Analisi del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) quale strumento di accesso al S.I.Gi.T. nel PTT

L'art. 4, comma 1, d.d. 4 agosto 2015 disponendo in merito alla registrazione degli utenti del Processo Tributario Telematico al S.I.Gi.T. ha espressamente previsto che essa avvenga «ai sensi degli articoli 64 e 65 d. lgs. 7 marzo 2005, n. 82» (Codice dell'Amministrazione Digitale, di seguito per brevità anche CAD) nonché «con gli altri strumenti di accesso resi disponibili tramite lo SPID».

Tale previsione normativa, oltre all'espresso richiamo allo SPID, merita di essere analizzata altresì alla luce delle modifiche ed integrazioni al CAD di cui al d.lgs. 26 agosto 2016, n. 179. Tale decreto legislativo, per quanto qui di interesse, ha riformulato parte degli artt. 64 e 65 CAD, introducendo l'espresso richiamo dello SPID quale metodo riconosciuto per l'identificazione degli utenti per consentire loro l'accesso ai servizi in rete rilasciati dalla pubblica amministrazione e dai soggetti privati.

L'art. 64, comma 2-septies, CAD prevede ora in particolare che – ferme in ogni caso le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico – un atto giuridico possa essere posto in essere da un soggetto identificato mediante SPID, nell'ambito di un sistema informatico avente i requisiti fissati nelle regole tecniche adottate ai sensi dell'art. 71, attraverso processi idonei a garantire, in maniera manifesta e inequivoca, l'acquisizione della sua volontà.

Sarà importante verificare come il futuro decreto ministeriale previsto dall'art. 3, comma 3, d.m. 23 dicembre 2013, n. 163, (di seguito per brevità anche “Regolamento”) meglio specificherà le regole tecniche da applicare allo SPID, rispetto a quelle già stabilite per le altre forme o modalità di sistemi di accesso al S.I.Gi.T., di cui al richiamato art. 4 d.d. 4 agosto 2015.

A prescindere da quali saranno le regole di recepimento nel Processo Tributario Telematico, il novellato quadro normativo introdotto dal d.lgs. n. 179/2016 evidenzia la necessità di un approfondimento in merito al sistema SPID.

Il sistema SPID è stato introdotto nel panorama normativo italiano dal d.P.C.M. 24 ottobre 2014 «Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese».

In particolare, l'art. 3 d.P.C.M. 24 ottobre 2014 individua quali soggetti pubblici o privati partecipanti allo SPID i seguenti:

a) i gestori dell'identità digitale (assegnano, rendono disponibili e gestiscono gli attributi);

b) i gestori degli attributi qualificati (attestare il possesso e la validità di attributi qualificati);

c) i fornitori di servizi;

d) l'Agenzia per l'Italia Digitale;

e) gli utenti.

Tali soggetti, ad esclusione degli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli definiti dalla stessa Agenzia per l'Italia Digitale.

Muovendo dall'analisi di tali soggetti merita soffermarsi su alcune importanti definizioni riportate dall'art. 1, comma 1, d.P.C.M. 24 ottobre 2014 al fine di comprendere al meglio i ruoli e le peculiari caratteristiche dei soggetti indicati. In particolare si considerano:

- attributi: informazioni o qualità di un utente utilizzate per rappresentare la sua identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari (lett. b);

- attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale o la partita IVA e gli estremi del documento d'identità utilizzato ai fini dell'identificazione (lett. c);

- attributi secondari: il numero di telefonia fissa o mobile, l'indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall'Agenzia, funzionali alle comunicazioni (lett. d);

- attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati (lett. e);

- fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma 1, lett. a), d. lgs. 9 aprile 2003, n. 70 (qualsiasi servizio online), o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e ne ricevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in base al gestore dell'identità digitale che l'ha fornita (lett. i);

- gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti (lett. l);

- gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi (lett. m);

- utente: persona fisica o giuridica, titolare di un'identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica (lett. v).

A mente dell'art. 5 d.P.C.M. 24 ottobre 2014, le identità digitali per avere valore debbono contenere il codice identificativo, gli attributi identificativi e almeno un attributo secondario, funzionale alle comunicazioni tra il gestore dell'identità digitale e l'utente.

Ai fini dell'utilizzo di identità digitali gestite dallo SPID nel Processo Tributario Telematico, ossia per l'autenticazione e l'accesso ai servizi del S.I.Gi.T., occorrerà che il decreto delle specifiche regole tecniche, da adottare, come già ricordato, ai sensi dell'art. 3, comma 3, del Regolamento, vada a definire quantomeno:

1. per gli attributi: le informazioni dell'utente che rappresentino la sua identità, il suo stato, e la sua forma giuridica;
2. per gli attributi identificativi: tutti quelli previsti per SPID;
3. per gli attributi secondari: quale requisito minimo il domicilio digitale, nonché eventuali altri attributi funzionali alle comunicazioni da ricevere da parte delle segreterie delle Commissioni Tributarie o dalle altre parti processuali;
4. per gli attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza, come definiti negli atti della struttura operativa pubblica o privata, dell'ordine o categoria professionale, utili a definire o delimitare i poteri di sottoscrizione degli atti adottati o di quelli depositati nel S.I.Gi.T.;
5. per i gestori dell'identità digitale: tutti quelli previsti per SPID, oltre agli stessi già accreditati per la gestione dei servizi connessi alle Carte Nazionali dei Servizi - CNS ed alle Carte di Identità Elettroniche - CIE;

Ricordiamo che la definizione degli attributi sopra elencati si rende indispensabile ad assicurare quanto previsto per un corretto accesso agli atti del fascicolo informatico dell'art. 3, comma 2, Regolamento, il quale dispone che «Le parti, i loro procuratori e difensori, nonché i consulenti e gli organi tecnici possono accedere alle sole informazioni contenute nei fascicoli dei procedimenti in cui sono costituiti o svolgono attività di consulenza». Inoltre, la definizione del domicilio digitale già all'interno dell'identità digitale dell'utente potrà sia consentirne la verifica rispetto a quella dichiarata nell'atto di costituzione in giudizio, che assicurare la certa comunicazione o notificazione degli atti processuali. Se, infine, negli attributi qualificati risulterà presente quanto suddetto, per il giudice sarà agevole verificare la titolarità alla difesa del contribuente e/o il rispetto dei limiti di potere di rappresentanza o sottoscrizione conferiti per i singoli atti esposti in giudizio.

A sensi dell'art. 6 d.P.C.M. 24 ottobre 2014, il sistema SPID prevede tre differenti livelli di sicurezza al fine di garantire una corretta autenticazione informatica dell'utente.

A) il primo livello - corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115 - risulta caratterizzato da un sistema, messo a disposizione da parte del gestore dell'identità digitale, di autenticazione informatica basato su un fattore, quale ad es. la password.

B) nel secondo livello - corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115 - il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di sicurezza e riservatezza del dato.

C) infine, il terzo livello - corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115 - si basa su un sistema di autenticazione informatica, messa a disposizione dal gestore dell'identità digitale, a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano anch'essi i requisiti di sicurezza e riservatezza del dato.

Il livello di sicurezza più idoneo, rispetto alla tipologia di servizio erogato, viene scelto dal fornitore di servizio tra quelli sopra definiti, e, pertanto, il già menzionato decreto delle regole tecniche per il Processo Tributario Telematico definirà il livello di sicurezza ritenuto minimo o più idoneo per l'accesso al S.I.Gi.T..

Una prima ipotesi potrebbe essere la scelta di diversi livelli di sicurezza a seconda della tipologia di utente, esigendo un livello minimo (primo livello) per i giudici, i componenti delle segreterie delle Commissioni Tributarie ed i dipendenti degli Enti impositori, considerato che essi risultano già classificati all'interno del SPC – Sistema Pubblico di Connettività in relazione al lavoro svolto presso pubbliche amministrazioni, mentre potrebbe essere richiesto un livello intermedio per i difensori appartenenti alle categorie o ordini professionali previsti dal d. lgs. 31 dicembre 1992, n. 546, essendo anch'essi già classificati negli albi professionali di categoria, e lasciare la previsione del livello massimo di sicurezza per i soli utenti generici, siano essi persone fisiche o giuridiche.

Il panorama operativo in merito all'accesso alla piattaforma S.I.Gi.T. dovrà certamente integrare, anche a livello tecnico, le previsioni normative derivanti dalle recenti modifiche, mediante l'adozione del più volte menzionato decreto delle regole tecniche.

L'operatività del sistema SPID è ormai divenuta una realtà tenuto anche conto dell'emanazione dei regolamenti attuativi che il d.P.C.M. 24 ottobre 2014 richiedeva (in particolare: Regolamento recante le modalità per l'accreditamento e la vigilanza dei gestori dell'identità digitale, Regolamento recante le modalità attuative per la realizzazione dello SPID, Regolamento recante le procedure per consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale ai sensi del d.P.C.M. 24 ottobre 2014, Regolamento recante le regole tecniche). Ciò posto l'operatività pratica dovrà tenere in debito conto il ruolo centrale svolto dai consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione dell'iscrizione agli albi professionali; infatti – così come previsto dall'art. 16, comma 3, d.P.C.M. 24 ottobre 2014 - essi saranno accreditati di diritto, a loro semplice richiesta, quali gestori di attributi qualificati e potranno svolgere un importante ruolo di garanti per gli iscritti ai fini della titolarità alla difesa ed al limite di potere di rappresentanza per gli atti ed attività processuali.