Di particolare importanza, e oggi molto dibattuta, è la questione relativa alla definizione della responsabilità civile e penale del certificatore.
Prima dell’entrata in vigore del Codice dell’Amministrazione Digitale (CAD), la dottrina e la giurisprudenza si erano interrogate sull’opportunità di ricondurre la responsabilità civile del certificatore nell’alveo dell’art. 2043 c.c., secondo cui chi cagiona ad altri dolosamente o colposamente un danno ingiusto è obbligato a risarcirlo, o in quello dell’art. 1218 c.c., il quale stabilisce che il debitore che non esegue correttamente la prestazione dovuta è tenuto al risarcimento del danno.
L’alternativa tra responsabilità contrattuale ed extracontrattuale del certificatore, lungi dall’essere irrilevante, comporta non solo una diversa estensione del vincolo risarcitorio, ma anche una diversa collocazione dell’onere della prova. In relazione al primo profilo, mentre la responsabilità extracontrattuale presuppone un danno ingiusto, di entità almeno apprezzabile economicamente, quella contrattuale deriva da una qualsiasi difformità della prestazione concretamente fornita dal debitore, rispetto a quella dovuta in forza del vincolo contrattuale, indipendentemente dalla causazione di un danno. Con riguardo all’onere della prova, invece, mentre per la responsabilità prevista dall’art. 2043 c.c., esso grava sul soggetto che ha subito il danno, per quella contrattuale, si colloca in capo al debitore, che deve dimostrare di aver adempiuto correttamente i suoi obblighi contrattuali.
V’era inoltre chi proponeva di inquadrareil servizio reso dal certificatore tra le attività pericolose ex art. 2050 c.c., al fine di escludere la responsabilità di questi nel caso in cui avesse fornito la prova di “avere adottato tutte le misure idonee a evitare il danno”.
La norma in esamesi discosta da quella, più generale, dettata dall'art. 2043 c.c. per la diversa collocazione dell’onere della prova. In particolare, in un processo che abbia a oggetto il risarcimento del danno causato nell’esercizio di attività pericolose, all’attore spetterà la prova dell’evento dannoso, della natura pericolosa dell’attività e del relativo nesso di causalità,mentreal convenuto quella di aver adottato tutte le misure idonee a evitare il danno. In ogni caso,l’onere probatorio del convenuto non è limitatoalla prova negativa di non aver commesso alcuna violazione delle norme di legge e di comune prudenza, ma si estende alla prova, positiva, di avere impiegato ogni cura e misura atta a impedire l'evento dannoso.
La collocazionedel servizio reso dal certificatore tra le attività pericolose dell’art. 2050 c.c. si basavasull’esigenza di non caricare i terzi danneggiati di una prova, ex art. 2043 c.c., molto onerosa,stanti le difficoltà tecnico-informatiche legate al dispositivo di firma digitale e al sistema di generazione/validazione della coppia di chiavi. In realtà,tale necessità di ordine pratico e processuale non poteva giustificare l’inquadramento, sostanziale, nell’art. 2050 c.c di una attivitàcertamente non pericolosa, sebbene connotata da delicati profili tecnici. Infatti, la giurisprudenza prevalente ritiene che debbano essere considerate pericolose, oltre alle attività previste dall'art. 46 ss. del T.u.l.p.s. e a quelle in materia di prevenzione degli infortuni e per la tutela dell'incolumità pubblica, le attività che abbiano un’intrinseca pericolosità connessa alle modalità di esercizio o ai mezzi di lavoro impiegati (Cass. 93/8069).Pertanto, costituiscono attività pericolose quelle che, per la loro stessa natura o per le caratteristiche degli strumenti utilizzati (Cass. 90/7571),comportano una rilevante probabilità statistica del verificarsi di danni.
Il CAD ha introdotto la specifica disciplina della responsabilità civile delcertificatore, all’art. 117, il quale si pone come norma speciale rispetto a quelle, generali, del codice civile.
La responsabilità del certificatore diviene così una sintesi di alcune caratteristiche mutuate dalla responsabilità contrattuale e di altre proprie di quella extracontrattuale. In particolare, da una parte il certificatore risponde del mancato o inesatto adempimento dei suoi compiti, ma solo in presenza di un danno concreto; dall’altra, l’onere della prova dell’assenza di dolo o colpa grava sul soggetto che abbia cagionato il danno e non su colui che l’abbia subito.  
 Il certificatoreèresponsabile “se non prova d'aver agito senza colpa o dolo”, “del danno cagionato a chi abbia fatto ragionevole affidamento: a) sull'esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati; b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; c) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi; d) sull'adempimento degli obblighi a suo carico previsti dall'art. 12”[1].Similmente, egli è responsabile, salvo il caso cheprovi d'aver agito senza colpa, “dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o non tempestiva sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all'art. 71”[2].
Il danneggiato dovrà solo fornire la prova che il danno subito è dovuto all'inesattezza delle informazioni offertegli.
In merito alla responsabilità penale del certificatore, è opportunotener conto, anzitutto, della recente introduzione, a opera della legge 18 marzo 2008, n. 48, di una nuova ipotesi delittuosa specificamente riferita alla figura del certificatore[3].
 L’art. 640-quinquies, rubricato “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”, punisce con la reclusione fino a tre anni e con la multa da 51,00 a 1032,00 euro “il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato”.
In relazione al suo oggetto giuridico, la fattispecie rientra nel novero dei delitti contro il patrimonio mediante frode, sebbene alcuni ritengano impropria tale collocazione, mancando nella condotta tipica i caratteri dell’azione fraudolenta in senso tecnico. La condotta punibile, infatti, è costituita dalla mera violazione di obblighi di legge, se pur finalizzata all’ingiusto profitto o all’altrui danno. Una tale anticipazione della tutela è senz’altro giustificata alla luce della delicatezza e rilevanza delle funzioni attribuite al soggetto certificatore, anche in considerazione dell’avvenuta liberalizzazione del servizio, che non è più (o non necessariamente) garantito dalla presenza di un’autorità pubblica al vertice di esso e di un’autorizzazione preventiva per il suo svolgimento.
Per quanto concerne l’elemento soggettivo, il reato è punibile a titolo di dolo specifico di profitto o di danno, ma è richiesta anche, da parte del certificatore, la cosciente e volontaria violazione degli obblighi che la legge prevede a suo carico.
E’ bene ricordare come, trattandosi di reato proprio, il delitto previsto dall’art. 640-quinquies possa essere commesso esclusivamente dal soggetto che presta il servizio di certificazione; gli eventuali soggetti extranei, cioè sprovvisti di tale qualifica, potranno, se del caso, rispondere, solo a titolo di concorso, sempreché abbiano contribuito alla realizzazione della condotta criminosa.
L’ipotesi delittuosa appena descritta, tuttavia, non esaurisce l’intero ambito di rilevanza penale di tutte le attività di competenza del soggetto certificatore di firma elettronica. In particolare, il legislatore non ha, a tutt’oggi, posto fine all’intenso dibattito relativo all’applicabilità al certificatore dei reati di falso dei pubblici ufficiali. La questione centrale e preliminare al merito di tale dibattito riguarda la possibilità di qualificare il soggetto certificatore come pubblico ufficiale (art. 357 c.p.[4]), incaricato di un pubblico servizio (art. 358 c.p.[5]) o esercente un servizio di pubblica necessità (art. 359 c.p.[6]). Laddove si facciano rientrare i soggetti certificatori in una di queste categorie, la conseguenza sarebbe l’applicabiltàad essi di tutti i più gravi reati di falso. 
Si può senz’altro escludere che i certificatori siano esercenti un servizio di pubblica necessità. Infatti, in ottemperanza ad un principio generale introdotto dalla Direttiva 1999/93/CE e confermato dal codice dell’amministrazione digitale, la prestazione dei servizi di certificazione è libera e non subordinata ad autorizzazione preventiva. Non si potrebbe giungere a conclusioni differenti neanche in relazione ai certificatori qualificati o accreditati, in quanto mentre per i primi è prevista una dichiarazione di inizio attività che, consistendo in un mero atto dichiarativo, non è assimilabile ad un’abilitazione preventiva; per i secondi, sebbene esista un controllo preventivo che potrebbe configurarsi come “speciale abilitazione da parte dello Stato”(art. 359 c.p.), dell’opera dei certificatori accreditati il cittadino non è obbligato a valersi. La natura di esercenti un servizio di pubblica necessità dei certificatori poteva, infatti, essere sostenuta solo con la previgente normativa, quando la qualifica del certificatore presupponeva l’iscrizione, a cura dell’AIPA, in un apposito elenco pubblico[7].
In merito, invece, alla possibilità di ricondurre i certificatori all’ampia categoria dei pubblici ufficiali, nonostante la dottrina prevalente l’abbia esclusa per via della natura privata del soggetto in questione, bisogna tener conto della recente, ma concorde, giurisprudenza della Suprema Corte. Quest’ultima ha ormai posto con fermezza un punto fisso in questa complicata materia: il mero fatto di essere un soggetto privato non esclude a priori la qualifica di pubblico ufficiale. Siè, infatti, ormai affermata una concezione funzionale-oggettiva della pubblica funzione, per cui assume rilevanza, non già la pubblicità dell’ente o la natura del rapporto di impiego del soggetto, bensì la circostanza obiettiva di esercitare una pubblica funzione, a prescindere dall’esistenza di un rapporto, temporaneo o permanente, di pubblico impiego. Nell’attuale momento storico-politico si è avviato un processo di privatizzazione per cui è divenuta frequente la concessione o la delega a privati di funzioni tipicamente pubblicistiche e “non va trascurato il sempre maggior ricorso da parte della pubblica amministrazione agli strumenti di diritto privato”[8].
Alla luce di quanto fin qui esposto, sembra sostenibile poter qualificare i certificatori come pubblici ufficiali, sulla base del potere certificativo, che la legge gli attribuisce espressamente.

**************

[1] Art. 30, comma 1, CAD.