eIDAS, i rischi dei ritardi italiani. Manca:”accelerare su Cad e con standard Agid”

Quando nel giugno del 2012 la Commissione Europea pubblicò il primo schema di quello che sarebbe stato il Regolamento 910/2014 oggi comunemente indicato come eIDAS (electronic IDentification Authentication and Signature) non era scontato che ci sarebbe stato veramente il Regolamento e in anche in tempi ragionevolmente rapidi (è stato pubblicato sulla Gazzetta Ufficiale comunitaria il 28 agosto 2014). E invece il Regolamento è arrivato e per le sue componenti prevalenti e significative entra in vigore adesso, il 1 luglio 2016.

Abbiamo quindi un Regolamento che stabilisce regole comuni per gli schemi di identificazione, armonizzandosi con quelli nazionali; che stabilisce regole unitarie per la validità legale dei documenti informatici, per la loro sottoscrizione, per il loro trasporto certificato e per una loro gestione a lungo termine. I 28 Stati membri entrano a varie velocità in questa nuova autostrada e i più veloci dovranno rallentare un po’ quantomeno per capire che le regole sono differenti.

Certamente tra i più veloci c’è l’Italia (e possiamo dire senza dubbio che è il più veloce). I sistemi di sottoscrizione sono attivi da oltre 15 anni, abbiamo la conservatoria digitale e la Posta Elettronica Certificata (PEC). E’ da poco partito e in fase di sviluppo il Sistema Pubblico per la gestione dell’Identità Digitale per cittadini e imprese (SPID). L’AgID ci informa (tramite il proprio sito istituzionale) che sono oltre 11 milioni i certificati di firma qualificata attivi (60% fruibili in modalità remota) e le marche temporali emesse sfiorano i 600 milioni.

Quindi l’Italia il suo eIDAS già lo aveva e anzi, quello vero quasi la disturba. Ma così è e quindi pronti a ripartire con continuità e senza sussulti. Cambiano le regole, cambia anche la nomenclatura che ben avevamo metabolizzato e alcune operatività sembrano uguali o simili, ma in verità sono differenti. Quindi il certificatore accreditato diventa un prestatore di servizi fiduciari qualificato. E può prestare sia servizi per la firma ma anche per i sigilli elettronici (tecnologia pressoché identica alle firma ma che legalmente attesta la provenienza è l’integrità del dato “sigillato”) e per i certificati per l’autenticazione dei siti web.

Altri servizi sono quelli di recapito certificato e di conservazione delle firme, dei sigilli e dei certificati digitali. La nostra PEC e la conservatoria digitale sono apparentemente simili ma poi come vedremo tra breve sono differenti.

Per l’Italia l’ingresso in eIDAS è un cambio di regole e un’evoluzione innovativa. Il nostro mercato interno non dovrebbe avere significativi impatti sul piano della domanda. L’offerta dovrebbe operare con terminologie differenti, ma è ipotizzabile che ci vorrà un po’ di tempo prima che venga proposta secondo il nuovo glossario. Questo anche perché abbiamo una scarsa attenzione agli aggiornamenti anche sulle questioni nazionali. E’ piuttosto frequente che sui siti si trovino citate legislazioni abrogate da anni o nomenclature obsolete e superate.

Ma qualche problema c’è. Il 1 luglio non avremo un Codice dell’amministrazione digitale (CAD) coordinato con il Regolamento eiDAS. Ciò comporta che non tutte le questioni legate all’eIDAS, ma demandate all’ordinamento nazionale saranno definite nell’ordinamento nazionale.

Certo il CAD è in dirittura d’arrivo ma arriverà in Gazzetta dopo il 1 luglio 2016 e probabilmente non sarà operativo già dal giorno della pubblicazione.

Altro elemento di criticità è nelle Regole tecniche che scaturiscono dal CAD. Il coordinamento comunitario imporrebbe una nuova stesura per vari decreti. Nascono quindi problemi interpretativi che AgID dovrà gestire. In particolare le Regole UE sono prevalenti su quelle italiane che se in contraddizione o ostacolo sono automaticamente abrogate.

Ma altre regole italiane che non ostacolano gli obiettivi “cross border” e “cross sector” del Regolamento eIDAS sono valide. Le operazioni di filtro e analisi non sono ovvie e facili.

Altro elemento critico è nelle regole di interoperabilità italiane. Le previsioni comunitarie determinano che le regole sono stabilite dagli organismi di standardizzazione. Quindi il ruolo di AgID è soggetto agli standard ETSI e CEN. E AgID (che anche con il Regolamento eIDAS) dovrà rispondere alle sollecitazioni di un mercato con tante regole metabolizzate che cambiano e che in qualche caso non sono chiare o addirittura non ci sono. In questo senso AgID ha già chiarito sul proprio sito istituzionale che la PEC è un servizio di recapito certificato non qualificato ai sensi dell’eIDAS. Mentre certamente la nostra conservazione digitale dei documenti è assolutamente diversa dalla conservazione già citata prevista dall’eIDAS.

Altre difficoltà scaturiranno in corso d’opera, ma le istituzioni e il mercato adotteranno il consolidato pragmatismo che ha consentito al mercato nazionale di raggiungere fatturati paragonabili al resto dell’intero mercato europeo. Ovviamente un unico mercato interno ci porta fuori dai confini e chi è fuori dai confini si interesserà al mercato nazionale.

Possiamo ritenere di grande stimolo la sfida dei soggetti esteri alle prese con la nostra burocrazia, con le nostre leggi e con le nostre regole. E’ opportuno rammentare che il Regolamento eIDAS non ha poteri sul Codice Civile e su altre questioni legislative. Quindi l’efficacia probatoria di una elettronica qualificata è nel CAD e un servizio di recapito certificato qualificato ha la validità di una notifica a mezzo posta perché sempre nel CAD è stabilito (questo è previsto nell’attuale schema di CAD in approvazione in coordinamento con le previsioni PEC).

In modo complementare aziende italiane si stanno affacciando all’estero con successo. E le normative estere creano opportunità, ma anche ostacoli. Sia di esempio il fatto che in alcuni paesi non è possibile fotocopiare un documento di identità.

Ma la giostra avviata nel giugno 2012 ha iniziato a girare e il 1 luglio 2016 tutti i 28 Stati membri sono bordo (non considerando la cosiddetta Brexit ancora non attiva alla data del 1 luglio 2016). E’ realistico affermare che le regole sono uguali per tutti; è certamente vero che un documento elettronico firmato in Polonia potrà essere verificato anche in Italia. Dopo un periodo un po’ più lungo anche una raccomandata elettronica potrà esprimere la sua efficacia transnazionale. In ogni caso il Regolamento c’è e già questo è un traguardo. Funzionerà grazie al pragmatismo e alla capacità che l’Italia ha sviluppato in oltre 15 anni di esperienza. Ci si augura che questo sia di stimolo per un’Europa digitale e omogenea, perché la Rete supera i confini e si sviluppa anche in carenza di regole. Diamo il benvenuto a eIDAS e supportiamo il digitale nazionale per sviluppo del Paese.