Firma digitale con Spid: tutti i problemi da non sottovalutare - Agenda Digitale

identità digitale

Firma digitale con Spid: tutti i problemi da non sottovalutare

Il fatto di generare un certificato di firma digitale in base alla semplice autenticazione con Spid, come avviene per i referendum, è una semplificazione potenzialmente pericolosa per tutta una serie di motivi. Vediamo perché

18 Ott 2021
Sergio Sette

consulente informatico e digital trasformation

La firma digitale, grazie all’emendamento Magi che l’ha resa utilizzabile per la raccolta delle firme per i referendum, e unitamente all’”aiutino” fornitole da Spid, che l’ha resa immediatamente disponibile a milioni di persone, è ora come non mai alla portata di tutti. Un effetto secondario probabilmente non voluto, una combinazione di fattori particolari, in parte casuali, che ha avuto il pregio di riuscire là dove nessuna campagna di promozione all’utilizzo del digitale era mai riuscita; un’occasione irripetibile che non deve essere persa.

Ci sono però molti aspetti della vicenda poco chiari e poco conosciuti, “tecnici” e perciò non riportati dall’informazione mainstream, che vanno comunque evidenziati, anche perché oltre all’innegabile successo, vi sono dettagli che destano più che qualche perplessità, come ad esempio il riferimento all’articolo 65 del Codice dell’Amministrazione Digitale.

Referendum con Spid e firma digitale, Brescia (M5s): “I cittadini sono pronti, ora serve uno Stato innovatore”

Ma procediamo per gradi.

L’emendamento Magi

Nella Legge finanziaria 2020, il comma 341, disponeva che, al fine di ridurre gli ostacoli che impediscono la piena inclusione sociale alle persone con disabilità, fosse istituito un fondo (stanziamento di 100.000 euro, comma 342) per la realizzazione di un’apposita piattaforma di raccolta delle firme digitali da utilizzare per gli adempimenti di cui all’articolo 8 della L. 352/1970.

WHITEPAPER
Autenticazione e certificazione digitale: scopri l'evoluzione dei processi
Dematerializzazione
Fatturazione elettronica

Lo scopo era quello di consentire alle persone con disabilità, di poter contribuire alla raccolta di firme per i referendum, normata appunto dal succitato articolo 8, in una modalità alternativa tramite la neo-istituenda piattaforma.

L’emendamento Magi modifica il comma 341 ampliandolo sotto diversi aspetti, primo fra tutti, estendendone l’utilizzabilità a tutti i cittadini, e ampliandone l’ambito di utilizzo ai referendum previsti dalla Costituzione agli articoli 75, 132 e 138 e ai progetti di legge previsti, sempre dalla Costituzione al comma 2 dell’articolo 71.

Ma il buon Magi, che evidentemente non si fida dei tempi di realizzazione della piattaforma, le cui specifiche saranno determinate in un apposito Decreto (ne sappiamo qualcosa noi che ci occupiamo di CAD) fa di più: prevede che, nelle more della realizzazione della piattaforma, si utilizzino delle modalità provvisorie che la rendano comunque possibile.

L’emendamento, infatti, modifica anche il successivo comma 344 specificando che a partire dal primo luglio 2021 e fino all’attivazione della piattaforma, le firme possano essere raccolte anche attraverso un documento informatico sottoscritto con firma qualificata a cui è associato un riferimento temporale opponibile a terzi. Inoltre, Magi, che evidentemente conosce molto bene le problematiche del digitale in Italia e la ritrosia di certi ambienti, “spreme” il CAD al massimo prevedendo che il deposito dei documenti possa avvenire anche in formato analogico, con una copia analogica dotata dell’apposito contrassegno di cui al comma 2-bis dell’articolo 23 del CAD. Insomma, non lascia nulla al caso. Davvero un bel lavoro che ha dato i suoi frutti.

Quello che stiamo vivendo in questi giorni, quindi, non è altro che l’effetto di queste disposizioni transitorie che termineranno nel momento in cui la piattaforma sarà attiva.

Un fatto, questo, poco pubblicizzato, e che ai più non è noto.

Non è però finita qui: probabilmente consapevole della scarsa diffusione (e la non gratuità) della firma digitale, nell’emendamento si “stira” ancora un po’ di più il Codice e si introduce una condizione che, potenzialmente, la rende non più necessaria.

Il riferimento all’articolo 65, quello che regola la presentazione delle istanze alla Pubblica Amministrazione, è allo stesso tempo una mossa geniale quanto problematica. Ma ci torneremo.

La fase transitoria e la “firma Spid”

Come detto, stiamo vivendo solo la fase transitoria. Per molti aspetti, però, provvidenziale.

I promotori si trovano di fronte al problema di utilizzare uno strumento per nulla diffuso, il che rischia di vanificare l’efficacia dell’emendamento.

La soluzione che trovano è tanto ovvia quanto di successo: perché non sfruttare la leva di Spid, che, contrariamente alla firma digitale, è un sistema assai diffuso, con circa il 40% della popolazione che lo possiede?

Agli addetti ai lavori, vedere pubblicizzata la possibilità di “firmare” con Spid ha generato un po’ di confusione (figuriamoci al cittadino…). Si pensava infatti che si utilizzasse quell’”oggetto misterioso” (e fino ad oggi fondamentalmente inutile) della firma “innominata”, indicata come “ex articolo 20” e volgarmente detta, appunto, firma Spid (per chi fosse interessa qui, qui il link alle Linee Guida che la regolano). Torneremo su questo più avanti, quando parleremo dell’articolo 65.

In realtà, questa modalità di firma, bizzarria normativa esistente solo in Italia, non è utilizzabile in questo contesto, in quanto non firma digitale, come prevede la norma per questo caso specifico.

Quello che i promotori hanno utilizzato, evidentemente ben consigliati dalle aziende che rilasciano i certificati di firma digitale, che per altro da questa operazione hanno ricavato un inaspettato profitto, è la possibilità (stabilita in base a cosa?) di rilasciare una firma digitale senza che sia necessaria un riconoscimento de visu, ma semplicemente tramite identificazione attraverso un’identità digitale, nel nostro caso, Spid.

Quindi, altro fatto poco noto, quello che si realizza, è una vera firma digitale. Per la precisione una firma digitale remota realizzata con un certificato “monouso” (detto anche one-shot).

In pratica, quando vi autenticate con Spid, in background viene creato un certificato di firma digitale a vostro nome, con una scadenza di pochi secondi (perciò monouso) e con questo viene firmato digitalmente il documento. Oltre alla firma al documento è anche apposto un riferimento temporale opponibile a terzi, in ossequio a quanto specificato al comma 344 (e al fatto che altrimenti, il certificato monouso, scade senza che il documento firmato abbia un riferimento temporale valido).

Un piccolo ultimo inciso: questa modalità, di legare Spid ad un certificato (monouso o meno) è stata proposta come “ovvia” implementazione della firma Spid, sopra citata. Oltre che tecnicamente ovvia, avrebbe replicato quello di cui già l’altra identità digitale italiana, CIE (e prima di lei la CNS) ha: un certificato di firma elettronica avanzata valido a tutti gli effetti, almeno nei rapporti fra cittadino e PA, anche accettando gli obsoleti limiti imposti dall’articolo 60 delle Regole Tecniche sulle firme.

La cosa non fu mai presa in considerazione.

Che cosa abbiamo imparato da questa esperienza

Lo strepitoso successo dell’iniziativa ci dovrebbe insegnare una cosa assai importante: una volta create le condizioni giuste, anche uno strumento da sempre considerato “ostico” come la firma digitale è perfettamente accettato.

L’esperienza ci insegna anche quali sono i fattori che lo hanno reso tale. In primo luogo, l’estrema semplicità, data sì dalla buona implementazione della soluzione proposta, ma soprattutto dal fatto che le persone erano libere da tutte quelle “astrusità” che rendono la firma digitale poco attraente: nessun dispositivo, nessun driver da installare, nessun problema di scadenza certificati, marche temporali, metadati, conservazione a norma, ecc. che rendono lo strumento un vero incubo. Il tutto si riduce ad una cosa semplice e trasparente, che non richiede competenze e comprensione di meccanismi oltremodo complessi. Insomma, come fare una firma con la penna!

Esattamente come dovrebbe essere.

In secondo luogo, la gratuità. Almeno per quanto riguarda l’utilizzatore finale; molto meno per i promotori, ai quali, a quanto risulta, ogni firma è costata ben un euro.

È fuori da ogni dubbio che se firmare fosse costato, anche un solo euro, le firme non sarebbero state altrettante. Così, utilizzando uno strumento gratuito (Spid) e trovando una parte che si è accollata il costo, la firma digitale si è trasformata in un successo.

C’è di cui riflettere, e magari ripensare certe scelte, virando verso soluzioni come quella austriaca, per esempio (e non a caso da sempre ai vertici nel DESI), dove tutto il “kit” di base per il digitale è fornito, alla nascita, ad ogni cittadino.

Questa esperienza di grande successo rappresenta un’opportunità da non lasciarsi scappare. Come? Riproponendola in altri contesti, cercando di riprodurre le stesse condizioni sopra descritte. Il nodo della gratuità sembra ad oggi essere il principale ostacolo in quanto non tutti possono accollarsi i costi, come fatto dai promotori. L’unica via percorribile (scartata, per ovvi motivi, a priori quella “austriaca”) sarebbe quella di sfruttare la naturale logica del mercato, che a fronte di un uso, un consumo, in costante crescita, adegua i prezzi. Ad oggi i segnali sono contrari. Staremo a vedere se questa esperienza sarà in grado di indurre i prestatori di servizi a modificare le loro politiche sui prezzi.

L’articolo 65

Eccoci arrivati all’ultimo punto. Come già sopra evidenziato, nel modificare il comma 341, l’emendamento Magi ha inserito la possibilità che le “firme” (e il virgolettato non è a caso) possano essere raccolte anche con “le modalità previste dal comma 1, lettera b) dell’articolo 65” del CAD.

L’articolo 65, ricordiamolo, regola le modalità di presentazione di istanze e dichiarazioni ad una PA. Nello specifico, il comma citato stabilisce che queste sono valide “quando l’istante o il dichiarante è identificato tramite il sistema pubblico di identità digitale (Spid), la carta di identità elettronica o la carta nazionale dei servizi”.

Autenticazione e sottoscrizione

Nel contesto della presentazione delle istanze (e i giuristi ci diranno se lo specifico caso dei referendum è riconducibile a questo contesto), almeno dal punto di vista pratico, si equipara l’autenticazione con la sottoscrizione. Oggi, infatti, chiunque presenti un’istanza attraverso un servizio autenticato di una PA, non deve possedere nessun tipo di firma elettronica e tanto meno apporvi una firma. Si compila un modulo online, si preme “invio” e questo è trasmesso alla PA, che lo deve accettare.

Ma quel modulo, contrariamente al documento che si ottiene con le modalità adottate per i referendum, non è firmato digitalmente, e nemmeno, nel 99% dei casi, un altro tipo di firma, come ad esempio, quella firma Spid che avevamo descritto poco fa.

Et voilà, come per magia il problema della firma digitale sparisce. Diavolo di un Magi!

Come avevo accennato citare l’art. 65 rappresenta un colpo di genio ma è anche foriero di problemi.

Perché se il confondere due concetti estremamente diversi, seppur in qualche modo correlati, come autenticazione e sottoscrizione, è una pessima idea in generale, ma accettabile nel particolare contesto della presentazione delle istanze, dove rappresenta(va) una notevole semplificazione, farlo in un ambito, come quello della raccolta delle firme per un referendum, pare proprio una mossa azzardata.

I rischi

Il perché è subito detto: come già sopra notato, il documento trasmesso attraverso un servizio autenticato è un documento che non ha sottoscrizione, ma, ahimè, non ha nemmeno un vero legame con la sessione autenticata attraverso cui è stato trasmesso.

Come dimostrare quindi, magari in un contenzioso, che quel documento è arrivato attraverso quella specifica sessione autenticata riconducibile ad un certo soggetto?

Semplicemente non si può!

Nemmeno facendo come certi sistemi che assieme al documento, allegano anche l’asserzione SAML (cioè la rappresentazione della sessione); quello ottenuto in questo modo è al più una firma elettronica semplice, che non è probante ma semplicemente liberamente valutabile in giudizio.

Come dicevo, nel contesto di presentazione di istanze, almeno di un certo tipo (non a caso i SUAP e SUE richiedono firme digitali sui documenti contestabili) la cosa è accettabile, ma non nel contesto della raccolta delle firme.

Il legame fra documento e soggetto che lo ha presentato è di fatto generato dal sistema ricevente che, a questo punto, dovrebbe essere fidefacente. Il sistema in fase di realizzazione sarà basato su questo, lo prevedrà il Decreto che lo dovrà normare?

Oppure, per rendere “forte” questo legame, si potrebbe utilizzare proprio la firma Spid, che in fondo, nasce proprio per dare valore giuridico a questo tipo situazioni?

Staremo a vedere, non ci resta che attendere.

Conclusioni

Concludo con due ultime considerazioni. La prima è che a ben pensarci tutta questa complessità, compresa la spericolata equiparazione fra autenticazione e firma operata dall’articolo 65, dipende dalla scelta di rendere la firma digitale, diversamente da Spid, non gratuita e quindi meno accessibile. Come minimo c’è da rifletterci.

La seconda è che anche il fatto di generare un certificato di firma digitale in base alla semplice autenticazione con Spid è una semplificazione simile e potenzialmente pericolosa. Siamo proprio sicuri che desideriamo che qualcuno in grado di sottrarre l’identità digitale di un soggetto, abbia potenzialmente in mano anche la sua firma digitale? E in base a cosa lo facciamo poi? Non ad una norma, ma ad un semplice regolamento attuativo. Anche in questo caso una minima riflessione sarebbe auspicabile.

INFOGRAFICA
Basta carta, perdite di tempo, sprechi di risorse: ecco il nuovo ufficio paperless!
Big Data
Cloud
@RIPRODUZIONE RISERVATA

Articolo 1 di 4