Il Consiglio di Stato, con qualche giorno di ritardo rispetto alle attese, si è espresso in modo definitivo sulla riforma del CAD con parere favorevole, salvo qualche residua perplessità ed osservazione che comunque investe limitati aspetti della riforma.
E’ stato infatti reso il parere definitivo sullo schema di decreto, dopo che l’Amministrazione ha fornito i chiarimenti richiesti dal Consiglio di Stato tramite un primo parere c.d. ad interim.
Il CAD ora transita per i pareri finali delle Commissioni Parlamentari competenti e poi, ricevuti gli emendamenti del caso in relazione alle osservazioni , verso l’approvazione del testo definitivo – che dovrebbe avvenire intorno al mese di luglio (con qualche ritardo rispetto alla data originariamente prevista e all’entrata in vigore piena del Regolamento UE Eidas).
La prima cosa da dire è che il parere definitivo del Consiglio di Stato – che come si è detto è favorevole – stona con i commenti di coloro che avevano letto il parere ad interim come una condanna definitiva e senza appello della riforma del CAD.
A leggere il parere definitivo del Consiglio di Stato sembra invece che l’Amministrazione abbia dato su molti punti esaurienti e convincenti risposte alle criticità sollevate lasciando aperti solo alcuni punti residui su cui comunque ha già dato prime indicazioni.
Se ne ha un esempio a proposito del rilievo circa l’abrogazione dell’art. 51 del CAD in materia di coordinamento della sicurezza informatica dello Stato. In questo caso l’Amministrazione ha indicato come la materia non è stata abrogata ma rimessa a norma tecnica di competenza dell’Agid e del Ministero competente e dunque rimane presidiata nei termini della delega e con uno strumento più versatile e adattabile al mutare delle esiegenze della norma primaria. Il parere definitivo ne prende atto.
Vale allora la pena di capire quali siano i principali punti rimasti in qualche modo aperti o perché il Consiglio di Stato non si è convinto o perché la soluzione proposta dal Consiglio di Stato non sembra aver in realtà chiarito la situazione.
Il primo, su cui già molto si è scritto, è costituito dal valore del documento digitale.
La versione provvisoria del nuovo CAD recepisce le novità del Regolamento EIDAS in tema di firma elettronica e documento elettronico.
La critica del primo parere del Consiglio di Stato riguarda il fatto che lo schema di decreto CAD all’art. 21 assegna il valore di “scrittura privata” anche ai documenti informatici sottoscritti con firma elettronica semplice.
Nell’ambito della successiva risposta l’Amministrazione si è detta disposta a modificare questo punto, pur con qualche precisazione.
Il riconoscimento della forma scritta ad un documento elettronico – a dispetto di quanto afferma il parere del Consiglio di Stato – appare in realtà coerente con quanto previsto dagli articoli 25 e 46 del Regolamento Eidas ai sensi dei quali a un documento elettronico e a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché la firma non soddisfa i requisiti per firme elettroniche qualificate. Ciò che chiede il Consiglio di Stato è invece proprio che solo a documenti con firme elettroniche qualificate si dia un valore probatorio predefinito (quello della scrittura privata).
E’ bene capire ciò di cui si sta discutendo.
Tutti utilizziamo nella quotidianità l’e-mail con la quale siamo soliti inviare allegati pdf di vario genere, per dare conferme, ordinare prestazioni, comunicare informazioni e documenti e chiunque scorra gli allegati a una causa depositati di questi tempi vi ritrova nella maggior parte dei casi numerose e-mail a documentare i rapporti giuridici intercorsi.
La norma nel decreto provvisorio dava a una mail inviata dalla nostra casella (dunque un documento con firma elettronica semplice) il valore di un documento producibile in giudizio, con possibilità di formare una scrittura privata in questo modo (ad esempio mediante scambio di mail).
La differenza tra la scrittura privata e il semplice valore della forma scritta è che per disconoscere quest’ultima occorre querela di falso.
In sostanza per capire se il percorso seguito sia corretto, occorre chiederci se qualcuno che intenda sostenere di non averci inviato una mail proveniente dalla sua casella, che noi abbiamo ricevuto e alla quale abbiamo risposto, non debba fare una querela di falso e possa limitarsi a dichiarare di non averla scritta.
Con la modifica richiesta dal Consiglio di Stato continueremo a dover richiedere per essere certi conferma scritta di quanto ci scambiamo via mail (magari un fax?), a meno di non utilizzare PEC e firma digitale, con il risultato di complicare notevolmente la gestione degli affari quotidiani.
Sarà probabilmente necessario preoccuparci che le mail inviate abbiano allegati che siano documenti integri e inalterabili, firmati digitalmente o conservati in appositi sistemi, altrimenti essi potranno essere facilmente disconosciuti.
Si pregiudica anche la validità di scambi avvenuti su sistemi di messaggistica ormai molto diffusi (es. Whatsapp) in quanto anche tali comunicazioni, nel migliore dei casi, avranno la firma elettronica semplice.
Ciò va contro esperienze passate in cui a documenti dalle modalità di formazione assolutamente poco sicure ma di elevato uso nella prassi come i fax si è dato un valore giuridico elevatissimo, specie per quanto riguarda le comunicazioni tra cittadino ed Amministrazione.
Si può discutere delle modalità di disconoscimento, se cioè debbano essere più o meno complesse ma non sembra questa l’attuazione corretta del principio del Regolamento europeo EIDAS sopra citato e nemmeno della delega legislativa che prevede il “digital first”.
Il Consiglio di Stato si occupa poi dell’annoso tema dei requisiti di capitale per i gestori dell’identità digitale.
Si tratta di un tema – inutile negarlo – su cui la giurisprudenza amministrativa si è espressa annullando la norma del regolamento SPID che prevedeva un capitale minimo pari a quello per esercitare l’attività bancaria.
Entrambi i pareri del Consiglio di Stato, poi, esortano l’Amministrazione a non prevedere alcun requisito.
L’Amministrazione risponde che sta prendendo in considerazione di prevedere una “gradazione” del requisito del capitale in considerazione del livello di sicurezza offerto dal gestore.
Questo potrebbe voler dire che non si prevederanno – in assoluto – requisiti per esercitare l’attività di gestore dell’identità ma che sarà comunque necessario, per poter rilasciare identità munite di certe valenze, un requisito di capitale sociale corrispondente a quanto richiesto dalla normativa sull’autenticazione cui l’identità dovrà rispondere nei vari ambiti di utilizzazione. Laddove dunque si voglia una identità SPID che, ad esempio, consenta di accedere a servizi di pagamento/bancari il soggetto che la rilascia potrebbe dover rispettare i requisiti – anche in termini di capitale minimo – previsti dal Testo Unico Bancario. Tale particolarità appartiene al sistema SPID in quanto esso consente l’utilizzo pubblico/privato a differenza di altri UE che sono solo orientati al pubblico.
Altro punto dibattuto nei due pareri riguarda la presenza nel CAD riformato di un diffuso uso delle definizioni non chiarissime come “persone fisiche e giuridiche” e “cittadini e imprese” per individuare i destinatari delle norme in tema di identità digitale, domicilio digitale e servizi fiduciari.
Qui il Consiglio di Stato in punto di diritto ha ragione. Le definizioni in questione escludono molte categorie: non si vede perché lo SPID dovrebbe essere negato ai residenti non cittadini o – a dirla tutta (cosa non notata dal Consiglio di Stato) – ai cittadini non residenti e, dunque, non iscritti alla ANPR. E’ inoltre vero che la locuzione “persone fisiche e giuridiche” lascia fuori molte categorie: società di persone, ditte individuali, associazioni non riconosciute, ONLUS, alcuni tipi di fondazioni, alcuni tipi società cooperative e professionisti a partita iva.
Occorre però coordinare il rilievo con le modalità di utilizzo dello SPID previste in considerazione dello sviluppo tecnico delle specifiche dell’identità: i soggetti che utilizzeranno SPID saranno sempre e solo persone fisiche. Quando l’identità dovrà rappresentare soggetti diversi dalla persona fisica (quelli che il CAD impropriamente chiama “persone giuridiche”, vedremo poi perché) la persona fisica viene individuata mediante deleghe come “legale rappresentante”.
Dunque il caso in cui una impresa o persona giuridica utilizza SPID o ne chiede il rilascio senza passare per una persona fisica non esiste.
Questo criterio consente sicuramente di indirizzare tutti i casi sinora non coperti a livello formale (il legale rappresentante di una ONLUS, il titolare di una ditta individuale, ecc.).
L’origine delle bizzarre definizioni inserite nel CAD e, prima ancora, nella regolamentazione attuativa dello SPID da cui sono state probabilmente riprese, sembra potersi trovare nel linguaggio utilizzato dal Regolamento EIDAS che parla di “persone fisiche e giuridiche” facendo però riferimento quando indica queste ultime alla definizione europea di persona giuridica che, in buona sostanza, copre qualsiasi soggetto diverso dalla persona fisica. Dunque in questo caso coglie pienamente nel segno il rilievo del Consiglio di Stato.
Le residue perplessità hanno a che fare con aspetti del processo telematico, che, ad opinione di chi scrive, è comunque un tema su cui il CAD “si astiene” in attesa di un separato intervento di adeguamento e dunque non sono idoneo parametro per valutare l’efficacia della riforma.
Vanno in questa casella i rilievi sulla duplicazione dei registri pubblici delle Pubbliche Amministrazioni o la mancata esenzione del processo telematico amministrativo (appena introdotto!) dall’applicazione del CAD. Si tratta di punti che faticano a trovare spazio in normativa primaria e sembrano più idonei ad una discussione in sede di relazione di regole tecniche o di un apposito tavolo tecnico.
In ultima analisi il CAD sembra aver passato lo scoglio, ora occorre urgentemente iniziare a ragionare sulle normative di contorno e su quanto rimane per rendere efficace la riforma.
