E' illecito affidare il dispositivo di firma al commercialista

di Manlio Cammarata - 12.06.08

E' lecito affidare al commercialista il dispositivo di firma digitale per la sottoscrizione dei documenti che devono essere trasmessi per via telematica ai registri  delle Camere di commercio?
La domanda ricorre spesso in messaggi che arrivano alla redazione di InterLex, in seguito a diversi articoli in cui abbiamo sollevato il problema. E' necessario un approfondimento, che tenga anche conto di una prassi che sembra diffusa: i commercialisti fanno firmare ai loro clienti un documento con il quale questi delegano il commercialista a conservare il dispositivo e usarlo in loro vece.

Questa è la conseguenza di un'altra prassi, che abbiamo ripetutamente criticato: qualche certificatore consegna i dispositivi di firma (e i PIN che ne consentono l'uso) ai commercialisti invece che ai titolari. E' bene dire subito che si tratta di una procedura contraria alla legge e che può avere gravi conseguenze. Cerchiamo di chiarire perché

Il codice civile impone che gli atti societari siano sottoscritti dal legale rappresentante della persona giuridica (amministratore unico, amministratore delegato): può costui delegare il commercialista a firmare in propria vece? Generalmente no.
Quindi la "delega" a usare il dispositivo di firma non ha valore e il commercialista che usa il dispositivo di firma del cliente commette un falso.

La cosiddetta delega deve essere considerata illegittima anche sotto altri aspetti, come illegittima è la consegna del dispositivo (e PIN di attivazione) a persona diversa dal titolare.
Prescrive infatti il codice dell'amministrazione digitale (art. 32, c. 3, lett. a) che il certificatore debba "provvedere con certezza alla identificazione della persona che fa richiesta della certificazione". A prescindere dalla bizzarra formulazione della norma (il DPR 513/97 usava la più lineare  formula notarile "identificare con certezza"), è evidente che non si può identificare qualcuno "con certezza" per interposta persona.

Inoltre "Il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi" (art. 32, c. 4) e "Il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono" (art. 32, c. 5). Appare dunque evidente che il certificatore che non identifica il titolare, e consegna dispositivo e PIN a un'altra persona, viola pesantemente la legge.

Vediamo ora la questione dal punto di vista del titolare. Il CAD prescrive che "Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma" (art. 32, c. 1).
Dunque il titolare non solo non può consegnare a chicchessia il dispositivo, ma deve anche "assicurarne la custodia" e usarlo personalmente. Affidarlo a un terzo, oltre a violare queste disposizioni, costituisce un rischio incalcolabile: infatti, nel caso in cui l'uso del dispositivo da parte di un'altra persona provochi un danno ad altri, egli è tenuto al risarcimento se non prova di aver adottato "tutte le misure tecniche e organizzative" idonee ad evitarlo (art. 2050 del codice civile). Prova evidentemente impossibile, se ha affidato il dispositivo a un'altra persona!

Infine, ma non ultimo, c'è il fatto che la prassi in questione mina alla radice la fiducia che si dovrebbe porre nello strumento della firma digitale e rende incongrua la disposizione (comunque giuridicamente discutibile)  presente in due punti del CAD: "Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale [...] si presume riconducibile al titolare del dispositivo di firma" (art. 20, c. 2) e "L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria" (art. 21, c. 2).

Per capire la gravità delle conseguenze dell'incauto affidamento del dispositivo al commercialista, si pensi all'eventualità, tutt'altro che remota, che quest'ultimo  "sottoscriva" il bilancio di una società in cui, per un errore, uno i più soci subiscano un danno nella ripartizione degli utili o, sempre per un banale errore, una comunicazione obbligatoria contenga un dato non veritiero, determinando una sanzione: le conseguenze possono essere molto pesanti per il titolare.

Qualcuno giustifica questa prassi in nome della semplificazione. L'intento è lodevole e condivisibile in molti casi. Ma non in questo: nessuna "semplificazione" può risolversi in una serie di violazioni della legge. E d'altra parte modificare le norme che abbiamo citato determinerebbe uno sconquasso nel diritto societario e nell'insieme di "certezze" che è la prima condizione per l'accettazione della firma digitale.
Si deve tener presente che la firma digitale ha gli stessi effetti legali della firma autografa: far usare a un altro il proprio dispositivo è come consegnargli non solo la mano che firma, ma anche il cervello che decide che cosa firmare.

Prima o poi questi problemi approderanno a un tribunale e allora si misureranno i danni. Per ora dobbiamo registrare un'interessante sentenza del tribunale di Brescia, con la quale il giudice ha assolto un pubblico ufficiale dall'imputazione di falso in atto pubblico, secondo l'accusa commesso con un normale messaggio di posta elettronica.
Scrive il giudice:

"...si ritiene indispensabile, ai fini della configurazione del delitto di falso in atto pubblico, la riconoscibilità dell'autore dell'atto; cosa che si ottiene normalmente con la sottoscrizione.
È certo vero che la sottoscrizione vergata a mano può essere sostituita da stampiglie personali, laddove la legge non richieda l'autografia come garanzia formale per l'individuazione dell'autore; tanto che la Corte di Cassazione ha affermato che “È ravvisabile il delitto di falso ideologico in atto pubblico, anche se il documento sia privo di intestazione e di sottoscrizione, purché risulti incontestata l'esatta individuazione dell'organo cui esso risale” (Cass. Sez. 5, Sentenza n. 13578 del 26/04/1989).
Va però sottolineato che il messaggio di posta elettronica (non certificato ai sensi del D.P.R. 11 febbraio 2005, n. 68, e privo di firma digitale a crittografia asimmetrica ai sensi del D.Lg. 5 marzo 2005, n. 82) non può fornire alcuna certezza circa la propria provenienza o sull'identità dell'apparente sottoscrittore, bastando intervenire sul programma di posta elettronica perché chi riceve il messaggio lo veda come se fosse inviato da diverso indirizzo".

Finalmente!

P.S. Al momento della chiusura redazionale di questo numero, arriva un flash dall'avvocato Daniele Coliva: Le intenzioni del bravo certificatore. Leggete e meditate, gente. Meditate.