N. R.G. 30994/2020.

REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEZIONE II CIVILE
IN COMPOSIZIONE MONOCRATICA
in persona del giudice Claudio Patruno ha pronunciato la seguente
SENTENZA
nella causa civile di primo grado iscritta al ruolo generale in epigrafe,
TRA
, nato a [...] il [...] con Cod. Parte_1
Fiscale , in qualità di legale rappresentante in carica di C.F._1 [...]
con sede in Milano alla via Carnevali 39, Controparte_1 PartitaIVA_1
rappresentato e difeso dagli avv.ti Sergio Como (cod. fisc. , CodiceFiscale_2
Antonella D'Iorio (cod. fisc. ), Andrea Lisi (cod. fisc. CodiceFiscale_3 [...]
) elettivamente tutti domiciliati presso lo studio dell'avv. Sergio Como in C.F._4
Roma alla Via Giovanni An-tonelli 49 (studio Como).
RICORRENTE
CONTRO
pagina1 di 46 e , in Controparte_2 Controparte_3
persona dei rispettivi legali rappresentanti pro tempore (c.f. , rappresentati e P.IVA_2
difesi dall'Avvocatura Generale dello Stato (C.F. ; fax: 06.96514000; PEC P.IVA_3
, presso i cui Uffici, siti in Roma, via dei Portoghesi, n. Email_1
12, sono domiciliati;

CONVENUTE
OGGETTO: Ricorso in opposizione a sanzione di cui all'art. 32 bis del d.lgs. 82/2005
(c.d. CAD), irrogata per presunte violazioni della normativa applicabile ai conservatori accreditati di documenti informativi.
CONCLUSIONI per parte ricorrente: accoglimento del ricorso previo annullamento e/o dichiarazione di nullità del provvedimento impugnato, con vittoria di spese.
Per parte convenuta: rigetto del rigetto del ricorso, con vittoria di spese.
FATTO E SVOLGIMENTO DEL PROCESSO
ricorre in opposizione avverso la determinazione CP_1 Controparte_1
n. 221/2020 con cui applicava alla società la sanzione Controparte_4
amministrativa pecuniaria di € 40.000 (più € 9.800 per le spese del procedimento),
esercitando il potere sanzionatorio di cui all'art. 32 bis del d.lgs. 82/2005 (il c.d. Codice
dell'amministrazione digitale, CAD).
In estrema sintesi, contesta a la violazione di numerose CP_4 CP_1
disposizioni inerenti la conservazione accreditata dei documenti informatici, ossia dell'art. 29 cpv. dello stesso CAD, l'art. 24 del regolamento UE 2014/910 (c.d. regolamento eIDAS),
del DPCM 3/12/2013 e della Circolare n. 65/2014. La ricorrente conveniva in giudizio CP_4
anche il . Controparte_3
pagina2 di 46 La ricostruzione dei fatti di causa deve muovere da un riepilogo cronologico degli avvenimenti rilevanti per la decisione, che dia conto della scansione dell'attività
dell'amministrazione e delle iniziative, anche stragiudiziali, della ricorrente.
Con nota del 8 novembre 2019, comunicava a e alla Guardia di CP_4 CP_1
Finanza l'avvio del procedimento 13/2019/V, nell'ambito della vigilanza svolta dall'ente sui conservatori accreditati. Nella stessa, informava la società che era stata CP_4
programmata una verifica ispettiva per il 13 novembre del 2019.
Il 13 novembre 2019, conseguentemente, per mezzo di un gruppo di verifica guidato dal dott. eseguiva il controllo preannunciato, all'esito del quale Pt_2 CP_4
riscontrava tutta una serie di “non conformità” (cfr. art. 12 del Regolamento emanato da sul potere di cui all'art. 32 bis CAD¹), inerenti tanto aspetti in senso lato hardware CP_4
(quali la mancata predisposizione di misure anti-incendio) quanto profili in senso lato
software (come il sistema di codificazione del database delle credenziali di accesso degli utenti del servizio).
Il 6 dicembre 2019 trasmetteva a il rapporto di verifica, con cui CP_4 CP_1
illustrava alla società il dettaglio delle “non conformità” riscontrate in sede di controllo, e con cui, in ossequio all'art. 13 comma 2° del succitato Regolamento, invitava la ricorrente a trasmettere un piano di rientro, che indicasse dettagliatamente le azioni correttive predisposte per ciascuna irregolarità.
Già l'11 dicembre 2019 recapitava ad il piano di rientro di cui CP_1 CP_4
sopra. Poi, rispettivamente il 13, il 20 e il 31 dicembre 2019, nonché il 3 gennaio 2020,
inviava note con cui metteva al corrente dei risultati di alcune delle CP_1 CP_4
attività correttive predisposte.
pagina3 di 46 In data 6 febbraio 2020, notificava a formale atto di contestazione CP_4 CP_1
di violazione amministrativa. Gli illeciti addebitati alla ricorrente, per , potevano CP_4
essere accorpati in due capi di imputazione:
il capo a), attinente irregolarità circa le “procedure e politiche di sicurezza”;
il capo b), riguardo le “procedure e metodi amministrativi e gestionali”.
Indi si apriva un'altra fase di interlocuzione con l'amministrazione procedente: il 24
marzo 2020 inviava degli scritti difensivi e nella stessa giornata veniva sentita CP_1
in audizione in video-conferenza. In data 18 maggio 2020, adottava il CP_4
provvedimento finale del procedimento sanzionatorio, la determinazione n. 221/2020 quivi impugnata, con cui decideva di irrogare la sanzione di cui all'art. 32 bis CAD, applicata nel suo minimo edittale (all'epoca € 40.000), rispetto alla non conformità di cui al capo a).
ritenendo – invero – anche in ragione delle misure adottate in upgrade dalla società,
archiviabili le contestazioni di cui al capo b).
Per le prime, l'amministrazione, nonostante gli interventi correttivi documentati da col piano di rientro (che avevano colmato tutte le lacune) fossero “rivolti a CP_1
prevenire eventi dannosi per il futuro”, la natura delle irregolarità riscontrate e l'esposizione del sistema di conservazione non erano “tali da escludere in modo assoluto che [potessero]
verificarsi in futuro” [cfr. p. 5 del provvedimento impugnato]. Il provvedimento rilevava altresì che “l'adozione di politiche e procedure di sicurezza tali da ridurre al minimo i rischi di
utilizzo improprio del servizio di Conservazione, quali quelle adottati soltanto in seguito
all'ispezione, è espressione della ordinaria diligenza cui è tenuto un conservatore accreditato, con la
conseguenza che la condotta tenuta dalla Società è sanzionabile quanto meno a titolo di colpa.”
[ibidem]
La ricorrente impugna tale ultimo provvedimento lamentando, in primo luogo,
l'insussistenza dei fatti materiali contestati, in virtù della assoluta mancanza di parametri normativi di rango primario e secondario idonei ad imporre alla società un CP_1
pagina4 di 46 comportamento diverso da quello in concreto tenuto. Tutte le non conformità contestate alla ricorrente, infatti, sarebbero il frutto di diverse valutazioni di opportunità, rispetto alle quali, in buona sostanza, avrebbe suggerito alla società un modo migliore, più CP_4
efficace, per proteggere i documenti conservati. Il che, per la ricorrente, è fattispecie ben diversa dalla violazione di un obbligo comportamentale imposto dalla legge a pena di illecito amministrativo.
Si mette in luce, viepiù, la mancanza dell'elemento soggettivo, che si riflette nella totale assenza, nel provvedimento impugnato, di qualsiasi riferimento alla colpevolezza dei presunti autori del medesimo. Considerata l'estrema genericità delle prescrizioni imposte ai conservatori accreditati di documenti informatici, ammesso e non concesso che l'illecito ricorra sul piano oggettivo, esso non sarebbe configurabile dal punto di vista soggettivo, anche alla luce del fatto che la ricorrente aveva richiesto ed ottenuto, pochi mesi prima, una certificazione di conformità alla normativa europea (ISO/IEC 27001).
Viene invocata la violazione degli artt. 3 ss. l. 241/1990. Si lamenta, in particolare,
della circostanza che abbia elevato la sanzione benché, in occasione di un CP_4
sopralluogo precedente (non meglio specificato), avesse rassicurato sulla CP_1
conformità dell'organizzazione aziendale sulla politica di protezione dei dati. Per la ricorrente avrebbe dovuto, prima di esercitare il potere sanzionatorio, avvertire la CP_4
ricorrente del mutamento di indirizzo dell'Ente circa gli standard di protezione dei dati, e poi interloquire con nell'ottica dell'adeguamento a questi nuovi parametri. Vi CP_1
sarebbe pure una criticità attinente alla motivazione del provvedimento che, a detta della ricorrente, rinvia ad un precedente atto di senza che il contenuto di tale documento CP_4
sia richiamato nel provvedimento sanzionatorio.
In secondo luogo, la ricorrente invoca l'eccesso di potere amministrativo da carenza istruttoria, evidenziando l'insussistenza dei fatti materiali contestati e stigmatizzando nuovamente l'asserito revirement di AGID sugli standard necessari per conformarsi alla disciplina del CAD.
pagina5 di 46 Ancora, si duole della “eccessiva semplificazione” delle operazioni di CP_1
notifica del provvedimento, difettose, in tesi, sul piano dell'identificazione del domicilio del destinatario e del suo codice fiscale. Contesta poi che, in un unico provvedimento,
abbia da un lato archiviato per le imputazioni di cui al capo b), e dall'altro lato CP_4
elevato la sanzione per il capo a), quando invece avrebbe dovuto adottare due provvedimenti distinti. L'atto amministrativo così confezionato, che sarebbe in tesi atipico,
sarebbe dunque sprovvisto degli elementi utili a costituire un valido titolo esecutivo della pretesa creditoria azionata.
Inoltre, il provvedimento sarebbe immediatamente violativo dell'art. 24 Cost., per avere, laconicamente, indicato il Tribunale di Roma quale foro competente a decidere sull'impugnazione della sanzione, senza indicare il termine di decadenza per l'iniziativa giurisdizionale in parola.
La ricorrente censura, da ultimo, l'importo sproporzionato delle spese di procedimento addebitate (pari a € 9.800, il quarto della sanzione irrogata) in difetto dell'indicazione di un prospetto analitico di dettaglio, e senza considerare che una porzione significativa delle contestazioni originariamente elevata è stata oggetto di archiviazione ai sensi dell'art. 14 del Regolamento AGID sul 32 bis CAD.
Chiedeva inoltre la sospensione cautelare dell'esecutività dell'ingiunzione impugnata.
Si sono tempestivamente costituite in giudizio Controparte_5
e il , difese dall'Avvocatura dello Stato, per il tramite di due
[...] Controparte_3
comparse d'identico contenuto.
Eccepito il difetto di legittimazione passiva del , le convenute ripercorrono CP_3
il quadro normativo di riferimento dell'illecito di cui all'art. 32 bis CAD, richiamando testualmente anche le disposizioni tecniche e di dettaglio violate, secondo AGID, dalla ricorrente. Tale sforzo redazionale serve alle convenute per smentire le censure di parte pagina6 di 46 ricorrente circa l'oscurità della disciplina la cui violazione è contestata, nonché per sminuire il rilievo relativo alla mancanza di colpevolezza di (sul presupposto CP_1
che, in definitiva, visto che la normativa impone di dotarsi di professionisti qualificati e aggiornati, non poteva non conoscere le norme che si assumono trasgredite). CP_1
Le convenute ribattono anche alle censure della ricorrente circa l'impossibilità di difendersi nel procedimento di applicazione della sanzione, sottolineando le plurime occasioni di contraddittorio maturate nel corso del procedimento, le quali appaiono comprovate dagli esiti del dialogo costruttivo tra e , che ha in effetti CP_4 CP_1
condotto alla correzione di tutte le non conformità riscontrate.
Scendendo nel dettaglio delle singole contestazioni di non conformità contestate alla parte ricorrente, e il mettono in evidenza come le criticità CP_4 Controparte_3
operative ed organizzative di emergano palesi se confrontate con gli approdi CP_1
della migliore conoscenza scientifica in ambito di conservazione dei documenti informatici.
Ad esempio, il metodo di cifratura predisposto dalla ricorrente riguardo le password delle utenze dei clienti (c.d. MD5) è universalmente riconosciuto come debole, tanto da essere
“deprecato” (aggettivo che indica una soluzione in passato documentata e considerata ufficiale, il cui uso è sconsigliato a favore di una versione più recente) dalle “Linee guida
per la configurazione per adeguare la sicurezza del software di base” pubblicate da , dalle CP_4
linee guida di , l'Agenzia dell'Unione Europea per la sicurezza cibernetica, nonché CP_6
dal NIST (agenzia del Governo degli Stati Uniti d'America).
Le convenute poi contrastano i motivi in cui parte ricorrente fa leva sulla circostanza che, in tesi, pochi mesi prima l'elevazione della sanzione, avrebbe CP_1
ricevuto una rassicurante visita ispettiva dell' . L'Avvocatura, al riguardo segnala che CP_4
la visita non era di pochi mesi prima, ma era avvenuta il 14 novembre del 2017; oppone,
ancora che in primo luogo l'ispezione aveva avuto ad oggetto aspetti diversi dell'attività
del conservatore accreditato, e che in secondo luogo essa non era stata affatto rassicurante pagina7 di 46 e che anzi, anche in quella occasione, aveva invitato la ricorrente a porre rimedio a CP_4
numerose non conformità.
Si obietta, poi, che la certificazione (ISO/IEC 27001), pochi mesi addietro conseguita da , non esime il soggetto certificato dal verificare costantemente che il servizio CP_1
sia erogato in sicurezza e in conformità con le norme vigenti.
Circa il difetto di motivazione, per mancanza di riferimento ad un atto posto a fondamento della sanzione, le convenute si limitano ad osservare che tutti gli atti inerenti la procedura sono stati correttamente richiamati dal provvedimento finale, e che peraltro tutti questi atti sono pacificamente pervenuti nella disponibilità di parte ricorrente.
Sull'asserita atipicità del provvedimento finale, che avrebbe secondo la ricorrente essere scisso in due distinti atti amministrativi, le convenute segnalano che non v'è
nessuna norma giuridica che ponga questa prescrizione formale a pena di invalidità.
Chiariscono, poi, circa il difetto di identificazione del destinatario del provvedimento, che la notifica della sanzione amministrativa irrogata a soggetto avente forma societaria segue,
ai sensi dell'art. 14 comma 4° della l. 689/1981, il regime ordinario di cui all'art. 145 c.p.c.,
per cui è sufficiente che copia dell'atto sia depositata presso la sede (o il domicilio digitale)
del notificato.
Riguardo la misura sproporzionata delle spese, l'Avvocatura si premura di richiamare le norme del Regolamento di AGID sull'art. 32 bis CAD, e del suo Allegato,
esplicitando che l'ammontare di € 9.800 deriva solo dall'addebito dell'impegno finanziario dell'ente per le attività istruttorie, pari a 36 giorni/paga, senza considerare costi indiretti e spese di missione.
Respinge infine la censura riguardo la difettosa indicazione del giudice competente a dirimere l'eventuale ricorso sul provvedimento ingiunto, e si oppone alla domanda di sospensione cautelare sollevata da parte ricorrente.
pagina8 di 46 Così instaurato il processo, nella udienza a trattazione scritta COVID del 20 gennaio
2021 (recte, trattazione in forma scritta ex art. 83, comma 7, lett. h, del d.l. 18/2020, conv. in l. 24.4.2020 n. 27 come modificato ex art. 221, quarto comma, del d.l. 19.5.2020 n. 34, conv.
in l. 17.7.2020 n. 77), la a cui era stata assegnata l'istruzione della Controparte_7
causa, accoglieva l'istanza di sospensiva proposta da parte ricorrente. Per argomentare la sussistenza del fumus boni iuris, veniva valorizzata la sopravvivenza di una sola contestazione di “non conformità” di consistenza “grave”, nonché le difficoltà nel riscontrare, nel provvedimento opposto, la contemporanea sussistenza di accertate violazioni di
precisi obblighi e prescrizioni e della sussistenza dei danni provocati all'utenza, che appariva a quel Giudice elemento costitutivo della fattispecie di cui all'art. 32 bis CAD;
Preme rammentare che, nelle note di trattazione scritta predisposte dalla ricorrente per l'udienza del 20 gennaio 2021, rappresentava al Tribunale che il d.l. CP_1
76/2020, conv. in l. 120/2020, aveva modificato sensibilmente, in corso di causa, la normativa di riferimento per l'attività di conservazione accreditata dei documenti informativi. Su impulso della Commissione europea, il legislatore italiano aveva,
innanzitutto, ridimensionato la cornice edittale della sanzione di cui all'art. 32 bis CAD per il conservatore (prima € 40.000 – 400.000; dopo € 4.000 – 40.000). Sempre a detta della ricorrente, la il d.l. 76/2020 aveva poi espunto dall'art. 29 CAD qualsivoglia riferimento alla conservazione di documenti informatici, così escludendo detto servizio dall'area di operatività del regolamento UE c.d. eIDAS, che secondo una posizione del 2014 della
Commissione europea è riservato alla conservazione di firme, marche e sigilli. Aspetto di non poco momento, considerato che buona parte delle violazioni contestate alla ricorrente si ricollegano strettamente all'art. 24 del regolamento eIDAS.
Nella successiva udienza del 4 febbraio 2021, di prima comparizione e trattazione ex art. 183 c.p.c., ma sempre a trattazione scritta COVID, la Giudice, lette le note di trattazione scritta depositate dalle parti, riscontrava la necessità di disporre la comparizione personale delle parti, anche ai fini di valutare l'opportunità di nominare un consulente tecnico nonché di verificare i margini di conciliazione ai sensi dell'art. 185 c.p.c.
pagina9 di 46 Dopo alcuni rinvii, all'udienza del 28 settembre 2022, stante l'ampio confronto tra le parti, la Giudice operava, su richiesta delle stesse, un altro rinvio lungo della causa per il prosieguo del tentativo di conciliazione ex art. 185 c.p.c.; all'udienza successiva del 24
maggio 2023, appurata l'impossibilità di conseguire l'ipotizzata definizione transattiva della controversia, la Giudice si riservava sulla richiesta di parte attrice di disporre una
CTU, preso atto della opposizione da parte dell'Avvocatura dello Stato, la quale la riteneva superflua, vertendo la causa su problemi strettamente giuridici.
La riserva veniva sciolta il 9 settembre del 2023, in senso negativo: la Giudice
sposava i rilievi di parte convenuta, secondo cui la CTU era da un lato superflua, nella misura in cui la decisione della causa esige la risoluzione di questioni di diritto, e dall'altro lato esplorativa, alla luce del fatto che gli atti introduttivi del giudizio non hanno sollevato questioni di carattere tecnico.
Con decreto del 27 giugno del 2024, il Presidente del Tribunale ordinario di Roma,
riscontrata la cessazione dal servizio della precedente Assegnataria della causa, disponeva l'assegnazione a questo Giudice del seguente procedimento;
con successivo decreto del 9
ottobre 2024, veniva disposta la comparizione personale delle parti all'udienza del 28
novembre 2024. In quell'occasione questo Giudice, riascoltate le parti, tratteneva la causa in decisione.
MOTIVI DELLA DECISIONE
Questi i fatti e le questioni proposte dalle parti, occorre dire a priori che la peculiarità della fattispecie, ed il numero delle questioni e delle eccezioni sollevate,
consente di fare applicazione del principio del criterio della c.d. ragione più liquida, che trova fondamento costituzionale negli articoli 24 e 111 della Costituzione. In ragione di tale criterio, al Giudice è consentito sostituire il profilo dell'evidenza rispetto a quello dell'ordine delle questioni da trattare ai sensi dell'articolo 276 c.p.c. e pertanto decidere la causa sulla base della questione ritenuta di più agevole soluzione, anche se logicamente subordinata, senza sia necessario esaminare previamente le altre ( cnfr Corte Cassazione n.
pagina10 di 46 2909/2017, Cassazione 2835/2017, Cassazione a SSUU 9936/2014, Corte di Cassazione
23621/2011) ed altri.
L'opposizione è fondata, e merita accoglimento.
Coglie nel segno, per le ragioni che seguono, la censura di parte ricorrente circa l'inesistenza di un preciso obbligo di comportamento la cui violazione possa dar luogo, a fronte del contegno omissivo contestato ad , alla sanzione di cui all'art. 32 bis CP_1
CAD.
Pure individuato nell'art. 44 CAD un obbligo giuridico imputabile ad , le CP_1
condotte contestate da non violano tale prescrizione comportamentale, sicché il CP_4
provvedimento è illegittimo per insussistenza/inconsistenza/indeterminabilità del fatto addebitato.
La valutazione che precede, sinteticamente riferita per migliore intelligenza dello sviluppo motivazionale, procede dai principi inferenti l'illecito amministrativo, ricavati per derivazione dalla disciplina madre di cui alla Legge 689/1981 e successive declinazioni.
Il principio di legalità – sub specie tassatività - dell'illecito amministrativo, implica che le norme che prevedono sanzioni amministrative possano essere applicate solo nei casi espressamente previsti dalla legge. chiare e specifiche, senza lasciare spazio a interpretazioni estensive o analogiche1. Questo garantisce che i cittadini possano conoscere in anticipo quali comportamenti sono sanzionabili e quali no, assicurando così
una maggiore certezza del diritto.
La determinatezza non esclude la tecnica del richiamo. Già nella pronuncia della
Suprema Corte di Cassazione civile 20 novembre 2003 n. 17602, si era evidenziato che l'art. 1 l. 689/81 -- nel sancire per le sanzioni amministrative una riserva di legge analoga ma non del tutto corrispondente a quella di cui all'art. 25 -- impedisce che tali sanzioni siano comminate direttamente mediante disposizioni di fonti normative secondarie, ma non pagina11 di 46 esclude che i precetti siano etero integrati da norme regolamentari delegate, in virtù di particolare tecnicismi.
Il problema è stabilire la misura di questa etero-integrazione.
Venendo alla fattispecie concreta prima di iniziare con lo scioglimento delle questioni sollevate dalle parti, pare opportuno sottolineare il carattere di assoluta novità
delle questioni sollecitate. Come emerge plasticamente dal riepilogo dei provvedimenti adottati ex art. 32 bis, liberamente consultabile sul sito internet dell e aggiornato al CP_4
2024² il procedimento in questione tratta dell'unica sanzione mai irrogata dall' ad un CP_4
conservatore di documenti informatici, e dell'unico provvedimento sanzionatorio CP_4
rispetto al quale sia stato esperito un rimedio giurisdizionale.
Tale rilievo disvela la necessità di una ricostruzione analitica delle norme applicate da in sede di provvedimento sanzionatorio, che miri, innanzitutto, a completare la CP_4
non semplice attività di definire il precetto primario, ossia la fattispecie astratta dell'illecito amministrativo elevato. Solo in tal modo questo Giudice potrà confrontare la norma così
ricavata con il comportamento tenuto della ricorrente.
Compito imprescindibile nella fattispecie concreta in relazione alla tecnica redazionale con la quale è stato declinato l'articolo 32 bis della CAD (Codice
dell'Amministrazione Digitale)


1. L'art. 32 bis CAD
E quindi occorre muovere dall'esame della norma attributiva del potere sanzionatorio: l'art. 32 bis del d.lgs. 82/2005 (il CAD). Quando ha irrogato la CP_4
sanzione, la disposizione sanciva, in modo chiaro, che la sanzione poteva essere irrogata,
sul piano dei destinatari della norma sanzionatoria, tra gli altri, ai conservatori accreditati.
Nulla quaestio, dunque, ratione temporis, circa l'applicabilità, sul piano soggettivo, della norma ad , in quanto conservatore accreditato, sebbene, come si vedrà innanzi, CP_1
pagina12 di 46 anche questa solida certezza è stata quantomeno scalfita dalla novella intervenuta col d.l.
76/2020.
Così delineato il novero dei soggetti attivi dell'illecito, è opportuno soffermarsi sugli altri elementi costitutivi della fattispecie sanzionatoria amministrativa. Sotto questo profilo, la norma statuisce che ad essere punita è la violazione degli obblighi del
regolamento eIDAS o del presente Codice, relative alla prestazione dei predetti servizi. Si
premette che il Regolamento eIDAS (Regolamento UE n. 910/2014 entrato in vigore il
23.07.2014) è una normativa europea che disciplina l'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno, a con l'obiettivo di creare un quadro giuridico comune per garantire interazioni elettroniche sicure e affidabili tra cittadini, imprese e pubbliche amministrazioni, migliorando così l'efficacia dei servizi elettronici e del commercio elettronico nell'UE. I punti chiave sono: a) l'identificazione elettronica, (ovvero le condizioni per il riconoscimento reciproco dei mezzi di identificazione elettronica tra gli Stati membri dell'UE). b) I servizi fiduciari: i come le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici e i servizi di recapito elettronico certificato.
Se ne può ricavare, schematicamente, che la disposizione contempla tre presupposti applicativi:
1)la violazione di un obbligo giuridico;

2) la presenza di tale obbligo in una norma del regolamento eIDAS o del CAD;

3) un nesso di pertinenza tra la violazione compiuta e la prestazione di un servizio già menzionato dall'art. 32 bis CAD – e quindi ai servizi fiduciari qualificati, ai servizi di posta elettronica certificata, ai servizi di gestione dell'identità digitale e ai servizi erogati dai conservatori accreditati.
Sicché, per valutare la fondatezza dell'opposizione occorre domandarsi se le norme cui ha fatto riferimento nel provvedimento sanzionatorio contemplino degli CP_4
pagina13 di 46 obblighi giuridici la cui violazione possa dar luogo alla sanzione di cui all'art. 32 bis CAD,
e se questi promanino dallo stesso CAD o dal regolamento eIDAS.


2. Gli artt. 29 CAD e 24 comma 2° regolamento eIDAS
Va dunque scrutinato, nell'ordine indicato nel capo di imputazione elevato da sanzionatorio, l'art. 29 comma 2° CAD, citato nel provvedimento sanzionatorio nel CP_4
capo di imputazione sub a) (fig.1)
Ebbene, è appena il caso di riscontrare che l'unico enunciato linguistico del capoverso dell'art. 29 CAD che esprima un contegno latu sensu doveroso, tale da poter concepire, almeno in potenza, il rinvio dell'art. 32 bis CAD, è il seguente: “Il richiedente
deve trovarsi nelle condizioni previste dall'articolo 24 del Regolamento eIDAS, deve avere natura
giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi
[…]
La fattispecie del precetto sanzionatorio costruito sulla base del solo combinato disposto degli artt. 32 bis e 29 CAD sarebbe dunque esplicitabile in questo modo: “il conservatore informatico che viola “l'obbligo” di cui all'art. 29 comma 2° CAD, in quanto
non ha la natura giuridica della società di capitali; non dispone dei requisiti di onorabilità,
tecnologici […], può essere punito da AGID […]”.
Sennonché, tale operazione ermeneutica si pone in evidente contrasto col divieto di interpretazione analogica in malam partem di cui all'art. 1 cpv. della l. 689/1981, che, in fondo, è espressione del principio generale di cui all'art. 14 delle Preleggi, e costituisce un naturale corollario del principio di riserva di legge in materia sanzionatoria. Regola
generale di cui, proprio in contesti normativi oggettivamente diafani come quello su cui pende la causa, si avverte più marcata la ratio giustificatrice: impedire che sia l'interprete, e pagina14 di 46 non il potere legislativo democraticamente legittimato, a decidere cosa è punito e cosa non lo è.
Infatti, combinare solo l'art. 32 bis e l'art. 29 cpv. CAD significa violare il testo della norma attributiva del potere, che statuisce chiaramente che, oggetto della sanzione, è la violazione di un obbligo contenuto nel CAD o nel regolamento eIDAS.
L'art. 29 cpv. CAD, al contrario, disciplina i requisiti soddisfatti i quali il conservatore poteva conseguire l'accreditamento a conservare documenti informatici di matrice pubblica. L'articolo non sembra porre alcun obbligo di comportamento, ma al più
impone, sul piano della teoria generale del diritto, una qualità soggettiva, in difetto della quale ne deriva quale unico effetto negativo quello di non poter conseguire il bene della vita cui si aspirava (l'accreditamento). Da una prospettiva amministrativistica, invece, si può dire che il requisito è un elemento di una fattispecie a formazione progressiva che conduce, insieme ad altri presupposti, all'ottenimento di un bene della vita (ovvero alla conservazione di un interesse preesistente).
Poco importa che, sul piano ideale, la norma che contempla un requisito possa essere immaginata sub specie di obbligo giuridico. Si può, in astratto, convertire una fattispecie che impone un requisito (per conseguire la patente di guida devi essere maggiorenne), in una norma sanzionatoria che punisca il comportamento costituito dalla la mancanza di quel requisito (chiunque guida senza essere maggiorenne, è punito
…).Ciononostante, questa conversione, in ambito sanzionatorio, deve essere stesa per
tabulas dal legislatore, se non si vuole precipitare in una palese violazione del principio di tassatività delle disposizioni che impongono sanzioni ( cfr. art. 1 Legge 689/1981).
E non è a tale scopo sufficiente che la legge introduca un precetto che sanzioni le violazioni degli obblighi previsti in un articolato normativo. E ciò perché - vale la pena fissarlo – un conto sono gli obblighi giuridici, un altro conto sono i requisiti di una fattispecie complessa a formazione progressiva. Chiunque ritenga di poter applicare la norma
che esige la soddisfazione di un obbligo alla situazione concreta di chi non si è adeguato a una
pagina15 di 46 norma che contempla solo un requisito, non sta compiendo un'esegesi estensiva consentita del testo
del precetto sanzionatorio, ma sta incappando in una interpretazione analogica in malam partem,
vietata in tale campo.
, a pag. 3 del provvedimento, sostiene che il conservatore deve avere certi CP_4
requisiti ed ha l'obbligo di mantenerli per tutta la durata dell'accreditamento. Tale
affermazione, indiscutibile, promana dall'art. 5 della circolare n. 65 del 10 aprile 2014 di
, in cui è disciplinata la vigilanza sui conservatori accreditati. Tuttavia, tale CP_4
constatazione non è stata coordinata correttamente con il tenore letterale dell'art. 32 bis
CAD. È senz'altro vero, in effetti, che, se vuole mantenere l'autorizzazione a conservare documenti informatici pubblici, il conservatore deve mantenere, per tutta la durata del beneficio, i requisiti che ha dichiarato di soddisfare in sede di domanda di accreditamento.
(lapalissiano n.d.r.). Prova ne sia che l'ultimo comma dell'art. 5 della circolare autorizza a revocare in autotutela l'accreditamento del conservatore, in caso di particolare CP_4
gravità, o nel caso del mancato rispetto del termine assegnato per l'eliminazione delle difformità
riscontrate. Ciò che invece collide con il disposto dell'art. 32 bis CAD è immaginare che, in assenza di una specifica previsione del CAD o del regolamento eIDAS che elevi questi requisiti di accreditamento a obblighi di comportamento, la sopravvenuta mancanza dei requisiti per l'accreditamento possa essere ascritta sub specie a violazione di un obbligo giuridico, la cui violazione possa dar luogo ad una severa sanzione che non sia la perdita della qualifica.
Sgombrato così il campo dall'idea che la fattispecie dell'illecito contestato a possa derivare dal solo combinato disposto degli artt. 32 bis CAD e 29 comma CP_1
2° CAD, resta tuttavia da chiedersi se il riferimento che quest'ultima norma fa alle
condizioni di cui all'art. 24 regolamento eIDAS possa invece suggerire la costruzione di un precetto primario fondato sulla tecnica del duplice rinvio (l'art. 32 bis CAD punisce la violazione dell'art. 29 comma 2° CAD, che a sua volta è integrata dalla inosservanza delle condizioni di cui all'art. 24 regolamento eIDAS). Tale sembra il ragionamento perseverato pagina16 di 46 dall'Avvocatura di Stato (cfr. pag. 8 e 9 della comparsa), e la tenuta di tale iter logico-
giuridico verrà esaminata funditus poco innanzi.
Per rispondere a tale quesito, appare però prioritario porre sotto la lente d'ingrandimento proprio l'art. 24 comma 2° del regolamento eIDAS, pure citato nel provvedimento sanzionatorio al capo di imputazione sub a). La norma, in linea di prima approssimazione, concerne, come da rubrica i, “requisiti per i prestatori di servizi fiduciari
qualificati”. Il capoverso dell'art. 24, nello specifico alle lett. b), e), f) e g), ponendo almeno in apparenza delle norme prescrittive (coniugate, ovvero, all'indicativo presente), pare potersi combinarsi con l'art. 32 bis CAD anche senza il supporto dell'art. 29.
Il combinato disposto dei soli artt. 32 bis CAD e 24 comma 2° lett. e), f), g) darebbe luogo ad un precetto esplicitabile in questo modo: “il conservatore accreditato di documenti informatici che viola gli obblighi di cui all'art. 24 bis comma 2° lett. b), e), f) e g)
del regolamento eIDAS, gravanti sui prestatori di servizi fiduciari, può essere sanzionato da AGID…]. Tale operazione parrebbe consentita dal rilievo che l'art.32 bis CAD punisce pure la violazione degli obblighi contenuti nel regolamento eIDAS. Sennonché, anche questo tipo di lettura risulta ab origine preclusa, rispetto alla causa in esame, dalla circostanza che l'art. 24 comma 2° del Regolamento si rivolge esplicitamente al prestatore di
servizi fiduciari qualificato che presta servizi fiduciari qualificati, e tale non è il conservatore accreditato di documenti informatici (cfr. con l'art. 30 CAD, che distingue nettamente le due figure soggettive).
Salvo scivolare nel paradosso di ritenere direttamente applicabile ad una CP_1
norma che applica una severa sanzione, per la violazione di un “obbligo” giuridico che un'altra fonte legale fa gravare su soggetti terzi (appunto i prestatori di servizi fiduciari)
rispetto ai presunti trasgressori. Anche a voler accedere a questa aporia logica,
maturerebbe un evidente vulnus in termini di prevedibilità/conoscibilità del precetto amministrativo sanzionatorio, che sarebbe costruito mediante una tecnica normativa che impone ai conservatori di adempiere, a pena di illecito amministrativo, non solo agli obblighi che la legge gli prescrive espressamente, ma pure a quelli che incombono su terzi.
pagina17 di 46 Cionondimeno, come si anticipava, l'art. 24 del regolamento eIDAS potrebbe essere valorizzato in combinato disposto con l'art. 32 bis CAD e con l'art. 29 comma 2° CAD, in cui si prevede che il conservatore deve trovarsi nelle condizioni previste dal medesimo art. 24 del regolamento eIDAS. Sembra questo – lo si ribadisce - l'iter logico-giuridico seguito da e compendiato nella comparsa di risposta dell'Avvocatura, ed in effetti CP_4
appare l'unica strada possibile per contestare al conservatore di documenti digitali la violazione di doveri gravanti su terzi (il prestatore di servizi fiduciari).
Il precetto sanzionatorio sarebbe, rispettivamente alle lettere del comma 2° del regolamento che sono contestate al capo a), esplicitabile come segue: “il conservatore accreditato di documenti informatici che viola l'art. 29 comma 2° del CAD, il quale non si trovi nelle condizioni di cui all'art. 24 comma 2° lett. e) del regolamento EIDAS, ovvero non utilizza sistemi affidabili e prodotti da alterazioni e prodotti protetti da alterazioni e che
garantiscono la sicurezza tecnica e l'affidabilità dei processi che assicurano, può essere punito da
AGID…”
La stessa operazione potrebbe essere compiuta rispetto a tutte le altre lettere del comma 2° dell'art. 24 CAD contestate da [la b), la f), la g)] del comma 2° dell'art. 24 CP_4
del regolamento eIDAS.
Sennonché, pure questa modalità di costruzione del precetto primario della sanzione di cui all'art. 32 bis non appare legittima, in ossequio ai principi di tassatività e stretta interpretazione, di cui si è parlato nell'incipit motivatorio, e che trovano un addentellato anche in ambito amministrativo al capoverso dell'art. 1 della l. 689/1981.
Ostano, ovvero, alla costruzione della fattispecie dell'illecito amministrativo in parola nei termini di cui ai paragrafi precedenti, almeno queste argomentazioni.
Innanzitutto, non si può soprassedere dal fatto che, tanto l'art 29 CAD, quanto l'art.
pagina18 di 46 punto di vista, combinare due norme che contengono requisiti per formarne una che, solo complessivamente considerata, contenga un obbligo.
Inoltre, l'art. 24 del regolamento eIDAS è, ancora una volta, norma che si rivolge ai
prestatori di servizi qualificati che prestano servizi fiduciari qualificati e non al conservatore.
Se è vero che, sul piano logico, le fattispecie di cui al comma 2° del regolamento eIDAS sembrano porre dei dettami di comportamento piuttosto specifici, e quindi appaiono completare la fattispecie dell'art. 29 CAD, appare altrettanto vero che si tratta di obblighi che il legislatore comunitario ha imposto su soggetti diversi dal conservatore di documenti informatici.
Pare, pertanto, irrazionalmente creativo, nonché distonico con la volontà del legislatore, il provvedimento sanzionatorio che, seppure avvalendosi del richiamo che l'art. 29 CAD fa alle condizioni di cui all'art. 24 regolamento eIDAS ai fini dell'individuazione dei requisiti di accreditamento, in definitiva finisce per punire la società per la violazione di prescrizioni comportamentali che la legislazione CP_1
euro-unitaria riserva a soggetti nettamente distinti da . CP_1
Né vale obiettare, come fa AGID nel provvedimento, che l'art. 29 CAD si applica(va) pacificamente, per quanto concerne i requisiti di accreditamento, ai conservatori di documenti digitali. La norma che estende l'operatività di un requisito a soggetti altri rispetto ai destinatari originari della stessa non può valere, di per sé, come fondamento della responsabilità da illecito amministrativo per violazione di quello che, se il legislatore non lo esplicita, resta comunque un requisito, e non si trasforma in un obbligo.
In terzo luogo, è appena il caso di rilevare che l'art. 29 CAD, attualmente, non fa più
riferimento alle condizioni di cui all'art. 24 del regolamento eIDAS. La norma, in effetti,
si spiegava, in passato, rispetto ai requisiti di accreditamento, e serviva a chiarire che il conservatore, per ottenere l'accreditamento, doveva rispettare i medesimi standard di pagina19 di 46 affidabilità tecnica ecc. imposti ai prestatori di servizi fiduciari. La formulazione della disposizione, nondimeno, è stata evidentemente ritenuta infelice dallo stesso legislatore italiano, sul presupposto che non è affatto agevole rinvenire, nel contesto dell'art. 24, quali siano le condizioni da esso poste. Prova ne sia che, dopo il d.l. 76/2020, l'art. 29 CAD,
espunto il riferimento alle condizioni, allo stato allude ai requisiti di cui all'art. 24 del
regolamento eIDAS.
Queste considerazioni servono a spiegare che finanche l'ultimo appiglio che potesse, per mezzo di questo doppio rinvio, spingere ad individuare l'obbligo giuridico violato da nel regolamento eIDAS invece che nel CAD, si sgretola di fronte CP_1
all'osservazione che ciò che sorregge quell'aggancio – il lemma “condizioni” – è stato il frutto di un'imprecisione del legislatore, che nel 2020 ha infatti provveduto a chiarire che quella norma faceva riferimento ai requisiti di cui all'art. 24 CAD, e non a delle non meglio precisate condizioni, contenute in una norma che non presenta alcuna condizionalità.
Da ultimo, bisogna comunque tenere presente che l'art. 32 bis del CAD prescrive espressamente che l'obbligo violato dal conservatore debba essere contenuto nel CAD o nel regolamento eIDAS. La tecnica del doppio rinvio suesposta, pertanto, è parsa ad CP_4
integrare in astratto questo presupposto applicativo, poiché, per effetto del rinvio contenuto nell'art. 29 CAD, parrebbe che l'obbligo giuridico di cui si assume la violazione sia contenuto in una fonte comunque abilitata, ovvero il regolamento eIDAS.
Questo Giudice, tuttavia, fermi gli argomenti summenzionati, già di per sé dirimenti,
permane nel dubbio che un'operazione esegetica di questo tipo sia effettivamente consentita dal tenore letterale dell'art. 32 bis CAD. Si tratta, infatti, di uno stratagemma interpretativo, in forza del quale si scava nell'art. 29 CAD (che non contiene obblighi giuridici rilevanti ex art. 32 bis CAD), per selezionare all'interno di questa norma un rinvio ad un altro contesto normativo (il regolamento eIDAS) che a sua volta contenga delle norme di comportamento qualificabili, sempre in tesi, come obbligo giuridico.
Già solo a fronte di questo rilievo, nondimeno, la sanzione irrogata pare incompatibile con l'art. 32 bis CAD: la norma, infatti, impone che l'obbligo giuridico pagina20 di 46 violato sia contenuto direttamente nel CAD o nel regolamento eIDAS, e non sembra pertanto legittimare la contestazione della violazione di una norma del CAD che non contiene alcun obbligo, ma che rinvia, ad altri fini, ad una disposizione (magari contenuta nel regolamento eIDAS) che a sua volta pare avere un contenuto prescrittivo.
Ne deriva che il precetto dell'illecito amministrativo, come contestato da nel CP_4
capo d'imputazione, non fa riferimento ad alcuna norma che contenga un obbligo giuridico la cui violazione possa dar luogo all'addebito della sanzione di cui all'art. 32 bis
CAD.


3. L'art. 44 comma 1-ter CAD
Sennonché, va constatato che, sebbene in nuce, abbia effettivamente CP_4
contestato la violazione di un obbligo giuridico ad : si allude all'art. 44 comma CP_1

1-ter CAD, ratione temporis vigente, secondo cui:” Il sistema di conservazione dei documenti
informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità,
affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida”.

1-ter. In tutti i casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati, il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità,
reperibilità, secondo le modalità indicate nelle Linee guida.
Il riferimento a questa norma non figura nei capi di imputazione, ma compare in ogni caso a pag. 3 della contestazione di violazione amministrativa. (fig.2)
pagina21 di 46 (fig.2)
Per vero, l'art. 44 CAD comma 1-ter, valorizzato pure nella comparsa di risposta dell'Avvocatura (cfr. pag. 4), prescrive una norma comportamentale, a contenuto doveroso, che può rientrare nella nozione di obbligo di cui all'art. 32 bis. In combinazione con quest'ultima norma dà vita ad una disposizione esplicitabile in questo modo: “il conservatore accreditato che viola l'obbligo di cui al comma 1-ter dell'art. 44 CAD, perché,
il [suo] sistema di conservazione dei documenti informatici, per quanto in esso conservato, non
assicura caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le
modalità indicate nelle Linee guida, può essere punito da AGID…”
È innegabile, da una prima prospettiva, che la rubrica dell'art. 44 faccia ancora una volta riferimento ai “requisiti per la gestione e la conservazione dei documenti informatici”, e che, a stretto rigore, non contempli un effetto negativo per la sfera di chi trasgredisce questa prescrizione, come è tipico degli obblighi giuridici.
Appare però dirimente, dall'altro lato, sul piano sistematico, che l'art. 44 CAD
contenga delle disposizioni, per così dire, dinamiche;
che non si limitano a fotografare la situazione esistente al momento della richiesta di accreditamento da parte del conservatore, ma che bensì tracciano dei parametri vincolanti per lo svolgimento dell'attività di erogazione del servizio di conservazione.
Milita a favore di questa ricostruzione il riscontro che l'art. 44 CAD nel suo insieme,
diversamente dall'art. 29 CAD, non disciplina le modalità con cui i conservatori si accreditano (contesto in cui il termine “requisito” non può che essere inteso nel senso che sopra si è detto), ma regola le modalità di erogazione del servizio di conservazione dei documenti informatici pubblici. In tale cornice, l'uso dell'indicativo presente “assicura”, di cui al comma 1-ter denota l'intenzione del legislatore di rendere obbligatorio, vincolante, il rispetto delle norme, anche di rango non primario, che disciplinano la conservazione dei documenti informatici pubblici.
pagina22 di 46 A fronte di questa osservazione, non è decisiva la rubrica – come è noto, rubrica lex
non est lex – e nemmeno il rilievo dell'assenza, nello stesso art. 44 CAD, di un congegno di responsabilità per la violazione di quel contegno.
Al contrario, la formulazione dell'art. 44 comma 1-ter completa l'art 32 bis CAD, che non può essere interpretato nel senso che si applichi solo a fronte della violazione di norme del CAD per cui è già prevista una sanzione o un rimedio. Ma anzi, può e deve essere interpretato nell'ottica che il legislatore, mediante la sua introduzione nel sistema,
ha inteso assistere con sanzione amministrativa la trasgressione di norme di comportamento che – a maggior ragione se sprovviste di meccanismi di tutela pubblicistica – regolano lo svolgimento di attività di interesse pubblico nel campo dell'amministrazione digitale.
Né vale obiettare, come si è detto, che l'art.44 CAD si applica alla conservazione di documenti pubblici, e che non ha mai contrattato con la pubblica CP_1
amministrazione. Non c'è dubbio, invece, che l'art. 44 comma 1-ter si applica, nella sua versione ratione temporis vigente, ai privati accreditati alla conservazione di documenti pubblici: opera, infatti, l'art. 2 comma 3° dello stesso CAD, in cui è prescritto che le
disposizioni del presente Codice e le relative Linee Guida concernenti […] la conservazione dei
documenti di cui agli artt. 43 e 44, si applicano anche ai privati, ove non diversamente previsto.
Ne deriva che il combinato disposto degli artt. 32 bis e 44 comma 1-ter, in sintonia coi principi del sistema sanzionatorio, individua un obbligo giuridico, la cui determinazione sul piano tecnico è delegata, secondo il meccanismo della riserva di legge tendenzialmente assoluta, alle Linee guida adottate da . Tale obbligo giuridico è CP_4
contenuto espressamente nel CAD e pertanto legittima, in astratto, l'elevazione della sanzione di cui all'art. 32 bis CAD.
pagina23 di 46

4. Le questioni di successione di leggi penali nel tempo


4.1. La giurisprudenza costituzionale sulla retroattività della legge favorevole
Così delineato in astratto il precetto primario della fattispecie contestata da CP_4
ad , occorre ora soffermarsi sui problemi di successione di leggi nel tempo che CP_1
hanno interessato diverse delle norme invocate da . Vale però già la pena di CP_4
sottolineare che la rilevanza, rispetto alla causa in esame, delle novelle maturate col d.l.
76/2020- è condizionata alla qualificazione dell'art. 32 bis CAD in termini di sanzione sostanzialmente penale. In passato, del resto, era opinione condivisa che, rispetto alle sanzioni amministrative, valesse solo il principio di irretroattività della legge sfavorevole
(espressione dell'art. 25 comma 2° Cost., come esplicitato dall'art. 1 della l. 689/1981), e non anche il principio di retroattività della lex mitior di cui all'art. 2 c.p., che si riteneva invece riservato alle norme penali incriminatrici. Rispetto alle sanzioni sostanzialmente amministrative, si invocava coerentemente il principio tempus regit actum, che in definitiva altro non è che un corollario dell'art. 11 delle Preleggi.
La Corte costituzionale, nondimeno, con la storica sentenza n. 63/2019, ha consacrato la rinnovata matrice sovranazionale del principio di retroattività della legge favorevole, che oggi non trova più sponda solo nell'art. 3 della Costituzione, quale espressione del principio di non discriminazione, ma anche nell'art. 49 CDFUE e nell'art. 7
CEDU, come interpretato dalla Corte europea dei diritti dell'uomo.
Questa nuova visione va saldata, per la Consulta, con il noto formante giurisprudenziale della Corte di BU (tra le molte, , . Paesi Bassi del Per_1 Per_2
1976, che ha sugellato la nuova dicotomia – diversa da quella domestica, basata su un criterio solo formale – tra sanzioni sostanzialmente penali e sanzioni sostanzialmente non penali. Tale giurisprudenza, dando luogo al fenomeno della sanzione formalmente amministrativa (e che pertanto segue le regole della l. 689/1981) ma sostanzialmente penale, impone all'interprete di utilizzare nuovi criteri per selezionare lo statuto da applicare all'illecito amministrativo siffatto, e ha posto, anche alla stessa giurisprudenza pagina24 di 46 costituzionale, il problema di individuare quante e quali regole riservate alle norme penali incriminatrici dovessero estendere la loro operatività anche all'illecito – solo –
sostanzialmente penale. Ebbene, la citata sentenza n. 63/2019 ha innovato il principio di diritto segnato dalla precedente Corte cost. n. 193/2016, affermando che “rispetto, però, a
singole sanzioni amministrative che abbiano natura e finalità “punitiva”, il complesso dei principi
enucleati dalla Corte di BU a proposito della “materia penale” – ivi compreso, dunque, il
principio di retroattività della lex mitior, nei limiti appena precisati (supra, punto 6.1.) – non potrà
che estendersi anche a tali sanzioni”.
Un esempio di pratica applicazione del principio, lo si è individuato nella disciplina c.d. antiriciclaggio e nelle sanzioni amministrative elevate a carico dei trasgressori, nella successione di leggi nel tempo, che – procedendo l dal D.L. 3 maggio 1991, n. 143, conv.,
con modif., nella legge 5 luglio 1991, n. 197, è giunta al D.Lgs. 21 novembre 2007, n. 231,
per poi esser modulata, con variazioni in termini di sanzioni, al D.Lgs. 25 maggio 2017, n.
90.
Bene, nell'ambito di interesse, la Corte Suprema di Cassazione (30.04.2024 n. 11594)
tenendo a mente il giudice delle Leggi, ha ribadito il principio di “favor” ( retroattività
della lex mitior) statuendo che “in tema di disciplina antiriciclaggio, l'art. 69 d.lgs. n. 231/2007
– a sua volta introdotto ex art 5 coma 2 del D.lgs n. 90 del 2017, prevede la retroattività della legge
successiva più favorevole in deroga al principio generale dell'irretroattività in materia di sanzioni
amministrative; pertanto, ove sopravvenute, anche in pendenza del giudizio di merito o di
legittimità, le norme più favorevoli vanno applicate anche d'ufficio, giacché la natura e lo scopo,
squisitamente pubblicistici, del principio del favor rei, prevalgono sulle preclusioni derivanti dalle
regole in tema d'impugnazione.
Chiaramente, nell'ambito della disciplina della materia (antiriciclaggio) trattata dalla Corte di Cassazione del 2024, la soluzione adottata è stata più agevole, ma nella fattispecie ratione temporis occorre porsi, a monte, il problema della natura della fattispecie sanzionatoria che è quanto si va a spiegare nel capoverso che segue.
pagina25 di 46

4.2. L'art. 32 bis CAD è sanzione sostanzialmente penale
Infatti, ne deriva che, anche rispetto all'art. 32 bis CAD, questo giudice, se vuole saggiare l'operatività di norme sopravvenute e, se del caso, favorevoli, non può esimersi dal verificare se il precetto sanzionatorio di cui al d.lgs. 82/2005 rientri nel novero delle sanzioni sostanzialmente penali.
Il primo, e il più importante, dei criteri dettati dalla Corte di BU per vagliare la natura sostanzialmente penale dell'illecito amministrativo, è quello dell'afflittività della sanzione, intesa come capacità della risposta punitiva di determinare elementi di afflizione personale o tali da presentare un carattere socialmente riprovevole o da poter influenzare la vita professionale dei destinatari. (cfr. Cass. n. 19030 del 13/06/2022).
Da questo punto di vista, la sanzione prevista dall'art. 32 bis CAD presenta, in astratto, elementi di afflittività significativi: nella formulazione vigente al momento della contestazione, la cornice edittale, anche per i conservatori, spaziava da un minimo di euro
40.000 a un massimo di euro 400.000. Dallo stesso punto d'osservazione, è doveroso sottolineare che è la stessa determinazione impugnata a prendere atto che , CP_1
nell'anno 2015, aveva dichiarato utili per euro 42.000. La norma, inoltre, autorizza , CP_4
laddove riscontri violazioni gravi, a disporre altresì la cancellazione del fornitore del servizio
dall'elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino
ad un massimo di due anni. Tale tipo di sanzione accessoria, che può, come si intende,
produrre un effetto esiziale sul soggetto sanzionato, è irrogabile da pure in caso di CP_4
reiterazione di malfunzionamenti che determinino l'interruzione del servizio, ai sensi del capoverso della disposizione de qua.
L'altro criterio Engel, di cui va rammentato il ruolo eventuale e facoltativo, e non cumulativo (cfr. con Cass. n. 24375 del 10/08/2023 e con CEDU, Grande Stevens c. Italia del pagina26 di 46 Ebbene, anche alla luce di questo parametro, l'art. 32 bis CAD assurge a sanzione sostanzialmente penale, tenuto conto che l'obbligo di cui all'art. 44 CAD mira a garantire,
tra gli altri interessi, l'autenticità e l'integrità di documenti informatici pubblici, beni –
interessi che vengono abitualmente protetti con norme penali incriminatrici. Si pensi ai precetti penali contenuti nel Capo III del Titolo VII del codice penale, i quali, in virtù della clausola di equivalenza di cui all'art 491 bis c.p., si applicano ai documenti informatici aventi efficacia probatoria.
Viene naturale guardare anche all'art. 640 quinquies del codice penale, che si applica al soggetto che presta servizi di certificazione di firma elettronica (altro professionista sottoposto agli obblighi del CAD) il quale, se viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, con fine di profitto, è punito […];
disposizione che, sul piano della tecnica di costruzione del precetto, peraltro assomiglia a quella dell'art. 32 bis CAD.


4.3. Le novelle di cui all'art. 25 dal d.l. 76/2020
Così enucleata la natura formalmente amministrativa, ma sostanzialmente penale,
dell'art. 32 bis del CAD, segue la rilevanza, ai fini della decisione, delle successioni di leggi maturate per effetto dell'art. 25 della l. 76/2020, nella misura in cui, come statuito dalla
Corte costituzionale, alle sanzioni sostanzialmente penali si applica il principio di retroattività della legge favorevole.
Va, tuttavia, innanzitutto, sciolto il problema correlato al comma 2° dell'art. 25, il quale prevede che: “Fino all'adozione delle Linee guida e del regolamento di cui al comma 1,
lettera e), in materia di conservazione dei documenti informatici si applicano le disposizioni vigenti
prima della data di entrata in vigore del presente decreto.” Si tratta di una norma di diritto transitorio che, se ancora operativa, avrebbe precluso in radice l'operatività del principio di retroattività della lex mitior. Tuttavia, va riscontrato che sono entrati in vigore sia le pagina27 di 46 Linee Guida sulla formazione³, gestione e conservazione dei documenti informatici sia il
Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici⁴, pertanto non è più efficace la norma di diritto transitorio e trovano applicazione le potenziali leggi favorevoli di cui si pone il problema della retroattività.
Volgendo uno sguardo complessivo all'art. 25 d.l. 76/2020, che contiene tutte le novelle qui di interesse, sulle orme della dottrina e delle memorie di , si può CP_1
rilevare che il legislatore ha inteso, in linea di prima approssimazione, abolire il sistema dell'accreditamento dei conservatori di documenti informatici. Oggi non si parla più di accreditamento, ma di “qualificazione” dei conservatori di documenti informatici.
Le novelle sono il frutto della critica mossa in un parere della Commissione europea
(Notification 2019/0540/I), che aveva sottolineato come il sistema italiano di accreditamento ponesse un ostacolo alla libera concorrenza nel mercato dei servizi di conservazione di documenti informatici. Così il legislatore italiano, rispondendo allo stimolo Unionale, ha inteso promuovere la semplificazione della normativa contenuta nel
CAD, alleggerendo la normativa di rango primario e parallelamente demandando ai succitati nuovo Regolamento di e nuove Linee guida di costruire un sistema CP_4 CP_4
più flessibile e aperto ad investimenti privati.
Ad ogni modo, il testo delle norme di rango primario è mutato, ed è compito di questo Giudice valutare questi tre ordini di problemi:
1) Il novero dei soggetti attivi dell'illecito.
Quando ha irrogato la sanzione, l'art. 32 bis CAD disponeva, in modo chiaro, CP_4
che la sanzione poteva essere irrogata ai conservatori accreditati. All'esito della modifica intervenuta il 17 luglio 2020 con il d.l. n. 76/2020, la norma non allude più ai conservatori,
ma ai soggetti di cui all'art. 34 comma 1-bis lett. b) [dello stesso CAD].
pagina28 di 46 Il testo del comma 1-bis lett. b) dell'art. 34 CAD, parallelamente, è stato modificato dal decreto legge, ed oggi dispone: [le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici:] b) affidandola, in modo totale o parziale, nel rispetto
della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di
sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui
all'art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un
regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici
emanato da , avuto riguardo all'esigenza di assicurare la conformità dei documenti conservati CP_4
agli originali nonché la qualità e la sicurezza del sistema di conservazione.”
Ebbene, a questo Giudice pare che la novella non abbia escluso i conservatori di documenti informatici dai soggetti attivi dell'illecito di cui all'art. 32 bis CAD. Tale ritocco va essenzialmente colto nella direzione, già sottolineata, di abolire il farraginoso sistema di accreditamento, per sostituirlo con un nuovo apparato normativo, di cui, in fondo, la nuova lett. 1 del comma 1-bis dell'art. 34 CAD è il principale promotore.
Al netto del rilievo che oggi appare meno lampante il riferimento testuale ai conservatori, è pure vero che l'art. 34 comma 1-bis, lett. b), oltre a fornire la base giuridica a due nuove fonti normative di rango secondario, disciplina la facoltà, per le P.A., di esternalizzare il servizio di conservazione di servizi digitali affidandolo anche a soggetti privati. In altre parole, risulta ancora inequivoco, sebbene più indiretto, il riferimento ai conservatori (ora accreditati, oggi qualificati) quali destinatari del precetto di cui all'art. 32
bis CAD.
2) L'art. 29 CAD.
Indubbiamente ricco di interesse è il riscontro che, allo stato dell'arte, l'art. 29 CAD
non trova più applicazione nei confronti dei conservatori di documenti informatici accreditati. È stato espunto dal comma 1°, infatti, il riferimento ai professionisti come
. Si tratta, in ogni caso, di una constatazione di carattere non decisivo, sul CP_1
presupposto che, come si è visto, l'art. 29 CAD non è norma idonea ad integrare il precetto pagina29 di 46 di cui all'art. 32 bis CAD. Come si è avuto modo di affermare al punto 2 della motivazione,
e come del resto il legislatore oggi si è premurato di chiarire – il comma 2° oggi si apre con
Contr l'inciso “ai fini della qualificazione” – l'art. 29 cpv. non contiene obblighi, ma requisiti per conseguire dalla P.A. un bene della vita. Certo, questo riscontro avvalora semmai l'idea, sostenuta infra, che il provvedimento adottato da , nonostante CP_4
l'imprecisione del capo di imputazione, in realtà non contestasse la violazione dell'art. 29
CAD, bensì quella dell'art. 44 comma 1-ter CAD.
3) L'art 44 comma 1-ter CAD.
Pare particolarmente significativo mettere in evidenza che il d.l. 76/2020 ha aggiunto, all'inizio del comma 1-ter) dell'art. 44 del CAD, l'inciso “In tutti i casi in cui la
legge prescrive obblighi di conservazione, anche a carico di soggetti privati”. La prima evidenza che si coglie dalla novella è che la norma oggi è più chiara nel sancire l'applicabilità della disposizione de qua anche ai privati.
Il secondo dato è che la norma integratrice del precetto di cui all'art. 32 bis CAD,
oggi contempla un nuovo presupposto applicativo, ossia la presenza di un obbligo di legge di conservazione del documento informatico. Da questo punto di vista, va rilevato che la norma può porre un problema di successione mediata di legge extra-penale, che va risolto, innanzitutto, chiedendosi se, alla luce dei criteri accreditati nella giurisprudenza di legittimità penale, la norma extra-penale (nel caso di specie, l'art. 44 comma 1-ter CAD) sia effettivamente integratrice della norma sostanzialmente penale (l'art. 32 bis CAD). E in tal senso, è appena il caso di rilevare che le Sezioni Unite “Magera” (Sez. U, n. 2451 del
27/09/2007), di recente ribadite da Cass. n. 9213 del 17/03/2022, affermano che, di regola, la norma penale in bianco che rinvia ad altre leggi extra-penali, fa sì che queste ultime integrino il precetto primario sanzionatorio, modificandone sul piano strutturale ed in astratto gli elementi costitutivi. E l'art. 32 bis CAD, norma sostanzialmente penale, è pure norma penale in bianco, perché il suo unico elemento costitutivo è la violazione di un obbligo contenuto nella normativa (extra-penale) del CAD. La successione di leggi che riguarda l'obbligo contenuto nel CAD la cui violazione si contesta ex art. 32 bis CAD,
pagina30 di 46 pertanto, può configurare in astratto, ai sensi dell'art. 2 cod. pen., una abolitio criminis
parziale.
Per comprendere se sono maturati o meno gli estremi dell'abolizione,
l'insegnamento della giurisprudenza di legittimità è nel senso di imporre all'interprete il confronto strutturale tra le due norme che si pongono in rapporto diacronico. (ex multis,
Sez. U. n. 25887 del 2003 “ ”, Sez. U. n. 10543/2008, “ ). Per_3 Per_4
Ebbene, da questo punto di vista, le due norme sono in rapporto di specialità, o continenza formale, perché il nuovo art. 44 comma 1-ter CAD contiene un obbligo che a sua volta contempla un elemento costitutivo in più rispetto al passato, la formula “In tutti i
casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati”.
Speciale, dunque, è la norma vigente: ne deriva che, per capire se v'è stata abolizione, occorre verificare se il campo applicativo della nuova norma, in astratto,
racchiuda ancora la condotta contestata nel 2020 da ad . CP_4 CP_1
E pure quest'ultimo test ha esito positivo, in ragione del fatto che la nuova la norma oggi ha chiarito – ciò che in fondo era già pacifico, ma non esplicito – e cioè che l'obbligo di cui all'art. 44 comma 1-ter CAD si applica anche ai soggetti privati. Tale chiarimento assume una chiara valenza interpretativa rispetto alla posizione dell'ex conservatore accreditato di documenti informatici: nonostante il riordino della disciplina, e la soppressione del sistema di accreditamento, il legislatore ribadisce a chiare lettere che,
quando conservano un certo tipo di documenti informatici, i conservatori privati soggiacciono ancora all'obbligo di cui al comma 1-ter. Tale obbligo, di cui è ribadita l'estensione al privato, scatta, però, solo quando è prevista l'obbligatorietà per legge della conservazione di quei documenti informatici.
Da questa prospettiva, appare decisivo che la specificità della figura – ormai soppressa – del conservatore accreditato era proprio l'abilitazione a conservare documenti pagina31 di 46 informatici pubblici: documenti di cui è prevista, proprio dal CAD, l'obbligatorietà della conservazione.
Preso atto che, a mente dei criteri dell'istituto dell'abolitio criminis parziale, il quesito che il Giudice deve sciogliere è se, in astratto, sarebbe ricaduta nella sfera CP_1
operativa dell'obbligo di cui al comma 1-ter dell'art. 44 CAD, è doveroso riscontrare che era abilitata, al momento della commissione del fatto, a conservare documenti CP_1
di cui è prevista l'obbligatorietà della conservazione.
Ne deriva che nessuna delle tre novità del d.l. 76/2020 che incidevano sul precetto primario dell'art. 32 bis CAD, come contestate da , ha determinato fenomeni di CP_4
successioni di leggi penali nel tempo rilevanti ai sensi dell'art. 2 c.p.
Tanto la nuova formulazione dell'art. 32 bis CAD – che come si è visto comunque intende rivolgersi ai professionisti che conservano documenti informatici pubblici -; tanto le novità
dell'art. 29 CAD, che non rilevano perché quest'ultima non contiene obblighi.
E nemmeno il nuovo elemento costitutivo dell'art. 44 comma 1-ter del CAD, che non ha determinato, rispetto ad , un fenomeno di abolitio criminis parziale, perché sia CP_1
il raffronto strutturale diacronico tra le due norme, sia la più garantista tesi (e ormai respinta dalla giurisprudenza) della doppia punibilità in concreto, danno esito positivo, e resterebbe, nonostante le novelle, passibile di sanzione ai sensi degli artt. 32 bis CP_1
e 44 comma 1-ter CAD.


5. Il raffronto tra la condotta contestata ad e la norma anzionatoria CP_1
Una volta individuata la fattispecie del precetto primario contestato da ad CP_4
, e una volta compreso che le numerose novità normative non hanno inciso CP_1
sulla posizione della ricorrente, è ora il momento di procedere al raffronto tra la fattispecie astratta e il contegno di cui invoca l'illiceità. CP_4
pagina32 di 46 Vale la pena richiamare integralmente (fig. 3) il contenuto dell'unica non conformità
che ha avuto seguito nella sanzione di cui all'art. 32 bis CAD, quella contenuta al capo a) di imputazione (posta l'archiviazione per le contestazioni di cui al capo b).
(fig.3)
Al netto del linguaggio specialistico utilizzato, non è affatto disagevole cogliere quale sia il tenore delle contestazioni di . CP_4
Un gestore di un servizio informatico, infatti, consente l'accesso agli utenti fornendo delle credenziali di accesso. Di recente sono stati sviluppati metodi più sofisticati, che verificano effettivamente l'identità dell'utente in fase di accesso al servizio (c.d. Livello di autenticazione 2 e successivi). In quest'ottica, il gestore deve fruire di uno spazio informatico (un database) per raccogliere tutte le credenziali degli utenti che fruiscono il servizio.
Tale database, a sua volta, deve essere protetto da misure di sicurezza, perché
altrimenti chiunque potrebbe accedervi, carpire le credenziali, e dunque accedere alle utenze e ai documenti ivi contenuti.
Ebbene, contesta che il database delle password di non fosse CP_4 CP_1
sufficientemente protetto, perché:
pagina33 di 46 1) proteggeva tale database con un metodo di crittografia⁵ (MD5), CP_1
laddove secondo avrebbe dovuto avuto implementare almeno la misura c.d. SALT, CP_4
più avanzata e oramai accreditata nella comunità scientifica. La terza contestazione è
analoga alla prima, perché critica sempre il sistema di crittografia delle password, ma valorizza l'aspetto che tali password erano liberamente visibili ai tecnici autorizzati di
, mentre è buona pratica utilizzare sistemi di crittografia delle password anche CP_1
rispetto ai soggetti interni ai gestori dei servizi, così da diminuire il rischio di abusi da parte degli stessi tecnici che se ne occupano.
2) non predisponeva, come invece aveva stabilito nella sua CP_1
documentazione interna, un meccanismo di cambio obbligatorio della password una volta creata un'utenza.
I gestori di servizi digitali, infatti, oggi, di regola, dopo aver completato la procedura di creazione dell'utenza, e dopo aver assegnato all'utente una password temporanea, obbligano l'utente a modificare la password assegnata (oppure da lui creata).
Ebbene non rendeva effettivo questo passaggio: nonostante la procedura CP_1
indicasse all'utente di effettuare il cambio della password, gli agenti di riuscivano CP_4
ad accedere all'utenza anche senza cambiarla, inserendo quella fornita al in sede di registrazione.
Di diverso tenore, ma altrettanto comprensibile, è la contestazione di cui al quarto trattino del capo a).
Un sito internet genera degli indirizzi (le cc.dd. URL) che, se copia-incollate nella barra degli indirizzi, conducono l'utente alla pagina desiderata. È il meccanismo alla base di tutti i cc.dd. link. Rispetto ai siti internet pubblici ed aperti all'utenza, non v'è necessità
che queste URL abbiano una scadenza temporale, perché il fatto che rimangano sempre le stesse non crea alcun rischio alla sicurezza del sistema.
pagina34 di 46 Viceversa, rispetto ai siti internet cui si accede con utenze private, le URL devono avere una scadenza temporale definita, perché altrimenti la loro circolazione sul web potrebbe consentire a terzi, semplicemente copia-incollando quella URL, di accedere a quella pagina internet privata.
Ancora, oltre al fattore tempo, in caso di accesso diretto tramite URL nota, il sistema dovrebbe obbligare l'utente a compiere di nuovo le procedure di autenticazione, per scongiurare il rischio che quella URL sia carpita da terzi, e con lei il contenuto di quella pagina.
Ebbene predisponeva una durata delle URL di un'ora (troppo per CP_1
AGID), e, in occasione dell'accesso diretto al sistema (senza passare per la ri-
autenticazione) non imponeva all'utente di inserire nuovamente le credenziali.
Compreso quale sarebbe l'illecito contestato da , è ora il momento di CP_4
confrontare questa contestazione con il quadro normativo di riferimento.
Ora, l'art. 44 comma 1-ter, come anticipato, statuisce che le modalità per assicurare l'obbligo di garantire la sicurezza dei sistemi di conservazione sono disciplinate da “Linee
guida”.
È dunque compito dell'interprete cogliere se, all'interno delle suddette Linee guida,
vi siano disposizioni vincolanti cui non si sia adeguato. Solo così potrà CP_1
assumere consistenza la contestazione della violazione di un obbligo che, per espressa previsione di legge, non è autosufficiente nella normativa di rango primario.
La non autosufficienza dell'art. 44 comma 1-ter), oltre che dall'esplicito riferimento alle modalità indicate dalle Linee guida, si può cogliere pure dalla fisionomia della fattispecie: è evidente che non possa di per sé avere contenuto precettivo, ai fini della irrogazione di una sanzione, una disposizione che, in generale, impone ad un conservatore di assicurare che il suo sistema denoti certe caratteristiche. Viceversa, il potere sanzionatorio di avrebbe un contenuto sostanzialmente indeterminabile in astratto: CP_4
pagina35 di 46 basterebbe prendere in considerazione qualsiasi divergenza di opinione con l'operatore del settore sui metodi usati per garantire la sicurezza del sistema per creare dal nulla un preciso obbligo giuridico, e per poi punirne la violazione.
Ebbene, il problema di puntualizzare il precetto con la normativa di rango secondario è che, al momento dell'irrogazione della sanzione, le Linee guida sulla formazione, gestione e conservazione dei documenti informatici non erano ancora state approvate. Sono infatti entrate in vigore nel luglio del 2021, su rinnovato stimolo della nuova versione, aggiornata col d.l. 76/2020, dell'art. 34 comma 1-bis lett. b) del CAD.
Tale carenza normativa, pare, nondimeno, superabile, sul presupposto che, in ogni caso, al momento della contestazione, erano in vigore altre e più antiche normative di rango secondario che, seppure non richiamate espressamente dall'art. 41 comma 1-ter),
comunque dovevano essere osservate dai conservatori accreditati di documenti informatici.
Si allude, in particolare, al DPCM del 3 dicembre 2013, contenente “Regole tecniche in
materia di sistema di conservazione”. L'articolato in questione era espressione del previgente sistema concepito dal legislatore, che si fondava, per l'appunto, sul comma 1° dell'art. 71
CAD, con cui si autorizzava la Presidenza del consiglio dei Ministri a adottare con DPCM
“le regole tecniche previste nel presente codice” (formula legislativa che va, all'evidenza,
intesa come “le regole tecniche cui allude il presente codice…”).
Tale DPCM è stato, per vero, abrogato nel 2021, proprio per effetto delle nuove e già
citate Linee guida: tuttavia, l'eventuale retroazione della normativa eventualmente favorevole presuppone che la normativa vigente al momento della commissione del fatto non fosse già favorevole al soggetto sanzionato;
ne segue che occorre prioritariamente confrontarsi con la normativa coeva al presunto illecito.
La conclusione del ragionamento è che nel DPCM del 3 dicembre 2013 non è
contenuta alcuna disposizione che imponesse a di utilizzare un sistema di CP_1
pagina36 di 46 cifratura delle password piuttosto che un altro, di costringere gli utenti il cambio della password dopo il primo accesso, di impedire ai tecnici la visione delle password degli utenti, o di determinare la durata o l'accessibilità diretta delle URL in un certo modo.
Il provvedimento sanzionatorio cita, del DPCM in questione, le seguenti norme.
L'art. 7 comma lett. I), che dispone, per quanto qui di interesse: In particolare il responsabile
della conservazione: adotta le misure necessarie per la sicurezza fisica e logica del sistema ai sensi
dell'art. 12.
Di per sé, la norma nulla aggiunge e nulla toglie all'obbligo di cui al comma 1-ter
dell'art. 44 CAD, perché ancora una volta non definisce nel dettaglio le modalità con cui va garantita la sicurezza fisica e logica del sistema di conservazione, ma si limita, a tale scopo,
a rinviare ad un'altra disposizione.
A sua volta, va dunque posto in analisi l'art. 12 del DPCM del 2013. Il riferimento è
chiaramente al comma 2°, visto che il comma 1° si rivolge espressamente solo alla pubblica amministrazione. Questo il testo della disposizione: “I soggetti privati appartenenti ad
organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi
adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale
modello di riferimento le regole di sicurezza indicate dagli articoli 50 -bis e 51 del Codice
e dalle relative linee guida emanate dall' . I sistemi di Controparte_4
conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare
tecnico di cui all'allegato B del Codice in materia di protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196. (norme tutte abrogate al momento dell'illecito)”.
La disposizione ha tre preposizioni, che vanno prese in esame distintamente:
Il primo periodo, che attiene ai privati che appartengono a organizzazioni che adottano già particolari regole di settore, non rileva, perché non è tra questi, o CP_1
comunque non è emerso nel corso di causa.
pagina37 di 46 Il terzo periodo, che impone il rispetto di alcune norme di un allegato del codice della privacy, era, al momento, – ma anche alla data del presunto fatto illecito – privo di valenza cogente, perché quell'allegato è stato abrogato dal d.lgs. 101/2018. Non v'è traccia,
o comunque AGID non ne fa menzione, di norme del GDPR o del d.lgs. 101/2018 che abbiano trasposto le disposizioni dell'allegato B del disciplinare tecnico del codice della privacy.
Il secondo periodo recita che gli altri soggetti (quindi ) possono adottare le CP_1
regole di sicurezza indicate agli artt. 50 bis e 51 del CAD e delle relative linee guida emanate da
. CP_4
Dal punto di vista di , nondimeno, l'art. 50 bis era già abrogato al CP_1
momento della contestazione del fatto, e comunque nemmeno rilevava, perché riguarda i rapporti tra pp.aa.
L'art. 51 CAD invece, al momento dei fatti, sanciva che “con le Linee guida sono
individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l'accessibilità,
l'integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture.”
Prescindendo dall'evidenza del verbo modale utilizzato, “possono” e non “ debbono”
va ancora una volta riscontrato che, al momento della commissione dell'illecito, non CP_4
aveva ancora approvato le Linee guida cui si fa riferimento nell'art. 51 CAD. Prova ne sia che il riferimento alle “Linee guida” deriva da una novella del 2017, mentre al 2013
(quando è stato approvato il DPCM de quo) la norma rinviava alle “norme tecniche di cui all'art. 71 CAD”.
Quindi, anche riconoscendo che, prima dell'entrata in vigore delle linee guida,
rimanesse ferma la normativa secondaria previgente, si porrebbe il problema di individuare quali siano le “regole tecniche” cui alludeva l'art. 51 CAD: salvo accorgersi che, per effetto di un vero e proprio cortocircuito normativo, con riferimento ai conservatori, le regole tecniche di cui all'art. 71 erano contenute proprio nel DPCM del 3
pagina38 di 46 dicembre del 2013, che – non sarà sfuggito – è l'articolato in cui è contenuta la disposizione posta in analisi.
L'art. 12 si riferiva, probabilmente, pure al DPCM del 13 novembre del 2013 “Regole
tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione
temporale dei documenti informatici nonché di formazione e conservazione dei documenti
informatici delle pubbliche amministrazioni”, ma la violazione di norme contenute in queste regole tecniche non è contestata da . CP_4
L'esito di questa esegesi del testo normativo è che, anche a causa di carenze stilistiche e di ritardi nell'approvazione delle normative di rango secondario, l'obbligo giuridico di cui al comma 1-ter dell'art 44 CAD non presentava una fisionomia punitiva tale da consentire di affermare che le condotte contestate ad ne violassero il CP_1
contenuto.
V'è poi il richiamato rilievo che, ai fini dell'interpretazione dell'art. 12 cpv. del
DPCM del 2013, appare significativo: il testo della norma utilizza la formula “possono
adottare quale modello di riferimento”. Il contesto terminologico dell'enunciato linguistico sembra concepire una norma di c.d. soft law, in contrapposizione alle numerose disposizioni vincolanti contenute nell'articolato. In altri termini, la norma non prescrive ai conservatori privati un contegno, ma sembra consigliare, per realizzare una certa uniformità anche nel settore privato, di adeguarsi ai parametri che si affermeranno come più accreditati. Nulla di più diverso da un comando a contenuto cogente, la cui inosservanza può dare luogo a responsabilità.
Tale osservazione pare perfettamente coerente con il contesto normativo in cui ha operato il controllo. Si tratta, infatti, di un settore in espansione, protagonista, nei CP_4
termini che si è visto – e non solo – di una schizofrenia legislativa, anche a livello euro-
unitario, che rende oggettivamente difficile, per gli operatori di mercato, non solo osservare i parametri tecnici imposti, ma pure individuare quali siano le norme a cui adeguarsi. In questo scenario, appare comprensibile che il legislatore, oltre ad imporre ai pagina39 di 46 conservatori delle norme precise vincolanti la cui violazione dà luogo a responsabilità
amministrativa, abbia individuato in la figura delegata a interloquire con gli CP_4
operatori del settore, non tanto per punire le loro carenze, ma per farli progredire verso soluzioni tecniche che rendano più sicuri i loro sistemi.
Così, , in esecuzione dei suoi compiti di vigilanza sugli operatori, è abilitata a CP_4
fare controlli e a riscontrare, in un'ottica di collaborazione coi privati, quelle criticità che,
pur non essendo consacrate in norme puntuali, rendono quei sistemi meno affidabili di quello che potrebbero essere, se confrontati con la migliore scienza del settore.
Proprio nel momento della verifica, che è invece munita di una precisa cornice normativa anche di rango secondario (cfr. con il Regolamento sul 32 bis), la posizione dell'operatore è attenzionata dal legislatore: nonostante alcune delle misure di sicurezza non siano cristallizzate in norme di legge, l'esito negativo dell'interlocuzione con CP_4
poteva condurre, ai sensi dell'art. 5 della circolare n. 65/2014, a rimuovere CP_4
dall'elenco dei conservatori accreditati.
Tale meccanismo di disciplina, in effetti, ha indotto , anche nel caso CP_1
concreto, a correggere tempestivamente tutte le non conformità che gli aveva CP_4
contestato, dimostrando la ricorrente di essere fedele all'apparato normativo che, pure in assenza di obblighi specifici, consente ad di intervenire sui conservatori per CP_4
migliorare l'erogazione del loro servizio.
Si comprende meglio, in questo modo, che il fatto contestato da , proprio per CP_4
l'assenza di specifiche norme di comportamento la cui violazione può generare responsabilità, risulta in radice inconciliabile con il disposto dell'art. 32 bis CAD, che si rivolge, invece, ad un'altra vicenda: quella del conservatore che contravviene ad una specifica prescrizione individuata dal CAD o dal regolamento eIDAS ed eventualmente puntualizzato nella normativa secondaria⁶.
pagina40 di 46 Circa il riferimento, contenuto nel capo d'imputazione del provvedimento sanzionatorio, alla circolare n. 65 del 2014 di , valgono le considerazioni che si sono CP_4
già spese per smentire l'idea che l'art. 29 CAD fosse norma idonea ad integrare il precetto dell'art. 32 bis CAD.
Anche la circolare del 2014, infatti, disciplina nel dettaglio le modalità e i requisiti per ottenere l'accreditamento come conservatore;
se è vero che all'art. 5 disciplina il potere di AGID di vigilare sui requisiti dei conservatori accreditati, e quindi lascia intendere che sia vincolata a mantenere quei requisiti nel tempo, è altrettanto vero che quel CP_1
vincolo vale ai fini della conservazione dell'autorizzazione amministrativa, ma non può
essere valorizzato come obbligo la cui violazione dà luogo alla sanzione di cui all'art. 32 bis
CAD. Quest'ultima norma, infatti, esige che l'obbligo violato dal conservatore sia contenuto direttamente nel CAD, e non in una fonte secondaria di carattere amministrativo.
Vieppiù, anche nella circolare del 2014 non vi è traccia di norme comportamentali che possano essere confrontate con il contegno omissivo contestato ad : non si parla CP_4
di misure di sicurezza per proteggere il database delle password degli utenti, di riuso della password di primo accesso, di tempi o modi di generazione delle URL dei contenuti del sistema.
In conclusione, tutte le considerazioni che precedono sono funzionali a rispondere al quesito se se abbia trasgredito, dando luogo a responsabilità per omissione, CP_1
il comando contenuto nel combinato disposto degli artt. 32 bis e 44 CAD.
La risposta è negativa: e ciò perché, non essendo emerso un parametro normativo specifico con cui confrontare il contegno omissivo di , si può invece affermare l'esatto CP_1
contrario, ossia che abbia, proprio rispetto agli ambiti operativi su cui sono CP_1
elettronico nei modi o nei casi stabiliti dalle Linee guida (comma 3° lett. b); non copiare, né conservare, le chiavi private di firma del soggetto cui il prestatore di servizi di firma elettronica qualificata ha fornito il servizio di certificazione (lett. k). Tutte disposizioni rispetto alle quali è possibile concepire l'inosservanza come violazione di un preciso obbligo di comportamento: basterebbe appurare che il soggetto attivo non ha rilasciato e reso pubblico il certificato elettronico, ovvero riscontrare che il medesimo ha copiato e/o conservato le chiavi private di firma dell'utente del servizio. Un obbligo così costruito a chiare lettere nel CAD è pacificamente suscettibile di costituire la norma la cui violazione dà luogo alla sanzione di cui all'art. 32 bis CAD.
pagina41 di 46 sorte le contestazioni di AGID, approntato delle misure di sicurezza per salvaguardare il sistema.
E certo vero che esistevano sistemi di crittografia delle password più performanti di quello usato da : ma è altrettanto vero, al contempo, che la ricorrente CP_1
provvedeva comunque a disporre un congegno per proteggere le credenziali degli utenti;

vero che la password temporanea generata dal sistema in sede di primo accesso consentiva di accedere nonostante la stessa avesse previsto nella sua CP_1
documentazione che ciò non doveva accadere, ma è pure vero che tale misura protettiva,
seppure non implementata, era comunque stata predisposta dalla ricorrente;
é vero che le
URL relative ai singoli contenuti del sistema di conservazione valevano per un'ora e consentivano l'accesso diretto senza ri-autenticazione, ma è pure vero che le URL generate erano state predisposte per avere una durata prestabilita, il che rappresenta senz'altro una misura protettiva del sistema di conservazione laddove la misura temporale limite indicata, (in sede di osservazioni endo procedimentali la ricorrente ha precisato che quello che appariva garantito all'ispettore al momento dell'ispezione, non avrebbe potuto esser utilizzato da un soggetto esterno, che si sarebbe trovato dinanzi ad un sistema di firewall inibente l'accesso) appare in ogni caso apodittica.
Ne deriva che la sanzione irrogata da è illegittima per violazione dell'art. 32 CP_4
bis CAD, perché, pure individuato un obbligo giuridico incombente su nell'art. CP_1
44 comma 1-ter del CAD, tale obbligo, in assenza di una puntualizzazione nella normativa di rango secondario, appare generico e vago, al punto da impedire a questo Giudice di valutare se il comportamento omissivo tenuto da sia effettivamente difforme CP_1
con questo schema di legge ratione temporis.
Anzi, a fronte della genericità dell'apparato normativo, appare, alla luce CP_1
dell'istruttoria, aver adempiuto all'obbligo di assicurare l'autenticità, l'integrità ecc. del suo sistema di conservazione, approntando alcune delle misure di sicurezza utili a proteggere il sistema da accessi esterni. L'inidoneità di queste misure è sostenuta da sulla base CP_4
del raffronto tra queste e i migliori approdi della comunità scientifica di riferimento: si pagina42 di 46 coglie così, tuttavia, che, l'ordine imposto da di correggere queste “non conformità” CP_4
non promana dalla legge, ma da una valutazione discrezionale tecnica dell'ente pubblico,
che non trova spazio nel contesto del potere vincolato di cui all'art. 32 bis CAD.
Non ha nemmeno pregio, da questo punto di osservazione, la parte della comparsa di risposta (cfr. pag. 13) in cui, sempre alla disperata ricerca del reperimento di una fattispecie con cui confrontare la condotta omissiva di , si evoca la pag. 31 delle CP_4
“Linee guida per la configurazione per adeguare la sicurezza del software di base” di
. CP_4
Quei parametri tecnici, infatti, non sono né norme tecniche di cui all'art. 71 CAD, né
rispondono allo schema delle nuove Linee guida di AGID: si tratta di documentazione endo-amministrativa, che non viene pubblicata in Gazzetta ufficiale, e che, per espressa previsione, contiene solo best practises per le pubbliche amministrazioni (vedi par.

1.3. delle
“Linee guida di sicurezza nello sviluppo delle applicazioni”, che è il documento madre che si snoda in 4 allegati, di cui uno è costituito dalle “Linee guida per la configurazione per adeguare la sicurezza dei software di base”).
Risulta così assorbita, dall'accoglimento dell'insussistenza del fatto contestato, la censura di circa l'assenza di colpevolezza. Posto che, trattandosi di illecito CP_1
ascritto solo all'ente, bisognerebbe mutuare i criteri della colpa di organizzazione di cui al d.lgs. 231/2001, resta l'evidenza che non può essere in alcun modo CP_1
rimproverata per le condotte ascrittele, perché non v'era nessuna norma che le imponesse,
a pena di illecito amministrativo, un comportamento diverso da quello tenuto.


6. Le altre questioni sollevate dalle parti
Vanno ora affrontare le rimanesti questioni poste dalle parti nel corso del processo.
È certamente fondata, l'eccezione del difetto di legittimazione passiva del
[...]
, sollevata da e dal costituitosi in giudizio. AGID, in effetti, è CP_3 CP_4 CP_3
un'Agenzia della Presidenza del Consiglio dei Ministri, dotata di personalità giuridica di pagina43 di 46 diritto pubblico (cfr. con art. 1 DPCM 8 gennaio 2014, lo Statuto di ) e sottoposta ai CP_4
poteri di indirizzo e vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui
delegato. Sicché, in assenza di qualsiasi riscontro di deleghe presidenziali al
[...]
, non si coglie per quale ragione quest'ultimo possa essere coinvolto in una CP_3
controversia relativa ad una sanzione irrogata da . Del resto, dopo aver instaurato la CP_4
causa anche nei confronti del , non l'ha più coltivata: non ha replicato CP_3 CP_1
all'eccezione del difetto di legittimazione passiva, ed anzi ha cominciato ad intestare gli atti di causa individuando solo come “parte opposta” della controversia. CP_4
L'evidenza, tuttavia, che entrambe le parti si sono costituite per il tramite della medesima Avvocatura generale dello Stato, e quindi con uno sforzo difensivo che dalla
vocatio in ius del non ha subito sostanziali variazioni, legittima, da questo punto CP_3
di vista, la neutralità della citazione in giudizio del ad opera del ricorrente dal CP_3
punto di vista del gravame delle spese processuali, che da questo punto di vista, si compensano tra le parti.
Va ritenuta assorbita, innanzitutto, la doglianza relativa al vizio di motivazione,
atteso che il provvedimento appare già patologico sul piano della c.d. giustificazione, ossia del suo fondamento normativo. È assorbita, in ragione della necessità di annullare integralmente l'ordinanza che ha adottato la sanzione, pure la questione inerente alla misura delle spese del procedimento sanzionatorio.
Manifestamente infondate appaiono le censure di parte ricorrente riguardo alle violazioni delle regole sul procedimento amministrativo: ha fornito la prova di aver CP_4
svolto tutti gli adempimenti procedurali previsti dalla normativa primaria (l. 241/1990, l.
689/1981) e secondaria (il Regolamento da lei stessa adottato riguardo l'art. 32 bis CAD).
Non hanno fondamento nemmeno gli argomenti di riguardo supposti CP_1
difetti di notifica del provvedimento sanzionatorio, che è stato regolarmente notificato all'indirizzo PEC della ricorrente. Peraltro, l'evidenza che nonostante tale supposta irregolarità la parte ricorrente sia stata in grado di difendersi tempestivamente,
pagina44 di 46 risolverebbe nei termini del raggiungimento dello scopo la dedotta contestazione.
Riguardo all'asserita necessità di scindere in due provvedimenti l'atto che contestualmente sanziona e archivia, non esiste, come sostenuto dall'Avvocatura, alcuna norma che esiga tale formalismo. Vanno respinte, perché manifestamente infondate, pure le censure relative all'indicazione, nel provvedimento, del foro di competenza.
Le spese seguono la soccombenza, ad onta del profilo di evidente novità delle questioni giuridiche sottoposte all'attenzione di questo giudice. Se è vero che la soluzione della causa ha richiesto una analisi profonda di norme giovani, in sentieri poco arati pure dalla dottrina, è anche vero che la complessità di tale disamina è derivata proprio dal carattere ellittico e contorto della contestazione mossa da , che ha in ogni caso CP_4
elevato una severa sanzione amministrativa in relazione ad un illecito tout court
insussistente. Anzi, è parso a questo giudice che , rilevato lo sforzo compiuto da CP_4
per rettificare le imperfezioni segnalate, abbia in qualche modo voluto CP_1
rinvenire, nella condotta dell'ispezionata, una qualche sostanziale violazione. In definitiva,
ha esorbitato i confini imposti dal legislatore al suo ruolo di vigilanza sugli CP_4
operatori del settore: dopo aver interloquito con successo con , la quale ha CP_1
diligentemente posto rimedio a tutte le “non conformità” censurategli, ha preteso, in spregio al “lieto fine” della vicenda, di irrogare una sanzione seppure non vi fosse un nessun preciso obbligo giuridico la cui violazione potesse essere ascritta ai sensi dell'art. 32 bis CAD.
Quanto alle spese processuali in relazione al difetto di legittimazione passiba del si è detto. CP_3

P.Q.M.

Il Tribunale di Roma, definitivamente pronunciando, nella persona del Giudice
Unico Dr. Claudio Patruno, nella causa iscritta al ruolo nr. 30944/2020,
pagina45 di 46 A) Accoglie l'opposizione avverso la determinazione n. 221/2020 di , e ne CP_4
dispone l'annullamento.
B) Condanna al pagamento delle spese processuali nei confronti di CP_4
, che quantifica e liquida nella misura complessiva di € 7.616,00 oltre IVA, c.p.a. CP_1
e spese generali al 15%. Con distrazione a favore dei difensori antistatari avv.ti Sergio
Como ( ), Antonella D'Iorio ( ), Andrea Lisi CodiceFiscale_2 CodiceFiscale_3
( ). CodiceFiscale_4
C) Dichiara il difetto di legittimazione passiva del e Controparte_3
compensa integralmente le spese processuali tra le parti in relazione alla vocatio in ius dell'amministrazione.
Così deciso in Roma lì 20.12.2025
IL GIUDICE Dr Claudio Patruno
Provvedimento firmato in via digitale.
Provvedimento integralmente preparato e redatto, con la collaborazione del MOT
DM 2024 Dr. Terenzio Ciancarelli.
pagina46 di 46 1. DA COMPARE FOOTNOTE PAGES ¹ “Regolamento recante le modalità per la vigilanza ai sensi dell'art. 14-bis comma 2, lett. i) e per l'esercizio del potere sanzionatorio ai sensi dell'art. 32-bis del d. lgs. 7 marzo 2005, n. 82 e successive modificazioni” emanato da ” CP_4 pubblicato in Gazzetta Ufficiale, Serie Generale n.141 del 20-06-2018. ² (https://www.agid.gov.it/sites/agid/files/2024-07/Riepilogo_provvedimenti_32-bis_periodo%202019-2024.pdf),
24 regolamento eIDAS sono norme che disciplinano i requisiti soddisfatti i quali si può
accedere ad un determinato mercato, su cui vigila . Pare già una forzatura, da questo CP_4
4 marzo 2014) concerne la natura dell'interesse protetto dalla norma sanzionatoria.
L'interprete, seguendo questo schema, verifica se il bene giuridico salvaguardato dalla norma sanzionatoria sia, di regola, assistito da sanzione anche formalmente penale. ³ Le linee guida sono state adottate con GU serie generale n. 259 del 19 ottobre del 2020. Le medesime, precisano che “si applicano a partire dal duecento settantesimo giorno successivo alla loro entrata in vigore. Si applicano, pertanto, dal 16 luglio del 2021. ⁴ Il regolamento è stato adottato con GU serie generale n. 159 del 5 luglio del 2021, ed è entrato in vigore il 1° gennaio 2022. ⁵ La crittografia è una disciplina dell'informatica e della matematica che si occupa dello sviluppo e dell'applicazione di tecniche per proteggere la riservatezza, l'integrità e l'autenticità delle informazioni attraverso la loro trasformazione in un formato non leggibile senza autorizzazione. In pratica, la crittografia utilizza algoritmi e chiavi per: 1) cifrare: convertire i dati originali (detti testo in chiaro) in un formato codificato (detto testo cifrato), rendendoli comprensibili solo a chi possiede la chiave corretta. 2) decifrare: trasformare i dati cifrati nuovamente nel loro formato originale, rendendoli leggibili. ⁶ Solo a titolo esemplificativo, si possono citare alcuni dei precisi obblighi di comportamento imposti dall'art. 32 CAD: Il prestatore di servizi di firma elettronica qualificata che rilascia certificati qualificati deve comunque: rilasciare e rendere pubblico il certificato