In questo complesso periodo di emergenza coronavirus, complice anche qualche spunto di riflessione da conversazioni con aziende alle prese con difficoltà operative, ho riflettuto sul tema delle firme elettroniche e del loro rapporto con i sistemi di identità elettronica sovrana di cui l’Italia dispone, Spid e CIE. Se dobbiamo affrontare un periodo, più o meno lungo, in cui sarà “meglio” fare le cose a distanza, nell’attesa che diventi semplicemente “più comodo” fare le cose a distanza, gli strumenti di identità e di firma sono gli ingredienti fondamentali della soluzione che occorre mettere in campo.
Non è ovvio ciò, anzi per comprendere la modalità occorre la pazienza di seguire un ragionamento tra il tecnico e il giuridico che cercherò di semplificare per quanto possibile.
Identità digitali, il contesto attuale
Da una parte abbiamo strumenti di identità elettronica che sono stati istituiti ed attivati con enormi sforzi del Legislatore, delle istituzioni e degli operatori del settore, per poi essere – di fatto – quasi abbandonati, a livello di comunicazione istituzionale e di spinta delle P.A. all’adozione (in pochissimi casi c’è stata l’imposizione dell’obbligo del cittadino di accedere tramite SPID e mai dell’obbligo della P.A. di adottarla) e nonostante questo, raggiungere una diffusione di tutto rispetto, con oltre 6.000.000 di identità rilasciate e oltre 6.000.000 di utilizzi al mese.
Un esempio di quello che io chiamo il “paradosso” di SPID è il seguente: lo Stato ha istituito SPID, ha fatto in modo che le principali PA e Comuni (almeno quelli) lo adottassero, ha istituito la piattaforma Pago PA per i pagamenti pensata per funzionare meravigliosamente assieme a SPID e il risultato è che il cittadino che riceve una cartella esattoriale o una multa e, non essendo in casa, vede arrivare a casa solo la comunicazione che la stessa è depositata “nella casa Comunale” potrebbe, avendo SPID, rimanere a casa; accedendo con SPID al Comune o all’Agente della riscossione potrebbe consultare la multa o la cartella e poi, sempre con SPID, pagarla. Questo procedimento pare essere un segreto gelosamente custodito dalle istituzioni perché le comunicazioni che arrivano al cittadino esortano caldamente a ritirare il cartaceo presso la Casa Comunale senza farne parola. Gli strumenti di identità però riguardano solo, per ora, l’autenticazione: io mi presento al sito della P.A. e dico chi sono… non posso esprimere la mia volontà… per quello ho necessità di uno strumento dispositivo come la firma.
I professionisti hanno ormai una certa familiarità con la c.d. “firma digitale”, una firma elettronica che dal punto di vista legislativo si dice “qualificata” e può dunque essere spesa in Italia e nell’Unione Europea nei rapporti con qualunque soggetto. Ha il difetto di essere complessa da ottenere e, per certi versi, anche da utilizzare: occorre installare specifico software, avere familiarità con i formati di firma dei file (Pades/Cades), ecc. Un professionista che ha compreso come si usa la firma digitale si trova ad usarla spesso anche per propri adempimenti, molto spesso anche in questi giorni, ma – come ripeto – è uno strumento che normalmente un normale cittadino non usa.
I non addetti ai lavori possono aver sentito parlare di “firma digitale” ma spesso non conoscono l’esistenza della c.d. firma avanzata, anche se poi – nella vita pratica – è quella con cui hanno maggiore familiarità pratica: la sperimentano in banca, comprando un’autovettura, accendendo un finanziamento per il credito al consumo ed altro ancora ma non ne percepiscono la specificità: nei fatti e per quel che qui interessa la firma elettronica avanzata è una firma digitale con alcune semplificazioni e una procedura di rilascio più facile ma con pieno valore dal punto di vista normativo, poiché il CAD all’art. 20 comma 1-bis prevede che “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID”.
La normativa di riferimento
Una firma elettronica avanzata è dunque uno strumento che è facile consegnare a qualsiasi utente in presenza. Sarebbe possibile farlo a distanza utilizzando le caratteristiche di SPID o CIE per l’identificazione? Questo il ragionamento che vorrei provare a svolgere. Le caratteristiche e requisiti della firma elettronica avanzata non sono da tempo più fissati a livello nazionale: da quando è stata abrogata dal Regolamento Eidas la Direttiva del 1993 sulle firme elettroniche, è lo stesso Regolamento UE EIDAS del 2014 a contenerne la disciplina, identica in tutta la UE. In Italia però continuiamo – per una sorta di inerzia normativa – a far riferimento per la firma elettronica avanzata a un DPCM di regole tecniche del 2013, tanto che lo stesso campeggia ancora bellamente sul sito dell’Agid come disciplina della firma elettronica avanzata. Questo a mio avviso non è corretto.
Il Regolamento Eidas è norma di diretta applicabilità nel nostro ordinamento, non richiede norme interne che lo applichino o ne specifichino i contenuti e, in ogni caso, il Regolamento è del 2014 e, come si è detto, abroga espressamente e sostituisce la Direttiva del 1993, sulla quale si fondava la normativa italiana del 2013. Esso quindi travolge il Regolamento del 2013 e, a poco vale che il Decreto 179/2016 di riforma del CAD abbia, in uno degli articoli finali, disposto che mantengono valore le regole tecniche Agid precedenti alla sua emanazione (il DPCM del 2013 fa parte di queste): una legge ordinaria non può tenere in vigore una norma incompatibile con un Regolamento UE, nessun giudice potrebbe applicarla! Ma il Regolamento Eidas disciplina integralmente la firma elettronica avanzata e, nel farlo, ha tenuto presente il Regolamento italiano del 2013? Lo ha assorbito? La risposta è affermativa.
Esso elenca all’art. 26 i requisiti generali di una firma elettronica avanzata e all’art. 27 stabilisce che gli Stati membri devono riconoscere le firme elettroniche avanzate che siano conformi ai formati stabiliti dagli atti di esecuzione adottati dalla Commisione UE al riguardo “tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti”. Dunque la Commissione, quando ha adottato, nel 2015, la Decisione 1506 del 2015 che ne fissa le regole ha superato la normativa previgente.
La proposta: una firma elettronica basata su Spid
Tutto questo per dire che, nell’attuale ordinamento, qualunque firma elettronica avanzata che rispetti gli standard fissati dalla Commissione UE nel 2015, secondo il Regolamento EIDAS, dovrebbe essere riconosciuta. Qui torniamo al tema delle identità sovrane. Se una firma elettronica avanzata potesse avere come base l’identità SPID o la carta d’identità elettronica, rispettando gli standard imposti dalla Commissione UE dovrebbe essere riconosciuta? A mente di quel che precede, la risposta dovrebbe probabilmente essere positiva e in questo momento un simile strumento sarebbe molto utile per poter virtualizzare molti servizi della Pubblica Amministrazione e fiscali. Non basta infatti per poter erogare i servizi più delicati, specie quelli previdenziali, fiscali e sanitari che il cittadino sia identificato (SPID o CIE), occorre anche che abbia uno strumento dispositivo.
Quando è scoppiata l’emergenza coronavirus, l’Agid aveva appena svolto una consultazione pubblica su delle complesse Linee Guida per uno strumento di firma con SPID riservato agli Identity Provider, ma, con il ragionamento di cui sopra, sembrerebbe non necessario un tale costrutto, essendo probabilmente tale strumento già configurabile come una firma elettronica avanzata senza bisogno di normativa specifica e di espresso riconoscimento, come invece accade se si sceglie la strada di prevedere un simile strumento attraverso Linee Guida Agid.
Una firma elettronica avanzata basata su CIE/SPID consentirebbe infatti a tutti i cittadini con SPID/CIE (e ricordo che il rilascio di SPID a distanza è possibile) di firmare la prossima dichiarazione dei redditi da casa, consentirebbe a clienti di avvocati di rilasciare deleghe e procure a distanza, consentirebbe ai dipendenti di presentare valide istanze al proprio datore di lavoro, insomma è più che necessaria in questo momento e una presa d’atto del Governo e del Dipartimento per l’Innovazione con l’Agid che sollecitassero il mercato a proporre strumenti di questo tipo sarebbe senz’altro un positivo segnale.
