Talvolta il Legislatore è pigro: un caso di norma che limita la trasformazione digitale

Spesso il Legislatore nazionale è indicato come affetto da “bulimia normativa”. Spesso si afferma (con ampia ragione) che non è con le norme che si promuove la trasformazione digitale.

In questo scenario può essere sorprendente l’individuazione di un piccolo caso, di un articolo con un comma di tre righe che limita o addirittura blocca lo sviluppo di una serie di progetti che potrebbero semplificare una serie di procedimenti rendendoli disponibili a cittadini e imprese al fine di favorirne l’utilizzo al tempo dell’emergenza sanitaria, dove operare da remoto, in modalità digitale è fondamentale.

In esclusiva per ANORC, il Vicepresidente, ing. Giovanni Manca, ci fornisce una lucida analisi dell’attuale situazione.

A: Qual è nello specifico il “piccolo caso” a cui si riferisce?

M: Partiamo da alcuni riferimenti precisi: la norma interessata è il DPCM 22 febbraio 2013 (“Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) e l’articolo è il 60 con un solo comma. Per il lettore meno pratico della materia è bene precisare che gli articoli citati sono relativi al Codice dell’amministrazione digitale (CAD). La circostanza che il CAD vigente sia successivo (2018) alle Regole Tecniche non modifica i riferimenti ai commi ai quali fa riferimento il DPCM.

L’articolo 60 rubricato Limiti d’uso alla firma elettronica avanzata stabilisce nel suo unico comma che:

“1. La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’articolo 55, comma 2, lettera a). “

Il sopra citato soggetto è definito nel decreto come (al plurale):

“coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b).”

A: In che modo questo comma potrebbe limitare (o addirittura bloccare) lo sviluppo di una serie di progetti?

M: Già ai tempi della pubblicazione in Gazzetta Ufficiale, l’articolo 60 suscitò numerose perplessità perché limitava l’efficacia della firma elettronica avanzata (FEA) rispetto a quanto stabilito nel CAD (art. 20). Sul tema ci fu anche un ricorso al Presidente della Repubblica, per “eccesso di delega normativa”. I competenti Uffici Legislativi se ne sono occupati anche con evidente consenso ma nulla è stato fatto.
Certamente in fase di stesura del DPCM il Legislatore aveva ottime ragioni per limitare l’uso della FEA. Infatti, all’epoca, le regole tecniche facevano riferimento ad un CAD nel quale la FEA era disconoscibile fino a querela di falso. Ma la FEA non è un prodotto o servizio ben specificato ma il risultato del soddisfacimento dei requisiti contenuti nel Titolo V del citato DPCM.

Le limitazioni e i complessi meccanismi stabiliti nel DPCM per la FEA sono state stabilite a tutela del sottoscrittore che disponeva di una serie di misure preventive aventi lo scopo di informarlo del fatto che stava firmando. Il DPCM finì nel cassetto del Ministro competente e nel frattempo il CAD fu modificato con lo strumento del decreto correttivo e la querela di falso per la FEA fu eliminata.

In quasi contemporanea, dopo circa un anno di blocco, il DPCM fu sottoscritto e il mercato ansioso di mettere all’opera la FEA non osò commentare in alcun modo. Modificare il DPCM avrebbe comportato altri mesi di vuoto normativo sulla FEA.

A: Dunque, ad oggi, questa serie di limitazioni nell’adozione della FEA risulta fuori luogo…

M: In sostanza, sì. Gli elementi contestuali che hanno indotto il Legislatore a introdurre l’articolo 60 sono ampiamente superati. In questi anni di utilizzo la FEA si è diffusa soprattutto con la modalità grafometrica, ma anche con architetture a chiave pubblica che utilizzano un certificato non qualificato per le operazioni di firma. Il fatto (palesemente in eccesso di delega) che la FEA sia valida tra sottoscrittore e soggetto proponente ne limita fortemente l’utilizzo nel caso della presenza di intermediari o quando è complesso identificare la “propagazione” della FEA rispetto ai rapporti giuridici da soddisfare.

Alcuni soggetti possono decidere, in conformità al Codice Civile, di adottare una determinata soluzione per sottoscrivere accordi specifici con tutti i soggetti “interessati”. Un caso tipico è quello della Banca che sottoscrive accordi con la clientela anche per conto di soggetti terzi come gestori di carte di credito, polizze assicurative o comunque servizi dove il contratto è intermediato. Questa “pezza” è comunque un ulteriore elemento di complessità e non sempre è accettata dagli Uffici Legali. Il reale scopo (mal rappresentato nel testo della norma) è stato quello di garantire la verifica della FEA. Mancando l’esperienza sul reale sviluppo della medesima, il Legislatore correttamente ne ha limitato l’uso alla coppia di soggetti che certamente ne potevano verificare la validità. Il tutto, lo ripetiamo, in uno scenario dove la FEA era disconoscibile fino a querela di falso.

A: Allo stato attuale, queste limitazioni esistono?

M: No, non esistono più. La FEA basata su tecnologia a chiave pubblica è sviluppata con formati di firma identici a quelli della qualificata o digitale. La verifica non è un problema. Per quanto concerne la FEA realizzata con firma grafometrica esiste l’evidenza scientifica che l’adozione dello standard ISO/IEC 19794-7 consente di ottenere delle stringhe binarie che sono verificabili da tutti i soggetti di mercato.

ANORC ha coordinato un’attività di test che ha portato all’evidenza di interoperabilità tra sistemi di FEA grafometrica qualora si adotti lo standard sopra citato. In questo modo tutti gli strumenti di supporto al grafologo in fase peritale possono essere interscambiabili, mentre oggi ogni soluzione di grafometria deve utilizzare il proprio strumento proprietario.

Per quanto sino a qui descritto sarebbe molto utile aggiornare il DPCM (non solo per l’articolo 60 ma anche per coordinarlo con il regolamento europeo eIDAS (n. 910/2014) con un nuovo articolo 60 che potrebbe stabilire quanto segue:

La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche deve essere realizzata garantendo l’interoperabilità nella verifica delle sottoscrizioni. Per quanto concerne la firma elettronica avanzata realizzata tramite firma grafometrica si adotta lo standard ISO/IEC 19794-7.
Le fattispecie di firma elettronica avanzata basate sulla tecnologia crittografica a chiave pubblica sono conformi ai formati previsti ai sensi dell’art. 4, comma 2.
Altre modalità di generazione della firma elettronica avanzata sono utilizzabili fornendo ad AgID le specifiche in formato aperto per la verifica della validità della sottoscrizione. AgID pubblica queste specifiche sul proprio sito istituzionale.

L’articolo proposto ha ovviamente uno scopo puramente indicativo e deve essere coordinato con il testo dell’intero nuovo decreto. Ad esempio dovrebbe essere definita la firma grafometrica.

A: Quali sono i benefici derivati dall’aggiornamento delle Regole Tecniche a fronte della situazione di emergenza nazionale?

M: L’aggiornamento dell’articolo 60 è portatore di benefici nel mondo della pubblica amministrazione e delle imprese. La FEA semplificata nei suoi vincoli di utilizzo consente di dematerializzare tutti i procedimenti amministrativi in modo semplice, economico e riusabile per la PA. L’utilizzo da remoto è fortemente semplificato, anche in termini di rapido utilizzo del sistema se si adottano le identità di SPID e della CIE.

L’emergenza sanitaria ci ha indicato con chiarezza che la trasformazione digitale è indispensabile per operare in ogni circostanza. L’aggiornamento delle regole tecniche sulla FEA sono un passo fondamentale nell’insieme delle attività di semplificazione digitale del nostro sistema Paese.

Sosteniamo la Croce Rossa Italiana

ANORC Mercato, ANORC Professioni e il Team di Digital&Law Department vi invitano a “fare comunità” e sostenere la Croce Rossa Italiana: condividiamo, tutti, gli hashtag #attentialletruffe e #donacontroilvirus, indicando nei post il link ufficiale della Croce Rossa Italiana dove poter effettuare una donazione in favore di chi sta combattendo per noi, ogni giorno, una battaglia contro il tempo.

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Sosteniamo la Croce Rossa Italiana

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"