La gestione di PEC e firma digitale del cliente: responsabilità e tutele per il professionista

Nella quotidianità degli studi professionali si è consolidata una prassi tanto comune quanto pericolosa: la gestione diretta e spesso informale della PEC e della firma digitale dei propri assistiti.

Per accelerare le pratiche o sopperire alle carenze tecnologiche dell’utente, molti professionisti custodiscono token fisici, ne conservano i PIN o monitorano caselle di posta certificate senza alcuna formalizzazione giuridica.

Questa diffusa abitudine espone lo studio a rischi risarcitori e penali di estrema gravità.

Spesso si dimentica che la firma digitale e il domicilio digitale equivalgono per legge alla firma autografa e alla presenza fisica del titolare.

Regolarizzare questo rapporto tramite accordi scritti e precise cautele non è un inutile appesantimento burocratico, ma l’unica vera blindatura legale per l’attività del professionista.

La delega all’uso di PEC e firma digitale del cliente e il trattamento dei dati

La gestione di strumenti strettamente personali del cliente richiede un’autorizzazione formale, facendosi rilasciare un mandato o una delega scritta che specifichi esattamente le mansioni per cui PEC e firma vengono utilizzate (ad esempio per l’invio di dichiarazioni dei redditi e/o deposito di atti e ricorsi).

Per quel che riguarda la PEC, se il professionista si fa carico di monitorarla per conto del cliente, risponde dei danni causati da eventuali decadenze o mancati adempimenti dovuti a una mancata o tardiva consultazione della casella.

In aggiunta, qualora il cliente consegni fisicamente il proprio token di firma digitale al professionista, questi diventa custode materiale del dispositivo. Se lo smarrisce o ne fa un uso improprio che genera un danno a terzi, è tenuto al risarcimento, salvo che dimostri di aver adottato tutte le misure idonee per evitare il danno.

Il principio della personalità della firma è sancito chiaramente dal legislatore.

L’art. 32, comma 1 del CAD stabilisce testualmente che:

“Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.”

È possibile l’Autorizzazione al trattamento ed in tal caso il professionista deve farsi nominare Responsabile Esterno del Trattamento dei Dati ai sensi del GDPR, impegnandosi a garantire la riservatezza e la sicurezza dei dati del cliente ai quali ha accesso.

Ambiti di responsabilità e rischi

Apporre la firma digitale del cliente su documenti o contratti senza un esplicito e documentabile consenso per quel singolo atto espone a gravi conseguenze.

Il quadro sull’efficacia probatoria e l’uso dei dispositivi è regolato dall’art. 21, comma 2 del CAD, che recita:

“Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.”

Cedere le credenziali non esonera il cliente, ma il professionista che ne fa un uso non autorizzato rischia l’accusa di falso in scrittura privata e sostituzione di persona.

L’art. 494 del Codice Penale stabilisce infatti che:

“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, inducendo taluno in errore, sostituisce illegittimamente la propria all’altrui persona, o attribuisce a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno.”

La formazione del cliente come vera tutela

L’affidamento incauto e la gestione diretta delle credenziali altrui espongono il professionista a rischi giuridici sproporzionati rispetto al servizio reso. La strategia più efficace ed etica non è la sostituzione, ma l’educazione digitale della clientela.

Il professionista deve formare e responsabilizzare il cliente all’uso corretto di questi strumenti, focalizzandosi su due aspetti critici:

• la tempestività delle notifiche PEC: il cliente deve comprendere che la casella PEC aziendale è il domicilio digitale ufficiale. La mancata o tardiva consultazione di un atto giudiziario o di una cartella esattoriale può far decorrere i termini di impugnazione, causando danni economici irreparabili;

• l’effetto vincolante della firma digitale: cedere il proprio dispositivo o i codici PIN a terzi rappresenta un pericolo altissimo. Come sancito dal CAD, l’utilizzo della firma si presume sempre riconducibile al titolare. Dimostrare il contrario in giudizio e disconoscere l’efficacia di un documento firmato elettronicamente è un’operazione complessa e di difficilissima prova.

Spiegare chiaramente questi meccanismi trasforma il professionista da mero esecutore a consulente strategico.

Promuovere l’autonomia del cliente - supportata eventualmente da sistemi di firma remota con OTP o deleghe di sola lettura per la PEC - tutela l’operato dello studio e azzera alla radice i pericoli civili e penali della sostituzione di persona.