Identificazione elettronica: quali i futuri scenari?
L'identificazione elettronica è al centro di un notevole processo di rinnovamento. Sia a livello internazionale che a livello europeo e nazionale, significative novità si stagliano all'orizzonte e non è un caso: l'identificazione elettronica è la chiave di volta per costruire relazioni on line sempre più sicure e, così, incrementare le attività commerciali digitali e favorire il dialogo tra cittadini e pubblica amministrazione
L'8 aprile si è conclusa la sessantatreesima sessione dei lavori del Working Group IV -Electronic Commerce della United Nations Commission on International Trade Law (UNCITRAL).
Sotto la presidenza di Giusella Finocchiaro, il Working Group si dirige verso l'adozione di una legge modello sull'identificazione elettronica e i servizi fiduciari.
L'identificazione elettronica è al centro di un notevole processo di rinnovamento. Sia a livello internazionale che a livello europeo e nazionale, significative novità si stagliano all'orizzonte e non è un caso: l'identificazione elettronica è la chiave di volta per costruire relazioni on line sempre più sicure e, così, incrementare le attività commerciali digitali e favorire il dialogo tra cittadini e pubblica amministrazione.
Quali sono, allora, gli scenari che si delineano per il futuro dell'identificazione elettronica, ad ognuno di questi livelli?
Il lavoro dell'UNCITRAL
L'UNCITRAL è la Commissione istituita dall'Assemblea generale delle Nazioni Unite nel 1966 per promuovere l'armonizzazione e la modernizzazione del diritto commerciale internazionale.
Tra gli strumenti di cui la Commissione dispone, vi sono anche i model law, testi che si prefiggono di fornire ai legislatori nazionali una base normativa, generalmente in materie caratterizzate da una certa portata innovativa o da particolare complessità (sul punto, si consenta di rimandare al contributo della Prof.ssa Avv. Giusella Finocchiaro e del Prof. Avv. Oreste Pollicino recentemente pubblicato qui su Norme & Tributi Plus Diritto).
L'ultimo model law al centro dei lavori del Gruppo di Lavoro Electronic Commerce è proprio quello sull'utilizzo e il riconoscimento transfrontaliero dei sistemi di identificazione elettronica e dei servizi fiduciari nell'ambito delle attività commerciali e dei trade-related service.
Il principale obiettivo: individuare norme internazionalmente accettate che rimuovano gli ostacoli giuridici ad un più vasto impiego dei sistemi di identificazione elettronica e dei servizi fiduciari.
Gli ostacoli: la mancanza di legislazioni che ne riconoscano l'efficacia giuridica; gli approcci giuridici divergenti, tra cui norme che impongono specifici requisiti tecnologici; la circostanza che alcune legislazioni richiedano un'identificazione basata su documenti cartacei per condurre transazioni commerciali on line e, infine, l'assenza di meccanismi per il riconoscimento giuridico transfrontaliero dei sistemi di identificazione elettronica.
Così, il model law fissa i tasselli fondamentali del regime giuridico dei sistemi di identificazione e fornisce gli strumenti normativi per il riconoscimento transfrontaliero.
Quanto al primo aspetto, la legge modello individua gli obblighi essenziali dei provider dei sistemi di identificazione elettronica e dei soggetti identificati, delinea le caratteristiche di un sistema di identificazione reliable e prevede alcune regole in materia di responsabilità dei provider.
Quanto al secondo, vi si prevede che in un Paese si riconoscano al sistema di identificazione elettronica offerto in un altro i medesimi effetti giuridici accordati ai sistemi nazionali ove il metodo di identificazione garantisca un livello di affidabilità almeno eguale.
Il model law suggerisce che questa valutazione sia condotta alla luce degli standard internazionali, ma anche per presunzioni: un sistema di identificazione dovrebbe presumersi offrire un eguale livello di affidabilità ove l'organo nazionale competente abbia determinato l'equivalenza alla luce dei requisiti di affidabilità individuati nel model law.
Questo impianto normativo deve essere letto alla luce di alcune disposizioni chiave, portato dei principi che da sempre informano l'azione dell'UNCITRAL: il principio di non discriminazione, il principio di equivalenza funzionale e il principio di neutralità tecnologica.
In virtù di questi principi fondamentali, il model law afferma che l'identificazione elettronica non deve vedersi negata efficacia giuridica per il solo fatto che la verifica dell'identità e l'identificazione avvengano elettronicamente o perché il sistema di identità digitale non sia tale da rispettare i requisiti fissati dal model law, che sì, indica quali sistemi possano ritenersi maggiormente affidabili, ma consente, in astratto, il riconoscimento di ogni sistema di identificazione.
Il livello europeo: la revisione del Regolamento e-IDAS
Il 3 giugno 2021 la Commissione europea ha presentato una proposta di Regolamento volta a revisionare il quadro definito dal Reg. 910/2014, c.d. "Reg. e-IDAS", che ha realizzato l'interoperabilità giuridica e tecnica fra i Paesi dell'Unione europea degli strumenti elettronici di identificazione, autenticazione e firma.
Anche la Commissione europea mira a potenziare il ruolo dell'identità digitale: secondo i dati presentati unitamente alla proposta, il 59% dei residenti nell'Unione ha accesso a regimi di identificazione elettronica affidabili e sicuri a livello transfrontaliero.
Con la revisione, si prevede di far sì che entro il 2030 almeno l'80% dei cittadini utilizzi una soluzione di identificazione elettronica per accedere ai principali servizi pubblici.
Ma la revisione si prefigge anche di consentire la fornitura di attributi elettronici, come ad esempio certificati medici o qualifiche professionali, rispondendo così alle nuove esigenze del mercato.
A distanza di 7 anni dall'emanazione del Reg. e-IDAS, nel mercato sembra essersi delineato un nuovo contesto: l'attenzione si è spostata dalla fornitura e dall'uso di identità digitali rigide, alla fornitura di attributi specifici connessi alle identità digitali.
Fanno così ingresso nel quadro del Reg. e-IDAS i portafogli europei di identità digitale, strumenti che consentiranno all'utente di conservare non solo dati di identità, ma anche credenziali e attributi, da utilizzare su richiesta dei fornitori di servizi per autenticarsi o firmare tramite firme elettroniche qualificate.
I portafogli dovranno essere accettati nel settore pubblico, ma non solo: secondo la proposta della Commissione, il nuovo Reg e-IDAS si rivolgerà altresì al settore privato.
Ove a norma del diritto nazionale o del diritto dell'Unione le parti private siano tenute a utilizzare l'autenticazione forte dell'utente per l'identificazione on line o qualora l'autenticazione forte sia richiesta per obbligo contrattuale, queste, per espresso dettato normativo, dovranno accettare anche l'uso dei portafogli.
Sono destinatarie di apposita previsione anche " le piattaforme on line di dimensioni molto grandi ", individuate secondo la definizione adottata dal Digital Services Act.
Il Regolamento disporrà che, qualora le piattaforme impongano agli utenti di autenticarsi per accedere ai loro servizi on line, queste accettino anche l'uso dei portafogli europei, "rigorosamente su richiesta volontaria dell'utente e per quanto riguarda gli attributi minimi necessari per lo specifico servizio on line per il quale è richiesta l'autenticazione, come la prova dell'età".
In ogni caso, i portafogli non costituiscono l'unica novità in materia di identificazione elettronica. L'introduzione di questo nuovo strumento, si accompagna ad alcune modifiche riferite al meccanismo del riconoscimento reciproco.
Come è noto, il Reg. e-IDAS prevede che gli Stati membri possano notificare alla Commissione europea i propri regimi di identificazione elettronica nazionali. Entro 12 mesi dalla pubblicazione del regime nell'elenco della Commissione, gli altri Stati membri rendono i servizi on line offerti dagli organismi pubblici nazionali fruibili anche attraverso il regime notificato.
In questo ambito, la proposta di revisione agisce su due fronti.
Da un lato, gli Stati membri saranno chiamati a notificare almeno un regime di identificazione elettronica entro 12 mesi dall'entrata in vigore del rinnovato Regolamento.
Dall'altro, si dimezzeranno le tempistiche per il riconoscimento, che dovrà verificarsi non più entro 12 mesi dalla pubblicazione dell'elenco della Commissione, bensì entro 6.
Il panorama nazionale: le deleghe all'identità digitale
Il d.l. 31 maggio 2021, n. 77, il c.d. "Decreto semplificazioni bis", convertito in legge con modificazioni dalla l. 29 luglio 2021, n. 108, ha introdotto nel Codice dell'Amministrazione Digitale il "Sistema di gestione deleghe".
Con questo sistema, si potrà delegare l'accesso a uno o più servizi a chi sia già titolare di un'identità digitale. Così, chiunque potrà designare un soggetto affinché, mediante la propria identità digitale, operi in qualità di suo delegato, on line e nell'ambito dei servizi erogati in modalità analogica.
Ciò sarà possibile grazie alla generazione di un attributo qualificato associato all'identità digitale del delegato, a seguito della presentazione della delega e della sua acquisizione da parte del sistema di gestione.
Per il momento, mancano all'appello il decreto del Presidente del Consiglio dei Ministri chiamato a definire le modalità di acquisizione della delega e le caratteristiche tecniche, l'architettura generale e le modalità di funzionamento del sistema di gestione, nonché le linee guida dell'Agenzia per l'Italia Digitale (AgID) che specifichino le modalità di generazione dell'attributo qualificato.
L'aggiornamento 2021-2023 del Piano Triennale per l'informatica nella Pubblica Amministrazione dell'AgID e del Dipartimento per la Trasformazione Digitale aveva previsto che il d.p.c.m. sarebbe stato emanato entro il marzo 2022. Non resta, dunque, che attendere.
Di certo, l'implementazione del sistema di gestione delle deleghe rappresenta uno snodo importantissimo.
Si amplierà la platea dei soggetti beneficiari dei servizi digitali, nuove opportunità si presenteranno a professionisti e imprese e l'Italia, tra i primi Paesi a dotarsi di una normativa organica sulla firma digitale, il primo Paese ad aver notificato alla Commissione europea un sistema di identità digitale che prevede il coinvolgimento anche di soggetti privati (SPID) nonché il primo Paese ad aver notificato alla Commissione europea due sistemi di identità digitale (SPID e CIE), proseguirà la sua corsa verso la digitalizzazione.
*a cura della Dott.ssa Giorgia Bianchini, DigitalMediaLaws
Stefano Previti, Vincenzo Colarocco
Dossier e monografieMaria Pia Giovannini
Dossier e monografieMariella Guercio
Dossier e monografieRiforma Cartabia: sui passaggi di rito luci e ombre del "Correttivo civile"
di Francesco Paolo Luiso - Presidente dell'Associazione italiana fra gli studiosi del processo civile