Sebbene ancora non sia dai più percepito come tale, il diritto all’identità e quello al domicilio digitale rientrano tra quei diritti fondamentali che vengono pienamente riconosciuti dall’ordinamento giuridico italiano. Essi consistono nella possibilità di identificarsi e di comunicare in modo sicuro e certificato con le pubbliche amministrazioni e con i soggetti privati attraverso strumenti digitali, e sono basati sui principi di libertà, uguaglianza, dignità, partecipazione e inclusione digitale.
I mezzi attraverso i quali si estrinsecano tali diritti sono la Carta d’Identità Elettronica (CIE), la Carta Nazionale dei Servizi (CNS), lo SPID (Sistema Pubblico di Identità Digitale), la PEC (Posta Elettronica Certificata) e il Domicilio Digitale.
La Carta Costituzionale italiana, all’articolo 2, sancisce il diritto alla personalità giuridica come inviolabile, riconoscendo il valore fondamentale della dignità umana. In questo contesto, l’identità digitale assume un ruolo sempre più significativo, rappresentando la proiezione della personalità del cittadino nel mondo digitale.
Il domicilio digitale, invece, può essere considerato come l’equivalente digitale del domicilio tradizionale, rappresentando il luogo nel quale il cittadino stabilisce la sua residenza digitale e svolge molte delle sue attività on-line.
Ma al di là di queste operazioni analogiche, è nel Codice dell’Amministrazione Digitale che si può rinvenire la disciplina sottesa a tali diritti.
Identità digitale
Sull’identità digitale già si è detto diffusamente in un precedente contributo (premere qui per leggerlo), ad ogni modo, nello specifico il concetto di identità digitale lo si trova estrinsecato all’art. 1, c. 1, lett. u-quater) C.A.D. il quale la definisce come la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64 (rubricato: Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni).
L’art. 64 C.A.D. prevede che per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID).
Lo SPID
Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro l’accesso ai servizi in rete, in base ai seguenti attributi:
- attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e gli estremi del documento d’identità utilizzato ai fini dell’identificazione;
- attributi non identificativi: il numero di telefonia mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall’Agenzia;
- attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati. Possono essere già contenuti nell’identità digitale.
Ma lo SPID non è l’unico sistema che garantisce l’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica. Lo stesso art. 64 C.A.D., al Comma 2-nonies prevede che l’accesso possa avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi.
La carta d’identità elettronica (CIE)
La carta d’identità elettronica (CIE) è un documento di identità personale che incorpora tecnologie elettroniche avanzate per garantire un elevato livello di sicurezza e autenticazione. La sua introduzione è finalizzata a migliorare la sicurezza e la protezione contro le frodi, nonché a semplificare le transazioni elettroniche e i servizi on-line. La CIE è stata implementata in diversi paesi, compresa l’Italia, e il suo utilizzo è progressivamente sostitutivo di quello della tradizionale carta d’identità cartacea (a partire dal 2016) e si caratterizza per la presenza di tali elementi:
- Microchip contactless incorporato: la CIE contiene un microchip che memorizza elettronicamente informazioni personali del titolare, quali Comune o Ufficio Consolare emettitore, Nome, Cognome, Luogo e data di nascita, Sesso, Statura, Cittadinanza, Immagine della firma del titolare, Eventuale non validità per l’espatrio, Fotografia, Immagini di 2 impronte digitali (un dito della mano destra e un dito della mano sinistra), Nome e cognome del padre e della madre (nel caso di un minore), Codice fiscale nei formati alfanumerico e codice a barre, Estremi dell’atto di nascita, Indirizzo di residenza, Comune di iscrizione AIRE (solo per i cittadini residenti all’estero). Questo microchip è protetto da misure di sicurezza avanzate per impedire accessi non autorizzati e manipolazioni.
- Elementi di sicurezza avanzati: la CIE è progettata con misure di sicurezza avanzate per prevenire la contraffazione e l’usurpazione di identità. Questi elementi includono microstampe, filigrane, ologrammi, e altri dettagli difficilmente replicabili.
- Comunicazione NFC (Near Field Communication): i dati contenuti nella CIE, ad eccezione delle impronte digitali, possono essere letti semplicemente con un computer a cui è collegato un lettore di smartcard contactless o con uno smartphone dotato di interfaccia NFC (Near Field Communication). Tale caratteristica è spesso utilizzata per autenticare l’identità in transazioni elettroniche o accessi sicuri.
La CIE è uno strumento di identità digitale riconosciuto anche in Europa. In conformità al Regolamento eIDAS (Regolamento (UE) n. 910/2014), la CIE è stata infatti notificata alla Commissione europea e agli altri stati membri con la pubblicazione nella Gazzetta Ufficiale dell’Unione europea C 309 del 13 settembre 2019, ed è stata integrata con il nodo eIDAS.
La carta nazionale dei servizi (CNS)
La CNS è uno strumento di identificazione digitale ed agevolatore di servizi telematici di eGOV (al pari della CIE) su tutto il territorio nazionale. Viene emanata da una pubblica amministrazione, e fornisce un certificato di autenticazione e può quindi, a differenza della CIE, anche ospitare la firma digitale.
L’obiettivo precipuo di tale strumento è quello di consentire la fruizione dei servizi previsti per la CIE agli utenti che non dispongono ancora del nuovo documento elettronico, ed integra le funzioni della tessera sanitaria del servizio sanitario nazionale (SSN). La completa corrispondenza informatica tra CNS e CIE assicura l’interoperabilità tra le due carte e la possibilità per i cittadini di accedere ai servizi on-line della pubblica amministrazione con entrambe le tessere.
L’accesso garantito tramite la propria identità digitale
E’ all’art. 3-bis C.A.D., invece, che viene previsto che chiunque (cittadini, imprese, non cittadini, stranieri, associazioni, ecc.) ha il diritto di accedere ai servizi on-line (laddove per servizi on-line si intende ai sensi dell’art.1, Co. 1, lett. n-quater) qualsiasi servizio di una amministrazione pubblica fruibile a distanza per via elettronica) tramite la propria identità digitale.
Per meglio comprendere il concetto di identità digitale occorre volgere lo sguardo al regolamento eIDAS, che fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea. ed in particolare è utile fare riferimento all’art. 3, che definisce il concetto di identificazione elettronica, i mezzi attraverso i quali essa si realizza, quali sono i dati di identificazione personale necessari e in cosa consiste il meccanismo di autenticazione.
Nello specifico, per identificazione elettronica, si intende il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica.
I mezzi di identificazione elettronica sono ogni unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio on-line.
Per dati di identificazione personale, si intende invece un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica.
L’autenticazione, infine, è quel processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica.
Diritto al domicilio digitale
Per domicilio digitale, ai sensi dell’art. 1, Co. 1, lett. n-ter) C.A.D., si intende un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato (così come definito dal “Regolamento eIDAS”), valido ai fini delle comunicazioni elettroniche aventi valore legale.
Fulcro di tale diritto è l’art. 6 C.A.D. che dispone chiaramente che le comunicazioni elettroniche trasmesse al domicilio digitale producono, quanto al momento della spedizione e del ricevimento, gli stessi effetti giuridici delle comunicazioni a mezzo raccomandata con ricevuta di ritorno ed equivalgono alla notificazione per mezzo della posta salvo che la legge disponga diversamente.
Le suddette comunicazioni si intendono spedite dal mittente se inviate al proprio gestore e si intendono consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova che la mancata consegna sia dovuta a fatto non imputabile al destinatario medesimo.
Chiunque ha facoltà di eleggere il proprio domicilio digitale da iscrivere nell’INAD (Indice Nazionale dei Domicili Digitali), che confluirà poi nell’Anagrafe Nazionale della Popolazione Residente (ANPR), la banca dati nazionale nella quale sono confluite le anagrafi comunali.
Da diritto ad obbligo
L’art. 3-bis C.A.D. obbliga determinate categorie di soggetti (pubblici e privati) ad eleggere domicilio digitale presso un servizio di posta elettronica certificata o di recapito certificato qualificato, e cioè:
– i soggetti di cui all’articolo 2, comma 2 (ossia le Pubbliche Amministrazioni);
– i professionisti tenuti all’iscrizione in albi ed elenchi;
– i soggetti tenuti all’iscrizione nel registro delle imprese.
Tale domicilio andrà poi iscritto in un pubblico registro. Ai sensi dell’art. 6-ter C.A.D., le Pubbliche Amministrazioni dovranno farlo nell’IPA (Indice dei domicili digitali delle Pubbliche Amministrazioni e dei gestori di pubblici servizi), mentre invece le altre due categorie dovranno farlo, ai sensi dell’art. 6-bis C.A.D., nell’INIPEC (Indice Nazionale dei domicili digitali delle imprese e dei professionisti).
La Posta Elettronica Certificata (PEC) come domicilio digitale
Ai sensi dell’art. 1, Co. 1, lett. v-bis), C.A.D. per Posta Elettronica Certficata si intende quel sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi.
Un messaggio di posta elettronica certificata, è quindi un documento informatico composto dal testo del messaggio, dai dati di certificazione (i dati inseriti nelle ricevute, relativi alla trasmissione del messaggio di posta elettronica certificata) e dagli eventuali documenti informatici allegati. Il tutto, contenuto all’interno di un ulteriore documento informatico, denominato “busta di trasporto“.
La validità della trasmissione e ricezione del messaggio di posta elettronica certificata è attestata rispettivamente dalla ricevuta di
accettazione e dalla ricevuta di avvenuta consegna. Nello specifico, il gestore di posta elettronica certificata utilizzato dal mittente fornisce al mittente stesso la ricevuta di accettazione nella quale sono contenuti i dati di certificazione che costituiscono prova dell’avvenuta spedizione di un messaggio di posta elettronica certificata. Il gestore di posta elettronica certificata utilizzato dal destinatario fornisce invece all’indirizzo elettronico del mittente, la ricevuta di avvenuta consegna, contestualmente alla consegna del messaggio di posta elettronica certificata nella casella di posta elettronica messa a disposizione del destinatario dal gestore, e questo indipendentemente dall’avvenuta lettura da parte del soggetto destinatario. Se richiesto, tale ricevuta può contenere anche la copia completa del messaggio di posta elettronica certificata consegnato.
E’ la ricevuta di avvenuta consegna, dunque, a fornire al mittente prova che il suo messaggio di posta elettronica certificata è effettivamente pervenuto all’indirizzo elettronico dichiarato dal destinatario e certifica il momento della consegna tramite un testo, leggibile dal mittente, contenente i dati di certificazione.
Quando la trasmissione del messaggio di posta elettronica certificata avviene tramite più gestori il gestore del destinatario rilascia al gestore del mittente la ricevuta che attesta l’avvenuta presa in carico del messaggio.
Mentre invece quando il messaggio di posta elettronica certificata non risulta consegnabile il gestore comunica al mittente, entro le ventiquattro ore successive all’invio, la mancata consegna tramite un avviso.
Le ricevute rilasciate dai gestori di posta elettronica certificata, nonché la busta di trasporto, sono sottoscritte dai medesimi mediante una firma elettronica avanzata, generata automaticamente dal sistema di posta elettronica e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle ricevute stesse e della busta di trasporto.
La Posta Elettronica Certificata così com’è oggi conferisce certamente alle comunicazioni requisiti di valore legale, tanto da essere equiparabile, come abbiamo visto, alla tradizionale raccomandata con avviso di ricezione, ma presenta anche un limite di non poco momento, e cioè non certifica l’identità del titolare della casella. Ciò significa che essa non rispetta i requisiti di Servizio Elettronico di Recapito Certificato Qualificato previsti dal Regolamento eIDAS.
Ma su tale profilo vi è un grosso cambiamento all’orizzonte. Dal 2019, infatti, un nutrito gruppo di lavoro composto da gestori PEC, Uninfo e Assocertificatori, è al lavoro per adeguare le attuali caselle PEC ai nuovi standard europei, ed ha introdotto la Common Service Interface, ovvero un’infrastruttura di comunicazione in grado di garantire l’interoperabilità tra i fornitori di servizi certificati in tutta Europa, riconosciuta e accettata dal comitato tecnico ESI (Electronic Signatures and Infrastructures), gettando così le fondamenta per lo sviluppo di una PEC valida in tutta Europa, che si è poi concretizzato nel 2021 prima, con l’approvazione da parte dell’ESI i nuovi standard ETSI per i servizi elettronici di recapito certificato qualificato (Electronic Registered Delivery Services ERDS e Registered Electronic Mail REM), e nel 2022 poi con la pubblicazione del nuovo standard ETSI EN 319 532-4, che di fatto concretizza il progetto della Posta Elettronica Certificata a livello europeo.
Il cambiamento più sostanziale è quindi l’integrazione dei requisiti SERC (Servizio Elettronico di Recapito Certificato) con quelli SERCQ (Servizio Elettronico di Recapito Certificato Qualificato) che consentiranno innanzitutto l’identificazione certa dei soggetti che partecipano alla trasmissione dei messaggi tramite meccanismi di autenticazione affidabili e condivisi e poi anche un rafforzamento degli standard di sicurezza, con l’adozione di ulteriori livelli di controllo e autorizzazioni specifiche per l’accesso e la gestione del servizio.
Il corretto utilizzo del domicilio digitale
L’art. 3-bis C.A.D. impone un generale dovere di fare un uso diligente del proprio domicilio digitale e di comunicare ogni modifica o variazione del medesimo secondo le modalità fissate nelle Linee guida.
Per le pubbliche amministrazioni, ivi comprese le autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione, per i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse e per le società a controllo pubblico, è previsto l’obbligo (ex art. 6 C.A.D.) di notificare direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. In tal caso, la conformità della copia informatica del documento notificato all’originale va attestata dal responsabile del procedimento in conformità a quanto disposto agli articoli 22 e 23-bis C.A.D.
Uno sguardo al futuro
Non manca molto all’adozione di una identità digitale a carattere europeo. Come vi abbiamo dato conto in precedenti contributi (premere qui e poi qui per leggere) il Consiglio e il Parlamento europeo hanno da poco raggiunto un accordo di natura preliminare riguardante il nuovo quadro normativo relativo all’identità digitale europea (eID).
La base di questo accordo è costituita dalla proposta avanzata dalla Commissione europea nel mese di giugno del 2021, mirante a fornire sia alle persone fisiche che alle imprese uno strumento armonizzato per l’identità digitale europea, implementando il concetto di un portafoglio europeo di identità digitale.
Questa iniziativa permetterà un accesso sicuro e affidabile per quanto concerne l’identificazione e l’autenticazione elettronica, il tutto fruibile attraverso un portafoglio digitale personale ospitato su dispositivo mobile.
Per approfondire:
- M. Martoni, Identità personale anagrafica (autorizzata) vs identità personale autorappresentativa (manifestata), in Rivista trimestrale di diritto e procedura civile, 1, 2020, pp. 179- 206 - M. Palmirani, M. Martoni, Internet e identità personale, in AA.VV. (a cura di R. Brighi, S. Zullo), Filosofia del diritto e nuove tecnologie. Prospettive di ricerca tra teoria e pratica, Roma, pp. 295- 308 - A. Lasso, T. Hong Soon Han, Identità e Sicurezza, Padova, 2016 - V. Belloma, Diritto all'oblio e società dell'informazione, Padova, 2020 - M. Martoni, Note sulla vulnerabilità dell’identità personale digitale autorappresentativa, in Notizie di Politeia, 136, 2019, pp. 23-34 - S. Rossa, Contributo allo studio delle funzioni amministrative digitali, Padova, 2021 - M. Martoni, Documento informatico e firme elettroniche, in AA.VV. (a cura di Sartor G., Di Cocco C.) Temi di diritto dell’informatica, Torino, pp. 27-74 - G. Alpa, I diritti della persona, Padova, 2020 - M. Martoni, Firme elettroniche: Profili Informatico-Giuridici, Roma, 2010
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024