Il parere del Consiglio di Stato arriva dopo le numerose critiche mosse da associazioni ed esperti del settore, rimaste sostanzialmente inascoltate da parte del Governo: il testo predisposto, in effetti, oltre ad apparire in eccesso di delega, rischiava di riportare nel caos alcune materie che proprio negli ultimi anni hanno iniziato a consolidarsi dal punto di vista normativo, favorendo anche lo sviluppo di nuovi settori del mercato.
Il Consiglio di Stato è intervenuto duramente, criticando (a nostro parere giustamente) il testo prodotto dal Governo e dando evidenza di aver ascoltato e fatto proprie – contrariamente al legislatore – le numerose critiche avanzate da alcune associazioni di settore e dalla stessa ANORC (Associazione Nazionale degli Operatori e dei Responsabili della Conservazione), critiche espressamente menzionate dal Consiglio di Stato in riferimento alle proposte di modifica agli art. 21, 43 e 44 del CAD.
Parole molto dure sono state utilizzate per sottolineare l’assenza (nella relazione ma, come si dirà più avanti, anche nel testo di modifica alle disposizioni) di un indispensabile approfondimento delle problematiche connesse alla digitalizzazione del nostro Paese e di adeguate motivazioni sulle scelte effettuate.
SPID
Uno dei punti maggiormente criticati dalla Commissione speciale riguarda lo SPID e i requisiti individuati per coloro che intendono svolgere il ruolo di identity provider, confermando tutte le perplessità e le critiche espresse dalle Associazioni di categoria (su tutte Assoprovider e ANORC). Queste critiche erano state riconosciute come fondate anche dal TAR del Lazio, Sezione Prima, già con la sentenza n. 9951 del 17 giugno 2015, che aveva annullato le disposizioni del DPCM 24 ottobre 2014, in cui si richiedeva il requisito del possesso di un capitale sociale di 5 milioni di euro agli identity provider che avessero voluto accreditarsi al sistema SPID. Questa sentenza poi era stata confermata dal Consiglio di Stato. Nonostante la bocciatura da parte dei giudici amministrativi, le disposizioni di analogo tenore erano state comunque inserite dal Governo nello schema di modifica al CAD.
Nel parere appena reso, dunque, il Consiglio di Stato ha ritenuto “sproporzionato” il requisito che richiede agli identity provider di “avere forma giuridica di società di capitali”, nonché un “capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione alla attività bancaria in qualità di banca di credito cooperativo, ai sensi dell’articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385”, fissato dalla Banca d’Italia, con la circolare n. 285 del 17 dicembre 2013, in 5 milioni di euro.
La Commissione speciale ponendo in evidenza come tale requisito avesse appunto suscitato contrarietà anche nelle associazioni di categoria – secondo le quali l’elevato capitale sociale avrebbe prodotto l’effetto di escludere dalla possibilità di accreditamento alcune imprese che già operano nel settore – invitando il Governo a cercare un equilibrio tra l’assicurare un servizio conforme agli standard individuati dall’Amministrazione e non escludere dal mercato società affidabili che non dispongano del capitale societario richiesto.
Ulteriori critiche riguardano la sostenibilità economica di alcune delle riforme proposte: la diffusione della cultura digitale (art. 9), lo sviluppo delle politiche di formazione (art. 12), e l’attribuzione all’AgID di rilevanti e nuovi compiti (art. 14 bis) rendono “non perseguibile l’obiettivo di procedere nell’intervento normativo de quo a costo zero”, come più volte sottolineato da ANORC, né nel testo vengono individuate le “modalità con cui reperire le risorse necessarie per realizzare gli obiettivi programmati”, con grave pregiudizio, quindi, per la loro stessa attuabilità.
Documenti informatici e forma scritta
La Commissione, poi, si sofferma sulle proposte di modifica all’art. 21 del CAD, proposte già da noi fortemente criticate in quanto riconoscere a qualsiasi tipo di firma elettronica il soddisfacimento della forma scritta risulta molto pericoloso, oltre che giuridicamente scorretto. Il soddisfacimento del requisito della forma scritta, infatti, fino ad oggi è stato riconosciuto solo a quei documenti informatici creati utilizzando tecniche in grado di garantire qualità, sicurezza, integrità e immodificabilità. Se tali caratteristiche sono certamente soddisfatte da un documento sottoscritto con firma digitale o firma elettronica avanzata (soluzioni tecnicamente in grado di offrire le garanzie richieste), lo stesso non può dirsi a priori in relazione a un documento sottoscritto con una firma elettronica semplice. Anche su questo punto la Commissione “invita l’Amministrazione a chiarire le motivazioni della decisione assunta, tenendo conto che il regolamento eIDAS non reca disposizioni su tale tematica e che l’esigenza di semplificazione sottesa alla disposizione in esame potrebbe avere riflessi non positivi sullo svolgimento dell’attività processuale.” Occorre comunque sottolineare che sulla forma scritta digitale la scelta legislativa contenuta nella bozza del CAD, se correttamente motivata, potrebbe trovare un sostegno giuridico, nel momento in cui si provi a legare la capacità di documentare alle modalità di staticizzazione del formato documentale scelto e quindi alle tecniche di formazione, gestione e conservazione dei documenti definite dalle regole tecniche. Quindi il documento informatico potrebbe considerarsi soddisfattivo della forma scritta a prescindere dalla firma elettronica utilizzata, purché sia correttamente formato e conservato, e questo in linea con la definizione di documento elettronico attualmente contenuta nel Regolamento eIDAS (art. 3, n. 35, “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”).
Il nuovo impianto che sembra emergere da questa proposta di modifica del CAD andrebbe letto, quindi, anche alla luce dell’intervenuta emanazione delle Regole tecniche sulla formazione del documento informatico, adottate con il DPCM 13 novembre 2014, che ha contribuito, senza dubbio, non solo a completare il quadro normativo, ma anche a segnare una nuova cesura rispetto a una concezione del documento informatico come “carta informatica”, in favore di una concezione più “dinamica” dello stesso, di fatto maggiormente rispondente all’esigenza di attribuire dignità e rilevanza giuridica a quei “flussi di bit” di cui ora è sancita l’idoneità a costituire un documento (informatico), ai sensi dell’art. 3 delle citate Regole tecniche. E proprio in tale prospettiva sembrano dunque inserirsi le nuove disposizioni volte a valorizzare le caratteristiche oggettive peculiari del documento informatico e della firma elettronica, rispetto ai consueti concetti (propri del mondo cartaceo) di documento avente forma scritta che sia garantito nella sua provenienza da una sottoscrizione; concetti con i quali i giuristi si sono finora confrontati per attribuire un valore probatorio alle diverse fonti documentali.
Forti perplessità suscita anche la proposta di modifica dell’art. 22 del CAD, in base alla quale viene preclusa qualsiasi possibilità di disconoscimento delle copie per immagini su supporto informatico di documenti analogici nei casi in cui si siano seguiti processi o si siano utilizzati strumenti “che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto”. Sul punto la Commissione speciale invita il Governo “a valutare la possibilità di modificare l’articolo in esame, al fine di rendere comunque possibile il disconoscimento delle copie per immagini su supporto informatico di documenti analogici in specifiche e limitate fattispecie”, in considerazione della possibilità che, nonostante l’utilizzo di tecniche e processi consolidati, persiste sempre la possibilità che si verifichino anomalie tecniche in relazione alle quali non può essere negata ex lege la possibilità di disconoscimento di una copia. Questa impostazione ci sembra corretta: non si può affidare a un processo, pur certificato, la certezza assoluta e indiscutibile dal punto di vista giuridico della corretta conformità di una copia.
Continuità operativa e disaster recovery
Il Consiglio di Stato richiede, poi, chiarimenti circa la proposta di abrogazione dell’art. 50-bis (“Continuità operativa”) del CAD, che prevede l’obbligo per le pubbliche amministrazioni di predisporre appositi piani di emergenza (piano di continuità operativa e piano di “disaster recovery”) per superare eventuali situazioni di criticità dei sistemi informatici, in considerazione della “crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione”. Tale proposta di abrogazione è stata censurata anche da ANORC che ha spesso sottolineato sullo stesso tema la perdurante mancanza delle Regole tecniche di cui all’art. 51 del CAD, che dovrebbero stabilire le modalità atte a garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche e che risultano imprescindibili per garantire la sicurezza informatica dei dati e documenti di natura pubblicistica che gli enti gestiscono.
In considerazione dei potenziali rischi, la Commissione speciale invita l’Amministrazione a chiarire se le tematiche precedentemente disciplinate dall’art. 50-bis del CAD debbano ritenersi ricomprese nel novellato art. 51 del Codice con il quale è stato previsto che “Agid attua, per quanto di competenza, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica”, chiedendo di prevedere, invece, in caso negativo, “un apposito articolo che rechi puntuali disposizioni in materia di continuità operativa e di disaster recovery”.
Conservazione
Il Consiglio di Stato, poi, si sofferma sulle modifiche previste agli articoli 43 e 44 del CAD. In particolare, con l’introduzione di un nuovo comma 1 bis all’art. 43, il Governo ha previsto che “se il documento informatico è conservato per legge da una pubblica amministrazione, cessa l’obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere accesso ai sensi delle regole tecniche di cui all’articolo 71”. Tale articolo è stato già oggetto di aspre critiche da parte di ANORC che ha peraltro formalmente invitato il Dipartimento della Funzione Pubblica a modificare quanto proposto per evitare pericolose distorsioni nei rapporti PA/cittadino, laddove l’apparente semplificazione che si vuole introdurre, oltretutto non contemplata in alcun modo dal Regolamento eIDAS, spingerebbe il cittadino a non possedere prova dell’esistenza di un determinato documento, confidando che esso sia correttamente conservato dall’amministrazione pubblica che, però, troppo spesso ancora non possiede i sistemi e le procedure idonee a tale scopo. Inoltre, se anche supponessimo che tutte le PA oggi abbiano sviluppato al loro interno dei sistemi di conservazione a norma di legge, allora si deve sempre e comunque garantire sin da oggi la possibilità di estrarre esemplari in originale garantiti dal sigillo della PA, in modo da dare davvero al cittadino la facoltà di conservare: diversamente si comprimerebbe di fatto il diritto dei cittadini di possedere i propri documenti, degradandolo in un semplice diritto ad accedere a dati non garantiti e controllabili.
Il Consiglio di Stato, addentrandosi, come mai prima, in una materia come quella della conservazione, commenta anche le modifiche all’art. 44 del CAD, con le quali vengono distinte le funzioni relative alla gestione dei documenti informatici da quelle relative alla conservazione di questi ultimi. Il Consiglio di Stato, come già osservato da ANORC, si chiede come mai si voglia abrogare la disposizione relativa al sistema di conservazione lasciando imprecisati i requisiti e le modalità attraverso le quali svolgere la conservazione dei documenti informatici. Quello che preoccupa fortemente ANORC e gli esperti del settore, infatti, è che una materia così delicata come quella della conservazione dei documenti informatici possa restare regolata solo dalla normativa secondaria (le Regole tecniche attualmente in vigore sono state approvate con DPCM 3 dicembre 2013), senza che i suoi principi generali trovino una corretta identificazione all’interno della normativa primaria. Il rischio, inoltre, è quello che la gestione del documento informatico possa essere confusa con la sua conservazione, laddove le due fasi risultano invece nettamente distinte per metodi e obiettivi, favorendo dunque un caos normativo che sicuramente non può giovare alla corretta organizzazione e gestione informatica dei sistemi documentali di amministrazioni pubbliche, aziende e privati.
Servizi digitali
Anche sulla disciplina prevista per l’utilizzo di SPID, CIE e CNS il Consiglio di Stato è stato molto critico: in merito alle modifiche agli artt. 64 e 65 del CAD, in effetti, ha rilevato che le nuove disposizioni, nella parte in cui disciplinano con adeguato grado di dettaglio lo SPID, non sembrano coordinarsi in maniera sufficientemente organica con gli altri strumenti attraverso i quali i soggetti privati possono interloquire con la pubblica amministrazione. Tale disciplina, infatti, non sembra raccordarsi con quella relativa alla PEC, circostanza questa di particolare rilevanza considerato che quest’ultima risulta un mezzo ordinario di relazione fra i cittadini e la pubblica amministrazione ai sensi dell’art. 48 del CAD. Le stesse norme, inoltre, sembrano in parte sovrapporsi con quelle relative alla carta di identità elettronica e alla carta nazionale dei servizi (art. 66 del CAD), creando una possibile duplicazione dei mezzi di accesso ai servizi resi in rete dalla pubblica amministrazione.
Alfabetizzazione digitale e chiarezza normativa
Oltre a tali rilievi di merito, il Consiglio di Stato pone in evidenza due obiettivi che il Governo sembra trascurare anche nello schema di modifica al CAD: il primo riguarda l’alfabetizzazione digitale e i successivi gradi più avanzati di educazione informatica, necessaria per superare sia il gap digitale del nostro Paese rispetto agli altri Stati membri dell’Unione Europea, sia il cosiddetto “digital divide”, che costituisce ancora oggi un fenomeno diffuso in relazione a specifiche aree geografiche e classi di età della popolazione. Pertanto “al fine accrescere l’alfabetizzazione, quindi, appare necessario che il Governo appronti, nei termini e con le modalità ritenute più opportune, un piano di formazione ed educazione digitale rivolto ai cittadini in aggiunta a quello previsto dal novellato art. 13 del CAD per i dirigenti e dipendenti pubblici”. Il secondo obiettivo è quello relativo all’incentivazione dei cittadini e delle imprese a considerare come effettivo il principio del “digital first”, in base al quale il digitale è il canale principale per tutte le attività amministrative: sul punto, i giudici di Palazzo Spada ritengono che quanto previsto dallo schema di modifica del CAD “non può essere ritenuto esaustivo poiché, sempre al fine di superare i possibili ostacoli all’effettiva applicazione della riforma, sarebbe necessario che il decreto legislativo indicasse con maggior precisione i tempi di applicazione della riforma stessa”.
Da ultimo, dal Consiglio di Stato arriva al legislatore un severo invito a redigere i testi normativi con maggiore attenzione alla sistematicità e alla definizione rigorosa (anche delle finalità). Nello specifico, la Commissione speciale ha osservato che il testo del provvedimento dovrebbe avere in alcuni punti del suo articolato – come ad esempio nella parte relativa alle definizioni contenute nell’art. 1 del decreto legislativo che modifica l’art. 1 del CAD – un linguaggio normativo più chiaro, poiché le norme del CAD si rivolgono a una collettività non sempre munita delle necessarie conoscenze tecnico-informatiche. Questa mancanza di chiarezza nella redazione delle norme potrebbe limitare, infatti, l’esercizio dei diritti digitali dei cittadini e delle imprese.
Nella stessa prospettiva, il Consiglio di Stato ha sottolineato che il decreto legislativo in questione dovrebbe assolvere in maniera più puntuale alla sua funzione di Codice dell’Amministrazione digitale quale raccolta di norme disciplinanti tale branca del diritto, evidenziando che il medesimo è invece privo degli opportuni riferimenti alle discipline sostanziali a esso collegate, quali ad esempio quelle relative al processo telematico, al diritto di accesso e alla trasparenza dell’azione amministrativa.
In definitiva, trattandosi di un parere consultivo di natura interlocutoria, le osservazioni critiche espresse dal Consiglio di Stato alla proposta di modifica al CAD non sono vincolanti per il Governo, tuttavia la relativa valenza politica e di moral suasion sono di estremo rilievo e ci auguriamo che sortiscano gli effetti sperati.
