai sensi dell’art. 20 del CAD” che contiene la disciplina per poter procedere all’imputazione della paternità di documenti informatici secondo la procedura prevista nell’ultimo capoverso del primo periodo dell’art. 20, comma 1 bis del CAD.
Il procedimento prevede l’utilizzo dello SPID, ossia dell’identità digitale di cui all’art. 64 CAD, al fine di consentire a chi non è in possesso di una firma qualificata di manifestare la volontà̀ di sottoscrivere un documento attribuendosi così la paternità̀ dello stesso. A tale fine è necessario l’intervento di un IdP (ossia di un gestore dell’identità digitale) che ha il compito di autenticare l’utente nonché di assicurare, per così dire, che egli abbia manifestato la volontà di far proprio il documento che gli viene esposto. Al fine di assicurare l’integrità ed immodificabilità di tale documento è poi previsto che al medesimo venga apposto un sigillo informatico (QSeal) – ossia una sorta di firma digitale “intestata” ad una persona giuridica.
Se da una parte il CAD prevede tali restrizioni per conferire il requisito della forma scritta ai documenti informatici dall’altra non bisogna dimenticare che il d.l. semplicazioni 2020 (poi trasfuso nella l. 120/2020) ha cercato di innovare nel processo di rilascio delle firme elettroniche qualificate, consentendo al prestatore di servizi fiduciari di riconoscere l’utente anche attraverso nuovi strumenti quali le credenziali di strong authentication conformi al Regolamento delegato (UE) n. 2018/389 (ossia quelle previste dalla PSD2), l’identificazione tramite SPID o Carta di Identità Elettronica (CIE) o altri sistemi di identificazione notificati alla Commissione UE. A corredo di tali previsioni sono state anche inserite delle semplificazioni in materia di identificazione a distanza ai fini del d.l. n. 231/2007 (antiriclaggio), così da poter ritenere assolti gli obblighi ivi previsti utilizzando i medesimi strumenti sopra esaminati.
L’impatto degli smart contract
In conclusione non possiamo non citare l’ormai famigerato art. 8 ter della l. 12/2019 che, in maniera assai avveduta, aveva anche inserito un’apposita previsione in relazione all’utilizzo di smart contract nell’ambito delle tecnologie a registro distribuito. Il secondo periodo del comma 2, prevedeva infatti che “Gli smart contract soddisfano il requisito della forma scritta previa identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia digitale con linee guida da adottare entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto.“.
La norma si poneva nel solco di quanto qui esaminato, includendo tra le tecnologie utilizzabili al fine di soddisfare il requisito della forma scritta previsto dalla legge, e quindi anche nell’ambito dei contratti bancari e finanziari, gli smart contract purché le parti degli stessi siano state previamente identificate tramite un processo che AgID avrebbe dovuto definire entro 90 giorni dall’entrata in vigore della legge di conversione.
Conclusione
A tutt’oggi il processo non è stato ancora definito da AgID, in quanto le regole tecniche non sono state ancora pubblicate, ma non può escludersi che, utilizzando altri sistemi di identificazione già in essere, quali SPID, CNS o CIE, non si possa arrivare a creare smart contract idonei a soddisfare il requisito, soprattutto tenendo in considerazione il fatto che per caratteristiche di integrità, immodificabilità e sicurezza le firme elettroniche utilizzate nell’ambito delle tecnologie a registro distribuito potrebbero rivestire il carattere di firme elettroniche avanzate, sulla base dei processi che vengono posti in essere ai fini del loro rilascio ed operatività.
