Di particolare importanza, e
oggi molto dibattuta, è la questione relativa alla definizione della
responsabilità civile e penale del
certificatore.
Prima dell’entrata in vigore del Codice
dell’Amministrazione Digitale (CAD), la dottrina e la giurisprudenza si erano
interrogate sull’opportunità di ricondurre la responsabilità civile del
certificatore nell’alveo dell’art. 2043 c.c., secondo cui chi cagiona ad altri
dolosamente o colposamente un danno ingiusto è obbligato a risarcirlo, o in
quello dell’art. 1218 c.c., il quale stabilisce che il debitore che non esegue
correttamente la prestazione dovuta è tenuto al risarcimento del
danno.
L’alternativa tra responsabilità contrattuale ed
extracontrattuale del certificatore, lungi dall’essere
irrilevante, comporta non solo una diversa estensione del vincolo risarcitorio,
ma anche una diversa collocazione dell’onere della prova. In relazione al primo
profilo, mentre la responsabilità extracontrattuale presuppone un danno
ingiusto, di entità almeno apprezzabile economicamente, quella contrattuale
deriva da una qualsiasi difformità della prestazione concretamente fornita dal
debitore, rispetto a quella dovuta in forza del vincolo contrattuale,
indipendentemente dalla causazione di un danno. Con riguardo all’onere della
prova, invece, mentre per la responsabilità prevista dall’art. 2043 c.c., esso
grava sul soggetto che ha subito il danno, per quella contrattuale, si colloca
in capo al debitore, che deve dimostrare di aver adempiuto correttamente i suoi
obblighi contrattuali.
V’era inoltre chi proponeva di inquadrareil servizio
reso dal certificatore tra le attività pericolose ex art. 2050
c.c., al fine di escludere la responsabilità di questi nel caso in cui avesse
fornito la prova di “avere adottato tutte le misure idonee a evitare il
danno”.
La norma in esamesi discosta da quella, più generale, dettata
dall'art. 2043 c.c. per la diversa collocazione dell’onere della prova. In
particolare, in un processo che abbia a oggetto il risarcimento del danno
causato nell’esercizio di attività pericolose, all’attore spetterà la prova
dell’evento dannoso, della natura pericolosa dell’attività e del relativo nesso
di causalità,mentreal convenuto quella di aver adottato tutte le misure idonee a
evitare il danno. In ogni caso,l’onere probatorio del convenuto non è
limitatoalla prova negativa di non aver commesso alcuna violazione delle norme
di legge e di comune prudenza, ma si estende alla prova, positiva, di avere
impiegato ogni cura e misura atta a impedire l'evento dannoso.
La
collocazionedel servizio reso dal certificatore tra le attività pericolose
dell’art. 2050 c.c. si basavasull’esigenza di non caricare i terzi danneggiati
di una prova, ex art. 2043 c.c., molto onerosa,stanti le difficoltà
tecnico-informatiche legate al dispositivo di firma digitale e al sistema di
generazione/validazione della coppia di chiavi. In realtà,tale necessità di
ordine pratico e processuale non poteva giustificare l’inquadramento,
sostanziale, nell’art. 2050 c.c di una attivitàcertamente non pericolosa,
sebbene connotata da delicati profili tecnici. Infatti, la giurisprudenza
prevalente ritiene che debbano essere considerate pericolose, oltre alle
attività previste dall'art. 46 ss. del T.u.l.p.s. e a quelle in materia di
prevenzione degli infortuni e per la tutela dell'incolumità pubblica, le
attività che abbiano un’intrinseca pericolosità connessa alle modalità di
esercizio o ai mezzi di lavoro impiegati (Cass. 93/8069).Pertanto, costituiscono
attività pericolose quelle che, per la loro stessa natura o per le
caratteristiche degli strumenti utilizzati (Cass. 90/7571),comportano una
rilevante probabilità statistica del verificarsi di danni.
Il CAD ha
introdotto la specifica disciplina della responsabilità civile delcertificatore,
all’art. 117, il quale si pone come norma speciale rispetto a quelle, generali,
del codice civile.
La responsabilità del certificatore diviene così una
sintesi di alcune caratteristiche mutuate dalla responsabilità contrattuale e di
altre proprie di quella extracontrattuale. In particolare, da una parte il
certificatore risponde del mancato o inesatto adempimento dei suoi compiti, ma
solo in presenza di un danno concreto; dall’altra, l’onere della prova
dell’assenza di dolo o colpa grava sul soggetto che abbia cagionato il danno e
non su colui che l’abbia subito.
Il
certificatoreèresponsabile “se non prova d'aver agito senza colpa o
dolo”, “del danno cagionato a chi abbia fatto ragionevole affidamento:
a) sull'esattezza e sulla completezza delle informazioni necessarie alla
verifica della firma in esso contenute alla data del rilascio e sulla loro
completezza rispetto ai requisiti fissati per i certificati qualificati; b)
sulla garanzia che al momento del rilascio del certificato il firmatario
detenesse i dati per la creazione della firma corrispondenti ai dati per la
verifica della firma riportati o identificati nel certificato; c) sulla garanzia
che i dati per la creazione e per la verifica della firma possano essere usati
in modo complementare, nei casi in cui il certificatore generi entrambi; d)
sull'adempimento degli obblighi a suo carico previsti dall'art.
12”[1].Similmente,
egli è responsabile, salvo il caso cheprovi d'aver agito senza colpa, “dei
danni provocati per effetto della mancata o non tempestiva registrazione della
revoca o non tempestiva sospensione del certificato, secondo quanto previsto
dalle regole tecniche di cui all'art. 71”[2].
Il danneggiato dovrà
solo fornire la prova che il danno subito è dovuto all'inesattezza delle
informazioni offertegli.
In merito alla responsabilità penale del
certificatore, è opportunotener conto, anzitutto, della recente introduzione, a
opera della legge 18 marzo 2008, n. 48, di una nuova ipotesi delittuosa
specificamente riferita alla figura del certificatore[3].
L’art.
640-quinquies, rubricato “Frode informatica del soggetto che presta
servizi di certificazione di firma elettronica”, punisce con la
reclusione fino a tre anni e con la multa da 51,00 a 1032,00 euro “il
soggetto che presta servizi di certificazione di firma elettronica, il quale, al
fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad
altri danno, viola gli obblighi previsti dalla legge per il rilascio di un
certificato qualificato”.
In relazione al suo oggetto
giuridico, la fattispecie rientra nel novero dei delitti contro il
patrimonio mediante frode, sebbene alcuni ritengano impropria tale collocazione,
mancando nella condotta tipica i caratteri dell’azione fraudolenta in senso
tecnico. La condotta punibile, infatti, è costituita dalla mera violazione di
obblighi di legge, se pur finalizzata all’ingiusto profitto o all’altrui danno.
Una tale anticipazione della tutela è senz’altro giustificata alla luce della
delicatezza e rilevanza delle funzioni attribuite al soggetto certificatore,
anche in considerazione dell’avvenuta liberalizzazione del servizio, che non è
più (o non necessariamente) garantito dalla presenza di un’autorità pubblica al
vertice di esso e di un’autorizzazione preventiva per il suo svolgimento.
Per quanto concerne l’elemento soggettivo, il reato è
punibile a titolo di dolo specifico di profitto o di danno, ma è richiesta
anche, da parte del certificatore, la cosciente e volontaria violazione degli
obblighi che la legge prevede a suo carico.
E’ bene ricordare come,
trattandosi di reato proprio, il delitto previsto dall’art.
640-quinquies possa essere commesso esclusivamente dal soggetto che presta il
servizio di certificazione; gli eventuali soggetti extranei, cioè
sprovvisti di tale qualifica, potranno, se del caso, rispondere, solo a titolo
di concorso, sempreché abbiano contribuito alla realizzazione della condotta
criminosa.
L’ipotesi delittuosa appena descritta, tuttavia, non esaurisce
l’intero ambito di rilevanza penale di tutte le attività di competenza del
soggetto certificatore di firma elettronica. In particolare, il legislatore non
ha, a tutt’oggi, posto fine all’intenso dibattito relativo all’applicabilità al
certificatore dei reati di falso dei pubblici ufficiali. La
questione centrale e preliminare al merito di tale dibattito riguarda la
possibilità di qualificare il soggetto certificatore come pubblico ufficiale
(art. 357 c.p.[4]), incaricato di un
pubblico servizio (art. 358 c.p.[5]) o esercente un servizio di pubblica necessità (art. 359
c.p.[6]). Laddove si facciano
rientrare i soggetti certificatori in una di queste categorie, la conseguenza
sarebbe l’applicabiltàad essi di tutti i più gravi reati di falso.
Si
può senz’altro escludere che i certificatori siano esercenti un servizio di
pubblica necessità. Infatti, in ottemperanza ad un principio generale introdotto
dalla Direttiva 1999/93/CE e confermato dal codice dell’amministrazione
digitale, la prestazione dei servizi di certificazione è libera e non
subordinata ad autorizzazione preventiva. Non si potrebbe giungere a conclusioni
differenti neanche in relazione ai certificatori qualificati o accreditati, in
quanto mentre per i primi è prevista una dichiarazione di inizio attività che,
consistendo in un mero atto dichiarativo, non è assimilabile ad un’abilitazione
preventiva; per i secondi, sebbene esista un controllo preventivo che potrebbe
configurarsi come “speciale abilitazione da parte dello Stato”(art. 359
c.p.), dell’opera dei certificatori accreditati il cittadino non è obbligato a
valersi. La natura di esercenti un servizio di pubblica necessità dei
certificatori poteva, infatti, essere sostenuta solo con la previgente
normativa, quando la qualifica del certificatore presupponeva l’iscrizione, a
cura dell’AIPA, in un apposito elenco pubblico[7].
In merito, invece, alla possibilità di ricondurre i
certificatori all’ampia categoria dei pubblici ufficiali, nonostante la dottrina
prevalente l’abbia esclusa per via della natura privata del soggetto in
questione, bisogna tener conto della recente, ma concorde, giurisprudenza della
Suprema Corte. Quest’ultima ha ormai posto con fermezza un punto fisso in questa
complicata materia: il mero fatto di essere un soggetto privato non esclude a
priori la qualifica di pubblico ufficiale. Siè, infatti, ormai affermata una
concezione funzionale-oggettiva della pubblica funzione, per
cui assume rilevanza, non già la pubblicità dell’ente o la natura del rapporto
di impiego del soggetto, bensì la circostanza obiettiva di esercitare una
pubblica funzione, a prescindere dall’esistenza di un rapporto, temporaneo o
permanente, di pubblico impiego. Nell’attuale momento storico-politico si è
avviato un processo di privatizzazione per cui è divenuta frequente la
concessione o la delega a privati di funzioni tipicamente pubblicistiche e “non
va trascurato il sempre maggior ricorso da parte della pubblica amministrazione
agli strumenti di diritto privato”[8].
Alla luce di quanto fin qui esposto, sembra sostenibile
poter qualificare i certificatori come pubblici ufficiali,
sulla base del potere certificativo, che la legge gli attribuisce
espressamente.
**************
[1] Art. 30, comma 1, CAD.
[2] Art. 30, comma 2, CAD.
[3] La medesima legge (48/2008) ha introdotto anche un’ipotesi di reato che contempla la figura del certificatore come soggetto passivo del reato. Si tratta della fattispecie di “Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri”, che punisce chiunque fornisca informazioni false al certificatore con la reclusione fino ad un anno.
[4] Art. 357 c.p.: NOZIONE DI PUBBLICO UFFICIALE“Agli effetti della legge penale, sono pubblici ufficiali coloro i quali esercitano una pubblica funzione legislativa, giudiziaria o amministrativa. Agli stessi effetti è pubblica la funzione amministrativa disciplinata da norme di diritto pubblico e da atti autoritativi, e caratterizzata dalla formazione e manifestazione di volontà della pubblica amministrazione o dal suo svolgersi per mezzo di poteri autoritativi o certificativi”.
[5] Art. 358 c.p.:
NOZIONE DELLA PERSONA INCARICATA DI UN PUBBLICO SERVIZIO “Agli effetti della
legge penale, sono incaricati di un pubblico servizio coloro i quali, a
qualunque titolo, prestano un pubblico servizio.
Per pubblico servizio deve
intendersi un’attività disciplinata nelle stesse forme della pubblica funzione,
ma caratterizzata dalla mancanza dei poteri tipici di quest’ultima, e con
l’esclusione dello svolgimento di semplici mansioni d’ordine e della prestazione
di opera meramente materiale”.
[6] Art. 359 c.p.:
PERSONE ESERCENTI UN SERVIZIO DI PUBBLICA NECESSITA’ “Agli effetti della legge
penale, sono persone che esercitano un servizio di pubblica
necessità:
1. i privati che esercitano
professioni forensi e sanitarie, o altre professioni il cui esercizio sia per la
legge vietato senza una speciale abilitazione dello Stato, quando all’opera di
essi il pubblico sia per legge obbligato a valersi.
2. I privati che, non esercitando una pubblica funzione, né
prestando un pubblico servizio, adempiono un servizio dichiarato di pubblica
necessità mediante un atto della pubblica Amministrazione”.
[7] In tal senso, si veda ad esempio C. PARODI, A. CALICE, Responsabilità penali e internet, in Il sole 24 ore, pp. 163 ss.
[8] G. FIANDACA, E. MUSCO, Diritto penale Parte Speciale, vol. I, Bologna, 2008, p. 169.