Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.

Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.

Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.

Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.

Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.

Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.

Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.

Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.

Continua su “Cantieri della PA digitale”.

posted by admin on ottobre 15, 2016

identità digitale

(No comments)

Accogliendo le richieste di Assoprovider, Confcommercio e Assintel, la Terza Sezione del Tar Lazio ha annullato il regolamento dell’Agenzia per l’Italia Digitale sui requisiti di accreditamento dei Gestori di identità digitale basati sui requisiti di capitale e sull’entità delle polizze assicurative.

Con sentenza n. 10214/2016 il Tar Lazio si è pronunciato sulla richiesta di annullamento del regolamento Agid che definiscele caratteristiche del sistema SPID (sistema pubblico di identità digitale). Il Tar ha accolto parzialmente il ricorso rispetto al tetto di capitale sociale minimo e alla stipula di polizza assicurativa richiesta per l’accreditamento dei gestori di identità digitale.

Per quanto riguarda il capitale sociale minimo l’annullamento del TAR non avrà un impatto specifico in quanto il regolamento non fa alcun riferimento preciso al capitale sociale ma si limita a richiamare i principi contenuti nell’art.10comma 3 DPCM del 24/10/2014 già annullato il 24 marzo 2016 da una sentenza del Consiglio di Stato.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”. Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’Agid ha sottolineato che comunque per i soggetti che intendono avviare l’attività di gestore dell’identità digitale il nuovo Codice dell’Amministrazione Digitale (CAD) prevede un tetto massimo di capitale sociale di cinque milioni di euro e una graduazione specifica in proporzione al livello di servizio offerto. Sarà compito dell’Agenzia fissare le nuove regole tecniche per l’accreditamento in base alle indicazioni fornite dal nuovo CAD.

Il Tar ha annullato anche il requisito delle “polizze assicurative di importo molto elevato, rapportato al numero di identità digitali gestite, quantomeno laddove non emergono in modo congruo e adeguato le ragioni che giustificano detti importi, in relazione ai rischi che in concreto si corrono con l’attività in esame e ai possibili danni a terzi già prevede l’adozione di rigorose norme di cautela”.

Anche a questo riguardo, tuttavia, l’Agid ha ricordato che per quanto riguarda la stipula di polizze previste per la copertura dei rischi che derivano dall’’attività di identity provider, il nuovo CAD prevede la definizione di una graduazione che possa assicurarne l’adeguatezza in proporzione al livello di servizio offerto dal gestore.

La sentenza del TAR non incide direttamente sugli accreditamenti fatti finora da AGID. I gestori accreditati continuano a svolgere le proprie attività di erogazione delle identità e i Pin rilasciati finora rimangono validi.  Resta inoltre immutata la disposizione della regolamentazione che prevede che i costi dell’accreditamento siano a carico sostanzialmente degli enti accreditati. Rimane concreta la possibilità di ricorso per le imprese che non hanno potuto partecipare alle procedure di accreditamento in virtù dei requisiti dichiarati poi illegittimi.

posted by admin on marzo 29, 2016

identità digitale

(No comments)

La quarta sezione del Consiglio di Stato ha confermato la sentenza del Tar Lazio che nel luglio 2015 aveva annullato il criterio del capitale sociale minimo di 5 milioni per diventare identity provider.

Con la sentenza n. 1214 del 24 marzo 2016 il Consiglio di Stato ha bocciato la norma sul capitale sociale del decreto della Presidenza del Consiglio dei Ministri del 24.10.2014, attuativo del sistema SPID, il sistema pubblico di identità digitale che dà la possibilità a cittadini e imprese di richiedere le credenziali con le quali connettersi ai servizi online della PA.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”.

Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’imposizione del requisito di un capitale sociale così alto, contrapposto all’assenza di tale obbligo per gli operatori pubblici, era stata ritenuta dai giudici del Tar una indebita discriminazione in favore della Pubblica Amministrazione, distorsiva del mercato e in aperto contrasto con la normativa antitrust e con il Regolamento Europeo.

L’attuale sentenza chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale. La norma sarebbe illegittima anche «per irragionevolezza dell’impedimento all’accesso al mercato di riferimento,dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti».

posted by admin on gennaio 28, 2016

PA telematica

1 comment

Digital-Signature-blueIl 20 gennaio 2016 il Consiglio dei Ministri ha approvato, in esame preliminare, uno schema di decreto legislativo sulle norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifiche e integrazioni al CAD.

La riforma del CAD comprenderà disposizioni sul domicilio digitale della persona fisica e la sede legale delle imprese, mantenendo lo SPID quale strumento privilegiato di accesso in rete ai servizi delle pubbliche amministrazioni. Sarà compito delle PA provvedere a garantire l’accesso digitale ai propri servizi tramite il “pin unico” entro dicembre 2017. Per una maggiore trasparenza le amministrazioni saranno obbligate a inserire nei propri siti Internet informazioni esaustive per ciò che concerne appalti, tempi medi di attesa nella sanità, tempestività dei pagamenti nei confronti delle imprese creditrici, risultati di valutazione e piani per la prevenzione della corruzione.

Compito fondamentale delle modifiche sarà quello provvedere alla progressiva eliminazione dei supporti cartacei, per una maggiore efficienza e un significativo risparmio di risorse anche sotto il profilo ambientale. Con l’estinzione del cartaceo, cambierà il valore probatorio del documento informatico.

Ogni atto pubblico formato su documento informatico non sottoscritto da un pubblico ufficiale con firma qualificata o digitale sarà dichiarato nullo. Sembra che le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, siano state abrogate dal nuovo CAD rinviando a quelle del Regolamento eIDAS, la firma digitale non apparterrà al novero delle firme elettroniche avanzate, bensì a quello delle firme elettroniche qualificate.

Poiché i documenti informatici saranno conservati per legge dalla pubblica amministrazione, cesserà l’obbligo di conservazione a carico dei cittadini e delle imprese, che potranno richiedere di avervi accesso in qualunque momento. Il Foia (Freedom of Information Act), sarà lo strumento che permetterà al cittadino di fare richiesta di dati alle amministrazioni senza obbligo di motivazioni, ad eccezione dei casi di segreto di divieto di divulgazione.

Il nuovo CAD entrerà in vigore il primo luglio del 2016.

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

posted by Avv. Matilde Ratti on ottobre 13, 2015

identità digitale

(No comments)

Di seguito si riassume la normativa sullo SPID.

Cos’è SPID?

Il Sistema Pubblico per la gestione dell’Identità Digitale (SPID) è un insieme aperto di soggetti pubblici e privati che, previo accreditamento, gestiscono i servizi di registrazione e di messa a disposizione di credenziali di identità digitale per cittadini e imprese.

A cosa serve?

L’istituzione di questo sistema è diretta a favorire la diffusione di servizi in rete e ad agevolare l’accesso ai servizi da parte degli utenti. Lo SPID è quindi il nuovo sistema che permette a cittadini e imprese di accedere ai servizi on line di pubblica amministrazione e privati.

Quando diventerà attivo SPID?

Mentre le pubbliche amministrazioni saranno obbligate a consentire l’accesso in rete ai propri servizi mediante l’identificazione SPID (entro 24 mesi dall’accreditamento del primo gestore), per imprese e altri soggetti privati fornitori di servizi l’adesione al sistema sarà solo facoltativa.

Cos’è un’“identità digitale”?

Secondo l’art. 1, comma 1, lett. o) del d.p.c.m. 24 ottobre 2014, l’identità digitale SPID è “la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi”.

Chi può fornire un’“identità digitale” SPID?

Cittadini e imprese possono domandare il rilascio dell’identità digitale ad un gestore dell’identità digitale accreditato presso l’Agenzia per l’Italia Digitale.

Come si ottiene l’identità digitale SPID?

Il rilascio dell’identità digitale segue quattro fasi distinte: la presentazione della richiesta di adesione, l’identificazione del soggetto richiedente, la verifica dell’identità dichiarata e infine la creazione dell’identità digitale con la consegna, al titolare, delle credenziali necessarie per le operazioni di autenticazione.

Quanto è sicuro SPID?

Esistono tre livelli d’identità SPID, ciascuno dei quali determina il livello di sicurezza dei servizi on line ai quali è possibile accedere. Cittadini e imprese sono liberi di scegliere il gestore di identità che preferiscono, nonché di fare richiesta per più di una identità SPID.

Chi può diventare gestore di identità digitale?

I soggetti pubblici o privati che desiderino diventare gestori di identità digitali possono, dal 15 settembre 2015, fare richiesta di accreditamento presso l’Agenzia per l’Italia Digitale. Quest’ultima, a seguito della verifica di determinati requisiti di affidabilità e idoneità organizzativa, tecnologica e finanziaria, accrediterà o meno i soggetti iscrivendoli in un Registro SPID.

Avv. Matilde Ratti

Maria Chiara Meneghetti

posted by admin on dicembre 10, 2014

PA telematica

(No comments)

silhouettePubblicato in Gazzetta ufficiale il Decreto del Consiglio dei Ministri 24 ottobre 2014 che definisce le caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché i tempi e le modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese.

Il sistema SPID (istituito ai sensi dell’art. 64 del CAD, modificato dall’art. 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98) consente agli utenti di avvalersi di gestori dell’identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano.

Uno strumento fondamentale: il riconoscimento dell’identità digitale di cittadini e imprese è considerato il primo passo necessario per l’intero impianto di e-governance del Paese.

Il sistema è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso per conto delle pubbliche amministrazioni,

Con l’istituzione del sistema SPID, le pubbliche amministrazioni dovrebbero poter consentire agli utenti l’accesso in rete ai propri servizi mediante la carta d’identità elettronica, la carta nazionale dei servizi o mediante strumenti gestiti dal sistema stesso.

Il decreto stabilisce gli attributi, le modalità di rilascio e di gestione delle identità digitali, i livelli di sicurezza, le sanzioni per usi illeciti, gli accreditamenti e gli obblighi dei gestori di identità digitali e le adesioni e gli obblighi dei fornitori di servizi, sia pubblici che privati.

A questo punto, perché entri in funzione il sistema SPID è necessario che, dopo aver consultato l’Autorità Garante per la Protezione dei dati, l’Agenzia per l’Italia digitale definisca le regole tecniche e le modalità attuative e che pubblichi il regolamento relativo alle modalità di accreditamento dei soggetti SPID e quello relativo alle procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale.

L’identità digitale è tema affrontato dal “decreto del fare” in due disposizioni apparentemente scorrelate.

Una è quella sulla cosiddetta liberalizzazione del wi-fi, che ha conquistato molti titoli di giornali. Si conferma il quadro normativo in vigore già dopo l’abrogazione del decreto Pisanu.

Fugando ogni dubbio, si chiarisce che ”l’offerta di accesso alla rete internet al pubblico tramite tecnologia wi-fi non richiede l’identificazione personale degli utilizzatori”. Oltre a ciò, si chiarisce che “quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1o agosto 2003, n. 259, e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni”, cioè gli obblighi di richiesta di autorizzazione al Ministero delle comunicazioni e di licenza al questore.

Scomparso nella versione definitiva del decreto l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address) e scomparsa la problematica previsione che la registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici.

In questo modo, come già segnalato, l’Italia si allinea agli altri Paesi occidentali.

Tuttavia, lo stesso decreto del fare prevede all’art. 17-ter, con una modifica al Codice dell’amministrazione digitale, l’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) di cittadini e imprese.

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, direttamente su richiesta dei soggetti interessati.

Si prevede che con l’istituzione del sistema SPID, le pubbliche amministrazioni possano consentire l’accesso in rete ai propri servizi mediante la carta d’identità elettronica, la carta nazionale dei servizi o mediante strumenti gestiti dal sistema stesso.

Rimane comunque fermo quanto disposto dal primo periodo del comma 2 dell’art. 64: le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete che richiedono l’identificazione informatica anche se questa è effettuata con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio.

Dunque la scelta sulle modalità di identificazione rimane in capo alle pubbliche amministrazioni.

Il decreto ulteriormente precisa che ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti.

In modo ambiguo e pleonastico l’articolo conclude che l’adesione al sistema SPID per l’accesso ai propri servizi esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

Ma l’esonero dall’obbligo di sorveglianza vi è comunque, con o senza l’adesione al sistema SPID, conformemente alla direttiva europea sul commercio elettronico. Dunque qual è lo scopo di questa precisazione? Forzare all’utilizzo dello SPID creando ambiguità? Di poca chiarezza normativa certo non c’è bisogno.