La forte analogia generale tra firma e sigillo elettronico genera una apparente similitudine, che permane dal punto di vista tecnologico ma il profilo funzionale li rende non equivalenti.
Un interessante documento recentemente pubblicato dall’Agenzia per l’Italia Digitale (AgID) – “Firme e Sigilli Elettronici – Analisi comparativa delle varie tipologie presenti nella normativa nazionale e comunitaria” – punta a fornire informazioni sulle diverse fattispecie di firma elettronica e sul sigillo elettronico qualificato.
Quest’ultimo è assente nel nostro ordinamento primario ma è introdotto dal Regolamento (UE) N°910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato, noto come regolamento eIDAS e vista la sua importanza ad esso viene dedicato uno specifico paragrafo.
Le indicazioni fornite nel documento
Particolarmente importanti sono le seguenti indicazioni fornite all’inizio del documento:
“La sottoscrizione elettronica non è semplicemente un’azione, si tratta piuttosto di un processo informatico che permette di associare i dati utili a identificare il sottoscrittore al documento informatico. Il processo di generazione della firma costituisce l’espressione della volontà di sottoscrivere il documento.
Le diverse tipologie di firma elettronica consentono di raggiungere tale obiettivo in modo più o meno certo, fornendo contestualmente effetti giuridici più o meno rilevanti.”
Le tipologie di firma elettronica individuabili in base alla normativa vigente sono cinque. Firma elettronica, firma elettronica avanzata, firma elettronica qualificata, firma digitale e firma elettronica ex articolo 20. Quest’ultima viene definita come:
“una firma elettronica apposta su un documento informatico formato previa identificazione informatica del suo autore attraverso un processo avente i requisiti fissati da AgID, con modalità tali da garantire la sicurezza, l’integrità e l’immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore (cosiddetta “firma con SPID”)”.
Questa fattispecie di sottoscrizione è nella fase finale della consultazione pubblica e quindi ultimati i passaggi istituzionali sarà pubblicata sul sito di AgID e ne verrà dato avviso sullo Gazzetta Ufficiale della Repubblica Italiana.
È utile anche ricordare che la firma digitale rappresenta l’unica possibile realizzazione di firma elettronica qualificata e quindi le due espressioni sono da considerarsi equivalenti.
Le caratteristiche delle diverse tipologie di firma
Il documento AgID descrive le caratteristiche peculiari delle diverse tipologie di firma e i loro effetti giuridici. In termini di diffusione abbiamo ovviamente una prevalenza di sottoscrizioni di maggiore “robustezza” ed efficacia giuridica. La firma elettronica avanzata (per la quale non si hanno dati di utilizzo reale) è ampiamente diffusa tramite la firma grafometrica. Le tavolette e i tablet di sottoscrizione sono presenti nelle banche, assicurazioni, nel mondo finanziario, delle utilities e del soggiorno e altro.
La firma elettronica qualificata è diffusa in modo estremamente elevato con l’80% circa di certificati qualificati installati su apparati per la firma remota (HSM).
I dati completi sono forniti da AgID e i dati aggiornati al giugno 2019 sono disponibili nella tabella pubblicata qui.
Come identificare la corretta tipologia di firma
Nel documento AgID si puntualizza che:
“Il CAD prevede la nullità di specifici atti se non si utilizza una precisa tipologia di firma. In particolare, prevede che gli atti elencati ai punti da 1 a 12 dell’articolo 1350 del Codice Civile debbano essere sottoscritti, a pena di nullità, con firma elettronica qualificata o digitale. Gli atti di cui al punto 13 del citato articolo del Codice Civile possono essere sottoscritti anche con firma elettronica avanzata e con la firma prevista dall’art. 20 del CAD (cfr. par. 3.1.4)”.
Questa precisazione aiuta il potenziale sottoscrittore nell’utilizzo della corretta tipologia di firma e gli evita l’annullamento del documento sottoscritto sia per il non soddisfacimento della forma scritta, sia per non aver prodotto, ove obbligatorio, una forma scritta “ad substantiam” in conformità alle previsioni dell’articolo 1350 del Codice Civile.
Il regolamento eIDAS
Nella tabella statistica sopra citata possiamo rilevare il bassissimo numero rilasciato di certificati qualificati per il sigillo elettronico. Questo fatto dipende essenzialmente dall’assenza nel nostro ordinamento del sigillo elettronico fino all’entrata in vigore del regolamento eIDAS. Quest’ultimo per sua natura giuridica ha introdotto il sigillo elettronico anche nel nostro ordinamento.
Il regolamento eIDAS introduce il sigillo elettronico come l’insieme dei dati in forma elettronica acclusi, o connessi tramite associazione logica, ad altri dati in forma elettronica, per garantirne la provenienza e l’integrità. Il sigillo ha forti analogie con la sottoscrizione informatica (intesa come indicazione sintetica delle varie fattispecie di firme disponibili), infatti il regolamento definisce oltre al sigillo elettronico, il sigillo elettronico avanzato e qualificato.
Sigillo e firma elettronica, le analogie
Solo ad una prima lettura, in seguito all’indubbio vantaggio di una immediatezza comunicativa, il sigillo elettronico può essere considerato la firma della persona giuridica. Nella realtà occorre valutare, in coordinamento con l’ordinamento nazionale, (o a livello europeo con i singoli ordinamenti) quanto il sigillo possa essere firma e con quali limiti. In questo paragrafo ricordiamo che per il sigillo elettronico qualificato il regolamento stabilisce che gode della presunzione di integrità dei dati e di correttezza dell’origine dei dati a cui il sigillo è associato.
L’analisi di queste considerazioni può essere facilitata utilizzando ancora una volta la dottrina della prima metà del secolo scorso (F. Carnelutti, Studi sulla sottoscrizione, 1929) che come già visto in questo documento, individuava le tre principali funzioni della sottoscrizione autografa. Quindi riprendendo e specializzando al sigillo quanto già illustrato nel capitolo introduttivo, riprendiamo le funzioni indicativa, probatoria e dichiarativa.
Relativamente al sigillo elettronico possiamo senz’altro affermare che quest’ultimo svolge la funzione indicativa perché individua e distingue chi genera il sigillo dagli altri soggetti giuridici.
Conclusioni
Prima conclusione che si può trarre è che il sigillo elettronico rappresenta una tecnica di identificazione della persona giuridica.
Il sigillo è altresì adeguato a svolgere funzioni probatorie, perché per quanto stabilito nell’articolo 35 del regolamento, forma prova della provenienza dei dati, del documento informatico o del bene digitale della persona giuridica alla quale il sigillo si riferisce.
La funzione dichiarativa non è esplicitamente richiamata dal regolamento. Ricordiamo che con essa si assume la paternità del documento e, di fatto, si esprime il consenso relativo al documento.
In [4], pag. 258 si specifica che “la funzione dichiarativa è strettamente connessa alla sussistenza della capacità d’agire in capo alla persona giuridica”. E si precisa ulteriormente che “questa è regolata dalle norme di diritto nazionale di ogni Stato membro, mentre il Regolamento, al fine di evitare conflitti normativi, non detta norme in materia di capacità e rappresentanza”.
La seconda conclusione che possiamo trarre è quindi che il sigillo non svolge “di base” la funzione dichiarativa. Peraltro, il regolamento eIDAS stabilisce esplicitamente che è accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica (considerando 58 di eIDAS).
In questo senso la Commissione UE ha chiarito nelle FAQ su eIDAS che il sigillo elettronico:
“can only be issued to and used by legal persons to ensure origin and integrity of data / documents. An electronic seal is therefore NOT an electronic signature of the legal person.
When a legal entity makes use of electronic seals, it is recommended to set up an internal control mechanism ensuring that only the natural persons entitled to act on behalf of the legal entity can make use of the electronic seals (push the button on behalf of the legal entity).
Electronic seals can be also used by information systems, hence being a powerful tool for supporting secured automated transactions; in this case, again, internal control mechanisms to assure that only authorized uses are allowed should be put in place”.
È anche utile ricordare che non è nota a priori la persona fisica che appone il sigillo o addirittura non esiste la persona fisica perché il sigillo è apposto da un sistema informatico.
Il Regolamento determina che la riconducibilità sia fattibile con il considerando 60, nel quale, in riferimento al sigillo elettronico qualificato, si dice che i prestatori di servizi fiduciari che rilasciano certificati qualificati di sigillo elettronico devono attuare le misure necessarie a identificare la persona fisica che c’è “dietro” la persona giuridica.
Per quanto concerne gli utilizzi pratici del sigillo va subito sottolineato che in molti contesti l’utilizzo del sigillo qualificato può essere più valido di una firma. Ma la normativa impone la firma. Passi in avanti sono stati fatti dalle Linee guida di AgID sul documentale (in emanazione) e dalle altre Linee guida sopra citate sulla “firma con SPID”. In tale fattispecie di firma l’utilizzo del sigillo elettronico qualificato è indispensabile.
In conclusione, possiamo dire che l’ottimo documento di AgID poteva dedicare un po’ più di spazio al sigillo elettronico qualificato che è pienamente valido e utilizzabile in Italia e in Europa.
Purtroppo, l’insufficiente supporto istituzionale a nuove tecnologie non garantisce adeguata fiducia agli specifici operatori di mercato e ai potenziali utilizzatori rallentando i fenomeni di innovazione e digitalizzazione.