Il Decreto Legge 1 luglio 2009 n.78: La PEC: strumento di identificazione?Con la "Manovra d'estate 2009" (
DL 1 luglio 2009 n.78) sono state portate alcune modifiche al CAD che hanno ad oggetto l'utilizzo della PEC.
L'art. 17, comma 28, della Manovra introduce un nuovo art. 57-bis con il quale viene istituito un
Indice degli indirizzi delle pubbliche amministrazioni, nel quale sono indicati la struttura organizzativa, l'elenco dei servizi offerti e le informazioni relative al loro utilizzo, gli indirizzi di posta elettronica da utilizzare per le comunicazioni e per lo scambio di informazioni e per l'invio di documenti a tutti gli effetti di legge fra le amministrazioni e fra le amministrazioni ed i cittadini.
Ancora, il comma 28 dell'Art. 17 della Manovra, introduce anche la lettera c-bis al comma 1 dell'art. 65 del CAD. Le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell'articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono ora valide anche quando "
l'autore è identificato dal sistema informatico attraverso le credenziali di accesso relative all'utenza personale di Posta Elettronica Certificata" parificando, di fatto, l'identificazione mediante credenziali di accesso alla PEC all'identificazione mediante Carta d'Identità Elettronica, Carta Nazionale dei Servizi o Firma Digitale.
Tale modifica intervenuta nel CAD appare strettamente correlata con quanto specificato nell'art. 4 comma 4 del DPCM 6 maggio 2006 sul rilascio e uso di PEC, laddove si precisa che
le pubbliche amministrazioni accettano le istanze dei cittadini inviate tramite PEC nel rispetto dell'art. 65, comma 1, lettera c), del decreto legislativo n. 82 del 2005. L'invio tramite PEC costituisce sottoscrizione elettronica ai sensi dell'art. 21, comma 1, del decreto legislativo n. 82 del 2005; le pubbliche amministrazioni richiedono la sottoscrizione mediante firma digitale ai sensi dell'art. 65, comma 2, del citato decreto legislativo.
Tali principi possono anche essere condivisibili dal punto di vista giuridico-informatico, infatti la comunicazione via posta elettronica
può essere considerata una
comunicazione con forma scritta e firmata elettronicamente, ma il Legislatore sembra aver dimenticato che le garanzie di sicurezza nell'accertamento dell'identità dell'utente offerte da sistemi come la Firma Digitale o la CIE o la CNS sono di gran lunga superiori a quelle offerte dalle credenziali di accesso alla PEC.
Oltre alle ovvie garanzie di identificazione offerte dalla Carta d'identità elettronica, dobbiamo ricordare come l'art. 32 del CAD al comma 1 lett.a), preveda che il Certificatore, all'atto della creazione del certificato di Firma, proceda alla identificazione della persona che fa richiesta della certificazione e al comma 4 stabilisca che "
il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi".
Inoltre, le
regole tecniche stabilite ai sensi dell'articolo 71 del CAD confermano la necessità di verificare l'autenticità delle richieste di creazione, revoca e sospensione dei certificati di firma elettronica.
Infine, nella legge di recepimento della Convenzione di Budapest in materia di criminalità informatica (Legge 18 marzo 2008 n. 48), sono state inserite nel nostro ordinamento delle nuove fattispecie di reato per titolari di firma digitale e per certificatori, le quali ricordano da vicino i reati commessi da o ai danni di pubblici ufficiali - si vedano oggi gli art.
495 bis e
640 quinquies del codice penale.
Per la PEC, invece, non è previsto alcun tipo di controllo. Né il DPR n.68/2005, né le "regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata" previste dal suo art. 17, prevedono nulla riguardo a particolari obblighi del gestore del Servizio di PEC relativamente all'identificazione sicura degli assegnatari di un indirizzo di PEC.
Certo è che il soggetto che dovesse fornire informazioni false avrebbe comunque i suoi problemi con l'ordinamento italiano, a seconda della situazione in cui abbia fornito o utilizzato credenziali false, ma questo, a parere di chi scrive, non sembra garantire sufficientemente la certezza dell'identità del soggetto che dialoghi con la PA successivamente all'identificazione avvenuta mediante credenziali di accesso alla PEC.
Il problema, oltretutto, non è nuovo in quanto l'art. 47 del Cad prevede già che, in caso di comunicazioni di documenti tra le pubbliche amministrazioni, esse siano valide ai fini del procedimento amministrativo una volta che ne sia stata verificata la provenienza e che, ai fini della verifica della provenienza, le comunicazioni saranno valide, se trasmesse attraverso i sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. Pertanto, il Legislatore, ora più che mai, sembra
confondere il mezzo di trasmissione (PEC) e le sue garanzie, con la paternità del contenuto della trasmissione stessa.
L'attribuzione della paternità di un dato, di una informazione viene garantita con certezza solo attraverso la firma (elettronica o digitale) e non certo attraverso la semplice comunicazione, non garantita da un adeguato sistema di identificazione informatica, del dato medesimo. Pertanto, il sistema delle firme (elettroniche o digitali che siano)
assume un ruolo primario e centrale nella gestione informatica delle informazioni, dei dati o dei documenti informatici tra PA, tra privati e PA e tra privati stessi.
Ci si augura, quindi, che al più presto il Governo e/o il Legislatore siano in grado di dare una forte svolta in materia con l'introduzione di idonei sistemi di gestione dell'Identità Elettronica (meglio conosciuta come eID) e soprattutto avvii una fase di regolamentazione della materia inerente alla digitalizzazione documentale più ponderata e accorta rispetto all'ultimo periodo (in questo caso, non si può che dare ragione a
quanto sostenuto di recente da Marco Scialdone nel suo blog).
Ultimissime dalla Camera: ci sarà ancora un'alternativa alla PEC?Abbiamo avuto già modo di
sottolineare come il legislatore
abbia più volte remato contro la possibilità di utilizzare sistemi analoghi alla PEC. Bene, quelle che credevamo fossero semplici sviste in realtà potrebbero corrispondere ad un preciso piano per l'eliminazione di ogni alternativa alla PEC. Con stupore, infatti, leggiamo tra le proposte di modifica al disegno di conversione del DL 78/2009, una
proposta relativa all'introduzione di alcuni nuovi commi all'art. 17 (28 bis, ter e quater) a firma dell'On. Pagano: tale articolo prevede la completa eliminazione da tutte le norme attualmente in vigore di qualsiasi riferimento a sistemi analoghi alla PEC.
Rimarrà disattesa tale proposta? Auspichiamo vivamente di sì!
Update - Notizia di qualche ora fa pubblicata nel nuovo aggiornamento disponibile dei lavori parlamentari: sembrerebbe che,
nell'ultimo testo approvato alla Camera del DDL di conversione in legge del D.L. 78/2009 (e
passato al Senato), l'emendamento Pagano sia stato respinto. Si tratta di un'ottima notizia, anche se tutti gli altri problemi evidenziati nel nostro articolo rimangono sul tappeto.
A nostro avviso, comunque, è necessario tenere alta la guardia, considerato che il testo deve passare al Senato e poi essere definitivamente approvato alla Camera. Quindi, quell'emendamento proposto dall'On. Pagano può essere ancora riproposto in termini leggermente diversi da qualcun altro... e, solitamente, gli emendamenti che interessa che reggano al vaglio delle Camere vengono sempre inseriti poco prima della fiducia definitiva alla Camera dei Deputati!
Andrea LisiLuigi FogliaDigital&Law Department -
Studio Legale Lisi