La normativa in materia di identità digitale, con la Legge Semplificazioni ha subito importanti modifiche dichiaratamente dedicate al settore bancario, ma in realtà di portata e applicazione generale, in materia di regole per l’antiriciclaggio, di identificazione in generale e di firma elettronica avanzata. Il tutto con un coordinamento fra norme dello stesso decreto ancora da definire e con un generale abbassamento dei livelli di sicurezza minimi.
Antiriciclaggio e identificazione elettronica: le regole
L’art. 27 del decreto semplificazioni modifica in modo significativo la normativa dell’identificazione a fini antiriciclaggio (d.lgs. 21 novembre 2007, n. 231). In primo luogo, e viene eliminato l’obbligo per gli intermediari di acquisire in ogni caso, ai fini dell’identificazione del cliente, dell’esecutore e del titolare effettivo, i documenti di identità o di riconoscimento (art. 1, comma 2, lettera n) e art. 18 del d.lgs. 231/2007). Il controllo è ora effettuato “sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente”. Tale processo semplificato, come risulta dai lavori preparatori, sembra però limitato ai soli casi di identificazione a distanza (che vengono peraltro ampliati dalle restanti modifiche contenute nell’art. 27): non viene infatti modificato l’art. 19 del d.lgs. 231/2007 che prevede l’obbligo dell’esibizione del documento in caso di identificazione in presenza del cliente e dell’esecutore. Unica eccezione l’identificazione del titolare effettivo che, dal combinato disposto delle norme modificate e rimaste invariate, sembra non dover più essere identificato con esibizione di documenti di riconoscimento nemmeno se cliente ed esecutore sono identificati in presenza.
Questa disparità di trattamento tra identificazione in presenza e a distanza non pare giustificabile se si considera che la modifica al regime dei sistemi di identificazione elettronica contenuta nell’articolo 26, ha abbassato da “elevato” a “significativo” il livello di garanzie dei regimi di identificazione, con ciò consentendo di fatto (almeno a livello di identità digitali europee, in quanto in Italia sia il rilascio della CIE, sia quello dello SPID, prevedono comunque l’esibizione del documento di riconoscimento) una identificazione che prescinda da ogni verifica di documenti di riconoscimento, anche in forma indiretta. Da una parte quindi vi è un abbassamento dei livelli di sicurezza in materia di identificazione a distanza, con scelta di per sé non condivisibile, dall’altra si prevede che l’intermediario possa fare a meno di un’identificazione sicura solo quando questa è effettuata a distanza, e non quando si è in presenza (e ciò non pare ragionevole). Infine si utilizzano in modo promiscuo le locuzioni identità digitale e identificazione elettronica, con una confusione terminologica cui andrebbe posto rimedio.
Restano invece invariate le altre modalità di identificazione a distanza di cui alla lettera a) del primo comma dell’art. 19 (firma qualificata o digitale, pregressa conoscenza, atti pubblici etc.) salvo la novità costituita dal numero 4-bis, che consente modalità alternative di identificazione per gli intermediari finanziari, ma solo in relazione a bonifici effettuati verso il soggetto tenuto all’identificazione, con riferimento a rapporti relativi a carte di pagamento o similari, e con talune esclusioni. Questa ultima norma è talmente specifica e dettagliata da sembrare scritta per risolvere uno specifico problema relativo alle carte di pagamento, e di interesse di un numero limitatissimo di soggetti, il che fa sorgere dubbi sulla tecnica normativa utilizzata.
Il rilascio delle firme elettroniche avanzate
Anche in questo caso la semplificazione porta ad un abbassamento del livello di garanzia in quanto si prevedono, per il rilascio della firma avanzata (che conferisce ai documenti l’efficacia della forma scritta, eccettuati i casi di cui all’art. 1350 nn. da 1 a 12 del codice civile) modalità nuove e meno rigorose per l’accertamento dell’identità del titolare e in particolare:
- l’identificazione effettuata attraverso il codice di autenticazione previsto nelle operazioni con i prestatori di servizi di pagamento dal regolamento UE 2018/389, nel presupposto che, in sede di prima identificazione da parte di un prestatore di tali servizi, lo stesso utente sia stato identificato, ai sensi dell’art. 19 del d.lgs. 231/2007, a sua volta modificato, come si è visto, nel senso di una riduzione delle garanzie; Il principio sembrerebbe essere quello che un’identificazione sicura in sede di primo accesso al sistema possa essere poi utilizzata da tutti gli attori dello stesso sistema, il che, a fronte di un’evidente semplificazione, riduce i livelli di sicurezza ed aumenta in modo esponenziale i rischi in caso di frode;
- l’identificazione mediante SPID a due fattori (come definito dall’art. 6 DPCM 24 ottobre 2014) che di per sé non costituisce nemmeno sistema di identificazione elettronica avente regime di garanzia di livello significativo, ma una diversa forma di identificazione che può rientrare anche nel regime di garanzia “basso”, essendo il riferimento non al Regolamento di Esecuzione 2015/1502 della Commissione dell’8 settembre 2015, attuativo del cd. Regolamento eIDAS (910/2014), ma semplicemente alla precedente normativa regolamentare italiana;
- l’identificazione con identità digitali di livello “significativo” (con un ridondante implicito rinvio anche al precedentemente citato art. 19 del d.lgs. 231/2007), sulla quale scelta legislativa si sono già espresse perplessità.
Conclusione
Una riflessione andrebbe fatta sulla pericolosità di circoli viziosi nell’identificazione dei soggetti quando si utilizzano sistemi di autenticazione o identificazione che si legittimano reciprocamente. Infine crea perplessità il generico riferimento allo SPID a due fattori, strumento di identificazione di un’identità digitale di cui si definisce il livello di sicurezza d’uso, ma non il livello di sicurezza di rilascio.
In conclusione sembra che l’insieme delle norme su identità digitale (o identificazione elettronica) alla luce dell’intervento, complesso e non del tutto coordinato del D.L. Semplificazioni, richieda una riflessione e probabilmente un intervento di coordinamento generale che operi su piani diversi: quello della possibilità di utilizzo degli strumenti di identificazione digitale, graduandola in base all’importanza delle applicazioni ed ai regimi di garanzia di volta in volta necessari; e quello della distinzione degli strumenti di identificazione o autenticazione da quelli di sottoscrizione.