Identità digitale: le novità per delega e riconoscimento

Il PNRR2 tra le novità dispone l'identificazione digitale anche in caso di servizi erogati tramite canali fisici. Si stabiliscono regole per facilitare l'archivio nazionale informatizzato, con la conseguente dismissione della versione analogica dei registri di stato civile; e si prevede l'adozione di un manuale operativo contenente le specifiche tecniche di funzionamento del Sistema di gestione delle deleghe SGD.

La rivoluzione a portata di un click comincia con il pulsante “Entra con SPID” grazie al quale i cittadini mediante il possesso di un'Identità Digitale possono accedere in modo semplice ai servizi online della Pubblica Amministrazione e dei privati aderenti.

La digitalizzazione, anche in quest'ambito, vuol semplificare la vita degli utenti dal “saltare la fila allo sportello” a non dover più essere chiamati a dover trasmettere copia del documento d'identità per poter accedere a servizi in rete della pubblica amministrazione.

Con l'identità digitale si attua queto processo di semplificazione, nasce il Sistema Pubblico di Identità Digitale (SPID) che realizza l'identità digitale con cui il cittadino è riconosciuto telematicamente.

Ricordiamo, difatti, che l'articolo 64, comma 2-duodecies del Codice dell'amministrazione digitale – CAD (DLgs. 82/2005), grazie alle novità del decreto semplificazioni (DL 76/2020, art. 24) ha stabilito che la verifica dell'identità digitale con livello di garanzia almeno significativo, produce, nelle transazioni elettroniche o per l'accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente (art. 35 del DPR  445/2000).

È proprio su questi ambiti che il ddl di conversione del decreto PNRR2 (DL 36/2022) - approvato dall'Assemblea, nella seduta del 22 giugno - iscrive alcune importanti novità, sia sotto il profilo delle istituzioni che gestiscono i dati dei cittadini nel nuovo formato digitale che delle regole vigenti per le modalità di riconoscimento tramite i processi per l'identificazione elettronica.

Modifiche al Codice dell'amministrazione digitale

Le modifiche al CAD sono contenute all'articolo 30, comma 8-bis del ddl del decreto PNRR2 grazie all'emendamento 30.4 (testo 3) approvato.

In particolare, il nuovo comma 8-bis novella alcune disposizioni del CAD e, salva diversa previsione vigente, le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi sono obbligati a comunicare con il cittadino esclusivamente tramite il domicilio digitale (da questi dichiarato).

Ulteriore novella incide sull'articolo 62 del Codice, relativo all'Anagrafe nazionale della popolazione residente. Più in dettaglio, ne è inciso il comma 2-bis, il quale prevede che l'Anagrafe nazionale della popolazione residente contenga altresì l'archivio nazionale informatizzato dei registri di stato civile tenuti dai Comuni. La novella viene a integrare tali previsioni, aggiungendo che la decretazione ministeriale debba altresì definire "le modalità e i tempi di adesione da parte dei Comuni all'archivio nazionale informatizzato, con conseguente dismissione della versione analogica dei registri di stato civile”.

Fra le novità segnaliamo quella che impatta sull'articolo 64, avente come oggetto il sistema pubblico per la gestione delle identità digitali (cd. sistema SPID). In dettaglio, si dispone che i gestori dell'identità digitale accreditati, in qualità di gestori di pubblico servizio, debbano verificare i dati identificativi dei richiedenti, prima del rilascio dell'identità digitale a una persona fisica. Tra i dati da verificare sono inclusi l'indirizzo di residenza e, ove disponibili, il domicilio digitale o altro indirizzo di contatto.

La verifica dovrà essere effettuata anche successivamente al rilascio dell'identità digitale, con cadenza almeno annuale, anche ai fini della verifica della "esistenza in vita".

La verifica potrà essere effettuata tramite:

• consultazione gratuita dei dati disponibili presso l'ANPR (Anagrafe nazionale della popolazione residente);
• Piattaforma Nazionale Digitale Dati (Art. 50-ter del CAD).

Il Direttore dell'AgID fissa la data a decorrere dalla quale i gestori dell'identità digitale accreditati sono tenuti ad effettuare le verifiche sopra ricordate.

Identità digitale e identificazione elettronica

L'identità digitale ancora una volta nel mirino del legislatore. L'articolo 32 del ddl in commento estende anche all'identificazione elettronica ai fini dell'accesso ai servizi erogati dalle PA e dai soggetti privati tramite canali fisici gli effetti di documento di riconoscimento equipollente, attualmente riconosciuti esclusivamente nelle transazioni elettroniche o per l'accesso dei servizi in rete.

La novità introdotta nella fase emendativa dell'iter di approvazione del ddl del decreto PNRR2 estende l'equipollenza dell'identificazione digitale al documento di riconoscimento anche in caso di servizi erogati tramite canali fisici.

Con riferimento alla possibilità di attestare mediante l'identità digitale gli attributi qualificati dell'utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo modalità applicative demandate a Linee guida approntate da AgID.

Si ricomprende con le novità disposte dall'articolo 32 in commento tra gli attributi qualificati dell'utente anche i “dati, fatti e informazioni funzionali alla fruizione di un servizio attestati da un gestore di attributi qualificati”.

Identità digitale: il sistema delle deleghe digitali

Il DL 77/2021 ha disposto con l'articolo 38, comma 2, lett. c) la nascita del Sistema di gestione delle deleghe (SGD), integrando l'articolo 64-ter del CAD.

Il Sistema consente a chiunque di delegare l'accesso ad uno o più servizi ad un soggetto terzo titolare dell'identità digitale con livello di sicurezza almeno significativo.

La delega digitale può essere creata con due differenti canali:

• quello digitale, ovvero con una delle modalità previste dall'articolo 65 del CAD
• quello fisico, cioè con l'acquisizione della delega cartacea presso lo sportello di uno dei soggetti pubblici abilitati presenti sul territorio (comma 2 del nuovo art. 64- ter).

Una volta acquisita una delega al SGD si genera un attributo qualificato associato all'identità digitale del delegato che può essere utilizzato anche per l'erogazione di servizi in modalità analogica (comma 3 del nuovo art. 64- ter).

Le PA e gli altri soggetti pubblici di cui all'articolo 2, comma 2, del CAD sono tenuti ad accreditarsi al Sistema di Gestione delle Deleghe

Nell'ambito di questo SGD è intervenuto il ddl del decreto PNRR2 con le disposizioni di cui all'articolo 32, comma 1, lett. b). In particolare, il comma 7 del nuovo art. 64-ter del CAD, su cui incide tale disposizione, prevede che con decreto del Presidente del Consiglio, di concerto con il Ministro dell'Interno, sentita l'AgID, il Garante della privacy e la Conferenza unificata, siano definite le caratteristiche tecniche, l'architettura generale, i requisiti di sicurezza, le modalità di acquisizione della delega e di funzionamento del SGD, le modalità di adesione al sistema nonché le tipologie di dati oggetto di trattamento, le categorie di interessati e, in generale, le modalità e procedure per assicurare il rispetto delle disposizioni in materia di trattamento dei dati personali.

Restano ferme, in ogni caso, le specifiche disposizioni in materia di attributi qualificati già dettate dal DPCM 24 ottobre 2014 adottato ai sensi dell'articolo 64, comma 2-sexies del CAD.

A seguito della integrazione disposta con l'articolo 32, comma 1, lett. b) in esame il DPCM dovrà disciplinare anche le modalità di adozione di un manuale operativo contenente le specifiche tecniche di funzionamento del SGD e di attuazione del decreto medesimo.

Il Governo ha provveduto ad elaborare uno schema di decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'interno, che disciplina le modalità di funzionamento del SGD. Sullo schema è stato espresso il parere da parte della Conferenza unificata (Repertorio atto n. 16/CU del 9 febbraio 2022) e del Garante per la protezione dei dati personali (doc. web n. 9752853 del 24 febbraio 2022).