Il nuovo l Codice dell’amministrazione digitale (CAD – D.Lgs. 7 marzo 2005, n. 82) contiene forti novità per qualificazione e accreditamento di soggetti come gestori PEC, i gestori dell’identità SPID e i conservatori di documenti informatici.
Grandi impatti sono prevedibili in particolare per la rivoluzione sulle certificazioni, che ora diventano solo “eventuali”. Eppure non se ne parla abbastanza. Vediamo che c’è in gioco.
Cad e servizi fiduciari
In questo decreto sono modificate le regole per la qualificazione e accreditamento dei soggetti “che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale di cui all’articolo 64”. L’articolo 29, comma 1 del CAD prosegue stabilendo che questi soggetti “presentano all’AgID domanda di qualificazione, secondo le modalità fissate dalle Linee Guida”. Il comma prosegue e si conclude stabilendo che “I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee Guida”.
Questo comma ci consente una prima analisi su quanto stabilito in materia dal Legislatore. E’ utile ricordare che l’articolo 64 del CAD fa riferimento allo SPID e che il gestore dell’identità digitale è quello che intende operare in tale ambito. Le Linee Guida rappresentano l’evoluzione delle storiche regole tecniche come stabilito nel vigente articolo 71 del CAD.
Ritornando alle questioni analitiche sottolineiamo che il Legislatore distingue tra qualificazione e accreditamento. E’ ragionevole quindi ritenere che per la gestione della PEC e dell’identità digitale si faccia riferimento al Considerando 25 del Regolamento 910/2014 (eIDAS)
“(25) E’ opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quali servizi fiduciari qualificati”.
Questa scelta, se confermata nelle Linee Guida, è ragionevole alla luce della omogeneità ad oggi già applicata tra le regole di eIDAS e quelle del CAD previgente (quest’ultime regole si applicano fino all’emissione dei nuovi provvedimenti attuativi).
Condivisibile è anche la scelta di mantenere un carattere esclusivamente nazionale per la conservazione digitale che rimane “accreditata”. Questo alla luce della differenza esistente tra le regole nazionali sulla conservazione del documento informatico e la “Long Time Data Preservation” stabilita nell’articolo 34 del regolamento eIDAS.
Le modifiche di forte impatto a qualificazione e accreditamento
La modifica di forte impatto rispetto all’esistente è nell’articolo 29, comma 2.
Chi richiede la qualificazione o l’accreditamento deve soddisfare i requisiti dell’articolo 24 del regolamento eIDAS (al quale si rinvia per i dettagli del testo) e “deve avere natura giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi”.
Un decreto attuativo individuerà i predetti requisiti, ma possiamo già affermare che le regole di qualifica e accreditamento utilizzate fino ad oggi sono da modificare.
Il primo tema è quello del capitale sociale per il quale non sono più stabilite regole e cifre. E’ presumibile che il richiedente possa appartenere al livello minimo richiesto per le società di capitali (Srl semplificata – nota come Srl a un euro). La responsabilità civile per danni può essere gestita tramite un’assicurazione di responsabilità civile appropriata. Questo è stabilito già nell’articolo 24, paragrafo 2, lettera c) del regolamento eIDAS.
Più dirompente risulta la scelta del Legislatore di eliminare le certificazioni che diventano “eventuali”.
Con questa regola non sono più obbligatorie le valutazioni di conformità rilasciate dagli organismi di valutazione della conformità.
In questo modo il lavoro di AgID, Accredia e dei numerosi organismi che hanno aderito alle precedenti regole scompare.
Questo è un fatto negativo perché AgID dopo aver sollecitato la nascita di queste specifiche professionalità con il ruolo indispensabile di Accredia, deve tener conto di questa scelta del Legislatore che azzera tutto senza specifica esigenza o necessità esterna.
Naturalmente nulla può cambiare per i servizi fiduciari qualificati stabiliti nel regolamento eIDAS ai quali si applica l’articolo 21. Tutto cambia per i gestori PEC, i gestori dell’identità SPID e i conservatori di documenti informatici.
Le nuove regole possono comunque sfruttare la parola “eventuali” per mantenere l’opzione della certificazione. Questo manterrebbe continuità con le regole previgenti e ragionevole efficacia e efficienza delle regole di qualifica e accreditamento (ma anche vigilanza) soprattutto in termini di qualità e sicurezza dei servizi offerti.
