Una delle critiche mosse verso il legislatore nazionale è quella di eccesso di norme. Norme che si susseguono, si accavallano e talvolta di contraddicono.
Con ampia ragione si rappresenta che non è con le norme che si promuove la trasformazione digitale.
Eppure, in questo scenario, esiste un piccolo caso, di un piccolo comma che limita e spesso blocca lo sviluppo di una serie di progetti che potrebbero semplificare numerosi procedimenti rendendoli disponibili a cittadini e imprese al fine di favorirne l’utilizzo al tempo dell’emergenza sanitaria, dove le attività da remoto e in modalità digitale sono fondamentali. Vediamo le cause di questa situazione e come può essere risolta.
Il comma della discordia
La norma in esame è il DPCM 22 febbraio 2013 e l’articolo è il 60 con un solo comma.
Il decreto appena citato reca le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”.
Per il lettore meno pratico sulla materia è bene precisare che gli articoli citati sono relativi al Codice dell’amministrazione digitale (CAD). La circostanza che il CAD vigente sia successivo (2018) alle Regole Tecniche non modifica il coordinamento con i commi ai quali fa riferimento il DPCM.
L’articolo 60 rubricato “Limiti d’uso alla firma elettronica avanzata” stabilisce nel suo unico comma che:
“1.La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, comma 2, lettera a).”
Il sopra citato soggetto è definito nel decreto come (al plurale):
“coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b).”
Già ai tempi della pubblicazione in Gazzetta Ufficiale, l’articolo 60 fu oggetto di numerosi commenti negativi. Esso limita l’efficacia della firma elettronica avanzata (FEA) rispetto a quanto stabilito nel CAD (art. 20).
Sul tema ci fu anche un ricorso al Presidente della Repubblica, per “eccesso di delega normativa” con coinvolgimento di aspetti di rispetto della Carta Costituzionale.
I competenti Uffici Legislativi se ne sono occupati nel tempo, con tentativi di modifica allo stesso Codice dell’Amministrazione Digitale (CAD), ma nulla è stato fatto e il DPCM e il suo piccolo comma sono ancora là.
Perché limitare l’uso della FEA
Il legislatore nella fase di scrittura del provvedimento tecnico aveva ottime ragioni per limitare l’uso della FEA. Infatti, all’epoca, le regole tecniche facevano riferimento ad una versione del CAD nel quale il documento firmato con la FEA era disconoscibile fino a querela di falso.
La FEA, peraltro, non è un prodotto o servizio ben specificato, ma il risultato del soddisfacimento dei requisiti contenuti nel Titolo V del citato DPCM. Le limitazioni e i complessi meccanismi stabiliti nel DPCM per la FEA sono stati stabiliti a tutela del sottoscrittore che aveva a disposizione una serie di misure preventive aventi lo scopo di informarlo del fatto che stava firmando con il massimo livello di efficacia giuridica e probatoria. Il DPCM finì nel cassetto del Ministro all’epoca delegato sulla materia dopo aver ottenuto il lasciapassare della Commissione Europea (indispensabile per le norme tecniche degli Stati membri).
Nel frattempo il CAD fu modificato con lo strumento del decreto correttivo e la querela di falso per il documento firmato con la FEA fu eliminata con un disconoscimento equivalente a quello della firma autografa.
Quasi contemporaneamente, dopo circa un anno di blocco, il DPCM fu sottoscritto dal nuovo Ministro e il mercato ansioso di mettere all’opera la FEA non osò commentare in alcun modo. Modificare il DPCM con la necessità di ripetere l’iter normativo, avrebbe comportato altri mesi di vuoto normativo sulla FEA.
Limitazioni bloccanti e fuori luogo
Ai giorni nostri, queste limitazioni nell’adozione della FEA risultano bloccanti e fuori luogo.
E’ mutata l’esigenza di innovazione digitale, sono stati introdotti nuovi meccanismi di gestione dell’identità digitale (SPID e CIE 3.0) e rispetto al 2011, anno di inizio della stesura del DPCM, è intervenuta anche la normativa comunitaria stabilita nel regolamento 910/2014 comunemente noto come eIDAS.
In questi anni di utilizzo la FEA si è diffusa soprattutto con la modalità grafometrica, ma anche con architetture a chiave pubblica dove viene utilizzato un certificato non qualificato per le operazioni di firma.
Il fatto (palesemente in eccesso di delega) che la FEA sia valida tra sottoscrittore e soggetto proponente ne limita fortemente l’utilizzo nel caso della presenza di intermediari o quando è complesso identificare la “propagazione” della FEA rispetto ai rapporti giuridici da soddisfare. Una serie di soggetti decidono, in conformità al Codice Civile, adottano la soluzione di sottoscrivere accordi specifici con tutti i soggetti “interessati”. Un caso tipico è quello della Banca che sottoscrive accordi con la clientela anche per conto di soggetti terzi come gestori di carte di credito, polizze assicurative o comunque servizi dove il contratto è intermediato. Questa “pezza” è comunque un ulteriore elemento di complessità e non sempre è accettata dagli Uffici Legali.
Per quanto descritto è palese che gli elementi contestuali che hanno indotto il Legislatore a introdurre l’articolo 60 sono ampiamente superati.
Infatti il reale scopo (comunque non rappresentato chiaramente nel testo della norma) è stato quello di garantire la verifica della FEA.
In fase di stesura del DPCM, mancando l’esperienza sul reale sviluppo della medesima, il Legislatore, correttamente, ne ha limitato l’uso alla coppia di soggetti che certamente ne potevano verificare la validità. Il tutto, lo ripetiamo, in uno scenario dove il documento firmato con la FEA era disconoscibile fino a querela di falso.
Allo stato attuale queste limitazioni non hanno alcuna ragione di essere.
La FEA basata su tecnologia a chiave pubblica è sviluppata con formati di firma identici a quelli della qualificata o digitale. La verifica non è un problema.
In materia di firma grafometrica (che è una fattispecie di FEA se realizzata in conformità al DPCM) esiste l’evidenza scientifica che l’adozione dello standard ISO/IEC 19794-7 consente di ottenere delle stringhe binarie che sono verificabili da tutti i soggetti di mercato. Esiste anche letteratura scientifica nella quale sono descritte procedure peritali in carico ai grafologi che consentano analisi di pari rango operativo a quelle comunemente svolte su supporto cartaceo.
Come risolvere l’impasse
L’associazione ANORC (Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali) ha sviluppato e sostenuto (in collaborazione con L’Università e il Politecnico di Bari) un’attività di test che ha portato all’evidenza di interoperabilità tra sistemi di FEA grafometrica qualora si adotti lo standard sopra citato.
In questo modo tutti gli strumenti di supporto al grafologo in fase peritale possono essere interscambiabili, mentre oggi ogni soluzione di grafometria deve utilizzare il proprio strumento proprietario.
Per quanto sino a qui descritto sarebbe molto utile aggiornare il DPCM (non solo per l’articolo 60 ma anche per coordinarlo con il regolamento europeo eIDAS (n. 910/2014) con un nuovo articolo 60 che potrebbe stabilire quanto segue:
- La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche deve garantire l’interoperabilità nella verifica delle sottoscrizioni. Per quanto concerne la firma elettronica avanzata realizzata tramite firma grafometrica si adotta lo standard ISO/IEC 19794-7.
- Le fattispecie di firma elettronica avanzata basate sulla tecnologia crittografica a chiave pubblica sono conformi ai formati previsti ai sensi dell’art. 4, comma 2.
- Altre modalità di generazione della firma elettronica avanzata sono utilizzabili fornendo ad AgID le specifiche in formato aperto per la verifica della validità della sottoscrizione. AgID pubblica le predette specifiche sul proprio sito istituzionale.
L’articolo proposto ha ovviamente uno scopo puramente indicativo e deve essere coordinato con il testo dell’intero nuovo decreto.
Ad esempio dovrebbe essere definita la firma grafometrica e inserita la possibilità di utilizzare strumenti digitali per la gestione da remoto dell’acquisizione dei dati del titolare mediante l’uso di SPID e della CIE 3.0.
L’aggiornamento dell’articolo 60 sarebbe portatore di benefici per i cittadini, nei rapporti con la pubblica amministrazione e per le imprese (dove comunque è ampiamente utilizzata la firma digitale).
La FEA semplificata nei suoi vincoli di utilizzo consente di dematerializzare tutti i procedimenti amministrativi in modo semplice, economico e riusabile per la PA applicando l’articolo 65, comma 1, lettera b) del CAD.
L’utilizzo da remoto è fortemente semplificato, anche in termini di rapido impiego del sistema quando si adottano le identità di SPID e della CIE.
L’aggiornamento del DPCM 22 febbraio 2013 è comunque doveroso per portarlo a una Linea guida AgID (come previsto nell’articolo 71 del CAD) e mantenerlo aggiornato allo stato dell’arte tecnologico e coordinato con le norme primarie nazionali e comunitarie
L’emergenza sanitaria ci ha indicato con chiarezza che la trasformazione digitale è indispensabile per operare in ogni circostanza. L’aggiornamento delle regole tecniche è un passo fondamentale nell’insieme delle attività di semplificazione digitale del sistema Paese dove le norme non sono il catalizzatore della trasformazione digitale ma certamente non devono essere un ostacolo alla stessa.