La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire i rapporti tra P.A., aziende e cittadini, i quali possono oggi beneficiare di due importanti strumenti per questo fine: lo SPID e la CNS.
SPID e CNS: primi passi verso la cittadinanza digitale
Non si coglierebbe a pieno la portata innovativa dell’utilizzo dello SPID o della CNS se non fossero considerati quali parte di una strategia di più ampio respiro: tale è infatti il concetto di cittadinanza digitale, un principio ampio, incardinato nel testo più rilevante in materia, ossia il Codice dell’Amministrazione Digitale (C.A.D., D.lgs 82/2005). Per cittadinanza digitale si intende un insieme di diritti e doveri di cui è titolare il cittadino, ed il cui obiettivo è semplificare il rapporto con la P.A. attraverso l’uso delle tecnologie digitali.
La cittadinanza digitale è stata al centro della più organica modifica al C.A.D., effettuata con D.lgs 217/2017, che ha inserito infatti nel Codice la Sezione II, costituendo la “Carta della cittadinanza digitale”.
Qui sono contenuti i diritti di cittadinanza digitale, che sono:
- Diritto all’uso delle tecnologie (SPID, CIE, CNS);
- Diritto all’accessibilità;
- Diritto all’identità ed al domicilio digitale;
- Diritto ad effettuare pagamenti con modalità informatiche;
- Diritto a comunicare con i soggetti del settore pubblico utilizzando esclusivamente modalità e strumenti informatici.
Tra i diritti del cittadino sanciti dal C.A.D., si segnala in particolare quello all’accessibilità, oggetto di una recente disposizione che impone rilevanti oneri alle aziende: https://www.dirittodellinformatica.it/ict/obbligo-di-accessibilita-per-siti-ed-app-emanate-le-linee-guida-per-soggetti-privati.html.
Cosa si intende per diritto al domicilio digitale?
Tra i diritti del C.A.D., assume particolare rilevanza la possibilità di eleggere un domicilio digitale, prevista all’art. 3-bis del C.A.D.; grazie a questo, è possibile per il cittadino o l’azienda ricevere comunicazioni trasmesse dalla Pubblica Amministrazione direttamente mediante modalità telematica. Per poter eleggere domicilio digitale, occorre dotarsi di una PEC o indirizzo equivalente SERC (Servizio Elettronico di Recapito Certificato) ai sensi del cd. Regolamento eIDAS (Electronic Identification Authentication and Signature) n. 910/2014, di modo che le comunicazioni elettroniche trasmesse al domicilio digitale abbiano i medesimi effetti giuridici della raccomandata con ricevuta di ritorno, ed equivalgano alla notifica a mezzo posta, salvo che la legge disponga diversamente.
Perché i diritti di cui si è parlato in precedenza, solennemente enunciati dalla Carta della cittadinanza digitale interna al C.A.D. come modificato nel 2017, siano effettivi per cittadini ed imprese, è tuttavia necessario che la P.A. si doti di strumenti ed infrastrutture che siano in grado di sopportare la prova tecnologica che la attende: le identità digitali sono infatti aumentate sensibilmente soprattutto dalla seconda metà del 2020, per continuare la loro crescita soprattutto in corrispondenza dell’obbligo, a partire dal 1° ottobre 2021, di accedere ai servizi online delle P.A. solo con SPID, CNS o CIE, eliminando dunque i diversi pin previsti per i singoli enti pubblici (es. INPS, INAIL, ecc..); specularmente, ad oggi sono più di 12000 le Pubbliche Amministrazioni con cui è possibile interfacciarsi anche mediante SPID.
SPID: Cos’è e a cosa serve?
Il Sistema pubblico di identità digitale è composto da una coppia di credenziali, username e password, dall’uso strettamente personale (essendo, appunto, una identità digitale), mediante cui è possibile accedere ai servizi online della Pubblica Amministrazione o dei privati aderenti.
È attivabile mediante diverse modalità, gratuite o a pagamento, rivolgendosi ad uno dei gestori accreditati da AGID:
- di persona presso gli uffici degli Identity Provider o delle Amministrazioni Pubbliche che consentono il riconoscimento dell’identità;
- via webcam con operatore fornito dal Provider o con selfie audio-video ed annesso versamento del bonifico bancario;
- con CIE, CNS, tessera sanitaria, passaporto elettronico o firma digitale, identificandosi dalle app dei gestori;
- presso attività commerciali dei privati convenzionati con i gestori di identità, come tabacchi o ricevitorie.
Nel sistema SPID sono coinvolti numerosi soggetti, dall’Identity Provider (soggetti privati accreditati dall’AgID per la creazione e gestione delle identità digitali per gli utenti), ai Service Provider, fornitori di servizi che abilitano l’accesso grazie all’identità digitale, inoltrano le richieste di identificazione agli Identity Provider e ne ricevono l’esito, ai cd. gestori di attributi qualificati (coloro che attestano il possesso di qualifiche, abilitazioni professionali, poteri di rappresentanza ecc.). Alla vigilanza del comportamento di questi soggetti, alla gestione dell’accreditamento degli Identity Provider e dei gestori di attributi qualificati è preposta l’Agenzia per l’Italia Digitale (AgID), istituita con d.l. 83/2012, le quali Linee Guida orientano e meglio definiscono la normativa per i soggetti sopra menzionati, nonché per gli utenti (cittadini ed imprese).
Differenze tra identità digitale per “persona fisica” e “persona giuridica”
Secondo le “Linee Guida per il rilascio dell’identità digitale per uso professionale” in vigore dal 1° dicembre 2019, “le identità digitali sono quelle utili a provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e/o la sua qualità di professionista” mentre si chiarisce che “le identità in questione, al contrario, non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato”.
Ciò detto, vi è una distinzione da operare tra l’identità digitale per uso professionale (“identità digitale SPID contenente un attributo che dichiara tale caratteristica”), l’identità digitale per uso professionale della persona fisica (“l’identità digitale che contiene gli attributi della persona fisica cui sono state rilasciate le credenziali di autenticazione”), e l’identità digitale per uso professionale per la persona giuridica (“l’identità digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione).
CNS: Cos’è e come ottenerla
La Carta Nazionale dei Servizi viene definita, all’art. 1, comma 1, lett d) del C.A.D., come “il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni”. È uno strumento che consente l’identificazione in rete del soggetto, nonché la fruizione dei servizi online delle P.A. A differenza di SPID, che è completamente dematerializzato, la CNS necessita di un supporto fisico (Usb token o smart card con microchip o contactless) per poter operare: se è una smart card, sarà altresì necessario dotarsi del relativo lettore per poterla utilizzare.
La CNS, in formato di smart card con microprocessore, può essere richiesta da qualunque cittadino italiano maggiorenne, venendo emessa dall’Agenzia delle Entrate previo riconoscimento (viene attivata come Carta dei Servizi la Tessera Sanitaria); se invece viene emessa per un’azienda, il titolare della stessa o il suo legale rappresentante dovrà interfacciarsi con le Camere di Commercio, o dagli enti appositamente convenzionati con le Camere di Commercio.
Come avviene il riconoscimento online con CNS
Sulla CNS è presente un chip contenente un certificato personale, utilizzabile come metodo di autenticazione, dove sono contenuti i dati personali del titolare (nome, cognome, C.F.). Tale certificato digitale è l’equivalente elettronico di un documento d’identità. Il soggetto è identificato con il certificato digitale di Autenticazione, rilasciato da una Pubblica Amministrazione, che a sua volta si avvale della Certification Authority (riconosciuta secondo standard internazionali) che emette il certificato digitale contenuto all’interno delle CNS e ne garantisce la validità dei dati riportati nel certificato. La CNS delle Camere di Commercio contiene anche il certificato di sottoscrizione, che consente l’apposizione della firma digitale su documenti.
Firma digitale con CNS
La CNS si rivela uno strumento particolarmente utile per aziende e professionisti, in special modo grazie alla agevolazione della firma digitale. Riconducibile alla categoria normativa delle firme elettroniche avanzate (secondo il summenzionato Reg. eIDAS), la firma digitale conferisce ad un documento informatico il requisito della forma scritta e l’efficacia prevista dall’art. 2702 c.c., ovverosia piena efficacia probatoria fino a querela di falso.
Per maggiori informazioni sulla sottoscrizione informatica di documenti, rinviamo a questo approfondimento, https://www.dirittodellinformatica.it/ict/ict-news/le-linee-guida-spid-per-la-sottoscrizione-elettronica-di-documenti.html/.
Oltre a ciò, i vantaggi dell’utilizzo della CNS per un’azienda si rinvengono nella facilità con cui si può accedere ai documenti aziendali (visure, statuti, atti e bilanci societari), ai servizi della P.A. (dell’INPS, dell’AdE). Grazie all’adesione a standard di sicurezza internazionali ed europei, la CNS garantisce confidenzialità dei dati da parte del titolare della consultazione e sicurezza nell’interlocutore.
SPID, CNS e sfide future per aziende e PA
Con 30 mln di identità digitali attivate nel maggio 2022, la strada verso una maggiore digitalizzazione del Paese, che punti soprattutto su una maggiore sinergia degli attori in campo (P.A., imprese, cittadini) appare decisamente segnata, e del resto tra gli obiettivi del PNRR è previsto il raggiungimento del 70% di cittadini in possesso dell’identità digitale certificata entro il 2026.
Se ciò si tradurrà inevitabilmente in una sempre crescente mole di dati transitante dalla Pubblica Amministrazione alle imprese, e dalle imprese ai cittadini, o viceversa, le infrastrutture del Paese dovranno certamente conoscere una implementazione sotto il profilo della sicurezza: di recente, ci siamo soffermati sul ransomware, una delle criticità che il settore pubblico e quello privato si trova a subire. Al tempo stesso, non ci si può dimenticare il periodo storico che si sta attraversando, con la P.A. chiamata a compiere scelte rilevanti sotto il profilo della sicurezza nazionale.
Se tuttavia il DESI 2021 (Digital Economy and Society Index), in uno dei 4 parametri calcolati, ossia la digitalizzazione dei servizi pubblici, assegna all’Italia uno tra gli ultimi posti nell’Unione Europea, si può guardare a questo dato con un’accezione esclusivamente negativa, o si può al contrario ipotizzare che vi sia ancora molto spazio da riguadagnare nel settore.
Che tu sia un’azienda, o una Pubblica Amministrazione, se hai bisogno di una consulenza legale, puoi affidarti al nostro Studio Legale partner FCLEX, chiedendo dell’Avvocato Giuseppe Croari, da anni esperto di diritto delle nuove tecnologie.