Il Regolamento eIDAS e le modifiche al CAD ed al PCT

1 Settima Commissione

Commissione per l’organizzazione degli uffici giudiziari

CORSO RID 2017 CORSO DESTINATO A RID e MAGRIF CON FUNZIONI CIVILI

organizzato con la collaborazione del Ministero della Giustizia, DGSIA e con la partecipazione di un componente delle Strutture Territoriali per la Formazione

(Roma, Sala Conferenze del CSM 29 e 30 maggio 2017)

Il Regolamento eIDAS e le modifiche al CAD ed al PCT

di Roberto Arcella¹

Sommario

1. L’eIDAS tra le fonti del diritto dell’informatica ... 2 2. Documento elettronico e documento informatico ... 8 3. Il principio di “non discriminazione” dei documenti nell’eIDAS:

l’opportunità della revisione delle specifiche tecniche del PCT ... 11 4. La necessaria revisione delle regole tecniche come conseguenza

dell’eIDAS ... 14 5. Il nuovo art. 2 C.A.D e l’obbligo di formazione elettronica dei

provvedimenti del Giudice ... 15 6. La PEC ed i servizi di recapito certificato e di recapito certificato

qualificato europei ... 17

1 Avvocato del Foro di Napoli, Componente GdL Fondazione Italiana per l’Innovazione Forense (F.I.I.F)

2 7. La PEC come validazione temporale elettronica: semplice o qualificata? . 19 8. Le firme elettroniche dopo l’eIDAS ... 20 9. I sigilli elettronici ... 24

1. L’eIDAS tra le fonti del diritto dell’informatica

Salvo poche norme già vigenti dal 17 settembre 2014, il Regolamento UE n. 910/2014 (c.d. “eIDAS”) è entrato in vigore il 1° luglio 2016², data a partire dalla quale i suoi effetti giuridici sono simultaneamente, automaticamente e uniformemente vincolanti in tutte le legislazioni nazionali, ai sensi dell’art. 288³ del Trattato sul funzionamento dell'Unione Europea (già art. 249 del Trattato CE ed art. 189 del trattato di Roma del 25/3/1957).

Il considerando n. 2 ne delinea in maniera inequivocabile l’obiettivo di «rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea», e ciò sul presupposto che la direttiva 1999/93/CE in materia di firme elettroniche non forniva «un quadro transfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego»⁴.

Quanto all’Italia, l’esigenza di armonizzazione delle legislazioni nazionali in subiecta materia non poteva restar soddisfatta per effetto della sola entrata in vigore dell’eIDAS, che si è infatti innestato in un quadro di diritto positivo dell’informatica già maturo e che gravita com’è noto, attorno al Codice dell’Amministrazione Digitale (C.A.D.), approvato con D.Lgs. n. 85/2005.

Sotto tale profilo, l’entrata in vigore del Reg. 910/2014 non ha trovato impreparato il Legislatore italiano: all’indomani della sua approvazione, il Parlamento avvertì infatti la necessità di coordinare «la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea e, in particolare, con le nuove disposizioni dettate dal Regolamento (UE) n. 910/2014 (electronic IDentification Authentication and Signature - eIDAS) del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE in modo da garantire ad un tempo maggiore validità ed efficacia ai documenti informatici anche privi di firma

2 Cfr. 52, comma 2, reg. 910/2014

3 «Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri»

4 Cfr. considerando n. 3.

3 elettronica e di rafforzare l'efficacia delle firme elettroniche diverse da quella digitale», delegando all’uopo il Governo, con l'articolo 1 della legge 7 agosto 2015, n. 124, ad intervenire sulla disciplina contenuta nel CAD anche al fine di promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese.

Su tali presupposti, ancorché con lieve ritardo rispetto alla scadenza del 1° luglio 2016, il 26/8/2016⁵ fu emanato il decreto legislativo n. 179 che ha apportato un vistoso lifting al Codice dell’Amministrazione Digitale:

- incidendo sulle definizioni di cui all’art. 1 CAD per renderle compatibili con quelle di cui all’art. 3 eIDAS (art.1);

- estendendo l’applicazione del CAD anche alle società a controllo pubblico, come definite nel decreto legislativo adottato in attuazione dell'articolo 18 della legge n. 124 del 2015 (art. 2);

- affermando, in una prospettiva di “libertà digitale”, il diritto di

“chiunque” all’uso delle tecnologie (art. 3);

- prevedendo la facoltà per i cittadini di indicare un proprio domicilio digitale quale mezzo di comunicazione tra la PA ed il cittadino stesso (art. 4);

- con disposizioni sui pagamenti elettronici in favore della P.A.

(art. 5);

- con la previsione dell’obbligo per le pubbliche amministrazioni di rendere disponibili i propri servizi per via telematica nel rispetto degli standard e livelli di qualità anche in termini di fruibilità, accessibilità, usabilità e tempestività (art. 8);

- con la previsione dell'obbligo di rendere disponibili agli utenti, presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e di interesse turistico, la connettività ad Internet in modalità wifi (art. 9);

- riformulando alcune norme, quali l’art. 21 CAD in materia dì documento informatico sottoscritto con firma elettronica (art. 18), e l’art. 22 in tema di copie informatiche di documenti analogici (art. 19), norme volte a garantire la sussistenza di metodi diversi dal mero confronto visivo per accertare la conformità della copia informatica al corrispondente documento analogico;

- con la previsione, introdotta nell’art. 23-bis del CAD, del contrassegno a stampa (cd. “timbro digitale” o “glifo”) da apporre sulla copia cartacea di un documento informatico e che consente di accedere al documento informatico per verificare la corrispondenza allo stesso della copia analogica (art. 20);

5 In GU Serie Generale n.214 del 13-9-2016 ed in vigore dal 14/9/2016 ai sensi del relativo art. 66.

4 - con la novella dell’art. 23-bis del CAD (art. 21 dlt 179/16), secondo cui copie e gli estratti informatici di documenti informatici possono esser prodotti mediante processi e strumenti che assicurino la corrispondenza alle informazioni del documento informatico di origine non solo attraverso il raffronto dei documenti ma anche attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell'originale e della copia⁶;

- con lo “spostamento” sistematico della norma, ora contenuta nell’art. 24, comma 4-bis, CAD e prima nell’art. 21, comma 3, secondo cui «l'apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate»

(art. 22);

- con norme di coordinamento normativo e sistematico, volte a rendere omogenea la normativa nazionale con quella comunitaria in materia di servizi fiduciari⁷;

- con la modifica dell’art. 64 CAD, nel quale viene dettata una disciplina organica dello SPID (Sistema Pubblico di Identità Digitale),

e con altre disposizioni in materia di istanze e dichiarazioni presentate alla PA, alla carta d’identità elettronica (CIE) e norme tese a valorizzare l’interoperatività dei sistemi, il riuso dei dati delle pubbliche

6 Tale previsione estende quindi in ambito generale ciò che nel processo civile telematico era stato già sancito con l’art. 52 DL 90/2014, che introdusse l’art. 16-bis, comma 9 bis, recante la previsione dell’equivalenza agli originali delle copie estratte da remoto dai registri informatici degli Uffici Giudiziari: al riguardo, si ricorda che tale estrazione di copia non consiste in un semplice download ma in un più complesso sistema tecnico (chiamata SOAP) in grado di identificare il soggetto che interroga il sistema (mediante certificato di autenticazione), restituendo solo all’esito il relativo documento informatico.

7 Si tratta della disciplina relativa ai fornitori dei servizi elettronici relativi a: «(a) la creazione, la verifica e la convalida delle firme elettroniche, dei sigilli elettronici o validazioni temporali elettroniche, dei servizi elettronici di recapito certificato e dei certificati relativi a tali servizi; (b) la creazione, la verifica e la convalida dei certificati per l’autenticazione dei siti web, o (c) la conservazione delle firme elettroniche, sigilli o certificati relativi a tali servizi». In tale ambito l’eIDAS distingue tra servizi qualificati e non qualificati, i primi essendo solo quelli che garantiscono un certo livello di sicurezza e che possono conseguentemente utilizzare il marchio di fiducia UE per presentare in modo chiaro e riconoscibile i servizi da essi prestati.

5 amministrazioni ed a razionalizzare l’SPC, il Sistema Pubblico di Interconnettività.

Il quadro normativo, già frammentario e reso ancor più complesso dall’entrata in vigore della normativa comunitaria, si completa con le regole tecniche (oltre che con le specifiche, vale a dire con la normativa tecnica di dettaglio), sulla cui disciplina primaria (l’art. 71 del CAD) è pure intervenuto il dlt 179/2012, anche come conseguenza del principio di specialità sancito ora dal ricordato art. 2, C.A.D.. La norma oggi prevede che «Con decreto del Ministro delegato per la semplificazione e la pubblica amministrazione, su proposta dell'AgID, di concerto con il Ministro della giustizia e con i Ministri competenti, sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e il Garante per la protezione dei dati personali nelle materie di competenza, sono adottate le regole tecniche per l'attuazione del presente Codice»⁸: nella formazione delle regole tecniche, quindi, è adesso espressamente prevista la partecipazione («…di concerto con…») del Ministro della Giustizia.

Venendo al processo civile telematico, si ricorda che la fonte normativa primaria non è riconducibile direttamente al C.A.D. ma all’art. 4 del D.L. d.l. 193/2009 (convertito con modificazioni nella legge 22 febbraio 2010, n. 24), che attribuì al Ministro della Giustizia (con lo strumento del decreto ministeriale, quindi, e non con quello del dpcm, prescritto dall’art.

71 CAD) il potere regolamentare di individuare le relative regole tecniche.

Queste ultime furono adottate col DM 44/2011 e costituiscono, con le specifiche tecniche emanate ai sensi del relativo art. 34, il vero cuore pulsante del processo civile telematico.

Al riguardo va segnalata la norma contenuta nella seconda parte dell’art. 2 del dlt 179/2016, secondo cui «le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico», norma che sancisce ora a chiare lettere il rapporto di specialità tra le norme sul processo telematico e quelle contenute nella disciplina generale del CAD: rapporto di specialità, peraltro, che era nei fatti stato già affermato implicitamente dal Legislatore allorché, con l'art. 19, comma 1, lettera b decreto-legge 27 giugno 2015, n.

83, convertito con modificazioni dalla L. 6 agosto 2015, n. 132 dispose l'introduzione dell'art. 16-undecies e con esso una disciplina regolamentare

8 La vecchia formulazione dell’art. 71 CAD prevedeva che «Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l'innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281 , ed il Garante per la protezione dei dati personali nelle materie di competenza, previa acquisizione obbligatoria del parere tecnico di DigitPA».

6 in aperta e dichiarata deroga rispetto sia alla norma primaria (art. 22 CAD) che alle regole tecniche generali sui documenti informatici, quanto alle attestazioni di conformità: nell’ambito del pct, infatti, le regole di cui agli artt. 4 e 6 dpcm 13.11.2014 risultano derogate dalla disciplina tecnica di cui all’art. 19-ter del Provv. DGSIA del 16/4/2014, norma introdotta con DM 28/12/2014 ed in vigore dal 9/1/2016.

Proprio in tema di gerarchia delle fonti, preliminarmente alle considerazioni che seguono e relative ai riflessi della normativa comunitaria sull’attuale assetto del processo telematico, qualche parola va spesa, a mio parere, a proposito della collocazione nel relativo ordine delle regole tecniche, non solo con riferimento a quelle dettate per il PCT ma, più in generale, a tutte quelle emanate ai sensi del C.A.D..

Se è vero che, in un quadro di ricostruzione formale di tale ordine, le regole tecniche, in quanto regolamenti, si collocano in posizione subordinata rispetto alla legge primaria, nel diritto dell’informatica questa proposizione non può dirsi sempre vera.

Va infatti, a monte di tutto, considerata la previsione contenuta nell’art. 71, comma 1-ter, del C.A.D., secondo cui «Le regole tecniche di cui al presente codice sono dettate in conformità ai requisiti tecnici di accessibilità di cui all'articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione europea». Ora, la standardizzazione – ovvero quel meccanismo basato sull'applicazione volontaria di criteri tecnici, servizi e processi produttivi, che si fonda sulla ricerca e sulla collaborazione volontaria tra i soggetti interessati, basata su criteri di trasparenza, apertura e consenso – è essa stessa frutto, specie in ambito informatico, di vere e proprie consuetudini che, consolidandosi e perfezionandosi, consentono il raggiungimento di determinati risultati tecnici. Onde renderle note alla comunità, tali consuetudini vengono raccolte in documenti descrittivi di tutte le regole che un dispositivo o un programma devono rispettare, per far sì che applicazioni e strumenti informatici risultino tra loro compatibili (compliant). La consuetudine tecnica è quindi creativa di strumenti tecnici, che devono essere tendenzialmente tra essi interoperativi. Da processi di standardizzazione sono nati, ad esempio, il formato Mime, che è la base tecnica della posta elettronica, così come da processi di standardizzazione sono nate i certificati elettronici e, quindi le firme digitali: un po’ come l’uovo e la gallina, per fare un esempio banale, senza questi standard la posta elettronica certificata non sarebbe mai nata.

In tale quadro, la legge primaria (il CAD o il DL 193/2004) non può essere individuata nella mera fonte da cui scaturisce poi la disciplina tecnica di dettaglio, affidata alle regole ed alle specifiche tecniche. Esiste piuttosto

7 un fenomeno, per così dire circolare, che muove dagli standard tecnici creati de facto e risale alla norma primaria, a sua volta completata dalle regole tecniche le quali, infine, per effetto del richiamo di cui all’art. 71 CAD, si conformano ai predetti standard: l’istituto giuridico, in altri termini, trae origine e presuppone la preesistenza ad esso dalla “fattispecie informatica”, per la cui disciplina tecnica la legge rinvia ai regolamenti tecnici i quali, a loro volta, tornano ad alimentarsi sulle regole dettate dalla standardizzazione.

In quest’ottica, l’art. 71 CAD costituisce quindi una sorta di “riserva della legge” o di “riserva relativa”, nei quali la legge ordinaria prevede che, definiti i principi e le direttive fondamentali a cura del legislatore ordinario, si lasci all’esecutivo la possibilità (o l’onere, diremmo) di emanare i regolamenti di dettaglio. Le norme del CAD sono in sostanza norme “in bianco”, destinate ad essere completate dalle regole tecniche: esattamente come accade con il Regolamento europeo, di per sé non autosufficiente e destinato ad essere completato dalle decisioni di esecuzione di contenuto tecnico. In tale prospettiva, la regola tecnica - che a sua volta rimonta, come detto, agli standard internazionali – costituisce presupposto e, al tempo stesso, modalità applicativa della norma primaria, sicché affermarne una subordinazione tout court nella gerarchia delle fonti appare conclusione decisamente affrettata.

Questa riflessione non è affatto fine a se stessa ma imporrà di riconsiderare il concetto di “scopo” dell’atto del processo, anche ai fini dell’applicazione dell’ormai inflazionato art. 156 del codice di rito, nel quadro delle nuove patologie processuali riferibili a violazioni di regole tecniche: se in un processo cartaceo lo scopo dell’atto era individuato nella mera esigenza di portare a conoscenza della controparte e del giudice il contenuto dello stesso, ciò si verificava perché la formazione degli atti con strumenti tradizionali (lo scritto su carta) implicava di per sé l’utilizzo di strumenti idonei a documentare l’attività processuale dacché una parte di quegli atti restava affidata alla custodia nel fascicolo d’ufficio (cartaceo) ed altra parte alla disponibilità delle parti (fascicoli di parte), i primi da acquisirsi d’ufficio in caso di necessità processuali successive, gli altri rimessi all’onere di deposito ad iniziativa delle parti.

L’archiviazione tradizionale dei provvedimenti cartacei, nonostante i limiti connessi alla dislocazione fisica, all’occupazione di spazi, al pericolo di deterioramento ed alle problematiche relative al reperimento degli atti, inoltre, era ed è ritenuta attività ampiamente collaudata grazie all’applicazione di consolidate regole di archivistica, sicché la formazione

8 dell’atto con inchiostri durevoli e supporto cartaceo idoneo⁹ veniva considerata di per sé capace di svolgere la propria funzione di

“documentare”: creato un atto del processo in formato analogico e depositato lo stesso nel fascicolo d’ufficio, le esigenze di conoscenza del relativo contenuto da parte dei soggetti del processo, così come quella di documentazione dell’atto stesso e dell’attività processuale, funzionale alla garanzia ex art. 111 della Costituzione, erano (teoricamente) soddisfatte.

Non altrettanto può dirsi quanto ai documenti elettronici, la cui formazione e gestione va difatti affidata a ferree regole tecniche in ragione della caratteristica di immaterialità: come ricordato, queste devono garantire “accessibilità” ai contenuti documentali (tendenzialmente sine die) ed essere conformate a standard internazionali: l’inosservanza di tali regole tecniche (realizzata ad esempio attraverso l’utilizzo di un formato documentale non previsto), ancorché consenta oggi la lettura del documento – e quindi di ritenere raggiunto lo scopo della conoscenza del contenuto dell’atto da parte del giudice e della controparte – non assicura anche la durevole capacità di documentare, per la quale solo il rispetto delle regole tecniche sulla formazione e conservazione dei documenti elettronici è idonea garanzia: che, come detto, in quanto funzionale alla documentazione dell’attività del processo e pertanto al controllo sull’osservanza del precetto ex art. 111 Cost., è anch’essa scopo della norma processuale¹⁰.

2. Documento elettronico e documento informatico

La novità apparentemente più rilevante nel corpo dell’eIDAS è costituita dalla definizione di documento elettronico.

La legge nazionale contiene, all’art. 1, lettera p) del d.lgs 82/2005, la definizione di documento informatico come «rappresentazione informatica di

9 Si pensi alla regola tecnica dell’utilizzo di particolari inchiostri ai sensi dell’art.53 della Legge Notarile o dall’art. 7 TUDA secondo il quale “i decreti, gli atti ricevuti dai notai, tutti gli altri atti pubblici, e le certificazioni sono redatti, anche promiscuamente, con qualunque mezzo idoneo atto a garantire la conservazione nel tempo”.

10 E’ questa la ragione per la quale mi sentirei di dissentire da Corte di Cassazione a Sezioni Unite, n. 7665/2016 del 18/4/2016 secondo cui, con riferimento ad una notifica eseguita ai sensi dell’art. 3-bis L. 53/94 mediante allegazione di un documento in formato “doc”

anziché pdf, «il principio, sancito in via generale dall'articolo 156 del codice di rito, secondo cui la nullità non può essere mai pronunciata se l'atto ha raggiunto lo scopo a cui è destinato, vale anche per le notificazioni, anche in relazione alle quali - pertanto - la nullità non può essere dichiarata tutte le volte che l'atto, malgrado l'irritualità della notificazione, sia venuto a conoscenza del destinatario»: si ricorda infatti che il “doc” è un formato

“proprietario” di Microsoft, non costituisce uno standard internazionale ed il relativo utilizzo non è previsto, in materia di notifiche telematiche, dall’art. 18 DM 44/2011 che prescrive difatti l’utilizzo del pdf.

9 atti, fatti o dati giuridicamente rilevanti». Come ognuno può riscontrare, tale definizione conserva l’apparato genetico di quella autorevolmente formulata da Carnelutti secondo cui il documento «è una cosa rappresentativa di un fatto giuridicamente rilevante» od anche «qualsiasi oggetto, cosa idonea a far conoscere un fatto, diversa dal testimone, che è una persona, e non una cosa che rappresenta»¹¹.

All’aver attinto a piene mani dalla c.d. teoria della rappresentazione consegue che l’intero assetto normativo nazionale e quello tecnico regolamentare, connessi all’istituto del documento informatico, siano ispirati dall’esigenza di garantire in ogni condizione e di mantenere inalterata nel tempo questa capacità rappresentativa: il comune denominatore delle norme, primarie e regolamentari che governano l’ormai non più giovane istituto del documento informatico è costituito dall’esigenza di tendere non solo verso caratteristiche di qualità, sicurezza, integrità e immodificabilità nel tempo, ma anche di rispondenza a standard, in guisa tale da consentire all’utente di poter agevolmente risalire allo strumento tecnico per la traduzione dei file informatici in qualcosa che sia suscettibile di percezione con i sensi umani e di poter compiere tale operazione senza eventuali ostacoli derivanti da deficit soggettivi: ed è così che le regole tecniche dettate per il documento informatico (ma in generale per qualunque istituto di tale branca del diritto) devono non solo rispondere alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione Europea ed essere conformi ai requisiti di accessibilità di cui ai decreti¹² emanati ai sensi della c.d. “Legge Stanca”, ma si integrano e si completano inevitabilmente con quelle sulla conservazione e con quelle sulle firme elettroniche e, in campo nazionale, con le regole tecniche sulla tutta italica posta elettronica certificata.

L’eIDAS definisce invece, all’art. 3, n.ro 35, non il documento

«informatico» ma il «documento elettronico» che consiste in «qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva». Tale definizione, di primo acchito rivoluzionaria rispetto a quella contenuta nel C.A.D., a mio modo di vedere non sconvolge granché, in essa privilegiandosi semplicemente l’idea della formazione e della

11 F. CARNELUTTI, Documento – Teoria moderna, in Nov. Digesto Italiano, VI, Torino, 1957, pag. 85 e segg.

12 Il DM 8/7/2005, emanato ai sensi della Legge 4/1/2004 n. 4, definisce l’accessibilità come capacità dei sistemi informatici, nelle forme e nei limiti consentiti dalle conoscenze tecnologiche, di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.

10 memorizzazione in forma elettronica rispetto alla funzione rappresentativa, che costituisce invece il cuore della definizione nostrana.

Che però la capacità rappresentativa non sia affatto estranea alla definizione comunitaria emerge dal riferimento al “contenuto” del documento, il quale non può essere altro se non l’oggetto della rappresentazione documentale (che costituisce, come detto, il cuore della definizione nostrana): vale a dire che nella definizione legislativa nazionale è privilegiata la funzione rappresentativa del documento ed in quella europea la “forma” elettronica.

Le due definizioni delineano quindi due facce della stessa medaglia.

Tuttavia, taluni si sono soffermati su un ulteriore (apparente) elemento di diversificazione: il regolamento eIDAS contiene infatti nella propria definizione il termine conservato, che è quello che, sulle prime, ha destato per i giuristi italiani maggiori perplessità. I primi commentatori avevano difatti ipotizzato un riferimento all’istituto della conservazione documentale di cui all’art. 43 del CAD, facendo discendere dalla definizione eIDAS un generalizzato obbligo di conservazione di tutti i documenti ed a carico della totalità dei consociati: si ipotizzava che un documento potesse esser definito tale, all’indomani dell’entrata in vigore del regolamento eIDAS, solo se conservato: ovviamente, ai sensi della rigida normativa regolamentare di cui al dpcm 3.11.2013.

Una simile interpretazione appare anzitutto fuor d’ogni logica, contrastando col buon senso e persino con la ratio legis connessa all’istituto della conservazione, la quale costituisce allo stato un obbligo generalizzato solo per le pubbliche amministrazioni mentre, quanto ai privati, esso è legato ora a specifiche previsioni normative (la conservazione delle fatture elettroniche, ad esempio), ora a doveri connessi alla diligenza professionale ex art. 1176 c.c.. Un’interpretazione di tal fatta avrebbe creato, senza ragione alcuna, una categoria-limbo di documenti, inidonei a svolgere qualsivoglia ruolo nel contesto giuridico europeo per il solo fatto di non esser stati sottoposti a conservazione.

Sennonché, un’attenta disamina del testo originale del regolamento, redatto in lingua inglese, ha ridimensionato tale tesi: ‘electronic document’

means any content stored in electronic form, in particular text or sound, visual or audiovisual recording. Avendo riguardo al comune utilizzo del verbo to store ed alle indicazioni dei vocabolari Inglese-Italiano più diffusi, non è difficile accorgersi che la traduzione del participio passato di detto verbo in

11 conservato non rende il senso voluto, sussistendo traduzioni alternative più adatte al caso, quali “memorizzato” o “salvato” o “immagazzinato”¹³.

In altri termini, ritenere che col termine stored il regolamento 910/2014 abbia voluto richiamare l’istituto della conservazione appare molto più che una forzatura. Pare piuttosto più corretto riferirsi alla mera memorizzazione su supporto informatico: in tale ottica, come già detto, nella definizione eIDAS vengono accentuati semplicemente gli aspetti relativi alla formazione e al salvataggio in forma elettronica di file aventi un contenuto testuale, visuale o audiovisivo¹⁴.

3. Il principio di “non discriminazione” dei documenti nell’eIDAS: l’opportunità della revisione delle specifiche tecniche del PCT

Le resistenze, per così dire anche psicologiche, verso i processi di digitalizzazione e la diffidenza culturale nei confronti del documento informatico in relazione alla sua capacità di costituire prova nei procedimenti giudiziari deve aver influenzato il legislatore europeo allorquando ha formulato il principio di non discriminazione sancito dal Regolamento 910/2014 e, in particolare quello di cui all’art. 46, secondo il quale « A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica»: principio questo ribadito in termini sovrapponibili, da altre norme con riferimento alle firme elettroniche (art. 25), ai sigilli elettronici (art. 35) ed alla validazione temporale (art. 41) ¹⁵.

Tale affermazione di principio vale anzitutto a soffocare nel nascere qualsivoglia discussione in ordine alla validità dei documenti informatici nei rapporti giuridici e ad un inesistente principio di prevalenza della prova documentale analogica su quella informatica: affermazioni ante litteram di

13 Si veda al riguardo V.CAROLLO, “Arriva eIDAS, cambiamo la nostra definizione di documento elettronico”, in http://www.forumpa.it/pa-digitale/arriva-eidas-cambiamo-la-nostra- definizione-di-documento-elettronico

14 Persino nella definizione europea la traduzione dei contenuti informatici in qualcosa di percepibile dai sensi umani è limitata ai sensi della vista e dell’udito ed alle relative capacità cognitive collegate: tuttavia, insigni giuristi hanno prefigurato la possibilità di tradurre in bit gli odori e le sensazioni tattili, con la consequenziale apertura verso nuovi scenari del diritto dell’informatica (cfr. L'informatica per il giurista. Dal Bit a internet, 2009, RENATO BORRUSO,STEFANO RUSSO,CARLO TIBERI, 29)

15 Proprio in relazione all’art. 41, si segnala un difetto nella traduzione ufficiale in italiano (sito eur-lex.europa.eu), analogo a quello segnalato a proposito della traduzione del verbo

“to store” nell’art. 3 n. 35: nel corpo dell’art. 41, “electronic time stamp” (letteralmente: marca temporale elettronica) viene tradotto come “validazione temporanea elettronica” anziché

“validazione temporale elettronica”.

12 tale principio sono costituite dalle norme già contenute nel nostro decreto legislativo n. 82/2005, ed in particolare nell’art. 20, comma 2-bis, secondo il quale «L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità»:

vale a dire che, nella valutazione delle prove ex art. 116 c.p.c., il libero apprezzamento del Giudice deve sì muovere dalla verifica delle caratteristiche di qualità, sicurezza, integrità ed immodificabilità del documento probatorio, ma una volta che il Giudice le abbia accertate sussistenti (o sussistenti in relazione al caso specifico esaminato), dovrà tenerne conto alla guisa di qualsivoglia altro documento analogico.

E così pure l’art. 21, comma 1, CAD, con riferimento ai documenti informatici muniti di firma elettronica, secondo il quale «Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità».

Se differenza si vuol cogliere tra i principi che sorreggono il CAD e quelli che hanno ispirato il regolamento europeo in subiecta materia, questa va certamente ravvisata nel forte legame che avvince la norma nazionale alla tradizione giuridica, che lega in maniera forse eccessiva, anche nelle succitate norme, il concetto di documento alla forma scritta, laddove l’eIDAS si riferisce più propriamente alle “transazioni” elettroniche la cui essenza non sempre può essere ricondotta alla forma scritta tradizionale.

A ben vedere, però, una formulazione così ampia, qual è quella adottata nell’art. 46 del Regolamento 910/14 e degli altri connessi principi di non discriminazione, rischiava di creare nel diritto dell’informatica un anticorpo in grado di mettere in crisi la normativa nazionale con essi in conflitto (si pensi ai requisiti di forma, ad esempio, previsti dall’art. 21, comma 2 bis CAD, in relazione alla forma ad substantiam ex art. 1350 c.c.) e di fagocitare l’intero sistema del diritto dell’informatica, fondato com’è inevitabilmente su regole e specifiche tecniche: alle quali, per quanto dettate sotto forma di norma di rango subordinato rispetto alla Legge od alla norma europea, ne costituiscono indispensabile ed indissolubile estensione.

Sotto il primo profilo, a presidio dell’autonomia dei sistemi nazionali, sta l’art. 2, comma 3, eIDAS, secondo il quale il regolamento stesso «non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma»

Quanto alle regole tecniche, il discorso diviene più complesso, dacché trattasi, come detto, di norme formalmente di rango subordinato.

Come pure detto in precedenza, se si riflette sul contenuto dell’art. 71 del C.A.D., secondo il quale i dettami tecnici di dettaglio che devono rispondere

13 agli standard internazionali oltre che ai requisiti di accessibilità, ci si convincerà che al rango normativo formalmente inferiore delle norme ivi previste fa da contraltare il fatto che, ipotizzando per assurdo l’assenza di qualsivoglia regola tecnica che disciplini, ad esempio, i formati, ci si troverebbe di fronte a file informatici che, in quanto non riconducibili a uno specifico software per la relativa “lettura”, non sarebbero interpretabili nel relativo contenuto, a detrimento della certezza della documentazione dei rapporti giuridici: eppure essi conserverebbero quell’efficacia giuridica ed il valore probatorio che l’art. 46 eIDAS riserva loro!

In tale quadro, le regole ex art. 71 non sempre si caratterizzano per un contenuto puramente tecnico informatico, essendo molte volte dettate dalla necessità (spuria rispetto alla regola informatica) di interpretare od integrare il principio generale dettato dalla norma primaria¹⁶. In altri casi, la norma tecnica è, per così dire, “pura”, vale a dire che essa disciplina, in pedissequa osservanza dei canoni di cui all’art. 71 CAD, i profili strettamente di carattere informatico e di conformità del mezzo informatico alle regole dettate dagli standard internazionali e di accessibility compliance.

Per queste ultime, allora non ha più senso parlare di prevalenza della norma di rango primario sulla regola tecnica, od invocare impropriamente il principio di cui all’art. 156 c.p.c. senza prima cogliere quale sia, alla luce della rivoluzione digitale, lo scopo della norma tecnica che si voglia di fatto disapplicare.

Alla luce di tali considerazioni, la portata apparentemente rivoluzionaria del principio di non discriminazione va a mio parere limitata ai soli profili probatori del documento che eventualmente non risponda alle regole tecniche dettate in un determinato contesto: al di là dell’opportunità di rivedere le specifiche tecniche onde consentire il deposito in modalità telematica di altri formati documentali, allo stato, se il documento informatico sarà stato offerto al Giudice, ad esempio, mediante deposito di supporto informatico fisico, quale un CD, DVD o altro, o se comunque il documento sia “passato” indenne dai controlli automatici e risulti accessibile al Giudice ed alle altre parti, la decisione di merito non potrà

16 Di tali esempi è infarcito il dpcm 40/2016, recante le regole tecnico-operative per l'attuazione del processo amministrativo telematico: si pensi all’art. 7, comma 4 («Il deposito dei provvedimenti con modalità informatiche sostituisce, ad ogni effetto, il deposito con modalità cartacee»), all’art. 13, comma 7 («Qualora non sia possibile procedere alla comunicazione telematica per cause imputabili al malfunzionamento del SIGA, il Segretario della sezione procede ad effettuare la comunicazione a mezzo fax e, nel caso di ulteriore impossibilità, procede secondo le modalità descritte nell'articolo 45 delle disposizioni di attuazione del codice di procedura civile»).

Quanto, invece, alle regole tecniche dettate per il PCT, regola tecnica impropriamente detta è (recte: era) l’art. 13, comma 3 («Quando la ricevuta è rilasciata dopo le ore 14 il deposito si considera effettuato il giorno feriale immediatamente successivo»), norma implicitamente abrogata peraltro dall’art. 51, comma 2, del DL 90/2014.

14 prescinderne, all’ovvia condizione di ammissibilità e rilevanza secondo le ordinarie regole processuali e fatto salvo il potere dovere di valutazione ex art. 116 c.p.c. anche in relazione all’art. 20, comma 1-bis del CAD.

Conclusivamente, la revisione delle specifiche tecniche del PCT, specie con riferimento ai formati ammessi per i documenti ai sensi dell’art.

13¹⁷ Provv. DGSIA del 16/4/2014, alla luce dell’art. 46 eIDAS, appare quindi quantomeno opportuna.

4. La necessaria revisione delle regole tecniche come conseguenza dell’eIDAS

Ulteriore riflesso dell’entrata in vigore dell’eIDAS riguarda la necessità di metter mano ad una revisione delle regole tecniche generali, e segnatamente a quelle sui documenti informatici.

Queste ultime sono state approvate con il dpcm 13.11.2014, entrato in vigore l’11 febbraio 2015, ma sono dichiaratamente¹⁸ destinate ad una revisione che dovrebbe intervenire di qui a breve. Va infatti ricordato che esso conteneva la previsione, all’art. 17, comma 2, del termine di diciotto mesi a far data dalla sua entrata in vigore per consentire alle pubbliche amministrazioni di adeguare la propria organizzazione ed i propri sistemi di gestione informatica allo stringente precetto di cui all’art. 40: tale termine quindi scadeva l’11 Agosto 2016.

Sennonché, con l’art. 61¹⁹ d.lgs. n. 179 del 29/8/2016, è stato previsto che il termine anzidetto, già scaduto diciotto giorni prima, fosse “sospeso”

sino all’entrata in vigore delle nuove regole tecniche sui documenti, o meglio del provvedimento che dovrebbe adattare le regole tecniche già in vigore (e che restano in vigore sino all’emanazione del nuovo dpcm) alle

17 Si ricorda che, allo stato, i formati documentali ammessi sono a) .pdf, b) .rtf, c) .txt, d) .jpg, e) .gif, f) .tiff, g) .xml, h) .eml, purché contenenti file nei formati di cui alle lettere precedenti. i) .msg, purché contenenti file nei formati di cui alle lettere da a ad h nonché l’utilizzo dei formati compressi .zip, .rar e .arj, purché contenenti file nei formati anzidetti.

18 Cfr art. 61 Dlt 179/2016.

19 Con decreto del Ministro delegato per la semplificazione e la pubblica amministrazione da adottare entro quattro mesi dalla data di entrata in vigore del presente decreto sono aggiornate e coordinate le regole tecniche previste dall'articolo 71 del decreto legislativo 7 marzo 2005, n. 82. Le regole tecniche vigenti nelle materie del Codice dell'amministrazione digitale restano efficaci fino all'adozione del decreto di cui al primo periodo. Fino all'adozione del suddetto decreto ministeriale, l'obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all'articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, e' sospeso, salva la facolta' per le amministrazioni medesime di adeguarsi anteriormente. Fino all'adozione del decreto del Presidente del Consiglio dei ministri di cui all'articolo 29, comma 3, del decreto legislativo n. 82 del 2005, come modificato dall'articolo 25 del presente decreto, restano efficaci le disposizioni dell'articolo 29, comma 3, dello stesso decreto nella formulazione previgente all'entrata in vigore del presente decreto.

15 modifiche introdotte al C.A.D. con lo stesso D.lgs. 179/16 ed alle nuove previsioni contenute nell’eIDAS: nelle more, però, le regole di cui al dpcm 13.11.2014 resteranno in vigore sino all’emanazione del nuovo provvedimento.

Come si vedrà nel prosieguo, però, la revisione delle regole tecniche dovrà essere necessariamente più ampia che non limitata a quelle sui documenti: si pensi all’istituto dei sigilli elettronici, che paiono definizione esattamente attagliata alle “firme” dei gestori della posta elettronica certificata e che sono soggetti a specifiche tecniche più rigorose rispetto a quelle adoperate per le attuali firme apposte ai messaggi ed alle ricevute p.e.c..

Cresce peraltro la consapevolezza della complementarietà della disciplina delle regole tecniche adottate per i vari istituti del diritto dell’informatica: per tale motivo, appare ragionevole prevedere che la revisione delle regole prefigurata dall’art. 61 del Dlt 179/2016 dovrà riguardare in qualche modo, fosse anche per un mero riordino sistematico, anche quelle sulla conservazione e sulle firme, disciplinando organicamente l’intero “ciclo di vita” dei documenti.

5. Il nuovo art. 2 C.A.D e l’obbligo di formazione elettronica dei provvedimenti del Giudice

Come accennato, la miniriforma del CAD di agosto 2016 ha visto l’introduzione di una norma – l’art. 2, comma 6 – che ha affermato la specialità dell’impianto normativo del PCT rispetto al CAD, statuendo che le norme di quest’ultimo sono applicabili anche al processo civile, penale, amministrativo, contabile e tributario «in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico».

Tale norma, ulteriormente delineando l’ambito applicativo oggettivo del CAD, costituisce del resto corollario del precedente comma 2, che tratteggia invece il quadro dei soggetti destinatari del codice prevedendo che le disposizioni in esso contenute «si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165²⁰» e, quindi, anche all’amministrazione della Giustizia.

20 «Per amministrazioni pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti i del Servizio sanitario nazionale, l'Agenzia per la

16 Tra le norme del C.A.D. quella che forse riveste portata maggiormente innovativa è l’art. 40 del C.A.D. secondo cui «Le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui all'articolo 71».

La norma in parola avrebbe dovuto avere piena applicazione a partire dall’11 Agosto 2016, ovvero dalla scadenza del termine di diciotto mesi previsto dall’art. 17 del dpcm 13.11.2014 per l’adeguamento dei sistemi di gestione documentale informatica delle pubbliche amministrazioni.

Tuttavia, come osservato nel paragrafo che precede, l’efficacia di tale norma è stata indirettamente sospesa dall’art. 61 del dlt 179/2012, che aveva fissato un termine di quattro mesi (scaduto invano il 14 gennaio 2017) per l’aggiornamento e l’adeguamento delle regole tecniche, stabilendo altresì che fino all’emanazione dell’aggiornamento delle regole sui documenti restasse sospeso il connesso obbligo delle pubbliche amministrazioni di provvedere all’adeguamento delle proprie infrastrutture informatiche.

Ciò significa che una volta approvate le nuove regole tecniche sui documenti informatici, cesserà la causa di sospensione prevista dall’art. 61 del dlt 179/2016 ed anche per i provvedimenti dei Giudici, così come per tutti gli atti e provvedimenti della P.A., scatterà l’obbligo di formazione digitale dei documenti.

Né si dica che esiste una norma del pct che dispone diversamente, e men che meno si dica che tale norma è quella di cui all’art. 16 DM 44/2011, la quale prevede che il provvedimento del magistrato possa essere in formato cartaceo e che in tali casi, il «cancelliere o il segretario dell’ufficio giudiziario ne estrae copia per immagine in formato PDF». Richiamando la distinzione sopra operata tra norme tecniche pure e norme tecniche spurie, pare evidente che essa rientri nella seconda categoria e che, quindi, risulti anzitutto gerarchicamente subordinata al CAD, che è norma primaria avente forza di legge. Alla formulazione dell’art. 16, inoltre, non pare potersi attribuire carattere derogatorio rispetto alla disciplina generale del CAD, prevedendo esso soltanto una modalità di acquisizione documentale nella prospettiva della conservazione sostitutiva dei provvedimenti già resi in formato cartaceo, vale a dire una modalità attuativa del precetto di cui all’art. 22, comma 5, C.A.D.²¹.

rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300. Fino alla revisione organica della disciplina di settore, le disposizioni di cui al presente decreto continuano ad applicarsi anche al CONI»

21 «Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l'obbligo della conservazione dell'originale analogico oppure, in caso di conservazione sostitutiva, la loro conformità all'originale deve essere autenticata da un notaio o da

17 Così come non è possibile trarre argomento contrario a tale interpretazione dall’art. 16-bis, comma 4, DL 179/2012, norma che prescrive – unica nel suo dettato – l’obbligo di deposito telematico dei provvedimenti (oltre che degli atti di parte e dei documenti) nei procedimenti monitori: tale norma infatti fu emanata in un momento in cui l’art. 40 C.A.D. non era in vigore e non poteva avere nell’immediato alcuna efficacia precettiva proprio per la mancanza delle regole tecniche ex art. 71 cui esso rinvia.

All’esito delle vicende scaturite dall’art. 61, comma 1, dlt 179/2012, è da ritenere che il comma 4 dell’art. 16-bis sarà semplicemente superato in parte qua dall’entrata dell’obbligo generalizzato di formazione elettronica dei provvedimenti previsto dall’art..40 dlt 82/2005.

A seconda delle opinioni e dei punti di vista, questa può essere considerata una buona o una cattiva notizia: allo stato è un’interpretazione sulla cui fondatezza nessuno ha ancora mosso rilievi.

6. La PEC ed i servizi di recapito certificato e di recapito certificato qualificato europei

L’art 1 Dlt 179/2016 ha introdotto l’art. 1, comma 1-ter, del CAD secondo il quale «ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato»: ciò significa che è sancita una sostanziale equivalenza tra la nostra posta certificata ed il servizio di recapito certificato previsto dall’eIDAS.

Il Regolamento europeo, tuttavia, prevede due distinti istituti:

a) il servizio di recapito certificato (art. 3, n.- 36) e b) il recapito certificato qualificato (art. 44).

Il primo viene definito come «servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate».

Il secondo si distingue dal primo dacché in esso il servizio è reso da un prestatore di servizi fiduciari qualificati, perché garantisce con un elevato livello di sicurezza l’identificazione del mittente e l’identificazione del destinatario prima della trasmissione dei dati mentre l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato.

altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico».

18 Dall’esame congiunto di tali norme appare evidente che il Legislatore ha livellato il profilo della nostra posta certificata a quello minore corrispondente al servizio certificato non qualificato: e se si ha riguardo agli aspetti tecnici della posta certificata, fermi alle regole tecniche del novembre 2005, la risposta è piuttosto agevole: l’art. 3 del DM 2/11/2005, recante le regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata previste dall’articolo 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, richiama, quale standard per la struttura dei messaggi di posta certificata l’ “RFC 2633 (S/MIME Version 3 Message Specification)” (standard risalente a giugno 1999) il quale, a sua volta, prescrive quale algoritmo di cifratura per la firma della busta di trasporto e del messaggio lo SHA-1, che non è più rispondente alla normativa europea sin dal 30/6/2011, secondo quanto disposto dalla Determinazione Commissariale N. 69/2010 che modificò la Deliberazione CNIPA n. 45/2009.

Le regole sulla posta certificata non sono state aggiornate allo standard più recente per la struttura s/mime (l’RFC 5751) che prescrive quale algoritmo di cifratura lo SHA-2, coerentemente a quanto previsto per tutte le firme elettroniche qualificate: sotto tale profilo, pertanto, la P.E.C.

italiana non risponde ai requisiti ex art. 44 eIDAS e ciò spiega, come detto, la scelta “al ribasso” del nostro legislatore.

Se tale opzione risolve in qualche modo e nell’immediato ogni problema di compliance alla normativa comunitaria, il rovescio della medaglia è che la disposta equazione di cui all’art. 1-ter del C.A.D. potrebbe aprire scenari problematici in termini di compatibilità con altri servizi di recapito certificato in quei casi in cui la legge italiana prescrive l’utilizzo della posta certificata: notifiche ai sensi dell’art. 3-bis L. 53/1994, depositi telematici nel processo civile telematico e nel processo amministrativo telematico.

Non è infatti detto che un servizio di recapito certificato si strutturi necessariamente con un messaggio ricevuto dal gestore che ne curi il recapito come allegato ad una busta di trasporto, con rilascio delle ricevute di accettazione e di avvenuta consegna, essenziali per la prova delle notificazioni e per il funzionamento del sistema dei depositi telematici. Né appaiono nell’immediato risolvibili le problematiche di compatibilità con l’iscrizione degli indirizzi di posta certificata nei pubblici elenchi di cui all’art. 16 ter della Legge 17 dicembre 2012, n. 221 di conversione, con modificazioni, del decreto-legge 18 ottobre 2012, n. 179.

Per tale ragione, ad onta del dettato legislativo di cui all’art. 1, comma 1-ter del CAD, la prevista equiparazione alla posta elettronica certificata dei servizi di recapito certificato non potrà operare de plano nel

19 PCT, sul piano sostanziale per gli illustrati ostacoli normativi – attagliate come sono le norme sul processo telematico alla specifica struttura tecnica della posta certificata italiana – ed operando, sul piano formale, la clausola di compatibilità di cui disposto dell’art. 2, comma 6, CAD.

7. La PEC come validazione temporale elettronica: semplice o qualificata?

Per quanto appena detto, la posta elettronica certificata si colloca in ambito europeo nella conta dei servizi di recapito certificato non qualificato: ciò essenzialmente in ragione del fatto che la firma del gestore prevista per le buste di trasporto e per le ricevute non risponde allo standard europeo per le firme (rectius: per i sigilli) elettroniche qualificate.

Va peraltro ricordato che, per l’art. 41, comma 4, lett. c) del dpcm 22.2.2013 (recante le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali), è considerata validazione temporale opponibile ai terzi «il riferimento temporale ottenuto attraverso l’utilizzo di posta elettronica certificata ai sensi dell’art. 48 del Codice».

Occorre questo punto valutare se la collocazione tra i servizi di recapito certificato non qualificato crea implicazioni sulla validità della p.e.c. sotto tale profilo, avuto riguardo alle definizioni ed ai requisiti che l’eIDAS prevede per le validazioni temporali.

Si ricorda, intanto, che il Regolamento afferma il principio di non discriminazione, anche per le validazioni temporali (art. 41), secondo il quale «Alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata»: ciò che sarebbe già sufficiente per

“salvare” l’efficacia della posta elettronica certificata come validazione temporale, anche in ambito comunitario, alla luce del comma 3 secondo il quale «una validazione temporale elettronica rilasciata in uno Stato membro è riconosciuta quale validazione temporale elettronica qualificata in tutti gli Stati membri».

V’è tuttavia di più, in quanto la posta elettronica certificata parrebbe possedere tutti i requisiti di cui all’art. 42 eIDAS sì da essere considerata una validazione temporale qualificata.

Tale norma prevede infatti che «Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti: a) collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati; b) si basa su una fonte accurata di misurazione del tempo collegata al tempo universale

20 coordinato; e c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente».

Esaminando partitamente tali requisiti, si osserva che l’art. 9, comma 2, del dm 2.11.2005, recante le regole tecniche per la posta elettronica certificata, prevede che “Il riferimento temporale può essere generato con qualsiasi sistema che garantisca stabilmente uno scarto non superiore ad un minuto secondo rispetto alla scala di Tempo Universale Coordinato (UTC), determinata ai sensi dell’articolo 3, comma 1, della legge 11 agosto 1991, n. 273”: quindi il requisito di cui alla lettera b) è rispettato.

Quanto alla firma/sigillo, si è visto che l’attuale livello tecnologico del certificato di firma e l’algoritmo adoperati per le buste di posta certificata non rispondono allo standard prescritto per le firme elettroniche qualificate (rectius: per i sigilli elettronici qualificati). Paiono tuttavia sussistere i requisiti prescritti dall’art. 36 eIDAS per i sigilli elettronici avanzati, dacché le firme apposte alle pec sono sicuramente connesse unicamente al gestore firmatario (“creatore”), sono idonee ad identificare quest’ultimo, sono create «mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici» ed infine sono collegate ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati (firma detached): sussistono anche i requisiti di cui alle lettere a) e c).

Conclusivamente, la posta elettronica certificata costituisce in ambito eIDAS una validazione temporale elettronica qualificata.

8. Le firme elettroniche dopo l’eIDAS

Il principio di non discriminazione viene coniugato anche in riferimento alle firme elettroniche con l’art. 25 eIDAS: «ad una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate».

Parallelamente, va pure sottolineata l’innovativa definizione di firma elettronica contenuta nell’art. 3 eIDAS come «dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare», che si distingue nettamente da quella adoperata dal CAD («l’insieme dei dati in forma elettronica allegati, oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica»).

Quest’ultima definizione privilegia quindi la funzione identificativa mentre l’espressione (per certi versi tautologica) “per firmare” adoperata

21 dal Regolamento appare invece voler riportare le firme elettroniche ad un concetto più prossimo a quello della firma tradizionale: attribuzione al firmatario del contenuto dell’atto, se del caso anche sotto il profilo volitivo, e non solo a quello della identificazione del firmatario stesso.

Quanto alle definizioni, va segnalato che nel dichiarato obiettivo di armonizzazione del CAD con l’eIDAS, il dlt 179/2016 ha abrogato del primo l’art. 1 lett. r), recante la definizione di firma elettronica qualificata, e tale resta quindi quella dell’eIDAS . Sopravvive però alla lettera “s” dell’art.

1 CAD la definizione di firma digitale come «un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici»: in altri termini, la Firma Digitale è una firma elettronica qualificata con doppia chiave, una privata (per firmare) ed una pubblica, esposta nel certificato, per la verifica della firma stessa.

Va pure ricordato che l’art. 25, comma 3 del Regolamento 910/2014 stabilisce che «Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri»: quindi la firma digitale italiana è, nel contesto europeo, a tutti gli effetti una firma elettronica qualificata.

Al riguardo, si segnalano novità di rilievo anche per quanto attiene alle specifiche tecniche delle firme elettroniche qualificate, per effetto delle decisioni di esecuzione previste dall’articolo 28 del regolamento (UE) n.

910/2014. Con la Decisione di Esecuzione 2016/650 del 25 aprile 2016 sono state infatti fissate le norme per la valutazione di sicurezza dei dispositivi per la creazione di firme e sigilli qualificati, decisione che – giova ricordarlo – si applica solo ai dispositivi sotto il diretto controllo dell’utilizzatore degli stessi (token e smart-card) e non anche alle firme remote.

In particolare, al considerando n. 8 di detta decisione si prevede che

«Per garantire che le firme o i sigilli elettronici generati da un dispositivo per la creazione di una firma o di un sigillo qualificati siano affidabilmente protetti da contraffazioni conformemente all’allegato II del regolamento (UE) n. 910/2014, sono prerequisiti per la sicurezza del prodotto certificato idonei algoritmi crittografici, lunghezze di chiave e funzioni hash. Poiché la materia non è stata armonizzata a livello europeo, gli Stati membri dovrebbero collaborare per concordare gli algoritmi crittografici, le lunghezze di chiave e le funzioni hash da usare nell’ambito delle firme e dei sigilli elettronici».

In tale nuovo contesto e con specifico riferimento alle firme digitali apposte mediante utilizzo di dispositivi sotto il diretto controllo dell’utilizzatore, una delle novità tecniche più evidenti sotto il profilo pratico riguarda la lunghezza dell’algoritmo RSA adoperato per i certificati di firma. Al riguardo, si ricorda che sin dalle “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”

22 approvate con dpcm 13 gennaio 2004 era previsto che «in attesa della pubblicazione degli algoritmi per la generazione e verifica della firma digitale secondo quanto previsto dall’art. 3, i certificatori accreditati ai sensi dell’art. 28 del testo unico, devono utilizzare l’algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza delle chiavi non inferiore a 1024 bit» (art. 53).

Tale requisito è in realtà rimasto identico anche sotto il vigore della direttiva 1999/93, abrogata dall’art. 50 dell’eIDAS, sino al ricordato atto di esecuzione che è intervenuto tra l’altro proprio su tale aspetto tecnico.

Proprio grazie a tale dettaglio diventa abbastanza agevole, sul piano operativo, distinguere un certificato di firma eIDAS compliant da uno rispondente, invece, alla vecchia normativa tecnica: i nuovi certificati, infatti, devono avere una lunghezza pari o superiore a 2048 bit²².

E’ evidente che una innovazione di tal fatta non poteva non avere ripercussioni sugli utenti: si ricorda infatti che la validità dei certificati di firma è generalmente triennale sicché si è rivelata indispensabile la previsione transitoria contenuta nell’art. 51, paragrafo 2, eIDAS, secondo la quale «I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma elettronica a norma del presente regolamento fino alla loro scadenza»: nella maggioranza dei casi, infatti, gli utenti sono in possesso di dispositivi di firma digitale recanti certificati rilasciati prima del 1° luglio 2016 e, quindi, aventi lunghezza di 1024 bit e rispondenti pertanto alla direttiva 1999/93. La norma transitoria, quindi, consente di utilizzare tali certificati sino alla loro scadenza con valore di certificati di firma elettronica qualificata (digitale).

L’art. 51 Reg. 910/2014 ha il suo omologo, nella legislazione nazionale, nell’art.62, comma 4, dlt 179/2012, secondo il quale «I certificati qualificati rilasciati prima dell’entrata in vigore del presente decreto a norma della direttiva 1999/93/CE, sono considerati certificati qualificati di firma elettronica a norma del regolamento eIDAS e dell’articolo 28 del decreto legislativo n. 82 del 2005, come modificato dall’articolo 24 del presente decreto, fino alla loro scadenza»: lo stesso art. 28 C.A.D. è stato fatto oggetto di un restyling di adeguamento alla normativa comunitaria, e ciò grazie all’art. 24 del dlt 179/2016 che ne ha pure modificato la rubrica (da “certificati qualificati” a

“certificati di firma elettronica qualificata”), abrogato il comma 1 (che ne disciplinava il contenuto) a beneficio del rinvio operato dal comma 2 all’eIDAS («In aggiunta alle informazioni previste nel Regolamento eIDAS…»).

Sul piano pratico, la differenza tra un documento firmato adoperando un certificato ante-eIDAS ed uno, invece, eIDAS compliant è facilmente rilevabile, verificando la firma e ricercando il certificato e le relative proprietà ove si evidenzia, nel primo caso, la conformità alla Direttiva europea 1999/93/EC (cui corrisponde un certificato a 1024 bit RSA):

22 Cfr. Decisione di esecuzione 2016/650 in relazione allo standard EN 41921

23

mentre nel secondo caso si attesta la conformità al Regolamento 190/2014, cui corrisponde un certificato a 2048 bit: