Gara telematica – Firma on line o in locale – Pades o Cades – Necessarie indicazioni nel manuale operativo (art. 58 d.lgs. n. 50/2016)

Consiglio di Stato, 30.12.2020 n. 8536

Nelle gare telematiche, quando la piattaforma non consente la firma digitale on line  ma richiede all’utente di scaricare la documentazione e firmare i documenti in “locale” sul proprio computer, i requisiti standard della firma digitale ammessa, CAdES o PAdES, devono essere portati all’attenzione dell’utenza in modo chiaro e segnalati nel manuale operativo sin dai primi paragrafi come prerequisito imprescindibile

Approfondimento su: PIATTAFORMA PROCEDURE DI GARA TELEMATICHE – NEGOZIAZIONE – ALBO FORNITORI

Ha preliminarmente chiarito la Sezione che il rappresentante della concorrente ad una gara telematica ha effettivamente provveduto a caricare sulla piattaforma prescelta dall’amministrazione per lo svolgimento della gara, alcuni documenti dal medesimo firmati digitalmente in modalità PAdES (ossia mantenendo il formato PDF ed il nome originali). La piattaforma era tuttavia impostata per riconoscere la sottoscrizione nel formato CAdES (ossia nel particolare formato della “busta crittografica” e con il nome modificato mediante aggiunta dell’estensione “.p7m”).
A causa di tale difformità generatasi nella fase finale di upload dell’offerta, pur risultando caricati i files PDF, la piattaforma non è stata in grado di identificare tali files come documenti firmati, in quanto non dotati della specifica estensione “.p7m” e della speciale struttura interna di “busta crittografica” che caratterizzano i documenti correttamente firmati in modalità CAdES.
Di conseguenza, la piattaforma ha considerato i documenti caricati dalla  concorrente come “non firmati” ed ha agito di conseguenza, ossia non abilitando il tasto “Invio” in attesa che venissero caricati i documenti firmati secondo le aspettative.
L’unico comando accessibile a quel punto era quello di “Modifica offerta”, funzionale a rigenerare la busta contenente i documenti (non ancora firmati, rectius, ritenuti tali dalla piattaforma), il quale, una volta attivato, ha mostrato all’utente come messaggio di conferma il pop-up contenente il testo “Si stanno per eliminare tutti i file firmati”, citato da parte resistente come supposta prova di un evento anomalo bloccante imputabile alla piattaforma.
Dinanzi a tale oggettiva ricostruzione, documentata inequivocabilmente dall’esame del file log, la Sezione ha valutato se la causa impeditiva sopraggiunte sia imputabile al sistema informatico predisposto dall’amministrazione al fine dello svolgimento della gara, o sia piuttosto da ricondurre a negligenza dell’offerente impegnato nell’upload della domanda di partecipazione.
La Sezione ha ricordato che “Il concorrente che si appresta alla partecipazione di una gara telematica, fruendo dei grandi vantaggi logistici e organizzativi che l’informatica fornisce ai fruitori della procedura, è consapevole che occorre un certo tempo per eseguire materialmente le procedure di upload, e che tale tempo dipende in gran parte dalla performance dell’infrastruttura di comunicazione (lato utente e lato stazione appaltante), quest’ultima a sua volta interferita da variabili fisiche o di traffico”. Sulla base di tale premessa ha altresì chiarito che “L’esperienza e abilità informatica dell’utente, la stima dei tempi occorrenti per il completamento delle operazioni di upload, la preliminare e attenta lettura delle istruzioni procedurali, il verificarsi di fisiologici rallentamenti conseguenti a momentanea congestione del traffico, sono tutte variabili che il partecipante ad una gara telematica deve avere presente, preventivare e “dominare”, quando si accinge all’effettuazione di un’operazione così importante per la propria attività di operatore economico, non potendo il medesimo pretendere che l’amministrazione, oltre a predisporre una valida piattaforma di negoziazione operante su efficiente struttura di comunicazione, si adoperi anche per garantire il buon fine delle operazioni, qualunque sia l’ora di inizio delle stesse, prescelto dall’utente, o lo stato contingente delle altre variabili sopra solo esemplificamente indicate (Cons. St., sez. III, 24 novembre 2020, n. 7352). 
La Sezione ha quindi ricordato che esistono sostanzialmente due modalità standard per apporre la firma digitale: una denominata CAdES e una denominata PAdES. Il punto cruciale è che esse, pur essendo entrambe valide e riconosciute, non sono compatibili o interscambiabili tra loro in quanto dotate di caratteristiche differenti. In particolare: a) nella modalità CAdES il documento originale e la sua firma digitale, una volta generata, vengono entrambi inseriti una speciale “busta” crittografica, che nella pratica è costituita da un nuovo file di tipo diverso dall’originale, il quale ha come nome quello del file originale cui viene aggiunto il suffisso “.p7m”; in questa modalità il documento originale da firmare può essere di qualsiasi tipo (immagine, documento di testo, documento PDF, etc.), tuttavia una volta inserito nella busta P7M esso non risulta più leggibile nativamente, ma deve essere prima estratto dalla busta stessa mediante un apposito programma applicativo in grado di decodificare i file P7M; b) nella modalità PAdES, invece, il documento da firmare può essere solo di tipo PDF e la firma digitale, una volta generata, viene inserita all’interno del documento originale stesso grazie alla presenza nel formato file PDF di specifiche strutture dati all’uopo predisposte. Il documento firmato è dunque a tutti gli effetti un normale documento PDF: in particolare esso mantiene il suo nome e la sua struttura originali, e risulta direttamente leggibile da tutte le applicazioni in grado di aprire i file PDF; per di più esso, ad una semplice ispezione esterna, risulta indistinguibile dalla sua versione non firmata.
Nel caso di specie, come sopra accennato, la piattaforma non solo non forniva un sistema di firma di firma digitale “on line”, ossia residente, ma imponeva all’utente di scaricare e firmare i documenti in “locale” sul proprio computer, per poi ricaricarli firmati solo ed esclusivamente in modalità PAdES, pena l’impossibilità di concludere la procedura.
​​​​​​​In disparte i dubbi che il Collegio nutre in ordine all’opportunità di utilizzare una piattaforma che contiene limitazioni in ordine al tipo di firma digitale da usare, vieppiù quanto le operazioni di firma sono demandate all’utente con onere di utilizzo della propria dotazione informatica, ciò che appare al Collegio assolutamente evidente è che l’esistenza di un requisito così cruciale e bloccante, come quello relativo al formato accettabile per i documenti firmati, avrebbe dovuto essere portato all’attenzione dell’utenza in modo chiaro ed evidente, segnalandolo nel manuale operativo sin dai primi paragrafi come prerequisito imprescindibile.

(fonte: sito della Giustizia Amministrativa) 

RISORSE CORRELATE