Tutto quello che c’è da sapere sulla regolamentazione del sistema pubblico per la gestione dell’identità digitale di soggetti giuridici.

Lo sviluppo della realtà digitale e l’avvento delle nuove tecnologie informatiche ripercuote inevitabilmente i suoi effetti anche sul piano normativo.

Di fronte all’espandersi di fattispecie concrete inedite, infatti, diventa compito del legislatore modellare il sistema giuridico attraverso la modifica delle norme precedentemente in vigore ovvero mediante l’introduzione di nuove disposizioni legislative e/o regolamentari che disciplinino ex novo tali fenomeni.

A richiederlo è non solo un’esigenza di regolamentazione normativa di meccanismi che, con sempre più frequenza, coinvolgono la vita del singolo cittadino, ma anche la necessità di “stare al passo”, provando ad inseguire un treno, quello digitale, che corre ad alta velocità verso orizzonti ancora inesplorati.

Alla luce dello scenario sopra descritto si spiega la scelta del legislatore italiano di istituire il c.d. Spid, acronimo di “sistema pubblico per la gestione dell’identità digitale di soggetti giuridici.”

Quali sono le norme giuridiche che disciplinano Spid?

La regolamentazione giuridica di Spid è rimessa a differenti disposizioni normative:

a) 64 Codice dell’amministrazione digitale (C.a.d.)

Si deve all’art. 64 del Codice dell’amministrazione digitale (d. lgs. n. 82/2005 e successive modifiche) l’aver demandato all’Agenzia per l’Italia digitale il compito di procedere all’attivazione del sistema in parola, demandando ad un successivo decreto del Presidente del Consiglio dei ministri la definizione delle caratteristiche generali;

b) Decreto del Presidente del Consiglio dei Ministri del 24.10.2014

Tale decreto definisce le caratteristiche generali di Spid, indicando, inoltre, i tempi e le modalità di adozione del sistema Spid da parte delle pubbliche amministrazioni e delle imprese;

c) Regolamenti dell’Agenzia per l’Italia digitale

Nel rispetto di quanto previsto dal D.P.C.M. del 2014, l’Agid ha adottato i seguenti regolamenti:

  1. Regolamento recante le modalità attuative per la realizzazione dello Spid;
  2. Regolamento sulle modalità per l’accreditamento e la vigilanza dei gestori dell’identità digitale;
  3. Regolamento recante le procedure per consentire ai gestori dell’identità digitale il rilascio dell’identità digitale tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID;
  4. Regolamento recante le regole tecniche;

d) Il regolamento e-IDAS

L’intervento del legislatore nazionale si inserisce nel più ampio panorama delle politiche dettate dall’Unione europea nell’ottica di pervenire al riconoscimento reciproco tra gli Stati membri nel settore dell’identificazione elettronica.

A perseguire tale obiettivo è, nel dettaglio, il regolamento comunitario n. 910/2014, c.d. e-IDAS (electronic IDentification Authentication and Signature), il quale, abrogando la precedente direttiva 1999/93/Ce, ha trovato applicazione a decorrere dal 1 luglio 2016.

Il regolamento in esame, infatti, mira a istituire un quadro giuridico comunitario uniforme in materia di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, servizi elettronici di recapito certificato e servizi relativi ai certificati di autenticazione di siti web.

A tale scopo, fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro.

Dunque, posto che per identificazione elettronica debba intendersi, ai sensi del presente regolamento, il processo mediante il quale si fa uso di dati di identificazione personale in forma elettronica che rappresentino un’unica persona fisica o giuridica, lo Stato membro che adotti un sistema di identificazione elettronica è tenuto a notificare alla Commissione europea, non solo, la descrizione del regime di identificazione elettronica impiegato, ma anche l’indicazione dei suoi livelli di garanzia, della o delle entità che rilasciano i mezzi di identificazione elettronica nell’ambito del regime e il meccanismo di vigilanza adottato.

In virtù della notifica ricevuta, la Commissione europea provvede ad inserire il regime di identificazione elettronica, adottato da uno Stato membro, in un elenco dalla stessa predisposto.

Trattasi di un adempimento particolarmente importante, giacché rappresenta una delle condizioni dettate dal regolamento e-IDAS ai fini del riconoscimento reciproco: i mezzi di identificazione elettronica rilasciati in un altro Stato membro, infatti, sono riconosciuti negli altri Stati purché siano stati rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco sopra indicato pubblicato dalla Commissione.

L’Italia, dopo la Germania, è il secondo paese europeo ad aver avviato il percorso per l’interoperabilità europea del proprio sistema di identità digitale ed il primo a pre-notificare un sistema guidato dai privati.

Così SPID diventerà un’identità digitale europea.

Ha preso infatti il via il percorso attuativo del regolamento comunitario eIDAS che consente all’Italia la notifica del Sistema Pubblico di Identità Digitale (SPID) a livello europeo per il riconoscimento dell’identità digitale come strumento di accesso a tutti i servizi digitali delle pubbliche amministrazioni degli Stati membri.

Durante l’ottavo Cooperation Network Meeting – che si è tenuto l’11 dicembre 2017 presso la DG Connect della Commissione Europea – l’AgID ha presentato ai rappresentanti degli Stati membri il progetto SPID, avviando ufficialmente il processo di “peer reviewing” che precede l’ufficializzazione della notifica italiana (vedi link).

Al termine del percorso di confronto tecnico con gli altri Stati, la Commissione pubblicherà lo schema nella Gazzetta Ufficiale Europea in modo da consentire – entro i successivi 12 mesi – l’adeguamento dei sistemi di tutti gli Stati dell’Unione che permetteranno l’accesso tramite SPID ai propri servizi digitali.

Concludendo:

Dall’analisi del composito quadro normativo vigente in materia – regolamento e-IDAS; C.a.d.; D.P.C.M. 2014; regolamenti Agid – emerge una prima, seppur generale, definizione:

Spid costituisce un sistema informatico che permette a persone fisiche o giuridiche di accedere ai servizi in rete messi a disposizione dalle Pubbliche amministrazioni, o dalle imprese aderenti, utilizzando un’unica identità digitale, rilasciata dai c.d. gestori d’identità digitale, accreditati dall’Agid.

Quale sia l’esigenza da soddisfare è facilmente intuibile: grazie a Spid vengono meno le decine di password, chiavi e codici necessari per utilizzare i servizi online di Pubbliche amministrazioni e imprese. Non solo: l’accesso a tali servizi potrà avvenire facilmente, e in qualunque momento, da pc, smartphone e tablet utilizzando la propria identità digitale.