La corretta identificazione del cittadino per l’accesso ai siti web della P.A.: tutto chiaro o si procede a tentoni?

Nonostante le numerose (anzi, addirittura troppe e caotiche!) norme esistenti in merito alla regolamentazione della pubblica amministrazione digitale, si evidenziano ancora delle problematiche che rimangono “sospese” o poco chiare nell’agire amministrativo on line.

Il Codice dell’Amministrazione Digitale (D. Lgs. 82/2005) prevede all’art. 64 che:

1. la carta di identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’autenticazione informatica.

2. Le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’autenticazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano di accertare l’identità del soggetto che richiede l’accesso.
L’accesso con carta d’identità elettronica e con carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni.

3. Ferma restando la disciplina riguardante le trasmissioni telematiche gestite dal Ministero dell’economia e delle finanze e dalle agenzie fiscali, con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e d’intesa con la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, è fissata la data, comunque non successiva al 31 dicembre 2007, a decorrere dalla quale non è più consentito l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi”.

Dunque, secondo quanto disposto dalla norma in esame l’accesso ai servizi amministrativi on line dovrebbe avvenire di norma a mezzo di carta di identità elettronica e carta nazionale dei servizi.
Per fortuna o, forse, più che altro per necessità (considerata la scarsa diffusione in Italia della CNS e il caos di regolamentazione della CIE su cui è meglio evitare commenti) il secondo comma dell’art. 64 prevede anche strumenti alternativi e differenti di autenticazione a un sito web istituzionale, fissando un termine al 31 dicembre 2007 e poi via prorogato negli anni successivi, entro il quale tutti i siti amministrativi avrebbero dovuto strutturarsi per un accesso esclusivo con CIE e CNS. L’ultima proroga è contenuta nell’art. 1 del Decreto-legge 30 dicembre 2009, n. 194 coordinato con la legge di conversione 26 febbraio 2010, n. 25 (cosiddetto decreto mille proroghe) in cui si fa nuovamente slittare tale termine fino al dicembre 2010.
Dalla lettura del disposto del secondo comma dell’art.64 emerge, dunque, una situazione di continua incertezza rispetto alle modalità di identificazione del cittadino nei siti web amministrativi; tali modalità (come l’utilizzatissima identificazione con ID e PW) sono così affidate ad una proroga annuale che ogni anno arriva in ritardo e svogliatamente da parte di un legislatore che dovrebbe interessarsi in modo più serio a questa delicata materia.

Inoltre, è facile constatare che le modalità di autenticazione per l’acceso ai servizi on line rimangono delegate all’iniziativa e alla discrezionalità di ogni singola Pubblica Amministrazione. Tutto questo non è di poco conto, considerato che, previa corretta autenticazione informatica il cittadino (o l’impresa), possono inoltrare telematicamente valide istanze alle P.A. ai sensi dell’art. 65 del CAD.
E’ utile specificare che, a prescindere dalle varie metodologie di identificazione informatica utilizzate dalle singole PA, l’accesso con carta d’identità elettronica e con carta nazionale dei servizi deve essere sempre e comunque consentito ai sensi dell’art. 64 comma 2°.

In verità, lo schema di Decreto Legislativo recante rilevanti modifiche al Codice dell’Amministrazione Digitale (approvato in Consiglio dei Ministri del 19 febbraio u.s.) prevede all’art. 38 la modifica all’art. 64 del CAD (Codice Amministrazione Digitale) stabilendo che: “all’articolo 64 del decreto legislativo 7 marzo 2005, n. 82, sono apportate le seguenti modificazioni:

a)  al comma 1, la parola: “ autenticazione” è sostituita con la seguente: “l’identificazione”

b)  al comma 2, il primo periodo è sostituito dal seguente; “ le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’identificazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio”

c)   Il comma 3 è abrogato

Tale modifica qualora fosse approvata eviterebbe la necessità di continue proroghe annuali rispetto al termine previsto dal comma 3 dell’art. 64 del Cad, ma sicuramente non garantirebbe certezza nei rapporti PA-cittadino, in quanto non provvederebbe a risolvere in modo omogeneo e sicuro le problematiche in tema di corretta individuazione degli strumenti di identificazione da utilizzare per richiedere i servizi pubblici on line. Una più attenta e meno semplicistica revisione normativa, attraverso una descrizione puntuale delle possibili modalità di accesso ai servizi telematici delle P.A. regolamentate da una norma primaria, invece, porterebbe una maggiore certezza sulle modalità e sulle tecnologie relative alle sicurezza informatica da implementare, le quali sicuramente renderebbero più efficiente ed efficace il servizio amministrativo on line in favore del cittadino.

Tale impostazione a parere di chi scrive servirebbe a realizzare concretamente alcuni degli importanti obiettivi portati avanti con la direttiva del 27 luglio 2005[1], la quale ha previsto la necessità di promuovere l’utilizzo e migliorare la qualità dei servizi on line, attraverso un’attenta ed efficace rilevazione delle esigenze e delle aspettative degli utenti (in una piena ottica di Citizen Relationship Managemernt).

Tale risultato, prescrive ancora la Direttiva, potrà essere raggiunto anche valutando correttamente la scelta dei canali on line di erogazione di uno specifico servizio, la quale deve essere effettuata tenendo conto sia del livello di interazione necessario alla completa erogazione del servizio, sia dei dati che occorre scambiare con l’utente, sia delle specifiche esigenze di fruibilità delle informazioni, e, quindi, rimane sempre indispensabile graduare l’accesso alla disponibilità delle informazioni in base alle concrete esigenze dell’utenza di riferimento che vanno dalla disponibilità on line di informazioni, alla possibilità di scaricare la modulistica, alla possibilità di attivare un procedimento, sino allo svolgimento dell’intera transazione on line.

In tal senso, le Linee Guida per i siti web della Pubblica Amministrazione,[2] emanate in ottemperanza a quanto previsto dall’art. 4 della direttiva del Ministro per la pubblica amministrazione e l’innovazione n. 8/2009, con riferimento all’acceso ai servizi on line prevedono espressamente che l’accesso possa essere consentito attraverso strumenti di autenticazione debole, quali la userid (e la pw?), purché siano rispettate determinate misure di sicurezza (identità certa del soggetto che la riceve, associazione della stessa al codice fiscale di chi la riceve, password di attivazione, sistema in grado di tutelare un eventuale utilizzo fraudolento delle stesse etc.).
Tali regole – è giusto ricordarlo – potranno essere applicate fino a quando perduri il regime transitorio previsto nel CAD. Ciò non fa altro che avvalorare le perplessità sopra esposte e dunque sottolineare la necessità di introdurre una normativa certa e specifica che possa regolamentare con chiarezza le varie tipologie di autenticazione informatica e le loro modalità di attivazione che dovranno garantire certezza e sicurezza nei servizi amministrativi on line.

* dello Studio legale Lisi – Digital&Law Department www.studiolegalelisi.it/