Siamo in una situazione in cui le identità digitali SPID e CIE hanno una ottima diffusione e sono finalmente strumenti noti ai più, che ne apprezzano l’utilità funzionale. Questo è un momento topico ed è importante che il sistema delle identità elettroniche nazionali, che sta per diventare “strutturale” alla P.A. e non è ancora stato adottato, come diremo, dal sistema privato, deve essere reso fruibile da tutti.
Affinché ciò accada, non bisogna trascurare l’interazione delle identità digitali con i principali strumenti di gestione del documento elettronico che la Legge prevede, che devono essere modernizzati e messi in grado di operare facilmente in sinergia con le identità elettroniche. Infatti, da sole, le identità elettroniche risolvono il problema dell’autenticazione ai servizi online ma non sono sufficienti. Per utilizzare i servizi occorre anche esprimere la propria volontà in maniera che possa essere documentata dal fornitore del servizio e, al riguardo, quando occorre firmare un contratto in maniera certa e documentabile, il modo migliore rimane quello della firma elettronica avanzata o qualificata.
L’impatto delle firme elettroniche
La firma elettronica qualificata normalmente è troppo complessa e costosa per un uso massivo: occorre dotarsi di dispositivi di firma contenenti i certificati qualificati o attivare un servizio di firma remota e procedere poi all’invio al mittente dei file firmati. Più semplice è l’utilizzo della firma elettronica avanzata, che non richiede l’uso di certificati qualificati e chiavi private di firma: per firmare è sufficiente confermare una password temporanea generalmente inviata via cellulare o, per l’appunto, si può utilizzare la propria identità elettronica.
Vi è poi una serie di servizi che richiedono credenziali specifiche e firme digitali, avanzate o qualificate, soprattutto nel comparto giustizia e per quanto riguarda il processo telematico, dove sono però stati introdotti pagamenti PagoPA. Alcune volte viene anche richiesto di confermare un codice OTP ricevuto sul cellulare, in genere associato alla suddetta firma elettronica.
Autenticazione e firma
Tuttora vige una certa confusione tra autenticazione e firma: la prima si ottiene utilizzando in un servizio online la sola identità elettronica e riguarda il semplice “accesso” al servizio, senza esprimere nel medesimo alcuna dichiarazione di volontà: il fatto che io acceda non vuol dire che voglia presentare una istanza, fare un ordine, ecc.
Per esprimere la volontà o compiere qualsivoglia atto negoziale, alcuni servizi si accontentano di un clic su un tasto virtuale. Se, tuttavia, dobbiamo dimostrare che l’utente ha sottoscritto un contratto o compiuto un atto, con valore legale e data certa, la scelta di utilizzare una firma elettronica è certamente più sicura; chiunque infatti potrebbe aver “cliccato” il tasto virtuale e sta al fornitore del servizio dimostrare che quel “clic” indica effettivamente una dichiarazione di volontà ed è stato effettuato dallo stesso utente che si è autenticato per l’accesso.
I vantaggi dell’identità elettronica
In sostanza, il vantaggio di richiedere una identità elettronica per chi fornisce un servizio online è di acquisire certezza circa l’identità degli utenti che accedono e si registrano, non consentire cioè a un utente di accedere o registrarsi con dati falsi; il vantaggio di usare firme elettroniche è di acquisire certezza circa il fatto che gli utenti hanno anche “voluto” firmare una istanza o atto negoziale all’interno del servizio e lo hanno fatto in una certa data e a una certa ora.
Se, infatti, ci limitiamo a far accedere l’utente con SPID o CIE, per dimostrare che è il medesimo utente ad aver contrassegnato un certo consenso privacy dovremo esaminare tutto il flusso che porta dall’accesso all’accettazione dei termini e condizioni e privacy del servizio: il form è accessibile solo agli utenti che si identificano? È possibile che l’utente sia variato? Il log mostra la data e ora corretta? Tutti questi dati dovranno essere periziati per dare una conferma definitiva. La firma elettronica semplifica poiché non serve provare la solidità del flusso e della procedura: l’utente ha firmato con una firma elettronica valida e la legge non richiede altro per provare l’atto.
Una firma elettronica si può però ottenere in vari modi e non dobbiamo però dimenticare Se siamo entrati in un servizio con l’identità elettronica SPID o CIE dunque, secondo la Legge, il fornitore del servizio avrà certezza della nostra identità, come se avessimo mostrato un valido documento. Alla base dell’utilizzo di SPID e CIE c’è infatti non solo un documento di identità, ma un processo di riconoscimento e un rilascio di credenziali sicure, effettuato sotto vigilanza pubblica o, nel caso di CIE, direttamente dallo Stato.
Dunque, se – come già alcuni provider hanno iniziato a fare – potessimo rilasciare firme elettroniche avanzate a seguito dell’utilizzo di SPID per l’autenticazione, abbinando così a SPID una firma elettronica avanzata, avremmo oltre all’autenticazione certa e all’identificazione per legge, anche la possibilità di apporre firme con valore legale: la firma elettronica avanzata, infatti, ha il valore di sottoscrizione di una scrittura privata e vale per qualsiasi atto che non richieda per Legge la forma scritta a pena di nullità (ad substantiam).
La normativa di riferimento
Un tale strumento dovrebbe essere il complemento naturale dell’identità elettronica: mi identifico dunque firmo. Eppure, per come stanno le cose, una firma elettronica, semplice, avanzata o qualificata che basi l’identificazione del firmatario su SPID viene parificata a tutte le altre firme elettroniche: è soggetta alle medesime (obsolete) regole e non ha nessuna facilitazione.
Questo vuol dire che i fornitori di servizi che vogliono abbinare a SPID/CIE firme elettroniche, ad esempio firme elettroniche avanzate – che sono le più versatili – si trovano a combattere con le risalenti norme tecniche sulla firma elettronica avanzata italiane contenute in un vetusto DPCM del 22 febbraio 2013, abrogato in tutte le sue parti, tranne proprio quelle relative alla firma elettronica avanzata. Si tratta di norme che, in molte parti, contraddicono il disposto del Regolamento UE EIDAS e, dunque, nell’ordinamento italiano non dovrebbero più essere vigenti, ma non si è sinora riusciti ad ottenere un chiaro pronunciamento delle istituzioni competenti (Dipartimento della Trasformazione Digitale ed Agid) al riguardo.
Firma elettronica per SPID e CIE, gli ostacoli
Esaminiamo, nella sintesi consentita da questo breve articolo, quali siano le incongruenze ed ostacoli ad un’adozione estensiva della firma elettronica avanzata come complemento di SPID e CIE posti dal DPCM 22 febbraio 2013. Anzitutto, vediamo come mentre il Codice dell’Amministrazione Digitale considera la firma elettronica avanzata come la firma valida per contratti e scritture private che non richiedano per legge forma scritta, senza alcuna limitazione di efficacia, il DPCM 22 febbraio 2013 contiene una irragionevole limitazione dell’efficacia della firma elettronica avanzata che non è presente nel Regolamento EIDAS e non ha uguali a livello mondiale: esso infatti prevede che in Italia la firma elettronica avanzata sia valida esclusivamente per i rapporti giuridici intercorrenti tra coloro che utilizzano e coloro che erogano soluzioni di firma elettronica avanzata. Per capirci, secondo questa norma se concludo un contratto con una banca e lo voglio firmare con una firma elettronica avanzata, dovrebbe essere la banca a fornirmi questo strumento; se poi la stessa banca vuol fornirmi la carta di credito della società convenzionata, dovrebbe essere la società che emette la carta di credito a darmi la firma elettronica avanzata. E’ chiaro che si tratta di un limite irragionevole.
Oltre tutto, il suddetto DPCM, redatto con una tecnica normativa veramente non più attuale, pone a carico del soggetto che intende mettere a disposizione della propria clientela la firma elettronica avanzata (l’erogatore) pesantissimi obblighi di informative ed adempimenti – anche assicurativi – rendendo molto complesso – anche se non impossibile – servirsi di fornitori terzi per questi servizi.
Un esempio pratico
Immaginiamo una scuola che voglia fornire a studenti ed alunni una firma elettronica avanzata dovrebbe farsi carico di polizze assicurative per almeno 500.000 euro, servizi di conservazione sostitutiva per almeno 20 anni, sito internet per diffondere le relative informative ed altro ancora.
Le conseguenze
Come si diceva, si tratta di regole e requisiti che il Regolamento UE EIDAS, che fissa i requisiti della firma elettronica avanzata a livello europeo, non prevede. È pacifico che gli Stati nazionali non possano mantenere requisiti più stringenti o diversi da quelli previsti da un Regolamento UE che interviene a regolare la stessa materia, eppure il DPCM 22 febbraio 2013 non è mai stato formalmente abrogato e non vi sono mai state interpretazioni correttive del medesimo.
Il risultato è un’estrema incertezza del mercato nell’adozione e nell’uso degli strumenti di firma elettronica avanzata, che invece sarebbero essenziali per agevolare la remotizzazione di adempimenti quotidiani importantissimi che richiedono la firma oltre che l’identificazione, in situazioni dove l’utenza faticherebbe a dotarsi di firma digitale: ad esempio: pratiche e dichiarazioni fiscali, pratiche ed istanze previdenziali, documentazione scolastica, pratiche universitarie.
Vero, infatti, che la firma elettronica avanzata può essere rilasciata – come avviene spesso in banca – anche a fronte di sistemi diversi dall’identità digitale; la differenza però è che, in questi casi, occorre normalmente l’identificazione in presenza o, almeno, la videoidentificazione. L’uso di SPID o CIE semplifica molto perché consente di “traghettare” il riconoscimento effettuato per SPID/CIE all’interno della firma elettronica avanzata, risultando così molto veloce rilasciare ad un utente una firma valida per un servizio pubblico privato. Si ricordi però che, per assicurare pienamente ai soggetti privati – anche di piccole dimensioni – la possibilità di utilizzare la firma elettronica avanzata, oltre all’accennato definitivo chiarimento circa il superamento delle vetuste norme del DPCM 22 febbraio 2013, occorrerà – come già ricordato altre volte su queste colonne – che siano finalmente attivati i servizi di aggregatore privato delle identità digitali.
Occorre infatti che Agid stabilisca un quadro certo in cui qualunque soggetto, piccolo, medio o grande che sia, può facilmente decidere di esternalizzare i servizi di autenticazione attraverso l’identità digitale e firma elettronica avanzata, senza doversi caricare di complessi adempimenti e accreditamenti, che potrà curare, per lui, direttamente il fornitore terzo.
