Numero 01204/2016 e data
17/05/2016
REPUBBLICA ITALIANA
Consiglio di Stato
Adunanza della Commissione speciale del 11 maggio 2016
NUMERO AFFARE 00430/2016
OGGETTO:
Presidenza del Consiglio dei Ministri - Ministero per la semplificazione e la pubblica amministrazione.
Schema di decreto legislativo recante “modifiche e
integrazioni al Codice dell’Amministrazione Digitale di cui al decreto
legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7
agosto 2015, n. 124, in materia di riorganizzazione delle
Amministrazione pubbliche”.
LA COMMISSIONE SPECIALE
Vista la nota del 29 febbraio 2016, di trasmissione
della relazione del 25 febbraio 2016, con la quale la Presidenza del
Consiglio dei Ministri - Ministero per la semplificazione e la pubblica
amministrazione ha chiesto il parere del Consiglio di Stato sullo schema
di decreto in oggetto;
Visto il decreto del Presidente del Consiglio di Stato
n. 32 del 1° marzo 2016 che ha istituito la Commissione speciale per
l’esame dello schema di decreto legislativo in oggetto;
Visto il parere interlocutorio reso nell’Adunanza del 17 marzo 2016;
Vista la nota del 26 aprile 2016, prot. n.
180/16/UL/P, con cui l’Amministrazione proponente ha riscontrato il
predetto parere interlocutorio;
Esaminati gli atti e uditi i Presidenti aggiunti Mario
Luigi Torsello e Luigi Carbone nonché i relatori Claudio Boccia e
Alessandro Maggio.
Premesso e considerato.
1. Con il parere interlocutorio reso nell’Adunanza del
17 marzo 2016 - cui si rinvia per una puntuale disamina del contenuto
dell’atto normativo in esame - la Commissione speciale ha rilevato
alcuni profili di criticità presenti nello schema di decreto legislativo
in epigrafe e, conseguentemente, ha invitato l’Amministrazione
proponente a fornire dei “chiarimenti su specifiche tematiche di particolare rilevanza”, sospendendo nelle more l’espressione del richiesto parere.
Tramite la succitata pronuncia interlocutoria la
Commissione speciale ha, inoltre, formulato alcune osservazioni di
carattere sia sostanziale sia formale, invitando l’Amministrazione, al
fine di “non rallentare il raggiungimento dei condivisi obiettivi sottesi” all’intervento normativo de quo, a tenerne conto in sede di stesura definitiva del provvedimento.
2. Con la nota del 26 aprile 2016, prot. n. 180/16/UL/P, l’Amministrazione proponente ha fornito le informazioni richieste.
Più nel dettaglio, l’Amministrazione - in relazione
alla richiesta di chiarimenti concernente la scelta di prevedere che i
documenti elettronici corredati da firma elettronica semplice soddisfano
il requisito della forma scritta e hanno l'efficacia prevista
dall'articolo 2702 del codice civile (art. 21 del nuovo CAD) - ha
riferito che la decisione di superare la previgente disciplina - che
demandava al giudice la valutazione dell’efficacia probatoria dei
succitati documenti - è finalizzata a “fornire maggiore certezza”
ai soggetti che utilizzano tale tipo di documento elettronico,
permettendo una più ampia diffusione di tale strumento oltre ad essere
coerente con gli artt. 25 e 46 del Regolamento eIDAS.
L’Amministrazione, tuttavia, riscontrando quanto rilevato nel succitato parere interlocutorio e a seguito “dell’approfondimento effettuato nel corso di alcune audizioni con esperti della materia”, ha comunicato che sta valutando “l’opportunità
di procedere all’espunzione della modifica proposta … lasciando vigente
la disciplina attuale che rimette alla libera valutazione del giudice,
caso per caso, il riconoscimento di un valore giuridico al documento
informatico sottoscritto con firma elettronica semplice”.
Per quanto riguarda la richiesta di chiarimenti concernente l’art. 25 del decreto legislativo, recante modifiche all’art. 27 (“Prestatori
di servizi fiduciari qualificati, gestori di posta elettronica
certificata, gestori dell’identità digitale di cui all’articolo 64 e
conservatori”) del CAD, il Ministero ha riferito che la scelta di
prevedere, per i soggetti che intendono avviare la prestazione di
servizi fiduciari qualificati o svolgere l’attività di gestore di posta
elettronica certificata, di gestore dell’identità digitale e di
conservatore di documenti informatici, la “forma giuridica di società di capitali” nonché un “capitale sociale non inferiore”
a 5 milioni di euro, è stata mutuata da quanto già previsto
dall’ordinamento per i certificatori di firma digitale, cui peraltro è
richiesto un capitale sociale di almeno 10 milioni di euro, e che la
medesima trova il suo fondamento nella circostanza che “il concetto
di servizi fiduciari presuppone … un alto livello di fiducia da
cittadini, imprese e amministrazioni e che gli erogatori di tali sevizi
non solo devono essere sicuri ma devono anche essere percepiti come tali”.
L’Amministrazione, in aggiunta a quanto precede, ha
altresì comunicato che la succitata novella fa in ogni caso salva la
disciplina attualmente vigente per i gestori di posta elettronica
certificata e per i conservatori di cui all’art. 27 del CAD, cui è
richiesto, rispettivamente, un capitale sociale minimo di 1 milione di
euro e di 200.000 euro.
Per quanto concerne, invece, i gestori d’identità
digitale aderenti allo SPID, l’Amministrazione - in considerazione del
fatto che “l’identità SPID è costituita da credenziali con caratteri
differenti in base al livello di sicurezza richiesto per l’accesso al
servizio” - ha comunicato che sta valutando la possibilità di
introdurre una graduazione del requisito del capitale sociale minimo
previsto dal predetto art. 25 del decreto “in relazione al livello di sicurezza dell’identità SPID offerto dal gestore”.
L’Amministrazione, inoltre, relativamente alla richiesta di chiarimenti concernente la “anonimizzazione”
dei dati personali recati dalle sentenze, ai sensi dell’articolo 62,
comma 5, lettera b) del decreto legislativo, ha, da un lato, rilevato
che tale previsione potrebbe rientrare nei criteri di delega di cui
all’art. 1, comma 1 della legge n. 124 del 2015 - nella parte in cui
prevedono che il decreto in esame debba “garantire ai cittadini e
alle imprese, anche attraverso l’utilizzo delle tecnologie
dell’informazione e della comunicazione, il diritto di accedere a tutti i
dati, i documenti e i servizi di loro interesse in modalità digitale” nonché “garantire
l’accesso e il riuso gratuiti di tutte le informazioni prodotte e
detenute dalle amministrazioni pubbliche in formato aperto” - e,
dall’altro lato, ha comunicato che procederà a valutare la compatibilità
di quanto disposto dal succitato art. 62, comma 5, lettera b) del
decreto con i criteri di delega di cui alla normativa primaria di
riferimento, “in vista di una eventuale espunzione” della disposizione de qua dall’articolato.
In relazione alla richiesta di chiarimenti formulata
in merito all’abrogazione dell’obbligo per le pubbliche amministrazioni
di predisporre appositi piani di emergenza (piano di continuità
operativa e piano di “disaster recovery”) per superare eventuali
situazioni di criticità dei sistemi informatici, l’Amministrazione ha
rilevato che la disciplina in materia recata dall’abrogato art. 50 bis del CAD “è da ritenersi ricompresa nel novellato art. 51 del Codice”,
nella parte in cui dispone che le regole tecniche di cui all’art. 71
del CAD debbano anche individuare delle modalità che garantiscano “l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture”
informatiche, in attuazione, peraltro, del criterio di delega di cui
all’art. 1. comma 1, lett. m) della legge n. 124 del 2015.
Inoltre, sempre relativamente alla succitata tematica,
il dicastero proponente ha sottolineato che le regole tecniche di cui
all’art. 71 del CAD risultano uno strumento più flessibile rispetto al
disposto del citato art. 50 bis del CAD e, quindi, più idoneo a
tener conto dell’evoluzione tecnologica del settore, circostanza
quest’ultima di sicuro rilievo atteso che “la progettazione e
realizzazione di soluzioni per la continuità operativa ed il disaster
recovery sono fortemente dipendenti dalle tecnologie in rapida
evoluzione”.
A quanto precede l’Amministrazione ha, poi, aggiunto
di aver adottato, al fine di garantire adeguate misure di continuità
operativa e contro i rischi da alluvioni o altre calamità, il d. P.C.M.
22 febbraio 2013 (“Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”), il quale prevede che i certificatori debbano “definire piani per la sicurezza, la continuità operativa e il disaster recovery”.
Infine, l’Amministrazione non ha formulato alcun
rilievo in merito alle osservazioni, di carattere sostanziale e formale,
recate dal parere interlocutorio in epigrafe.
3. Tutto ciò premesso, la Commissione speciale rileva,
in primo luogo, che la stessa Amministrazione, tramite la nota in
epigrafe, ha fornito in riscontro al parere interlocutorio del 17 marzo
2016 i chiarimenti richiesti, dai quali emergono sia le motivazioni
sottese ad alcune scelte normative compiute dall’Amministrazione stessa
nell’ambito del decreto legislativo in esame sia le ulteriori
valutazioni che il dicastero proponente sta tutt’ora compiendo al fine
di superare le problematicità emergenti dal contenuto del decreto in
oggetto.
Più nel dettaglio, per quanto concerne la tematica
relativa al valore probatorio dei documenti elettronici corredati da
firma elettronica semplice, la Commissione speciale accoglie con favore
il fatto che l’Amministrazione stia valutando l’opportunità di procedere
all’espunzione della modifica proposta, attraverso la quale si assegna a
tali documenti un valore probatorio predefinito, e ciò in quanto - come
già esplicitato nel predetto parere interlocutorio - la novella
potrebbe avere riflessi non positivi sullo svolgimento dell’attività
processuale.
Per quanto riguarda la tematica del capitale sociale
minimo di 5 milioni di euro, richiesto per l’accreditamento ai gestori
dell’identità digitale aderenti allo SPID (art. 25 del CAD), la
Commissione speciale non può che prendere atto di quanto comunicato
dall’Amministrazione proponente sia relativamente alle motivazioni
sottese a tale scelta sia in merito alla decisione di valutare la
possibilità d’introdurre una graduazione del succitato requisito “in relazione al livello di sicurezza dell’identità SPID offerto dal gestore”, atteso che detta determinazione va nella direzione indicata nel parere interlocutorio, ovvero quella della ricerca “di
un punto di equilibro fra l’esigenza di selezionare aziende che, anche
tramite una adeguata capitalizzazione societaria, assicurino un servizio
conforme agli standard individuati dall’Amministrazione stessa e quella
di non escludere dal mercato società che, pur in possesso di accertati
requisiti di affidabilità, non dispongano del capitale societario
richiesto dall’articolo de quo”.
In relazione a quanto precede, tuttavia, la
Commissione speciale, al fine di prevenire possibili forme di
contenzioso, ritiene opportuno invitare l’Amministrazione proponente a
tenere in debita considerazione quanto statuito dalla sentenza del
Consiglio di Stato n. 1214 del 24 marzo 2016, che ha confermato la
sentenza del Tar per il Lazio n. 9951 del 21 luglio 2015 con cui è stato
annullato l’art. 10, comma 3, lett.a) del d. P.C.M. 24 ottobre 2014,
recante un requisito di capitale sociale minimo identico a quello di cui
al citato art. 25 del CAD.
Sempre con riferimento alla tematica de qua, la
Commissione speciale ritiene, infine, doveroso precisare che le
osservazioni formulate derivano dall’esigenza di rispettare la normativa
europea e quella costituzionale - quale ad esempio la normativa
concernente la libera concorrenza e quella relativa alla libertà di
mercato - atteso che anche con riferimento a tali disposizioni deve
essere valutata la logicità e la razionalità delle scelte operate
dall’Amministrazione con il decreto legislativo in esame.
La Commissione speciale, inoltre, ritiene di esprimere
il proprio favorevole avviso sulla decisione, assunta
dall’Amministrazione, di procedere a una nuova valutazione in merito
alla compatibilità di quanto disposto dall’art. 62, comma 5, lettera b)
del decreto - relativo alla “anonimizzazione” dei dati personali
contenuti nelle sentenze e negli altri atti dell’autorità giudiziaria -
con i criteri di delega recati dall’art. 1 della legge n. 124 del 2015, “in vista di una eventuale espunzione” della disposizione de qua dall’articolato. E ciò nella considerazione che la generalizzata “anonimizzazione”
delle decisioni dell’autorità giudiziaria, svincolata da una
valutazione caso per caso da parte degli organi giudicanti già prevista
dalla vigente normativa, potrebbe comportare - come esposto nel parere
interlocutorio in epigrafe - un “ingiustificato” appesantimento
dell’attività amministrativa connessa con l’esercizio della funzione
giurisdizionale, con conseguenti effetti negativi sull’efficacia e sulla
speditezza della stessa.
Per quanto concerne, invece, la tematica della continuità operativa e del “disaster recovery”,
la Commissione speciale non può che prendere atto di quanto comunicato
dall’Amministrazione proponente in merito alle motivazioni sottese alla
decisione di procedere all’abrogazione dell’art. 50 bis del CAD,
atteso che tale decisione non risulta né illogica né irragionevole e non
si pone in contrasto con i criteri di delega recati dalla normativa di
rango primario di riferimento.
Da ultimo, in relazione alle osservazioni di carattere
sostanziale e formale recate dai nn. 7 e 9 del parere interlocutorio in
epigrafe, di cui l’Amministrazione è stata invitata a tener conto in
sede di stesura definitiva del provvedimento normativo de quo, la
Commissione speciale ritiene di doversi limitare a ribadire quanto già
osservato nel parere interlocutorio, non avendo il dicastero proponente
formulato alcun rilievo in merito a tali osservazioni.
4. Ciò posto, la Sezione deve altresì rilevare che,
successivamente all’adozione del parere interlocutorio del 16 marzo
2016, con la nota del 19 aprile 2016, pervenuta presso questo Consiglio
di Stato il successivo 27 aprile, l’Associazione monitori esterni
qualificati (AMEQ) ha posto all’attenzione della Commissione speciale il
fatto che l’art. 64 del decreto in esame abroga l’art. 13 del d. lgs.
n. 39 del 1993, “norma che regola l’obbligo da parte delle
Amministrazioni pubbliche di effettuare il monitoraggio dei contratti
informatici di grande rilievo”, specificando che tale circostanza -
in assenza di una nuova disposizione sul punto - potrebbe mettere a
repentaglio il conseguimento di importanti benefici in termini di
miglioramento della qualità dei servizi erogati e di risparmi di spesa
derivanti dal monitoraggio dei contratti informatici di “grande rilievo” sino ad ora effettuato da parte delle imprese certificate ai sensi del succitato art. 13 del d. lgs. n. 39 del 1993.
La Commissione speciale, pertanto, ritiene opportuno
invitare l’Amministrazione proponente a valutare, in sede di stesura
definitiva del presente provvedimento, quanto evidenziato dalla predetta
associazione di categoria, attesa l’importanza e la delicatezza del
tema dalla medesima sollevato.
5. In considerazione di quanto sin qui esposto, la
Commissione speciale ritiene che lo schema di decreto legislativo in
esame, a seguito dei chiarimenti forniti dall’Amministrazione, meriti
parere favorevole con l’osservazione formulata al n. 3 del presente
parere relativamente all’individuazione del capitale sociale richiesto
per l’accreditamento dei gestori dell’identità digitale aderenti allo
SPID nonché con le osservazioni di cui ai numeri 7 e 9 del parere
interlocutorio del 17 marzo 2016 che per ragioni sistematiche e di
facilità di consultazione vengono di seguito riportate.
6. Osservazioni di cui al n. 7 del parere
interlocutorio del 16 marzo 2016: “7. Allo scopo di non rallentare il
raggiungimento dei condivisi obiettivi sottesi all'intervento in esame,
la Commissione speciale - per quanto riguarda le restanti parti del
provvedimento e impregiudicata ogni altra questione in rito e nel merito
- intende formulare, già con il presente parere, alcune osservazioni
che potranno essere valutate dall’Amministrazione stessa in sede di
stesura definitiva del provvedimento.
7.1. La Commissione speciale ritiene di formulare una
prima osservazione in relazione all’articolo 1, recante modifiche
all’art. 1 (“Definizioni”) del CAD.
In particolare, si osserva che l’articolo in esame inserisce nel CAD la definizione di “domicilio digitale”, da intendersi come “l’indirizzo
di posta elettronica certificata o altro servizio qualificato di
recapito che consenta la prova del momento di ricezione di una
comunicazione tra i soggetti di cui all’articolo 2, comma 2, e le
persone fisiche e giuridiche”.
Il tenore letterale della succitata disposizione,
quindi, limita l’ambito soggettivo di utilizzo del domicilio digitale
alle sole “persone fisiche e giuridiche” precludendo, in tal
modo, la possibilità di utilizzare detto servizio ai soggetti non
esplicitamente richiamati come, ad esempio, le associazioni non
riconosciute: potrebbe, quindi, essere opportuno estendere l’ambito di
applicazione della novella de qua, sostituendo il richiamo ivi previsto alle “persone fisiche e giuridiche” con quello ai “soggetti giuridici”, in ossequio, peraltro, al generale principio di cui al novellato art. 3 del CAD, ai sensi del quale “chiunque
ha il diritto di usare le soluzioni e gli strumenti di cui al presente
Codice nei rapporti con i soggetti di cui all’articolo 2, comma 2 …”.
7.2. Per quanto concerne l’articolo 2, recante modifiche all’art. 2 del CAD (“Finalità e ambito di applicazione”),
la Commissione speciale osserva che il medesimo, alla lettera c), primo
periodo stabilisce che le disposizioni del CAD si applicano “nel
rispetto della disciplina rilevante in materia di trattamento dei dati
personali e, in particolare, delle disposizioni del Codice in materia di
protezione dei dati personali approvato con decreto legislativo 30
giugno 2003, n. 196.”
In proposito si osserva che sarebbe necessario
raccordare tale disposizione con quanto previsto dal decreto legislativo
recante “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza….” in fase di approvazione definitiva da parte del Governo.
La Commissione speciale, inoltre, rileva che la lettera c), ultimo periodo, prevede che “le
disposizioni del presente Codice si applicano altresì al processo
civile e penale in quanto compatibili e salvo che non sia diversamente
disposto dalle disposizioni in materia di processo telematico”
senza, tuttavia, richiamare né le disposizioni relative al processo
amministrativo telematico, di cui all’art. 13 dell’allegato II al c.p.a.
- di recente sottoposte all’esame della Sezione Atti Normativi (Cons.
di Stato, Sez. Atti Normativi, 29 gennaio 2016, n. 66/2016) - né quelle
concernenti i processi contabili e tributari.
Pertanto, al fine di un’applicazione quanto più
possibile omogenea delle disposizioni di cui al decreto in esame, la
Commissione speciale ritiene che si potrebbe far luogo a un’integrazione
della succitata disposizione, prevedendo un esplicito richiamo ai
processi amministrativi, contabili e tributari. E ciò anche in
considerazione del fatto che, come già esplicitato nel parere da ultimo
citato, il regolamento recante le regole tecnico-operative per
l’attuazione del processo amministrativo telematico “non sancisce
espressamente l’applicabilità al processo amministrativo telematico dei
principi posti dal Codice dell’amministrazione”.
7.3. Per quanto concerne l’articolo 8 del decreto de quo, che modifica l’art. 7 (“Qualità dei servizi resi e soddisfazione dell'utenza”) del CAD, la Commissione speciale rileva che il primo periodo stabilisce che “gli
standard e i livelli di qualità sono periodicamente aggiornati
dall’Agid, tenuto conto dell’evoluzione tecnologica degli standard di
mercato”.
In proposito si rileva che i criteri con cui devono essere aggiornati gli standard
appaiono definiti dalla norma in maniera generica: motivo per cui
sarebbe necessario rivisitare la succitata disposizione, prevedendo
criteri di revisione più puntuali che integrino quelli già individuati
dall’articolo in esame.
La Commissione speciale osserva, inoltre, che l’ultimo periodo della disposizione in esame prevede che “in
caso di violazione degli obblighi di cui al presente articolo, gli
interessati possono agire in giudizio, nei termini e con le modalità
stabilite nel decreto legislativo 20 dicembre 2009, n. 198”, concernente la cosiddetta “class action”.
Orbene, si rileva che il tenore letterale della
succitata disposizione potrebbe far ritenere che i soggetti interessati
possano esperire “esclusivamente” l’azione di cui al succitato d.
lgs. n. 198 del 2009, con la conseguenza che a questi ultimi
sembrerebbe preclusa la possibilità di adire gli organi giurisdizionali
attraverso gli ordinari strumenti di tutela: pertanto, in considerazione
di quanto esposto, si ritiene che al succitato art. 8, comma 1, ultimo
periodo, dopo le parole “in giudizio…”, potrebbe essere inserita la parola “anche…”, al fine di evitare che tale disposizione sia interpretata in maniera restrittiva.
7.4. Per quanto concerne l’articolo 17 del decreto legislativo, recante modifiche all’art. 20 (“Validità ed efficacia probatoria dei documenti informatici”) del CAD, la Commissione speciale rileva che, in base a tale disposizione, “l’idoneità
del documento informatico a soddisfare il requisito della forma scritta
e il suo valore probatorio sono liberamente valutabili in giudizio, in
relazione alle sue caratteristiche oggettive di qualità, sicurezza,
integrità e immodificabilità”.
La novella introdotta dal succitato articolo, quindi,
demanda agli organi giudicanti la verifica dell’idoneità dei documenti
informatici privi di firma a soddisfare, in relazione ai parametri
individuati dall’articolo stesso, il requisito della forma scritta.
In relazione a quanto esposto potrebbe essere
opportuno, in sede di stesura definitiva del presente decreto, inserire
nell’articolo in esame un rinvio alla norme tecniche relative ai
processi telematici, per far si che le medesime disciplinino con un
adeguato grado di dettaglio e con riferimento alla specificità dei
singoli procedimenti, i parametri tecnici necessari agli organi
giudicanti al fine di una corretta valutazione dell’adeguatezza dei
documenti informatici privi di firma a soddisfare il requisito della
forma scritta. Ciò sia in considerazione del fatto che quanto precede si
trasformerebbe in un utile ausilio agli organi giudicanti che non
necessariamente sono in possesso delle competenze tecniche per poter
autonomamente procedere alla valutazione prevista nel presente articolo
sia in ragione della circostanza che quanto proposto non risulta in
contrasto con il più volte citato regolamento eIDAS, che non reca una
disciplina specifica del valore probatorio dei documenti informatici
privi di firma, limitandosi a stabilire il generale principio di non
discriminazione di detti documenti, ai sensi del quale non può negarsi
valore giuridico ad un determinato documento informatico solo in ragione
della sua forma elettronica (art. 25 del citato regolamento).
7.5. In relazione all’articolo 19 con il quale si procede a modificare l’art. 22 (“Copie informatiche di documenti analogici”)
del CAD, la Commissione speciale osserva che la disposizione in esame
aggiunge al comma 3 del citato art. 22 un ulteriore periodo, ai sensi
del quale “il disconoscimento non può essere effettuato se la copia
per immagine su supporto informatico di un documento analogico è
prodotta mediante processi e strumenti che assicurino che il documento
informatico abbia contenuto e forma identici a quelli del documento
analogico da cui è tratto, previo raffronto dei documenti o attraverso
certificazione di processo nei casi in cui siano adottate tecniche in
grado di garantire la corrispondenza della forma e del contenuto
dell’originale e della copia”.
La succitata novella, quindi, sembra precludere
qualsiasi possibilità di disconoscimento delle copie per immagini su
supporto informatico di documenti analogici nei casi in cui si siano
seguiti processi o si siano utilizzati strumenti “che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto”,
dando non sufficiente rilievo alla circostanza che anche in tali
fattispecie vi è la possibilità che il documento informatico non
risponda all’originale o in ragione di problematiche tecniche o per via
di errori umani non sempre evitabili.
Pertanto, in considerazione di quanto esposto, la
Commissione speciale invita l’Amministrazione a valutare la possibilità
di modificare l’articolo in esame, al fine di rendere comunque possibile
il disconoscimento delle copie per immagini su supporto informatico di
documenti analogici in specifiche e limitate fattispecie.
7.6. L’articolo 33 reca delle marginali modifiche all’art. 37 (“Cessazione dell'attività”)
del CAD, in materia di cessazione dell’attività da parte dei prestatori
di servizi fiduciari qualificati, aggiornando la terminologia ivi
prevista in base a quanto contenuto nel regolamento eIDAS e prevedendo
al comma 4-bis che “qualora il prestatore (di servizi fiduciari qualificato) cessi
la propria attività senza indicare … un prestatore di servizi fiduciari
qualificato sostitutivo e non si impegni a garantire la conservazione e
la disponibilità della documentazione … e delle ultime liste di revoca
emesse, deve provvedere al deposito presso l’Agid che ne garantisce la
conservazione e la disponibilità”, senza tuttavia stabilire alcuna specifica sanzione in caso di violazione degli obblighi di cui alla citata normativa.
Ne deriva, quindi, che la violazione di tali obblighi -
oltre a rilevare sul piano dell’eventuale risarcimento danni per i
soggetti incisi da tali violazioni - potrebbe essere perseguita
dall’Agid esclusivamente attraverso le ordinarie sanzioni di cui
all’art. 32-bis, comma 1 del CAD, consistenti in “sanzioni amministrative … per importi da un minimo di euro 2.000,00 a un massimo di euro 20.000,00”
che, tuttavia, potrebbero risultare non adeguate a garantire una
soddisfacente tutela dell’interesse protetto dalla norma in esame.
Pertanto, in considerazione di quanto esposto, la
Commissione speciale invita l’Amministrazione a valutare la possibilità
d’inserire nell’articolo in esame anche una disposizione relativa a
specifiche sanzioni amministrative - più incisive di quelle previste in
via generale dal citato art. 32-bis del CAD - nei confronti dei
soggetti che non ottemperino a quanto previsto nel medesimo articolo
nonché misure più cogenti finalizzate a consentire comunque all’Agid di
entrare in possesso della documentazione conservata dal prestatore di
servizi fiduciari qualificato che abbia cessato la propria attività.
7.7. Per quanto concerne l’articolo 37, la Commissione speciale osserva che il medesimo introduce un nuovo comma 1-bis all’art. 43 (“Riproduzione e conservazione dei documenti”) del CAD, ai sensi del quale “se
il documento informatico è conservato per legge da una pubblica
amministrazione, cessa l’obbligo di conservazione a carico dei cittadini
e delle imprese che possono in ogni momento richiedere accesso ai sensi
delle regole tecniche di cui all’articolo 71”
Tale articolo ha suscitato diverse perplessità fra gli
addetti ai lavori e fra le associazioni di categoria, che hanno visto
in quest’ultimo una diminuzione delle tutele riservate alla
cittadinanza, atteso che i compiti di conservazione dei documenti, ai
sensi di tale novella, ricadrebbero esclusivamente sull’Amministrazione,
lasciando conseguentemente i soggetti interessati privi dei mezzi per
poter provare l’esistenza di un determinato documento.
In relazione a quanto precede la Commissione speciale
deve, tuttavia, rilevare che, secondo l’inequivoco dato letterale della
succitata disposizione, la medesima supera esclusivamente l’obbligo per i
cittadini e le imprese di conservare documenti già in possesso della
PA, ma non elimina la facoltà, per questi ultimi, di detenerne una copia
qualora lo ritengano necessario: sotto questo profilo, quindi, la norma
in esame non si sostanzia in una diminuzione delle tutele riservate a
cittadini ed imprese quanto piuttosto in uno strumento di
semplificazione degli oneri a carico di questi ultimi, con la
conseguenza che non si hanno osservazioni da formulare al riguardo.
Tuttavia, la Commissione speciale deve rilevare che la
succitata disposizione comporta il venir meno dell’obbligo di
conservazione solo qualora il documento sia detenuto ex lege “da una pubblica amministrazione”
escludendo, in tal modo, che si possa verificare il medesimo effetto
qualora la relativa documentazione sia conservata per legge da uno degli
altri soggetti individuati dall’art. 2, comma 2 del CAD, così come
novellato dall’articolo 2 del decreto in esame, ovvero dalle “società
a controllo pubblico, come definite nel decreto legislativo adottato in
attuazione dell’articolo 18 della legge n. 124 del 2015, inserite nel
conto economico consolidato della pubblica amministrazione, come
individuate dall'Istituto nazionale di statistica (ISTAT) ai sensi
dell’articolo 1, comma 5, della legge 30 dicembre 2004, n. 311”.
Pertanto, in ragione di quanto esposto, si invita
l’Amministrazione a valutare la possibilità di estendere l’ambito di
applicazione di quest’ultimo non soltanto alle pubbliche amministrazioni
ma anche agli altri soggetti individuati dal novellato art. 2, comma 2
del CAD, ai sensi del quale le disposizioni del Codice si applicano
anche alle “società a controllo pubblico…”, così come in precedenza definite.
Sotto altro profilo la precitata disposizione trova applicazione solamente nei confronti di “cittadini ed imprese”,
con la conseguenza che dovrebbe ritenersi comunque vigente, a seguito
della novella in esame, l’obbligo generalizzato di conservazione dei
documenti - anche qualora siano ex lege in possesso
dell’Amministrazione - per i soggetti diversi da quelli in precedenza
citati, fra i quali, ad esempio, le associazioni: potrebbe, quindi,
essere opportuno estendere l’ambito di applicazione della novella in
esame anche a soggetti differenti rispetto ai cittadini ed alle imprese,
in ossequio al generale principio di cui al novellato art. 3 del CAD,
ai sensi del quale “chiunque ha il diritto di usare le soluzioni e
gli strumenti di cui al presente Codice nei rapporti con i soggetti di
cui all’articolo 2, comma 2 …”.
Infine, la Commissione speciale osserva che l’ultimo periodo della disposizione de qua stabilisce che cittadini e imprese possano “in ogni momento richiedere accesso ai sensi delle regole tecniche di cui all’articolo 71”
senza, tuttavia, richiamare la normativa in materia di accesso agli
atti recata dal Capo V della legge n. 241 del 1990 e dal decreto
legislativo recante “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza…”
in fase di approvazione definitiva da parte del Governo: la Commissione
speciale, pertanto, invita l’Amministrazione ad integrare l’articolo
con un esplicito richiamo alle succitate disposizioni.
7.8. L’articolo 38 reca alcune modifiche all’art. 44 (“Requisiti per la gestione e conservazione dei documenti informatici”) del CAD, introducendo, in particolare, specifici requisiti per la gestione informatica dei documenti digitali.
La novella distingue le funzioni relative alla
gestione dei predetti documenti rispetto a quelle relative alla
conservazione di questi ultimi, procedendo ad abrogare le disposizioni
relative al sistema di conservazione dei documenti informatici: in altri
termini, l’articolo in esame differenzia le funzioni di gestione della
documentazione informatica da quelle di conservazione della
documentazione stessa senza, tuttavia, specificare i requisiti e le
modalità attraverso le quali svolgere la funzione da ultimo citata.
Pertanto, in considerazione di quanto precede, la
Commissione speciale invita l’Amministrazione a introdurre, nel testo
dell’articolo, puntuali previsioni normative relative al sistema di
conservazione dei documenti informatici o, in alternativa, a valutare
l’opportunità di prevedere un’unica attività di “gestione e conservazione” di tale documentazione, regolata dalle disposizioni già inserite nella norma in esame.
7.9. L’articolo 42 interviene sull’articolo 51 del CAD
stabilendo che l’Agid attui il Quadro strategico nazionale per la
sicurezza dello spazio cibernetico e il Piano Nazionale per la sicurezza
cibernetica e la sicurezza informatica al fine di coordinare le
iniziative di prevenzione e gestione degli incidenti di sicurezza
informatici.
La Commissione speciale osserva in proposito che
l’articolo non opera alcun riferimento agli organi dello Stato preposti
alla sicurezza e che, trattandosi di una materia particolarmente
delicata, occorre integrare il testo della disposizione, prescrivendo
che l’Agid nelle attività di sua competenza in materia di sicurezza
informatica raccordi il proprio operato con quello dei succitati organi.
7.10. L’articolo 52 reca modifiche all’art. 64 del CAD, introducendo un’organica disciplina del “Sistema pubblico per la gestione delle identità digitali”, ovvero il cosiddetto SPID, definito dal medesimo articolo come “insieme
aperto di soggetti pubblici e privati che, previo accreditamento da
parte dell'Agid, secondo modalità definite con il decreto di cui al
comma 2-sexies, identificano cittadini, imprese e pubbliche
amministrazioni per consentire loro l’accesso ai servizi in rete” attraverso l’utilizzo di un solo nome utente e password.
In relazione al contenuto di tale articolo la
Commissione speciale deve, in primo luogo, rilevare che il medesimo,
nella sua attuale formulazione, prevede la possibilità di utilizzare i
servizi in rete solamente per “cittadini, imprese e pubbliche amministrazioni”,
escludendo quindi dall’ambito di applicazione della disposizione i
soggetti non esplicitamente richiamati come, ad esempio, le
associazioni: potrebbe, quindi, essere opportuno estendere l’ambito di
applicazione della novella in esame anche a soggetti differenti rispetto
ai cittadini, alle imprese ed alle pubbliche amministrazioni, in
ossequio al già richiamato principio di cui al novellato art. 3 del CAD,
ai sensi del quale “chiunque ha il diritto di usare le soluzioni e
gli strumenti di cui al presente Codice nei rapporti con i soggetti di
cui all’articolo 2, comma 2 …”.
Sotto un differente profilo, inoltre, la Commissione
speciale deve rilevare che la previsione in esame, nella parte in cui
disciplina con adeguato grado di dettaglio lo SPID, non sembra tuttavia
coordinarsi in maniera sufficientemente organica con gli altri strumenti
attraverso i quali i soggetti privati possono interloquire con la
pubblica amministrazione.
La succitata disciplina, infatti, non sembra
raccordarsi con quella relativa alla PEC, circostanza questa di
particolare rilevanza atteso che quest’ultima risulta un mezzo ordinario
di relazione fra i cittadini e la pubblica amministrazione ai sensi
dell’art. 48 del CAD il quale dispone che “la trasmissione telematica
di comunicazioni che necessitano di una ricevuta di invio e di una
ricevuta di consegna avviene mediante la posta elettronica certificata…”.
La medesima, inoltre, sembra in parte sovrapporsi con
quella relativa alla carta di identità elettronica ed alla carta
nazionale dei servizi, recata dal novellato art. 66 del CAD, creando una
possibile duplicazione dei mezzi di accesso ai servizi resi in rete
dalla pubblica amministrazione, così come confermato dallo stesso
articolo in esame il quale aggiunge all’art. 64 del CAD un nuovo comma
2-nonies, ai sensi del quale si può accedere ai succitati servizi “anche con la carta di identità elettronica e la carta nazionale dei servizi”.
Pertanto, in considerazione di quanto precede,
s’invita l’Amministrazione a valutare la possibilità di integrare il
contenuto dell’articolo de quo prevedendo delle specifiche norme
di raccordo fra la disciplina relativa allo SPID e quelle concernenti
sia la PEC che gli strumenti di cui al novellato art. 66 (“Carta d'identità elettronica e carta nazionale dei servizi”) del CAD.
Infine, sempre in relazione al contenuto dell’articolo
in esame, la Commissione speciale osserva che quest’ultimo procede ad
inserire all’art. 64 del CAD due nuovi commi, ovvero il comma 2-octies - in base al quale “le
pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi
in rete da esse erogati che richiedono identificazione informatica” - ed il comma 2-nonies, secondo cui “l’accesso di cui al comma 2-octies può avvenire anche con la carta d’identità elettronica e la carta nazionale dei servizi”.
Ai sensi delle succitate novelle, quindi, l’accesso ai
servizi erogati in rete dalle pubbliche amministrazioni sarà possibile
esclusivamente tramite SPID, carta d’identità elettronica e la carta
nazionale dei servizi, superando in tal modo la previgente disciplina
recata dall’abrogato comma 2 dell’art. 64 del CAD, il quale prevedeva
che “le pubbliche amministrazioni possono consentire l'accesso ai
servizi in rete da esse erogati che richiedono l'identificazione
informatica anche con strumenti diversi dalla carta d'identità
elettronica e dalla carta nazionale dei servizi, purché tali strumenti
consentano l'individuazione del soggetto che richiede il servizio”.
In relazione a quanto esposto la Commissione speciale
rileva che, in base alle succitate novelle, dalla data di entrata in
vigore del decreto in esame e fino all’effettiva predisposizione dello
SPID da parte dei singoli enti di cui all’art. 2, comma 2 del CAD, i
soggetti privati potranno accedere ai servizi in rete delle pubbliche
amministrazioni - ai sensi delle disposizioni precedentemente richiamate
- solo attraverso la carta d’identità elettronica e la carta nazionale
dei servizi e non anche attraverso “strumenti diversi” da questi
ultimi, come invece previsto in precedenza dalla disciplina di cui al
citato art. 64, comma 2 del CAD: pertanto, in ragione di quanto precede,
si invita l’Amministrazione a valutare la possibilità di introdurre una
disciplina transitoria che consenta ai soggetti privati non in possesso
della carta d'identità elettronica e della carta nazionale dei servizi,
nelle more della definitiva implementazione dello SPID, di accedere
comunque ai servizi erogati in rete dalla pubblica amministrazione, al
fine di evitare che le disposizioni in esame possano comportare un
rallentamento nel raggiungimento dei condivisibili obiettivi posti dalla
riforma in tema di digital first.
7.11. L’articolo 64 procede ad abrogare - in
conformità con quanto previsto dal criterio direttivo recato dall’art.1,
comma 1, lettera r) della più volte citata norma di delega - alcune
disposizioni a far data dall’entrata in vigore del decreto legislativo
in esame.
Nell’ambito delle abrogazioni effettuate dal succitato
articolo, la Commissione speciale osserva che quest’ultimo non procede
ad abrogare l’art.16, comma 12 del d.l. n. 179 del 2012, ai sensi del
quale “al fine di favorire le comunicazioni e notificazioni per via
telematica alle pubbliche amministrazioni, le amministrazioni pubbliche …
comunicano al Ministero della giustizia … l'indirizzo di posta
elettronica certificata … a cui ricevere le comunicazioni e
notificazioni. L'elenco formato dal Ministero della giustizia è
consultabile esclusivamente dagli uffici giudiziari, dagli uffici
notificazioni, esecuzioni e protesti, e dagli avvocati”.
Pertanto, a seguito dell’entrata in vigore del
presente schema, vi saranno due distinti registri recanti gli indirizzi
PEC della pubblica amministrazione, ovvero il registro di cui al citato
art. 16, comma 12 - accessibile esclusivamente da parte dagli uffici
giudiziari, dagli uffici notificazioni, esecuzioni e protesti, e dagli
avvocati - ed il registro previsto dal novellato art. 6 ter (“Indice degli indirizzi delle pubbliche amministrazioni e dei gestori di pubblici servizi”) del CAD.
Inoltre, l’art. 64, comma 5, lettera a) introduce un modifica all’art.16 ter del d.l. n.179 del 2012 prevedendo che anche il registro previsto dall’art. 6 ter del CAD contenga indirizzi validi “ai fini della notificazione e comunicazione degli atti in materia civile, penale, amministrativa e stragiudiziale”,
con la conseguenza che il registro previsto dal CAD avrà anche funzioni
analoghe a quelle svolte, in materia di notifiche di atti processuali,
dal registro di cui all’art. 16, comma 12 del d.l. n.179 del 2012.
Al fine di evitare, quindi, le sovrapposizioni che
derivano dalla succitata normativa, la commissione speciale invita
l’Amministrazione a porre in essere le necessarie azioni di
coordinamento fra le norme che disciplinano i predetti registri,
nell’ambito di un procedimento di rivisitazione dell’intera materia dei
pubblici registri, atteso che la succitata problematica s’inserisce in
un contesto nel quale sono presenti anche altri registri quali ad
esempio l’INI-PEC e il ReGIndE.”
7. Osservazioni di cui al n. 9 del parere
interlocutorio del 16 marzo 20169: “9. Infine, per quanto concerne il
profilo redazionale, la Commissione speciale suggerisce
all'Amministrazione, in sede di stesura definitiva del presente schema,
di:
a) raggruppare i riferimenti normativi contenuti nel
preambolo seguendo l’ordine gerarchico delle fonti e, all’interno di
detto criterio, ordinare le fonti stesse in ordine cronologico;
b) sostituire, all’art. 7, comma 1, lettera a), le parole “Esso costituisce…” con le seguenti: “Gli indirizzi PEC inseriti in tale Indice costituiscono…”, al fine di meglio esplicitare il contenuto di tale disposizione;
c) inserire, all’art. 7, comma 1, lettera b), dopo le parole “all’articolo 64…” le seguenti: “comma 2-sexies…”, al fine di individuare più puntualmente il decreto cui fa riferimento la citata disposizione;
d) inserire, all’art. 11, comma 1, lettera a), dopo la locuzione “14 bis…”, le parole: “…comma 2, lettera b)”, al fine di individuare più puntualmente l’articolo cui fa riferimento la citata disposizione;
e) inserire, all’art. 13, comma 2, lettera f), dopo le parole “piani triennali approvati…” e prima delle parole “è reso…”, le seguenti parole: “Il parere…”, per il medesimo fine di cui alla precedente lettera b);
f) sostituire, all’art. 27, comma 1, lettera b), le parole “acereditato dall’organismo…” con le seguenti: “accreditato dall’organo…”, per il medesimo fine di cui alle precedenti lettere b) ed e);
g) all’art. 44, comma 1, lettera c), sopprimere la parola “ne…” e inserire, dopo la parola “riutilizzo…” le seguenti parole: “di tali dati e metadati…”, per il medesimo fine di cui alle precedenti lettere b), e) ed f);
h) sostituire, all’art. 53, comma 1, lettera b), la parola “octies…” con la seguente: “nonies...”, al fine di individuare più puntualmente il comma cui fa riferimento la citata disposizione;
i) sostituire, all’art. 62, comma 1, la parola “dal…” con le seguenti: “dall’articolo 71 del…” al fine di individuare più puntualmente le regole tecniche cui fa riferimento la citata disposizione;
l) sostituire, all’art. 63, comma 1, secondo periodo, la lettera “f…” con la seguente lettera: “e…”, per il medesimo fine di cui alla precedente lettera c);
m) sostituire, all’art. 63, comma 3, il numero “8…” con il seguente: “9…”, per il medesimo fine di cui alla precedente lettera d);
n) sostituire, all’art. 63, comma 4, il numero “22…” con il seguente: “26…”, per il medesimo fine di cui alle precedenti lettere d) e m);
o) sostituire, all’art. 63, comma 5, la parola “da…” con le seguenti: “dall’articolo 27 del…”, al fine di rendere la citata disposizione omogenea, sotto il profilo redazionale, rispetto al resto dell’articolato.”
P.Q.M.
La Commissione speciale esprime parere favorevole con
l’osservazione formulata al n. 3 del presente parere relativamente
all’individuazione del capitale sociale richiesto per l’accreditamento
dei gestori dell’identità digitale aderenti allo SPID nonché con le
osservazioni di cui ai numeri 7 e 9 del parere interlocutorio del 17
marzo 20.
| |
|
|
| |
|
|
| L' ESTENSORE | IL PRESIDENTE |
| Claudio Boccia | Franco Frattini |
| |
|
|
| |
|
|
| |
|
|
| |
|
|
IL SEGRETARIO
Gianfranco Vastarella
Alla data del 23/11/2016risultano erogate quasi 270.000 identità.
