L'approfondimento

Legge Semplificazioni, identità digitale e personale equiparate: cosa cambia

Identità digitale e identità personale per la normativa diventano indistinte, attraverso l’equiparazione degli strumenti di identificazione tradizionali ed elettronici. Vediamo gli interventi sul Codice dell’amministrazione digitale attuati in proposito

16 Ott 2020
Michele Nastri

Notaio, Past President di Notartel


La legge Semplificazioni interviene sul regime giuridico dell’identità digitale, eliminando ogni distinzione normativa con l’identità personale. Lo fa equiparando strumenti ed effetti dell’identificazione tradizionali ed elettronici.

L’associazione tra identità digitale e identità personale viene attuata attraverso l’equiparazione dei meccanismi di identificazione, con risultati che richiedono qualche riflessione, soprattutto se si considera l’ulteriore scelta di consentire un uso generalizzato dell’identità digitale, non più per singole applicazioni.

Lo scopo dichiarato della legge è rendere più agevole l’accesso ai servizi in rete forniti dalla PA e dai privati, per favorire le relazioni e le contrattazioni online nell’era Covid-19, con un uso più efficiente e diffuso dell’identità digitale. Per far ciò, sono state apportate modifiche al Codice dell’amministrazione digitale: vediamo tutti gli interventi in questo ambito.

Il contesto

Emerge in primis che il legislatore sta prendendo atto di ciò che avevano rilevato già da anni gli osservatori più attenti, come Stefano Rodotà che, intervenuto al convegno “Identità ed eredità digitale” organizzato dall’Università Bocconi di Milano nel dicembre 2014, sottolineava come “Il confine tra identità reale e digitale è diventato molto labile poiché ormai la frontiera tra fisicità e digitalità è stata troppe volte superata. È errato pertanto rimanere prigionieri di queste distinzioni: con l’avvento dell’internet 2.0 l’identità è unica”. L’identità digitale, almeno a partire dal Regolamento eIDAS (electronic IDentification Authentication and Signature) Regolamento UE n. 910/2014, è esplicazione a livello nazionale del concetto di identificazione elettronica contenuto nel Regolamento europeo (art. 3, nn. 1, 2, 3 e 4). La legislazione nazionale, per adeguarsi al Regolamento UE, ha infatti eliminato le norme relative all’identificazione informatica (di fatto superate) lasciando nel Codice dell’Amministrazione Digitale CAD (d.lgs 82/2005) un residuo spazio alla nozione di identità digitale, definita però solo da un punto di vista tecnologico, come “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi,” (art. 1, comma 1, lett. u-quater). In breve il collegamento alla persona si ha attraverso l’identificazione elettronica, mentre l’identità digitale è la rappresentazione informatica di tale collegamento.

L’intervento normativo è effettuato attraverso il sistema delle modifiche al CAD e si sviluppa su tre direttrici:

  • aumento del numero di strumenti utilizzabili;
  • equiparazione del riconoscimento in rete al riconoscimento personale;
  • abbassamento dei regimi di garanzia delle identità digitali (o meglio dei sistemi di identificazione digitale) utilizzabili.

La CIE come documento di riconoscimento

L’intervento sul CAD riconosce l’utilizzabilità della Carta d’Identità Elettronica (CIE) per l’accesso in modo indifferenziato ai servizi in rete della P.A., con ciò rendendo obbligatoria l’accettazione di tale strumento di identificazione da parte di tutte le Pubbliche Amministrazioni. Si tratta sicuramente di un passo in avanti, considerando le caratteristiche di sicurezza della CIE. La modifica più incisiva però è contenuta nel nuovo comma 2-duodecies dell’art. 64, in quanto per la prima volta l’accertamento dell’identità digitale (o meglio l’identificazione elettronica se si rispetta la terminologia del Regolamento UE) è equiparato alla verifica del documento di riconoscimento. Viene infatti richiamato l’art. 35 del D.P.R. 445/2000, che individua i documenti di riconoscimento utilizzabili per l’accertamento dell’identità (il passaporto, la patente di guida, la patente nautica, il libretto di pensione, il patentino di abilitazione alla conduzione di impianti termici, il porto d’armi, le tessere di riconoscimento, purché munite di fotografia e di timbro o di altra segnatura equivalente, rilasciate da un’amministrazione dello Stato).

Il risultato di questo primo rinvio normativo consiste nell’equiparazione dell’utilizzo di “identità digitale con livello di garanzia almeno significativo” (ma il Regolamento UE all’art. 8 regola non l’identità digitale ma i “regimi di garanzia dell’identificazione elettronica”) alla identificazione mediante documento cartaceo di identità o di riconoscimento Si tratta di una novità assoluta, in quanto l’utilizzo dell’identità digitale era riconosciuto solo per finalità volta per volta determinate (art. 64 CAD, art. 19 d.lgs. 231/2007).

I cortocircuiti con la normativa europea

Il livello di garanzia significativo non è il più elevato livello di garanzia degli strumenti di identificazione elettronica, ma quello intermedio, o significativo come qui di seguito sommariamente definito. L’art. 8 del Regolamento eIDAS definisce infatti tre livelli di garanzia dei regimi di identificazione elettronica:

  • «basso» che riduce il rischio di uso abusivo o alterazione dell’identità;
  • «significativo» riduce significativamente il rischio di uso abusivo o alterazione dell’identità;
  • «elevato» ha «lo scopo di impedire l’uso abusivo o l’alterazione di identità»;
WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

I requisiti che corrispondono a tali livelli di garanzia sono contenuti nel Regolamento di Esecuzione 2015/1502 (emanato in attuazione del suddetto art. 8) che definisce i vari livelli dal punto vista funzionale. Senza entrare nel merito delle singole specifiche va rilevato come esempio che solo il livello di garanzia elevato prevede il riconoscimento tramite la fotografia dell’utente (si veda il documento di identità munito di fotografia) o comunque tramite caratteristiche biometriche. Il livello “significativo” non prevede tale forma di sicurezza. La procedura per l’utilizzo a livello europeo degli strumenti di identificazione elettronica prevede la notifica da parte degli Stati membri alla Commissione da parte dei singoli Stati (art. 9 Regolamento eIDAS). L’Italia al momento ha notificato sia lo SPID (per ciascuno dei tre livelli di garanzia “basso, significativo e elevato)” che la CIE (per il livello elevato).

La normativa sullo SPID

L’emissione dell’identità SPID prevede tre livelli di sicurezza (solo di fatto sovrapponibili a quelli del Regolamento eIDAS) e l’identificazione mediante documento di riconoscimento o firma qualificata (art. 6 e 7 DPCM 24 ottobre 2014); elemento questo che caratterizza la normativa nazionale come in parte più rigorosa rispetto a quella europea.

I gestori di identità digitale SPID, a seguito della notifica dello SPID come sistema di identificazione informatica che può essere munito di ciascuno dei livelli “basso” “significativo” ed “elevato”, devono adeguarsi ai regimi di garanzia previsti dal Regolamento UE. Ciò rende non sempre agevole la verifica pratica dei livelli di sicurezza, sia rispetto alla normativa nazionale, sia rispetto a quella europea. Appare comunque significativo che la maggior parte degli altri paesi dell’Unione si sono limitati a notificare le rispettive carte di identità elettroniche.

Fronti critici e preoccupazioni

Il tema della gestione del ciclo di vita dell’identità digitale e del suo uso da parte di soggetti diversi da quelli ai quali risulta essere stato rilasciato è, quindi, un tema complesso. Bisogna infatti distinguere il momento del rilascio dello strumento di identificazione elettronica dal suo utilizzo nel tempo, e soprattutto differenziare le caratteristiche di sicurezza al rilascio e quelle nell’uso. Vi sono applicazioni in cui l’identificazione è sufficiente, altre in cui può essere richiesta la sottoscrizione o l’intervento umano di pubblici ufficiali quali il notaio. In questi casi vanno utilizzate diverse tecnologie per raggiungere, sempre sotto il controllo del pubblico ufficiale, un risultato sicuro nel mondo digitale così come in quello analogico. L’equiparazione dell’uso di un’identità digitale con livello di garanzia significativo (non elevato) all’esibizione del documento di riconoscimento riduce quindi la sicurezza complessiva del sistema, soprattutto se non si immagina una graduazione dell’utilizzo.

L’equiparazione della identità digitale di livello significativo di garanzia all’esibizione del documento di riconoscimento cartaceo, in modo generalizzato e non per applicazioni predeterminate lascia, quindi, qualche preoccupazione:

  • in primo luogo consente l’uso di strumenti il cui rilascio non è tutelato al massimo livello possibile ed il cui uso può essere più facilmente sottratto (più o meno consapevolmente) alla disponibilità del titolare, per qualunque tipo di interazione con la pubblica amministrazione, e in molti casi anche con i privati (come con banche e intermediari finanziari);
  • in secondo luogo rende inutile l’uso di strumenti di livello di garanzia elevato, poiché già il livello significativo abilita qualsiasi tipo di operazione;
  • in terzo luogo ammette un margine di rischio (il livello di garanzia significativo nelle intenzioni riduce, non impedisce, il furto o l’alterazione di identità) anche in settori (es. stato civile) in cui la tutela dei diritti della persona deve essere al massimo livello.

L’utilizzo di sistemi di identificazione elettronica che non garantiscono l’identità del titolare al livello più elevato, ed il controllo costante dell’uso da parte sua, introduce rischi non sempre giustificabili con l’esigenza di semplificazione e diffusione delle tecnologie informatiche. Poiché possiamo ragionevolmente prevedere che questo non sarà certo l’ultimo intervento in materia occorre che i prossimi interventi normativi riordinino la normativa nei vari settori uniformando il linguaggio utilizzato, e recuperino l’uso esclusivo del livello di garanzia più elevato per i settori più sensibili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4