Caccia: “Ma se il Cad non si adegua a Eidas rischia l’abrogazione”

L’Italia è il Paese europeo col numero maggiore di servizi fiduciari (generalizzazione del termine “certificatore” del CAD vigente) già operativi prima del Regolamento eIDAS. La firma digitale remota (che con oltre 6 milioni di certificati attivi rappresenta il 75% delle credenziali di firma elettronica qualificata rilasciate) è un successo che vede l’Italia prima tra i Paesi europei. Questo fattore dovrebbe rappresentare un vantaggio competitivo per l’Italia purché da un lato gli interventi di allineamento col quadro legislativo e tecnico europeo sia fatto correttamente e per tempo, dall’altro l’Italia non perda il controllo degli standard che sono alla base di questi servizi.

Dal punto di vista tecnico l’allineamento agli standard individuati a livello europeo, rinunciando gradualmente ai particolarismi nazionali, è l’unica strada sensata per evitare che i prestatori di servizio nazionali si trovino da un lato limitati a vendere i propri servizi solo al solo territorio nazionale, dall’altro ad avere una contrazione del mercato domestico come conseguenza della competizione con i prestatori esteri che potranno operare in Italia grazie ai principi di libera circolazione di prodotti e servizi. In generale va sottolineato come l’uso degli standard è un fattore competitivo fondamentale ma ampiamente sottovalutato che porta benefici molto significativi all’economia, come riportato nella Comunicazione dalla Commissione europea dello scorso ottobre sul Mercato Unico Digitale (COM(2015) 550 final). Il CAD potrebbe essere un’occasione per promuoverne la cultura e l’uso, ad esempio in ambito e-procurement, per una migliore efficienza sia in ambito pubblico che privato, e digital manufacturing, con una ricaduta benefica sull’industria dove c’è un disperato bisogno di recuperare competitività.

L’attuale schema di decreto di modifica del CAD invece non appare adeguato alla sfida che si profila con l’entrata in vigore del Regolamento eIDAS il prossimo 1 luglio:

• La previsione di un capitale sociale elevato e in misura fissa non è in linea con quanto stabilito dall’articolo 24 del Regolamento eIDAS che prevede che per far fronte alle responsabilità civili per danni siano mantenute risorse finanziarie adeguate e/o siano stipulate assicurazioni adeguate; in ogni caso l’ammontare della garanzia è richiesto che sia nei limiti stabiliti in base all’articolo 13 e correlato con le limitazioni d’uso, non stabilito in misura fissa. Questo vincolo sul capitale penalizza soprattutto le PMI e la nascita di servizi innovativi portando al rischio che le imprese italiane stabiliscano sedi estere e che vengano aperte procedure di infrazione all’Italia.
• I servizi nazionali oggetto del CAD dovrebbero, per quanto possibile, evolvere verso i corrispondenti servizi fiduciari europei. La PEC è un chiaro esempio: potrebbe gradualmente evolvere verso i corrispondenti standard europei emessi dall’ETSI (REM – Registered Electronic Mail), consentendo così ai nostri prestatori di servizio di competere con i prestatori esteri, Invece non solo la PEC viene mantenuta in vita separata dai servizi fiduciari, ma si riconoscono esplicitamente come equivalenti altri servizi elettronici di recapito certificato qualificato, a discrezione del mittente. Di conseguenza i prestatori esteri potrebbero operare in Italia producendo per le pubbliche amministrazioni italiane costi di integrazione elevati e neppure quantificabili a priori.
• Per evitare inutile confusione, sarebbe utile evitare di usare il termine “accreditamento” in riferimento a PEC, conservazione, gestori delle identità SPID, ma usare il termine “qualificazione” come per i servizi fiduciari qualificati previsti dal Regolamento eIDAS. Lo stesso Regolamento incoraggia questa possibilità nel considerando 25, anche per evitare l’uso improprio del termine “accreditamento” che è oggetto del Regolamento (CE) 765/2008.
• Vi sono numerosi casi, come nel caso dell’articolo 35 sulla certificazione dei dispositivi di firma, in cui nello schema di decreto vi è una sorta di “recepimento” ovvero lo schema di decreto che modifica il CAD ripete quanto già indicato dal Regolamento, duplicando (in modo impreciso) quanto già stabilito dal Regolamento.