Processo Civile Telematico – Cassazione Sezioni Unite – Equivalenza della firma digitale in formato CADES e PADES
Con provvedimento del 27 aprile 2018 n. 10266 la Cassazione a Sezioni Unite ha avuto modo di occuparsi di un’annosa questione che ha tenuto banco fra i commentatori per tutta la seconda metà del 2017, ossia, l’equivalenza delle firme digitali CADES e PADES ai fini della validità dell’atto sottoscritto digitalmente.
La questione viene sollevata dalla sesta sezione della Suprema Corte (Cassazione 31 agosto 2017 n° 20672) che, a seguito di specifica eccezione di parte, aveva ritenuto come: “ai sensi del capoverso di tale disposizione [art. 12 specifiche tecniche – N.D.R.], per quel che qui può rilevare, è stabilito poi che “La struttura del documento firmato è PAdES-BES (o PAdES Part 3) o CAdES-BES; il certificato di firma è inserito nella busta crittografica; […] nel caso del formato CAdES il file generato si presenta con un’unica estensione “p7m”, mentre le definizioni degli acronimi PAdES e CAdES si rinvengono alle lett. z) ed y) del precedente art. 2 del detto provvedimento DGSIA: risultando quindi indispensabile l’estensione “p7m”, a garanzia dell’autenticità del file e cioè dell’apposizione della firma digitale al file in cui il documento informatico originale è stato formato, solo per il secondo caso, in cui cioè il documento informatico originale è creato in formato diverso da quello “pdf”; e aveva poi concluso che: “in via descrittiva, invero, parrebbe dirsi che con l’imposizione dell’elaborazione del file in documento informatico con estensione “p7m” il normatore tecnico abbia inteso offrire la massima garanzia possibile, allo stato, di conformità del documento, non creato ab origine in formato informatico ma articolato anche su di una parte o componente istituzionalmente non informatica, quale la procura a firma analogica su supporto tradizionale, al suo originale composito, incorporando appunto i due documenti in modo inscindibile e, per quel che rileva ai fini processuali e soprattutto se non altro con riferimento alla presente fattispecie – della regolare costituzione nel giudizio di legittimità (per la quale è da sempre stata considerata quale presupposto indispensabile la ritualità della procura speciale), con assicurazione di genuinità ed autenticità di entrambi in quanto costituenti un unicum”.
In virtù di dette considerazioni, la sesta sezione della Corte di Cassazione provvedeva a rimettere al Primo Presidente la procedura, al fine di valutare la necessità di una pronuncia delle Sezioni Unite.
Oggi, con il provvedimento in commento, gli Ermellini tornano a occuparsi della questione, giungendo a conclusioni – però – parzialmente diverse da quelle cui erano arrivati i componenti della sesta sezione. La Suprema Corte, difatti, pur facendo riferimento alla medesima base normativa nazionale (le specifiche tecniche DGSIA) in materia di formazione dell’atto digitale e di sottoscrizione elettronica, citano però anche la Decisione di esecuzione (UE) 2015/1506 pronunciata dalla Commissione l’8 settembre 2015 e con la quale si stabilisce che “Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, (…), riconoscono la firma elettronica avanzata XML, CMS o PDF (…)”. L’allegato alla decisione, nel fissare “l’elenco delle specifiche tecniche per le firme elettroniche avanzate XML, CMS o PDF”, stabilisce che “Le firme elettroniche avanzate di cui all’articolo 1 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, (…): Profilo di base XAdES (…). Profilo di base CAdES (…). Profilo di base PAdES (…)”.
La Suprema Corte a Sezioni Unite ha quindi precisato sul punto come “secondo il diritto dell’UE, le firme digitali di tipo CAdES, ovverosia CMS (Cryptographic Message Syntax) Advanced Electronic Signatures, oppure di tipo PAdES, ovverosia PDF (Portable Document Format) Advanced Electronic Signature, che qui interessano, sono equivalenti e devono essere riconosciute e convalidate dai Paesi membri, senza eccezione alcuna. In altri termini, al fine di garantire una disciplina uniforme della firma digitale nell’UE, sono stati adottati degli standards Europei mediante il cd. regolamento eIDAS (electronic IDentification, Authentication and trust Services, ovverosia il Reg. UE, n. 910/2014, cit.) e la consequenziale decisione esecutiva (Comm. UE, 2015/1506, cit.), che impongono agli Stati membri di riconoscere le firme digitali apposte secondo determinati standards tra i quali figurano sia quello CAdES sia quello PAdES (Cons. Stato, Sez. 3, 27/11/2017, n. 5504).”
In relazione invece alla normativa nazionale, gli Ermellini hanno altresì chiarito come “la firma digitale in formato CAdES, dà luogo un file con estensione finale “.p7m” e può essere apposta a qualsiasi tipo di file, ma per visualizzare il documento oggetto della sottoscrizione è necessario utilizzare un’applicazione specifica. Invece, la firma digitale in formato PAdES, più nota come “firma PDF”, è un file con normale estensione “.pdf”, leggibile con i comuni readers disponibili per questo formato; inoltre prevede diverse modalità per l’apposizione della firma, a seconda che il documento sia stato predisposto o meno ad accogliere le firme previste ed eventuali ulteriori informazioni, il che rende sì il documento più facilmente fruibile, ma consente di firmare solo documenti di tipo PDF” e hanno proseguito, sul punto, ricordando che nel Processo Civile Telematico l’art. 12 del decreto dirigenziale del 16 aprile 2014 stabilisce che “la struttura del documento firmato è PAdES-BES (o PAdES Part 3) o CAdES-BES” e quindi indifferentemente in uno dei due formati attualmente ammessi per il deposito telematico.
Date queste premesse la Suprema Corte, con la pronuncia in parola, ha definitivamente stabilito come “si deve escludere che le disposizioni tecniche tuttora vigenti (pure a livello di diritto dell’UE) comportino in via esclusiva l’uso della firma digitale in formato CAdES, rispetto alla firma digitale in formato PAdES. Nè sono ravvisabili elementi obiettivi, in dottrina e prassi, per poter ritenere che solo la firma in formato CAdES offra garanzie di autenticità, laddove il diritto dell’UE e la normativa interna certificano l’equivalenza delle due firme digitali, egualmente ammesse dall’ordinamento sia pure con le differenti estensioni “.p7m” e “.pdf”. Addirittura, nel processo amministrativo telematico, per ragioni legate alla piattaforma interna, è stato adottato il solo standard PAdES (artt. 1, 5, 6, specifiche tecniche p.a.t., d.P.R. 16/02/2016, n. 40), mentre la giurisprudenza amministrativa riconosce la validità degli standards dell’UE tra i quali figurano, come già detto, sia quello CAdES, sia quello PAdES (Cons. Stato, n. 5504/2017, cit.).”
In virtù di ciò è stato al fine espresso il seguente principio di diritto: “Secondo il diritto dell’UE e le norme, anche tecniche, di diritto interno, le firme digitali di tipo CAdES e di tipo PAdES, sono entrambe ammesse ed equivalenti, sia pure con le differenti estensioni “.p7m” e “.pdf”, e devono, quindi, essere riconosciute valide ed efficaci, anche nel processo civile di cassazione, senza eccezione alcuna”.