La normativa tecnica di riferimento sulle firme informatiche e stabilita a livello secondario nel DPCM 22 febbraio 2013. Questa norma e da tempo sostanzialmente superata per una serie di ragioni giuridiche e storiche che analizziamo di seguito.
Prima di tutto è utile evidenziare che il DPCM sopra citato è stato predisposto quasi tre anni prima rispetto al regolamento europeo eIDAS. Inoltre, anche a livello della normativa nazionale, nel DPCM ci sono numerosi riferimenti al CAD che sono errati per le varie modifiche apportate successivamente a quest’ultimo decreto legislativo.
Un’altra importante questione e relativa al fatto che il DPCM sulle firme e l’unica norma secondaria in forma di decreto da quando il CAD ha stabilito che le regole tecniche sono formulate attraverso lo strumento delle Linee guida emesse da AgID.
La natura di Linea guida cambia la formulazione di un classico testo normativo fatto di titoli, sezioni, articoli e commi per utilizzare un testo piano con il dichiarato scopo di ottenere una maggiore fruibilità del testo anche agli utenti pubblici e privati compresi i cittadini.
Il DPCM vigente risulta anche inapplicabile in moltissimi obblighi ivi stabiliti, perché con l’entrata in vigore del regolamento eIDAS, il singolo Stato membro non può stabilire norme tecniche nazionali.
E utile ricordare che, come precisato dal Consiglio di Stato nell’ambito del parere n. 2122/2017 del 10.10.2017 reso sullo schema di decreto legislativo del correttivo al CAD, le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante per la pubblica amministrazione in quanto sono inquadrate come un atto di regolamentazione, seppur di natura tecnica, con la conseguenza che esse sono pienamente azionabili davanti al giudice amministrativo in caso di violazione delle prescrizioni che esse stabiliscono. Nelle ipotesi in cui la violazione sia posta in essere da parte dei soggetti di cui all’art. 2, comma 2 del CAD (i soggetti ai quali si applica il CAD), e altresì possibile presentare apposita segnalazione al difensore civico per il digitale, in conformità con quanto stabilito dall’art. 17, comma 1 - quater del CAD.
Per quanto concerne tutti gli altri utilizzatori, si applica il Regolamento eIDAS e, solo qualora la materia non sia trattata dal Regolamento, il CAD e le sue norme tecniche.
Il regolamento eIDAS è tecnologicamente neutro. Definisce quali siano i servizi fiduciari qualificati e stabilisce la presunzione che i requisiti di cui al Regolamento siano stati rispettati ove i sistemi e i prodotti affidabili, i certificati qualificati, i dispositivi di creazione della firma, il servizio qualificato di conservazione, la validazione temporale elettronica qualificata, i servizi elettronici di recapito certificato qualificati rispettino gli standard tecnici per i quali la Commissione Europea ha pubblicato nella Gazzetta Ufficiale comunitaria i loro numeri di riferimento.
Da quando il regolamento eIDAS è vincolante per tutti gli Stati membri, ossia dal primo luglio 2016, tutte le norme tecniche di cui agli articoli 24.5, 28.6, 29.2, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2 del medesimo regolamento sono raccomandazioni o oneri, ma non possono essere considerate né tassative, né obbligatorie
in nessuno Stato dell’Unione. Gli Stati membri non possono introdurre normazione più stringente o cogente, in altre parole:
1) il rispetto degli standard europei pubblicati non può essere obbligatorio per nessuno, neppure per la PA, in quanto si violerebbe il principio di neutralità tecnologica, sancito dal
considerando 17 e dagli artt. 24.5, 28.6, 29.2, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2;
2) il mancato utilizzo degli standard europei pubblicati non impedisce il riconoscimento come servizio fiduciario qualificato, ma ha solo la (pur rilevante) conseguenza che l’organismo di vigilanza nazionale, cioè l’AgID, può entrare nel merito e vigilare sugli obiettivi di sicurezza e le metodologie scelte per soddisfarli.
Per tutti i soggetti europei, il rispetto delle norme tecniche comunitarie deve essere considerato come un onere il cui adempimento è necessario al fine di ottenere l’iscrizione negli elenchi di fiducia da parte dell’organismo di vigilanza nazionale in modo più semplice.
Esso non è un obbligo e il mancato rispetto delle norme tecniche europee può solo avere (in casi limite, con gravi violazioni) la conseguenza della cancellazione dagli elenchi di fiducia.
Con queste indispensabili premesse sui vincoli imposti dalla normativa comunitaria, possiamo sottolineare che le nuove Linee guida sulle firme devono:
stabilire raccomandazioni e non obblighi;
stabilire che gli obblighi possono essere solo per materie non stabilite in eIDAS o per questioni esclusivamente nazionali (es.: la firma tramite SPID di cui all’art. 20, comma 1-bis del CAD);
garantire l’applicazione delle regole comunitarie evitando barriere nazionali a queste regole.
Le Linee guida per loro natura basilare devono anche cambiare lo stile di scrittura rispetto al DPCM. Una ragionevole ipotesi, già ampiamente adottata da AgID, prevede il passaggio del testo da una classica forma giuridica a una testuale e discorsiva;
da Titolo a Capitolo, da Articolo a Paragrafo e da Comma a Capoverso.
Se quest’ultimo passaggio porta a un testo ancora troppo “da decreto classico”, è opportuno ripetere il concetto piuttosto che mantenere la forma giuridica di “ai sensi del…” che non più praticabile.
Le Linee guida possono essere anche l’opportunità per unificare i differenti testi normativi oggi vigenti sul tema delle firme, magari utilizzando un testo principale e una serie di allegati che possono accorpare, tra l’altro, la Determinazione AgID 121/2019 che stabilisce regole di dettaglio sulle firme e sui certificati ma anche la Determinazione 157/2020 sulla cosiddetta firma tramite SPID e altri provvedimenti di natura giuridica secondaria.
Per chi ne ha interesse, i concetti giuridici illustrati in questo paragrafo possono essere approfonditi nel seguente volume
R. Genghini (2020), La forma notarile digitale, Wolters Kluwer.