Fascicolo informatico CAD: lo SPID non basta e l'accesso non è davvero automatico

lentepubblica.it

Dati sì, controlli no: lo SPID non basta e l’accesso ai fascicoli informatici CAD non è ancora automatico. Perché e cosa serve per sbloccarlo.

Abstract

Il controllo dell’accesso al fascicolo informatico è un elemento essenziale per l’attuazione dell’art. 41 del Codice dell’Amministrazione Digitale.
L’articolo analizza le criticità legate alla verifica della legittimazione ad accedere, distinta dalla mera autenticazione del soggetto.
Attraverso l’esame dei metadati dell’Allegato 5 e di alcuni casi concreti, viene mostrato come le informazioni necessarie all’attestazione della rappresentanza legale siano già disponibili, ma non ancora esposte come servizi interoperabili.
Il contributo propone infine alcune evoluzioni degli schemi dati e un modello di servizio uniforme su PDND per automatizzare il controllo degli accessi ai fascicoli informatici.

Fascicolo informatico: il controllo degli accessi

L’accesso al fascicolo informatico del procedimento di cui all’art. 41 del CAD, così come a qualsiasi fascicolo intestato a una persona o a un’organizzazione deve avvenire previa autenticazione tramite SPID o CIE, come previsto dall’art. 64 del CAD. Tale requisito vale sia quando l’accesso avvenga tramite un’interfaccia utente, sia quando avvenga tramite API.

l’Allegato 5 alle Linee guida AgID classifica i soggetti che possono accedere a un fascicolo informatico in due macro-categorie:

• Persona fisica
• Persona giuridica

Questa distinzione, apparentemente semplice, introduce in realtà complessità rilevanti sul piano dell’autorizzazione.

L’accesso ai fascicoli delle persone fisiche

L’accesso ai fascicoli delle persone fisiche deve essere garantito esclusivamente al soggetto intestatario.

Consultando le informazioni presenti nel metadato Soggetti – SoggettoIntestatarioPersonaFisica è possibile risalire al codice fiscale dell’intestatario e, di conseguenza, filtrare le richieste di consultazione del fascicolo confrontandolo con il codice fiscale del soggetto autenticato.

Si tratta dello scenario più semplice, che non presenta particolari criticità dal punto di vista dell’automazione.

L’accesso ai fascicoli delle persone giuridiche

L’accesso ai fascicoli intestati a persone giuridiche deve essere garantito ai soggetti che ne hanno la rappresentanza legale.

È opportuno chiarire che nell’Allegato 5 alle Linee guida, sotto la denominazione di “persona giuridica”, sono ricompresi anche soggetti che non hanno personalità giuridica in senso stretto, quali imprese individuali, società di persone, associazioni, condomìni e liberi professionisti.

Consultando le informazioni presenti nel metadato Soggetti – SoggettoIntestatarioPersonaGiuridica si distinguono i seguenti sottocasi:

• Organizzazione
• Pubblica amministrazione italiana
• Pubblica amministrazione estera (che non viene trattata in questo contributo)

L’accesso delle organizzazioni

Le informazioni disponibili per consentire l’accesso ai fascicoli da parte di un’organizzazione risultano, allo stato attuale, piuttosto limitate. Il tipo PGType prevede infatti il solo attributo CodiceFiscale_PartitaIva, peraltro non obbligatorio e vincolato a una lunghezza di 11 cifre.

Dal punto di vista dell’automazione e del trattamento informatico dei metadati, questa scelta risulta problematica. Per tale motivo, sarebbero auspicabili alcune modifiche puntuali allo schema dell’Allegato 5:

1. Dividere l’attributo CodiceFiscale_PartitaIva in due attributi distinti: CodiceFiscale e PartitaIvaciascuno con regole di validazione proprie;
2. Introdurre un attributo TipoOrganizzazione, definito su un dominio di valori controllato, che consenta di individuare il servizio di attestazione elettronica di attributi più appropriato per verificare la rappresentanza legale.

Lo schema seguente mostra una possibile estensione minimale del tipo PGType coerente con tali esigenze.

L’accesso delle pubbliche amministrazioni italiane

Le informazioni disponibili per consentire l’accesso ai fascicoli da parte di una pubblica amministrazione permettono di individuare l’Unità Organizzativa Responsabile.

Il tipo PAIType prevede infatti i seguenti attributi:

• IPAAmm (con CodiceIPA dell’Amministrazione e Denominazione)
• IPAAOO (con CodiceIPA dell’AOO e Denominazione)
• IPAUOR (con CodiceIPA dell’UOR e Denominazione)

Anche in questo caso, i dati identificativi esistono e sono strutturati, ma non sono ancora pienamente sfruttabili ai fini dell’autorizzazione automatica all’accesso.

L’attestazione elettronica di attributi

Una volta individuata l’organizzazione o la pubblica amministrazione intestataria del fascicolo, è necessario verificare se il soggetto autenticato sia effettivamente autorizzato ad accedervi.

Questo passaggio richiede il ricorso a servizi di attestazione elettronica di attributi, che consentano di associare all’identità digitale non solo l’identità del soggetto, ma anche il suo ruolo all’interno dell’organizzazione.

I servizi di attestazione elettronica di attributi qualificati sono quelli previsti dall’art. 64, c. 2-duodecies del CAD

L’identità digitale […] attesta gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, ovvero gli altri dati, fatti e informazioni funzionali alla fruizione di un servizio attestati da un gestore di attributi qualificati.

Le specifiche tecniche di tali servizi sono state recentemente definite dallo standard ETSI TS 119 472-1(dicembre 2025), che specifica un modello di dati per le attestazioni elettroniche di attributi, previste dal Regolamento (UE) 2024/1183 (eIDAS 2.0).

La PDND come infrastruttura abilitante

L’accesso agli albi, elenchi o registri pubblici necessari all’attestazione degli attributi può avvenire tramite la Piattaforma Digitale Nazionale Dati (PDND), che rappresenta l’infrastruttura naturale per l’esposizione e il consumo di tali servizi.

La disponibilità di servizi di attestazione su PDND non è un’ipotesi remota: diversi esempi dimostrano che le informazioni necessarie esistono già e sono, in larga parte, digitalizzate.

Gli esempi che seguono non hanno l’obiettivo di essere esaustivi, ma intendono mostrare come, per molte tipologie di organizzazioni, le informazioni necessarie all’attestazione della rappresentanza legale siano già disponibili in registri pubblici, anche se non ancora esposte come servizi di attestazione su PDND.

I legali rappresentanti delle società

Unioncamere ha reso disponibile su PDND un servizio di Identity Matching – Attestazione della rappresentanza legale, finalizzato a verificare la rappresentanza legale di una persona fisica in un’impresa quale persona giuridica.

La fruizione del servizio risulta attualmente riservata ad AgID; tuttavia, la sua stessa esistenza dimostra la possibilità di ottenere tale informazione interrogando la banca dati del Registro delle imprese.

I liberi professionisti

In attesa che gli ordini e i collegi professionali rendano disponibili servizi di attestazione degli attributi dei propri iscritti, esiste già una modalità consolidata per verificare l’iscrizione di un libero professionista a un albo.

Come previsto dal Decreto ministeriale 19-03-2013, art. 5 l’aggiornamento in INI-PEC dei dati relativi agli iscritti degli ordini professionali avviene con frequenza giornaliera. Attraverso i servizi di consultazione, a partire dal codice fiscale, è possibile risalire all’ordine di appartenenza e al numero di iscrizione.

L’esposizione di tali servizi su PDND da parte di Unioncamere consentirebbe di riutilizzare informazioni già disponibili, anche in considerazione dell’obbligo previsto dall’art. 6-quinquies del CAD.

I condomìni

Nell’anagrafe tributaria è disponibile l’associazione tra l’amministratore di condominio e i condomini amministrati. Come chiarito dalla risoluzione dell’Agenzia delle entrate 27-02-2020, n. 10/E: tale condizione è verificata se il condominio è registrato in Anagrafe Tributaria con la natura giuridica 51 (Condomìni) e il rappresentante con il codice carica 13 (Amministratore di condominio). Per i condomìni in possesso di partita IVA è necessario che il rappresentante sia registrato con codice carica 1 (Rappresentante legale).

L’agenzia delle Entrate potrebbe quindi esporre su PDND un servizio di attestazione di attributi.

Gli enti del terzo settore

Il Decreto Legislativo 03-7-2017, n. 117 ha istituito il Registro unico nazionale del Terzo settore (RUNTS), nel quale sono riportate le generalità dei soggetti che hanno la rappresentanza legale dell’ente, nonché dei titolari di cariche sociali, con indicazione di poteri e limitazioni.

Nella sezione RUNTS del sito del Ministero del Lavoro e delle Politiche Sociali è possibile scaricare l’elenco degli enti iscritti, aggiornato quotidianamente. Sebbene nel file pubblicato non sia attualmente presente il codice fiscale del legale rappresentante, tale informazione rientra tra i dati raccolti.

In questo contesto, l’esposizione di un servizio di attestazione su PDND risulterebbe tecnicamente agevole.

Le associazioni, fondazioni e altre istituzioni di carattere privato

Il Decreto del Presidente della Repubblica 10/02/2000, n. 361 ha previsto l’istituzione del Registro delle persone giuridiche presso le prefetture. Il registro, concepito in forma cartacea, prevede l’indicazione del nome e del codice fiscale degli amministratori, con menzione di quelli cui è attribuita la rappresentanza legale.

La digitalizzazione e l’accessibilità di tali informazioni rappresenterebbero un presupposto essenziale per l’attivazione di servizi di attestazione della rappresentanza anche per questa categoria di soggetti.

Le pubbliche amministrazioni

Per le pubbliche amministrazioni, l’art. 6-ter del CAD prevede l’obbligo di mantenere aggiornato l’Indice delle pubbliche amministrazioni (IPA). Le Linee guida sull’indice dei domicili digitali specificano le informazioni da associare a ciascuna Unità organizzativa, tra cui il nominativo del responsabile.

L’integrazione del codice fiscale del responsabile consentirebbe di attivare su IPA servizi di attestazione elettronica di attributi qualificati, utilizzabili non solo per l’accesso ai fascicoli, ma anche per finalità ulteriori, come la verifica dei poteri di firma in sede di validazione di una firma elettronica.

Un template di servizio unico

PagoPA S.p.A. ha recentemente introdotto le funzionalità per la definizione di template di e-service, consentendo la standardizzazione delle interfacce delle API esposte su PDND.

In questo contesto, si potrebbe immaginare un template di e-service denominato IsLegalRepresentative, che preveda il passaggio dei seguenti parametri:

• tipo di organizzazione;
• codice identificativo dell’organizzazione;
• codice fiscale del soggetto;
• data di riferimento.

Il servizio restituirebbe un valore booleano consentendo di verificare in modo uniforme chi sia autorizzato ad agire in nome di qualsiasi organizzazione.

Di cosa ci sarebbe bisogno?

L’istituzione, da parte di AgID, di un Gruppo di lavoro per l’aggiornamento delle Linee guida rappresenta un’opportunità:

• introdurre nell’Allegato 5 le modifiche necessarie a rendere automatizzabile l’accesso ai fascicoli;
• fornire indicazioni chiare sulle tipologie di fascicoli da aprire per organizzazioni diverse dalle pubbliche amministrazioni;
• stimolare l’esposizione, tramite PDND, di servizi di attestazione degli attributi oggi già presenti nei registri pubblici.

Un intervento coordinato in questa direzione consentirebbe di pervenire all’attuazione del dettato dell’art.41 del CAD, consentendo l’accesso controllato ai fascicoli e ai documenti in essi contenuti e ponendo le basi per l’interoperabilità dei sistemi di gestione documentale delle pubbliche amministrazioni.

The post Fascicolo informatico CAD: lo SPID non basta e l'accesso non è davvero automatico appeared first on lentepubblica.it.