Blockchain e Pubblica Amministrazione

Su agendadigitale.eu è stato pubblicato il mio articolo su "Blockchain e PA: i casi d'uso a vantaggio di trasparenza e…

Blockchain, i tre approcci per governarla

Anche su Agendadigitale.eu è stato ripreso l'articolo sull'intervento sulla blockchain tenuto in occasione del ForumPA 2017. Il titolo sintetizza gli approcci…

Intervento a ForumPA2017 sulla governance della blockchain

Vi segnalo il testo del mio intervento sulla governance della blockchain e sulle sue possibili applicazioni nella pubblica amministrazione italiana che…

Spid, per la sicurezza bisogna cambiare il sistema di riconoscimento

In merito alle recenti vicende relative alla presunta falla nel sistema di riconoscimento per il rilascio di un'identità digitale SPID…

Pagamenti elettronici - stato dell'arte e prospettive

Per chi non ha potuto seguire il convegno che si è svolto a Roma sull'evoluzione dei pagamenti digitali consiglio di…

«
»

Il Sistema Pubblico per la Gestione dell’Identità Digitale.

Con Decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 sono state definite le caratteristiche del Sistema Pubblico per la Gestione dell’Identità Digitale di cittadini e imprese (SPID), nonché i tempi e le modalità di attuazione dello stesso da parte delle pubbliche amministrazioni, dei cittadini e delle imprese.

Lo SPID prende le mosse dall’art. 64 del D.L.vo n. 82/2005 (cd. Codice dell’amministrazione digitale – C.A.D.) [1], e, più precisamente, dalla novella di detto articolo introdotta con il decreto legge 21 giugno 2013 n. 69 (cd. “Decreto del fare”) convertito, con modificazioni, dalla legge 9 agosto 2013 n. 69. In particolare, il decreto legge ha inserito i commi da 2 bis a 2 sexies dell’art. 64 del C.A.D., istituendo, allo scopo di “favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità”, un sistema pubblico di gestione di identità digitali.

Lo SPID, secondo il comma 2 ter dell’art. 64 del C.A.D. è un insieme aperto di soggetti pubblici e privati che gestiscono “i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati”. Si configura, pertanto, come un sistema per gestire le attività di identificazione informatica [2] di cittadini ed imprese, a cui partecipano diversi attori, pubblici e privati, teso principalmente a consentire l’accesso ai servizi telematici resi dalle pubbliche amministrazioni, non escludendo altresì la possibilità per le imprese di avvalersi di tale sistema per l’erogazione dei propri servizi telematici agli utenti.

La normativa in esame ha introdotto un nuovo sistema di accesso ai servizi in rete delle pubbliche amministrazioni da parte di cittadini ed aziende, questo sistema si affianca ai sistemi già in essere, ossia la carta di identità digitale e la carta nazionale dei servizi, il cui utilizzo continua a dover essere consentito indipendentemente dalla modalità di accesso predisposta dalla singola amministrazione. Dalla lettura del 2° comma dell’art. 64 del C.A.D., emerge, anzi, che tali tipologie di strumenti di identificazione informatica saranno gli unici consentiti alle pubbliche amministrazioni, le quali potranno far accedere i cittadini ai servizi in rete “solo” mediante detti strumenti.

Attraverso lo SPID i cittadini e le imprese potranno richiedere alle pubbliche amministrazioni, ma anche ai soggetti privati che aderiscono allo SPID, servizi telematici quali il rilascio di certificati, attestazioni, l’accesso ai propri dati conservati in banche dati pubbliche, l’erogazione e la stipulazione di contratti per cui non è richiesta la forma scritta.

A livello di Unione Europea lo SPID italiano, così come regolato dalla novella del cd. “Decreto del fare”, rappresenta un’attuazione del Regolamento (UE) n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (cd. “Regolamento eIDAS”)[3], espressamente citato nel preambolo del Decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese” (DPCM).

Tale regolamento, che fa parte degli obiettivi dell’Agenda Digitale europea 2020, è stato adottato in seguito alla costituzione, in seno alla Commissione Europea, di una task force di esperti, ciò sulla presa d’atto dell’eccessiva frammentazione del mercato interno derivante dall’applicazione di norme diverse per i fornitori di servizi di comunicazione elettronica a seconda dello Stato membro in cui essi erano erogati. Nella consapevolezza da parte dell’Unione Europea dell’importanza di uniformare anche le regole del mercato elettronico europeo, conferendo un grado di fiducia ai suoi operatori almeno pari a quello delle transazioni fisiche, il Regolamento eIDAS vuole assicurare il maggior grado di interoperabilità possibile tra i vari sistemi adottati nei Paesi membri, istituendo chiare regole e responsabilità e garantendo la certezza del diritto ed il riconoscimento reciproco dei servizi di identificazione elettronica. Ciò anche al fine di evitare quanto accaduto con la direttiva 99/93/CE in materia di firme elettroniche, che ha visto divergenti implementazioni nazionali a causa di diverse interpretazioni da parte degli Stati membri, con conseguenti problemi di interoperabilità transfrontaliera.

Vengono così regolati, a livello comunitario, adottando un approccio tecnologicamente neutrale, alcuni strumenti atti ad assicurare l’effettività del mercato digitale transfrontaliero all’interno dell’Unione Europea, provvedendo il Regolamento eIDAS a disciplinare la gestione delle identità elettroniche, l’utilizzo di strumenti atti a garantire la veridicità di un sito Internet, i sistemi di posta elettronica in grado di fornire ricevute di consegna al mittente, una nuova disciplina delle firme elettroniche e l’introduzione dei sigilli elettronici, ed i servizi di marcatura temporale.

Molti degli strumenti appena citati sono già in uso nell’ordinamento italiano, e regolati nel C.A.D. e nelle norme attuative emanate dall’Agenzia per l’Italia Digitale (AGID), altri invece costituiscono un’innovazione per il sistema italiano.

E’ importante sottolineare che il sistema SPID non è in conflitto con quanto previsto nel Regolamento eIDAS, ma, anzi, a ben vedere ne costituisce la prima attuazione tra i Paesi membri. Il Governo italiano si è posto l’obiettivo di rendere operativo lo SPID per il mese di aprile 2015, e per far ciò l’AGID dovrà emanare, nel rispetto di tale tempistica, i regolamenti attuativi previsti dall’art. 4 del DPCM 24 ottobre 2014.

Note

[1] Contrariamente a quanto potrebbe indurre l’espressione “codice dell’amministrazione digitale”, l’applicazione delle disposizioni in esso contenute “…non è ristretta alle pubbliche amministrazioni centrali, regionali e locali ma si estende a tutti, sicché può ben dirsi che detto CODICE … costituisce, oggi, il pilastro fondamentale di tutta la legislazione italiana in tema di diritto dell’informatica …”, così R. Borruso – S. Russo – C. Tiberi, L’informatica per il giurista. Dal Bit a Internet, III ediz., Giuffrè, Milano, 2009, p. 458.

[2] Secondo l’art. 1, comma 1, lett. u-ter del C.A.D. per identificazione informatica si intende “la validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. Si tratta, pertanto, delle attività che in termini strettamente informatici vengono comprese nel termine di autenticazione informatica, ossia le operazioni che consentono ad un soggetto di accedere ad un sistema informatico previa validazione di alcuni elementi (tipicamente una userid ed una password) conosciuti a detto soggetto, in maniera da identificarlo sul sistema. Alcuni autori identificano l’utilizzo di una userid e password con la firma elettronica, vd. G. Finocchiaro, Ancora novità legislative in materia di documento informatico:le recenti modifiche al Codice dell’amministrazione digitale, in Contratto e impresa, n. 2, Cedam. Padova, 2011.

[3] L’acronimo eIDAS sta ad indicare “Electronic identification and trust services”, ossia i servizi di identificazione elettronica e fiduciari, che, nella letteratura tecnica anglosassoni, indicano tipicamente quei servizi diretti a conferire fiducia nelle transazioni elettroniche, rendendo maggiormente sicura l’identificazione tra le parti che pongono in essere la transazione.