Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Caccia: “Ma se il Cad non si adegua a Eidas rischia l’abrogazione”

Home PA Digitale Gestione Documentale Caccia: “Ma se il Cad non si adegua a Eidas rischia l’abrogazione”

L’uso degli standard è un fattore competitivo fondamentale ma, ampiamente sottovalutato che porta benefici molto significativi all’economia, come riportato nella Comunicazione dalla Commissione europea dello scorso ottobre. Il CAD potrebbe essere un’occasione per promuoverne la cultura e l’uso

29 Febbraio 2016

A

Andrea Caccia, membro del comitato ETSI "Electronic Signatures and Infrastructues" per UNINFO

L’Italia è il Paese europeo col numero maggiore di servizi fiduciari (generalizzazione del termine “certificatore” del CAD vigente) già operativi prima del Regolamento eIDAS. La firma digitale remota (che con oltre 6 milioni di certificati attivi rappresenta il 75% delle credenziali di firma elettronica qualificata rilasciate) è un successo che vede l’Italia prima tra i Paesi europei. Questo fattore dovrebbe rappresentare un vantaggio competitivo per l’Italia purché da un lato gli interventi di allineamento col quadro legislativo e tecnico europeo sia fatto correttamente e per tempo, dall’altro l’Italia non perda il controllo degli standard che sono alla base di questi servizi.

Dal punto di vista tecnico l’allineamento agli standard individuati a livello europeo, rinunciando gradualmente ai particolarismi nazionali, è l’unica strada sensata per evitare che i prestatori di servizio nazionali si trovino da un lato limitati a vendere i propri servizi solo al solo territorio nazionale, dall’altro ad avere una contrazione del mercato domestico come conseguenza della competizione con i prestatori esteri che potranno operare in Italia grazie ai principi di libera circolazione di prodotti e servizi. In generale va sottolineato come l’uso degli standard è un fattore competitivo fondamentale ma ampiamente sottovalutato che porta benefici molto significativi all’economia, come riportato nella Comunicazione dalla Commissione europea dello scorso ottobre sul Mercato Unico Digitale (COM(2015) 550 final). Il CAD potrebbe essere un’occasione per promuoverne la cultura e l’uso, ad esempio in ambito e-procurement, per una migliore efficienza sia in ambito pubblico che privato, e digital manufacturing, con una ricaduta benefica sull’industria dove c’è un disperato bisogno di recuperare competitività.

L’attuale schema di decreto di modifica del CAD invece non appare adeguato alla sfida che si profila con l’entrata in vigore del Regolamento eIDAS il prossimo 1 luglio:

  • La previsione di un capitale sociale elevato e in misura fissa non è in linea con quanto stabilito dall’articolo 24 del Regolamento eIDAS che prevede che per far fronte alle responsabilità civili per danni siano mantenute risorse finanziarie adeguate e/o siano stipulate assicurazioni adeguate; in ogni caso l’ammontare della garanzia è richiesto che sia nei limiti stabiliti in base all’articolo 13 e correlato con le limitazioni d’uso, non stabilito in misura fissa. Questo vincolo sul capitale penalizza soprattutto le PMI e la nascita di servizi innovativi portando al rischio che le imprese italiane stabiliscano sedi estere e che vengano aperte procedure di infrazione all’Italia.
  • I servizi nazionali oggetto del CAD dovrebbero, per quanto possibile, evolvere verso i corrispondenti servizi fiduciari europei. La PEC è un chiaro esempio: potrebbe gradualmente evolvere verso i corrispondenti standard europei emessi dall’ETSI (REM – Registered Electronic Mail), consentendo così ai nostri prestatori di servizio di competere con i prestatori esteri, Invece non solo la PEC viene mantenuta in vita separata dai servizi fiduciari, ma si riconoscono esplicitamente come equivalenti altri servizi elettronici di recapito certificato qualificato, a discrezione del mittente. Di conseguenza i prestatori esteri potrebbero operare in Italia producendo per le pubbliche amministrazioni italiane costi di integrazione elevati e neppure quantificabili a priori.
  • Per evitare inutile confusione, sarebbe utile evitare di usare il termine “accreditamento” in riferimento a PEC, conservazione, gestori delle identità SPID, ma usare il termine “qualificazione” come per i servizi fiduciari qualificati previsti dal Regolamento eIDAS. Lo stesso Regolamento incoraggia questa possibilità nel considerando 25, anche per evitare l’uso improprio del termine “accreditamento” che è oggetto del Regolamento (CE) 765/2008.
  • Vi sono numerosi casi, come nel caso dell’articolo 35 sulla certificazione dei dispositivi di firma, in cui nello schema di decreto vi è una sorta di “recepimento” ovvero lo schema di decreto che modifica il CAD ripete quanto già indicato dal Regolamento, duplicando (in modo impreciso) quanto già stabilito dal Regolamento.

E’ opportuno ricordare infatti che il Regolamento è direttamente applicabile come se fosse una legge nazionale in ogni Stato membro dell’Unione e che, la maggior parte, sarà applicabile dal 1 luglio 2016 con un valore superiore alle leggi nazionali, tanto che tutte le disposizioni del CAD in contrasto saranno comunque abrogate in modo implicito.

Il Regolamento prevede poi una serie di atti d’esecuzione, in pratica decreti attuativi emessi dalla Commissione, che definiscono le regole tecniche e tecnologiche di dettaglio che rendono applicabile il Regolamento stesso e che in gran parte sono limitati alla possibilità di richiamare degli standard. Gli enti che emettono gli standard in Europa e a livello internazionale (ETSI, CEN ed ISO) sono dunque gli organismi che consentiranno di ottenere prodotti e servizi interoperabili e con un livello di sicurezza oggettivo, garantito e uniforme in tutta l’Unione.

In considerazione del ruolo diretto che avranno gli standard europei emessi da CEN ed ETSI, ma anche da ISO, sarebbe opportuno che la partecipazione alle attività di UNINFO sia incoraggiata in modo che le esigenze nazionali siano tenute in debito conto.

Su questi aspetti, infatti, non è più possibile intervenire con provvedimenti a livello nazionale se non attraverso la partecipazione ai lavori degli enti di normazione nazionale ovvero l’UNI per l’Italia e, in particolare, UNINFO quale ente federato dell’UNI per gli standard in campo ICT.

Per una partecipazione ottimale occorre sensibilizzare imprese e PA perché partecipino direttamente alle attività dei tavoli di normazione tecnica nazionale dove vengono definite le posizioni nazionali da portare ai tavoli di normazione tecnica europei ed internazionali.

Questa attività ai tavoli tecnici rischia però di non essere sinergica con la governance generale dell’attuazione del digitale che comprende anche interventi a livello di policy. Sarebbe pertanto auspicabile che venisse istituito un tavolo di confronto multi-stakeholder dove tutti i portatori di interesse possano intervenire e contribuire con confronti aperti e trasparenti per indirizzare al meglio sia gli interventi a livello di policy (legislativi veri e propri o di “soft law”) che di normazione tecnica.

Su questo argomento

FORUM PA 2019: ecco i vincitori del Premio PA sostenibile