La firma digitale e gli obblighi di custodia per il professionista

L’uso sempre più frequente dei dispostivi di firma digitale (smart card o token USB) pone seri problemi di responsabilità, anche a carico dei professionisti, in particolare nei casi in cui ne viene fatto un uso corretto.

È dunque opportuno ricordare che il codice dell’amministrazione digitale regolamenta espressamente l’utilizzo di tali dispositivi; all’art. 32 si prevede infatti che “il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma o degli strumenti di autenticazione informatica per l’utilizzo del dispositivo di firma da remoto, e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma”.

Si pone così un preciso principio di responsabilità, cui può fare da contraltare anche la responsabilità per i danni eventualmente cagionati, chiaramente ipotizzabile sia ai sensi dell’art. 2050 c.c. sia in base ai principi dell’apparenza giuridica.

Si pensi, ad esempio, a negozi giuridici destinati alla circolazione nel modo degli affari e che possono essere redatti mediante scritture private sottoscritte con firma digitale (es. cessioni di quote sociali, nomine di amministratori e sindaci di società); questi atti, anche se muniti di firma digitale apposta contro la volontà del titolare/non possessore del dispositivo, una volta depositati presso il Registro Imprese possono tranquillamente spiegare i loro effetti verso i terzi inconsapevoli, quantomeno sino a che non saranno impugnati e posti nel nulla.

Ove ciò accada, però, questi ultimi potrebbero a buon diritto invocare la loro buona fede (che sarebbe del resto presunta) e spetterebbe al titolare del certificato di firma dimostrare di aver adottato tutte le misure organizzative e tecniche idonee ad evitare il danno anche ai sensi dell’art. 2050 c.c.

In molti casi, però, tale prova sarà alquanto ardua da fornire.

Ci si riferisce evidentemente all’abitudine, purtroppo diffusa, di lasciare i dispositivi di firma digitale in “custodia” presso terzi (spesso professionisti di fiducia dei titolari di questi ultimi), sulla cui attività non si ha però alcun controllo diretto e ai quali viene spesso delegata la firma di atti o contratti anche molto importanti.

È evidente che un simile comportamento costituisce una chiara violazione dell’art. 32 CAD citato sotto due fondamentali punti di vista:

• la mancata adozione di misure organizzative e tecniche idonee ad evitare danno ad altri;
• il mancato utilizzo personale del dispositivo di firma.

Ed è altrettanto evidente che in tali casi si potrà andare incontro a responsabilità risarcitorie per importi anche rilevanti.

Simili comportamenti rischiano altresì di depotenziare fortemente la portata dell’art. 21, II comma, CAD il quale prevede che “’l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

L’applicazione di tale norma, che mira evidentemente a fornire una tutela contro l’utilizzo abusivo dei certificati di firma rischia infatti di essere addirittura controproducente, laddove non si sia rispettato quanto previsto dall’art. 32 CAD.

Il rischio, invero, è di riuscire a fornire la prova contraria richiesta dall’art. 21 CAD ma di trovarsi poi esposti a richieste di danni da parte di soggetti i cui diritti potrebbero essere stati lesi dalla violazione dell’art. 32 citato.

Poiché peraltro casi del genere iniziano a sfociare in veri e propri contenziosi giudiziari che coinvolgono anche professionisti “custodi” di dispositivi altrui, è bene richiamare l’attenzione collettiva sul rispetto delle previsioni del codice dell’amministrazione digitale e sconsigliare tale pratica in quanto non consentita dalle norme vigenti e portatrice di responsabilità difficilmente gestibili da un punto di vista assicurativo.