Lunedì 22 febbraio 2016
Come è noto il Parlamento, con l’articolo 1 della Legge 7 agosto 2015, n. 124, ha delegato il Governo a intervenire - attraverso uno o più decreti legislativi da emanarsi entro dodici mesi - sulla disciplina contenuta nel CAD (Codice dell’Amministrazione Digitale) al fine di promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese.
Ebbene proprio di recente è stato licenziato dal Governo uno schema di decreto legislativo che reca modifiche ed integrazioni al CAD in esecuzione della delega parlamentare. La bozza di decreto dovrà adesso essere discussa nelle opportune sedi parlamentari prima di essere approvata nella sua versione definitiva (approvazione che dovrebbe avvenire in tempi piuttosto rapidi visto che il d.lgs. dovrebbe entrare in vigore a partire dal 1° luglio 2016).
Dall’esame di questa prima versione del provvedimento possiamo già individuare luci ed ombre come sempre accade quando il legislatore si cimenta nel campo delle nuove tecnologie. Non sempre, purtroppo, è facile conciliare le complesse caratteristiche di un dispositivo o servizio tecnologico con le esigenze specifiche della normazione e talvolta le stesse norme diventano di difficile comprensione.
Iniziamo ad individuare subito i primi obiettivi che il legislatore ha voluto realizzare con la riforma e la scelta di dedicare ai diritti di cittadinanza digitale l’articolo 1 del nuovo CAD è sintomatica della centralità che il Parlamento ha inteso riconoscere alle tecnologie dell’informazione e della comunicazione nei rapporti tra cittadini, imprese e pubbliche amministrazioni, quale strumento per la promozione del processo di radicale riorganizzazione dell’amministrazione dello Stato.
La volontà è quella di spostare l’attenzione dal processo di digitalizzazione ai diritti digitali di cittadini e imprese. Con la “carta della cittadinanza digitale” si riconoscono direttamente diritti a cittadini e imprese e si costituisce la base giuridica per implementare Italia Login, la piattaforma di accesso che, attraverso il Sistema pubblico d’identità digitale e l’Anagrafe nazionale della popolazione residente, permetterà ai cittadini di accedere ai servizi pubblici - e a quelli degli operatori privati che aderiranno - con un unico nome utente e un’unica password (prenotazioni di visite mediche, iscrizioni a scuola, pagamento dei tributi). Ciò permetterà di superare la complessità della situazione attuale per cui ogni pubblica amministrazione o Ente pubblico che garantisce servizi on-line richiede proprie modalità di registrazione e di utilizzo dei servizi.
Questo non è altro che il sistema SPID (Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese) che assume un ruolo centrale in questo nuovo CAD e viene definito come un insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agid, secondo modalità definite con specifico decreto ministeriale, identificano cittadini, imprese e pubbliche amministrazioni per consentire loro l’accesso ai servizi in rete.
Lo SPID, quindi, è un insieme di credenziali per accedere in rete a tutti i servizi della pubblica amministrazione e a quelli degli operatori commerciali che vi aderiranno. Lo SPID consente agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati per permettere ai fornitori di servizi l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano.
Con l'istituzione dello SPID le pubbliche amministrazioni potranno consentire l'accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d'identità elettronica e la carta nazionale dei servizi che alla fine avranno in tal senso una funzione solo residuale. La possibilità di accesso con carta d'identità elettronica e carta nazionale dei servizi resta comunque consentito indipendentemente dalle modalità predisposte dalle singole amministrazioni.
E’ chiaro, quindi, l’intento del legislatore di semplificare al massimo l’accesso ai servizi on line dei cittadini, superando le difficoltà connesse alle carte elettroniche, ma il pericolo “sicurezza” incombe sempre, poiché è evidente che con tale sistema si moltiplicano le identità digitali di un cittadino, che saranno diverse per ogni servizio e la prospettiva lascia perplessi. E’ anche vero che il sistema è continuamente monitorato dall’Autorità Garante giustamente preoccupata, ma è anche vero che se una singola identità digitale crea problemi figuriamoci tante.
Inoltre il decreto di riforma va anche al di là di quelle che sono le originarie funzioni dello SPID poiché l’art. 52 introduce un comma 2-septies poco chiaro: “Un atto giuridico può essere posto in essere da un soggetto identificato mediante SPID, nell’ambito di un sistema informatico avente i requisiti fissati nelle regole tecniche adottate ai sensi dell’articolo 71, attraverso processi idonei a garantire, in maniera manifesta e inequivoca, l’acquisizione della sua volontà………” Sinceramente vorrei vedere quale possa essere l’applicazione pratica di questa disposizione alquanto criptica.
Ma tornando all’esame del progetto di riforma del CAD si nota che il legislatore, sempre in linea di continuità con quanto detto in precedenza, introduce nelle definizioni di cui all’art. 1 del CAD nuove ed importanti definizioni e cioè quella di identità digitale “rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64” con chiaro rimando allo SPID e quella di domicilio digitale inteso come “l’indirizzo di posta elettronica certificata o l’indirizzo utilizzato da altro servizio qualificato di recapito certificato, utilizzato per le comunicazioni tra le persone fisiche e giuridiche e i soggetti di cui all’articolo 2, comma 2”. In effetti da sempre si è sostenuto che la comunicazione ad una PA del proprio indirizzo di PEC rappresenta una vera e propria elezione di domicilio informatico e tale concetto, quindi, è stato recepito a livello normativo con un’importante integrazione, difatti si parla anche di “altro servizio qualificato di recapito certificato” ed a questo punto è chiaro il riferimento al Regolamento e-IDAS n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari nel mercato interno pubblicato nella G.U. dell’Unione Europea del 28 agosto 2014 che dovrà anch’esso entrare in vigore nel nostro ordinamento il 1° luglio 2016.
In effetti l’opportunità della riforma dell’intero CAD nasce anche dalla necessità di adeguare lo stesso a questo importante regolamento comunitario noto con l’acronimo e-IDAS che sta per electronic IDentification Authentication and Signature (eTS electronic Trust Services), e stabilisce le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche.
Il Regolamento è entrato in vigore direttamente in tutti gli Stati Membri UE, senza necessità di atti di recepimento, il 17 settembre 2014, anche se lo stesso si applicherà a decorrere dal 1° luglio 2016, ad eccezione delle disposizioni riportate nell’art. 52.
L’obiettivo fondamentale di questo provvedimento comunitario è quello dell’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione elettronica utilizzati negli Stati membri almeno per l’autenticazione nei servizi pubblici. Il Regolamento, difatti, non intende intervenire riguardo ai sistemi di gestione dell’identità elettronica e relative infrastrutture istituiti negli Stati membri, ma intende garantire che per accedere ai servizi online transfrontalieri offerti dagli Stati membri si possa disporre di un’identificazione e un’autenticazione elettronica sicura.
Il Regolamento, quindi, innanzitutto disciplina l’identificazione elettronica intesa come “il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica”, preoccupandosi del riconoscimento reciproco fra gli Stati membri dei mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo del settore pubblico online in uno Stato membro.
L’identificazione elettronica va distinta dalla c.d. “autenticazione” intesa come un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica.
Particolare attenzione viene rivolta dal Regolamento ai prestatori di servizi fiduciari qualificati e non qualificati che devono rispettare determinati requisiti, assumono specifiche responsabilità in caso di danni causati per dolo o negligenza e sono sottoposti al controllo di organismi di vigilanza ed a specifiche verifiche da parte di organismi di valutazione della conformità.
La sezione 4 del Regolamento è dedicata alle firme elettroniche ed in linea generale le relative disposizioni non si discostano in modo rilevante dalla disciplina giuridica già introdotta in Italia dal Codice dell’Amministrazione Digitale (artt. 20 e ss.).
In particolare viene sancito che una firma elettronica qualificata ha gli stessi effetti giuridici di una firma autografa e la medesima efficacia probatoria. Inoltre una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro deve essere riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
Viene, quindi, dedicato ampio spazio ai requisiti della firma elettronica avanzata (già conosciuta in ambito comunitario), ai certificati qualificati delle firme elettroniche, ai requisiti ed alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata, ed alla convalida delle firme elettroniche qualificate intesa come processo di verifica e conferma della validità di una firma o di un sigillo elettronico, che viene curato solo da un prestatore di servizi fiduciari qualificato. Particolare attenzione è rivolta anche al servizio di conservazione qualificato delle firme elettroniche qualificate che può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica.
Il Regolamento introduce, poi, un nuovo strumento, creato per le specifiche esigenze dell’e-business, che è il sigillo elettronico da intendersi come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”.
Il sigillo elettronico ha lo stesso valore giuridico e la medesima efficacia probatoria della firma elettronica ed anche per questo nuovo strumento si parla di sigilli avanzati e qualificati, individuando le relative caratteristiche. In particolare una persona giuridica, nell’ambito di servizi pubblici, potrà essere titolare di un sigillo elettronico che svolgerà la funzione di prova dell’emissione di un documento elettronico da parte di una determinata persona giuridica garantendo al documento stesso la certezza dell’origine e l’integrità del contenuto, o potrà servire anche per autenticare qualsiasi bene digitale della persona giuridica stessa, quali codici di software o server.
Anche per i sigilli elettronici qualificati si applicano le medesime disposizioni relative alla convalida ed alla conservazione delle firme elettroniche qualificate.
La Sezione 6 del Regolamento si occupa invece della validazione temporale elettronica intesa come “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”. In altri termini si tratta della c.d. marca temporale, che al di là dei riconosciuti effetti giuridici e probatori, gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate.
Anche la validazione temporale può essere qualificata ed il regolamento ne fissa i relativi requisiti.
La Sezione 7 parla dei servizi elettronici di recapito certificato da intendersi come servizi che consentono la trasmissione di dati fra terzi per via elettronica e forniscono prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e proteggono i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate. In altri termini si tratta della “versione europea” della nostra posta elettronica certificata che non ha mai avuto un riconoscimento comunitario.
Il Regolamento prevede e disciplina anche i requisiti dei servizi elettronici di recapito certificato qualificati.
Il Provvedimento comunitario dedica una specifica disposizione (art. 46) al riconoscimento degli effetti giuridici del documento elettronico ampiamente riconosciuti come del resto la loro efficacia probatoria. Nonostante quindi la medesima precisazione già contenuta nelle disposizioni in materia di firme elettroniche, si è voluto prevedere una disposizione più di carattere generale per fugare ogni dubbio e per sancire in modo chiaro il principio di “neutralità tecnologica” rispetto alla forma elettronica di un documento, peraltro principio già introdotto attraverso l’istituto giuridico della fattura elettronica con la direttiva 2006/112/CE, modificata poi dalla direttiva 45/2010/UE.
Tutti questi principi sono stati recepiti nel decreto di riforma del CAD ed un chiaro segnale in tal senso è innanzitutto rappresentato dall’adozione “in toto” di tutte le definizioni contenute nel Regolamento con conseguente abrogazione di molte definizioni originarie del CAD. Rimane la definizione della firma digitale, creazione tutta italiana (che ritorna come firma qualificata), mentre per il resto si fa spazio a tutte le definizioni del regolamento di identificazione, autenticazione, firma elettronica, firma elettronica qualificata, firma elettronica avanzata, documento elettronico, validazione temporale e tante altre. Sinceramente questo “travaso” automatico di definizioni poco note al nostro paese non è facile da digerire. Si pensi ad esempio alla storica e tradizionale definizione di documento informatico come “la rappresentazione informatica di atti, fatti, o dati giuridicamente rilevanti” che scompare e fa spazio alla fredda ed essenziale definizione del regolamento di documento elettronico come “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”. Scompare, naturalmente anche la figura nazionale del certificatore sostituita dal prestatore di servizi fiduciari, ma quando molti di questi concetti vengono in concreto recepiti dal decreto nasce qualche confusione.
Si pensi, ad esempio, ai testi rinnovellati degli artt. 20 e 21 del CAD dove emerge una prospettiva piuttosto preoccupante e cioè che il documento con firma elettronica semplice (che non sia né qualificata, né avanzata, né digitale) soddisferebbe il requisito della forma scritta e sarebbe valutabile dal giudice sotto ogni profilo con revisione quindi anche della sua efficacia probatoria. In altri termini, quindi, non esisterebbe più una logica graduazione del valore giuridico e dell’efficacia probatoria del documento informatico in base alla firma elettronica che lo contraddistingue, ma un documento elettronico con una firma elettronica semplice potrebbe avere il valore giuridico e l’efficacia probatoria della scrittura privata. In tal senso, probabilmente, il legislatore nazionale dice molto di più del legislatore comunitario per cui sarebbe opportuno un chiarimento su questo aspetto.
Opportuna, invece, è la modifica dell’art. 13 del CAD in merito alla formazione informatica dei pubblici dipendenti dove giustamente si è ritenuto di dover estendere la stessa anche ai dirigenti al fine della transizione alla modalità operativa digitale.
L’Agenzia per l’Italia Digitale trova ovviamente nella nuova versione del CAD all’art. 14-bis la sua piena regolamentazione con l’individuazione delle relative funzioni istituzionali (riviste rispetto a quanto originariamente determinato dall’art. 20 del DL n. 83/2012).
Il nuovo art. 17 del CAD prevede che un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, si debba occupare della transizione alla modalità operativa digitale e dei conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Inoltre, il responsabile di questo ufficio assume anche ulteriori ed importanti funzioni come quello di difensore civico digitale a cui tutti i cittadini posso rivolgersi per ottenere giustizia. Si tratta di disposizioni sicuramente condivisibili, che purtroppo nella maggior parte dei casi rimangono solo sulla carta.
Interessante, invece, è la modifica dell’art. 18 del CAD che a proposito della composizione della “Conferenza Permanente per l'innovazione tecnologica” prevede la presenza di ben quattro esperti che supportano il presidente del Consiglio. In tal caso sembra che finalmente ci sia l’intenzione di allontanare questi organi collegiali da qualsiasi logica politica. Speriamo che questa intenzione sia confermata in sede di applicazione pratica.
E’ stato poi corretto , in extremis, l’art. 25 del decreto di modifica che nell’aggiornare l’art. 27 del CAD originariamente prevedeva che tutti i prestatori di servizi fiduciari qualificati, i gestori di posta elettronica certificata, i gestori dell’identità digitale di cui all’articolo 64 e i soggetti di cui all’articolo 44-bis) dovevano possedere anche i requisiti di cui all’art. 29 comma 3 del CAD che cita il testo unico bancario e nelle recenti modifiche al TUB la cifra del capitale di ingresso è di 10 milioni di euro o 5 milioni di euro in base alla tipologia di Istituto Bancario. Ovviamente tale assurda previsione, che escludeva dal mercato la gran parte delle piccole e medie imprese, è stata rivista facendo salvo quanto previsto dall’art. 44 bis, comma 3 del CAD per i conservatori e dall’art. 14, comma 3 del DPR n. 68/2005 per i gestori della PEC, ma la norma ancora lascia molto perplessi.
L’art. 30 del Decreto di riforma assume un particolare rilevanza, poiché nel modificare l’art. 32-bis del CAD introduce delle vere e proprie sanzioni pecuniarie a carico dei prestatori di servizi fiduciari qualificati, dei gestori di posta elettronica certificata, dei gestori dell’identità digitale e dei conservatori in caso di inosservanza delle norme. La disposizione non farebbe una grinza, se non ci fosse una norma di salvaguardia, che, introducendo il comma 1-bis dell’art. 32-bis prevede che l’Agid, prima di irrogare la sanzione amministrativa debba diffidare i soggetti a conformare la propria condotta agli obblighi previsti dal Regolamento eIDAS e dal CAD, fissando un termine e disciplinando le relative modalità per adempiere. In tal senso si va completamente a vanificare l’introduzione delle sanzioni pecuniarie, che rischiano anch’esse di rimanere sulla carta.
Degno di nota è anche l’art. 37 del decreto, che nel modificare l’art. 43 del CAD in tema di conservazione dei documenti informatici introduce un importante principio e cioè se un documento informatico è conservato per legge da una PA, il cittadino non deve più conservarlo e la PA deve renderglielo accessibile in ogni momento (in questo senso ogni documento avrà un “url” accessibile via web a coloro che identificati via SPID ne abbiano diritto). Indubbiamente un onere per la PA al quale corrisponde un importante diritto dei cittadini, ma sempre in tema di conservazione lascia molto perplessi la modifica dell’art. 44 del CAD dove si fa un po’ di confusione tra gestione e conservazione dei documenti informatici e quest’ultima sembra assumere un aspetto residuale non comprensibile. Sicuramente la distinzione va chiarita e principalmente devono essere meglio integrate le norme.
Così come strutturato non ha molto senso, nemmeno, il nuovo art. 54 del CAD che nell’individuare i contenuti dei siti istituzionali della P.A. si limita semplicemente a rinviare alla normativa sulla trasparenza (d.lgs. n. 33/2013).
Deludente è anche l’art. 61 del Decreto che non introduce alcuna novità in tema di sanzioni nel caso di inosservanza delle norme del CAD. Ancora una volta un’eventuale violazione potrà riflettersi solo sulla responsabilità dirigenziale, ma in realtà già si è avuto modo di vedere la portata praticamente nulla di una simile disposizione.
Tante sono poi le norme abrogate del vecchio CAD e tra le tante abrogazioni appare incomprensibile quella relativa all’art. 50-bis dedicata al disaster recovery e continuità operativa. Un argomento, oggi, così importante non può essere abbandonato per cui mi auguro che il legislatore abbia intenzione di prevedere in altre sedi l’obbligo per la P.A. di redigere dei piani specifici in materia di sicurezza e che tra l’altro sia un obbligo che venga effettivamente rispettato.
In conclusione, quindi, possiamo dire che il decreto presenta importanti innovazioni che oltre a quelle già enunciate sono:
l’introduzione dell’obbligo, per le pubbliche amministrazioni, le società a controllo pubblico, come definite nel decreto legislativo adottato in attuazione dell’articolo 18 della Legge n. 124 del 2015, inserite nel conto economico consolidato della pubblica amministrazione, come individuate dall'Istituto nazionale di statistica (ISTAT) ai sensi dell’articolo 1, comma 5, della Legge 30 dicembre 2004, n. 311, ad accettare pagamenti spettanti a qualsiasi titolo attraverso i servizi di pagamento elettronici, ivi incluso l’utilizzo, per i micro pagamenti, del credito telefonico;
l’introduzione del principio “innanzitutto digitale” (c.d. “digital first”), anche in relazione al procedimento amministrativo;
l’introduzione dell’obbligo per le amministrazioni di rendere disponibili agli utenti, presso i propri uffici, idonee risorse di connettività ad Internet in modalità wi-fi. Quando un ufficio pubblico non utilizza la banda sarà obbligato a renderla disponibile ai cittadini attraverso il wi-fi;
il riordino e razionalizzazione della governance del digitale;
il rafforzamento del principio dell’open data by default e coordinamento della disciplina vigente in materia di dati aperti con quella di matrice europea relativa all’accesso alle informazioni pubbliche;
l’ istituzione del Punto unico telematico di accesso ai servizi pubblici;
la semplificazione e razionalizzazione della disciplina del Sistema pubblico di connettività.
Ma non mancano molte ombre che vanno assolutamente chiarite e che sono state indicate in precedenza. Indubbiamente ogni qualvolta si adottano dei provvedimenti così incisivi che intervengono, tra l’altro, in una materia così complessa dal punto di vista tecnologico, è naturale che alcune disposizioni necessitino di opportuni chiarimenti e coordinamenti, l’importante è che in sede parlamentare si riesca a porre rimedio
fonte: ALTALEX -Di Michele Iaselli
Schema di Decreto Legislativo 27/01/2016
Schema di Decreto Legislativo 27/01/2016
