Autore: Chiara Danielli

I modelli ex d.lgs. 231/2001: la struttura e l’adozione

Posted on by Chiara Danielli

Dopo aver affrontato alcuni temi generali relativi al D.Lgs 231/2001 , passiamo ora ad analizzare più nello specifico i modelli di organizzazione e gestione.

I modelli di organizzazione e gestione (di seguito anche “MOG”) svolgono una serie di importanti funzioni sia durante il procedimento, sia successivamente quando si tratta di quantificare l’eventuale sanzione.

Infatti, ai sensi dell’art. 6 del D.Lgs. 231/2001 (di seguito anche il “Decreto”), nel caso di reato commesso dai vertici dell’azienda, affinché questa vada esente da responsabilità è necessario che sia stato adottato un modello idoneo a prevenire il rischio della commissione di reati, e che questo possieda una serie di caratteristiche specifiche che vedremo nel corso di questo articolo.

Nel caso invece di reato commesso da soggetti sottoposti all’altrui controllo, per l’art. 7 del Decreto è sufficiente, più genericamente, l’aver adottato efficacemente un modello.

Dal punto di vista sanzionatorio, invece, l’adozione di un MOG a valle della commissione del reato determina, ai sensi dell’art. 12 del Decreto, una riduzione delle sanzioni pecuniarie in misura compresa fra un terzo e la metà, oltre ad altri consistenti benefici che esamineremo prossimamente.

È quindi ovvio che, pur non essendo l’adozione di un MOG obbligatoria, la maggior parte degli enti – ed in particolare quelli aventi una certa complessità organizzativa – intraprendano questa scelta per cercare di andare esenti da sanzioni o comunque mitigare la portata delle stesse. A fronte dei dubbi e delle perplessità che spesso accompagnano le decisioni sull’adozione di un modello di organizzazione e gestione, lo Studio Legale Princivalle Apruzzi Danielli è in grado di assistere e guidare i suoi clienti nell’adozione del MOG.

Forti della nostra esperienza in tale campo, in questo articolo cercheremo di rispondere ad alcune delle domande più frequenti che ci sono state sottoposte dai nostri clienti: cosa deve contenere un modello di gestione ed organizzazione per essere ritenuto idoneo? E quali sono gli step da seguire per adottarlo efficacemente?

I contenuti del modello di organizzazione e gestione

Anzitutto, occorre tenere presente che il testo degli artt. 6 e 7 del Decreto si limita a disegnare lo scheletro del MOG e quali siano gli scopi che esso deve conseguire.

Tuttavia, nel tempo la giurisprudenza ha individuato alcuni principi, stabilendo ad esempio che il MOG debba essere innanzitutto specifico, attuale e dinamico. Il canone della specificità impone di tener conto della tipologia, delle dimensioni, dell’attività dell’ente e della sua storia. L’attualità comporta il costante aggiornamento del MOG alle mutate esigenze. La dinamicità assicura il continuo controllo del sistema prevenzionale, mediante il ricorso a sistematiche procedure di ricerca e identificazione dei rischi e controlli periodici sulle attività aziendali sensibili.

Ma come è fatto e come è strutturato un MOG?

In linea generale e cercando di semplificare il più possibile la risposta a questa domanda, possiamo dire che un MOG si divide in due parti: una generale ed una speciale.

La parte generale è tendenzialmente costituita in primis da un richiamo alla normativa di riferimento, ossia al Decreto stesso, dal modello di governance e dai sistemi organizzativi e di controllo interno adottati dall’ente.

Il secondo elemento che figura nella parte generale del modello è il sistema delle procure e delle deleghe, il quale disegna la ripartizione dei poteri e dei doveri all’interno della società.

Altro contenuto fondamentale della parte generale è dato dal Codice Etico, una sorta di tavola dei valori che permeano la cultura d’impresa e della quale i protocolli contenuti nel modello devono costituire concreta attuazione.

La parte generale del MOG deve anche fare riferimento alle modalità di emersione e rilevamento delle violazioni dello stesso, essenziali affinché il modello sia considerato adeguato ed efficace. Un simile sistema (su cui si tonerà più specificamente in un successivo articolo) è detto anche whistleblowing, e dovrebbe prevedere l’obbligo per tutti i soggetti legati all’ente di denunciare le violazioni di cui sono a conoscenza al proprio superiore o ad un apposito organismo.

Il modello deve successivamente menzionare il sistema disciplinare e sanzionatorio previsto in risposta alle violazioni delle prescrizioni in esso contenute, al fine di assicurarne l’effettività.

Infine, la parte generale deve “chiudere” il quadro disciplinando minuziosamente l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza. Per il ruolo fondamentale che questo elemento riveste nel sistema 231, verranno ad esso dedicati degli articoli a parte, per ora anticipiamo soltanto che tale Organismo ha il compito di vigilare sul funzionamento e sull’osservanza del modello, e di curarne anche l’aggiornamento.

La parte speciale del MOG è invece dedicata all’individuazione e alla regolamentazione delle specifiche attività esposte al rischio della commissione di reati. Più dettagliatamente, la parte speciale del modello deve innanzi tutto fornire una descrizione della struttura dei reati-presupposto della responsabilità dell’ente.

La seconda “tappa” fondamentale è la mappatura delle attività a rischio-reato, anche detta risk assesment, che nelle organizzazioni complesse come un’azienda si sostanzia in una serie di interventi: individuazione delle aree potenzialmente a rischio-reato; selezione delle attività il cui espletamento è connesso al rischio di commissione dei reati, con indicazione delle direzioni e dei ruoli aziendali coinvolti; valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere.

L’ultimo elemento essenziale della parte speciale del MOG è un richiamo, nei loro contenuti essenziali, ai protocolli di gestione del rischio-reato che si è mappato. I protocolli devono essere altamente tassativi, e contenere regole iper-descrittive, che traducano in pratica i principi definiti dal Codice etico. Oltre alla tassatività, i protocolli devono anche essere efficacemente attuati, e non limitarsi ad essere “messi su carta”.

Ulteriori fattori di grande importanza sono le attività d’informazione e di formazione sui contenuti del Modello e dei protocolli di gestione del rischio reato. Infatti, all’interno degli enti, specialmente di grandi dimensioni, è opportuno che vengano attuate iniziative di formazione qualificate e continue sul piano di prevenzione aziendale.

L’adozione del MOG

Sempre per semplificare, si possono quindi distinguere cinque fasi procedimentali che portano alla redazione e all’adozione del modello di organizzazione e gestione.

La fase iniziale consiste in un’analisi conoscitiva della società, che deve riguardare: il tipo di attività da essa svolta; la dimensione della società; la struttura organizzativa; i presidi già in essere all’interno della stessa; i rapporti della società con la Pubblica Amministrazione; l’ambiente di lavoro, per verificare se la società si conformi o meno, e quanto, alle norme anti-infortunistiche e di sicurezza sul lavoro.

Il passo successivo è l’identificazione delle attività sensibili, ossia attività nell’ambito delle quali potenzialmente potrebbero essere commessi i reati presupposto. Questa è una fase estremamente complessa e delicata, in quanto ogni caratteristica specifica dell’organizzazione genera rischi differenti all’interno dei singoli enti. Ciononostante, è possibile trarre alcuni principi generali dalle linee guida delle associazioni di categoria, fra le quali le più rilevanti in relazione al d.lgs. 231/2001 sono quelle pubblicate da Confindustria, che, pur non essendo la regola esaustiva, forniscono comunque utili informazioni circa questa fase della mappatura del rischio.

Il passaggio successivo è la classificazione del rischio in ordine decrescente: in primis i rischi critici, determinati da un danno elevato e da una significativa probabilità di accadimento, i quali non sono prevedibili o controllabili, seguono poi i rischi rilevanti, che presentano una entità del danno e una probabilità di accadimento minori rispetto ai rischi critici, ma che necessitano comunque di essere controllati, infine vi sono i rischi trascurabili, che per la modestia del danno o la scarsa probabilità di accadimento possono essere ignorati.

A questo punto si può procedere all’analisi ed individuazione del sistema di controllo e dei protocolli già esistenti nelle aree a rischio, per valutare la loro capacità di rispondere ai criteri delineati dal d.lgs. 231/2001. Solo dopo aver svolto accuratamente questa analisi, si giunge alla vera e propria predisposizione del modello di organizzazione, gestione e controllo, che dovrà successivamente ricevere l’approvazione da parte dell’organo dirigente.

È evidente che il percorso verso l’adozione ed implementazione di un MOG che risulti adeguato e specifico per il singolo ente, non è esattamente “semplice”.

Nel prossimo articolo andremo quindi ad affrontare la domanda che forse più di tutte preme a chi si appresta ad allinearsi ai dettami del d.lgs. 231/2001: che vantaggi trae l’ente dall’adozione ed efficace implementazione di un MOG?

L’autonomia della responsabilità dell’ente

Posted on by Chiara Danielli

La natura della responsabilità ex 231/01

Come abbiamo anticipato nell’articolo precedente, la responsabilità dell’ente dipendente da reato è definita dal D.Lgs 231/01 come “amministrativa”, ma in realtà è tale solo formalmente, poiché presenta anche molte caratteristiche di una vera e propria responsabilità penale.

I motivi di questa scelta del legislatore vanno ricercati nel testo della Costituzione; infatti, l’articolo 27 stabilisce che “la responsabilità penale è personale”, e che “le pene (…) devono tendere alla rieducazione del condannato”. Questa previsione negherebbe la possibilità di una estensione del diritto penale alle persone giuridiche, da qui la necessità di qualificare la responsabilità degli enti come amministrativa.

Negli anni si è molto dibattuto sulla natura giuridica della responsabilità ex 231/01, finché la Cassazione non ha raggiunto, tramite varie sentenze susseguitesi negli anni, un orientamento abbastanza consolidato. La Suprema Corte è infatti dell’opinione che la responsabilità degli enti derivante da reato costituisca una forma “ibrida” di responsabilità, che nasce dalla combinazione della responsabilità amministrativa con i principi ed i concetti propri dell’ambito penale. Le Sezioni Unite hanno parlato di “evidenti ragioni di contiguità con l’ordinamento penale (…) quale che sia l’etichetta che si voglia imporre su tale assetto normativo.” (Cass., sez. un., 18 settembre 2014, n.38343).

Chiarita quindi la natura della responsabilità dell’ente, riteniamo opportuno segnalare un’altra peculiarità di tale responsabilità: la responsabilità “amministrativa” delle persone giuridiche è aggiuntiva ed autonoma rispetto a quella in capo all’autore materiale dell’illecito penale. Infatti, quando all’interno di un ente viene compiuto uno dei reati-presupposto elencati nel d.lgs. 231/2001, vengono iscritte presso la Procura della Repubblica competente territorialmente due separate notizie di reato in due appositi registri: una ascrivibile alla persona fisica autrice dell’illecito, ed un’altra in capo all’ente.

Inoltre, la responsabilità ex 231/01 può, in alcuni casi, permanere anche se il processo penale nei confronti della persona fisica che ha commesso il reato non può avere corso.

Ciò può accadere nei casi indicati nell’art. 8, comma 1, d.lgs. 231/2001, ossia quando:

  1. l’autore del reato non è stato identificato o non è imputabile;
  2. il reato si estingue per una causa diversa dall’amnistia.

Entrambe queste fattispecie fanno sorgere nella pratica alcune problematiche che andremo ora ad analizzare, mettendo in luce quali sono state le risposte fornite dalla giurisprudenza.

 

Le vicende estintive e il problema posto dalla prescrizione

Come accennato sopra, l’art. 8, comma 1, lett. b) stabilisce che la responsabilità dell’ente sussiste anche nel caso in cui il reato subisca una vicenda estintiva, con l’unica eccezione rappresentata dall’amnistia (il legislatore ha ritenuto che le valutazioni politiche sottostanti ad un provvedimento di questo tipo valgano anche nei confronti degli enti).

L’autonomia della responsabilità dell’ente rispetto alle vicende estintive del reato presupposto crea dubbi con riguardo alla prescrizione. Infatti, ai sensi dell’art. 60 d.lgs. 231/2001, non si può procedere alla contestazione di cui all’art. 59 (vale a dire la contestazione nei confronti dell’ente, effettuata da parte del Pubblico Ministero, dell’illecito amministrativo dipendente da reato) quando il reato da cui dipende l’illecito amministrativo dell’ente è estinto per prescrizione. Si deduce quindi che, viceversa, il potere di contestazione nei confronti dell’ente permane quando la prescrizione matura invece a contestazione avvenuta.

Parrebbe fin qui un ragionamento piuttosto lineare, sennonché i dubbi in questo ambito sorgono dal fatto che la disciplina della prescrizione dell’illecito dell’ente è diversa da quella penalistica: ai sensi dell’art. 22, infatti, il termine di prescrizione è di cinque anni dalla consumazione del reato, e per effetto dell’interruzione inizia a decorrere un nuovo periodo di prescrizione la cui durata massima non è però prevista. In questo la disciplina della prescrizione dell’illecito dell’ente si discosta da quanto stabilisce l’art. 160, comma 3, del Codice penale, ai sensi del quale invece sono previsti dei termini massimi per l’aumento del periodo di prescrizione dovuto all’interruzione della stessa.

Vi sarebbe quindi il rischio che il processo penale nei confronti dell’ente prosegua, e di conseguenza che la responsabilità dell’ente possa eventualmente venire affermata, anche senza la verifica della colpevolezza della persona fisica autrice materiale del reato.

Sul punto è intervenuta la Cassazione che ha stabilito che in tema di responsabilità degli enti, nel caso di declaratoria di prescrizione del reato presupposto, il giudice deve sì “procedere all’accertamento autonomo della responsabilità amministrativa della persona giuridica nel cui interesse e nel cui vantaggio l’illecito fu commesso”, ma senza che questo accertamento possa “prescindere da una verifica, quantomeno incidentale, della sussistenza del fatto di reato” (Cass. pen., Sez. VI, 25 gennaio 2013, n. 21192).

In altre parole, il giudizio sulla responsabilità dell’ente deve comunque mirare alla pienezza dell’accertamento della sussistenza del reato, nelle sue componenti oggettiva e soggettiva.

Si tratta di un ragionamento solo in apparenza esclusivamente teorico, poiché in realtà ha dei risvolti pratici per l’ente. Nella sostanza, infatti, confermando che si deve trattare comunque di un giudizio che mira ad un accertamento pieno, il chiarimento della Cassazione implica che l’ente possa avere la possibilità, in giudizio, di chiedere l’ammissione e produrre prove utili per escludere o far dubitare della sussistenza del fatto di reato, essendo quest’ultimo una componente fondamentale della fattispecie da cui discende la responsabilità dell’ente.

 

La mancata identificazione dell’autore del reato

Per quanto riguarda l’art. 8, lett. a), mentre l’ipotesi di autore non imputabile, cioè incapace di intendere e di volere, resta sicuramente un caso tendenzialmente teorico, la mancata identificazione della persona fisica che ha commesso il reato è un fenomeno quasi tipico nell’ambito della responsabilità d’impresa. In effetti, si può dire che sia un’evenienza insita nella difficoltà di attribuire responsabilità personali soprattutto nell’ambito di organizzazioni articolate o comunque piuttosto complesse.

Ad esempio, basta pensare ai cosiddetti casi di imputazione soggettivamente alternativa, cioè quelle ipotesi in cui il reato è senz’altro riconducibile ai vertici dell’ente, ossia due o più amministratori, ma manchi la prova della loro responsabilità individuale.

Secondo la lettera dell’art. 8, comma 1, lett. a) del d.lgs. 231/2001, la conseguenza per l’ente è che, anche nei casi in cui per la complessità dell’assetto organizzativo interno non sia possibile riferire la responsabilità penale ad un determinato soggetto, ma risulti comunque accertata la commissione di un reato, l’ente ne dovrà rispondere sul piano della responsabilità amministrativa. Questo, naturalmente, a condizione che comunque sia imputabile all’impresa una colpa organizzativa, una negligenza consistente nell’aver adottato un modello organizzativo carente, o addirittura nel non averlo adottato affatto (tema su cui torneremo approfonditamente nel prossimo articolo).

Questa è la conclusione a cui è giunta la Cassazione in svariate sentenze. Nella sentenza n. 20060 del 4 aprile 2013, ad esempio, la Sezione V della Cassazione penale ha affermato che l’autonomia della responsabilità dell’ente non si riferisce tanto ad una indipendenza dell’illecito amministrativo a suo carico rispetto al reato presupposto: lo dice il termine stesso, l’illecito amministrativo presuppone, e quindi dipende, da quello penale. Piuttosto, la disposizione di cui all’art. 8 segnala l’autonomia delle due condanne sotto il profilo processuale. Nella prassi, quindi, perché vi sia responsabilità dell’ente è necessario che venga compiuto un reato da parte di un soggetto riconducibile all’ente stesso, ma non anche “che tale reato venga accertato con individuazione e condanna del responsabile.”

Tuttavia, come vedremo prossimamente, l’imputazione dell’illecito all’ente si fonda su parametri differenti a seconda che autore materiale del reato presupposto sia un soggetto apicale oppure sottoposto. Per questo motivo, sempre la Cassazione ha delimitato l’autonomia della responsabilità dell’ente ex 231. Infatti, pur ribadendo il principio dell’autonomia della responsabilità dell’ente e della tendenziale irrilevanza della mancata individuazione dell’autore del reato, la Suprema Corte ha affermato che è quantomeno necessario stabilire se l’autore sia un soggetto apicale oppure subordinato (Cass. pen., Sez. VI, sentenza n. 28299 del 7 luglio 2016).

La responsabilità amministrativa degli enti

Posted on by Chiara Danielli

Con il d.lgs. 231 dell’8 giugno 2001 è stata introdotta nell’ordinamento italiano la responsabilità amministrativa degli enti collettivi per fatti di reato.

Tale istituto mira a colpire le condotte illecite, commesse all’interno di un’impresa, che non sono soltanto il frutto di un’iniziativa privata del singolo, bensì rientrano in una più ampia e diffusa politica aziendale, tanto che si parla di corporate crime.

Spinta decisiva per l’introduzione di tale forma di responsabilità è stata sicuramente una serie di fonti sovranazionali che si sono espresse in materia. Fra queste, basta pensare alle numerose direttive del Parlamento europeo e del Consiglio, e alle relative decisioni quadro al Protocollo n. 2 della Convenzione per la tutela degli interessi finanziari delle Comunità europee del 1997, e alla Convenzione Ocse dello stesso anno sulla lotta alla corruzione dei funzionari pubblici stranieri nelle operazioni economiche internazionali.

Il d.lgs. 231 del 2001 ha introdotto una particolare responsabilità per gli enti, definita solo lessicalmente “amministrativa”, derivante da reato e ricollegata al fatto della commissione di un illecito penale da parte di una persona fisica, nell’interesse o a vantaggio della società. Una responsabilità, peraltro, non sostitutiva di quella della persona fisica, bensì aggiuntiva, e collegata alla commissione di determinate fattispecie di reato espressamente previste dal decreto stesso, i cosiddetti “reati-presupposto”.

Destinatari della normativa, secondo la lettera della legge, sono tutti gli enti forniti di personalità giuridica, le società e le associazioni anche prive di personalità giuridica, vale a dire a titolo esemplificativo: le società di capitali, le cooperative, le associazioni, le fondazioni e ogni altra istituzione, non finalizzata allo svolgimento di attività economica, che acquista la personalità giuridica in base al d.p.r. 10 febbraio 2001, n. 236.

Per l’ente “virtuoso” che voglia provare ad evitare di incorrere in tale responsabilità, il legislatore ha previsto un utile strumento: l’adozione dei modelli organizzativi e di gestione, che fungono sia da criterio di esclusione della punibilità, che da criterio di attenuazione delle loro eventuali conseguenze sanzionatorie. La loro predisposizione ed efficace implementazione non è per le imprese un obbligo, ma è certamente indispensabile laddove gli enti vogliano essere tutelati sotto il profilo della responsabilità ex d.lgs.. 231 nella deprecata ipotesi della commissione di un reato-presupposto al loro interno.

A vigilare sulla corretta implementazione e sull’efficacia del modello organizzativo, il d.lgs. 231 prevede l’istituzione all’interno dell’ente di un organo ad hoc. Si tratta dell’organismo di vigilanza, che deve essere dotato di tutti i poteri necessari per assicurare una efficiente vigilanza sul funzionamento ed il rispetto del modello organizzativo adottato dall’ente: esso deve verificare l’efficacia del modello ed il rispetto delle modalità e procedure previste in esso, nonché formulare proposte all’organo dirigente per eventuali aggiornamenti e adeguamenti del modello stesso.

Adottare un modello di organizzazione e gestione può a prima vista significare per l’impresa ingenti costi e lunghi e laboriosi processi di mappatura dei rischi e predisposizione di adeguate cautele, il tutto in un panorama giurisprudenziale dove i criteri di valutazione dei giudici circa l’adeguatezza di questi modelli non sono sempre chiari e ben definiti in partenza. Inoltre, dotarsi di un modello di organizzazione e gestione implica istituire un organismo di vigilanza, il che a sua volta comporta ulteriori costi, dato che tale organo deve disporre delle risorse finanziarie necessarie a svolgere i suoi compiti.

Lo Studio Legale Princivalle Apruzzi Danielli è in grado di seguire i propri clienti in tutto l’iter necessario alla adozione – o eventuale implementazione – del modello ex d.lgs.. 231 del 2001, nonché nell’assistenza alla istituzione dell’organismo di vigilanza o nella formazione obbligatoria in tale ambito. Infatti gli Avvocati dello Studio Legale Princivalle Apruzzi Danielli fanno parte degli organismi di vigilanza di varie società, forniscono consulenza relativamente a tale normativa, e svolgono corsi periodici di formazione su tale tematica.

Occorre infatti tenere a mente che il catalogo dei reati-presupposto, in un primo momento limitato ad illeciti tipici dell’attività economica, va via via sempre più espandendosi, ricomprendendo reati sempre diversi, la prevenzione dei quali richiede conoscenze tecniche specifiche dei più disparati campi.

Per questi motivi, lo Studio Legale Princivalle Apruzzi Danielli ha deciso di fare chiarezza sull’argomento, con una serie periodica di articoli (consultabili anche sul sito internet dello Studio), che esamineranno il d.lgs. 231 del 2001 nei suoi vari elementi e le problematiche che possono presentarsi nella sua applicazione pratica. Non mancheranno anche aggiornamenti sulle più recenti novità in materia di responsabilità amministrativa degli enti dipendente da reato, il tutto per fornire un pratico ed agevole strumento a chi dovesse avere necessità o dubbi su una materia così fondamentale per chiunque si muova nel mondo dell’impresa.

La firma digitale in Italia: dubbi e quesiti

Posted on by Chiara Danielli

Nonostante l’ampissima diffusione delle sottoscrizioni per mezzo della firma digitale, spesso quando si presenta per la prima volta la necessità di firmare elettronicamente un documento sono parecchi i dubbi che sorgono: che differenza c’è fra firma elettronica e firma digitale? Come si fa ad essere certi che il servizio di firma elettronica che stiamo utilizzando sia valido? E soprattutto: il documento sottoscritto con la firma elettronica avrà valore legale come quelli firmati manualmente? In questo articolo, cercheremo di rispondere alle domande pratiche più frequenti che si presentano nel momento in cui ci si trova a dover utilizzare servizi di firma elettronica.

 

Quali fonti normative regolano la firma elettronica?

Quando parliamo di firma elettronica, le leggi di riferimento più importanti sono sicuramente due: a livello nazionale il d.lgs. n. 82 del 2005, o Codice dell’Amministrazione Digitale e a livello europeo il regolamento UE n. 210 del 2014, ossia il regolamento eIDAS.

Come normativa di riferimento va sicuramente citato anche Il D.P.C.M. n. 117 del 2013 che detta le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, nonché per la validazione temporale, ed è quindi destinato ai certificatori qualificati, per i quali costituisce una sorta di “manuale tecnico”.

 

Quanti tipi di firma elettronica ci sono?

Il regolamento eIDAS delinea e riconosce, nella Sezione 4, tre tipi di firma elettronica:

  • la firma elettronica semplice (o SES): si tratta del tipo di firma elettronica più basilare, la quale, in base al suo grado di sicurezza e complessità può essere legalmente applicabile ed ammissibile come prova in giudizio;
  • la firma elettronica avanzata (o AES), che ha un livello di sicurezza più avanzato e deve soddisfare quattro requisiti:
  1. deve essere connessa unicamente al firmatario;
  2. deve essere idonea a identificare il firmatario;
  3. il titolare della firma ne deve avere l’esclusivo controllo;
  4. deve essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
  • la firma elettronica qualificata (o QES), che è una firma elettronica avanzata creata da un dispositivo per la creazione di firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.

 

Perché in Italia parliamo di firma digitale? Che cos’è?

La firma digitale altro non è che un particolare tipo di firma elettronica qualificata, basato su una specifica tecnologia di chiavi crittografiche asimmetriche. Il termine “firma digitale” viene utilizzato in Italia, spesso a fianco o in sostituzione della più generale espressione “firma elettronica qualificata”, perché è stato introdotto dal CAD, che è antecedente di nove anni rispetto al regolamento eIDAS. Il CAD definisce la firma digitale all’art. 24, stabilendo che:

“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.

  1. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
  2. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
  3. Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d’uso. Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma”.

 

Chi può emettere firme elettroniche qualificate?

Affinché una firma elettronica si possa definire come tale, bisogna che i certificati qualificati siano rilasciati dai Qualified trust service providers, vale a dire da fornitori di servizi fiduciari accreditati dalle autorità locali designate da ogni Stato Membro UE (in Italia, l’autorità a ciò deputata è l’Agenzia per l’Italia Digitale o AgID).

ll regolamento eIDAS disciplina i Qualified trust service providers nella Sezione 3, stabilendo che, per poter essere tali, i certificatori devono rientrare negli “Elenchi di fiducia” tenuti dagli Stati membri dell’UE. Quando un certificatore è accreditato dall’Autorità di un paese membro dell’Unione Europea, e dunque è presente nel suo elenco, esso può emettere firme elettroniche qualificate valide per tutta l’Unione, ai sensi dell’art. 4 del regolamento eIDAS. Quindi, per verificare se il provider dei cui servizi ci si vuole avvalere sia abilitato o meno ad emettere QES, sarà sufficiente controllare che sia presente in uno degli elenchi pubblici di certificatori accreditati tenuti dalle varie autorità dei singoli Stati, reperibili sul sito web di eIDAS (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home), e che sia abilitato a fornire il servizio esatto di cui si ha bisogno, informazione sempre rinvenibile sul sito di eIDAS.

 

Qual è il valore legale di un documento sottoscritto con firma digitale?

Con riferimento alla validità dei documenti firmati digitalmente, il CAD stabilisce quanto segue all’art. 21, commi 1 e 2:

“Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, ha altresì l’efficacia prevista dall’articolo 2702 del Codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico”.

Il documento sottoscritto con una firma elettronica qualificata o avanzata soddisfa quindi il requisito della forma scritta, ha valore di scrittura privata e fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. Invece, l’idoneità delle SES a soddisfare tale requisito deve essere valutata dal giudice, sulla base delle caratteristiche della firma elettronica utilizzata in termini di sicurezza, integrità e immodificabilità.

Si è espressa in questo senso anche la Cassazione civile nella sentenza n. 5523 del 2018, la quale, riferendosi nel caso specifico alle e-mail, ha affermato che:

“In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (cd. e-mail) privo di firma elettronica non ha l’efficacia della scrittura privata prevista dall’art. 2702 c.c. quanto alla riferibilità al suo autore apparente, attribuita dall’art. 21 del d.lgs. n. 82 del 2005 solo al documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso è liberamente valutabile dal giudice, ai sensi dell’art. 20 del medesimo decreto, in ordine all’idoneità a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità”.

 

La “targa prova”: al via le nuove regole.

Posted on by Chiara Danielli

Il 29 febbraio 2024 è entrato in vigore il Dpr 21 dicembre 2023, n. 229  in materia di semplificazione del procedimento di autorizzazione alla circolazione di prova dei veicoli. In attesa dell’emanazione delle istruzioni operative, il nostro Studio Legale ha il piacere di fornirvi un breve vademecum sulle principali novità.

Che cos’è la “targa prova”?

E’ una targa che viene utilizzata quando un veicolo necessita di prove, collaudi, trasferimenti, dimostrazioni o allestimenti; è uno strumento di identificazione temporaneo e il rilascio di tale targa non può essere richiesto da privati ma solo da soggetti che svolgono attività collegate al settore della locomozione (come ad esempio: concessionari, officine o aziende costruttrici di veicoli a motore e rimorchi).

Le principali novità

In attesa delle nuove istruzioni operative che verranno emanate vi segnaliamo le principali novità del Dpr 21 dicembre 2023, n. 229:

  • il numero di autorizzazioni alla prova che può essere rilasciato ad ogni azienda è ora contingentato in base al tipo di attività esercitata e al numero di addetti;
  • la targa prova ha validità annuale e non è rinnovabile decorsi sei mesi dalla sua scadenza;
  • i procedimenti di rilascio, rinnovo e revoca dell’autorizzazione sono gestiti esclusivamente in via telematica (secondo le modalità che verranno stabilite dalla Direzione generale per la motorizzazione e per i servizi ai cittadini e alle imprese in materia di trasporti e navigazione entro quattro mesi dall’entrata in vigore del Dpr n. 229/2023);
  • l’autorizzazione alla circolazione (che è un titolo personale e non cedibile) può essere utilizzata esclusivamente per la circolazione su strada nell’ambito del territorio italiano, salvo accordi di reciprocità con altri Stati;
  • in caso di smarrimento, sottrazione o distruzione dell’autorizzazione o della targa, il titolare deve farne denuncia entro 48 ore agli organi di Polizia;
  • l’autorizzazione alla circolazione su strada  è rilasciata non solo per i veicoli non ancora immatricolati, ma anche per quelli già immatricolati, anche se privi di revisione in corso di validità o di assicurazione sul veicolo (così come previsto dal D.L. 121/2021)

Particolarità e sanzioni

Quando la targa prova è collocata su un veicolo già immatricolato, deve essere posizionato nella parte posteriore del mezzo in maniera ben visibile e tale da non oscurare o rendere illeggibile la targa di immatricolazione.

Rimangono tra l’altro in vigore le sanzioni previste dal Codice della Strada per chiunque adibisca “un veicolo in circolazione di prova ad uso diverso” o nel caso in cui il veicolo circoli “senza che su di esso sia presente il titolare dell’autorizzazione o un suo dipendente munito di apposita delega“.