I rivenditori PEC e Firma digitale svolgono funzioni pubbliche?
L’esercizio privato di una pubblica funzione si concretizza nell’esercizio di talune potestà pubbliche da parte di soggetti privati estranei all’amministrazione statale e discende da specifiche previsioni di legge, al ricorrere di determinati presupposti di fatto o di diritto. Per rispondere, pertanto, occorre far riferimento alle singole disposizioni normative che regolamentano i diversi servizi individuati sopra.
La normativa in materia di PEC non definisce il servizio come funzione pubblica
Il gestore per rilasciare le PEC deve essere iscritto nell’Elenco Pubblico dei Gestori accreditati, presente nel sito AgID, e può essere, oltre che una Pubblica Amministrazione o una società di capitale che ha fatto regolare richiesta di certificazione. Tutti i soggetti che vogliono diventare i gestori di PEC devono rispettare i requisiti previsti dall’articolo dall’art 14 del DPR n.68/2005.
Lo svolgimento di funzione pubblica affidata a privati non è menzionato neanche nella normativa in materia di firma digitale.
Il fornitore del servizio fiduciario, come è appunto oggi definito, secondo il nuovo Regolamento eIDAS, il servizio di creazione, verifica e convalida di firme elettroniche, deve rispettare precisi requisiti (giuridici, di onorabilità, di competenza ed esperienza tecniche, conformità dei processi e prodotti informatici a standard riconosciuti di qualità, etc.) stabiliti dalla legge (cfr. Regolamento eIDAS n. 910/2014 e D.lgs. n. 82/2005). E’ richiesto inoltre che il soggetto certificatore sia incluso in un elenco pubblico, consultabile telematicamente, predisposto, tenuto ed aggiornato a cura dell’AgID.
Detto ciò, si evidenzia che in entrambe le discipline (PEC e firma) una delle funzioni principali demandate al fornitore del servizio è quello della identificazione dell’utente che richiede il medesimo.
Ai sensi dell’art. 29 del D.lgs. n. 85/2005, il fornitore per offrire i servizi ivi indicati deve trovarsi nelle condizioni previste dall’art. 24 del Regolamento eIDAS, ovvero allorché rilascia un certificato qualificato per un servizio fiduciario, deve verificare
mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.
Nel caso di rilascio della PEC e del certificato di firma digitale il fornitore deve rispettare, tra l’altro l’obbligo di verificare le informazioni sopra dette direttamente o ricorrendo a un terzo (subcontraente) conformemente al diritto nazionale.
Pertanto, sembra possibile delegare le attività di verifica a soggetti terzi (rivenditori), sempre comunque nel rispetto della legge nazionale che prevede idonee modalità di affidamento a terzi di tali servizi (accordi, convenzioni, etc.).
In particolare, nel caso di rilascio del certificato di firma digitale è possibile per il fornitore delegare la funzione di identificazione della persona che richiede il certificato. In tale ipotesi, gli addetti incaricati dal soggetto (persona fisica o giuridica, PA, etc.), nominato dal fornitore del servizio per lo svolgimento delle attività inerenti il rilascio di servizi di certificazione digitale, rivestiranno il ruolo di cc.dd. registration authority officer (indicati anche con altri termini: incaricati alla registrazione, operatori di registrazione, etc.).
Tutto ciò, tenendo in considerazione che, in ogni caso,
il prestatore di servizi di firma elettronica qualificata è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi. (cfr. art. 32 del D.lgs. n. 85/2005).
In sintesi, quindi, la legge non prevede espressamente l’attribuzione di funzione pubblica ai fornitori di servizi PEC e firma digitale, pertanto gli stessi non sono considerabili soggetti privati che svolgono funzioni pubbliche, conseguentemente neanche i rivenditori di tali servizi.