Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

le linee guida Agid

La firma elettronica con SPID: tutto quello che c’è da sapere

In consultazione pubblica le Linee guida di AgID contenenti le Regole Tecniche circa la sottoscrizione elettronica di documenti tramite SPID. Tutto quello che c’è da sapere su questo nuovo tipo di firma elettronica consente di sottoscrivere un documento online in modalità totalmente dematerializzata

21 Nov 2019

Sono arrivate alla fase della consultazione pubblica le Linee guida di AgID contenenti le Regole Tecniche circa la sottoscrizione elettronica di documenti tramite SPID ex art. 20 del CAD che descrivono, su mandato del legislatore, un nuovo tipo di firma elettronica —denominata colloquialmente “firma con SPID”— che soddisfa il requisito della forma scritta e l’efficacia fino a querela del falso (ex art. 2702 del Codice Civile), essendo formata previa identificazione elettronica del firmatario. L’identificazione elettronica garantisce dunque la sicurezza (intesa come integrità e immodificabilità del documento sottoscritto) ma anche, “in maniera manifesta e inequivoca”, la riconducibilità della firma stessa all’autore.

Questo nuovo tipo di firma elettronica consente ai cittadini di sottoscrivere un documento proposto online da un fornitore di servizi SPID (‘SP’) —ad esempio un contratto— in modalità totalmente dematerializzata, semplicemente autenticandosi presso il proprio gestore di identità SPID (‘IdP’). In questo contesto specifico, non c’è dunque bisogno di dotarsi di smartcard, né altri dispositivi di creazione di firme elettroniche qualificate (chiamati ‘QSCD’).

Come funziona

Procediamo prima di tutto con una descrizione rapida e semplificata della “firma con SPID”.

  • Nel tipico scenario d’uso un SP propone all’utente, che si è già autenticato presso il SP mediante la propria identità digitale SPID, di sottoscrivere un documento (ad esempio, un contratto con il SP stesso).
  • Se l’utente accetta, il SP predispone un modello di documento, apponendovi un “invisibile” strumento fiduciario chiamato sigillo elettronico qualificato (“QSeal”) —sul quale torneremo a breve— e lo invia all’IdP prescelto dall’utente. Per il momento, il PDF/A-2 su cui sono apposti sigilli elettronici PAdES è l’unico formato di file previsto per la firma con SPID.
  • L’IdP autentica nuovamente l’utente (tramite credenziali di livello minimo 2), consentendo all’utente di visionare l’intero documento presso la propria piattaforma online.
  • L’IdP richiede all’utente di acconsentire esplicitamente alla sottoscrizione dello stesso (eventualmente in più punti, come si approfondirà in seguito).
  • Terminata l’acquisizione del consenso (ovvero dei consensi, nel caso di firme multiple), l’IdP sigilla ulteriormente il documento apponendovi il proprio, invisibile QSeal sul quale, nella corrispondente posizione, appare un testo a mo’ di timbro digitale, recante le informazioni contrattualmente cogenti per quella particolare firma — anche su questo torneremo a breve.
  • L’IdP consente all’utente di visualizzare e scaricare il file PDF così ri-sigillato, che costituisce il documento firmato con SPID. L’IdP potrebbe altresì offrire all’utente altri servizi di notifica o conservazione del documento.
  • L’IdP reinvia al SP il ‘documento firmato con SPID’.
  • A meno che l’utente non abbia sottoscritto accordi secondari con l’IdP in merito a quanto detto al punto 6, l’IdP cancella dai propri sistemi ogni traccia del documento (che è stato già consegnato alle parti contrattualmente interessate: l’utente e il SP).

Nei prossimi paragrafi si analizzeranno vari aspetti della “firma con SPID”, dando ulteriori dettagli ad alcuni dei sopraelencati passaggi.

Protezione dei dati personali

In conformità con quanto previsto dal D.Lgs. 110/2018 e dal Regolamento (UE) 679/2016, meglio noto come “GDPR”, l’utente che firma un documento con SPID è chiamato a esprimere il proprio consenso due volte: una prima volta, presso la piattaforma del SP, quando acconsente che il SP conosca almeno il suo codice fiscale e invii il documento predisposto all’IdP per permettergli tecnicamente di sottoscriverlo; una seconda volta, quando acconsente che l’IdP tratti il documento, sigillandolo con il proprio QSeal, eliminandolo completamente dai propri sistemi al termine della procedura.

Le Linee guida prescrivono, come unica deroga alla rimozione immediata del documento presso l’IdP, che l’utente possa aver sottoscritto un separato accordo di trattamento del dato con il proprio IdP, per effetto del quale il documento firmato con SPID potrebbe essere inviato tramite email all’utente, oppure conservato più a lungo termine dall’IdP sfruttando altre tipologie di servizi (p.es. cloud storage), estranee al trattamento che del documento fa il SP.

Per salvaguardare ulteriormente la sicurezza (questa volta dal punto di vista della confidenzialità), il trasferimento bidirezionale dei documenti tra SP e IdP sarà realizzato mediante canali di comunicazione“out-of-band,” ove i file non transitano attraverso il terminale dell’utente, bensì direttamente tra SP e IdP, adeguatamente protetti. L’AgID potrà in futuro aggiornare sia le misure minime di sicurezza delle infrastrutture a ciò preposte di IdP e SP, che gli algoritmi crittografici utilizzati per l’intero processo della firma SPID pubblicandole, tramite Avvisi, sul suo sito istituzionale. Ciò consentirà di adeguare più rapidamente la tecnologia e la sicurezza, soprattutto in caso di incidenti.

Il trasferimento dei file al di fuori della piattaforma dell’utente, infine, ha l’ulteriore vantaggio di non gravare sulle prestazioni né affidarsi alla connettività dell’utente alla rete internet pubblica (soprattutto nel caso in cui la firma con SPID sia operata interamente da connessioni mobili a banda limitata).

I sigilli elettronici qualificati

I sigilli elettronici qualificati sono un servizio fiduciario atto a garantire l’autenticità e l’integrità di un documento ascrivibile ad una persona giuridica, così come previsto dal Regolamento (UE) 910/2014, altrimenti noto come “Regolamento eIDAS” che, in quanto norma di rango primario, ne sancisce il valore giuridico a livello comunitario. Tecnicamente, i sigilli elettronici si realizzano in maniera identica alle firme elettroniche, con la sola differenza che i primi sono “apposti” o “creati” da persone giuridiche (p.es. imprese e pubbliche amministrazioni), mentre le seconde da persone fisiche e, per questo motivo, sono adatte ad esprimere la volontà di un soggetto di sottoscrivere un contratto. La firma elettronica qualificata (“FEQ”) ha l’ulteriore valore giuridico che si esplica, tecnicamente, nella capacità di “non ripudio” del firmatario. La qualificazione di firme e sigilli elettronici risiede, infine, nell’affidarsi a soggetti terzi (i cosiddetti prestatori di servizi fiduciari qualificati, ovvero “QTSP”) che garantiscono —tra le altre cose e oltretutto a livello transfrontaliero— l’identità di coloro abilitati a disporre di simili servizi fiduciari (rispettivamente: firmatari e creatori di sigilli elettronici).

Il Regolamento eIDAS ascrive alla FEQ il massimo valore giuridico per la sottoscrizione di documenti (inclusa l’inversione dell’onere della prova); il CAD prescrive che AgID individui un ulteriore e diverso metodo di sottoscrizione basato sull’identificazione del firmatario; da cui la firma con SPID.

La validità dei QSeal dipende, infine, dai certificati elettronici emessi dai QTSP, che sono verificabili indipendentemente tramite gli stessi meccanismi di digital trust disponibili per le FEQ: sospensione/revoca dei certificati; infrastrutture a chiave pubblica basate su “elenchi di fiducia” nazionali ed europei.

Il SP e l’IdP coinvolti nel processo di firma con SPID appongono dunque i propri QSeal in due passi separati e indipendenti del processo (il 2 e il 5), sia per “cristallizzare” il documento e impedire alla controparte di alterarlo successivamente (integrità), sia per manifestare alla controparte la provenienza di quanto sino a quel momento è espresso nel documento/contratto (autenticità): il QSeal apposto dal SP garantisce all’IdP che il documento predisposto (inviatogli al passo 3) proviene proprio da quel SP e non è stato ulteriormente modificato; il QSeal apposto dall’IdP garantisce al SP che l’utente, correttamente identificato presso il proprio IdP, gli ha manifestato la volontà di firmare il documento attraverso un’autenticazione riconosciuta, anche a livello europeo, almeno con un “livello di sicurezza sostanziale” (per l’uso delle credenziali SPID di livello 2), quando non addirittura “elevato” (SPID livello 3). Va ricordato, infatti, che SPID (sempre secondo quanto previsto dal Regolamento eIDAS) è il primo schema di identificazione elettronica notificato dall’Italia alla Commissione Europea, a seguito di un lungo processo di peer-review da parte degli altri Stati Membri e, in quanto tale, le autenticazioni effettuate tramite SPID sono riconosciute a livello transfrontaliero quantomeno dalle altre pubbliche amministrazioni europee che accettano l’autenticazione tramite i propri schemi notificati nazionali.

Chi può firmare e quante volte

Un singolo individuo può apporre più di una firma al medesimo documento: il SP, predisponendo il file, indicherà all’IdP la posizione di tutte le firme richieste e la loro eventuale obbligatorietà. L’utente sarà dunque chiamato a rivedere e confermare ciascuna firma presso la piattaforma dell’IdP (ripetendo il passo 4 per ciascuna firma). Tuttavia, mentre la mancanza di una o più firme indicate dal SP all’IdP come ‘facoltative’ non preclude la conclusione del processo —il documento risulterà comunque sottoscritto, anche se non in tutte le sue parti— la mancanza anche di una sola firma indicata dal SP come ‘obbligatoria’ vi porrà immediatamente fine in quanto il contratto non sarà perfezionabile dal SP. Per ogni firma con SPID cui l’utente acconsente l’IdP vi apporrà sopra il proprio QSeal, che sarà apparirà, per ogni firma sul file PDF, in corrispondenza della stessa. I documenti firmati con SPID devono comunque conformarsi con ogni altra normativa in merito al diritto contrattuale e alle Linee guida sul documento informatico (quest’ultime recentemente messe in consultazione dall’AgID).

È prevedibile poter apporre firme di più soggetti diversi, anche se per il momento il SP dovrà ripetere tutti i sopraelencati passaggi per ogni distinto firmatario.

Le regole tecniche contenute nelle Linee guida AgID impongono l’uso di identità SPID di persona fisica per la firma con SPID, escludendo dunque lo “SPID persona giuridica”: un contratto è valido solo se esprime un manifesto consenso da parte di specifici individui, non impersonali organizzazioni. È invece specificatamente permesso l’uso delle identità digitali ad uso professionale —anch’esse di recente introduzione e descritte dalle omonime Linee guida AgID— per sottoscrivere contratti per conto di soggetti giuridici (p.es. società o pubbliche amministrazioni). In tal caso, tra le informazioni mostrate visivamente in corrispondenza di ciascun QSeal dell’IdP, compariranno —oltre al nome e cognome del firmatario— il nome dell’ente (pubblico o privato) per conto del quale opera il soggetto grazie al possesso di apposite credenziali SPID (la cosiddetta ‘identità digitale per uso professionale della persona giuridica’, cit.), così come la partita Iva o codice fiscale dello stesso. Invece, nel caso si firmi con un’identità digitale da libero professionista (la cosiddetta ‘identità digitale per uso professionale della persona fisica’, cit.), ovvero con una più semplice identità digitale da privato cittadino, sulla parte visuale dei QSeal apparirà, oltre al nome e cognome, il solo codice fiscale del firmatario.

Risultato della sottoscrizione tramite SPID

La sottoscrizione tramite SPID consiste dunque in un documento ove sono apposti i QSeal sia di un SP che di un IdP, con i QSeal dell’IdP contenenti dati identificativi del firmatario. La fiducia tra le parti sottoscriventi consiste dunque di tre parti:

  • l’IdP si fida dell’autenticità del documento inviatogli dal SP per la sottoscrizione;
  • il SP si fida della capacità dell’IdP di identificare l’utente firmatario e raccoglierne il/i consenso/i alla sottoscrizione;
  • sia l’IdP che il SP si fidano della mutua capacità di stabilire fra di loro un canale di comunicazione diretto, temporaneo e sicuro, allo scopo di scambiarsi confidenzialmente i documenti oggetto della sottoscrizione;
  • l’utente si fida dell’autenticità del documento su cui sono apposti indipendentemente i QSeal di entrambe gli enti federati (SP e IdP).
  • una qualunque terza parte si fida del documento firmato con SPID (per effetto dell’art. 20 comma 1-bis del CAD).

In caso di controversie, sono sempre disponibili le asserzioni SPID (in linguaggio SAML), archiviate sia presso il SP che presso l’IdP e contenenti tutti i messaggi automatici scambiati fra i due enti, allo scopo di ricostruire il processo di firma con SPID tramite identificazione elettronica del firmatario.

Validità transfrontaliera

Ecco infine la nota dolente: nonostante sia basata su sigillo elettronico qualificato, la firma con SPID è inquadrata dall’art. 20 del CAD come un sistema di sottoscrizione elettronica distinto e in aggiunta sia alla firma elettronica avanzata che a quella qualificata, che sono invece normate dal succitato Regolamento eIDAS. Non ci si può perciò aspettare alcun obbligo di riconoscimento dei documenti firmati con SPID al di fuori del perimetro nazionale. Tali documenti saranno invece valutabili di volta in volta in base alla giurisdizione degli altri Stati Membri — pur non potendo essere negata loro la validità solo per effetto di esser sottoscritti mediante una firma elettronica diversa dalla suddetta FEQ.

Adottabilità e modello di business

L’AgID non ha individuato alcun modello di diffusione della firma SPID, né alcun obbligo di adozione o gratuità in capo a SP e IdP, salvo il rispetto del principio di neutralità di mercato: ciascun SP è libero di decidere se offrire tale servizio o meno; tuttavia, se lo offre, non potrà discriminare, tra gli IdP che a loro volta decidano di offrire il servizio, da quali di essi accettare l’autenticazione dei firmatari. Un obbligo “duale” vale per gli IdP. Il registro SPID, mantenuto online da AgID, è una fonte autoritativa ove gli IdP e gli SP possono indicare se offrono la firma SPID tra i loro servizi, pubblicando alcuni metadata tecnici che servono a garantire l’interoperabilità fra di i vari enti federati. Tali informazioni sono a loro volta sigillate elettronicamente da AgID per garantirne l’affidabilità.

Ci auguriamo che gli IdP che raggiungano un accordo circa il modello di business da presentare agli SP, che probabilmente ribalteranno almeno parte dei costi all’utente finale, per il quale tale servizio sarà offerto come un’alternativa vantaggiosa –almeno per un delimitato tipo di sottoscrizioni– e più immediata rispetto al dotarsi di una FEQ. Si prevede che la firma con SPID sarà utilizzata prevalentemente per sottoscrivere forniture di servizi digitali, soprattutto in quanto la sua natura totalmente dematerializzata e la possibilità di verifiche automatizzate rende tali documenti interoperabili con alcune tipologie di smart contract, ove le clausole degli stessi possono venire associate agli identificativi unici (‘UID’) delle singole firme, utilizzate nel back-end del processo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4