E’ obbligatoria la valorizzazione del campo “Organizzazione” nel certificato di una firma digitale?

Alfonso Pisani[i])

Ci è pervenuto un quesito relativamente alla validità di documenti firmati da dipendenti della pubblica amministrazione con una firma digitale nella quale il campo “organizzazione” all’interno del certificato non era valorizzato con il nome dell'ente. Più in dettaglio ci si chiede se un pubblico dipendente possa utilizzare la propria firma digitale personale o comunque una firma nel certificato della quale non sia presente il nome dell'ente nel campo organizzazione del certificato per firmare un documento nell’ambito delle mansioni a lui attribuite dall’amministrazione presso la quale presta servizio. Ricordiamo preliminarmente che un certificato per una firma digitale è un documento emanato da un soggetto terzo, appunto il certificatore, con il quale viene certificata l'identità del firmatario. Nel certificato può essere contenuto e valorizzato il campo organizzazione con il nome dell'azienda, della pubblica amministrazione o altri soggetti dai quali derivano i poteri di firma del titolare di quest’ultima.

E’ importante precisare, fin da subito, che i poteri di firma di un soggetto sono giustificati da un documento dell’amministrazione nel quale a questi è attribuito un ruolo, una mansione o il potere di rappresentare l’ente all’esterno.

A puro titolo di esempio si possono considerare gli atti di nomina dei dirigenti o delle posizioni organizzative di un comune o la responsabilità degli uffici o dei procedimenti con i quali vengono attribuiti i relativi poteri di firma.

Il campo “organizzazione” è strettamente in relazione con un altro riguardante i limiti d'uso della firma ed eventuali poteri di rappresentanza del soggetto firmatario. In accordo alle regole tecniche sulle firme elettroniche, DPCM 22 febbraio 2013, al momento ancora vigenti, la casistica è la seguente: un soggetto fisico o giuridico identificato nelle regole tecniche come “terzo interessato” attribuisce poteri di firma per la propria organizzazione ad un soggetto fisico, appunto il firmatario o titolare della firma, decidendone anche i limiti d'uso e di rappresentanza che derivano da questa. In particolare in accordo all'articolo 28 comma 3 del codice dell'amministrazione digitale di cui si riporta stralcio:

Il certificato di firma elettronica qualificata puo'  contenere, ove richiesto dal titolare  di  firma  elettronica o  dal  terzo interessato, le seguenti informazioni, se pertinenti e non  eccedenti rispetto allo scopo per il quale il certificato e' richiesto: 

    a)   le   qualifiche   specifiche   del   titolare   ((di   firma elettronica)), quali   l'appartenenza   ad   ordini    o    collegi professionali, la qualifica di pubblico  ufficiale,  l'iscrizione  ad albi o il  possesso  di  altre  abilitazioni  professionali,  nonche' poteri di rappresentanza; 

    b) i limiti d'uso del certificato, inclusi quelli derivanti dalla titolarita' delle qualifiche e dai poteri di  rappresentanza  di  cui alla lettera a) ai sensi dell'articolo 30, comma 3. 

    c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato puo' essere usato, ove applicabili.

Spetta al titolare della firma o al terzo interessato, come sopra definiti, il compito di avvisare immediatamente il certificatore della cessazione delle qualità e dei poteri di firma del titolare ed il certificatore è esonerato da ogni responsabilità al riguardo.

Ciò è affermato dal comma 4 dell'articolo 28 del codice dell'amministrazione digitale di cui si riporta parimenti stralcio:

Il  titolare  di  firma  elettronica,   ovvero   il   terzo interessato  se  richiedente  ai  sensi  del  comma   3,   comunicano tempestivamente al certificatore il modificarsi o  venir  meno  delle circostanze oggetto delle informazioni di cui al presente articolo.

In accordo alle regole tecniche sulle firme elettroniche all'articolo 19 comma 4:

 4. Le informazioni e le qualifiche di cui all’art. 28, comma 3, lettera a) del Codice, codificate secondo le modalità indicate dai provvedimenti di cui all’art. 4, comma 2, del presente decreto, sono inserite dal certificatore su richiesta del titolare: 

a) nel certificato qualificato senza l’indicazione dell’organizzazione di appartenenza. A tal fine, il titolare del certificato fornisce al certificatore una dichiarazione sostitutiva ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; 

b) ovvero, nel certificato di attributo o nel certificato qualificato con l’indicazione dell’organizzazione di appartenenza. A tal fine, il titolare del certificato richiede all’organizzazione di appartenenza una autorizzazione all’emissione del certificato, qualificato o di attributo che consegna al certificatore. L’organizzazione, che ha l’obbligo di fornire tale autorizzazione, assume l’impegno di richiedere al certificatore la revoca del certificato qualificato qualora venga a conoscenza della variazione delle informazioni o delle qualifiche contenute nello stesso. Il titolare, nel richiedere l’autorizzazione, ha l’obbligo di comunicare all’organizzazione di appartenenza il certificatore cui intende rivolgersi.

Nella sostanza il campo organizzazione è valorizzato all'interno di un certificato solamente sì vi è una attestazione scritta da parte dell'organizzazione stessa che ha interesse ad avere la possibilità di revocare tale certificato nel caso in cui i poteri di firma del titolare della firma elettronica vengano meno. Naturalmente tale interesse diventa anche un obbligo non attribuibile in alcun modo al certificatore. È evidente, pertanto, che i campi organizzazione e limitazioni d'uso del certificato sono solo uno strumento (ed un vincolo) per l'amministrazione per poter revocare immediatamente i certificati di firma ma nulla vieta all'amministrazione stessa, che deve sempre attribuire particolari ruoli o poteri ad un proprio dipendente con un atto scritto, che lo stesso dipendente possa firmare i propri atti con una firma personale o con una firma nella quale comunque il campo organizzazione non è valorizzato. E’ appena il caso di ricordare che il codice dell'amministrazione digitale prevede la nullità della firma solamente nella casistica in cui essa sia scaduta o il certificato sia revocato o sospeso ma nulla è detto riguardo il campo organizzazione.

Il codice dell'amministrazione digitale infatti recita all'articolo 24 comma 4 bis:

 4-bis. L'apposizione  a  un  documento  informatico  di  una  firma digitale o di un altro tipo di firma elettronica  qualificata  basata su un certificato elettronico revocato, scaduto o sospeso equivale  a mancata sottoscrizione, salvo che lo stato di sospensione  sia  stato annullato.

Ci sentiamo di poter concludere che la presenza del campo organizzazione non sia affatto necessaria per firmare un documento da parte di un dipendente dell'ente. Tale campo insieme al campo sulle limitazioni d'uso costituiscono solo uno strumento ed un onere per la pubblica amministrazione. A nostro avviso possono essere solo i difetti di un atto di attribuzione di competenze al soggetto fisico a determinare l'incompetenza dello stesso e quindi la nullità o l'annullabilità degli atti relativi oltre alle casistiche di certificato di firma sospeso, revocato o scaduto (salvo in quest’ultimo caso la presenza di una certificazione temporale che attesti che il certificato era valido al momento della firma).

7 marzo 2020