Home / Blog / La riforma del CAD si fa attendere, intanto l’eIDAS è in vigore

La riforma del CAD si fa attendere, intanto l’eIDAS è in vigore

Inserito da Elisa Fontanelli 7 Luglio 2016 in Digitalizzazione

Il 1° luglio 2016 sono divenute efficaci le disposizioni dettate dal Regolamento eIDAS n. 910/2014 del Parlamento e del Consiglio entrato in vigore il 17 settembre 2014, andando ad abrogare la direttiva 1999/93/CE che in materia di firme elettroniche. Il Regolamento, in estrema sintesi:

  • fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro,
  • istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

L’applicazione delle disposizioni eIDAS, che non necessitano di un atto di recepimento da parte degli Stati membri, rende tuttavia necessario adeguare la normativa italiana al quadro delineato dal legislatore europeo. Gli adattamenti sarebbero dovuti essere già realizzati intervenendo sul Codice dell’Amministrazione Digitale (D. Lgs. 82/05, di seguito “CAD”) che è in corso di restyling da diversi mesi, e non è ancora dato sapere quando verrà emanato nella sua nuova veste.

Quali che siano le ragioni del ritardo, ciò che è noto è che il testo della nuova versione del, approvato provvisoriamente a gennaio dal Consiglio dei Ministri, è stato oggetto di rilievi critici sollevati, in più occasioni, dal Consiglio di Stato, e dal Garante per la protezione dei dati personali.

Gli obiettivi della Riforma

La riforma, va detto, ha plurimi ed ambiziosi obbiettivi, la cui matrice si rinviene nell’esigenza di accelerare l’attuazione dei principi dettati dall’Agenda Digitale Europea, operando sul versante del superamento degli ostacoli che hanno finora impedito l’effettivo accesso degli utenti ai servizi della pubblica amministrazione in modalità digitale. Ostacoli che portano il nostro Paese ad occupare gli ultimi posti della classifica europea rispetto alla diffusione della banda larga, nell’utilizzo di internet, nella propagazione delle competenze digitali, nel livello di innovazione digitale delle piccole e medie imprese e nella presenza di servizi pubblici digitali. Altro scopo della riforma è l’armonizzazione del nostro ordinamento con le previsioni dettate dall’eIDAS, il quale offre un contributo primario per assicurare una spinta alla digitalizzazione sia da parte della pubblica amministrazione, che dei cittadini e delle imprese che con essa interagiscono.

I rilievi del Consiglio di Stato

demat_9570884_xxlI rilievi sollevati dal Consiglio di Stato nel parere interlocutorio del 17 marzo 2016 si sono concentrati su alcune disposizioni presenti nella prima formulazione del testo novellato che avrebbero potuto vanificare l’impulso riformatore del legislatore, o ingenerare dubbi interpretativi circa la portata applicativa delle sue disposizioni. Alle richieste di chiarimenti è stato fornito riscontro dal Ministero per la semplificazione e la pubblica amministrazione in data 26 aprile 2016, di cui è dato conto nel secondo parere reso l’11 maggio 2016 dal Consiglio di Stato. Tra i vari argomenti affrontati, segnaliamo i seguenti:

1) Firme elettroniche: il Consiglio di Stato ha chiesto chiarimenti circa la previsione contenuta nello schema di decreto legislativo, che andava a modificare il valore probatorio attribuito al documento informatico sottoscritto con firma elettronica “semplice”, tale da attribuirgli l’efficacia prevista dall’art. 2702 c.c. (ovvero quello della scrittura privata), al pari di quanto è previsto oggi dal CAD in relazione ai documenti sottoscritti con firme elettroniche avanzate (firma elettronica qualificata e firma digitale). La modifica ha – almeno inizialmente – prospettato nuovi scenari di applicazione dello strumento, finora utilizzato nei casi in cui l’ordinamento non richiedeva particolari vincoli di forma o di sottoscrizione dei documenti. Tuttavia, è immediatamente parso chiaro agli esperti del settore che l’apertura mostrata dal legislatore, probabilmente indotta dalla necessità di adeguarsi alle previsioni che di lì a poco sarebbero state introdotte dall’eIDAS riguardo alle firme elettroniche, risultava eccessiva e, peraltro, sovrabbondante rispetto a quanto lo stesso eIDAS non chiedesse, dal momento che esso si limita a stabilire il principio generale di non discriminazione del valore probatorio della firma elettronica. Il Consiglio di Stato ha segnalato come la firma elettronica possa assumere connotati probatori molto diversi tra loro, a seconda del sistema di identificazione informatica utilizzato (es, da una semplice password, che non fornisce certezza che il documento provenga dal soggetto che ne risulta sottoscrittore, all’uso di sistemi biometrici che sotto il profilo della sicurezza forniscono garanzie certamente superiori), con ciò richiamare l’attenzione dell’amministrazione proponente sulla necessità di effettuare una valutazione circa l’opportunità o meno di prevedere una idoneità tour court del documento informatico sottoscritto con firma elettronica “semplice” a soddisfare il requisito della forma scritta.

Ricordiamo che il Regolamento eIDAS stabilisce i requisiti di validità di tre tipologie di firme: la firma elettronica avanzata e firma elettronica qualificata (nel cui ambito va ricondotta la firma digitale “nostrana”), le cui caratteristiche già conosciamo e che sono, in parte, già regolamentate nel nostro ordinamento, e la firma elettronica “semplice”, la cui definizione eIDAS differisce sia da quella utilizzata dal legislatore europeo nella precedente direttiva 1999/93/CE, nella quale era riconosciuta come un metodo di autenticazione. Tale definizione differisce anche da quella considerata nel CAD attualmente vigente, nel quale la firma elettronica è considerata un “metodo di identificazione informatica” (art. 1 lett. q). Il Regolamento eIDAS, intervenendo sulla definizione di “firma elettronica”, la considera uno strumento utilizzato dal firmatario “per firmare”, spostando l’attenzione dal processo con il quale vengono associate delle credenziali ad un soggetto per consentirne l’accesso a un sistema informativo, alla manifestazione di volontà del firmatario di vedersi riconosciuto il legame con il contenuto di un documento informatico.

Il Ministero per la semplificazione e la pubblica amministrazione pare aver raccolto la criticità segnalata dal Consiglio di Stato ed ha comunicato che stava valutando di lasciare vigente la disciplina attuale (che rimette alla valutazione del giudice il riconoscimento di un valore probatorio al documento informatico sottoscritto con firma elettronica semplice). Vedremo cosa verrà deciso in via definitiva. Ciò riporterebbe sicuramente la materia su un terreno a noi più familiare, anche se dovremo fare i conti con il fatto che dal 1° di luglio, per volontà del legislatore europeo, è cambiato il presupposto giuridico su cui far leva per valutare il valore probatorio della firma elettronica “semplice” (appunto, da metodo di identificazione informatica a strumento usato “per firmare”).

2) Requisiti economici dei prestatori di servizi fiduciari qualificati, gestori di PEC, dei gestori di SPID e dei conservatori accreditati: lo schema di decreto ha riproposto per i prestatori di servizi fiduciari qualificati e per gli Identity providers gli stessi requisiti economici richiesti inizialmente dal DPCM 24 ottobre 2014 per l’accreditamento dei gestori dell’identità digitale, ossia 5 milioni di euro.

Come sappiamo, tale limite è stato impugnato da alcune associazioni di categoria rivoltesi al TAR Lazio, il quale, con sentenza n. 9951 del 17 giugno 2015 lo ha ritenuto lesivo del principio di concorrenza rispetto alle piccole medie imprese, assunto confermato dallo stesso Consiglio di Stato con sentenza n. 1214 del 24 marzo 2016. Nel parere interlocutorio sulla riforma del CAD il Consiglio di Stato ha chiesto chiarimento sul punto. La risposta fornita dal Ministero lascia aperta la possibilità di veder ridotto – nel testo definitivo di riforma del CAD – il requisito economico per gli Identity Providers, in relazione al livello di sicurezza dell’identità SPID offerto dal gestore, ma con molta probabilità il limite dei 5 milioni di euro verrà confermato riguardo ai prestatori di servizi fiduciari qualificati.

Per i gestori di PEC ed i conservatori accreditati pare che restino invariati i requisiti economici attualmente vigenti (capitale sociale minimo di € 1.000.000 per i primi, di € 200.000 per i secondi). Su questo, il Consiglio di Stato è tornato nuovamente l’11 maggio 2016, insistendo affinché sia tenuta in debita considerazione l’esigenza di rispettare la normativa costituzionale ed europea in materia di libera concorrenza e libero mercato.

3) Continuità operativa: il Consiglio di Stato ha osservato che lo schema di decreto legislativo ha previsto l’abrogazione dell’art. 50-bis del CAD che stabilisce l’obbligo, rivolto alle pubbliche amministrazioni ed alle società interamente partecipate o con prevalente capitale pubblico inserite nel conto economico consolidato della PA individuate dall’ISTAT, di predisporre appositi piani di emergenza (piano di continuità operativa ed il piano di disaster recovery). L’argomento è di estrema attualità anche in ambito internazionale e secondo il Consiglio di Stato una completa eliminazione di tale onere risulterebbe inopportuna. Il Ministero ha precisato che tale obbligo permane anche nella novella nell’ambito delle misure a presidio della sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazione (art. 51 CAD), con modalità che verranno individuate da specifiche regole tecniche da emanarsi sul punto.

demat_16759855_xxlVi sono, poi, una serie di rilievi sollevati dal Consiglio di Stato su cui il Ministero non ha fornito risposta e per tale motivo sono stati ribaditi nuovamente dal Consiglio di Stato nel parere dell’11 maggio 2016, ma  che verosimilmente hanno reso necessario approfondire ulteriormente l’impianto della riforma (come ad esempio l’eliminazione prevista dalla novella della possibilità di disconoscere la copia per immagine su supporto informatico di un documento analogico se questa è prodotta mediante processi che assicurano che il documento informatico abbia contenuto e forma identica a quelli del documento analogico originario, diritto finora comunque riconosciuto dall’art. 22 comma 3 del CAD).

Tra queste segnaliamo le disposizioni inerenti le modifiche in materia di conservazione dei documenti informatici. La novella, sul punto, prevede:

  • a) di eliminare l’obbligo generalizzato di conservazione dei documenti informatici qualora tali documenti vengano conservati, per legge, dalla pubblica amministrazione;
  • b) di introdurre il ricorso a sistemi strutturati di gestione informatica dei documenti, accanto ai sistemi di conservazione. I primi dovranno assicurare, tra le altre cose, la corretta e puntuale registrazione di protocollo dei documenti in entrata e in uscita.

La ragione di tale modifica pare risiedere nell’esigenza di semplificare gli oneri a carico dei cittadini e delle imprese, tuttavia, sostiene il Consiglio di Stato, la novella non specifica i requisiti e le modalità attraverso le quali svolgere la conservazione dei documenti informatici.

La questione, emersa già a gennaio 2016 non appena è circolata la bozza di decreto, ha sollevato un ampio dibattito tra gli operatori del settore, i quali hanno osservato che l’assegnazione di un obbligo di conservazione alla sola PA possa finire per ledere, di fatto, il diritto di difesa di cittadini ed imprese che si troverebbero privi di mezzi di prova qualora dovesse sorgere una controversia con la stessa PA in relazione all’esistenza di un documento. Queste considerazioni sono state, per la verità, neutralizzate dal Consiglio di Stato, il quale ha osservato che tale novella lascia invariata la facoltà per cittadini e imprese di detenere, eventualmente, copie di tali documenti.

Un secondo punto affrontato dal Consiglio di Stato riguarda l’ambito soggettivo di applicazione di tali nuove disposizioni. Il testo della novella si rivolge alle pubbliche amministrazioni, escludendo qualsiasi riferimento alle società partecipate di cui all’art. 2 comma 2 del CAD, che pure restano soggette al rispetto delle disposizioni dettate dal Codice dell’amministrazione digitale, nonché – aggiungiamo – ai “privati”, cui comunque si applicherebbe l’articolo 44 del CAD, anche in base al testo riformato.

Un terzo punto riguarda il ruolo riservato dallo schema di decreto ai sistemi di conservazione. Sebbene la novella non elimini l’obbligo del ricorso alla conservazione “a norma” del documento informatico qualora lo prevedano specifiche disposizioni normative o regolamentari, non può non balzare agli occhi la differenza di “trattamento” riservato al sistema di gestione informatica dei documenti, a scapito del sistema di conservazione, le cui caratteristiche e finalità risulterebbero definite – se tale impostazione verrà confermata in via definitiva – solo dalle regole tecniche emanate in materia (DPCM 3 dicembre 2013).

Le crtitiche del Garante Privacy

demat_13916202_xlAlle osservazioni avanzate dal Consiglio di Stato questi si sono aggiunti, in seguito, i rilievi sollevati sullo schema di decreto legge dal Garante per la protezione dei dati personali con provvedimento del 9 giugno 2016, che concernono, tra le atre cose, la definizione di “identità digitale” e l’ambito soggettivo di applicazione di questo diritto (dal quale risulterebbero ingiustificatamente estromesse alcune categorie di soggetti), nonché la necessità di rendere interoperabili a livello transfrontaliero i certificati di firma e di raccordare le informazioni in essi contenute con il principio di pertinenza e non eccedenza stabiliti dal Codice Privacy e riaffermati con maggior vigore dal Regolamento UE n. 2016/679 sul Data Protection, di recentissima emanazione, che portano a ritenere eccessive alcune informazioni previste nella novella come obbligatorie (es. l’indicazione del codice fiscale nel certificato di firma elettronica qualificata come attributo specifico aggiuntivo).

Concludendo

Dunque, i fronti su cui il legislatore delegato deve operare per eliminare le criticità sollevate in merito alla riforma del CAD sono molti ed il tempo necessario a dotare il nostro ordinamento delle basi giuridiche idonee ad avviare l’erogazione di nuovi servizi disciplinati dall’eIDAS (i “servizi fiduciari” quali i sigilli elettronici, i servizi di creazione, verifica e convalida di certificati di autenticazione di siti web, i servizi elettronici di recapito certificato) è scaduto. Ciò non può che aumentare il livello di urgenza posto dal legislatore sull’argomento, considerata non solo l’esigenza di conformarsi agli obblighi europei, ma di evitare che in un settore sempre più cruciale per l’economia del Paese, come quello della digitalizzazione, vada in stallo, vanificando gli sforzi finora fatti dalla pubblica amministrazione, dai cittadini ed dalle imprese.

Don`t copy text!