Le identità elettroniche SPID e CIE sono state, sin dalla loro prima definizione normativa, pensate dal Legislatore per l’identificazione di persone giuridiche, oltre che persone fisiche.
Ciò si evince – tra l’altro – dalle notificazioni alla Commissione UE di entrambe le identità, in cui si specifica chiaramente che il sistema di identità può identificare sia persone fisiche che giuridiche. Anche la CIE dovrebbe dunque poter identificare persone giuridiche.
Se il Legislatore ha previsto questa eventualità, non si può dire che la stessa sia stata attuata tecnicamente, se non per alcune applicazioni della sola SPID (la c.d. SPID professionale prevista da apposite Linee Guida AGID).
La Proposta di Regolamento eIDAS2 prevede altresì chiaramente che il wallet UE dovrà identificare persone fisiche e giuridiche, oltre che persone fisiche che rappresentano persone giuridiche.
È interessante allora fare il punto su dove siamo sin qui nell’identificazione delle persone giuridiche e quale siano i possibili sviluppi futuri.
Il concetto europeo di “persona giuridica”
Va anzitutto detto che il concetto europeo di “persona giuridica” è più ampio di quello nazionale. Nelle norme dell’Unione Europea, per persona giuridica si intendono tutte le entità costituite conformemente al diritto di uno Stato membro o da esso disciplinate, a prescindere dalla loro forma giuridica, dunque sono considerate “persone giuridiche” anche le entità che normalmente sono escluse dalla definizione nazionale perché prive di personalità giuridica, ad esempio, associazioni non riconosciute, ditte individuali con partita IVA e società di persone.
Un professionista che lavora a partita IVA ricade dunque nella definizione di “persona giuridica” secondo quanto sopra e dovrebbe operare non con la propria identità personale ma con una identità attribuita a persona giuridica.
Allo stesso modo, una società il cui amministratore delegato acceda, per ragioni di lavoro, a servizi di PA e privati tramite SPID dovrebbe avere una identità della persona giuridica o una identità specifica della persona quale rappresentante della persona giuridica.
Questo perché con l’identità della persona giuridica vengono comunicati al service provider attributi della persona giuridica (la ragione sociale e l’identificativo univoco della persona giuridica a livello nazionale, cioè il codice fiscale) che devono essere stati verificati dall’identity provider.
L’identità digitale della persona giuridica in Italia
Al momento in Italia esiste soltanto lo SPID c.d. “professionale”, che può essere rilasciato ad un professionista o a un rappresentante di una persona giuridica.
Non risulta esistere alcun modo di dichiarare di essere persona giuridica o rappresentante della medesima attraverso l’identificazione CIE (ancorché, come dicevo, ciò sia normativamente previsto).
Perché è importante che – quale che sia l’evoluzione dei sistemi di identità – essi possano identificare anche persone giuridiche?
Ciascuno di noi è abituato ad accedere a servizi online in molte vesti: esistono account personali e account aziendali, a volte si hanno account personali ed aziendali per lo stesso servizio.
Laddove vi sia un account aziendale – se vogliamo che il servizio sia accessibile mediante l’identità elettronica – si possono usare due sistemi: il primo, quello usato attualmente, è quello che prevede che, quando l’utente accede con la propria identità personale, gli si chieda se vuole accedere all’account personale o all’account aziendale.
In tal modo, però, si è certamente identificata con sicurezza la persona, ma resta interamente sul service provider la responsabilità di far accedere al servizio quale rappresentante aziendale: il service provider si dovrà così caricare di oneri amministrativi per identificare la persona giuridica collegata alla persona fisica e determinare se, effettivamente, la persona fisica abbia titolo ad accedere quale rappresentante della persona giuridica.
Poniamo che la persona fisica censita dal service provider come rappresentante della persona giuridica cambi lavoro: il service provider dovrà prontamente aggiornare la posizione, per non rischiare l’accesso indebito a dati riservati della persona giuridica tramite l’identità personale previamente censita. Nei fatti, legando le informazioni relative alla persona giuridica all’account esistente presso il service provider piuttosto che all’identità elettronica utilizzata, si annulla grandissima parte del vantaggio di usare l’identità elettronica, consistente nell’esternalizzazione della responsabilità dell’identificazione.
Inoltre, la diffusione di accessi “a nome di persone giuridiche” legati alla sola identità personale, rischia di creare una commistione di dati personali: ricordiamo un provvedimento del Garante per i Dati Personali (criticabile per vari motivi come da mio articolo dell’epoca[1] ma mai, nei fatti, corretto) che stabilisce che è contrario al GDPR notificare sanzioni amministrative personali sulla PEC professionale, perché quest’ultima è suscettibile di essere consultata anche da collaboratori. Lo stesso vale per l’identità elettronica associata alla persona giuridica. Per non parlare del fatto che, se i servizi online fruiti da una persona giuridica vengono associati ad una determinata identità elettronica personale, in assenza della persona interessata, potrebbe essere impossibile accedere, perdendo comunicazioni, notificazioni, non riuscendo ad effettuare pagamenti, ecc.
Sarebbe allora necessaria, oltre allo SPID professionale (che, peraltro, per la CIE non esiste) anche una vera e propria identità elettronica generale della persona giuridica.
Verso i servizi di wallet: cosa deve cambiare
Le cose divengono ancora più complicate ora che sono all’orizzonte i servizi di wallet: il wallet conterrà molte più informazioni rispetto all’identità elettronica ed è essenziale che le informazioni personali non siano confuse con quelle relative alla persona giuridica. Anche qui, non basta prevedere che esistano solo i wallet personali con attributi di rappresentanza delle persone giuridiche e sarebbe necessario uno sforzo progettuale per immaginare come possa essere “popolato” il wallet della persona giuridica: quali siano gli attributi che esso possa contenere.
Lo stesso vale per l’IT wallet che, essendo basato su CIE, partirà da uno schema identità nel quale l’identità elettronica delle persone giuridiche non è stata per nulla attuata.
Le criticità della proposta di Regolamento eIDAS2
La proposta di Regolamento eIDAS2, per quanto riguarda l’identità elettronica delle persone giuridiche è più dettagliata dell’attuale Regolamento eIDAS: stabilisce, tra l’altro, l’equivalenza e piena fungibilità tra la identità elettronica della persona giuridica e quella della persona autorizzata a rappresentarla. Già questo potrebbe essere un problema: le persone giuridiche possono avere varie tipologie di rappresentanti che, non necessariamente, hanno i medesimi poteri: l’amministratore delegato potrebbe non avere tutti i poteri del legale rappresentante e viceversa.
Se l’identità elettronica della persona giuridica (come sembra) va considerata sempre come identità plenipotenziaria, è un’occasione persa: l’identità dovrebbe essere parametrata ai poteri del rappresentante; se un amministratore delegato non può rappresentare la società in giudizio, con l’identità dovrebbe portare questa informazione e inibire l’accesso ai (futuri) servizi della giustizia basati sull’identità.
Sembra invece, dalla proposta di Regolamento eIDAS2, che i dati dell’identità che comunicherà il wallet, debbano essere parametrati per rappresentare “unicamente” e “persistentemente” la persona giuridica. Dunque, non pare vi possano essere set di dati differenziati in ragione della tipologia di rappresentanza.
Nei fatti – come anche avviene per lo SPID professionale – l’utilizzo del wallet persona giuridica implicherà la spendita di ogni potere di rappresentanza e così la firma elettronica utilizzando i dati del wallet.
La situazione sarà la stessa che avviene quando si riceve un atto/contratto cartaceo a nome della persona giuridica: occorrerà che chi lo riceve, attraverso i database pubblici camerali, verifichi la rappresentanza effettiva e i poteri di chi firma l’atto, ferma restando la responsabilità del firmatario che spende il nome della persona giuridica. Anche qui un’occasione persa per connettere i riscontri camerali al wallet.
Inoltre, essendo il wallet espressione della generale rappresentanza della persona giuridica, nelle organizzazioni più articolate, è presumibile che il suo utilizzo sia riservato al solo legale rappresentante dell’impresa o soggetto a procedure molto rigorose.
Conclusioni
Sembra però, al contempo, aprirsi la porta per servizi integrativi del wallet (e dell’identità elettronica) associati all’uso da parte della persona giuridica: proprio le caratteristiche mancanti al wallet della persona giuridica potrebbero essere integrate da piattaforme che meglio declinino le attribuzioni dell’identità della persona giuridica e si occupano delle necessarie verifiche e specificazioni dei poteri di chi la usa, in maniera da rendere più versatile questo strumento.
Non si dimentichi che il wallet ha valenza UE e, dunque, esso potrebbe diventare un importante elemento di garanzia per le transazioni commerciali transfrontaliere.
* Il presente articolo, pur rappresentando opinioni personali di chi scrive, deriva dal lavoro in corso di svolgimento per il progetto di ricerca IdeARe di LUISS DREAM avente ad oggetto lo studio di una piattaforma per la gestione dei rapporti tra pubblica amministrazione, privati e possessori di identità elettronica.