Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Palazzo ONU NY BandiereGiusella Finocchiaro è stata rieletta all’unanimità presidente del Gruppo di Lavoro IV sul Commercio elettronico della Commissione delle Nazioni Unite per il diritto commerciale internazionale (UNCITRAL).

L’elezione è avvenuta nel corso della 55esima sessione del Gruppo di lavoro, che si svolge a New York dal 24 al 28 aprile 2017. Contestualmente, il Working Group ha avviato i lavori sul tema dell’identità digitale e dei servizi fiduciari (identity management and trust services).

Sotto la presidenza di Giusella Finocchiaro il gruppo di esperti dovrà elaborare le prime bozze di lavoro, che riguarderanno i sistemi di Identificazione Digitale, sia con pluralità di soggetti sia bilaterali, e dovrà considerare l’identità sia delle persona fisiche che di quelle giuridiche, senza escludere al momento gli oggetti digitali. Il mandato della Commissione riguarda anche i “trust services” che saranno presi in considerazione fin dalle prime sessioni per quanto concerne l’elaborazione delle definizioni.

È possibile seguire l’andamento dei lavori sulla pagina del sito dell’UNCITRAL dedicata al Gruppo di lavoro.

European-unionLa 54esima sessione del Gruppo di lavoro sul Commercio elettronico dell’UNCITRAL ha visto la conclusione dei lavori per la regolamentazione degli “Electronic Transferable Records.” Nasce un nuovo Working Group dedicato all’Identity Management.

Durante l’ultima sessione viennese, il Gruppo di lavoro sul Commercio elettronico della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) ha prodotto una versione definitiva del modello di legge internazionale sugli Electronic Transferable Records e ha richiesto al Segretariato dell’UNCITRAL di trasmettere il testo a tutti gli Stati e le organizzazioni internazionali per avere commenti, per poi sottoporre il testo alla Commissione Uncitral in luglio a Vienna.

Negli ultimi 5 anni l’attività del Working Group si è concentrata sulla definizione, sulle regole e sull’utilizzo di questi particolari dati elettronici finanziari. Dal 2012 il Gruppo di lavoro è stato presieduto da Giusella Finocchiaro che ne è stata Presidente fino alla chiusura dei lavori.

Nell’attività riguardante gli ETR, il Gruppo di lavoro si è ispirato ad alcuni principi fondamentali quali il principio della neutralità tecnologica e il principio di non discriminazione fra i documenti cartacei e quelli elettronici, mantenendo minimo l’impatto sulla normativa di diritto sostanziale nazionale.

Contestualmente alla chiusura dello studio sugli Electronic Transferable Records, il Working Group ha avviato una discussione sul nuovo progetto assegnato dalla Commissione, l’Identity Management, un tema oggi di estremo interesse nazionale e internazionale.

Il nuovo Gruppo di lavoro dovrà concentrarsi sia sui sistemi di Identificazione Digitale con pluralità di soggetti, sia quelli bilaterali e dovrà considerare l’identità sia delle persona fisiche che di quelle giuridiche, senza escludere al momento gli oggetti digitali. Si è ricordato che il mandato della Commissione riguarda anche i “Trust Services” che saranno presi in considerazione in futuro, ma fin da subito per quanto concerne l’elaborazione delle definizioni.

Si è costituito così un Gruppo di esperti per l’elaborazione delle prime bozze di lavoro. Avrà una certa rilevanza l’approccio europeo che la Commissione Europea, essendo appena entrato in vigore il Regolamento Europeo in materia, ha particolare interesse a promuovere.

Una recente sentenza della Corte di Giustizia Europea che gli indirizzi IP possono essere considerati come dati personali perché possono essere impiegati per individuare un utente attraverso il ricorso alle autorità o agli ISP provider.

La questione è stata posta nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland (Repubblica federale di Germania) in merito alla registrazione e alla conservazione dell’indirizzo IP del sig. Breyer in occasione della consultazione di vari siti Internet dei servizi federali tedeschi.

Al fine di contrastare attacchi e identificare i «pirati informatici», nei siti governativi tedeschi gli accessi sono registrati e, al termine della sessione di consultazione, vengono memorizzati dati quali il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

Il sig. Breyer si è rivolto ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia vietato conservare gli indirizzi IP. La richiesta è stata rigettata in primo grado ma il giudice di appello ha parzialmente accolto l’istanza condannando la Repubblica federale di Germania ad astenersi dal conservare gli indirizzi IP qualora essi vengano memorizzati unitamente alla data della sessione di consultazione e qualora gli utenti abbiano rivelato la propria identità durante la sessione, anche sotto forma di un indirizzo elettronico.

Secondo la Corte di appello tedesca, dunque, un indirizzo IP dinamico, associato alla data della consultazione, è da considerarsi un dato personale solo nel caso in cui l’utente abbia rivelato la propria identità durante la navigazione, mentre  se un utente non indica la propria identità durante una sessione di consultazione l’indirizzo IP non sarebbe un dato personale perché solamente l’Internet Service Provider può ricollegare l’indirizzo IP al nome di un abbonato.

Opponendosi alla decisione del giudice di appello si sono rivolti al Bundesgerichtshof (Corte federale di giustizia) sia la Repubblica federale di Germania che il sig. Breyer. Quest’ultimo puntava ad un accoglimento integrale della sua domanda inibitoria mentre lo Stato ne chiedeva il rigetto.

Il giudice del rinvio ha precisato che la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente e ha posto una controversia dottrinale riguardo alla scelta di un criterio «oggettivo» oppure di un criterio «relativo» per stabilire se una persona sia identificabile. Applicando un criterio «oggettivo», dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo un criterio «relativo», invece, questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La corte di Giustizia Europea ha innanzitutto rilevato che un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. Tuttavia, ha sottolineato la corte, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Secondo la Corte, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46. Infatti, occorre determinare se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera.

Nonostante il diritto nazionale tedesco non consenta agli ISP di trasmettere direttamente le informazioni per identificare una persona a partire da un indirizzo IP, la Corte ha rilevato che esistono strumenti giuridici che consentono ai gestori di siti, in particolare in caso di attacchi cibernetici, di rivolgersi alle autorità affinché queste ottengano tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. Pertanto ne deriva che esistono mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, una persona sulla base del suo indirizzo IP.

La Corte di Giustizia Europea ha quindi stabilito che l’articolo 2, lettera a), della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito costituisce, nei confronti del gestore del sito, un dato personale, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso all’Internet service provider dell’utente.

La sentenza della Corte di Giustizia è disponibile QUI.

posted by admin on ottobre 15, 2016

identità digitale

(No comments)

Accogliendo le richieste di Assoprovider, Confcommercio e Assintel, la Terza Sezione del Tar Lazio ha annullato il regolamento dell’Agenzia per l’Italia Digitale sui requisiti di accreditamento dei Gestori di identità digitale basati sui requisiti di capitale e sull’entità delle polizze assicurative.

Con sentenza n. 10214/2016 il Tar Lazio si è pronunciato sulla richiesta di annullamento del regolamento Agid che definiscele caratteristiche del sistema SPID (sistema pubblico di identità digitale). Il Tar ha accolto parzialmente il ricorso rispetto al tetto di capitale sociale minimo e alla stipula di polizza assicurativa richiesta per l’accreditamento dei gestori di identità digitale.

Per quanto riguarda il capitale sociale minimo l’annullamento del TAR non avrà un impatto specifico in quanto il regolamento non fa alcun riferimento preciso al capitale sociale ma si limita a richiamare i principi contenuti nell’art.10comma 3 DPCM del 24/10/2014 già annullato il 24 marzo 2016 da una sentenza del Consiglio di Stato.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”. Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’Agid ha sottolineato che comunque per i soggetti che intendono avviare l’attività di gestore dell’identità digitale il nuovo Codice dell’Amministrazione Digitale (CAD) prevede un tetto massimo di capitale sociale di cinque milioni di euro e una graduazione specifica in proporzione al livello di servizio offerto. Sarà compito dell’Agenzia fissare le nuove regole tecniche per l’accreditamento in base alle indicazioni fornite dal nuovo CAD.

Il Tar ha annullato anche il requisito delle “polizze assicurative di importo molto elevato, rapportato al numero di identità digitali gestite, quantomeno laddove non emergono in modo congruo e adeguato le ragioni che giustificano detti importi, in relazione ai rischi che in concreto si corrono con l’attività in esame e ai possibili danni a terzi già prevede l’adozione di rigorose norme di cautela”.

Anche a questo riguardo, tuttavia, l’Agid ha ricordato che per quanto riguarda la stipula di polizze previste per la copertura dei rischi che derivano dall’’attività di identity provider, il nuovo CAD prevede la definizione di una graduazione che possa assicurarne l’adeguatezza in proporzione al livello di servizio offerto dal gestore.

La sentenza del TAR non incide direttamente sugli accreditamenti fatti finora da AGID. I gestori accreditati continuano a svolgere le proprie attività di erogazione delle identità e i Pin rilasciati finora rimangono validi.  Resta inoltre immutata la disposizione della regolamentazione che prevede che i costi dell’accreditamento siano a carico sostanzialmente degli enti accreditati. Rimane concreta la possibilità di ricorso per le imprese che non hanno potuto partecipare alle procedure di accreditamento in virtù dei requisiti dichiarati poi illegittimi.

facebookAccolto il ricorso di un utente italiano a cui Facebook non aveva concesso il blocco dei falsi profili realizzati a suo danno.

Facebook deve rispondere dei profili falsi creati sulla sua piattaforma offrendo collaborazione e trasparenza. Il Garante ha reso noto in questi giorni un provvedimento del febbraio scorso nel quale si pronuncia in relazione a un caso che contrappone un noto medico di Perugia a Facebook Ireland Ltd. Il ricorso, presentato dall’uomo nel novembre del 2015, ha origine da un tentativo di estorsione attuato sulle pagine del famoso social network.

Il medico era stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato”. Il criminale aveva creato un falso account utilizzando foto e dati personali del medico perugino e aveva tentato di ricattarlo minacciando di diffondere fotomontaggi osceni di stampo pedopornografico presso amici, conoscenti e colleghi. L’uomo, che non aveva ceduto al ricatto, si era rivolto a Facebook affinché provvedesse a eliminare i profili fake e a fornire tutte le informazioni utili a limitare nel più breve tempo possibile il danno d’immagine in atto.

Facebook, stando a quanto dichiarato dai legali dell’uomo, non avrebbe provveduto ad agire nel merito, non consentendo in modo soddisfacente e completo l’acceso ai dati richiesti. In particolare, avrebbe semplicemente reso disponibile tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perché indicati con codici, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network.

Il Garante ha pertanto stabilito che Facebook Ireland Ltd, che possiede le informazioni richieste dall’uomo, debba comunicare «in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome». Il social dovrà inoltre provvedere al blocco del falso profilo per agevolare le eventuali indagini volte a risalire all’identità dei responsabili del tentativo di estorsione.

Allo scadere dei trenta giorni stabiliti per adempiere alle richieste del Garante, Facebook avrà circa due settimane per presentare un’opposizione al tribunale di Perugia, pena una multa e una condanna fino a due anni di detenzione.

posted by admin on marzo 29, 2016

identità digitale

(No comments)

La quarta sezione del Consiglio di Stato ha confermato la sentenza del Tar Lazio che nel luglio 2015 aveva annullato il criterio del capitale sociale minimo di 5 milioni per diventare identity provider.

Con la sentenza n. 1214 del 24 marzo 2016 il Consiglio di Stato ha bocciato la norma sul capitale sociale del decreto della Presidenza del Consiglio dei Ministri del 24.10.2014, attuativo del sistema SPID, il sistema pubblico di identità digitale che dà la possibilità a cittadini e imprese di richiedere le credenziali con le quali connettersi ai servizi online della PA.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”.

Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’imposizione del requisito di un capitale sociale così alto, contrapposto all’assenza di tale obbligo per gli operatori pubblici, era stata ritenuta dai giudici del Tar una indebita discriminazione in favore della Pubblica Amministrazione, distorsiva del mercato e in aperto contrasto con la normativa antitrust e con il Regolamento Europeo.

L’attuale sentenza chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale. La norma sarebbe illegittima anche «per irragionevolezza dell’impedimento all’accesso al mercato di riferimento,dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti».

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.  Esaminiamo qui il tema dei diritti degli interessati dal trattamento dei dati personali.

Preminente (anche a livello strutturale) è la sezione dedicata al riconoscimento di una vasta gamma di diritti (artt. 12-20) in capo agli interessati, ossia alle persone fisiche i cui dati sono oggetto di trattamento. La direzione, da accogliere favorevolmente, è quella di rafforzare i diritti sinora riconosciuti adeguandoli all’ambiente virtuale, e di conferire agli interessati un maggiore potere di controllo sui propri dati personali: in questa ottica, sono da segnalare il diritto di rettifica dei dati (art. 16), il diritto all’oblio (art. 17), il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze (art. 17a), il diritto alla portabilità dei dati (art. 18) e il diritto ad opporsi ai trattamenti effettuati sulla base di un pubblico interesse o di un legittimo interesse del titolare del trattamento (art. 19).

Si è tentato di calare tali diritti, validi per il trattamento effettuato con mezzi tradizionali, nel contesto digitale: un esempio è offerto dalle disposizioni inerenti alle modalità di esercizio del diritto all’oblio, il quale, se fatto legittimamente valere, onera il titolare del trattamento ad assicurare la cancellazione non solo del dato, bensì anche di ogni riferimento (“any links”), copia o duplicazione dello stesso da parte di qualsiasi altro titolare che abbia trattato o tratti quel determinato dato. Analogamente, il diritto alla portabilità dei dati evidenzia la necessità di modernizzare e di approntare soluzioni adeguate alle problematiche emergenti dall’ambiente virtuale: attraverso il riconoscimento di tale diritto in capo all’interessato si mira ad evitare che questi possa essere soggetto a lock-in tecnologici, tutelando la sua libertà di movimento anche nel cyberspazio.

posted by admin on gennaio 22, 2016

identità digitale

(No comments)

persuasive-landing-pages-words-have-powerSplashData ha stilato per il quinto anno la classifica delle password più utilizzate. Nel 2015, come nei cinque anni precedenti, la password più utilizzata è stata “123456″.

SplashData è un’azienda californiana specializzata in applicazioni di password management che comunica i dati in questione con l’intento di dimostrare la pericolosità delle password semplici e prevedibili, seppure facili da ricordare. Le prime dieci posizioni della lista sono pressoché identiche a quelle dell’anno precedente, con “password” al secondo posto, “12345678″ al terzo e l’inossidabile “qwerty” al quarto. Nella top 25, si registra l’ingresso di alcune novità, tra le quali “Star Wars”, collocatasi al 25 posto.

La storia della classifica sembrerebbe evidenziare un certo grado di affezione da parte degli utenti per le soluzioni più vulnerabili. Alle infelici scelte di password contenenti soli numeri, e tutte le combinazioni di lettere realizzate digitando tasti in sequenza, alle parole prese dal gergo sportivo, o in riferimento a hobby, atleti famosi, titoli di film, alle date di nascita e nomi di persona, specie se riconducibili a membri della propria famiglia, dovremmo infatti aggiungere la pericolosa tendenza al riutilizzo delle stesse password per più account e perduranti nel tempo. Un’abitudine che di solito subisce significativi stravolgimenti solo in seguito al furto dell’identità digitale.

Sarebbe importante imparare a compilare parole chiave più di almeno 8 caratteri alternati tra numeri, lettere e segni tipografici, evitando allo stesso tempo combinazioni difficili da memorizzare. È consigliabile ideare vere e proprie frasi separate da spazi o caratteri speciali, meglio se in sequenze di parole appartenenti allo stesso campo semantico: “cane_4zampe_coda”, per esempio. Inoltre, è bene differenziare le password per i siti o i programmi di intrattenimento da quelle usate per veicolare dati più importanti, come caselle email o account bancari.

Ecco l’elenco delle 25 peggiori password del 2015 (tra parentesi la posizione rispetto l’anno passato):

  • 123456 (stabile)
  • password (stabile)
  • 12345678 (più 1)
  • qwerty (più 1)
  • 12345 (meno 2)
  • 123456789 (stabile)
  • football (più 3)
  • 1234 (meno 1)
  • 1234567 (più 2)
  • baseball (meno 2)
  • welcome (nuova)
  • 1234567890 (nuova)
  • abc123 (più 1)
  • 111111 (più 1)
  • 1qaz2wsx (nuova)
  • dragon (meno 7)
  • master (più 2)
  • monkey (meno 6)
  • letmein (meno 6)
  • login (nuova)
  • princess (nuova)
  • qwertyuiop (nuova)
  • solo (nuova)
  • passw0rd (nuova)
  • starwars (nuova)

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

posted by admin on dicembre 14, 2015

PA telematica, identità digitale

(No comments)

carta-didentitàDal 14 dicembre 2015 i dati dei cittadini di Cesena e Bagnacavallo inizieranno a popolare l’Anagrafe unica della popolazione residente in Italia, entro la fine del 2016  si uniranno a loro i dati dei residenti di tutti i Comuni della penisola.

Il progetto dell’Anagrafe unica della popolazione residente (Anpr) è inserito anche nell’Agenda per la semplificazione, sotto il capitolo “cittadinanza digitale”.

I dati anagrafici (nome, cognome, data e luogo di nascita, domicilio, stato civile) saranno disponibili in una forma standard in una banca dati valida su tutto il territorio italiano, così da poter essere consultabili in tempo reale de diversi enti come Agenzia delle Entrate, Inps, Inail, Ministero degli Esteri. In sintesi: l’anagrafe si trasformerà in un’unica banca dati accessibile a tutta la PA, con tutto quello che ne consegue in tema di controlli e di risparmi.

La condivisione delle informazioni renderà possibile per i cittadini richiedere il certificato anagrafico o di stato civile anche da un comune diverso da quello di residenza, e si potrà fare il cambio di residenza dovunque ci si trovi. Il comune eviterà di chiedere più volte lo stesso documento, visto che diventerà possibile lo scambio di informazione in tempo reale tra le diverse amministrazioni.

Oltre alle informazioni tradizionali c’è la possibilità di indicare il “domicilio digitale”, ovvero l’indirizzo di Posta Elettronica Certificata.

L’Anagrafe Unica parte con i dati dei 110 mila cittadini dei due comuni dell’Emilia-Romagna, ma l’obiettivo è arrivare, entro il 2016, a sostituire le 8 mila anagrafi attuali, corrispondenti ad altrettanti comuni. L’operazione sarà quindi completata una volta raggiunti i dati, presenti sul registro unico, di quasi 60 milioni di italiani.

Il passo successivo è previsto entro febbraio 2016 quando migreranno nell’Anpr altri 23 comuni, che contribuiranno a inserire sull’elenco unico oltre 2,3 milioni di cittadini. Quando, verso la metà del prossimo anno, faranno il loro ingresso anche Roma e Milano, la nuova Anagrafe sarà popolata da oltre 6,5 milioni di persone.