Le banche, gli istituti di pagamento e gli altri intermediari finanziari sono stati coinvolti dalle previsioni dell’ art. 27 del decreto legge 16/07/2020 n. 76, volte a semplificare gli adempimenti relativi alla stipula dei contratti nonché all’identificazione della clientela con riferimento alle operazioni che vengono condotte on-line o in multicanalità.
Art. 27 decreto legge 16 luglio 2020 n. 76 pubblicato sulla G.U. n. 178. Misure per la semplificazione e la diffusione della firma elettronica avanzata e dell’identità digitale per l'accesso ai servizi bancari. In questo articolo ci soffermeremo a valutare gli impatti del primo comma dell'art. 27 del decreto semplificazioni.
Premesse. Il provvedimento del 29 luglio 2009 della Banca d’Italia in materia di “Trasparenza delle operazioni e dei servizi bancari e finanziari” - modificato in seguito al recepimento della direttiva 2014/92 UE - prescrive che “il documento informatico soddisfa i requisiti della forma scritta nei casi previsti dalla legge” e che “l’idoneità del documento informatico a soddisfare il requisito della forma scritta è disciplinata dagli articoli 20 e 21 del decreto legislativo 7 marzo 2005, n. 82”. Il mancato rispetto della forma scritta determina la nullità del contratto, la quale può essere fatta valere solo dal cliente. Le disposizioni richiamate dal d.l.vo n. 82/2005 (Codice dell’Amministrazione Digitale così come modificato dal Regolamento (UE) n. 910/2014) stabiliscono i requisiti del documento informatico anche alla luce delle :
- Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché’ di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005”,
- Regole tecniche per la generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali (DPCM 22 febbraio 2013)
Nell’ attuale disciplina il documento informatico soddisfa il requisito della forma scritta ed ha l’efficacia dell’art. 2702 del Codice civile quando vi è apposta una firma digitale/ FEQ/FEA, oppure se generato attraverso un processo che renda inequivoca la riconducibilità del documento all’autore e tale da garantire i requisiti di sicurezza, integrità ed immodificabilità del documento stesso. È utile infine richiamare il contenuto della recente determinazione AGID n. 157/2020 con cui sono state emanate le "Linee Guida" che disciplinano la possibilità di utilizzare SPID e QSeal (sigilli elettronici qualificati) per soddisfare i requisiti della forma scritta potendone attribuire la paternità ad un determinato soggetto all'uopo identificato.
Art. 27, comma 1 d.l. 76/2020: rilascio della firma elettronica avanzata. Il soggetto che eroga la firma elettronica avanzata ha l’obbligo di “identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente”. Il primo comma dell’Art. 27 individua i seguenti processi alternativi con cui è possibile identificare un utente ai fini del rilascio della firma elettronica avanzata. Ferma restando l’applicazione delle regole tecniche di cui all'articolo 20, comma 3, del decreto legislativo 7 marzo 2005, n. 82, per il rilascio della firma elettronica avanzata, nel rispetto della disciplina europea, si può procedere alla verifica dell’identità dell'utente anche tramite uno dei seguenti processi:
Lettera a) primo comma art 27) processi di identificazione elettronica e di autenticazione informatica basati su credenziali che assicurano i requisiti previsti dall’articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017 già attribuite, dal soggetto che eroga la firma elettronica avanzata, al medesimo utente identificato ai sensi dell'articolo 19 del decreto legislativo 21 novembre 2007, n. 231. Il processo di identificazione di cui alla lettera a) riguarda i clienti ai quali siano state previamente rilasciate credenziali forti di autenticazione per l’accesso ai servizi. L’utente, già identificato dall’Operatore e munito di credenziali di strong authentication, potrà essere identificato ai fini del rilascio di una firma elettronica direttamente tramite l’utilizzo di dette credenziali.
Lettera b) primo comma art 27) processi di identificazione elettronica e di autenticazione informatica, a due fattori, basati su credenziali già rilasciata all’utente nell’ambito del Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese di cui all'articolo 64 del decreto legislativo 7 marzo 2005, n. 82. La lettera b) del 1° comma dell’art. 27 semplifica i processi di stipulazione dei contratti prevedendo la possibilità di identificare l’utente che richiede una firma elettronica avanzata tramite SPID ( Sistema Pubblico d’Identità Digitale) di secondo livello in controtendenza alle previsioni del d.l.vo n. 231/2007 (art. 19, 1° comma, lett. a) n. 2)) che richiedeva l’utilizzo di un’identità digitale di terzo livello.
Lettera c) primo comma art 27) processi di identificazione elettronica e di autenticazione informatica, basati su credenziali di livello almeno "significativo", nell'ambito di un regime di identificazione elettronica notificato, oggetto di notifica conclusa con esito positivo, ai sensi dell'articolo 9 del Regolamento (UE) n. 910/2014 di livello almeno "significativo". In forza al comma 1 paragrafo c) sarà possibile rilasciare una firma elettronica avanzata riconoscendo l’utente attraverso un’identificazione informatica a mezzo CIE (Carta d’Identità Elettronica)
Limiti del decreto semplificazioni in ambito bancario
Il decreto semplificazioni introduce misure atte a semplificare l’accesso ai servizi bancari tramite un utilizzo più ampio dello SPID e delle FEA, cosa che porterà dei benefici nelle procedure di onboarding online della clientela da parte Le banche, istituti di pagamento ed altri intermediari finanziari, a patto che in sede di conversione vengano chiariti alcuni limiti dell’attuale normativa in tema di firme elettroniche avanzate. Il riferimento riguarda in primo luogo il differente regime processuale fra la firma FEA e la FEQ che francamente non sembra più avere nessuna giustificazione con l’entrata in vigore del regolamento eIDAS (art. 26 c.1 l.c). Ricordiamo che allo stato attuale l’inversione dell’onere della prova, che in caso di utilizzo del dispositivo di firma elettronica qualificata o digitale fa ricadere sul firmatario l’onere di provare che detto utilizzo non sia a lui riconducibile. Tale inversione non opera per la firma elettronica avanzata rendendo più agevole il disconoscimento di un documento informatico da parte di colui che ne risulti firmatario e ponendo a carico del soggetto che intende avvalersi del documento stesso l’onere di dimostrare la riconducibilità al Titolare firmatario. Un ulteriore limite – concettualmente superato - è costituito dall’art. 60 del DPCM 22 febbraio 2013 che stabilisce che la FEA è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e colui che eroga la soluzione per motivi istituzionali, societari o commerciali. Sfugge che, in realtà complesse e articolate come gli istituti bancari, i servizi tecnologici vengono spesso erogati dalla stesso isitituto bancario o da una delle società del gruppo stesso rendendo di fatto non possibile utilizzare, ai fini della stipulazione del contratto, una FEA erogata dalla banca, in quanto la stessa non risulterebbe essere parte del rapporto giuridico da instaurare.
Ti invito ad approfondire la conoscenza delle soluzioni di onboarding sulla landing di Easy DOX. clicca qui