Archivio tag: firma digitale

Posta elettronica certificata, firma elettronica (avanzata) e forma scritta.

pecHo sempre pensato che la PEC non consentisse di imputare direttamente  un atto giuridico al titolare della casella stessa a meno che costui non usasse la sua firma digitale per sottoscrivere un eventuale allegato incluso nel messaggio. ( avevo già affrontato il tema: http://dirittodigitale.com/a-proposito-di-identificazione-e-pec-e-davvero-cosi-importante/ e http://dirittodigitale.com/pec-e-identificazione-personale/ ). Ed ho sempre pensato che una PEC non potesse equivalere ad un documento scritto.

E’ vero che il mittente è “identificato” dal fornitore di servizi PEC, ma questa circostanza non crea una connessione univoca con l’atto giuridico contenuto nel messaggio e soprattutto non soddisfa il requisito della forma scritta, posto che il CAD (art. 21, comma 2 bis d. lgs. 82/2005) prevede che il documento informatico sia sottoscritto con firma avanzata, qualificata o digitale a seconda della tipologia di atti. Tale disposizione prevede infatti che:

Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Dunque per stare tranquilli era meglio utilizzare la PEC con dentro un allegato sottoscritto con firma digitale.

Da un po’, però  è entrato in vigore Il DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) che  prevede all’art. 61:

L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

Quindi ai sensi di tale disposizione, il privato può avanzare telematicamente istanze alla p.a. (di questo si occupa il citato art. 65 CAD) semplicemente attraverso la PEC e senza necessità di usare una firma avanzata.

C’è anche un’ altra conseguenza.

L’art. 21 comma 2 bis citato qualche riga sopra, prevede che soddisfa il requisito della forma scritta il documento informatico sottoscritto con firma avanzata.

Ora, se la firma avanzata è sostituita a sua volta dalla PEC, se ne potrebbe dedurre che l’uso della PEC consenta di produrre atti scritti….

L’art.61 del DPCM 22.2.2013, però pone due condizioni:

  1. contempla il caso delle istanze inviate alla p.a.
  2. contiene l’incinso “nei confronti della pubblica amministrazione

Due interrogativi emergono:

1) può un DPCM (che è norma secondaria, proveniente da un’autorità amministrativa e non da una legislativa) introdurre una nuova forma di equiparazione tra documento informatico e documento cartaceo non prevista – nè espressamente “delegata” – dalla legge?

Il CAD infatti non prevede che la PEC possa sostituire la firma avanzata. Forse chi ha scritto il DPCM non ha pensato o non ha voluto questa ulteriore conseguenza, ma – se la logica non m’inganna – questo è l’effetto che si verifica….

2) ammesso e non concesso che tale innovazione (niente affatto irrilevante) sia ammissibile in termini di gerarchia delle fonti, si tratterebbe di effetto limitato ai rapporti tra cittadino e p.a.?

Se si, da cosa sarebbe giustificata tale disparità di trattamento?

O al contrario, proprio perché si verificherebbe una disparità di trattamento, quel che vale per la p.a. deve valere anche nei rapporti tra privati?

O, ancora, quel che vale nei confronti della p.a. deve valere  a maggior ragione nei confronti dei privati?

Di fronte a tale scenario, il collega Marco Cuniberti si è chiesto se sia possibile utilizzare una soluzione FEA (Firma Elettronica Avanzata) utilizzando la PEC, fornendo una risposta positiva. Condivido le conclusioni ed anche il percorso argomentativo: la mia però è una domanda un po’ più radicale. Io mi chiedo infatti se l’uso della PEC sia di per sè equivalente all’uso di una FEA sul piano squisitamente giuridico e non su quello operativo.

Mettendo da parte per un momento il quesito pregiudiziale di cui al punto 1 che precede (muovendo dalla considerazione circa la deregulation che “vige” in materia), l’equivalenza mi sembra perfetta nei rapporti tra cittadino e p.a., mentre è più problematica nei rapporti tra privati o tra p.a. e p.a.

A tale ultimo riguardo, nella circolare n. 3 della Ragioneria dello Stato (http://www.rgs.mef.gov.it/_Documenti/VERSIONE-I/CIRCOLARI/2014/Circolare_del_20_gennaio_2014_n_3.pdf) può leggersi (pag. 3 terzultimo paragrafo) che la previsione di cui all’art. 61 DPCM 22.2.2013 “è limitata alla trasmissione mediante casella di posta elettronica certificata personale di cui all’art. 65, comma lett. c-bis del CAD. Con la conseguenza che può escludersi dalla predetta fattispecie l’invio effettuato tramite casella di posta elettronica certificata rilasciata a soggetto diverso da persona fisica, ivi incluse le pubbliche amministrazioni”.

E’ un’interpretazione che rispetta – a mio parere in modo eccessivamente rigoroso  – il solo dato letterale della disposizioni (sia dell’art 61 DPCM 22.2.2013 che dell’art. 65 del CAD).

L’interprete deve infatti considerare anche la ratio della norma e il profilo sistematico, nonchè l’analogia ed i principi generali (art. 12 preleggi).

Quali particolarità possiede allora la comunicazione da un cittadino verso la p.a. che non possiede la comunicazione tra privati o tra p.a.?

Cosa ostacola il ricorso all’analogia?

Una risposta è certamente presente nell’art. 14 delle stesse preleggi che vieta l’interpretazione estensiva o analogica di leggi che “fanno eccezione a regole generali”. Tale disposizione parrebbe confortare il tenore letterale, poiché l’art. 61 DPCM 22.2.2013 deroga effettivamente alle disposizioni di legge (CAD) che consentono l’equiparazione del documento informatico al documento scritto solo se viene usata la firma digitale o la FEA, ma non anche la sola PEC.

Però l’interpretazione deve anche rispettare il principio di ragionevolezza (qui un interessante studio sul punto http://www.cortecostituzionale.it/documenti/convegni_seminari/RI_Cartabia_Roma2013.pdf ).

Credo che se un determinato effetto è ammesso dalla legge in un certo tipo di rapporto tra privato e p.a. non possano esserci ostacoli ad utilizzarlo in senso inverso cioè dalla p.a. al cittadino. E’ perché poi escluderlo tra p.a o tra cittadini?
Forse il legislatore ha voluto effettivamente circoscrivere la norma al rapporto tra cittadino e p.a. (e per giunta solo dal basso verso l’alto), ma temo che tale norma possa non resistere al vaglio di ragionevolezza e coerenza sistematica:  sarà forse necessario un intervento della Corte Costituzionale che espunga del tutto la norma dall’ordinamento o che ne individui un’intepretazione rispettosa dei citati principi ?

D. lgs. 110/2010 e atto pubblico informatico. Come si esibisce un originale digitale?

L’art. 65 della l. 69/2009 prevede l’emanazione di un decreto legislativo per consentire ai notai di redigere e conservare atti pubblici in formato elettronico.

Ciò è possibile tramite l’uso della firma digitale. In data 2 luglio è stato, infatti, emanato il d. lgs. 110/2010 (qui il testo integrale in .pdf). In estrema sintesi queste le innovazioni principali già in vigore:

Continua a leggere

A proposito di identificazione e PEC…è davvero così importante ?

Nessuna norma impone al Gestore di posta elettronica certificata  di identificare il soggetto a nome del quale viene creato un account, diversamente da quanto accade al momento in cui si chiede il rilascio di una firma digitale.

In quest’ultimo caso, infatti, l’art. 32, comma 3, lett. a) del CAD (Codice Amministrazione Digitale, d. lgs. 82/2005) prevede che il certificatore (colui che rilascia appunto la firma digitale) deve “provvedere con certezza alla identificazione della persona che fa richiesta della certificazione“.

Mancando una norma di analogo tenore in ambito PEC, si potrebbe considerare che il relativo obbligo di identificazione non sussista, con l’ulteriore conseguenza che il mittente (ma anche il destinatario) di un messaggio di posta certificata non siano quelli che appaiono.

Si potrebbe discutere se l’obbligo sia effettivamente assente, ma, rimanendo alla lettera della norma, si possono comunque svolgere due ordini di considerazioni:

  • le implicazioni circa l’imputabilità/paternità del contenuto del messaggio PEC
  • la sussistenza di un reale “domicilio informatico”

oggi ci occuperemo solo del primo aspetto.

Lato mittente

Tutto sommato la mancata identificazione del mittente è meno sconvolgente di quel che si potrebbe pensare: neanche le Poste identificano il soggetto che spedisce una raccomandata..!

Il vero problema, infatti, non attiene (tanto e solo) all’identità di chi invia il messaggio, ma all’imputabilità del contenuto ivi presente. Ora, in questo senso, il messaggio non è che un documento ossia una rappresentazione (in questo caso informatica) di atti o fatti giuridicamente rilevanti: a chi imputare tale atti ?

Ancora una volta occorre un paragone con la firma digitale e il CAD, poiché l’art. 21, comma 2 prevede che “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.

Per essere giuridicamente certi (e salva la prova contraria…) che  la paternità di un certo documento informatico sia di un determinato soggetto occorrerebbe, pertanto, che costui avesse impiegato la propria firma digitale.

Esistono però, anche altri modi, diversi dalla sottoscrizione (autografa o digitale) per risalire alla paternità di un atto: basti pensare all’ipotesi del telegramma non sottoscritto di cui all’art. 2705 c.c. o alla presunzione semplice di cui all’art. 2712 c.c., a mente del quale “le riproduzioni fotografiche informatiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose, formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime“.

Ora si potrebbe pensare che basta contestare, per rilanciare la questione (ed il relativo onere) all’altra parte, ma al riguardo si dovrebbe considerare cosa si contesta e come si contesta.

Per il primo aspetto è solo una questione di diligenza “forense”, nel senso che occorrerà contestare che quel messaggio sia stato mai spedito da Tizio, a quella data ora del tale giorno (irrilevante contestare il contenuto la cui integrità ed associazione al mittente “apparente” sono garantiti dalla firma digitale del Gestore).

Per l’altro profilo (che in in realtà è addirittura pregiudiziale..) si segnala una interessante sentenza del Tribunale di Roma del 22 aprile 2008 che differenza tra contestazione ex art 215 c.p.c. e contestazione ex art. 2712 c.c.: la prima produce l’effetto di invertire l’onere della prova a favore del soggetto che disconosce la propria firma e contro colui che vorrebbe  utilizzare la scrittura cui è apposta la firma contestata o di rendere inutilizzabile il documento, mentre la seconda…non impedisce..alcunché.

Trattandosi di documento informatico non firmato sembra inapplicabile il disconoscimento ex art. 215 c.p.c., per cui rimane solo la contestazione ex 2712 c.c. Ecco quindi che diventa fondamentale non solo cosa, ma come contestare…

Ecco il passo centrale della sentenza:

Il disconoscimento della conformità di una delle riproduzioni menzionate nell’articolo 2712 c.c. ai fatti rappresentati non ha gli stessi effetti del disconoscimento previsto dall’articolo 215 comma 2 c.p.c., della scrittura privata, perché, mentre quest’ultimo, in mancanza di richiesta di verificazione e di esito positivo di questa, preclude l’utilizzazione della scrittura, il primo non impedisce che il giudice possa accertare la conformità all’originale anche attraverso altri mezzi di prova, comprese le presunzioni (C.C. 6090/00; C.C. 11445/2006).

In sostanza, a fronte di un documento informatico privo di firma digitale, costituente comunque una rappresentazione meccanica (elettronica) di fatti o di cose, il disconoscimento, volto a rimuovere l’efficacia probatoria di detto documento, deve essere circostanziato e deve concernere la sua capacità rappresentativa della realtà e quindi la sua genuinità ed attendibilità (C.C. 9884/2005: “in ordine all’assunta contestazione dei dati del sistema informatico, è da osservare preliminarmente che, per l’art. 2712 c.c., la contestazione esclude il pieno valore probatorio della riproduzione meccanica, ove abbia per oggetto il rapporto di corrispondenza fra la realtà storica e la riproduzione meccanica (la conformità dei dati ai fatti ed alle cose rappresentate)” ed “ove la contestazione (con questo specifico contenuto) vi sia stata, la riproduzione, pur perdendo il suo pieno valore probatorio, conserva tuttavia il minor valore di un semplice elemento di prova, che può essere integrato da ulteriori elementi).

La decisione non pare affatto isolata e testimonia lo sforzo dell’interprete volto a contemperare l’esigenza di rispettare un “modello legale” con la realtà dei fatti che, invece, si svolgono in maniera difforme da tale modello: sulla stessa linea si inserisce anche un’altra interessante interessante TAR_Puglia sempre in tema di email che è disponibile anche  sotto forma di Case study.

Come inviare messaggi PEC e leggere i certificati digitali.

La seconda pillola di questo 2010 è ancora dedicata alla PEC. Sembra infatti che  la partenza di tale strumento informatico sia stata un po’ tiepida: vorremmo allora dare il nostro contributo per agevolarne l’impiego che è, in effetti, un po’ diverso da quello della posta elettronica “normale”.

Innanzitutto bisogna familiarizzare con le ricevute che sono 2 e che arrivano poco dopo l’invio:

  • una è quella di accettazione e proviene dal gestore PEC del mittente
  • la seconda è di consegna (presso il server) e proviene dal gestore PEC del destinatario

Mentre la ricevuta è contenuta direttamente nel testo del messaggio (in cui è presente anche il numero identificativo univoco) inviato dal Gestore,  il messaggio vero e proprio – quello cioè inviato dal mittente al destinatario – non è immediatamente visibile, poiché è allegato al messaggio inviato dal gestore del mittente. Per leggerlo occorre quindi  fare doppio clic sull’icona dell’allegato; a questo punto si aprirà una finestra in cui sarà visualizzato il messaggio originale.

E’ da notare, quindi, che il messaggio non riporterà direttamente il nome del mittente ma una dicitura del tipo “Per conto di: Nome e cognome mittente”. Ogni email è infatti inviata dal Gestore del mittente al Gestore del destinatario: sono questi due soggetti che si scambiano appunto il messaggio originale firmando con la propria firma digitale ogni invio.

Per visualizzare il certificato dei Gestori (e verificare che sia valido) è sufficiente cliccare sulla relativa icona (simile ad una piccola coccarda in Outlook).

PEC e identificazione personale

Andrea ButiNon c’è una norma che preveda espressamente l’obbligo in capo al gestore di posta elettronica di identificare il soggetto al quale viene assegnata una casella PEC, come rilevato autorevolmente (http://punto-informatico.it/2685365_3/PI/Commenti/pec-che.aspx) anche recentemente (http://www.ictlex.net/?p=1113).
Ma, come spesso accade, la legge potrebbe aver detto meno di quello che pensava; se crediamo che il legislatore sia un sistema pensante e dotato di coerenza interna, beh..c’è rischio di restare delusi…
Non pretendo, pertanto, che quello che sto per dire risulti sensato o logico, tuttavia potrebbe essere una interpretazione possibile. La norma, infatti, non si identifica – sempre o in tutti i casi – con il contenuto di un articolo, ma con quella regola astratta che deriva dall’incrocio (o scontro..) tra articoli diversi collocati in provvedimenti diversi, di diverso valore e rango, sia perché avvenuti a distanza di tempo, sia perché parto di maggioranze parlamentari diverse o di altre variabili difficilmente definibili.
I provvedimenti diversi che si incrociano, sono 2: il CAD (d. lgs. 82/2005) e il D.P.C.M. 2.11.2005 (Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata). Continua a leggere