Identità digitali unite d’Europa: sprone per il mercato ma l’Italia è in ritardo
Con l’adozione del Regolamento eIDAS il quadro normativo viene aggiornato su scala europea per garantire la piena interoperabilità a livello comunitario dei servizi “fiduciari” e dei servizi di identificazione ed autenticazione che sono la base dell’identità elettronica. Ecco alcune riflessioni rispetto alla diffusione di SPID
27 Giugno 2016
Eugenio Prosperetti, avvocato, docente informatica giuridica LUISS "Guido Carli"
Il
regolamento Eidas parte dal presupposto che ogni Stato membro si sarà dotato di
un proprio sistema di identità elettronica e dunque non disciplina nel merito i
singoli sistemi identità; esso invece si occupa di assicurare che l’identità
elettronica rilasciata da uno Stato sia rispondente a una serie di requisiti
minimi e che, su questa base, possa essere riconosciuta come valida ed
accettata anche degli altri Stati membri specie nei rapporti con le pubbliche
amministrazioni. Assicura inoltre una serie di meccanismi a tutela
dell’interoperabilità di questo sistema di identità elettroniche reciprocamente
riconosciute tra Stati membri.
Con l’adozione del Regolamento Eidas, infatti, il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento viene aggiornato su scala europea per garantire la piena interoperabilità a livello comunitario non solo della firma elettronica ma di tutto un insieme di servizi di terza parte detti appunto “fiduciari” e dei servizi di identificazione ed autenticazione che sono la base dell’identità elettronica.
Il Regolamento, entrato in vigore il 17 settembre 2014, prevede una applicazione graduale che culminerà, il prossimo 1 luglio nella piena forza del Regolamento e conseguente abrogazione della Direttiva 1999/93/EC, fatti salvi certificati, firme e dispositivi preesistenti. A quella data il Regolamento sarà l’unico riferimento normativo per le materie in questione, superando ogni norma in contrasto a livello nazionale che viene ad essere implicitamente abrogata. Un Regolamento europeo è, infatti, una norma di legge che, in base al diritto comunitario, è direttamente applicabile a livello dei singoli Stati membri anche se nelle materie in questione la transizione da normativa nazionale a normativa unica europea presenta alcuni problemi che in Italia devono necessariamente essere affrontati e dei quali, come si diceva, ci si sta occupando nell’ambito dell’intervento di riforma del Codice dell’Amministrazione Digitale in corso per l’attuazione della Carta della Cittadinanza Digitale attualmente all’esame delle Commissioni parlamentari.
L’entrata in vigore del Regolamento rivoluziona fortemente il quadro normativo vigente centralizzando anche l’emissione degli atti di esecuzione, che dovranno richiamare sempre, con l’eccezione di pochi casi specifici, le norme degli enti di standardizzazione il cui uso in passato è sempre stato discrezionale, cosa che ha pregiudicato gravemente la possibilità di garantire l’interoperabilità tra Stati membri.
Il quadro giuridico e tecnico del Regolamento eIDAS consente così di individuare in modo preciso gli standard di riferimento per garantire l’interoperabilità e di poterli aggiornare in modo flessibile ove necessario con l’obiettivo di consentire lo sviluppo di servizi fiduciari digitali affidabili e promuovere così la fiducia nelle transazioni elettroniche favorendo la creazione ed il successo del mercato digitale unico europeo.
Tuttavia, la scelta di adottare un regolamento comunitario per riformare i servizi fiduciari, precedentemente regolati mediante una direttiva che ciascuno Stato membro implementava per proprio conto, costringe ora a intervenire d’urgenza sulle norme degli Stati membri che risultano incompatibili con il nuovo regolamento che sta per entrare in vigore. Vi sono infatti numerose norme incoerenti e terminologie non omogenee presenti nelle definizioni e nelle norme attuative che a tutt’oggi regolano importanti servizi quali la firma digitale e i documenti elettronici. Il dibattito sulle modalità per assicurare la complessiva coerenza delle previgenti disposizioni con il nuovo Regolamento ha sinora rallentato il processo di riforma della normativa e causato anche alcune controversie in Italia davanti alla giustizia amministrativa riguardo le modalità più corrette di attuazione (in particolare circa i requisiti di capitale sociale minimo per i gestori dell’identità digitale). La complessità italiana di attuazione del nuovo regime deriva anche dal fatto che l’Italia era lo Stato membro che aveva fatto i maggiori sforzi per l’attuazione della Direttiva del 1999 con una legislazione riguardo le firme digitali e servizi quali la posta elettronica certificata e la conservazione digitale particolarmente articolata.
Sarà importante giungere con celerità alla definizione delle norme che attueranno il regolamento eIDAS in Italia (contenute prevalentemente nel nuovo CAD) in quanto rimangono da definire le modalità con le quali attuare in Italia il riconoscimento reciproco dei servizi degli altri Stati membri oltre alla notifica alla Commissione UE dell’identità digitale SPID per assicurarne il riconoscimento a livello europeo.
A tal proposito dispiace constatare che vi sia già un certo ritardo e che, a quanto sembra, il CAD non sarà approvato entro luglio.
A partire dal 1 luglio 2016, la Direttiva 1999/93/CE sulle firme elettroniche e le relative norme nazionali saranno infatti abrogate e il Regolamento sarà immediatamente applicabile.
Il Regolamento eIDAS stabilisce i principi giuridici fondamentali e generali, che si ritiene siano stabili nel tempo e non richiedano modifiche frequenti, e prevede una normativa secondaria (atti delegati o di esecuzione) di competenza della Commissione per la definizione delle regole tecniche e tecnologiche. Tali atti esecutivi si limiteranno a richiamare norme tecniche elaborate da organismi internazionali o enti di normalizzazione/standardizzazione riconosciuti a livello UE.
La situazione che si viene a creare con l’entrata in vigore del Regolamento mira dunque a fare in modo che siano enti di normazione tecnica, a proporre – con la partecipazione degli stakeholder – gli strumenti tecnici atti a realizzare quanto previsto dal Regolamento. Gli atti d’esecuzione sono lo strumento giuridico che assicura che le norme tecniche siano prodotte in linea con quanto previsto dal Regolamento. Il contesto giuridico e tecnico di riferimento complessivo che si viene a creare garantisce quindi l’interoperabilità in un modo che non può essere modificato da leggi nazionali.
Sono già stati emanati dalla Commissione UE i primi atti di legislazione secondaria applicativi del Regolamento eIDAS e di cui l’Italia dovrà tenere conto a partire da luglio 2016 e ai fini della definitiva elaborazione ed approvazione del nuovo CAD:
- REGOLAMENTO DI ESECUZIONE (UE) 2015/1501 della Commissione dell’8 settembre 2015 relativo al quadro di interoperabilità di cui all’articolo 12, paragrafo 8, del regolamento (UE) n. 910/2014: Viene previsto che vi siano “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura di identificazione elettronica degli Stati membri. Tali “nodi” saranno in grado di scambiare le informazioni necessarie per garantire che l’infrastruttura di identificazione elettronica nazionale di uno Stato membro possa interoperare con le infrastrutture di identificazione elettronica nazionale di altri Stati membri al fine di garantire che un mezzo di identificazione notificato possa essere accettato per l’accesso ai servizi offerti da tutti gli Stati membri (in conformità con le norme sulla data protection previste dal prossimo Regolamento data protection europeo). Attraverso i “nodi” potrebbe essere in teoria possibile che un certo Stato, che non utilizza uno standard per la propria identità elettronica, sia costretto ad adottarlo comunque perché richiesto dalla identità digitale di altro Stato. D’altra parte è specificato espressamente nel Regolamento 2015/1501 che la Commissione può, in cooperazione con gli Stati membri, elaborare ulteriori specifiche tecniche che forniscano dettagli sui requisiti tecnici definiti nel regolamento se l’attuazione del quadro di interoperabilità lo giustifica.
- REGOLAMENTO DI ESECUZIONE (UE) 2015/806 della Commissione del 22 maggio 2015 che stabilisce le specifiche relative alla forma del marchio di fiducia UE per i servizi fiduciari qualificati: Con questo provvedimento si definisce un marchio e le relative condizioni di utilizzo, per consentire agli utilizzatori dei servizi fiduciari di distinguere chiaramente i servizi fiduciari qualificati da altri servizi.
- DECISIONE DI ESECUZIONE (UE) 2015/1505 della Commissione dell’8 settembre 2015 che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all’articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014: Tale decisione prevede che tutti gli stati istituiscano, mantengano e pubblichino gli elenchi di fiducia in un formato elaborabile e opzionalmente in un formato leggibile, comprendenti le informazioni relative ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati erogati da quest’ultimi e ai servizi fiduciari qualificati da essi erogati specificando le modalità e gli standard con le quali mantenere e pubblicare tali elenchi distinguendo i servizi fiduciari qualificati a norma del Regolamento eIDAS da altri servizi fiduciari istituiti dai singoli Stati membri (ad esempio i conservatori accreditati).
- DECISIONE DI ESECUZIONE (UE) 2015/1506 della Commissione dell’8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all’articolo 27, paragrafo 5, e all’articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014: Questo atto di esecuzione stabilisce i formati che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, devono riconoscere.
- REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 della Commissione dell’8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014: Il regolamento Eidas prevede che il regime di identità elettronica di uno Stato membro possa essere notificato alla Commissione. Questo atto d’esecuzione ha lo scopo di assicurare che ci sia un’interpretazione uniforme dei livelli di garanzia delle identità elettroniche (digitali) in tutta l’Unione con criteri e procedure comuni. Uno dei primi temi da affrontare dopo l’entrata in vigore definitva del Regolamento sarà, non a caso, proprio la notifica del sistema SPID ai sensi del Regolamento Eidas.
- Si vede dunque come la riforma che porta all’adozione di identità e servizi fiduciari interoperabili a livello di Unione Europea sia già in avanzato corso, tanto che le disposizioni nazionali di coordinamento, pur necessarie, non sono una condizione necessaria per la validità dei meccanismi che consentiranno alle identità digitali notificate di avere validità negli altri Stati.
In altre parole, non occorre che l’Italia abbia uno SPID pienamente funzionante perché vi sia obbligo per l’Amministrazione italiana di riconoscere le identità digitali degli altri Stati e di far accedere, tramite esse, ai dati e procedimenti in maniera interoperabile.
Si può in effetti parlare di un vero e proprio vincolo alla interoperabilità derivante dalla necessità di aprire le PA ed i loro dati al riconoscimento reciproco delle identità elettroniche.
Di tale coordinamento e regolamentazione beneficerà anche il livello nazionale, poiché l’interoperabilità “imposta” necessaria per lavorare tra Stato membro e Stato membro consentirà di superare anche le incompatibilità e diversità tra standard dei vari sistemi che attualmente rendono difficoltoso il coordinamento e la regolamentazione della PA digitale a livello nazionale.