La versione vigente del Codice dell’amministrazione digitale (CAD) in vigore dal 27 gennaio 2018 ha introdotto una nuova fattispecie di formazione del documento informatico nell’articolo 20, comma 1-bis. AgID deve stabilire delle Linee guida affinché questo comma sia applicabile ed efficace giuridicamente.
Nel comma citato si stabilisce che:
“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore(…omissis…)”.
Per completare il quadro sulle novità introdotte sul tema nell’ultimo CAD, è utile ricordare anche quanto stabilito nel secondo periodo dell’articolo 21, comma 2-bis:
“Gli atti di cui all’articolo 1350, numero 13), del Codice (civile) redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori modalità di cui all’articolo 20, comma 1-bis, primo periodo”.
Portata e criticità delle norme su firma e identità digitale
Queste norme vengono sinteticamente commentate allo scopo di fornire evidenza sulla portata di queste novità, evidenziando delle criticità. Queste sono associate a proposte operative per gli aspetti organizzativi e tecnologici di natura semplificativa, il tutto con l’indispensabile coordinamento con l’articolo 65 del CAD, che tratta di Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica.
Lo schema operativo che ci propone la norma primaria è il seguente:
- L’autore del documento è stato identificato in modalità informatica. Questo è avvenuto tramite un processo avente i requisiti fissati da AgID mediante il nuovo meccanismo delle Linee guida che contengono le regole tecniche. La modalità informatica utilizzata per l’identificazione potrebbe essere un PIN, una Carta d’Identità Elettronica (CIE 3.0 è versione che attualmente è in fase di emissione), la Carta Nazionale dei servizi. Il dubbio è comunque risolto nell’articolo 64, comma 2-quater: “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID”. Ma il comma 2-nonies stabilisce che l’accesso può avvenire anche tramite CIE o CNS.
- Preso atto di questo principio sappiamo che AgID dovrà associare a SPID delle modalità di formazione del documento tali da garantire sicurezza, integrità e immodificabilità dello stesso. Per fare delle ipotesi sulla direzione verso la quale si muoverà AgID dobbiamo andare a leggere gli allegati sul glossario e sui formati al DPCM 13 novembre 2014.
- Nel glossario non c’è la definizione di sicurezza del documento informatico, ma il concetto è espresso nell’allegato dedicato ai formati documentali: “La sicurezza di un formato dipende da due elementi il grado di modificabilità del contenuto del file e la capacità di essere immune dall’inserimento di codice maligno”. Il primo concetto rimanda all’immodificabilità quindi per la sicurezza in sé abbiamo solo il secondo.
- Per quanto attiene all’integrità troviamo la definizione nel glossario: “Insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato”.
- L’allegato con il glossario contiene anche la definizione di immodificabilità: “Caratteristica che rende il contenuto del documento informatico non alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso”.
Cosa dovrebbero stabilire le linee guida Agid
Questa analisi di dettaglio ci aiuta a definire cosa sarebbe auspicabile stabilire con le specifiche Linee guida di AgID.
Dunque, l’autore è stato identificato tramite SPID e accede con la sua identità in un sistema informatico dove produce la forma e il contenuto del documento informatico.
Applicando le Linee guida, AgID adesso deve assicurare la completa formazione garantendo i tre requisiti appena esposti.
Le opzioni sono già stabilite nel DPCM 13 novembre 2104 nell’articolo 3, comma 4.
La presenza di ben 5 opzioni per garantire integrità e immodificabilità non aiuta a definire al meglio il percorso tecnico e organizzativo indispensabile per ottenere applicazioni efficaci ed efficienti.
Inoltre, la presenza tra le opzioni della firma digitale (qualificata) ma non della firma elettronica avanzata (applicabile in base al CAD stesso) crea delle disomogeneità tra norme tecniche e rende difficoltoso il coordinamento tra le stesse.
In altre parole, possiamo dire che l’unica certezza rimane l’utilizzo di SPID.
Un’altra difficoltà nel coordinamento deriva da quanto stabilito nell’articolo 65, comma 1 del CAD e in particolare nelle lettere a) e b).
Nella lettera a) si fa riferimento alle sottoscrizioni, ma questa nuova fattispecie non è una sottoscrizione visto che è un metodo per formare il documento. Poi nella lettera b) si stabilisce che sono valide le istanze e dichiarazioni presentate alla pubblica amministrazione quando l’istante o il dichiarante è identificato attraverso SPID. Ma sono accettate anche la CIE e la CNS.
È evidente che il sovrapporsi delle norme non ha portato beneficio alla loro omogeneità e coordinamento.
L’utilizzo della blockchain
Alle esigenze di coordinamento si possono associare elementi innovativi come la blockchain cioè i meccanismi di registri distribuiti immodificabili. Questa tecnologia composta da crittografia asimmetrica, marche temporali e funzioni di hash comprende tutte le componenti indispensabili per soddisfare il CAD. Se introduciamo anche gli schemi di identificazione informatica dello SPID e della CIE 3.0 possiamo soddisfare quanto previsto nell’articolo 20, comma 1-bis del CAD.
Sarà necessario anche stabilire il tipo di accesso alla blockchain che dovrà avere determinate caratteristiche di controllo d’accesso e di verifica di sistema da parte dello Stato.
Certamente questa architettura introduce una nuova fattispecie di sottoscrizione che si affiancherebbe in parallelo a quanto stabilito in eIDAS.
AgID nelle funzioni assegnate dall’art. 71 del CAD dovrà provvedere a disegnare nuovi percorsi lineari ed efficaci, razionalizzando l’uso dell’identità digitale e degli strumenti di sottoscrizione, creando un solo percorso valido per l’interazione con la PA.
Inoltre, è indispensabile definire nuovi ruoli della sottoscrizione informatica in coordinamento con l’identità digitale rappresentata da SPID ma anche dalla CIE.
Il futuro della CNS è ancora poco chiaro. La circostanza che la notifica a Bruxelles degli schemi di identificazione del SPID è stata completata con successo e che entro l’anno sarà attuata anche per la CIE (annuncio di AgID) induce a ipotizzare che la CNS (con la Tessera Sanitaria) possa subire una revisione se non una battuta d’arresto.
