Obbligo di accesso con SPID/CIE/CNS

Il Decreto-legge 10-09-2021, n. 121, art. 10, c. 7 ha “ripristinato” il comma 3-bis dell’art. 64 del CAD:

Con uno o più decreti del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali SPID, la carta di identità elettronica e la Carta Nazionale dei servizi per consentire l’accesso delle imprese e dei professionisti ai propri servizi in rete, nonché la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettere b) e c) utilizzano esclusivamente le identità digitali SPID, la carta di identità elettronica e la carta Nazionale dei servizi ai fini dell’identificazione degli utenti dei propri servizi on-line

Il Decreto-legge 16 Luglio 2020, n. 76 art 24, c. 4 che aveva modificato il comma 3-bis, vietava il rilascio di credenziali alternative e introduceva la scadenza di quelle esistenti al 30 settembre 2021.

è fatto divieto ai soggetti di cui all’articolo 2, comma 2, lettera a) del predetto decreto legislativo n. 82 del 2005 di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.

Sorgono alcune domande:

1. il legislatore sta introducendo una differenziazione tra cittadini, professionisti e imprese per l’accesso ai servizi?
2. se sì, come ci si deve comportare per erogare quei servizi che possono essere fruiti indifferentemente da cittadini, professionisti e imprese?
3. il termine “utenti” definisce l’insieme unione di cittadini, professionisti e imprese?
4. la scadenza del 30 settembre resta valida?

Buongiorno.
Il dilemma è sicuramente interessante e anche in questo caso mi sembra che ci troviamo davanti ad un groviglio normativo, ahimè, tipico!
La mia modesta riflessione da cittadino qualunque è la seguente:

1. La differenziazione sembra esserci (e forse c’era sempre stata, magari implicitamente): la soglia del 30 settembre è rivolta ai cittadini (intesi come privati, immagino…), mentre ora ci stiamo avviando verso la dismissione anche per le utenze, per così dire, professionali. D’altronde questa differenza era già stata recepita, più o meno autonomamente, dalle varie PA che comunicavano ben spesso “la dismissione delle credenziali per i cittadini, mentre nulla sarebbe cambiato per le utenze professionali”.
2. Per i servizi “ibridi”, anche basti pensare al punto di accesso di INPS, Agenzia delle Entrate che è utilizzato da tutte le tipologie di utenze, credo che venga mantenuta la plancia di accesso con username/password, ma solo le utenze professionali (ovvero le uniche rimaste attive) la potranno usare. Se per assurdo una credenziale di cittadino dovesse sopravvivere allo shutdown, credo che sarà comunque tecnicamente accettata dal sistema: della serie, cambia il tipo di login che potete usare ma una fatto l’accesso nulla cambia!
3. Bella domanda!
   Sarà previsto anche nel caso di società a controllo pubblico e gestori di pubblici servizi lo shutdown scaglionato oppure no? Qui dipende solo dall’interpretazione della parola “utente”!
4. A mio avviso SÌ. La data termine era rivolta ai “cittadini”, e resta valida, mentre il nuovo testo si rivolge ad altre tipologie di utenza.

Ovviamente, è il mio pensiero contro quello del Governo, che potrebbe avere piani ben più fantasiosi!

Cioè, lo modificano,lo tolgono,lo rimettono …
Ma ora, l’articolo 3-bis , com’è? C’è ancora la modifica introdotta da dl semplificazione ad articolo 24?

In ogni caso la differenza c’era già, e la scadenza riguardava solo i servizi ai cittadini ,anche se non ne ho mai capito la ratio.

Scadenza del 30 settembre c’è,tanto che Colao ha appena mandato una mail a tutti i comuni per ricordarlo.

Scadenza che per i comuni sotto i 5000 è ,ai sensi articolo 23-bis, il 31 dicembre,fra l’altro…

Ultima considerazione: che pasticcioni

Scavando su Normattiva:
Prima dell’abrogazione tramite decreto-legge 31 maggio 2021, n. 77, il testo dell’art.64, comma 3-bis del CAD era il seguente:

3-bis. Con decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, e’ stabilita’ la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettere b) e c) utilizzano esclusivamente le identita’ digitali ai fini dell’identificazione degli utenti dei propri servizi on-line. Fatto salvo quanto previsto dal comma 2-nonies, a decorrere dal 28 febbraio 2021, i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identita’ digitali e la carta di identita’ elettronica ai fini dell’identificazione dei cittadini che accedono ai propri servizi ((in rete)). Con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione e’ stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identita’ digitali per consentire l’accesso delle imprese e dei professionisti ai propri servizi ((in rete)).

Poi, come detto, era stato abrogato e ora, tramite Decreto-legge 10-09-2021, n. 121, art. 10, c. 7, è stato ripristinato nella versione citata in apertura da @emmedi , a cui aggiungo l’intestazione che recita:

Fatto salvo quanto previsto dal comma 2-nonies, i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identita’ digitali SPID e la carta di identita’ elettronica ai fini dell’identificazione dei cittadini che accedono ai propri servizi in rete.

Quindi: prima è stato abrogato l’articolo che modifica il CAD, poi è stato modificato l’articolo della legge che modifica il decreto-legge che modifica il CAD…
Morale della favola: non è cambiato nulla!

Come sono divertenti questi legislatori… (ironia!)

C’è del metodo in questa follia (W. Shakespeare, Amleto, Atto II, Scena II)

Ma quindi la lettera di Colao e Paorici , datata 7 settembre, e che recitava :

In tale contesto, il decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge
11 settembre 2020, n. 120, recante “Misure urgenti per la semplificazione e l’innovazione digitale”
ha previsto l’utilizzo del Sistema Pubblico di Identità Digitale (SPID) e della Carta d’Identità
Elettronica (CIE) per accedere ai servizi in rete erogati dalle pubbliche amministrazioni, sancendo
l’obbligo per le stesse amministrazioni di avviare il passaggio dalle modalità proprietarie di
autenticazione online a quelle basate su SPID e CIE e, al contempo, il divieto di rilasciare o
rinnovare ogni altro tipo di credenziale, ferma restando la possibilità di utilizzare quelle già
rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.

era senza presupposto giuridico ? Ossia, in un momento in cui il comma 3.bis ancora non era stato ripristinato ?

Mah, sì e no…
La lettera, nel bene o nel male, richiamava una legge effettivamente esistente; semplicemente, non valeva più molto perché il CAD era già stato modificato.
Effettivamente al 7 settembre il comma 3-bis era abrogato, ma mi viene anche da pensare in buona fede che il Decreto-Legge fosse già in fase di approvazione: siamo ben abituati a veder circolare bozze di decreti già come se fossero norme attive!

Del resto, osservo ancora una cosa: anche nella stesura originale citata dal Ministro, si parlava di 28/02 come data in cui usare solo SPID/CIE/CNS ma agli effetti fino al 30/09 le credenziali risultano attive ed utilizzabili… Nella nuova stesura, invece, si da per assodato che “i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente SPID e CIE”, senza alludere ad alcuna data. Mi viene quindi da pensare che, aldilà del CAD e di questi emendamenti tira e molla, vi sia qualche altro atto secondario che fornisce maggiori dettagli in merito al processo di transizione.

Questo è il testo dell’art. 64 vigente il 7 settembre. Il comma 2-quater continuava a essere vigente:

2-quater. L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID, nonche’ tramite la carta di identita’ elettronica. Il sistema SPID e’ adottato dalle pubbliche amministrazioni nei tempi e secondo le modalita’ definiti con il decreto di cui al comma 2-sexies. Resta fermo quanto previsto dall’articolo 3-bis, comma 01.

I limiti temporali di utilizzo delle credenziali non erano (e non sono nemmeno oggi) definiti nel CAD, ma nel Decreto-legge 16 Luglio 2020, n. 76 art 24, c. 4 che però riguarda i “cittadini”, per professionisti, imprese e “utenti” dovremo attendere

uno o più decreti del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione.

La scadenza del 30 settembre è prevista per effetto del comma 4 dell’art. 24 del DL semplificazione 2020

Ma… siamo uomini o cittadini?
Parafrasando Totò.

Comunque, per dirla tutta, si vede che non siete giuristi di formazione, date troppo peso alla lettera delle disposizioni

Segnalo questo comunicato di Agenzia delle Entrate, che specifica:

Nulla cambia per l’utenza professionale – Le nuove modalità di autenticazione non interessano, per il momento, i professionisti e le imprese: le credenziali Fisconline, Entratel o Sister, infatti, continueranno a essere rilasciate alle persone fisiche titolari di partita Iva e alle persone giuridiche (PNF) anche dopo il 1° ottobre 2021. Con un apposito decreto attuativo, come previsto dal Codice dell’amministrazione digitale, verranno poi stabilite le regole per queste categorie di utenti.

Scusate, ma io ero rimasto che l’obbligo fosse per SPID e CIE e non per la CNS.
Non capisco se anche quest’ultima deve essere obbligatoriamente presente come modalità di accesso…

Se leggi con attenzione il comma 2-quater, che rimanda a quanto previsto dall’articolo 3-bis, comma 01, noterai che l’obbligo riguarda SPID e CIE mentre la CNS è una facoltà

@Patrizia_Saggini fa il punto sulla questione dell’Identità Digitale Unica