Identità digitale: CIE, firme e nuove responsabilità

Negli ultimi anni il tema dell’identità digitale è passato da argomento tecnico-specialistico a presupposto essenziale per l’accesso ai servizi pubblici e, sempre più spesso, anche a quelli privati. 

In Italia questo percorso si è concretizzato principalmente attraverso SPID e Carta d’Identità Elettronica (CIE), strumenti che oggi rappresentano la chiave di accesso a un numero crescente di servizi, inclusi quelli di natura fiscale, previdenziale e amministrativa.

Per il commercialista, l’identità digitale non è più un tema marginale o delegabile all’area IT: essa incide direttamente sulla gestione delle deleghe, sulla sottoscrizione degli atti, sulla riconducibilità delle operazioni e, in ultima analisi, sulla responsabilità professionale. 

Comprendere il quadro normativo di riferimento, a partire dal regolamento eIDAS, e tradurlo in comportamenti operativi corretti diventa quindi una competenza professionale imprescindibile.

1) Quadro normativo europeo e italiano: il regolamento eIDAS

Il fondamento normativo dell’identità digitale in Europa è il Regolamento (UE) n. 910/2014, noto come eIDAS (electronic IDentification, Authentication and trust Services). 

Trattandosi di regolamento, eIDAS è direttamente applicabile negli Stati membri e mira a creare un quadro giuridico uniforme per:

• l’identificazione elettronica;
• i servizi fiduciari (firme elettroniche, sigilli, marche temporali, servizi di recapito certificato).

Il regolamento introduce un principio chiave: non tutte le identità elettroniche e non tutte le firme hanno lo stesso valore giuridico, ma esistono livelli diversi, ciascuno con conseguenze giuridiche e operative differenti.

I livelli di identificazione elettronica, eIDAS individua tre livelli di garanzia per i sistemi di identificazione elettronica:

• basso
• sostanziale
• alto

La Carta d’Identità Elettronica italiana opera a livello alto, il massimo previsto dal regolamento, garantendo un’elevata affidabilità nella verifica dell’identità del soggetto. 

Questo elemento è centrale per comprendere perché la CIE venga sempre più utilizzata per servizi che producono effetti giuridici rilevanti.

In ambito nazionale, il regolamento eIDAS trova attuazione principalmente attraverso:

• il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005);
• le Linee guida AgID in materia di identità digitale e firme elettroniche;
• i provvedimenti attuativi relativi a SPID e CIE.

AgID svolge un ruolo di coordinamento e chiarimento operativo, traducendo i principi europei in regole tecniche e prassi applicative. 

È in questo contesto che si inserisce l’equiparazione funzionale tra SPID e CIE per l’accesso ai servizi, pur con differenze sostanziali sotto il profilo della robustezza dell’identificazione.

2) Le firme elettroniche secondo eIDAS: livelli, CIE ed esempi operativi

Il regolamento eIDAS distingue tra diverse tipologie di firma elettronica, ciascuna con un diverso valore probatorio. 

Per il professionista è fondamentale comprendere quando un livello è sufficiente e quando non lo è.

Tabella riepilogativa dei livelli di firma

3) Implicazioni operative per cittadini e imprese

L’identità digitale è ormai il canale ordinario per l’accesso a:

• Agenzia delle Entrate;
• INPS;
• portali regionali e comunali;
• portali enti istituzionali.

Il cittadino, grazie alla CIE, può operare direttamente, assumendosi la responsabilità delle azioni compiute. 

Questo comporta una maggiore consapevolezza, ma anche nuovi rischi in caso di uso improprio o non compreso.

Dal punto di vista operativo, il rapporto tra cittadino, professionista e Pubblica Amministrazione sta cambiando in modo profondo.

Le deleghe non sono più semplici autorizzazioni informali, ma strumenti digitali tracciabili, registrati nei sistemi e verificabili in ogni momento. Questo rende più chiaro chi è legittimato a operare, ma richiede maggiore attenzione nella loro gestione.

È fondamentale distinguere tra l’accesso diretto del cittadino ai servizi, effettuato tramite la propria identità digitale, e l’accesso mediato dal professionista, che può avvenire solo sulla base di una delega formalmente riconosciuta.

I due casi producono effetti diversi e comportano responsabilità differenti.

In questo contesto, la corretta gestione delle identità digitali diventa parte integrante della compliance: non basta più sapere “cosa” viene fatto, ma anche “chi” lo fa e “con quale titolo”.
Il ruolo del professionista, quindi, non viene meno, ma si trasforma: da semplice esecutore di adempimenti a garante della correttezza operativa e dell’uso consapevole degli strumenti digitali.

4) Il ruolo strategico del commercialista: educatore e garante

In questo scenario, il ruolo del commercialista evolve e si amplia, andando ben oltre la mera esecuzione degli adempimenti. 

L’identità digitale non è uno strumento neutro: il suo utilizzo corretto richiede consapevolezza giuridica, comprensione operativa e capacità di orientare il contribuente in un contesto normativo sempre più complesso.

Lo studio professionale diventa, innanzitutto, un punto di riferimento per chiarire cosa sia realmente l’identità digitale e quali effetti produca il suo utilizzo. Spiegare al cliente la differenza tra semplice accesso ai servizi, sottoscrizione di un atto e conferimento di una delega significa prevenire incomprensioni e comportamenti impropri. 

In questo senso, il commercialista svolge una funzione di educazione digitale, guidando il contribuente nell’uso corretto della CIE e dei diversi strumenti di firma elettronica, traducendo norme complesse in comportamenti operativi chiari e coerenti.

Accanto a questo ruolo di orientamento, il commercialista assume anche una funzione di garanzia della correttezza operativa. 

Una gestione consapevole dell’identità digitale, delle deleghe e delle modalità di accesso ai servizi consente di ridurre il rischio di contestazioni, di tutelare il professionista in caso di controlli e di rafforzare il rapporto fiduciario con il cliente.

Al contrario, sottovalutare questi aspetti espone a rischi che non sono solo di natura tecnica, ma anche giuridica e reputazionale, in un contesto in cui la tracciabilità delle operazioni rende sempre più evidente chi ha fatto cosa, quando e con quale legittimazione.

Mappare l’utilizzo dell’identità digitale. 

Lo studio deve avere piena consapevolezza di:

• quali servizi vengono gestiti tramite identità digitale del cliente;
• quando opera il contribuente in autonomia e quando tramite intermediario;
• quali atti richiedono semplice accesso e quali una vera sottoscrizione.

Obiettivo: evitare sovrapposizioni e accessi impropri.

Distinguere chiaramente accesso e firma. È essenziale separare concettualmente e operativamente:

• accesso ai servizi (SPID/CIE);
• firma elettronica degli atti (semplice, avanzata, qualificata).

Lo studio deve sapere e informare su:

• quale livello di firma è giuridicamente sufficiente per ciascun adempimento;
• quando è opportuno indirizzare il cliente verso strumenti più robusti (CIE o firma qualificata).

Gestire correttamente deleghe e responsabilità. Lo studio deve:

• formalizzare i flussi di delega;
• documentare l’origine degli accessi;
• conservare evidenza delle operazioni effettuate.

5) Identità digitale come nuova competenza professionale

L’identità digitale rappresenta oggi una competenza trasversale, al pari della conoscenza dei principali strumenti fiscali. Essa è:

• strumento di semplificazione;
• fattore di velocizzazione dei processi;
• base per l’accesso informativo e la dematerializzazione.

Il progresso tecnologico non elimina il ruolo del commercialista, ma lo trasforma. 

Chi saprà integrare l’identità digitale nella propria pratica professionale potrà offrire un servizio più evoluto, sicuro e coerente con l’evoluzione normativa.

In conclusione, la CIE e i sistemi di firma elettronica non sono solo strumenti tecnologici: sono nuove infrastrutture giuridiche su cui si fonda il rapporto tra cittadino, impresa e Pubblica Amministrazione. Governarle significa presidiare il futuro della professione.

Normativa europea

• Regolamento (UE) n. 910/2014 – eIDAS
  • Art. 3: definizioni di identificazione elettronica e firme elettroniche.
  • Art. 6–12: sistemi di identificazione elettronica e livelli di garanzia (basso, sostanziale, alto).
  • Art. 25: effetti giuridici delle firme elettroniche.
  • Art. 26: requisiti della firma elettronica avanzata.
  • Art. 28–35: firme elettroniche qualificate e prestatori di servizi fiduciari qualificati.

Normativa italiana

• D.Lgs. 7 marzo 2005, n. 82 – Codice dell’Amministrazione Digitale (CAD)
  • Art. 20: validità e rilevanza giuridica del documento informatico.
  • Art. 21: firme elettroniche e valore probatorio.
  • Art. 64: identità digitale e accesso ai servizi online della PA.
  • Art. 65: istanze e dichiarazioni presentate per via telematica.

Linee guida e atti AgID

• Linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici.
• Linee guida AgID sull’identità digitale.
• Linee guida AgID sulle firme elettroniche.
• Regole tecniche in materia di SPID e Carta d’Identità Elettronica (CIE).

Carta d’Identità Elettronica (CIE)

• D.M. 23 dicembre 2015 – Modalità tecniche di emissione della CIE.
• CIE come strumento di identificazione elettronica a livello di garanzia “alto” ai sensi del regolamento eIDAS.
• Integrazione della CIE nei servizi di accesso e sottoscrizione digitale della PA.