Il Ministro della Funzione Pubblica Marianna Madia ha fatto sabato 21 novembre al convegno torinese “Italian Digital Day”, un importante annuncio: entro dicembre sarà discusso in Consiglio dei Ministri il “decreto PIN unico”. “PIN unico” è il noto slogan governativo per descrivere in maniera semplice la funzione del sistema SPID.
Volendo individuare tecnicamente il provvedimento di cui ha parlato il Ministro e guardando dunque le norme mancanti del sistema SPID, il decreto annunciato sembra non poter essere altro che l’attuazione della L. 124/2015 (la c.d. “Legge Madia” sulla riforma della P.A.) (da Funzione Pubblica confermano ad Agendadigitale.eu, ndr.).
In particolare lo specifico decreto che – nell’ambito dell’assieme che costituirà la “Carta della cittadinanza digitale”, si dovrà occupare di “coordinare e razionalizzare le vigenti disposizioni di legge in materia di strumenti di identificazione, comunicazione e autenticazione in rete con la disciplina di cui all’articolo 64 del CAD e la relativa normativa di attuazione in materia di SPID, anche al fine di promuovere l’adesione da parte delle amministrazioni pubbliche e dei privati al predetto SPID” (questa la delega al Governo sul punto).
Guardando al testo di Legge della delega, è possibile formulare alcune ipotesi su quale sarà la funzione di tale decreto. La delega parla di coordinamento e razionalizzazione delle vigenti disposizioni di legge.
E’ un dato di fatto che la previsione di SPID, le relative definizioni, le modalità d’uso, gli effetti giuridici non sono al momento previsti nell’ordinamento, se non in alcune norme del CAD (Codice dell’Amministrazione Digitale) relative all’autenticazione dei siti della PA.
E’ inoltre un dato di fatto che anche le norme del CAD che si occupano di istituire SPID contengono alcune previsioni di difficile interpretazione, che sarebbe utile chiarire per evitare problemi applicativi.
Ad esempio, l’art. 64 comma 2-ter del CAD descrive il sistema SPID come “insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale (…) gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, (…)”. E’ invece evidente che il modello di servizio adottato non prevede la messa a disposizione delle credenziali per conto delle pubbliche amministrazioni ma, direttamente, per conto dello Stato in un regime per cui il gestore SPID esercita un servizio pubblico.
A partire da modifiche come quella di cui sopra, che sarebbe auspicabile, il compito cui assolverebbe un decreto come quello annunciato è dunque anzitutto di “far posto allo SPID” nell’ordinamento.
Il CAD infatti prevede che tra circa 24 mesi le Pubbliche Amministrazioni potranno dare accesso ai propri servizi solo mediante SPID, occorre allora mettere mano a definizioni e procedure, contenute in norme e regolamenti che le Amministrazioni non possono autonomamente cambiare pena incoerenze di sistema. I temi (potenzialmente) sul tavolo e da risolvere sono tanti.
Proviamo ad ipotizzarne alcuni.
Pensiamo ad esempio ai portali che svolgono funzioni pubbliche (es. gli stipendi della PA, le istanze online per scuola ed altre amministrazioni) e cui si accede con credenziale fornita dall’Amministrazione. Sarà possibile inibire l’accesso al pubblico dipendente che non si sia dotato di SPID entro i 24 mesi? In che termini? Dovrà l’Amministrazione premurarsi di procurare la nuova credenziale? Vale invece un’interpretazione per cui SPID riguarda i servizi ai cittadini ma non i servizi interni della PA ai propri dipendenti?
Ulteriore tema su cui la delega assegna poteri di decretazione è quello della promozione dell’adesione da parte dei privati delle PA. Si parla qui di soggetti che entrino a far parte della filiera SPID.
Lato gestori dell’identità, pensiamo all’opportunità di chiarire in che misura le regole del Codice dei Contratti Pubblici si applicano alla procedura di accreditamento dei gestori SPID. Le norme sull’accreditamento sinora disponibili sono poche e, certamente, i mesi sin qui trascorsi, tra istanze di chiarimento e ricorsi al TAR, dimostrano l’esigenza di norme che completino il quadro della procedura. Vi è anche da dire però che le procedure sono in corso e alcune domande sono, per quanto noto, state effettuate dall’Agid. Sembrerebbe dunque da escludere che si possano apportare modifiche in profondità alla disciplina dell’adesione a SPID stravolgendo quanto sin qui noto. Vi è però da dire però che una procedura di accreditamento più chiara e una più certa collocazione normativa della stessa beneficerebbe con ogni probabilità tutto il sistema senza dunque costituire una criticità.
D’altra parte alla delega di cui alla Riforma Madia si accompagna la necessità di adattare l’ordinamento italiano alle regole europee cogenti in materia di identità elettronica e servizi fiduciari, derivanti dal c.d. Regolamento eIDaS 910/2014, da qualche tempo in vigore senza troppo clamore. I relativi poteri essendo diretta conseguenza del Regolamento Europeo sopra citato non richiedono delega.
E’ importante notare le regole eIDaS sono state approvate non mediante il consueto strumento della Direttiva, che poi lo Stato membro può attuare attraverso una propria legge, ma mediante un Regolamento, una norma da subito vigente ed obbligatoria per tutti, che si può portare davanti a un giudice e che ha per noi valore elevatissimo, equiparato alle norme costituzionali. Insomma è una cosa seria e ogni giorno che passa senza che vi siano in Italia le condizioni per rispettarle è una violazione del diritto europeo. La necessità di anticipare a dicembre il decreto sul “PIN unico” probabilmente passa anche da qui.
La possibilità di perfezionare il sistema SPID coordinandolo con le regole europee di eIDaS è un’occasione da non perdere in quanto nei prossimi mesi i meccanismi previsti dal Regolamento inizieranno a funzionare in tutta la UE dato il compiersi di una serie di scadenze per l’attuazione da parte dei vari Stati e si dovrà ragionare dei servizi a livello sovranazionale.
La logica originaria di SPID era infatti quella di consentire una rapida partenza anticipando i meccanismi europei, cosa che non è stata possibile. Il ritardo prevede ora l’adeguamento ab origine a quel che sarebbe dovuto avvenire secondo i piani originari in una “seconda fase”, cioè la valenza paneuropea dell’identità.
Il fatto che, a parte pochi addetti ai lavori e gli informatissimi lettori di Agendadigitale.eu non vi sia percezione in molte imprese dell’ICT e del mondo telco dell’esistenza di queste regole e dei cambiamenti che determineranno preoccupa. In alcuni casi inoltre l’informazione sul regolamento esiste ma il suo contenuto non è chiaro e viene sottovalutato.
Sembra dunque il caso di scrivere qualche parola sui contenuti del Regolamento e, soprattutto, su come l’Italia potrebbe cogliere l’opportunità presentata dall’avvento dei servizi da esso previsti.
Il Regolamento UE 910/2014 (c.d. “EIDaS”) da una parte innova le regole dei c.d. servizi “fiduciari” che erano in precedenza contenute nella Direttiva 1999/93/CE che viene così abrogata: vengono ora previsti i servizi di firma elettronica, in varie tipologie, certificati elettronici, sigilli elettronici, validazione temporale e il nuovo servizio di recapito elettronico certificato; dall’altra disciplina i servizi di identificazione elettronica, prevedendo le regole alle quali i servizi di identità digitale dei singoli Stati potranno e dovranno essere riconosciuti da ogni Stato membro UE. Il decreto di dicembre potrebbe anticipare alcune norme relative a quest’ultima o, addirittura, contenere già l’adeguamento complessivo al Regolamento UE eIDaS.
Il Regolamento, inoltre, prevede che vi sia un organismo di vigilanza in ogni Stato UE il quale dovrà avere gli opportuni poteri – anche sanzionatori – poiché, come si dirà, i singoli Stati sono direttamente responsabili dei danni causati dell’uso delle identità elettroniche rilasciate ed utilizzate in violazione delle norme ivi previste. In Italia sembrerebbe di poter prevedere che tale organismo coinciderà con l’Agid, dato che è l’organismo che già ora cura gli accrediti e, più in generale, la vigilanza sui servizi fiduciari. Sarebbero però da adeguare poteri e procedure sanzionatorie come previsto dal Regolamento.
I servizi previsti dal Regolamento eIDaS potrebbero così anche essere oggetto del decreto di dicembre.
Ad esempio il nuovo servizio di recapito certificato consentirà di consegnare una comunicazione elettronica con valore legale in Italia e in qualsiasi Stato membro UE. Attualmente in Italia è utilizzata, prevalentemente in ambito professionale e societario e tra alcune categorie di dipendenti pubblici, la posta elettronica certificata che, tuttavia, non mantiene il valore legale e spesso non riesce nemmeno ad essere letta a causa del suo particolare formato quando si varcano i confini nazionali. Un utente di un servizio di recapito certificato di qualsiasi Stato UE potrà effettuare tutte le operazioni consentite agli attuali indirizzi PEC e non sarà dunque necessario avere un servizio di recapito certificato di un provider italiano per inviare e ricevere comunicazioni legali da/per l’Italia. La PEC potrà senz’altro rimanere vigente ma il suo utilizzo sarà affiancato dal nuovo sistema con conseguenze che si potranno immaginare.
Occorre poi adeguare il CAD ai cambiamenti dei servizi di firma elettronica, nuova denominazione dei servizi tra cui trova collocazione l’attuale “firma digitale” diffusa in Italia, ma che sono anche di ulteriori tipi e consentono di produrre un documento digitale firmato, con vari livelli di identificazione del firmatario, in tutta la UE. Tali servizi saranno erogati da parte dei “prestatore di servizi fiduciari qualificati” che andranno a sostituirsi ai nostri attuali “certificatori” con un apposito regime transitorio che prevederà la progressiva conversione degli accrediti in “qualifiche” dopo la verifica dei requisiti come disposto dal Regolamento eIDaS ed anche la transizione deve essere regolata, così come devono essere adeguate le definizioni attualmente presenti nell’ordinamento. Firma elettronica in Italia, attualmente, è cosa molto diversa da quanto il Regolamento eIDaS chiama “firma elettronica”.
Occorrerà allora stabilire quale sia il rapporto tra Recapito Certificato, SPID (e altre ID digitali UE) e firma elettronica, adeguando le regole sui documenti digitali e sulla loro ammissibilità quali prove in giudizio.
Il Regolamento stabilisce infatti che non si può rifiutare l’ammissione di un documento digitale (tra cui rientrano anche gli audiovisivi) come prova per il solo motivo della forma elettronica e ciò chiama in causa le attuali regole sui documenti elettronici attuative del CAD e le regole del processo telematico, le quali prevedono alcune limitazioni in questo senso (ad esempio dei formati che si possono produrre). Questo porta l’oggetto della riforma anche verso il campo del diritto civile e processuale, il quale non è esente dalle conseguenze e dovrà adeguarsi a recepire documenti elettronici formati all’estero prevedendo appositi criteri più puntuali di quelli attualmente in vigore.
Riguardo alla responsabilità, i servizi di identità elettronica prevedono che gli Stati che notificano alla Commissione UE ai sensi del Regolamento EIDaS i propri sistemi, tra i quali potrebbe rientrare la nuova identità digitale SPID.
Il Regolamento inoltre, prevede che ogni Stato possa notificare il proprio regime di identità elettronica (nel nostro caso SPID) come identità elettronica valida in tutta la UE.
La norma che più colpisce, tuttavia, è quella che prevede che il regime notificato comporta responsabilità dello Stato per i danni causati agli utenti per la violazione degli obblighi del Regolamento nel rilascio delle identità elettroniche (la denominazione UE è “elettroniche” non digitali). Altresì lo Stato è responsabile per i danni causati dalla impossibilità di usare le identità digitali rilasciate da Stati UE e notificate per utilizzare i servizi online della PA. Anche le norme sull’uso delle identità UE per i servizi online dovrebbero dunque essere emanate con urgenza, poiché alcuni Stati le stanno già rilasciando. Anche questo ci porta alla necessità di un organo di vigilanza “forte”.
I temi del Regolamento eIDaS sono molti altri e richiederanno, nell’ambito del decreto di dicembre o comunque dei prossimi mesi, un riesame di varie disposizioni del CAD e delle relative norme attuative. Torneremo sul punto non appena saranno più chiare le intenzioni del Legislatore.
* l’Autore è componente del Tavolo Permanente per l’Innovazione e l’Agenda Digitale, le opinioni ed analisi espresse nel presente articolo sono tuttavia personali dell’Autore e non sono tuttavia correlate ai lavori del Tavolo o ad esso riconducibili in alcun modo.
