Il regolamento UE n. 910/2014 (Regolamento eIDAS) è stato pubblicato il 20 agosto 2014 sulla Gazzetta Ufficiale europea ed è direttamente applicabile in Italia e tutti i Paesi dell’UE. Per la parte che riguarda i servizi fiduciari è pienamente applicabile dal primo luglio 2016 mentre l’obbligo di mutuo riconoscimento dei regimi di autenticazione nazionali notificati sarà a partire dal 29 settembre 2018.
Essendo un regolamento europeo direttamente applicabile in virtù dei trattati costitutivi dell’UE non sarebbe stato strettamente necessario alcun intervento legislativo di recepimento. Poiché però il CAD (Codice dell’amministrazione digitale, decreto legislativo 7 marzo 2005, n. 82) è richiamato da molteplici provvedimenti normativi è il punto di riferimento il Italia su tutti i temi oggetto del Regolamento eIDAS: vi è chiaramente una necessità di coordinamento per garantire un quadro giuridico univoco e coerente in materia.
Questo coordinamento è stato pertanto uno degli obiettivi principali dell’aggiornamento del CAD avvenuto mediante il decreto legislativo 26 agosto 2016, n. 179.
La ridondanza tra i due provvedimenti è da evitare in quanto crea chiaramente confusione, In questo senso è stata opportuna l’eliminazione dal CAD delle definizioni già presenti in eIDAS.
Documento informatico e firma digitale sono due definizioni tipicamente italiane che sono rimaste per evitare di dover modificare un numero estremamente elevato di provvedimenti che utilizzano queste definizioni. Mentre nel caso del documento informatico si tratta di una definizione che specializza la definizione di documento elettronico di eIDAS ma non la contraddice, nel caso della firma digitale si tratta di una firma elettronica qualificata basata su una specifica tecnologia che contrasta con la neutralità tecnologica di eIDAS. Ad oggi la firma elettronica qualificata si basa esclusivamente sulla tecnologia individuata nella definizione di firma digitale ma nessuno garantisce che questo possa rimanere valido in futuro. In questo caso sarebbe necessario un intervento per evitare che possa essere attivata una procedura di infrazione.
Sempre in tema di firma elettronica le novità introdotte sono il soddisfacimento del valore di forma scritta dato al documento cui è apposta una firma elettronica semplice ma con valore probatorio liberamente valutabile in giudizio tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento. Non si tratta quindi automaticamente di una forma scritta ad substantiam ma certamente risponde al principio di non discriminazione del documento elettronico rispetto a quello cartaceo stabilito da eIDAS.
Nulla cambia per firma elettronica avanzata e qualificata (o digitale) che mantengono il loro valore probatorio. In caso di contesti europei occorre però rimarcare che solo la firma elettronica qualificata si giova della presunzione di equivalenza con la sottoscrizione “tradizionale” in tutta l’UE. Per la firma elettronica avanzata non c’è un riconoscimento automatico al di fuori del nostro Paese anche se non si vi sono preclusioni.
Si ritiene che le modifiche introdotte al CAD in riferimento alla firma elettronica qualificata siano abbastanza coerenti col Regolamento eIDAS, in alcune parti forse un po’ ridondanti in quanto ricalcano quanto già previsto da eIDAS. Sarebbe invece stato opportuno valorizzare il sigillo elettronico qualificato, simile alla firma elettronica qualificata ma apposta da persona giuridica e che fornisce presunzione legale di origine ed integrità.
Oltre al caso della fatturazione elettronica, che però sarà oggetto prevedibilmente di provvedimenti adottati dal MEF, potrebbe utilmente essere introdotta a supporto della certificazione di integrità nell’ambito di processi digitali ed per l’emissione di certificazioni da parte della PA.
Altro concetto importante della riforma del CAD è l’introduzione del concetto di domicilio digitale, che inerisce esclusivamente alle comunicazioni e alle notifiche, quale indirizzo di posta elettronica certificata o di altro servizio elettronico di recapito certificato qualificato eIDAS basato su standard o norme riconosciute nell’ambito dell’unione europea. Ove dichiarato e inserito nell’Anagrafe nazionale della popolazione residente-ANPR diventa canale esclusivo di comunicazione dalle PA ai privati.
In questo ambito lascia molto perplessi la definizione di cui all’articolo 1 comma 1-ter che di fatto equipara la PEC a qualsiasi servizio di recapito elettronico certificato, anche se non qualificato.
L’effetto potrebbe essere devastante per due ordini di motivi:
si perdono tutte le garanzie poste alla base della PEC poste in capo ai gestori: regole tecniche certe, vigilanza e capitale sociale, col rischio da un lato di un far west nell’ambito dei servizi di recapito, dall’altro di costi anche significativi in capo alle PA che si troverebbero costrette ad accettare;
si crea oggettivamente un problema di disparità di trattamento tra i gestori PEC, sottoposti a costi addizionali per mantenere l’accreditamento AgID, e fornitori non soggetti a tali costi ma che di fatto si troverebbero sullo stesso piano dei gestori PEC.
Ritengo che il motivo per il quale sia stato introdotto questo comma sia quello di aggirare i vincoli di eIDAS che non consentono di introdurre vincoli specifici (come lo è l’accreditamento AgID) sui servizi non qualificati, credo però che siano stati ampiamente sottovalutati gli effetti, si danneggerebbero inutilmente i gestori PEC e si potrebbe arrivare anche alla scomparsa di questo servizio che in chiave europea non ha nessun riconoscimento specifico.
La soluzione ottimale (adottata in Germania dove c’è un servizio di recapito nazionale simile) sarebbe quella di rendere la PEC un servizio qualificato ai sensi eIDAS: da un lato si darebbe un vantaggio ai gestori PEC che amplierebbero il proprio potenziale mercato ottenendo una qualificazione spendibile in tutta l’UE, dall’altro si eviterebbe di aprire la strada a servizi di cui non si potrebbe garantire a priori l’affidabilità, mancando la possibilità di una vigilanza ex ante.
Ciò che è necessario introdurre per far evolvere la PEC verso un servizio qualificato è l’identificazione certa dei titolari delle caselle che potrebbe beneficiare dell’autenticazione SPID di livello 2 o 3.
Un ultimo punto su cui si richiama l’attenzione è la possibilità di “firmare” delle istanze mediante autenticazione SPID: la formazione di documenti con questa modalità richiede l’acquisizione inequivoca della volontà del titolare della credenziale. Identificazione e sottoscrizione devono essere fasi ben distinte ma certamente ci sono già oggi esempi con cui si può rispondere pienamente a questo requisito, ad esempio il caso della firma remota dove l’identificazione ed autenticazione del soggetto attiva la chiave privata che si trova presso il fornitore del servizio, con cui viene creata la firma elettronica qualificata.
