Può Realizzarsi una Soluzione di FEA Utilizzando la PEC ?

Avv. Marco Cuniberti - 6 novembre 2014

La risposta mi pare possa essere positiva, a determinate condizioni.
Per cui, un messaggio contenuto in una PEC (cioè nel corpo della stessa, non un file allegato), con ricevuta "completa", tramite una casella con “Domain Name” di cui è titolare il soggetto erogatore (cioè quello dei due contraenti che fornisce all’altro la soluzione FEA, dopo averlo identificato personalmente) e indirizzato allo stesso erogatore, potrebbe essere considerato sottoscritto con FEA (Firma Elettronica Avanzata).
Ai sensi dell’art. 1, lett. q bis, del CAD, per FEA si intende “l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario puo' conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
L’art. 21, c. 2, dispone poi che, per poter ottenere una FEA “compliant”, debbono essere rispettate altresì le relative regole tecniche (DPCM 22 febbraio 2013, artt. 55 e ss.).
Come cercherò di dimostrare, tali requisiti mi sembrano poter ricorrere, anche con una soluzione di questo tipo.
Comincerei la mia analisi dalla fine, cioè dall'art. 61 di dette regole tecniche, che prevede espressamente che, nei rapporti con le P.A., l'invio tramite posta elettronica certificata con ricevuta completa sostituisca la firma elettronica avanzata (addirittura senza il limite dell’art. 60).
Il che non può non far presumere che la PEC, come strumento, abbia i requisiti che la legge richiede allo strumento FEA per accordargli determinate conseguenze giuridiche (sostanzialmente soddisfare il requisito legale della forma scritta e l’efficacia probatoria di scrittura privata, ex art. 2702: con il vantaggio, rispetto a quest’ultima figura, di avere molte probabilità in più di provare la paternità/provenienza del documento in capo al firmatario, rispetto a una scrittura privata “analogica”).
Analizziamo le altre regole tecniche.
L’art. 55 inizia con una norma di apertura del sistema, disponendo che la realizzazione di soluzioni di firma elettronica avanzata e' libera e non e' soggetta ad alcuna autorizzazione preventiva.
Il secondo comma prevede effettivamente che la FEA debba essere "erogata" al proprio cliente dal fornitore (per dirla in modo volutamente semplicistico): ma poichè il comma 2, lett. b, prevede espressamente che la FEA sia "erogata" anche tramite servizi di terzi, il fornitore (ad esempio la banca Alfa) potrà fornire una casella PEC al proprio cliente (ad es. l’imprenditore Beta), “comprandola” da Gamma, che è un fornitore di PEC.
Non ritengo invece che la Banca Alfa possa chiedere a Beta di utilizzare la propria PEC (che magari abbia e usi già), in quanto l’art. 55 dispone proprio che la soluzione di PEC debba essere “erogata dal fornitore”.
L’art. 56 (Caratteristiche delle soluzioni di firma elettronica avanzata), primo comma, è decisivo.
Esso richiede che le soluzioni di firma elettronica avanzata garantiscano:
a)    l'identificazione del firmatario del documento (la banca Alfa, prima di fornire a Beta la PEC, lo identifica);
b)    la connessione univoca della firma al firmatario (i messaggi PEC sono sempre riconducibili al titolare della casella);
c)    il controllo esclusivo del firmatario del sistema di generazione della firma (solo il titolare della casella ha le credenziali per l’accesso e l’utilizzo);
d)    la possibilita' di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma (la PEC è certificata e addirittura firmata digitalmente dal terzo fornitore del servizio);
e)    la possibilita' per il firmatario di ottenere evidenza di quanto sottoscritto (la ricevuta “completa”);
f)    l'individuazione del soggetto “erogatore” (la casella PEC dev’essere su un nome a dominio di cui è titolare l’erogatore Alfa, ancorché tecnicamente fornito/gestito da Gamma);
g)    l'assenza di qualunque elemento nell'oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati (il testo del documento dovrà essere contenuto nel corpo del messaggio, in modo da essere reso immodificabile);
h)    la connessione univoca della firma al documento sottoscritto (è in re ipsa).
Anche gli obblighi previsti dall’art. 57 mi paiono facilmente assolvibili fornendo a Beta un servizio di PEC.
Infine, come si è visto, l'art. 61 prevede espressamente la compliance di questo sistema nei rapporti con le P.A., il che sicuramente aiuta.
Mi pare quindi di poter affermare che questo sistema (che, vista l’identificazione iniziale del contraente – Beta - da parte dell’erogatore – Alfa – all’inizio del rapporto, potrebbe rappresentare una soluzione FEA a norma di legge (in pratica, assomiglia ad una PEC-ID), sicuramente implementabile da soggetti come, ad esempio, istituti bancari o assicurativi; e (credo) meno costosa o complicata di altre recentemente realizzate.