La normativa tecnica di riferimento sulle firme informatiche è stabilita a livello secondario nel DPCM 22 febbraio 2013. Questa norma è da tempo sostanzialmente superata per una serie di ragioni giuridiche e storiche che analizziamo di seguito.
Il DPCM sopra citato è stato predisposto quasi tre anni prima rispetto al regolamento europeo eIDAS e quindi ne è fisiologicamente non coordinato. Ma anche a livello della normativa nazionale nel DPCM ci sono numerosi riferimenti al CAD che sono errati per modifiche apportate successivamente a quest’ultimo decreto legislativo.
Un’altra importante questione è relativa al fatto che il DPCM sulle firme è l’unica norma secondaria in forma di decreto da quando il CAD ha stabilito che le regole tecniche sono formulate attraverso lo strumento delle Linee guida emesse da AgID.
La natura di Linea guida cambia la formulazione di un classico testo normativo fatto di Titoli, sezioni, articoli e commi per utilizzare un testo piano con il dichiarato scopo di ottenere una maggiore fruibilità del testo anche agli utenti pubblici e privati compresi i cittadini.
Il DPCM vigente risulta anche inapplicabile in moltissimi obblighi ivi stabiliti perché con l’entrata in vigore del regolamento eIDAS il singolo Stato membro non può stabilire norme tecniche nazionali.
E’ utile ricordare che come precisato dal Consiglio di Stato nell’ambito del parere n. 2122/2017 del 10.10.2017 reso sullo schema di decreto legislativo del correttivo al CAD, le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante per la pubblica amministrazione in quanto sono inquadrate come un atto di regolamentazione, seppur di natura tecnica, con la conseguenza che esse sono pienamente azionabili davanti al giudice amministrativo in caso di violazione delle prescrizioni che esse stabiliscono. Nelle ipotesi in cui la violazione sia posta in essere da parte dei soggetti di cui all’art. 2, comma 2 del CAD (i soggetti ai quali si applica il CAD), è altresì possibile presentare apposita segnalazione al difensore civico, in conformità con quanto stabilito dell’art. 17, comma 1-quater del CAD.
Per quanto concerne tutti gli altri utilizzatori, si applica il Regolamento eIDAS e, solo qualora la materia non sia trattata dal Regolamento, il CAD e le sue norme tecniche.
Il regolamento eIDAS è tecnologicamente neutro. Definisce quali siano i servizi fiduciari qualificati e stabilisce la presunzione che i requisiti di cui al regolamento siano stati rispettati ove i sistemi e i prodotti affidabili, i certificati qualificati, i dispositivi di creazione della firma, il servizio qualificato di conservazione, la validazione temporale elettronica qualificata, i servizi elettronici di recapito certificato qualificati, rispettino gli standard tecnici per i quali la Commissione Europea ha pubblicato nella Gazzetta Ufficiale comunitaria i loro numeri di riferimento.
I documenti pubblicati sulla materia sono
DECISIONE DI ESECUZIONE (UE) 2015/1505 DELLA COMMISSIONE dell'8 settembre 2015 che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni informatiche nel mercato interno
DECISIONE DI ESECUZIONE (UE) 2015/1506 DELLA COMMISSIONE dell'8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme informatiche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all'articolo 27, paragrafo 5, e all'articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni informatiche nel mercato interno
DECISIONE DI ESECUZIONE (UE) 2016/650 DELLA COMMISSIONE del 25 aprile 2016 che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell'articolo 30, paragrafo 3, e dell'articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni informatiche nel mercato interno.
Da quando il regolamento eIDAS è vincolante per tutti gli Stati membri, ossia dal primo luglio 2016, tutte le norme tecniche di cui agli articoli 24.5, 28.6, 29.2, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2 del medesimo regolamento sono raccomandazioni o oneri, ma non possono essere considerate né tassative, né obbligatorie in nessuno stato dell’Unione. Gli Stati membri non possono introdurre normazione più stringente o cogente, in altre parole:
1) il rispetto degli standard europei pubblicati non può essere obbligatorio per nessuno, neppure per la PA, in quanto si violerebbe il principio di neutralità tecnologica, sancito dal considerando 17 e dagli artt. 24.5, 28.6, 29.2, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2;
2) il mancato utilizzo degli standard europei pubblicati non impedisce il riconoscimento come servizio fiduciario qualificato, ma ha solo la (pur rilevante) conseguenza che l’organismo di vigilanza nazionale cioè l’AgID può entrare nel merito degli obbiettivi di sicurezza e delle metodologie di sicurezza scelte.
Per tutti i soggetti europei, il rispetto delle norme tecniche comunitarie deve essere considerato come un onere il cui adempimento è necessario al fine di ottenere l’iscrizione negli elenchi di fiducia da parte dell’organismo di vigilanza nazionale in modo più semplice.
Esso non è un obbligo e il mancato rispetto delle norme tecniche europee può solo avere (in casi limite, con gravi violazioni) la conseguenza della cancellazione dagli elenchi di fiducia.
Con queste indispensabili premesse sui vincoli imposti dalla normativa comunitaria possiamo sottolineare che le nuove Linee guida sulle firme devono:
1) stabilire raccomandazioni e non obblighi;
2) stabilire che gli obblighi possono essere solo per materie non stabilite in eIDAS o per questioni esclusivamente nazionali (Es.: la firma tramite SPID);
3) garantire l’applicazione delle regole comunitarie evitando barriere nazionali a queste regole.
Le Linee guida devono anche cambiare lo stile di scrittura rispetto al DPCM. Una ragionevole ipotesi può essere il passaggio del testo da una classica forma giuridica a una testuale e discorsiva; da Titolo a Capitolo, da Articolo a Paragrafo e da Comma a Capoverso. Se quest’ultimo passaggio porta a un testo ancora troppo “da decreto” è opportuno ripetere il concetto piuttosto che mantenere la forma giuridica di “ai sensi del…” che non più praticabile.
Le Linee guida possono essere anche l’opportunità per unificare i differenti testi normativi oggi vigenti sul tema delle firme magari utilizzando un testo principale e una serie di allegati che possono contenere, tra l’altro, la Determinazione AgID 121/2019 che stabilisce regole di dettaglio sulle firme e sui certificati ma anche la Determinazione 157/2020 sulla cosiddetta firma tramite SPID stabilita nell’articolo 20, comma 1-bis del Codice dell’Amministrazione Digitale (CAD).
I concetti giuridici illustrati in questo paragrafo possono essere approfonditi nel seguente volume Riccardo Genghini, La forma notarile digitale, Wolters Kluwer, 2020.