CAPITOLO IV Le firme elettroniche
4.6. Il nuovo regolamento europeo “eIDAS”
Con l’entrata in vigore in data 14 settembre 2016 del Decreto Legislativo, 26 agosto 2016, n. 179/2016, recante «Modifiche ed integrazioni al Codice dell’Amministrazione Digitale, in materia di riorganizzazione delle amministrazioni pubbliche», il CAD ha recepito le disposizioni contenute nel Regolamento (UE) n. 910 del 23 luglio 2014 (2014/910/UE) “eIDAS”161
, entrato in vigore il 17 settembre 2014, e applicato negli Stati membri con effetto dal 1 luglio 2016.
Tra le novità apportate al CAD dall’adozione del Regolamento eIDAS nell’ambito delle firme elettroniche, la più importante riguarda l’art. 21, il quale
160
In questi termini:GABRIELLIE.,LENERR., I contratti del mercato finanziario, cit., p.689.
161
Il Regolamento eIDAS, acronimo di “electronic IDentification Authentication and Signature”, ha l’obiettivo di rafforzare la fiducia nelle transazioni nell’Unione Europea, fornendo una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni ed inoltre ha lo scopo di aumentare la sicurezza e l’efficacia dei servizi elettronici, nonché delle transazioni di e- business e commercio elettronico nell’Unione Europea. Questo regolamento abroga la direttiva1999/93/CE, del Parlamento europeo e del Consiglio del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche
prevede ora che il requisito della forma scritta sia soddisfatto dal documento recante la firma elettronica semplice162, mentre sul piano probatorio, la disciplina rimane invariata e resta ferma la regola del libero apprezzamento del giudice. Con riguardo alle firme elettroniche, nel nuovo CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, che sono ora contenute nel Regolamento “eIDAS”, a cui il CAD fa espresso richiamo all’art.1-bis163
; resta invece la definizione di firma digitale164 e rimane invariata la disciplina riguardante la sottoscrizione dei documenti informatici con firma qualificata, avanzata e digitale.
Per quanto attiene i certificatori, Il Regolamento europeo “eIDAS” modifica le regole introducendo i prestatori dei servizi fiduciari e, per essi, l’attributo di qualificato che sostituisce quello di accreditamento.
Il prestatore di servizi fiduciari è “una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato”.165
In generale il servizio fiduciario è definito come “un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
162
In proposito «permangono margini di incertezza circa la reale portata del requisito della forma scritta e cioè se questa venga richiesta ai fini della validità dell’atto, a fini probatori ovvero ancora a fini informativi, […] A ben vedere, i contratti formali sono già disciplinati nelle norme che richiamano l’art. 1350 c.c., richiedendo la firma digitale, la firma qualificata o la firma elettronica avanzata. Dunque, si ritiene che questa novella si riferisca alla firma semplice a fini informativi».
Vedi: FINOCCHIARO G., Documento informatico e firme elettroniche, cosa cambia nel nuovo CAD disponibile su: http://www.forumpa.it/pa-digitale/finocchiaro-documento-informatico-e-firme- elettroniche-cosa-cambia-nel-nuovo-cad.
163
Il nuovo art 1-bis, CAD recita: «Ai fini del presente Codice, valgono le disposizioni di cui all’art.3 del Regolamento eIDAS».
164
Va precisato che nel nuovo CAD, la firma digitale non è più definita come “una firma elettronica avanzata […]; ma “un particolare tipo di firma qualificata […]”, inoltre secondo i criteri dell’Agenzia per l’Italia Digitale (AgID), la firma digitale conferisce a un qualsiasi documento elettronico le seguenti caratteristiche:
- autenticità: garantisce l’identità del sottoscrittore del documento;
- integrità: assicura che il documento non sia stato modificato dopo la sottoscrizione;
- non ripudio: attribuisce piena validità legale al documento, pertanto il documento non può essere ripudiato dal sottoscrittore. (v. http://www.agid.gov.it/firma-digitale).
165
a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
b) creazione, verifica e convalida di certificati di autenticazione di siti web; o c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi”.166 Il legislatore differenzia i servizi fiduciari in qualificati e non qualificati, in quanto «solo i primi soddisfano i requisiti indicati dal regolamento stesso e che quindi si attestano ad un livello di sicurezza predeterminato: è richiesto un accertamento dei requisiti da parte dell’ente preposto e l’iscrizione in un apposito elenco, analogamente a quanto accadeva per i certificatori qualificati»167.
Nel caso in cui un prestatore di servizi voglia erogare servizi attinenti alla sottoscrizione elettronica, che abbiano effetti giuridici equivalenti a quelli di una firma autografa deve avviare un servizio fiduciario qualificato. Tale qualifica si ottiene trasmettendo una notifica all’apposito organismo governativo nazionale di vigilanza (in Italia è l’AgID) alla quale è allegata una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità. Gli obblighi dei prestatori dei servizi di firma elettronica qualificata non hanno subito rilevanti variazioni168 rispetto a quelli già previsti nei confronti dei certificatori nella normativa previgente.
Riguardo alla responsabilità derivante dallo svolgimento della propria attività è stato abrogato il comma 2,dell’art.30 CAD ed è stato novellato il comma 1 dello stesso articolo che ora, dispone, in capo a questi soggetti, l’obbligo del risarcimento per danno cagionato a terzi, a meno che non provino di avere adottato tutte le misure idonee a evitare lo stesso (laddove la norma previgente
166
Art. 3, n.16, Regolamento eIDAS.
167
FINOCCHIARO G., Una prima lettura del Reg. UE n. 910/2014 (c.d. eIDAS): identificazione on line, firme elettroniche e servizi fiduciari, in Le Nuove Leggi Civili Commentate. 2015, 3, pp. 419-428.
168E’ stato inserito al comma 5, dell’art.32, CAD, la possibilità per il prestatore di servizi di firma
elettronica qualificata la raccolta di dati tramite un terzo, dietro esplicito consenso della persona interessata.
richiamava la prova di aver agito senza colpa o dolo). Infine il Regolamento europeo eIDAS, all’art.13, specifica la responsabilità dei prestatori dei servizi finanziari non qualificati. Nella fattispecie l’onere di dimostrare il dolo o la negligenza di questi ultimi, ricade sulla persona fisica o giuridica che denuncia il danno.