Con il DPR 22.10.1999, n. 437 finalmente è stato emanato il regolamento che disciplina il rilascio della "carta d'identità elettronica", insieme di norme che va ad integrare il quadro complessivo necessario affinché il "documento informatico" possa finalmente essere utilizzato appieno nel nostro paese.
Ad una prima veloce lettura, il DPR citato sembra, una volta tanto, non essersi spinto troppo in là nel definire il quadro normativo complessivo; infatti, pone - a mio personale parere correttamente - soltanto delle norme di principio alle quali occorrerà rifarsi per l'argomento specifico.

Art. 1 - Definizioni
Procedendo con ordine, si potrà rilevare che all'articolo 1, come d'uso in questi ultimi tempi, vengono fornite le definizioni della "carta d'identità elettronica", nonché dei concetti giuridici importanti ai fini di una corretta interpretazione del DPR stesso.
In questo caso occorre soltanto notare come, alla lettera c), si fornisca ancora una definizione di documento elettronico, laddove all'articolo 1, lettera a) del DPR 513/97 si leggono esattamente le stesse parole "a) per documento informatico, la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti"; quindi vengono specificati alla lettera d) i dati identificativi della persona ed alla lettera e) gli "altri dati", individuando una accezione di tali "altri dati" abbastanza ampia affinché non siano necessarie modificazioni del DPR al mutare delle situazioni reali.
Si continua alla lettera f) individuando, anche in questo caso secondo il criterio seguito nella emanazione di praticamente tutte le norme in questo campo, delle specifiche di carattere tecnico, organizzativo e di sicurezza che dovranno essere emanate ai sensi del successivo articolo 8 affinché la norma possa funzionare appieno.
Questa è una prassi che pur trovandomi consenziente per quanto concerne la separazione tra "norma quadro" e "norma applicativa" - posto che con molta probabilità anche queste nuove "regole tecniche", al pari di quelle dettate con il DPCM 08.02.99 per l'applicazione piena del DPR 513/97, potranno e dovranno cambiare con velocità di gran lunga superiore a quella delle norme di livello superiore - non mi trova invece affatto d'accordo per la mancata emanazione contestuale di tali "regole tecniche".
Infine, alla lettera g), si individuano - per riferimento - quali siano le Pubbliche Amministrazioni che possano essere considerate tali ai fini del DPR in esame.

Art. 2 - Rilascio della carta d'identità elettronica e del documento di identità elettronico
Nessun problema sembrerebbe sollevare il 1° comma; al 2° comma si stabilisce che il documento d'identità elettronico verrà automaticamente rilasciato alla prima iscrizione anagrafica, cioè alla nascita, e che il rinnovo dello stesso sarà facoltativo. Nel caso in cui il documento di identità non venga rinnovato avrà valore soltanto come attribuzione del codice fiscale.
Il 3° comma disciplina l'interscambio di tali informazioni con il Ministero delle Finanze.

Art. 3 - Forma, contenuto e funzione della carta d'identità elettronica e del documento di identità elettronico
Anche in questo caso il 1° comma statuisce che i due documenti di riconoscimento elettronici (carta d'identità elettronica e documento d'identità elettronico) dovranno contenere, con "immediata visibilità e memorizzati con modalità informatiche di sicurezza di cui al successivo articolo 8" :

1. I dati identificativi della persona, di cui all'articolo 1, 1° comma lettera d) dello stesso DPR, quindi Nome, cognome, sesso, statura, data e luogo di nascita, gli estremi dell'atto di nascita
2. Codice fiscale
3. Dati di residenza
4. Cittadinanza
5. Fotografia
   Eventuale indicazione di non validità ai fini dell'espatrio
6. Codice numerico identificativo del documento, codice del comune di rilascio, data del rilascio e data di scadenza;
7. Sottoscrizione del titolare o di uno degli esercenti la potestà genitoriale o la tutela

Qualora il documento d'identità elettronico venga rilasciato senza fotografia non sarà valido ai fini dell'espatrio.
Quindi, al terzo comma, quasi in sordina, si accenna al fatto che la carta d'identità elettronica potrà contenere i dati contenuti nelle liste elettorali e comunque necessari alla certificazione elettorale "ed altri dati al fine di razionalizzare e semplificare l'azione amministrativa"; mi sembra chiaro ed anche lodevole l'intento di non chiudere alcuna porta per quanto concerne l'utilizzazione di un unico supporto per più attività nei confronti della pubblica amministrazione.
Si aggiunge anche che sullo stesso supporto possono essere inseriti anche i dati concernenti il Servizio sanitario nazionale, in armonia con quanto disposto dall'articolo 22 delle legge 675/96.
Tali dati potranno essere inseriti nella carta d'identità elettronica solo su espressa richiesta dell'interessato, mentre i dati di cui al comma 1 saranno trasferiti alle questure interessate sempre secondo le modalità previste dall'articolo 8, che come sappiamo rinvia alle "regole tecniche" di attuazione della legge in esame.

Art. 4 - Firma digitale e chiave biometrica
Articolo costituito da un unico comma che prevede espressamente la possibilità di inserire nel supporto utilizzato per la carta d'identità elettronica anche le "informazioni e le applicazioni" occorrenti per la firma digitale, ai sensi del DPR 513/97; in questo caso il supporto dovrà essere abilitato a generare eventuali chiavi biometriche ove ciò fosse reso necessario dalla normativa di riferimento.
Peccato che di fatto tale norma risulterà inapplicabile, a meno di sorprese date dalla tecnologia, come ha chiarito Manlio Cammarata nel suo articolo:"Dal punto di vista tecnico la cosa appare problematica, perché per la realizzazione di un dispositivo di firma è necessario un apposito "chip crittografico", che non è adatto alla gestione dei processi tipici della carta d'identità. Fino a questo momento non è nota l'esistenza di carte "multiprocessore" che possano svolgere le due funzioni, ma siamo ormai abituati alle sorprese della tecnologia e quindi nulla si può escludere per i futuro.."
Peccato certo non veniale in quanto tali conoscenze tecniche avrebbero dovuto essere ben presenti a chi ha scritto la legge.

Art. 5 - Validità temporale della carta d'identità e del documento d'identità elettronico
Stabilisce soltanto la validità della carta d'identità elettronica e del documento d'identità elettronico, rispettivamente in cinque e due anni.

Art. 6 - Procedure di interdizione dell'operatività elettronica in caso di smarrimento o furto della carta d'identità elettronica e del documento d'identità elettronico.
Anche in questo caso poco da poter dire, per ora; ovviamente si tratta di un problema analogo alla sospensione e/o revoca dei certificati ex DPR 513/97 (articolo 9 DPR 513/97 ed articoli da 29 a 37 del Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999); anche in questo caso si fa riferimento alle emanande norme tecniche di cui al successivo articolo 8.
Vi è solo da dire che probabilmente questo aspetto dovrebbe porre minori problemi rispetto alla revoca dei certificati ex DPR 513/97; in fondo le problematiche di falsificazione dei documenti sono abbastanza "vecchie" e gli organi di investigazione dovranno soltanto adeguarsi alle mutate realtà tecnologiche.

Art. 7 - Pagamenti informatici
"La carta d'identità elettronica può essere utilizzata anche per il trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni, previa definizione, d'intesa tra il comune interessato e l'intermediario incaricato di effettuare il pagamento, delle modalità di inserimento e validazione dei dati necessari"; siamo ancora in presenza di una norma di solo principio, che statuisce la possibilità che il pagamento di quanto dovuto alla PA, probabilmente a qualsiasi titolo, non essendo stata specificata alcuna restrizione, possa avvenire con mezzi informatici.
Ovvio ma necessario complemento alla normativa; infatti occorre ricordare che la PA può procedere soltanto nell'ambito di una norma di legge, intesa in senso lato. Quindi se qualche attività non è espressamente prevista come lecita da qualche norma, la PA non potrebbe operare.
Da qui discende la necessità di prevedere espressamente comportamenti e situazioni che a prima vista sembrerebbe inutile regolamentare.

Art. 8 - Regole tecniche e di sicurezza
Si pongono le norme quadro per quanto concerne le regole tecniche e di sicurezza della carta d'identità elettronica e del documento d'identità elettronico; infatti si specifica che le norme dovranno riguardare "le modalità di compilazione, rilascio, aggiornamento e rinnovo dei documenti".
Esse dovranno essere (al solito) adeguate "in relazione alle esigenze dettate dalla evoluzione delle conoscenze scientifiche e tecnologiche, con cadenza almeno biennale a decorrere dalla data di entrata in vigore del (..) decreto" e dovranno salvaguardare l'utilizzabilità dei documenti in corso di validità, il che vuol dire che si stabilisce il principio che le eventuali novità tecnologiche non potranno costituire un costo aggiuntivo per il cittadino.
Al comma 4°, infine, si stabilisce che saranno "dettate le misure tecniche e di sicurezza finalizzate a garantire l'integrità, l'accessibilità e la riservatezza delle informazioni contenute nel documento"; in pratica, si sarebbe voluto far coesistere sullo stesso supporto le informazioni richieste per l'utilizzazione della carta d'identità elettronica nonché dei servizi ad essa eventualmente collegati e tutta la normativa esistente e derivante dalla legge 675/96.
Ma osta a ciò quanto correttamente rilevato da Manlio Cammarata nel suo ultimo articolo in merito: "si deve fare attenzione a un particolare: la norma parla di "dati amministrativi del Servizio sanitario nazionale", non di "dati sanitari". Dunque la carta d'identità non sostituirà la già prevista tessera sanitaria, con le informazioni specifiche sulla salute del cittadino, ma sarà semplicemente lo strumento per accedere ai servizi."

Infatti, l'espresso richiamo alle cosiddette "carte sanitarie elettroniche" che con DPR 30 luglio 1999, n. 282, all'articolo 6, hanno inserito la sperimentazione delle carte sanitarie elettroniche per le quali sono previste informative ai sensi dell'articolo 10 legge 675/96 e nelle quali l'interessato può rifiutarsi di inserire i dati idonei a rilevare il suo stato di salute e che eccedano i dati relativi alla gestione amministrativa o a situazioni di interventi di urgenza, statuisce che:
"2-Gli interessati possono opporsi all'inserimento nelle carte di cui al comma 1 dei dati idonei a rivelare lo stato di salute che li riguardano e che eccedano i dati relativi alla gestione amministrativa e alle situazioni di interventi di urgenza, quali definiti a livello internazionale.
3-Il decreto del Ministro della sanità di cui all'articolo 2, comma 1, del decreto legge 28 dicembre 1998, n. 450, convertito con modificazioni, dalla legge 26 febbraio 1999, n. 39, determina anche, tra le altre garanzie previste dall'articolo 6, comma 4, del decreto legislativo 29 aprile 1998, n. 124, le categorie di incaricati delle aziende sanitarie locali e di operatori sanitari che possono accedere alle diverse categorie di dati inseriti nelle carte, nonché le categorie professionali tenute ad inserire i dati e il periodo massimo entro i quali i dati devono essere aggiornati".
In pratica, le carta d'identità elettroniche non potranno contenere dati sanitari "puri", cioè per esempio le radiografie del cittadino, ma soltanto quelli relativi alla gestione amministrativa della sanità.

Art. 9 - Progetti di sperimentazione concernenti le modalità di utilizzazione della carta di identità elettronica e del documento elettronico per l'erogazione di ulteriori servizi o utilità.
"Le pubbliche amministrazioni possono sperimentare modalità di utilizzazione della carta d'identità
elettronica e del documento d'identità elettronico per l'erogazione di ulteriori servizi o utilità attenendosi a quanto stabilito dal presente decreto e dal decreto di cui all'articolo 8."
Ancora semplicemente dei principi generali, resi necessari dalla diversa velocità di adattamento alle mutate realtà da parte delle amministrazioni pubbliche italiane; con tale norma si stabilisce da una parte la liceità delle sperimentazioni effettuate, dall'altra parte si statuisce che qualora i vari progetti non sia congruenti con quanto disposto dal regolamento (lo stesso DPR) e con le emanande regole tecniche ex articolo 8, il Ministero dell'Interno potrà bloccare il proliferare di tali iniziative.
In pratica, quindi, via libera ufficiale alla sperimentazione di servizi ulteriori da inserire nel supporto che nascerà per la carta d'identità elettronica, ma con un freno alla italica fantasia, che quindi dovrà sempre scontrarsi con il disposto del 4° comma dell'articolo 9 ".nel caso in cui la sperimentazione non risulti conforme alle finalità del presente decreto e alle norme tecniche e di sicurezza di cui al decreto previsto dall'articolo 8, il Ministro dell'interno ne dispone la cessazione con provvedimento motivato. In tal caso, ai fini della ripresa della sperimentazione, l'amministrazione può presentare, secondo le modalità di cui ai commi 2 e 3 del presente articolo, un nuovo progetto adeguandosi alle osservazioni formulate".

Art. 10 - Comitato di monitoraggio
L'articolo in esame costituisce un "comitato di monitoraggio" con lo scopo di raccordare la fase di sperimentazione e a fase di avvio a regime; a tale comitato verranno assegnati i seguenti compiti:

• esprime pareri sulla validità dei progetti avviati e dei servizi previsti nelle sperimentazioni;
• effettua il monitoraggio dell'andamento delle sperimentazioni al fine di valutare e favorire le interrelazioni tra le stesse;
• formula proposte per la migliore utilizzazione dei documenti elettronici, una volta conclusa la sperimentazione;
• garantisce il raccordo delle sperimentazioni, nel caso in cui la carta d'identità elettronica o il documento elettronico contengano dati amministrativi del Servizio sanitario nazionale, con la sperimentazione della tessera sanitaria nazionale.

Una domanda sorge spontanea; per quale motivo creare un ulteriore organismo, di tipo propositivo - consultivo, laddove già esiste una autorità preposta (l'AIPA)?
La funzione può anche essere utile, ed allora tale comitato forse si sarebbe dovuto avere già da prima per coordinare anche le disposizioni legislative emanate, ma come al solito non si chiarisce cosa accada se il comitato non viene ascoltato, oppure se il comitato "non garantisce" il raccordo tra le sperimentazioni.
Insomma, a mio personale parere la proliferazione di tali organismi senza che ad essi siano attribuite competenze specifiche e soprattutto senza che sia chiarita a monte la loro posizione sistematica nell'ambito della PA e della produzione di norme secondarie di diritto non fa che perpetuare una situazione assai poco piacevole per chi sia chiamato ad applicare le norme di diritto, e non si limiti a discuterne accademicamente.
Ho già espresso tale mia posizione, più compiutamente, nell'articolo pubblicato su Diritto e Diritti, al quale rinvio per eventuali approfondimenti.

Art. 11 (Norme transitorie)
Al primo comma viene stabilito che con successivo decreto del Ministero dell'Interno si fisserà la data a partire dalla quale potranno essere rilasciate carta d'identità elettroniche e documenti d'identità elettronici, in sostituzione di quello cartaceo.
Quindi a partire da una certa data i Comuni che si adegueranno al DPR in esame non rilasceranno più documenti d'identità cartacei, ma soltanto elettronici; una bella rivoluzione, non c'è che dire.
Al secondo comma si stabilisce un limite per il passaggio totale alla carta d'identità elettronica, che è come in altri casi consimili di cinque anni a partire dalla data dell'emanazione del DPR stesso.
Anche in questo caso la speranza è che questi cinque anni non trascorrano invano e che la lunga marcia di avvicinamento al cosiddetto "ufficio senza carta" possa procedere spedita e senza intoppi.
Al terzo comma si statuisce che i Comuni dovranno adottare piani di revisione e sviluppo dei sistemi informativi informatizzati in attuazione di quanto stabilito, tra l'altro, dagli artt. 20 e 21 del DPR n.513/97; potrebbe essere una buona occasione per rendere tali sistemi informativi anche congruenti rispetto alle norme dettate dalla 675/96, ed in particolare al decreto legislativo n.135/1998 sul trattamento dei dati sensibili da parte della PA
In conclusione, come già scritto, mi sembra in linea di massima finalmente una "legge quadro" che, anche se non tecnicamente tale, si proponga correttamente come contenitore rispetto ad altre norme attuative; ritengo invece che sarebbe stato opportuno emanare contestualmente al DPR in esame anche le norme tecniche, ma forse sarebbe stato chiedere troppo

* Avvocato - luca.degrazia@degrazia.it