Firma digitale PAdES o CAdES per le notifiche via PEC?

Un esame della normativa sulla scelta del formato di firma digitale per la sottoscrizione dell'atto da notificare via PEC. Cassazione civile Ordinanza n. 22320/2017

Firma digitale PAdES o CAdES per le notifiche via PEC?

Prima di affrontare il contenuto dell'Ordinanza n. 22320 del 25/09/2017 della Corte di Cassazione civile in materia di regolarità della firma digitale PADES nella notifica via Posta Elettronica Certificata facciamo un brevissimo riassunto dello stato delle cose.

Sappiamo che le firme digitali del PCT sono due, la PADES e la CADES (esiste anche una ulteriore versione la XAdes, riconosciuta a livello europeo, ma di questa non ci occupiamo). Riprendiamo le definizioni della Agenzia per l'Italia Digitale contenute nel documento "L’apposizione di firme e informazioni su documenti firmati".

A) La firma CADES: (Cryptographic Message Syntax Advanced Electronic Signature ) essa produce una estensione ".p7m" al file. La peculiarità di questa firma è che produce una cosiddetta "busta" digitale o "busta crittograrfica", un contenitore che può essere letto solamente con un programma che permette l'estrazione della busta. Non può essere letto con un normale lettore di file pdf (Acrobat Reader, per intenderci). Altra caratteristica di questa firma è che la "busta" potrà contenere file di diverso formato. Anche i file con estensione .doc, .docx o .odt, solo per fare un esempio, potranno essere firmati con il protocollo CADES. Il file imbustato non può più essere modificato e il formato da la garanzia che il contenuto sia integro e identico all'originale. Una limitazione di questo formato di firma è la impossibilità di modificare il documento. Potranno essere aggiunte molteplici firme ma solamente sul documento originale. Il limite deriva dal fatto che volendo, ad esempio, apporre un "timbro" di protocollo al documento e procedere poi a firmare l'avvenuto "timbro" ciò non potrà essere fatto.

B) La firma PADES: (PDF Advanced Electronic Signatures)  questa firma può essere apposta solo ai documenti digitali salvati in formato ".pdf", i quali rimarranno con questa estensione. Il grande vantaggio di questa firma è la leggibilità poiché potranno essere letti con qualunque pdf-reader. Questo formato permette, inoltre, di apportare modifiche al documento con ulteriore firma senza che venga perso l'originale. Scrive l'AGID: "Il formato PAdES implementa la funzione della gestione delle versioni (versioning): ogni versione successiva alla prima, contiene la versione integrale, non modificata, del documento precedente (comprese le firme digitali). Ogni modifica al documento (ulteriore firma o aggiunta di testo o immagini) produce, infatti, una nuova versione che contiene la versione originale non modificata". Va comunque aggiunto che la modifica porta alla segnalazione che "la firma risulta non valida" (se non si possiede un lettore avanzato di versioni). Quindi, e ciò è importante fissarlo come punto fermo, con la firma verificata positivamente dal nostro lettore di file pdf (o altro software apposito) possiamo avere la certezza che il file non è stato modificato.

La vera differenza fra i due formati riguarda le firme multiple e le modalità nelle quali le stesse vanno ad operare, mentre entrambe assicurano la sigillatura del contenuto del documento.

 

Il caso di specie.

Parte destinataria della notifica dell'atto digitale sottoscritto con firma CAdes lamentava la sua difficoltà/impossibilità di leggere il contenuto dell'atto, risultando illeggibile con un normale pdf-reader. Il ricorrente prospettava anche una disparità di trattamento con le notifiche cartacee per la piena immediata evidenza e conoscibilità di queste rispetto, e a differenza, di quelle telematiche. Affermava, infine, la mancanza di un obbligo (o, se vi è, la sua incostituzionalità) di dotarsi di strumentazione idonea alla lettura di tali file.

La Corte di Cassazione con un lunghissimo paragrafo ("ai sensi del capoverso di tale disposizione, per quel che qui può rilevare, è stabilito poi che "... potendo, se non altro a fini meramente descrittivi ed accettando il rischio di banalizzazioni od imprecisioni tecniche, concludersi che risulta quindi indispensabile l'estensione (o formato) "p7m", a garanzia dell'autenticità del file e cioè dell'apposizione della firma digitale al file in cui il documento informatico originale è stato formato, solo per il secondo caso, in cui cioè il documento informatico originale è creato in formato diverso da quello "pdf"") in sostanza ricorda che la firma CADES è l'unica idonea a sottoscrivere un documento creato in formato diverso dal .pdf. (Non è la normativa ad imporlo ma è proprio una questione tecnica).

Aggiunge la Corte, che il riferimento dell'art. 19-bis (Notificazioni per via telematica effettuate dagli avvocati) al secondo comma dell'art. 12 determina la necessità che il documento, una volta sottoscritto, abbia la estensione "p7m". E, a giustificazione - non dovuta - di tale "scelta" la Corte aggiunge: "parrebbe potersi dire che con l'imposizione dell'elaborazione del file in documento informatico con estensione "p7m" il normatore tecnico abbia inteso offrire la massima garanzia possibile, allo stato, di conformità del documento, non creato ab origine in formato informatico".

Vale la pena ripetere quanto appena letto: il documento non originariamente informatico, cioè scansionato/scannerizzato, dovrà necessariamente essere con estensione .p7m sulla base di quanto sopra esposto. Qualcuno ha ricavato che per i documenti nativi digitali, invece, potrà essere accettata la firma PADES, con estensione .pdf.

Personalmente ritengo il tutto frutto di gran confusione.

L'art. 19-bis, al comma 4, così di esprime:

"Qualora il documento informatico, di cui ai commi precedenti, sia sottoscritto con firma digitale o firma elettronica qualificata, si applica quanto previsto all'articolo 12, comma 2".

e il comma 2 dell'art. 12 riporta quanto segue:

"2. La struttura del documento firmato è PAdES-BES (o PAdES Part 3) o CA-dES-BES; il certificato di firma è inserito nella busta crittografica;
... omissis ...
nel caso del formato CAdES il file generato si presenta con un'unica estensione p7m. Il meccanismo qui descritto è valido sia per l'apposizione di una firma singola che per l'apposizione di firme multiple.

Ora, il comma 2 dell'art. 12 non obbliga l'uso della firma CADES ma semplicemente afferma una ovvietà: "nel caso del formato CAdes il file generato si presenta con un'unica estensione p7m". Sottolinierei l'inciso "nel caso". Ciò implica che se "nel caso" si usasse la firma PADES il formato sarà diverso.

E' quindi difficile ritenere che la normativa imponga l'uso della firma CAdes per la notifica in proprio, alla semplice lettura della normativa di riferimento. Ma andiamo avanti.

 

Il problema della scansione del documento e della forma digitale non nativa.

Abbiamo visto che se abbiamo un documento diverso dal pdf esso dovrà essere firmato necessariamento con la firma CAdes. Quindi se la nostra scansione produce un file con estensione tipica del formato immagine (es. png, jgp, jpeg, gif, ecc.) e vogliamo necessariamente tenere questa forma (ricordiamo che le specifiche tecniche del PCT permettono i soli formati immagine gif, jpg e tiff - art. 13) allora la firma dovrà essere necessariamente CAdes.

Ma ciò vale solamente per i depositi telematici. Per le notifiche, invece, dobbiamo tenere conto di quanto affermato dal secondo comma dell'art. 19-bis:

Nei casi diversi dal comma 1, i documenti informatici o copie informatiche, anche per immagine, di documenti analogici, allegati al messaggio di posta elettronica certificata, ... e sono consentiti in formato PDF.

In caso di notifica, i documenti scannerizzati devono essre in formato pdf !! Vale a dire, aggiungo, che si dovrà avere a disposizione strumentazione che trasforma in formato .pdf quanto scannerizzato. Abbiamo visto che i file con estensione pdf possono essere firmati con entrambi i protocolli di firma digitale. Possiamo affermare, pertanto, che la normativa, in caso di notifica via PEC, lascia libertà in ordine al formato della firma digitale.

Ecco allora che si ha l'impressione che proprio gli elementi presi in esame da parte della S.C. dovevano condurre ad opposte considerazioni. Ma è anche da dire che il caso di specie mirava a risolvere un diverso problema, e cioè: l'avvocato deve procurarsi le strumentazioni necessarie alla lettura dei file p7m, oppure può eccepire la impossibilità di avere preso conoscenza del contenuto dell'atto per difficoltà all'estrazione del testo?

La Corte è categorica: "nè può dirsi che, nell'attuale contesto di diffusione degli strumenti informatici ... comporti, per un professionista legale quale ordinario ovvero normale destinatario di quelle regole, un onere eccezionale od eccessivamente gravoso: integrando piuttosto la dotazione di quegli strumenti un necessario complemento dello strumentario corrente della sua attività quotidiana e, quindi, un adminiculum ormai insostituibile per l'esercizio corrente della sua professione, attesa l'immanente e permanente quotidiana possibilità dell'impiego".

L'avvocato deve procurarsi il lettore dei file p7m.

 

---------------------------------------

Di seguito il testo di
Corte di Cassazione civile Ordinanza n. 22320 del 25/09/2017:

Commenta per primo

Vuoi Lasciare Un Commento?

Possono inserire commenti solo gli Utenti Registrati