Il furto di identità è un pericolo attuale quanto reale, così come la necessità di prevenire le frodi ai consumatori che ne conseguono. L’avvocato Del Ninno, questa volta in 2 appuntamenti, chiarisce aspetti molto importanti della materia. Nella prima parte, viene ricostruito il quadro aggiornato delle norme sulla identità digitale e il furto di identità, necessaria premessa all’analisi del Regolamento del Ministero dell’Economia numero 95/2014.
Di recente, con la pubblicazione nella Gazzetta Ufficiale numero 150 del 1° luglio 2014 del decreto del Ministero dell'Economia numero 95 del 19 maggio 2014 “Regolamento recante norme di attuazione del sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identità” , sono entrate in vigore le norme di attuazione del d.lgs. numero 141/2010 che ha fissato i principi normativi generali per combattere le frodi nel settore del credito al consumo e dei pagamenti differiti o dilazionati, con specifico riferimento al furto d'identità. Definizione di “identità digitale” e di “furto di identità”. Prima di analizzare la portata pratica delle nuove norme regolamentari, appare utile fornire un sintetico richiamo ad alcune norme dell’ordinamento che definiscono i concetti di “identità digitale” e di “furto di identità”. Il d.lgs. numero 64/2011, novellando proprio il d.lgs. numero 141 /2010 sopra richiamato, ha per la prima volta introdotto nell’ordinamento italiano la nozione di “furto di identità” sia pure non a fini penali, visto che il Legislatore non ha previsto affatto una nuova fattispecie di reato difatti, in mancanza di una fattispecie incriminatrice specifica, il furto di identità viene ricondotto dalla giurisprudenza di legittimità nell’ambito del reato di cui all’articolo 494 c.p., relativo alla “sostituzione di persona”, secondo il quale «chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno», e ciò anche se la “sostituzione di persona” non è congruente, come fattispecie, al “furto di identità” . Ai sensi del d.lgs. numero 64/2011, dunque, il furto di identità può avvenire mediante a l'impersonificazione totale cioè, l’occultamento totale della propria identità mediante l'utilizzo indebito di dati relativi all'identità e al reddito di un altro soggetto. L'impersonificazione può riguardare l'utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto b l'impersonificazione parziale cioè l’occultamento parziale della propria identità mediante l'impiego, in forma combinata, di dati relativi alla propria persona e l'utilizzo indebito di dati relativi ad un altro soggetto, nell'ambito di quelli di cui alla lettera a . Successivamente, l’articolo 9, comma 1, lett. a , legge numero 119/2013 - che ha convertito in legge, con modificazioni, il d.l. numero 93/2013 - ha novellato l’articolo 640 c.p. rubricato “Frode informatica” introducendo il nuovo articolo 640- ter rubricato “Frode informatica commessa con sostituzione d'identità digitale”. Detta disposizione legislativa dispone che la «pena è della reclusione da 2 a 6 anni e della multa da euro 600 a euro 3mila se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti». Ma tale intervento ha sollevato numerose polemiche ed evidenziato quelle che saranno gravissime lacune in sede interpretativa, visto che il Legislatore non ha affatto fornito una definizione di “identità digitale” né ha chiarito le modalità pratiche con le quali dovrebbe avvenire il furto. Per avere una prima definizione normativa di “identità digitale” occorre attendere il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014 pubblicato sulla Gazzetta Ufficiale numero 285 del 9 dicembre 2014 intitolato “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese SPID , nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese” SPID che dovrebbe diventare operativa entro Aprile 2015 . Il Sistema Pubblico per la gestione delle Identità Digitali di cittadini e imprese sarà costituito da una rete di autenticatori sia pubblici che privati – i gestori dell’identità digitale - che gestiranno i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete per conto di cittadini e imprese. In sintesi, il cittadino, una volta effettuate le procedure di autenticazione con uno dei soggetti coinvolti, potrà usare tutti i servizi online forniti da tutti gli altri soggetti che hanno aderito al network . L’articolo 1, comma 1, lettera o definisce la “identità digitale” come «la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi» anche se con tale definizione – più precisamente – sembrerebbe rimandarsi più a un metodo di identificazione informatica piuttosto che a un vero e proprio concetto di identità digitale, richiamandosi più che altro una norma già presente nel Codice dell’Amministrazione Digitale - l’articolo 1, comma 1, lett. e , d.lgs. numero 82/2005 - in cui è stato chiarito che, per “identificazione informatica” si intende la «validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso» . Non è questa la sede per analizzare criticamente la portata operativa delle varie norme sopra richiamate per meri fini di ricostruzione del quadro normativo non ci si può però esimere dal rilevare l’estrema difficoltà che caratterizzerà la pur necessaria attività di coordinamento interpretativo ed applicativo di norme e concetti tecnici, sovrapposti e slegati tra di loro. Solo per fare un esempio il coordinamento tra l’identità digitale come definita dal DPCM sullo SPID e l’identità come tratta dal documento digitale unificato -DDU previsto dal Decreto Crescitalia del Governo Monti - il d.l. numero 179/2012 – che dovrebbe sostituire la carta d'identità e la tessera sanitaria e offrire al cittadino la possibilità di accedere in via telematica ai servizi erogati dalle amministrazioni pubbliche. Non è affatto sembrata chiarificatrice la posizione dell’Agenzia per l’Italia Digitale che – sul punto – si è limitata a segnalare che lo SPID realizza un modello federato adatto a vari scenari - tecnologici, organizzativi e di business, anche in mobilità - nel quale oltre alle identità personali sono gestiti i ruoli, i titoli e le qualifiche professionali, non gestiti con il DDU. O si pensi, per fare un altro esempio, al coordinamento tra la identità digitale e il domicilio digitale. Con l’articolo 14 d.l. numero 69/2013 è stata difatti introdotta una specifica disposizione che prevede il domicilio digitale via PEC «all'atto della richiesta del documento unificato DDU, ovvero all'atto dell'iscrizione anagrafica o della dichiarazione di cambio di residenza a partire dall'entrata a regime dell'Anagrafe nazionale della popolazione residente, è assegnata al cittadino una casella di posta elettronica certificata, con la funzione di domicilio digitale, ai sensi dell'articolo 3- bis del Codice dell'Amministrazione Digitale, successivamente attivabile in modalità telematica dal medesimo cittadino». Si fa poi rinvio ad un successivo decreto del Ministro dell'interno con cui verranno stabilite le modalità di rilascio del domicilio digitale all'atto di richiesta del DDU. Ma né tale decreto, né quelli relativi all’attivazione dell’Anagrafe Nazionale della Popolazione Residente ANPR, che subentrerà alle anagrafi e attraverso un’applicazione web e alcuni strumenti online fornirà ai comuni i dati anagrafici dei residenti e consentirà tutte le operazioni inerenti l’elaborazione delle informazioni anagrafiche di interesse , né le regole attuative del documento digitale unificato DDU hanno ancora visto la luce, e non si conoscono attualmente i tempi di attuazione. “Identità digitale” e “identificazione elettronica”. Si aggiunga infine che in materia di identità digitale il quadro normativo si dovrà altresì coordinare con le disposizioni contenute nel Regolamento UE numero 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che abroga la Direttiva UE sulle firme elettroniche del 1999 . Tale Regolamento immediatamente applicabile negli ordinamenti nazionali degli Stati Membri senza necessità alcuna di recepimento - noto con l’acronimo di eIDAS electronic IDentification Authentication and Signature eTS electronic Trust Services - stabilisce le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche. Entrato in vigore il 17 Settembre 2014, sarà applicabile a partire dal 1° Luglio 2016. In tema di identità digitale, esso introduce una serie di definizioni che articolano il quadro, rendendo ben più difficile il coordinamento con le norme italiane in materia già vigenti. Intanto – e deve dirsi più correttamente – il Legislatore comunitario articolo 3, Reg. eIDAS parla non di “identità digitale” ma di “identificazione elettronica” contrapposta ai “dati di identificazione personale” e questo è forse invece un diverso concetto più vicino a quello di identità, appunto il risultato di un insieme di dati - «identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica - «dati di identificazione personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica per poi istituire un «regime di identificazione elettronica» cioè un sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche nell’ambito del quale procedere alla vera e propria «autenticazione» cioè un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica . A fronte di queste differenze concettuali tra norme italiane e comunitarie, non si deve essere così certi della facile convivenza – interpretativa e applicativa – delle menzionate regole. E ciò anche se l’Agenzia per l’Italia Digitale ha evidenziato che dopo l’emanazione del Regolamento eIDAS e la notifica da parte del governo italiano del DPCM che regolamenta lo SPID alla Commissione europea, il sistema italiano – primo del genere - sarà accettato dagli altri Stati membri dell’UE e il combinato disposto dei due provvedimenti regolatori consentirà di realizzare l’interoperabilità del sistema SPID nel panorama tecnologico europeo.