General Data Protection Regulation: manca solo un anno all’adozione
31 Gennaio 2017
Rilevanza e costi del Data Protection Officer nella realtà sanitaria
6 Febbraio 2017

Nuovi scenari per le sottoscrizioni informatiche dei cittadini

Introduzione

La versione vigente del Codice dell’amministrazione digitale (CAD), alla data di scrittura di questo articolo, stabilisce un principio innovativo  relativo al ciclo di vita di un atto giuridico.

Questo principio è stabilito nell’articolo 64, comma 2-septies.

Un atto giuridico può essere posto in essere da un soggetto identificato mediante SPID, nell’ambito di un sistema informatico avente i requisiti fissati nelle regole tecniche adottate ai sensi dell’articolo 71, attraverso processi idonei a garantire, in maniera manifesta e inequivoca, l’acquisizione della sua volontà. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico.

 Come è noto SPID è il Sistema Pubblico di Identità Digitale e sempre nel CAD viene stabilito (articolo 64, comma 2-opties) che

le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica”.

Questi nuovi principi giuridici sono esaminati nel seguito, con l’obiettivo di ipotizzare nuovi scenari organizzativi e tecnici tali da consentire al cittadino di sottoscrivere in modalità informatica gli atti giuridici afferenti a procedimenti amministrativi fruibili in modalità telematica ovvero tramite cosiddetti servizi erogati in rete.

Lo scenario dei servizi

Iniziamo la nostra analisi ipotizzando lo scenario operativo indirizzato dall’articolo 64, comma 2-septies.

a) Un soggetto è in possesso di credenziali SPID adeguate all’atto giuridico da porre in essere. I livelli sono 3 e possono essere sintetizzati in una password, una password e un sistema di OTP (One Time password), meccanismi di autenticazione basati su certificati digitali e hardware tipo smart card o HSM.

b) Questo soggetto si identifica ad un sistema informatico che possiede i requisiti che devono essere stabiliti attraverso regole tecniche ad oggi non disponibili. Questi requisiti devono essere tali da garantire in maniera manifesta e inequivoca l’acquisizione della volontà del soggetto.

c) E’ evidente che l’atto giuridico si manifesta in un documento informatico che deve possedere caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Il documento dovrà essere formato secondo le modalità specifiche definite nel DPCM 13 novembre 2014.

d) In questa fase il problema da risolvere è su quale tipo di sottoscrizione informatica debba essere utilizzata per sottoscrivere il documento informatico o un insieme di documenti informatici: firma elettronica, firma elettronica avanzata o firma digitale/elettronica qualificata.

Sviluppiamo questo tema nel paragrafo successivo.

Modalità di firma e soggetti sottoscrittori.

La prima regola da rispettare è quella derivante dal combinato disposto con altre norme. Ovvero quando è richiesta dalla normativa la sottoscrizione di un documento informatico con firma digitale/elettronica qualificata non è possibile prescindere da questa regola, pena la nullità dell’atto o una inadeguata efficacia probatoria.

In molti scenari sarebbe possibile utilizzare una firma elettronica avanzata (FEA) ma le regole di ingaggio per questo tipo di sottoscrizione, stabilite nel Titolo V del DPCM 22 febbraio 2013, sono complicate. Ogni ipotesi di utilizzo della FEA deve passare ragionevolmente attraverso una semplificazione di queste norme tecniche.

Rimane la firma elettronica, principio tecnologicamente neutro, conseguenza del Regolamento europeo 910/2014 (eIDAS) alla quale il Legislatore nazionale attribuisce il soddisfacimento della forma scritta.

A questo punto possiamo ragionevolmente ipotizzare che il soggetto identificato tramite SPID interagisca con un sistema univocamente definito dalle previste regole tecniche e sottoscriva tramite una firma elettronica che ha caratteristiche tali da garantire in maniera manifesta e inequivoca l’acquisizione della volontà del soggetto medesimo.

In sintesi:

  • Il soggetto è univocamente identificato tramite SPID
  • Le caratteristiche sull’atto giuridico ne garantiscono la qualità, la sicurezza, l’immodificabilità e l’integrità
  • Deve essere stabilito quando sottoscrivere, perché questo aspetto per le istanze e le dichiarazioni sembra superato dall’articolo 65, comma 1, lettera b) del CAD:
    “Le istanze e le dichiarazioni presentate per via telematica (…omissis…), sono valide:
    b) (…omissis…) quando l’istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), (…omissis…)” .

Conclusioni

Da quanto descritto si evince che i procedimenti amministrativi per i quali l’atto giuridico è posto in essere devono definire se e come sottoscrivere.  La firma digitale/qualificata non è strumento idoneo per i cittadini perché non si è mai diffusa presso di loro e comunque non è di facile utilizzo per la grande maggioranza di essi.

L’invio di istanze e dichiarazioni, considerando l’articolo 65 del CAD, non obbliga ad alcuna sottoscrizione se c’è una identificazione tramite SPID.

Ove l’atto giuridico non sia un’istanza o una dichiarazione, il sistema informatico piò sopperire alle operazioni tecniche tali da garantire le caratteristiche di qualità, sicurezza, immodificabilità e integrità mediante la stessa tecnologia della firma elettronica ovvero utilizzando la segnatura di protocollo informatico.

L’utilizzo della FEA da parte dei cittadini è ragionevole solamente se verranno semplificati alcune regole stabilite nel Titolo V del DPCM 22 febbraio 2013.

A cura di: Giovanni Manca

Giovanni Manca

Esperto di dematerializzazione e sicurezza ICT e Presidente di ANORC

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di dematerializzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spaziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).
Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in linea
del primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla progettazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura delle più importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche di dematerializzazione e sicurezza ICT per alcune primarie società di settore e Presidente di ANORC.

AIFAG: Associazione Italiana Firma elettronica Avanzata Biometrica e Grafometrica, promuove e sostiene nel mercato delle firme – caratterizzato ancora da disomogeneità - l'adozione di standard sicuri e interoperabili, inoltre stila e fornisce linee guida e best practice sull'utilizzo corretto della firma elettronica avanzata, biometrica
e grafometrica (www.aifag.it).

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy