CASSAZIONE: EQUIVALENZA TRA LE FIRME “CAdES” E “PAdES”

notizia 
tania ,

Con la sentenza n. 10266/2018, pubblicata lo scorso 27 aprile, le Sezioni Unite della Cassazione danno finalmente una risposta alla questione della equivalenza tra la firma CAdES e la firma PAdES.

La questione è stata sollevata a seguito di eccezione circa la ritualità della notifica di un controricorso, avvenuta con allegazione al messaggio di PEC di tre files con estensione <*.pdf> e non <*.p7m>, e, quindi, da ritenersi privi di firma digitale.

Con ordinanza interlocutoria (Cass., 31/08/2017, n. 20672), la sez. 6-3 ha investito le Sezioni Unite della quaestio juris relativa alla scelta tra l’alternativa PAdES, opzionata da uno dei controricorrenti, o CAdES della modalità strutturale dell’atto del processo in forma di documento informatico e firmato da notificare direttamente dall’avvocato, circa la configurabilità o meno, al riguardo, ed in particolare, quando l’atto da notificare comprende anche la procura speciale indispensabile per la ritualità del ricorso o del controricorso in sede di legittimità, di una prescrizione sulla forma dell’atto indispensabile al raggiungimento dello scopo ai sensi dell’art. 156, secondo comma, cod. proc. civ., posta a pena di nullità, nonché, nella stessa fattispecie, sull’applicabilità del principio di sanatoria dell’atto nullo in caso di raggiungimento dello scopo.

L’ordinanza di rimessione

Il formato dell’atto del processo quale documento informatico è regolato dal provvedimento ministeriale del 28/12/2015, art. 12. La struttura del documento firmato è PAdES o CAdES e, nel caso del formato CAdES, il file generato si presenta con un’unica estensione <*.p7m>.

Secondo il collegio rimettente sarebbe sempre indispensabile l’estensione <*.p7m> a garanzia unica dell’autenticità del file, cioè dell’apposizione della firma digitale al file in cui il documento informatico originale è stato formato, solo per il caso in cui il documento informatico originale è creato in formato diverso da quello <*.pdf>.

Ciò sarebbe confermato dal rilievo che la notifica insieme all’atto del processo in forma di documento informatico di un allegato è consentita se questo è in formato <*.pdf>, ma, se il secondo è firmato digitalmente, dovrebbe quest’ultimo appunto recare sempre l’estensione <*.p7m>, a garanzia della sua autenticità (art. 12, comma 2 e art. 13, lett. a), provv. 28/12/2015).

Secondo il collegio rimettente, pertanto,

parrebbe dirsi che con l’imposizione dell’elaborazione del file in documento informatico con estensione <*.p7m> il normatore tecnico abbia inteso offrire la massima garanzia possibile, allo stato, di conformità del documento, non creato ab origine in formato informatico ma articolato anche su di una parte o componente istituzionalmente non informatica, quale la procura a firma analogica su supporto tradizionale, al suo originale composito, incorporando appunto i due documenti in modo inscindibile e, per quel che rileva ai fini processuali e soprattutto-se non altro con riferimento alla presente fattispecie – della regolare costituzione nel giudizio di legittimità (per la quale è da sempre stata considerata quale presupposto indispensabile la ritualità della procura speciale), con assicurazione di genuinità ed autenticità di entrambi in quanto costituenti un unicum”.

In tale prospettiva, per il collegio non dovrebbero poter giovare i precedenti delle sezioni unite e delle sezioni semplici, riferiti al documento nativo analogico, notificato in via telematica con estensione <*.doc> anziché <*.pdf>, ovvero ad un atto trasmesso mediante file con estensione <*.p7m> dedotto come illeggibile ma comunque decifrato, ovvero riguardanti il principio generale dell’insussistenza di un diritto all’astratta regolarità del processo,

visto che l’intrinseca esistenza dell’atto e della procura attiene ad elementi talmente coessenziali dell’uno e dell’altro ai fini di una valida instaurazione del rapporto processuale dinanzi al giudice di legittimità da suggerirne come indispensabile la verifica ufficiosa”.

La normativa italiana

Il processo telematico non è stato ancora esteso dal legislatore al giudizio di cassazione, che resta, ad oggi, un processo essenzialmente analogico.

Fanno eccezione solo le comunicazioni e le notificazioni da parte delle cancellerie delle sezioni civili, secondo quanto previsto dal d.m. 19 gennaio 2016, emesso ai sensi del d.I., 18/10/2012, art. 16, comma 10.

Per tale ragione, si rende necessario estrarre copie analogiche (cioè cartacee) degli atti digitali, secondo il combinato disposto degli artt. 3, 3-bis, 6 e 9 legge, 21/01/1994 n.53 e dell’art. 23, comma 1, cod. amm. Digitale, secondo cui l’avvocato, in qualità di pubblico ufficiale, ha il potere di attestare la conformità agli originali digitali delle copie del messaggio di posta elettronica certificata inviato all’avvocato di controparte, delle ricevute di accettazione e di avvenuta consegna, nonché degli atti allegati, compresivi dalla relazione di notificazione.

La normativa europea

Nella sentenza in esame, la Suprema Corte richiama la Decisione di esecuzione (UE) 2015/1506 della Commissione dell’8 settembre 2015, che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all’art. 27, § 5, e all’art. 37, § 5, del Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’art. 1 stabilisce che

Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, […], riconoscono la firma elettronica avanzata XML, CMS o PDF […]”.

L’allegato alla decisione, nel fissare l’elenco delle specifiche tecniche, stabilisce che

Le firme elettroniche avanzate di cui all’articolo 1 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, […]: Profilo di base XAdES […]. Profilo di base CAdES […]. Profilo di base PAdES […]”.

Il considerando (2) della medesima decisione chiarisce che il Regolamento (UE) n. 910/2014 obbliga gli Stati membri, che richiedono una firma elettronica avanzata, a riconoscere le firme elettroniche avanzate, aventi formati convalidati conformemente a specifici metodi di riferimento, atteso che, in base al considerando (6),

Le firme elettroniche avanzate e i sigilli elettronici avanzati sono simili dal punto di vista tecnico”, laddove, in base al considerando (4), “La definizione di formati di riferimento è intesa a facilitare la convalida transfrontaliera delle firme elettroniche e a migliorare l’interoperabilità transfrontaliera delle procedure elettroniche”.

Pertanto, osservano le Sezioni Unite, che, secondo il diritto dell’Unione,

le firme digitali di tipo CAdES, ovverosia CMS (Cryptographic Message Syntax) Advanced Electronic Signatures, oppure di tipo PAdES, ovverosia PDF (Portable Document Format) Advanced Electronic Signature, che qui interessano, sono equivalenti e devono essere riconosciute e convalidate dai Paesi membri, senza eccezione alcuna”.

Invero,

al fine di garantire una disciplina uniforme della firma digitale nell’UE, sono stati adottati degli standards europei mediante il cd. regolamento eIDAS (electronic IDentification, Authentication and trust Services, ovverosia il Reg. UE, n. 910/2014, cit.) e la consequenziale decisione esecutiva (Comm. UE, 2015/1506, cit.), che impongono agli Stati membri di riconoscere le firme digitali apposte secondo determinati standards tra i quali figurano sia quello CAdES sia quello PAdES (Cons. Stato, Sez. 3, 27/11/2017, n. 5504)”.

La nozione di firma digitale e le differenze tra PAdES e CAdES

Secondo l’Agenzia per l’Italia Digitale, la firma digitale è il risultato di una procedura informatica – detta validazione – che garantisce l’autenticità e l’integrità di documenti informatici.

Essa conferisce al documento informatico le peculiari caratteristiche di:

  1. a) autenticità (perché garantisce l’identità digitale del sottoscrittore del documento);
  2. b) integrità (perché assicura che il documento non sia stato modificato dopo la sottoscrizione);
  3. c) non ripudio (perché attribuisce validità legale al documento).

Osservano i Giudici che

la stessa Agenzia precisa che la firma digitale in formato CAdES dà luogo ad un file con estensione finale <*.p7m> e può essere apposta a qualsiasi tipo di file, ma per visualizzare il documento oggetto della sottoscrizione è necessario utilizzare un’applicazione specifica. Invece, la firma digitale in formato PAdES, più nota come «firma PDF», è un file con normale estensione <*.pdf>, leggibile con i comuni readers disponibili per questo formato; inoltre prevede diverse modalità per l’apposizione della firma, a seconda che il documento sia stato predisposto o meno ad accogliere le firme previste ed eventuali ulteriori informazioni, il che rende sì il documento più facilmente fruibile, ma consente di firmare solo documenti di tipo PDF. Dunque, anche l’Agenzia certifica la piena equivalenza, riconosciuta a livello europeo, delle firme digitali nei formati CAdES e PAdES”.

In realtà, precisano le Sezioni Unite,

sin dal 2006 il CNIPA (Centro nazionale per l’informatica nella Pubblica amministrazione), organismo all’epoca competente, e la società titolare del marchio (Adobe Systems) fu sottoscritto un protocollo, che riconobbe il formato PDF valido per la firma digitale, così come definita dal Codice dell’amministrazione digitale e in conformità alla Delib. CNIPA/4/2005”.

La firma nel processo civile

L’art. 12 del decreto dirigenziale del 16 aprile 2014 (contenente le Specifiche tecniche previste dall’art. 34 d.m. 21 febbraio 2011 n. 44), stabilisce, al primo comma, che

L’atto del processo in forma di documento informatico, da depositare telematicamente all’ufficio giudiziario, rispetta i seguenti requisiti: a) è in formato PDF; b) è privo di elementi attivi; c) è ottenuto da una trasformazione di un documento testuale, senza restrizioni per le operazioni di selezione e copia di parti; non è pertanto ammessa la scansione di immagini; d) è sottoscritto con firma digitale o firma elettronica qualificata esterna secondo la struttura riportata ai commi seguenti; e) è corredato da un file in formato XML, che contiene le informazioni strutturate nonché tutte le informazioni della nota di iscrizione a ruolo, e che rispetta gli XSD riportati nell’Allegato 5; esso è denominato DatiAtto.xml ed è sottoscritto con firma digitale o firma elettronica qualificata”.

Al secondo comma, precisa:

La struttura del documento firmato è PAdES-BES (o PAdES Part 3) o CAdES-BES; il certificato di firma è inserito nella busta crittografica; è fatto divieto di inserire nella busta crittografica le informazioni di revoca riguardanti il certificato del firmatario. La modalità di apposizione della firma digitale o della firma elettronica qualificata è del tipo «firme multiple indipendenti» o «parallele», e prevede che uno o più soggetti firmino, ognuno con la propria chiave privata, lo stesso documento (o contenuto della busta). L’ordine di apposizione delle firme dei firmatari non è significativo e un’alterazione dell’ordinamento delle firme non pregiudica la validità della busta crittografica; nel caso del formato CAdES il file generato si presenta con un’unica estensione p7m. Il meccanismo qui descritto è valido sia per l’apposizione di una firma singola che per l’apposizione di firme multiple”.

Concludono i Giudici

Dunque, secondo la normativa nazionale, la struttura del documento firmato può essere indifferentemente PAdES o CAdES. Il certificato di firma è inserito nella busta crittografica, che è pacificamente presente in entrambi gli standards abilitati (www.agid.gov.it/sites/default/files/linee guida/firme multiple.pdf) a mente dell’art. 1, lett. y) – z), del decreto dirigenziale del 16 aprile 2014. Solo nel caso del formato CAdES l’art. 12 è, ovviamente, tenuto a precisare che il file generato si presenta denominato coll’estensione finale <*.p7m>, detta anche suffisso, ovverosia <nomefile.pdf.p7m>. Nel caso del formato PAdES, invece, l’art. 12 non dà alcuna indicazione, perché tecnicamente il file sottoscritto digitalmente secondo tale standard mantiene il comune aspetto, che è solo apparentemente indistinguibile, poiché la busta crittografica generata con la firma PAdES contiene sempre il documento, le evidenze informatiche e i prescritti certificati. Il che offre tutte le garanzie e verifiche del caso, anche secondo il diritto euro-unitario (http://www.agid.gov.it/agenda-digitale/infrastrutture- architetture/firme-elettroniche/software-verifica)”.

Venendo alle conclusioni, secondo gli ermellini

si deve escludere che le disposizioni tecniche tuttora vigenti (pure a livello di diritto dell’UE) comportino in via esclusiva l’uso della firma digitale in formato CAdES, rispetto alla firma digitale in formato PAdES. Né sono ravvisabili elementi obiettivi, in dottrina e prassi, per poter ritenere che solo la firma in formato CAdES offra garanzie di autenticità, laddove il diritto dell’UE e la normativa interna certificano l’equivalenza delle due firme digitali, egualmente ammesse dall’ordinamento sia pure con le differenti estensioni <*.p7m> e <*.pdf>. Addirittura, nel processo amministrativo telematico, per ragioni legate alla piattaforma interna, è stato adottato il solo standard PAdES (artt. 1, 5, 6, specifiche tecniche p.a.t., d.P.R. 16/02/2016, n. 40), mentre la giurisprudenza amministrativa riconosce la validità degli standards dell’UE tra i quali figurano, come già detto, sia quello CAdES, sia quello PAdES (Cons. Stato, n. 5504/2017, cit.)”.

Avv. Silvia Zazzarini

VUOI UNA CONSULENZA SU QUESTO ARGOMENTO?
CONTATTACI!

VUOI RIMANERE SEMPRE AGGIORNATO? ISCRIVITI ALLA NEWSLETTER