Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

le novità

Cad, che cambia per i fornitori di servizi fiduciari: la “scomparsa” delle certificazioni

Tutto cambia per i gestori PEC, i gestori dell’identità SPID e i conservatori di documenti informatici. Nessuna più cifra stabilita per il capitale sociale e le certificazioni diventano eventuali. Sono forti e poco discusse novità in arrivo con il nuovo Cad, in attesa del decreto attuativo

19 Mar 2018

Giovanni Manca

consulente, Anorc


Il nuovo l Codice dell’amministrazione digitale (CAD – D.Lgs. 7 marzo 2005, n. 82) contiene forti novità per qualificazione e accreditamento di soggetti come gestori PEC, i gestori dell’identità SPID e i conservatori di documenti informatici.

Grandi impatti sono prevedibili in particolare per la rivoluzione sulle certificazioni, che ora diventano solo “eventuali”. Eppure non se ne parla abbastanza. Vediamo che c’è in gioco.

Cad e servizi fiduciari

In questo decreto sono modificate le regole per la qualificazione e accreditamento dei soggetti “che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale di cui all’articolo 64”. L’articolo 29, comma 1 del CAD prosegue stabilendo che questi soggetti “presentano all’AgID domanda di qualificazione, secondo le modalità fissate dalle Linee Guida”. Il comma prosegue e si conclude stabilendo che “I soggetti che intendono svolgere l’attività di conservatore di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee Guida”.

Questo comma ci consente una prima analisi su quanto stabilito in materia dal Legislatore. E’ utile ricordare che l’articolo 64 del CAD fa riferimento allo SPID e che il gestore dell’identità digitale è quello che intende operare in tale ambito. Le Linee Guida rappresentano l’evoluzione delle storiche regole tecniche come stabilito nel vigente articolo 71 del CAD.

Ritornando alle questioni analitiche sottolineiamo che il Legislatore distingue tra qualificazione e accreditamento. E’ ragionevole quindi ritenere che per la gestione della PEC e dell’identità digitale si faccia riferimento al Considerando 25 del Regolamento 910/2014 (eIDAS)

(25) E’ opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quali servizi fiduciari qualificati”.

Questa scelta, se confermata nelle Linee Guida, è ragionevole alla luce della omogeneità ad oggi già applicata tra le regole di eIDAS e quelle del CAD previgente (quest’ultime regole si applicano fino all’emissione dei nuovi provvedimenti attuativi).

Condivisibile è anche la scelta di mantenere un carattere esclusivamente nazionale per la conservazione digitale che rimane “accreditata”. Questo alla luce della differenza esistente tra le regole nazionali sulla conservazione del documento informatico e la “Long Time Data Preservation” stabilita nell’articolo 34 del regolamento eIDAS.

Le modifiche di forte impatto a qualificazione e accreditamento

La modifica di forte impatto rispetto all’esistente è nell’articolo 29, comma 2.

Chi richiede la qualificazione o l’accreditamento deve soddisfare i requisiti dell’articolo 24 del regolamento eIDAS (al quale si rinvia per i dettagli del testo) e “deve avere natura giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi”.

Un decreto attuativo individuerà i predetti requisiti, ma possiamo già affermare che le regole di qualifica e accreditamento utilizzate fino ad oggi sono da modificare.

Il primo tema è quello del capitale sociale per il quale non sono più stabilite regole e cifre. E’ presumibile che il richiedente possa appartenere al livello minimo richiesto per le società di capitali (Srl semplificata – nota come Srl a un euro). La responsabilità civile per danni può essere gestita tramite un’assicurazione di responsabilità civile appropriata. Questo è stabilito già nell’articolo 24, paragrafo 2, lettera c) del regolamento eIDAS.

Più dirompente risulta la scelta del Legislatore di eliminare le certificazioni che diventano “eventuali”.

Con questa regola non sono più obbligatorie le valutazioni di conformità rilasciate dagli organismi di valutazione della conformità.

In questo modo il lavoro di AgID, Accredia e dei numerosi organismi che hanno aderito alle precedenti regole scompare.

Questo è un fatto negativo perché AgID dopo aver sollecitato la nascita di queste specifiche professionalità con il ruolo indispensabile di Accredia,  deve tener conto di questa scelta del Legislatore che azzera tutto senza specifica esigenza o necessità esterna.

Naturalmente nulla può cambiare per i servizi fiduciari qualificati stabiliti nel regolamento eIDAS ai quali si applica l’articolo 21. Tutto cambia per i gestori PEC, i gestori dell’identità SPID e i conservatori di documenti informatici.

Le nuove regole possono comunque sfruttare la parola “eventuali” per mantenere l’opzione della certificazione. Questo manterrebbe continuità con le regole previgenti e ragionevole efficacia e efficienza delle regole di qualifica e accreditamento (ma anche vigilanza) soprattutto in termini di qualità e sicurezza dei servizi offerti.

Conservazione digitale, cosa cambia con il correttivo Cad

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Google+

Link