COVID-19 e Remote Working: come firmare un documento da remoto?

 Gian Marco Rinaldi, Marta Breschi

04-2020

A seguito della diffusione del virus COVID-19, in molte aziende si è reso necessario, ancor più che in passato, poter sottoscrivere da remoto atti, contratti e documenti aziendali con l'ausilio di strumenti informatici.

Fra questi menzioniamo, ad esempio, i contratti commerciali con clienti o fornitori, i contratti di lavoro, i documenti societari, le policy interne, gli accordi per il trattamento dei dati personali. 

Di seguito si illustrano, in sintesi, le possibilità offerte dalle soluzioni di firma elettronica e dallo SPID, anche alla luce delle linee Guida recentemente elaborate dall'AgID per quest'ultimo strumento. Tali Linee Guida sono in via di pubblicazione sulla Gazzetta Ufficiale.

Soluzioni di firme elettroniche in Italia

In Italia - fatti salvi i casi in cui la legge richiede particolari requisiti di forma ad substantiam - è possibile sottoscrivere qualunque documento con una firma elettronica di tipo "semplice". 

Come previsto dal Regolamento eIDAS (Regolamento EU 910/2014) a una firma elettronica cosiddetta "semplice" non possono essere negati né gli effetti giuridici né l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate (art. 25, co. 1, Reg. eIDAS).

Una firma elettronica semplice consiste in un insieme di "dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare" (art. 3, n. 10, Reg. eIDAS).

In sostanza, configura una firma elettronica semplice anche l'apposizione del proprio nome e cognome in calce ad una mail oppure l'utilizzazione di una qualunque soluzione di firma elettronica che non abbia i requisiti previsti per la firma elettronica avanzata o qualificata di cui diremo a breve. Fra le soluzioni di firma elettronica semplice si annoverano altresì alcune piattaforme di sottoscrizione di documenti on line presenti sul mercato.

Laddove la legge richieda particolare requisiti di forma (e ove s'intenda sottoscrivere i relativi documenti con strumenti informatici invece che con firma autografa), risultano necessarie soluzioni di firma elettronica più "forti" della firma elettronica semplice.

In particolare, gli atti di cui all'art 1350, co. 1, numeri da 1) a 12), del codice civile (e.g.: diverse fattispecie di contratti relativi agli immobili, contratti di società e associazione, di costituzione di rendita ed altri) devono essere sottoscritti, a pena di nullità, con firma elettronica qualificata o con firma digitale (art. 21, 2-bis del Codice Amministrazione Digitale "CAD", D.lgs. 82/2005) 

Gli atti di cui all'articolo 1350, co. 1, numero 13), del codice civile (cioè "gli altri atti specialmente indicati dalla legge") devono essere sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero formati con le modalità previste dallo SPID di cui si parlerà nella successiva sezione III.

Abbiamo poc'anzi menzionato gli altri due tipi di firma elettronica previsti dalla legge oltre alla firma elettronica c.d. "semplice". 

Questi sono la firma elettronica avanzata e la firma elettronica qualificata. Quanto alla firma digitale a cui le norme del CAD fanno riferimento, questa non è che un tipo - il più diffuso in Italia - di firma elettronica qualificata. 

Una firma elettronica avanzata è una firma elettronica semplice che ha inoltre le seguenti caratteristiche: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati (art. 26 Reg. eIDAS). 

La firma elettronica qualificata (o digitale) è una firma elettronica avanzata (dunque ha tutti i requisiti sopra elencati) ed inoltre è:

  • creata da un dispositivo per la creazione di una firma elettronica qualificata;
  • basata su un certificato qualificato per firme elettroniche rilasciato da un prestatore di servizi fiduciari qualificato (art. 25, co. 2 e 3, Reg. eIDAS).

In conclusione, fermo restando le eccezioni già menzionate, evidenziamo che con riferimento ai contratti utilizzati da un'azienda nelle sue transazioni commerciali, nella gran parte dei casi gli stessi potranno essere sottoscritti anche solo con una firma elettronica semplice. 

Va peraltro considerato che, come spesso accade, ove i contratti contengano clausole vessatorie ex art. 1341, co. 2 del codice civile, tali clausole, non potranno essere sottoscritte con firma elettronica semplice ma dovranno essere specificatamente approvate "per iscritto" dalla controparte. Pertanto occorrerà, a pena di nullità, una firma elettronica avanzata o una firma elettronica qualificata o fare uso del sistema SPID di cui si parlerà nella successiva sezione III.

Ricordiamo che le suddette clausole vessatorie sono quelle condizioni che stabiliscono a favore di colui che le ha predisposte: i) limitazioni di responsabilità, ii) facoltà di recedere dal contratto o iii) di sospenderne l’esecuzione, ovvero iv) sanciscono a carico dell’altro contraente decadenze, v) limitazioni alla facoltà di opporre eccezioni, vi) restrizioni alla libertà contrattuale nei rapporti coi terzi, vii) tacita proroga o viii) rinnovazione del contratto, ix) clausole compromissorie o x) deroghe alla competenza dell’autorità giudiziaria.

Identificazione e sottoscrizione di documenti tramite Sistema Pubblico di Identità Digitale (SPID)

A partire dal 2014 è stato introdotto in Italia un sistema di identificazione elettronica che consente l'accesso ai servizi on line pubblici e privati per mezzo di un'identità elettronica unica (DPCM 24 ottobre 2014).

L’identità SPID è costituita da credenziali (nome utente e password) che vengono rilasciate all’utente da un c.d. identity provider e che permettono l’accesso ai servizi on line di soggetti terzi (c.d. service provider). 

Questi ultimi possono essere enti pubblici (ad esempio: Agenzia delle Entrate, INPS, INAIL, Anagrafe, e altre circa 4000 amministrazioni pubbliche) o aziende private che hanno richiesto di aderire al servizio e possono perciò avvalersi del sistema d'identificazione pubblico.

L'utente può richiedere lo SPID come privato cittadino oppure (a seguito dell'emissione delle Linee Guida AgiD del 6 dicembre 2019) come libero professionista o come rappresentante di un’organizzazione (società, associazione, etc.).

Lo SPID prevede tre diversi livelli di sicurezza. L'utente, al momento della creazione della propria identità SPID, sceglierà il livello di sicurezza appropriato per il tipo di transazioni che intende realizzare.

Come indicato nella sezione I, il CAD prevede che l'utente, una volta che si sia autenticato con il sistema SPID (in conformità alle Linee Guida a cui rinvia l'art. 71 del CAD), possa sottoscrivere contratti anche ove per la sottoscrizione degli stessi sia prevista la forma scritta ad substantiam, come ad esempio nel caso della firma delle clausole vessatorie. Non potrà invece sottoscrivere gli atti di cui all'art. 1350, co. 1, numeri da 1) a 12) del codice civile, già menzionati. 

Con recentissimo provvedimento, il 26 marzo 2020 l'AgID, a seguito della intervenuta consultazione pubblica, ha pubblicato le nuove Linee Guida rendendo perciò il sistema SPID effettivamente utilizzabile anche per la sottoscrizione di documenti informatici; diviene pertanto possibile firmare atti e contratti attraverso SPID con lo stesso valore giuridico della firma autografa, soddisfacendo, così, il requisito della forma scritta e producendo gli effetti dell'art. 2702 del codice civile. Tali Linee Guida entreranno in vigore dopo la pubblicazione in Gazzetta Ufficiale. 

In sintesi, le Linee Guida stabiliscono che il service provider può ottenere la sottoscrizione di un documento da parte dell'utente autenticato tramite SPID seguendo un'apposita procedura che prevede lo scambio dei dati di autenticazione e del documento informatico da sottoscrivere con l'identity provider. Nel corso di tale procedura, sia il service provider che l'identity provider apporranno altresì sul documento il proprio sigillo elettronico qualificato (quest'ultimo è uno strumento previsto dal Regolamento eIDAS, art. 38 e ss.) ed eseguiranno le ulteriori attività ed adempimenti previsti dalle Linee Guida.

Con riferimento al suddetto sistema di firma, si rammenta infine che:

a) lo stesso può essere utilizzato esclusivamente per le identità digitali della persona fisica e per le identità digitali per uso come libero professionista. Il sistema di firma non può essere invece adoperato con identità digitali SPID dei rappresentanti delle persone giuridiche. Questo comporta che, al momento, tale soluzione non può essere impiegata negli accordi fra imprese ma può essere impiegata tra le imprese e i privati (o i liberi professionisti); 

b) non è previsto un obbligo di riconoscimento dei documenti firmati con SPID al di fuori dell'Italia. Pertanto i documenti così sottoscritti saranno oggetto di autonoma valutazione da parte degli Stati Membri in cui si vuole usare il documento informatico firmato con questa soluzione SPID.