Archivio della categoria: Diritto digitale

La “Bibbia”(3 o 4.0). Dove il diritto non arriva, la sanzione della rete.

bibbbiaLa sorte o gli uomini sanno essere talvolta davvero beffardi.

Utilizzare il nome di un testo sacro (almeno per qualcuno) per una raccolta di atrocità, però batte qualsiasi record.

Probabilmente in ottica di marketing sull’illegale mercato della pedopornografia, il nome vuole evocare un qualcosa di definitivo che lascia basiti. Ovviamente non è una questione di religione, ma di reati e della specie peggiore.

Anzi non è una questione solo di reati: rinchiudere la vicenda nelle maglie della legge rischia, infatti, di lasciar passare comportamenti ed atteggiamenti assolutamente inaccettabili. Almeno per un uomo o una società che vogliono ritenersi civili.

Da quanto ho potuto ricostruire esite un corposo (circa 4 GB) archivio che contiene immagini porno e pedoporno che ciclicamente riappare sulla rete grazie all’uso del dark o deep web o a diversi sistemi di anonimizzazione ed alla disponibilità delle strutture e infrastruttre di archiviazione on line.

L’anello debole di questa  catena sono i fornitori di spazio per l’archiviazione e la condivisione: ovviamente non possono conoscere in tempo reale tutto quello che viene immesso nei loro sistemi, però possono reagire ad una segnalazione.

Ed il problema è tutto qui: come reagiscono?

C’è che di fronte ad una segnalazione si attiva in 15 minuti rimuovendo tutto, chi ci mette 24 ore e chi chiede documenti d’identità, dichiarazioni giurate ed “ulteriori informazioni” facendo passare giorni e non ore. Quest’ultimo approccio è quello seguito da Dropbox, secondo la segnalazione di Matteo Flora ed una taggata di Andrea Lazzari.

Un approccio corretto, appropriato, soddisfacente, legittimo?

Ad ogni aggettivo corrisponde un dominio: appropriato o soddisfacente in che termini? Etici, legali, umani?

Legittimo è un termine che introduce direttamente all’ordinamento giuridico e forse la risposta del diritto protrebbe non piacerci come esseri umani. Soprattutto come esseri etici.

Se al caso di Dropbox fosse applicabile la legge italiana (sto solo ipotizzando) potrebbe anche risultare che il suo approccio non sia fonte di responsabilità penale. Magari non verrà dimostrata la consapevolezza (che rileva in termini generali, ma anche particolari, ossia per il singolo reato v. art. 600 ter e quater c.p.).

Ma in termini semplicemente umani e – quindi – di mercato?

La parola magica, è benchmark: come si è comporatata Dropbox rispetto ai suoi diretti competitor? O ancora c’è un competitor che si dimsotra più sensibile di un altro?

A questi livelli il diritto non arriva. Però ci possiamo arrivare io, voi e chiunque altro abbia necessità di spazio di archiviazione e sia per puro caso (mai sottovalutare il caso) venuto a conoscenza di questa vicenda.

Un discorso utopistico? Forse, ma neanche tanto: se alcuni provider fanno scomparire tutto in 15 minuti, significa che si preoccupano della loro immagine/reputazione digitale. Ed anche ognuno di noi contribuisce a creare o distruggere questa reputazione.

Grande cosa la meta-comunicazione: in questo caso non un messaggio esplicitio del genere “Io sono direttamente impegnato nella lotta alla pedo-pornografia  e quindi ho attivato un sistema che mi permettere di reagire in pochi minuti ad ogni segnalazione“.

Un messaggio attraverso i comportamenti (molto efficace): rimuovere effettivamente il materiale contestato in brevissimo tempo.

Altri provider, invece, non danno lo stesso messaggio in termini espliciti, ma anche in questo caso attraverso i comportamenti: il tempo che ci mettono a reagire (e se lo fanno davvero..).

Una questione di cautela che questi temi meritano. Nel dubbio, rimuovere. Anche se forse la legge non lo richiede. Lo richiede la nostra umanità.

Condividire può essere utile.

 

 

Garante, privacy, cookies, analytics e… Google

Quesito: Google Analytics usato per la sola ottimizzazione del sito e non per profilazione può rientrare nella categoria di “cookies tecnici” ed essere quindi usato senza necessità di darne comunicazione nel banner?

Norme: il “dato normativo” è costituito dal provvedimento del Garante dell’ 8 maggio 2014 e (indirettamente, quasi a mo’ di interpretazione autentica) dalle FAQ.

Interpretazione: esistono (ai fini che interessano in questa sede: si escludono dunque i cookies espressamente ed effettivamente utilizzati per profilazione) diverse categorie di cookies:
cookies
Possono dunque verificarsi le seguenti ipotesi:

  • solo cookies tecnici= obbligo banner se di terze parti, no obbligo banner se proprietari
  • cookie di terze parti (tecnici o analytics non fa differenza giacché comunque di terzi)= obbligo banner
  • cookies proprietari= no obbligo banner
  • cookies anaytics= obbligo banner se di terze parti, no obbligo banner se proprietari

Google Analytics appartiene in ogni caso alla categoria “cookies di terze parti” ed è irrilevante che sia in concreto usato per fini di profilazione o come cookie tecnico: io non posso detenere un’arma in casa senza denunciarla indipendentemente dal fatto che la usi per sparare o come fermacarte. Irrilevante anche il fatto che sia anonimizzato perché questo attiene alla funzione, ma non muta la sua natura.

Si ricorda che ai sensi dell’art. 15 del Codice, l’attività di trattamento dati è pericolosa e quindi il titolare è chiamato ad una diligenza particolare: nel dubbio deve astenersi da qualsiasi uso che possa comportare un trattamento illecito o non consentito. Ora considerato che GA è di Google, il titolare del sito non potrà probabilmente sapere tutti gli effetti che produce in concreto l’uso di GA.
A tal fine è del tutto insufficiente il richiamo, il rinvio o il link alla policy o alle informative fornite da Google considerato che questi non chiariscono affatto che uso verrà fatto dei dati ottenuti con l’uso di tali cookies.
Anzi questo meccanismo potrebbe svolgere effetti controproducenti per il titolare del sito: egli pur sapendo di non sapere cosa in concreto Google possa fare con i dati, ha omesso di segnalarlo nel banner: da cosa sarebbe giustificata questa omissione?

A questo punto bisogna ricordare il principio del bilanciamento che opera su due livelli:

A) Perché non usare cookies analytics proprietari ? (ad esempio Piwik , richiamato espressamente nella Guida Cookies disponibile sul sito dell’ANORC ). Le FAQ del Garante consentono infatti l’uso di cookies analytics senza banner, solo se usati “direttamente dal titolare del sito”. Probabilmente si usa GA per comodità o per risparmio, ma la legge non ragiona in termini economici e seppure fosse assai più costoso rivolgersi a cookies proprietari, questo non giustificherebbe la violazione, poiché nella gerarchia dei valori gli aspetti patrimoniali sono in posizione subordinata rispetto a quelli personali (trattamento dati).

B) Perché non mettere il banner usando GA? Qual è il costo del banner rispetto al diritto di tutti gli utenti?

Conclusioni: per il principio del “cuius commoda eius et incommoda” (colui che gode dei privilegi, ne paga anche il relativo prezzo) chi vuol usare GA può ovviamente farlo, dandone comunicazione, però, nel banner; se non lo fa rischia di pagarne le conseguenze.
La ratio del provvedimento del Garante sembra proprio quella della massima trasparenza e non si intravedono ragioni legittime per pregiudicare tale trasparenza.
Il titolare del sito è infatti in chiara posizione intermedia tra l’utente e Google ed ha il dovere si segnalare l’uso di cookies non proprietari.
La trasparenza si fonda – e nel contempo è travolta – sull’atteggiamento degli intermediari: sono costoro che pagano le conseguenze della sua violazione e non Google.
A livello strategico, infine, si segnala che il beneficio derivante dalla comodità pare pregiudicato dall’entità della sanzione: a meno che il posizionamento del banner non implichi costi paragonabili all’entità della sanzione… (da 10.000 a 120.000 euro)
Un dato incerto è quello relativo alla probabilità di essere colpiti dalla sanzione, per cui ognuno è libero di fare le proprie stime….

Non si intravedono ragioni di differenziare tra siti privati e siti delle pubbliche amministrazioni, per cui mi viene qualche dubbio quando scorrazzo nei siti di comuni, province, ministeri:

  • il sito del Comune di Milano non ha il banner, ma dichiara l’uso di cookies di terze parti, a Napoli invece compare il banner.
  • il Ministero dell’economia (www.tesoro.it) mette il banner (ma nn specifica che cookies usa..).
  • il Ministero della Salute non mette il banner  e dichiara: “Il portale si avvale di un prodotto di mercato per la rilevazione degli accessi al proprio sito. Esso ricorre all’utilizzo di cookies permanenti, allo scopo di raccogliere informazioni statistiche sui “visitatori unici” (persone diverse) del sito. Questi cookies, definiti come “Unique Visitor Cookies”, contengono un codice alfanumerico che identifica i computer di navigazione, senza tuttavia alcuna raccolta di dati personali.“. Sarà di terze parti?
  • la Regione Marche ha il banner, l’Emila Romagna no, e pubblica una dichiarazione simile a quella del Ministero della Salute.

Il mondo è bello perchè è vario…

N.B. Si potrebbe ritenere che quanto prospettato sopra sia  formalistico o meccanicistico e che le norme del Garante così come intepretate siano eccessive magari perché Google non associa i dati all’IP (sarà vero..?) o perché i dati sono trattati solo in forma aggregata  e non sarà mai possibile risalire nemmeno indirettamente all’utente (sarà vero..?).

L’articolo ha quindi una funzione  difensiva; se poi qualcuno vuole ingaggiare una battaglia legale per la modifica di norme ritenute ingiuste, no problem. Basta che sappia cosa rischia. Io personalmente direi di mettere il banner e poi di contestare…

P.S. Potendo (con l’ausilio dell’informatico) conoscere  le caratteristiche del singolo cookie si potrebbe essere più precisi…

Posta elettronica certificata, firma elettronica (avanzata) e forma scritta.

pecHo sempre pensato che la PEC non consentisse di imputare direttamente  un atto giuridico al titolare della casella stessa a meno che costui non usasse la sua firma digitale per sottoscrivere un eventuale allegato incluso nel messaggio. ( avevo già affrontato il tema: http://dirittodigitale.com/a-proposito-di-identificazione-e-pec-e-davvero-cosi-importante/ e http://dirittodigitale.com/pec-e-identificazione-personale/ ). Ed ho sempre pensato che una PEC non potesse equivalere ad un documento scritto.

E’ vero che il mittente è “identificato” dal fornitore di servizi PEC, ma questa circostanza non crea una connessione univoca con l’atto giuridico contenuto nel messaggio e soprattutto non soddisfa il requisito della forma scritta, posto che il CAD (art. 21, comma 2 bis d. lgs. 82/2005) prevede che il documento informatico sia sottoscritto con firma avanzata, qualificata o digitale a seconda della tipologia di atti. Tale disposizione prevede infatti che:

Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Dunque per stare tranquilli era meglio utilizzare la PEC con dentro un allegato sottoscritto con firma digitale.

Da un po’, però  è entrato in vigore Il DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) che  prevede all’art. 61:

L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

Quindi ai sensi di tale disposizione, il privato può avanzare telematicamente istanze alla p.a. (di questo si occupa il citato art. 65 CAD) semplicemente attraverso la PEC e senza necessità di usare una firma avanzata.

C’è anche un’ altra conseguenza.

L’art. 21 comma 2 bis citato qualche riga sopra, prevede che soddisfa il requisito della forma scritta il documento informatico sottoscritto con firma avanzata.

Ora, se la firma avanzata è sostituita a sua volta dalla PEC, se ne potrebbe dedurre che l’uso della PEC consenta di produrre atti scritti….

L’art.61 del DPCM 22.2.2013, però pone due condizioni:

  1. contempla il caso delle istanze inviate alla p.a.
  2. contiene l’incinso “nei confronti della pubblica amministrazione

Due interrogativi emergono:

1) può un DPCM (che è norma secondaria, proveniente da un’autorità amministrativa e non da una legislativa) introdurre una nuova forma di equiparazione tra documento informatico e documento cartaceo non prevista – nè espressamente “delegata” – dalla legge?

Il CAD infatti non prevede che la PEC possa sostituire la firma avanzata. Forse chi ha scritto il DPCM non ha pensato o non ha voluto questa ulteriore conseguenza, ma – se la logica non m’inganna – questo è l’effetto che si verifica….

2) ammesso e non concesso che tale innovazione (niente affatto irrilevante) sia ammissibile in termini di gerarchia delle fonti, si tratterebbe di effetto limitato ai rapporti tra cittadino e p.a.?

Se si, da cosa sarebbe giustificata tale disparità di trattamento?

O al contrario, proprio perché si verificherebbe una disparità di trattamento, quel che vale per la p.a. deve valere anche nei rapporti tra privati?

O, ancora, quel che vale nei confronti della p.a. deve valere  a maggior ragione nei confronti dei privati?

Di fronte a tale scenario, il collega Marco Cuniberti si è chiesto se sia possibile utilizzare una soluzione FEA (Firma Elettronica Avanzata) utilizzando la PEC, fornendo una risposta positiva. Condivido le conclusioni ed anche il percorso argomentativo: la mia però è una domanda un po’ più radicale. Io mi chiedo infatti se l’uso della PEC sia di per sè equivalente all’uso di una FEA sul piano squisitamente giuridico e non su quello operativo.

Mettendo da parte per un momento il quesito pregiudiziale di cui al punto 1 che precede (muovendo dalla considerazione circa la deregulation che “vige” in materia), l’equivalenza mi sembra perfetta nei rapporti tra cittadino e p.a., mentre è più problematica nei rapporti tra privati o tra p.a. e p.a.

A tale ultimo riguardo, nella circolare n. 3 della Ragioneria dello Stato (http://www.rgs.mef.gov.it/_Documenti/VERSIONE-I/CIRCOLARI/2014/Circolare_del_20_gennaio_2014_n_3.pdf) può leggersi (pag. 3 terzultimo paragrafo) che la previsione di cui all’art. 61 DPCM 22.2.2013 “è limitata alla trasmissione mediante casella di posta elettronica certificata personale di cui all’art. 65, comma lett. c-bis del CAD. Con la conseguenza che può escludersi dalla predetta fattispecie l’invio effettuato tramite casella di posta elettronica certificata rilasciata a soggetto diverso da persona fisica, ivi incluse le pubbliche amministrazioni”.

E’ un’interpretazione che rispetta – a mio parere in modo eccessivamente rigoroso  – il solo dato letterale della disposizioni (sia dell’art 61 DPCM 22.2.2013 che dell’art. 65 del CAD).

L’interprete deve infatti considerare anche la ratio della norma e il profilo sistematico, nonchè l’analogia ed i principi generali (art. 12 preleggi).

Quali particolarità possiede allora la comunicazione da un cittadino verso la p.a. che non possiede la comunicazione tra privati o tra p.a.?

Cosa ostacola il ricorso all’analogia?

Una risposta è certamente presente nell’art. 14 delle stesse preleggi che vieta l’interpretazione estensiva o analogica di leggi che “fanno eccezione a regole generali”. Tale disposizione parrebbe confortare il tenore letterale, poiché l’art. 61 DPCM 22.2.2013 deroga effettivamente alle disposizioni di legge (CAD) che consentono l’equiparazione del documento informatico al documento scritto solo se viene usata la firma digitale o la FEA, ma non anche la sola PEC.

Però l’interpretazione deve anche rispettare il principio di ragionevolezza (qui un interessante studio sul punto http://www.cortecostituzionale.it/documenti/convegni_seminari/RI_Cartabia_Roma2013.pdf ).

Credo che se un determinato effetto è ammesso dalla legge in un certo tipo di rapporto tra privato e p.a. non possano esserci ostacoli ad utilizzarlo in senso inverso cioè dalla p.a. al cittadino. E’ perché poi escluderlo tra p.a o tra cittadini?
Forse il legislatore ha voluto effettivamente circoscrivere la norma al rapporto tra cittadino e p.a. (e per giunta solo dal basso verso l’alto), ma temo che tale norma possa non resistere al vaglio di ragionevolezza e coerenza sistematica:  sarà forse necessario un intervento della Corte Costituzionale che espunga del tutto la norma dall’ordinamento o che ne individui un’intepretazione rispettosa dei citati principi ?

PEC: allegati nn certificati?

pecMi taggano in una questione relativa al fatto che secondo qualcuno la “genuinità” degli allegati di un messaggio di posta certificata non sarebbe garantita dal Gestore PEC. Di conseguenza non  “avrebbe alcuna valida prova scritta in mano chi invii, alla propria controparte, una Pec che riporti il seguente messaggio: “Si invia comunicazione come da allegato” e poi il testo vero e proprio è contenuto in un pdf.

La cosa nn mi suona e per sicurezza prima di postare il mio commento, mi rinfresco le norme.

Sia la legge (http://www.agid.gov.it/…/posta-elettronica-certificata) che le norme tecniche (http://www.agid.gov.it/…/pec_regole_tecniche_dm_2-nov…) prevedono che qualora si usi la ricevuta completa il gestore debba inviare il messaggio in originale il che significa che se il messaggio originale conteneva un allegato anche questo verrà inserito nella ricevuta completa (comunque anche quella breve usa gli hash invece che i file originali ed il risultato nn cambia di molto.. ma non vorrei complicare le cose..)

Inoltre non dimentichiamo che il messaggio viaggia in rete dentro ad una busta crittografata con la firma del gestore che noi in realtà non vediamo perché gli editor di posta elettronica (via web o desktop) la “scartano” per noi, rendendo intellegibile il messagio e gli altri dati.

In particolare il punto 6.5.2.2 delle norme tecniche prevede che:

1) “Alla ricevuta breve di avvenuta consegna è allegato il messaggio originale nel quale rimane inalterata la struttura MIME” ;

2) “Per permettere la verifica dei contenuti trasmessi è indispensabile che il mittente conservi gli originali immodificati degli allegati inseriti nel messaggio orig inale, a cui gli hash fanno riferimento“.

A livello empirico, inoltre, potete controllavre voi stessi nelle vostre ricevute di consegna che ci sia effettivamente il messaggio in originale completo degli allegati: siccome questi allegati viaggiano nella stessa busta con il contenuto del messaggio ed il file XML, non vedo come potrebbero essere sforniti della firma eletrtonica del gestore.

Certo qualcuno potrebbe contestare.. ma a questo punto due cose:

  • a livello legale e teoricio spiegare come funziona il sistema (come ho tentato di fare sopra)
  • a livello pratico si deposita in giudizio il messaggio in originale (in formato .msg o .eml entrambio tollerati dal PCT) e si chiede al giudice di verificare o se vuole, di farlo verificare ad un CTU.

Poi se vogliamo mettere il contenuto nel testo del messaggio invece che nell’allegato per evitare problemi, questo è un altro discorso.

Come altro discorso – corretto – è che l’allegato non contiene la firma digitale del mittente (a meno che non sia un doc appositamente firmato.. ma chi lo fa?) e quindi non è direttamente riferibile (rectius imputabile) al mittente stesso, ma indirettamente lo è 😉

Il mio amico “acaro” (non quello della polvere, ma l’ informatico esperto di sicurezza) mi dice che “Tecnicamente l’allegato della PEC è PARTE INTEGRANTE dell’envelope S/MIME che viene firmato dal gestore il quale garantisce l’integrità del messaggio durante il transito nella sua interezza

Voi che ne dite?

PEC univoca (?!) e ….diritti della persona.

La sentenza di Bologna  intercetta correttamente una problema reale e gravissimo, ossia quello dell’utilizzo non esclusivo di un indirizzo PEC, ma non affronta quello fondamentale relativo alle effettive cause che hanno consentito l’eccezionale “duplicazione” di un  indirizzo PEC.

I passaggi logici appaiono sintomatici del fatto che l’accertamento dei giudici Bolognesi si sia limitato alla superficie del problema.

Era chiaro, infatti che:

  • due stessi soggetti (Pubblitre s.r.l. di Roma e Pubblitre s.r.l. di Bologna) avessero utilizzato – incredibilmemte – lo stesso indirizzo PEC (pubblitre@pec.it);
  • la CCIAA ha dichiarato di non verificare, al momento in cui iscrive un’impresa, che l’indirizzo PEC non sia già stato dichiarato – per avventura… – da altra impresa;
  • l’INAIL ha fatto presente che esistono 191.000 indirizzi PEC “assegnati a diverse imprese oppure non correttamente associati al titolare dell’indirizzo stesso” (l’INAIL non usa dunque l’espressione “duplicati”)
  • Il Ministero dello sviluppo economico ha emanato più di una circolare (3670 del 23.6.2014) rivolta alle CCIAA affinché venga verificata l’univocità dell’indirizzo PEC.
  • Aruba (che non era parte nel processo) ha dichiarato (in un altro processo precedente…) che “non può mai funzionare più di uno fra gli indirizzi PEC aventi “formulazione identica”, restando allora pur sempre esclusa l’operatività delle altre “utenze gemelle”, a prescindere da chi ne sia il gestore”.
  • Non è previsto “alcun controllo successivo ai fini della verifica circareale corrispondenza tra il titolare dell’indirizzo PEC e l’elemento identificativo (codice fiscale/partita i.v.a.)” (pag. 18 ultimo paragrafo).

Ora, quanto accaduto può essere orginato da due cause diverse ed indipendenti:

  1. l’assegnazione del medesimo indirizzo PEC ad entrambe le società Pubblitre s.r.l.
  2. la dichiarazione erronea di una delle due società Publitre s.r.l.

L’ipotesi sub A) va esclusa sulla base delle dichiarazioni fornite (in altro processo) da Aruba. Prendendo per buone tali dichiarazioni (che in realtà andrebbero verificate tecnicamente al fine di accertare che effettivamente i sistemi PEC – tutti – siano in grado di evitare “collisioni” tra indirizzi PEC) l’unica spiegazione dell’accaduto è che qualcuno abbia erroneamente dichiarato un indirizzo PEC di qualcun’altro. Ossia l’ipotesi sub b)

Nella sentenza, in effetti, si afferma (pag. 12 prima riga) che la CCIAA di Bologna ha ricevuto da un apposito professionista incaricato dalla Pubblitre bolognese l’indicazione di una PEC che però era in uso a Pubblitre romana, la quale, letto il messaggio pec ha reagito segnalando di essere completamente estranea alla procedura.

Se così stanno le cose, si tratta di comprendere a chi attribuire la responsabilità di tale erronea “associazione” (usando il linguaggio dell’INAIL).

I giudici bolognesi sembrano operare in base ad un principio (la cui esistenza ed efficacia è tutta da verificare) di “effettiva conoscenza” del provvedimento notificato via PEC: e siccome agli atti risulta che il destinatario del provvedimento era all’oscuro della procedura, ne deducono un vizio del contraddittorio: principio chiaramente sacrosanto, poiché nessuno può essere condannato se prima non è stato avvisato che nei sui confronti si sta svolgendo una procedura giudiziaria.

La domanda che sembra mancare, però, è la seguente: “per quale motivo il destinatario dell’atto non ha avuto conoscenza dell’atto stesso?”.

Se la causa non dipende dal destinatario stesso, si pone di certo il problema di tutelarlo, ma se al contrario è lo stesso destinatario (o un suo delegato o mandatario) a causare la mancata conoscenza dell’atto, non può che soccorrere il noto proverbio : “chi è causa del suo mal piagna se stesso” che ha un suo preciso omologo giuridico: cuius commoda eius et incommoda.

Gli effetti della sentenza – emessa probabilmente con le migliori intenzioni – rischiano di diventare paradossali: se un soggetto infatti dichiarasse dolosamente un indirizzo PEC che non gli è stato effettivamente assegnato da alcun gestore PEC, avrebbe lo straordinario ma illegittimo potere di vanificare tutte le notifiche notifiche ad esso rivolte!

La sentenza non dice questo, ovviamente, ma non precisando il titolo di responsabilità nè la fonte, il principio che ne è alla base si presta ad essere applicato in tutti i casi di “apparente duplicazione”, quale potrebbe – per ipotesi – essere anche quello in esame…

Due quindi i problemi:

  1. non aver verificato se si è trattato di un errore (magari convocando il professionista che ha effettuato la dichiarazione dell’indirizzo PEC)
  2. non aver verificato se si è trattato – al di là delle dichiarazioni esterne di Aruba – di un problema tecnico-informatico

Incrociando i dati di queste due verifiche si avrebbe avuta la prova di quanto realmente accaduto: il professionista ad esempio avrebbe potuto mostrare o produrre i documenti in forza dei quali è stato richiesto e assegnato l’indirizzo PEC; l’eventuale mancanza di siffatta documentazione avrebbe deposto per una erronea dichiarazione, con conseguente possibile responsabilità del professionista stesso che a questo punto dovrebbe essere particolarmente diligente, cauto ed avveduto sia nel momento in cui assume tale incarico con il cliete, sia quando esegue il mandato.

La dichiarazione di un indirizzo PEC è un momento assolutamente determinante e delicatissimo: chi lo esegue se ne deve assumere tutte le responsabilità.

In mancanza il sistema rischia di collassare!!

Certamente un controllo da parte delle CCIAA consentirebbe di verificare la presenza delle situazioni anomale, ma la mancanza di tale controllo, a ben vedere, è solo una causa esterna, tanto è vero che non è richiesto esplicitamente da nessuna norma.

La sentenza quindi contiene un grave errore logico, derivante dall’aver ragionato “a posteriori”. I giudici bolognesi muovono, infatti, da un dato storico “a valle” ossia il fatto che il destinatario effettivo non abbia avuto conoscenza dell’atto per poi dedurne che qualcosa – che non viene chiarito – non ha funzionato.

Il dato da dimostrare dunque, ossia la causa reale del “malfunzionamento”, viene del tutto accantonato nel momento in cui l’attenzione rimane concentrata sul vizio.

Vizio giuridico e “malfunzionamento” a ben vedere operano su piani completamenti diversi, autonomi ed indipendenti: si potrebbero essere infatti verificate quattro ipotesi diverse:

  1. tutto il sistema PEC – al di là di quanto dichiarato (e non verificato) da Aruba – in realtà non funziona giacché non è in grado di evitare collisioni: quindi potrebbero essere stati rilasciati due indirizzi PEC identici. I questo caso sarebbe corretto considerare la notifica nulla, giacché non vi sarebbero responsabili (se non chi ha progettato il sistema, ossia il legislatore stesso!!!).
  2. il sistema con cui Aruba che (non sappiamo se i giudici ne abbiano contezza) ha gestito nella specie l’assegnazione degli indirizzi PEC “pubblitre@pec.itnon funziona: in  questo caso non sarebbe corretto considerare la notifica nulla, giacché il responsabile sarebbe Aruba che ha posto in essere procedure interne inaffidabili.
  3. il sistema PEC ha funzionato a dovere, ma qualcuno ha reso una dichiarazione non corrispondente al vero per dolo o per colpa:

3.1) se è per dolo, la notifica non può essere ritenuta invalida, pena un inaccettabile effetto premiale di chi si vuol sottrarre alla notifica di atti sgraditi;

3.2) se è per colpa, la notifica non può egualmente essere ritenuta invalida, giacchè non di falla del sistema si tratta, ma di evento esterno al sistema stesso – fatto del terzo (nel caso di specie il professionista che ha fatto la dichiarazione alla CCIAA) – che è da solo sufficiente a spiegare l’effetto della mancata conoscenza della notifica.

Sembra sussistere sullo sfondo: una sorta di credenza di cui i giudici non sembrano avere piena consapevolezza e che quindi non possono dichiarare. Un dato culturale: il sospetto o la diffidenza per il mezzo tecnologico. In realtà il sistema (tranne che risultino infondate le dichiarazioni di Aruba) funziona perfettamente solo che richiede con estrema rigidità che esso venga utilizzato esattamente come esso è stato progettato, ossia con una serie di dichiarazioni di indirizzi PEC corrispondenti al vero e senza “duplicazioni” di sorta.

Tutto funziona, paradossalmente “troppo bene” giacché non ammette eccezioni: generata la ricevuta di consegna la notifica è valida.

La legge non contempla (e questo è un difetto di immaginazione o di progettazione del legislatore) questa ipotesi di “duplicazione” e quindi l’applicazione del sistema (e non il sistema stesso) va in crisi.

Ben vengano i controlli per evitare “duplicazioni”, ma facendo ben attenzione al fatto che si sta ancora una volta ragionando “a posteriori”: i controlli non servono ad evitare notifiche nulle, ma a scovare dichiarazioni infedeli o errate.

Il problema centrale nel caso di specie è rendere nulla una sentenza per tutelare il diritto di un singolo demolendo l’intera tenuta del sistema PEC: se infatti il notificante non può essere certo della validità degli atti, di certo non la utilizzerà.

Al contrario se si vuol mantenere la tenuta del sistema, occorre “spostare” su qualcun altro la responsabilità dell’accaduto, senza però passare per la nullità della notifica: su chi dichiara un erroneo o falso indirizzo PEC o sul gestore che gestisce male il suo sistema PEC interno..

Il problema della “effettività della sede” d’altronde è un problema ben noto nella giurisprudenza che spesso lo ha risolto in maniera formale:

In tema di notifiche alle persone giuridiche, in caso di divergenza tra la sede legale e quella effettiva, la prevalenza del principio di effettività contenuto nell’art. 46 cod. civ. deve essere comunque coordinato con la tutela dell’affidamento dei terzi, con la conseguenza che in caso di divergenza tra sede legale ed effettiva, la prima non può essere ritenuta priva di rilevanza essendo consentita una mera equiparazione. (In applicazione del principio, la S.C. ha ritenuto legittimamente notificato un avviso di accertamento emesso da un Comune in materia di TARSU, ad una S.r.l. presso la sede legale piuttosto che presso quella effettiva, luogo in cui era stata trasferita la sede senza che ancora vi fosse stata la delibera sociale e la relativa pubblicità). (Rigetta, Comm. Trib. Reg. Salerno, 05/08/2004). Cass. civ. Sez. V, 27/10/2010, n. 21942 (rv. 615823).

Dunque applicazione del principio “chi è causa del suo mal pianga se stesso”. Siccome non è stata curata la pubblicità la “vecchia “sede legale sebbene non effettiva è perfettamente valida.

Anche l’esigenza di evitare sottrazioni alla notifica è un principio riconosciuto:

Si considera assicurato il diritto di difesa quando l’istanza di fallimento venga portata a conoscenza della società debitrice sia presso la sede sociale, risultante dai pubblici registri commerciali, sia, in caso di esito negativo, presso la residenza del legale rappresentante, anche con notifica eseguita a mezzo posta e perfezionatasi per compiuta giacenza. In tale circostanza, l’ordinamento considera equipollenti la conoscenza effettiva e la conoscenza legale degli atti giuridici; ciò allo scopo di evitare che il destinatario dell’atto possa impedirne la notificazione sottraendosene deliberatamente. Trib. Roma, 23/03/2001. Dir. e prat. soc., 2001, f. 23, 98

Si tratta in conclusione di bilanciare l’interesse del destinatario con quello del notificante: lo strumento utilizzato (carta o bit) a questo punto non dovrebbe fare alcuna differenza.

Certo l’equiparazione del domicilio informatico a quello fisico anche per le persone fisiche e non solo giuridiche pone di fronte uno scenario nuovo: quello di considerare attentamente la notifica solo legale e non anche effettiva per una serie di atti che possono involgere diritti personali di rango certamente superiori a quelli meramente patrimonialei di norma portati dalle persone giuridiche. Per quanto possano essere gravi gli effetti di un fallimento infatti, di certo un disconoscimento di paternità, un’interdizione o un divorzio hanno certo implicazioni diverse che non possono essere tutelate solo con lo strumento del risarcimento dani di cui si è parlato in precedenza.

Forse la notifica telematica dovrebbe essere rivista legislativamente e non solo a livello di interpretazione quando sono in discussione diritti della persona?