C'è equivalenza giuridica tra firma digitale di singoli file e firma di un archivio zip?

“In assenza di una espressa previsione del disciplinare di gara che sanzioni il mancato rispetto delle modalità di sottoscrizione dei documenti con l'esclusione, la sottoscrizione con firma digitale di una cartella zip contenente i singoli documenti di offerta non firmati è da ritenersi pienamente valida, atteso che questa modalità di firma non appare in alcun modo determinare dubbi sull'integrità dei documenti e sulla loro provenienza.

Va sul punto specificato che i vizi formali della sottoscrizione sono irrilevanti laddove comunque la firma garantisca la riferibilità all'operatore economico vincolandolo alla propria offerta.

In ogni caso, anche con riferimento all'offerta tecnica, nulla osta a consentire la sanatoria dei vizi della firma digitale apposta, condizione diversa dalla sua assoluta mancanza”.

Il caso scrutinato dal tribunale amministrativo di Lecce trae origine da una procedura negoziata, avviata ai sensi dell'art. 128 d. lgs. 50/2016, in modalità telematica, per l'affidamento della progettazione esecutiva e dell'esecuzione dei lavori di completamento di una rete idrica fognaria di un comune dell'entroterra tarantino.

La stazione appaltante aveva infatti escluso un raggruppamento temporaneo di imprese giudicando che l'offerta tecnica non fosse stata formulata secondo le indicazioni della lettera d'invito; più specificamente non era stata giudicata conforme alle suddette prescrizioni l'apposizione della firma digitale al file “.zip” contenente tutti i documenti di gara, anziché a ciascun documento singolarmente individuato.

La questione da analizzare è dunque la seguente: l'apposizione della firma digitale ad un file archivio (qual è il file .zip) contenente la documentazione necessaria e sufficiente alla partecipazione di una gara pubblica può essere considerata equipollente alla firma digitale di ogni singolo documento?

La risposta fornita dal giudice amministrativo è positiva e si fonda in particolare su un duplice ordine di considerazioni molto importanti ai fini dell'analisi che ci occupa, ovvero:

a) il paragrafo della lettera di invito che disciplinava le modalità di presentazione dell'offerta si limitava a richiedere la firma digitale “del legale rappresentante, del concorrente o di un suo procuratore e del soggetto professionale esterno se indicato dal concorrente per l'attività di progettazione” senza tuttavia sanzionare espressamente con l'inammissibilità dell'istanza di partecipazione la mancata sottoscrizione con firma digitale dei singoli documenti digitali inseriti nell'unico file compresso contenente l'offerta tecnica;

b) la sottoscrizione con firma digitale del file compresso in formato “zip” ad opera dell'operatore economico accreditato sulla piattaforma di gara è giudicata sufficiente ad assicurare certezza sulla provenienza e sull'integrità dei documenti da cui detto file è composto, garantendo il sostanziale rispetto del principio di par condicio tra i concorrenti in gara. A supporto di tale parte della motivazione il Collegio richiama la giurisprudenza amministrativa secondo cui la funzione della sottoscrizione della documentazione e dell'offerta è di renderla riferibile al presentatore dell'offerta vincolandolo all'impegno assunto, con la conseguenza che laddove tale finalità risulti in concreto conseguita, con salvaguardia del sotteso interesse dell'amministrazione, non vi è spazio per interpretazioni formali delle prescrizioni di gara (cfr. Cons. Stato, Sez. V, 21 novembre 2016, n. 4881; Sez. V, 27 aprile 2015, n. 2063; Sez. VI, 15 dicembre 2010, n. 8933).

Il principio di diritto enunciato dalla sentenza in commento appare condivisibile e dimostra oltretutto una piena conoscenza della vera natura della firma digitale come strumento per assicurare la provenienza, l'integrità e l'immodificabilità dei documenti sui quali essa è apposta.
È noto infatti come la firma digitale sia un particolare tipo di firma elettronica qualificata basato su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Per generare una firma digitale occorre dotarsi di un «certificato qualificato di firma elettronica», rilasciato da un prestatore di servizi fiduciari qualificato, e di un «dispositivo per la creazione di una firma elettronica qualificata», cioè un dispositivo con le caratteristiche tecniche stabilite nell'allegato II del regolamento eIDAS (regolamento UE n. 910 del 2014).

Per quanto concerne lo schema di funzionamento occorre tenere presente che la coppia di chiavi (Ks, Kp), necessaria per l'esecuzione dell'algoritmo crittografico asimmetrico dal quale scaturisce la firma digitale, è generata all'interno del dispositivo di firma, costituito da una smart card o una business key con porta USB, allo scopo di garantire l'assoluta segretezza della chiave Ks, che rimarrà memorizzata al suo interno, senza mai uscire, per l'intero periodo di validità del certificato.

Anche da questa sintetica descrizione del processo di firma digitale è agevole notare come la sottoscrizione elettronica di tanti file singolarmente considerati o di un archivio zip contenente i medesimi file siano operazioni tecnicamente neutre che forniscono le medesime garanzie; in effetti un file munito di firma digitale identifica il suo autore e risulta immodificabile al pari di un archivio contente una moltitudine di documenti; semplicemente in quest'ultimo caso, dopo la verifica dell'integrità della firma si avrà accesso a documenti non firmati singolarmente ma per i quali identificabilità dell'autore e immodificabilità sono garantiti comunque dalla firma associata al file zip.

In sostanza, ciò che conta è che il processo documentale seguito dal sottoscrittore garantisca la rispondenza alle tre classiche funzioni attribuite alla firma (analogica o digitale che sia): identificativa, dichiarativa e probatoria.

Ebbene, nel caso di specie, tali requisiti sono rispettati proprio in ragione dell'apposizione di una firma digitale, a prescindere dal fatto che essa sia correlata ad un file-documento o ad un file-archivio.

È infatti possibile identificare il sottoscrittore del file archivio attraverso l'esame dei certificati racchiusi nel dispositivo di firma digitale ed è agevole affermare che, con l'apposizione di quest'ultima, il soggetto in questione dichiara di conoscere e di voler assumere la paternità di tutto quanto è contenuto nella cartella zip.

Quanto poi alle garanzie probatorie è sufficiente leggere l'art. 20, comma 1-ter, del codice dell'amministrazione digitale a mente del quale “l'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria”, per rendersi conto di quanto esse siano elevate.

In presenza di una firma digitale, invero, è il sottoscrittore a dover eventualmente disconoscere la propria firma; e ciò ovviamente prescinde dalla tipologia di documento informatico utilizzata.

A supporto della correttezza della tesi esposta nella sentenza in commento va altresì considerato come il nostro ordinamento conosca almeno una ipotesi in cui la modalità ordinaria di sottoscrizione digitale è proprio quella dell'apposizione della firma al file archivio e non ai singoli documenti che lo compongono. Ai sensi dell'art. 12 del DM n. 32/2015, l'offerta per la vendita telematica è infatti redatta e cifrata mediante un software realizzato dal Ministero e messo a disposizione degli interessati da parte del Gestore della vendita telematica; una volta inseriti i dati ed i documenti necessari, il software consente la generazione dell'offerta telematica e la successiva firma digitale, che però viene apposta ad un file zip e non ad un file .pdf. Al termine delle operazioni di compilazione dell'offerta viene infatti restituito all'utente un documento avente estensione “offerta_xxxxxxxx.zip.p7m”, che deve poi essere spedito via PEC.

Queste considerazioni tecnico / giuridiche ben si saldano inoltre con la prima parte della motivazione della pronuncia, ovvero il passaggio in cui si afferma che la sanzione dell'esclusione dalla gara in caso di mancata firma digitale di ogni singolo file avrebbe dovuto essere espressamente prevista.

Il Collegio giudicante ha potuto affermare questo principio solo perché, come detto, l'operazione di firma dell'archivio zip in luogo dei singoli documenti non aveva alcun impatto negativo sulla procedura di affidamento, essendo comunque garantite tutte le funzioni e certificazioni discendenti dall'utilizzo della firma digitale, e si poneva pertanto come passaggio procedurale formalistico che necessitava di espressa previsione all'interno dei documenti predisposti dalla stazione appaltante.

In conclusione, la sentenza resa dal Collegio pugliese appare dunque pienamente condivisibile sia dal punto di vista tecnico sia da quello giuridico.

La tematica affrontata, sulla quale non constano precedenti in termini, è di estremo interesse soprattutto per i risvolti pratici, visto che la fattispecie analizzata dalla pronuncia in commento potrebbe ripresentarsi più volte in sede di gara pubblica. È perciò positivo che il primo precedente indichi una strada corretta.