La trasformazione digitale ha portato con sé nuove sfide e opportunità, come abbiamo avuto modo di meglio precisare in un precedente contributo (premere qui per leggerlo), con il Codice dell’Amministrazione Digitale (CAD) che svolge un ruolo cruciale nella regolamentazione delle transazioni elettroniche. Il certificatore qualificato è una figura chiave nel contesto della sicurezza e gestione dei servizi di identificazione digitale e di posta elettronica certificata. La sua responsabilità risulta oggi fondamentale per garantire l’affidabilità e la sicurezza delle transazioni elettroniche.
Quando un soggetto intende fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata egli, ai sensi dell’art. 29 C.A.D., deve inoltrare apposita domanda di qualificazione all’AgID. A seguito dell’accoglimento della domanda l’AgID dispone l’iscrizione del richiedente in un apposito elenco di fiducia pubblico, tenuto dall’AgID stessa e consultabile anche in via telematica (premere qui per consultarlo). Tutti gli Stati membri dell’Unione europea, poi, pubblicano, ai sensi dell’art. 22 del Regolamento eIDAS, i rispettivi elenchi che sono resi pubblici dalla Commissione europea attraverso un proprio elenco, consultabile anch’esso in via telematica (premere qui per consultarlo).
Nel Codice dell’Amministrazione Digitale viene sancito l’obbligo per il certificatore qualificato di adottare tutte le misure idonee ad evitare danni a terzi, nonché la responsabilità dello stesso per i danni cagionati nello svolgimento della propria attività. Su di esso grava inoltre l’onere di provare la mancanza di dolo o colpa in relazione al danno anzidetto.
Il certificatore è poi tenuto alla certa identificazione della persona che fa richiesta della certificazione, e alla corretta manutenzione dei registri di revoca e sospensione, quindi in presenza di registrazioni risultate errate a causa del comportamento colposo o doloso del certificatore stesso, egli sarà tenuto a risarcire il terzo che abbia fatto legittimo affidamento su tali registrazioni.
Nel caso in cui il certificato contenga limiti d’uso e gli stessi siano riconoscibili da parte di terzi e chiaramente evidenziati nel processo di verifica della firma, il certificatore non è responsabile dei danni derivati dall’uso del certificato qualificato che ecceda tali limiti.
Il Codice dell’Amministrazione Digitale, comunque, configura un quadro normativo completo e dettagliato per la gestione delle responsabilità del certificatore qualificato. Di seguito esamineremo più approfonditamente i concetti chiave espressi nel testo:
-
Obbligo di adottare misure idonee: il C.A.D. pone l’accento sull’obbligo del certificatore qualificato di adottare tutte le misure idonee ad evitare danni a terzi. Questo richiede un impegno attivo nel garantire che i processi di autenticazione e gestione dei certificati siano sicuri ed efficienti. L’adozione di misure idonee implica la costante vigilanza e l’applicazione di standard di sicurezza avanzati.
-
Responsabilità per danneggiamenti: la responsabilità del certificatore qualificato si estende ai danni causati nell’esercizio delle proprie attività. Ciò implica che, in caso di danni derivati da un’azione o inazione del certificatore, questi è tenuto a risponderne. La dimensione della responsabilità copre sia danni diretti che danni causati a terzi a causa di un comportamento negligente o intenzionale.
-
Onere della prova: il C.A.D. impone all’entità certificatrice l’onere di provare la mancanza di dolo o colpa in relazione ai danni sopra menzionati. Questo significa che, in caso di controversie legali, il certificatore qualificato deve dimostrare che il danno non è derivato da una sua azione dolosa o colposa. Si tratta di un elemento cruciale per stabilire la responsabilità legale.
-
Corretta manutenzione dei registri: la corretta gestione dei registri di revoca e sospensione è una responsabilità ulteriore del certificatore. Questo include l’aggiornamento accurato e tempestivo di tali registri. Nel caso in cui errori si verifichino a causa di negligenza o comportamento doloso del certificatore, la normativa impone la responsabilità di risarcire terzi che abbiano fatto affidamento su informazioni erronee presenti nei registri.
-
Limiti d’uso del certificato: se il certificato qualificato contiene limiti d’uso chiaramente riconoscibili ed evidenziati durante il processo di verifica della firma, il certificatore non è responsabile dei danni derivati dall’uso del certificato che superi tali limiti. Questa disposizione offre una salvaguardia al certificatore quando il titolare del certificato agisce al di là dei termini e delle condizioni specificati nel certificato stesso.
I profili di responsabilità per il certificatore qualificato che non osservi tali obblighi trovano la loro base giuridica nell’art. 32-bis C.A.D., che conferisce espressamente all’AgID (in persona del direttore generale, sentito il comitato d’indirizzo) il potere di irrogare sanzioni ai certificatori che abbiano violato gli obblighi previsti dal Regolamento eIDAS e/o dal Codice dell’Amministrazione Digitale, per importi da un minimo di € 40.000,00 ad un massimo di € 400.000,00, fermo restando il diritto al risarcimento del maggior danno.
In caso poi di gravi violazioni (e cioè di quelle violazioni idonee a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relative a significative carenze infrastrutturali o di processo del fornitore di servizio), AgID può disporre la cancellazione del certificatore dall’elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino ad un massimo di due anni.
Insomma, in base a tutto quanto sin qui esposto, è possibile affermare che il Codice dell’Amministrazione Digitale stabilisce una serie di principi fondamentali che guidano il comportamento e la responsabilità del certificatore qualificato nell’era digitale. Questi principi mirano a bilanciare la facilitazione delle transazioni elettroniche con la necessità di sicurezza e affidabilità, proteggendo al contempo gli interessi dei terzi che possono fare affidamento sui certificati digitali emessi. L’articolo 32-bis C.A.D. gioca un ruolo cruciale nel garantire la conformità dei certificatori qualificati con gli standard più elevati di sicurezza e affidabilità. Le sanzioni previste forniscono un deterrente contro comportamenti negligenti o illeciti, contribuendo a creare un ambiente digitale più sicuro e affidabile.
Per approfondire:
- S. Martinelli & C. Rossi Chauvenet, Legal tech, contract re-design & Bif Data per professionisti e imprese, Padova, 2022 - R. Genghini, La forma notarile digitale, Padova, 2020 - M.F. Artusi, Sulla qualificazione della falsa richiesta di firma digitale, in Giurisprudenza Italiana, 10/2011 - E. Carloni, La riforma del codice dell'amministrazione digitale, in Giornale di diritto amministrativo, 5 / 2011, p. 469 ss. - G. Finocchiaro, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell'amministrazione digitale, in Contratto e impresa, 2/2011, pp. 495 – 504
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024