Com’è noto esistono sostanzialmente due modalità standard per apporre la firma digitale: una denominata CAdES e una denominata PAdES. Il punto cruciale è che esse, pur essendo entrambe valide e riconosciute, non sono compatibili o interscambiabili tra loro in quanto dotate di caratteristiche differenti. In particolare:

a) nella modalità CAdES il documento originale e la sua firma digitale, una volta generata, vengono entrambi inseriti una speciale “busta” crittografica, che nella pratica è costituita da un nuovo file di tipo diverso dall’originale, il quale ha come nome quello del file originale cui viene aggiunto il suffisso “.p7m”; in questa modalità il documento originale da firmare può essere di qualsiasi tipo (immagine, documento di testo, documento PDF, etc.), tuttavia una volta inserito nella busta P7M esso non risulta più leggibile nativamente, ma deve essere prima estratto dalla busta stessa mediante un apposito programma applicativo in grado di decodificare i file P7M;

b) nella modalità PAdES, invece, il documento da firmare può essere solo di tipo PDF e la firma digitale, una volta generata, viene inserita all’interno del documento originale stesso grazie alla presenza nel formato file PDF di specifiche strutture dati all’uopo predisposte. Il documento firmato è dunque a tutti gli effetti un normale documento PDF: in particolare esso mantiene il suo nome e la sua struttura originali, e risulta direttamente leggibile da tutte le applicazioni in grado di aprire i file PDF; per di più esso, ad una semplice ispezione esterna, risulta indistinguibile dalla sua versione non firmata.

Nel caso di specie, come sopra accennato, la piattaforma, non solo non forniva un sistema di firma di firma digitale “on line”, ossia residente, ma imponeva all’utente di scaricare e firmare i documenti in “locale” sul proprio computer, per poi ricaricarli firmati solo ed esclusivamente in modalità PAdES, pena l’impossibilità di concludere la procedura.

In disparte i dubbi che il Collegio nutre in ordine all’opportunità di utilizzare una piattaforma che contiene limitazioni in ordine al tipo di firma digitale da usare, vieppiù quanto le operazioni di firma sono demandate all’utente con onere di utilizzo della propria dotazione informatica, ciò che appare al Collegio assolutamente evidente è che l’esistenza di un requisito così cruciale e bloccante, come quello relativo al formato accettabile per i documenti firmati, avrebbe dovuto essere portato all’attenzione dell’utenza in modo chiaro ed evidente, segnalandolo nel manuale operativo sin dai primi paragrafi come prerequisito imprescindibile.

Testo integrale