Sulla responsabilità penale del certificatore di firma elettronica, è tuttora in corso un dibattito molto acceso. In merito è opportuno tener conto, anzitutto, della recente introduzione, a opera della legge 18 marzo 2008, n. 48, di una nuova ipotesi delittuosa specificamente riferita alla figura del certificatore.
La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.Clicca qui per leggere tutti i contributi.
L’art. 640-quinquies, rubricato “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica”, punisce con la reclusione fino a tre anni e con la multa da € 51,00 a € 1032,00 “il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato”.
In relazione al suo oggetto giuridico, la fattispecie rientra nel novero dei delitti contro il patrimonio mediante frode, sebbene alcuni ritengano impropria tale collocazione, mancando nella condotta tipica i caratteri dell’azione fraudolenta in senso tecnico. La condotta punibile, infatti, è costituita dalla mera violazione di obblighi di legge, se pur finalizzata all’ingiusto profitto o all’altrui danno. Una tale anticipazione della tutela è senz’altro giustificata alla luce della delicatezza e rilevanza delle funzioni attribuite al soggetto certificatore, anche in considerazione dell’avvenuta liberalizzazione del servizio, che non è più (o non necessariamente) garantito dalla presenza di un’autorità pubblica al vertice di esso e di un’autorizzazione preventiva per il suo svolgimento.
Per quanto concerne l’elemento soggettivo, il reato è punibile a titolo di dolo specifico di profitto o di danno, ma è richiesta anche, da parte del certificatore, la cosciente e volontaria violazione degli obblighi che la legge prevede a suo carico.
E’ bene ricordare come, trattandosi di reato proprio, il delitto previsto dall’art. 640-quinquies possa essere commesso esclusivamente dal soggetto che presta il servizio di certificazione; gli eventuali soggetti extranei, cioè sprovvisti di tale qualifica, potranno, se del caso, rispondere, solo a titolo di concorso, sempreché abbiano contribuito alla realizzazione della condotta criminosa.
L’ipotesi delittuosa appena descritta, tuttavia, non esaurisce l’intero ambito di rilevanza penale di tutte le attività di competenza del soggetto certificatore di firma elettronica. In particolare, il legislatore non ha, a tutt’oggi, definitivamente chiarito la questione relativa all’applicabilità al soggetto certificatore dei reati di falso dei pubblici ufficiali. La questione centrale e preliminare al merito di tale dibattito riguarda la possibilità di qualificare il soggetto certificatore come pubblico ufficiale (art. 357 c.p.), incaricato di un pubblico servizio (art. 358 c.p.) o esercente un servizio di pubblica necessità (art. 359 c.p.). Laddove si facciano rientrare i soggetti certificatori in una di queste categorie, la conseguenza sarebbe l’applicabilità agli stessi di tutti i più gravi reati di falso.
Si può senz’altro escludere che i certificatori siano esercenti un servizio di pubblica necessità. Infatti, in ottemperanza a un principio generale introdotto dalla Direttiva 1999/93/CE e confermato dal codice dell’amministrazione digitale, la prestazione dei servizi di certificazione è libera e non subordinata ad alcuna autorizzazione preventiva. Non si potrebbe giungere a conclusioni differenti neanche in relazione ai certificatori qualificati o accreditati, in quanto, mentre per i primi è prevista una dichiarazione di inizio attività che, consistendo in un mero atto dichiarativo, non è assimilabile ad un’abilitazione preventiva; per i secondi, sebbene esista un controllo preventivo che potrebbe configurarsi come “speciale abilitazione da parte dello Stato”(art. 359 c.p.), dell’opera dei certificatori accreditati il cittadino non è obbligato a valersi. La natura di esercenti un servizio di pubblica necessità dei certificatori poteva, infatti, essere sostenuta solo con la previgente normativa, quando la qualifica del certificatore presupponeva l’iscrizione, a cura dell’allora AIPA (oggi AGID), in un apposito elenco pubblico.
In merito, invece, alla possibilità di ricondurre i certificatori all’ampia categoria dei pubblici ufficiali, nonostante la dottrina prevalente l’abbia esclusa per via della natura privata del soggetto in questione, bisogna tener conto della recente, ma concorde, giurisprudenza della Suprema Corte. Quest’ultima ha ormai posto con fermezza un punto fisso in questa complicata materia: il mero fatto di essere un soggetto privato non esclude a priori la qualifica di pubblico ufficiale. Si è, infatti, ormai da tempo affermata la c.d. concezione funzionale-oggettiva della pubblica funzione, per cui assume rilevanza, non già la pubblicità dell’ente o la natura del rapporto di impiego del soggetto, bensì la circostanza obiettiva di esercitare una pubblica funzione, a prescindere dall’esistenza di un rapporto, temporaneo o permanente, di pubblico impiego. Nell’attuale momento storico-politico si è avviato un processo di privatizzazione per cui è divenuta frequente la concessione o la delega a privati di funzioni tipicamente pubblicistiche e “non va trascurato il sempre maggiore ricorso, da parte della pubblica amministrazione, agli strumenti del diritto privato”.
Alla luce di quanto fin qui esposto, sembra sostenibile poter qualificare i certificatori come pubblici ufficiali, sulla base del potere certificativo, che la legge gli attribuisce espressamente.
