PPT: inammissibile l'impugnazione sottoscritta con firma digitale scaduta

Massima

In tema di deposito di atti a mezzo PEC, è causa di inammissibilità dell'impugnazione, ex art. 87-bis, comma 7, lett. a), d.lgs. n. 150/2022, la sottoscrizione dell'atto con firma digitale generata in base ad un certificato scaduto di validità, in quanto, ai sensi dell'art. 24, comma 4-bis, del d.lgs. n. 82/2005, Codice dell'amministrazione digitale, l'apposizione a un documento informatico di una firma digitale basata su un certificato elettronico scaduto equivale a mancata sottoscrizione.

Il caso

La Corte d'appello di Milano confermava la sentenza del Tribunale della stessa città che aveva accertato la responsabilità dell'imputato per il delitto di false comunicazioni sociali previsto dall'art. 2621 c.c.

Avverso questa decisione, l'imputato proponeva ricorso per Cassazione, depositando l'impugnazione a mezzo PEC.

La cancelleria della Corte d'appello, inviando gli atti, annotava che l'impugnazione era stata firmata digitalmente dal difensore, aggiungendo, però, che “alla verifica effettuata tramite il programma Aruba pec” risultava che “il certificato è scaduto o non ancora valido”.

La questione

E' ammissibile l'impugnazione inviata a mezzo PEC, ma sottoscritta con firma digitale basata su un certificato che risulta scaduto di validità? 

Le soluzioni giuridiche

All'esito della verifica effettuata tramite il programma Aruba pec, pur risultando presente una sottoscrizione, è stato accertato che “il certificato è scaduto o non ancora valido”. Il difensore, in particolare, aveva ottenuto il rilascio del certificato con validità fino ad una data precedente a quella del deposito dell'impugnazione a mezzo PEC.

La Corte ha ritenuto inammissibile l'impugnazione.

In questo caso, infatti, deve “trovare applicazione l'art. 24, comma 4-bis, CAD, che opera l'equiparazione fra certificato elettronico scaduto e mancata sottoscrizione digitale, venendo così ad essere integrata la causa di inammissibilità dell'impugnazione prevista dall'art. 24, comma 6-sexies, lett. a), d.l. 28 ottobre 2020, n. 137, convertito, con modificazioni, dalla legge 18 dicembre 2020, n. 176” sez. fer. n. 45316 del 10 agosto 2023).

Più specificamente è stato osservato che l'art. 2, comma 6, seconda parte, del CAD, infatti, prevede che “le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico”.

L'applicazione della disciplina generale del CAD, pertanto, risulta sussidiaria, per il solo caso in cui manchi una disciplina propria (e diversa) del processo penale telematico.

Il successivo art. 20, comma 1-quater, CAD, ribadisce l'autonomia e la prevalenza della disciplina del processo telematico su quella del Codice dell'amministrazione digitale, in relazione al deposito degli atti nel processo, affermando che “Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa, anche regolamentare, in materia di processo telematico”.

Sullo specifico punto della sottoscrizione digitale dell'atto, non intervengono né la normativa codicistica, né la legislazione speciale emergenziale, che ha introdotto la possibilità della presentazione dell'impugnazione per via telematica, né la disciplina secondaria del Direttore di DGSIA, al quale pure era rimessa la possibilità di una normazione “tecnica” al riguardo.

Ne consegue, quindi, che deve trovare applicazione la generale disciplina del Codice dell'amministrazione digitale.

La Corte ha altresì sottolineato che “i requisiti di forma sovraintendono alla tutela della certezza della provenienza dell'atto dal suo autore, certezza che non può trarsi aliunde”.

In questa prospettiva, anche l'uso della posta elettronica certificata, intestata al difensore, per il deposito dell'atto, da solo, non garantisce la paternità dell'atto di impugnazione.

Con la disciplina emergenziale, difatti, il legislatore ha fissato alcuni requisiti tecnici essenziali, in analogia con quanto previsto per il processo civile telematico, che sono richiesti ad substantiam per assicurare, mediante l'utilizzo delle più avanzate funzionalità delle moderne tecnologie della comunicazione e dell'informazione, la provenienza dell'impugnazione, l'originalità e completezza dell'atto e il tempestivo e completo recapito all'ufficio giudiziario destinatario (cfr., in questi termini, sez. 1, n. 41098 del 15 ottobre 2021, Pirone, Rv. 282151, in motivazione).

Il difetto o l'irregolarità della certificazione informatica della riferibilità dell'atto al suo autore (firma digitale), della provenienza dell'atto da detto soggetto (intestazione della casella PEC), della abilitazione del difensore (presenza nel REG.IND.E. - registro informatico degli indirizzi elettronici), della riferibilità all'ufficio giudiziario della casella di destinazione (provvedimento dirigenziale contenente l'elenco degli indirizzi elettronici degli uffici giudiziari abilitati), della completa e integrità degli atti inviati (firma digitale degli allegati), non pongono soltanto in dubbio l'idoneità dell'atto al raggiungimento dello scopo processuale che la legge gli affida, ma ne determinano l'inesistenza giuridica.

In conclusione, secondo la decisione in commento, nella fattispecie in esame, “non vi è spazio per il favor impugnationis, in quanto il bene in gioco, nel caso in esame, è la riferibilità dell'atto all'autore, non surrogabile da ulteriori elementi, destinati a comprovare altre certezze, quali la provenienza dell'atto e l'abilitazione del difensore, ma non in grado di escludere un utilizzo abusivo del certificato, una volta scaduto”.

Osservazioni

1. Ai sensi dell'art. 24, comma 1, del d.lgs. n. 82/2005, Codice dell'amministrazione digitale, “la firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata”.

Il successivo comma terzo della stessa disposizione stabilisce che “per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso”.

Il certificato di firma è presente all'interno del dispositivo di firma ed è rilasciato dall'ente certificatore autorizzato. Esso consente di definire con certezza la corrispondenza tra il nome del soggetto certificato e la sua chiave pubblica e permette di firmare digitalmente un documento elettronico.

Il certificato di firma, inoltre, include informazioni che riguardano l'identità del titolare (cognome, nome e codice fiscale), dati relativi all'ente certificatore che lo ha emesso e il periodo di tempo in cui può essere utilizzato (validità).

Il certificato qualificato di sottoscrizione, che caratterizza una firma digitale, ha un termine di utilizzo triennale, oltre il quale viene a scadenza. In genere si afferma che la scadenza del certificato è prevista per ragioni di sicurezza, anche se “attraverso il certificato qualificato si devono rilevare … la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d'uso” (art. 24, comma 4, CAD).

L'art. 24, comma 4-bis, del CAD stabilisce che “l'apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione”.

2. Sulla base della disposizione di ultimo illustrata, nel caso oggetto della sentenza illustrata, la Corte di cassazione ha ritenuto che l'utilizzo di una firma digitale con certificato elettronico scaduto equivalga alla mancata sottoscrizione digitale dell'atto, venendo così ad essere integrata la causa di inammissibilità dell'impugnazione prevista dall'art. 24, comma 6-sexies, lett. a), d.l. 28 ottobre 2020, n. 137, convertito, con modificazioni, dalla legge 18 dicembre 2020, n. 176.

Si tratta di una soluzione che può apparire rigorosa, ma che si fonda sulla norma illustrata e che rileva come il legislatore abbia fissato alcuni requisiti tecnici essenziali per assicurare, mediante l'utilizzo delle più avanzate funzionalità delle moderne tecnologie della comunicazione e dell'informazione, la provenienza dell'impugnazione dal soggetto legittimato.

3. La sentenza illustra, invero, compie una notevole analisi dell'elaborazione giurisprudenziale sulla causa di inammissibilità citata.

Essa rileva che la giurisprudenza di legittimità ha accolto una interpretazione rigorosa dell'art. 24 comma 6-sexies, lett. a), d.l. 28 ottobre 2020, n. 137, convertito, con modificazioni, dalla legge 18 dicembre 2020, n. 176, secondo cui la norma prevede cause di inammissibilità tassative e di stretta interpretazione, tra le quali è compresa unicamente la mancanza della sottoscrizione dell'atto di impugnazione da parte del difensore (Cass. pen., sez. VI, 3 luglio 2023, n. 34099; Cass. pen., sez. IV, 2 maggio 2023, n. 37499; Cass. pen., sez. III, 25 gennaio 2023, n. 6183; Cass. pen., sez. VI, 22 febbraio 2022, n. 8604, Rv. 282940 – 01; Cass. pen., sez. V,  10 maggio 2021, n. 24953, Rv. 282814), al pari di ogni causa di inammissibilità relativa al diritto di impugnazione nel processo penale (cfr., di recente, Cass. pen., sez. I, 11 marzo 2021, n. 17817, Rv. 281220; Cass. pen., sez. I, 12 marzo 2021, n. 35319, Rv. 281896).

Pertanto, non costituisce causa di inammissibilità dell'impugnazione:

- la mera irregolarità della sottoscrizione digitale (Cass. pen., sez. V, 28 aprile 2022, n. 22992, Rv. 283399 – 01, in una fattispecie in cui la firma, seppur apposta, non era stata riconosciuta come valida dal sistema di verifica dell'ufficio giudiziario destinatario, che aveva dato esito “certificato non attendibile”);

- la modifica dell'atto, trasmesso a mezzo di posta elettronica certificata, intervenuta successivamente alla sottoscrizione digitale dal difensore, di cui sia attestata l'integrità e l'attendibilità (Cass. pen., sez. VI, n. 40540 del 2021, Rv. 282306);

- la mancata rilevazione, da parte del programma informatico in dotazione dell'ufficio giudiziario, della firma digitale apposta dal difensore con il sistema CAdES sull'atto in formato pdf trasmesso a mezzo p.e.c. (Cass. pen., sez. I, 20 dicembre 2021, n. 2784, dep. 2022, Rv. 282490, in una fattispecie in cui il file è stato ritenuto firmato digitalmente, come attestato dall'estensione <p7m>, che identifica le firme digitali eseguite con il sistema CAdES, in tal modo ricevendo l'attestazione di ricezione notoriamente utilizzata per indicare che il documento in pdf è munito della predetta firma digitale);

- la qualificazione, da parte del sistema informatico in dotazione all'ufficio giudiziario, della firma digitale apposta dal difensore come non valida, in ragione del mancato utilizzo di uno specifico "software" (nella specie "Aruba sign", essendo stato l'atto sottoscritto col sistema "Pades-bes"), posto che la verifica della validità della sottoscrizione deve prescindere dalle caratteristiche del "software" impiegato per generarla e, parallelamente, per condurre la stessa operazione di verifica (Cass. pen., sez. II, 15 giugno 2022, n. 32627, Rv. 283844 - 01);

- l'impossibilità, per il giudice "a quo", di consultare le liste di revoca delle firme rilasciate dal certificatore abilitato con riferimento ad una impugnazione trasmessa a mezzo posta elettronica certificata dal difensore, di cui sia stata verificata la regolarità della firma digitale (Cass. pen., sez. I, 15 ottobre 2021, n. 41098 Rv. 282151).

Tutte queste fattispecie, secondo la sentenza in commento, si caratterizzano per la presenza di una sottoscrizione digitale dell'atto, al più non riconosciuta dal software in uso all'ufficio giudiziario, mentre il caso oggetto del suo vaglio, per effetto della scadenza del certificato, non ha permesso di ritenere sussistente la firma.

4. La verifica di esistenza e validità della firma digitale può essere effettuata solo con gli appositi software di firma (Dike, Firma Certa, Firma Ok Gold etc.) o per mezzo del software ministeriale.

L'accertamento della presenza della firma digitale, inoltre, può essere insito nell'estensione stessa del file. E' stato precisato, infatti, che “un file pdf.p7m altro non è che un file firmato digitalmente, che può essere un documento di testo, un foglio elettronico, un'immagine, una fattura elettronica o un qualunque altro tipo di documento informatico sul quale, tramite un procedimento elettronico, sia stata apposta una firma digitale”. Ne consegue che, ai fini della verifica della sussistenza della firma digitale di un atto di impugnazione, “non sussiste la necessità di ulteriori accertamenti qualora risulti in atti che il file abbia estensione pdf.p7m in quanto tale estensione è essa stessa probante dell'avvenuta firma digitale dell'atto” (così, Cass. pen., sez. IV, 26 settembre 2023, n. 43976).