Quel pasticciaccio brutto della firma con Spid: tutti i problemi del progetto | Agenda Digitale

digitalizzazione delle PA

Quel pasticciaccio brutto della firma con Spid: tutti i problemi del progetto

Risulta davvero difficile trovare una giustificazione razionale a una cosa come la firma SPID, almeno nella attuale materializzazione che si ricava dalle Linee Guida. Così come non si capisce bene il motivo di spingere su questa soluzione, dandole priorità massima. Ecco tutti i dubbi sulla reale portata dell’innovazione

22 Mag 2020
Sergio Sette

consulente informatico e digital trasformation


Passato l’hype mediatico seguito alla pubblicazione delle linee guida sulla firma SPID, è giunto il momento di fare, a bocce ferme, alcune considerazioni sulla reale portata di questa innovazione.

Avrà successo? Servirà, come promette, ad agevolare e accelerare il processo di digitalizzazione delle PA? Aiuterà i cittadini a comunicare con la PA? Era davvero necessaria? Aveva davvero una priorità così alta?

Per rispondere a tutte queste domande è necessario fare qualche passo indietro per capire cosa è davvero la firma SPID, perché è nata, quali problemi avrebbe dovuto risolvere. Perché ci si accorgerà che fin dall’inizio, la firma SPID rappresentava una grossa incognita. Che l’implementazione prescelta non solo non aiuta a sciogliere, ma anzi, ne aumenta la grandezza. Un flop annunciato?

Cos’è la firma SPID

Come riportato nelle Linee Guida, la firma SPID è la realizzazione pratica di quanto previsto dall’Art. 20 comma 1-bis del CAD, così come modificato dal dlgs 13 dicembre 2017, nr. 217, meglio conosciuto come “Decreto Correttivo” al CAD.

Questo decreto, previsto dalla precedente legge delega di riforma del CAD (il Dlgs 26 agosto 2016, nr. 179, meglio conosciuto come “legge Madia”) proprio come possibilità di apportare aggiustamenti alla norma dopo aver testato sul campo gli effetti delle novità introdotte dalla riforma, ha in realtà inserito nel Codice diverse novità, in alcuni casi sorprendenti. Fra queste, appunto, la succitata modifica dell’art. 20 che ci ha condotto alla firma SPID.

Ma non solo, il Correttivo ha introdotto anche la modifica dell’art. 71 con la sua “delegificazione” delle Regole Tecniche e la loro nuova modalità di emanazione previa una consultazione pubblica, di cui in seguito parleremo perché proprio con le Linee Guida sulla firma SPID ha avuto il suo vero battesimo (e se il buongiorno su vede dal mattino…).

All’epoca dell’uscita del Correttivo questa novità non passò inosservata e in molti si chiesero, visto che non è presente nella norma un riferimento esplicito a SPID, quale fosse il motivo di una modifica al Codice tanto generica e fumosa quanto impegnativa.

Perché, è bene tenerlo a mente, la firma ex art. 20 – alias firma SPID – non è una FEA, rappresenta una vera e propria nuova fattispecie di firma, che per giunta, ed è questo il fatto più rilevante, non è fra quelle previste dal regolamento eIdas. In più, non essendo appunto una FEA, supera anche i forti limiti, ancora poco noti ai più, che alla FEA furono posti dalle Regole Tecniche (vedi art. 60 del DPCM 22 febbraio 2013).

Cosa fosse celato dietro questa modifica all’art. 20 fu a lungo motivo di discussione, fin quando non spuntò l’idea della firma SPID.

Perché una firma SPID?

Anche dopo questa rivelazione però molti interrogativi rimasero.

Perché una firma SPID? Come si poteva ottenere, attraverso SPID, quanto richiesto dall’art. 20, in termini di sicurezza, integrità e immodificabilità del documento e la sua inequivoca riconducibilità all’autore? Perché, scritta così, sembrava che dietro ci fosse la volontà di reinventarsi un qualche standard di firma diverso da quelli universalmente riconosciuti ed utilizzati. Sarebbe stato un tentativo come minimo azzardato, velleitario.

Ricordo che se ne discusse a lungo anche su forum.italia.it e alcuni membri del Team Digitale Piunno e Rosini), prima ancora dell’uscita del correttivo, ipotizzarono una FEA attraverso, cito testualmente, “una sapiente e predeterminata gestione della tracciatura delle operazioni effettuate a seguito dell’autenticazione (con SPID, n.d.r.)“ e ancora “la soluzione proposta […] permette anche di tracciare le attività sul processo, non si firma il modulo bensì si firma un’istanza (cfr. superamento del concetto di moduli)”

Col senno di poi avrebbe dovuto farci capire dove Agid voleva andare a parare.

A molti, a cui il senso della firma SPID continuava a sfuggire (me compreso), non passò inosservato il legame con l’art. 65 del CAD e la sua intrinseca debolezza. L’art. 65 comma 1, lettera b) afferma che le istanze presentate attraverso un servizio in cui l’utente si autentica con SPID (ma anche con CIE e CNS) sono comunque valide.

360digitalskill
Diventa un leader digitale: crea il percorso per te e il tuo team
Risorse Umane/Organizzazione
Smart working

Il problema di questo articolo, a parte la pericolosa confusione fra autenticazione e sottoscrizione (al comma 2 – “Le istanze e le dichiarazioni di cui al comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento”), è la difficoltà nel provare che un dato documento sia stato effettivamente ricevuto tramite un servizio autenticato da un determinato soggetto. In realtà per farlo sarebbe necessario creare un’associazione informatica fra il documento e la sessione autenticata. Che è proprio esattamente quello, se ci si pensa un po’, fa la firma SPID!

Ad oggi la quasi totalità dei servizi autenticati con cui i cittadini presentano istanze all’Amministrazione non si cura di questo fatto e quello che rimane nei sistemi di gestione documentale degli Enti, sono documenti totalmente privi di sottoscrizione. Cosa che, su carta, parrebbe inconcepibile, mentre nel mondo digitale, pare non suscitare problemi nemmeno fra gli archivisti.

Che la firma SPID sia nata per risolvere questo problema?

Da notare come le regole tecniche sulle firme avessero implicitamente colto il problema. Il già citato art. 61 infatti è una sorta di raccordo con le modalità previste dal comma 1 dell’art. 65 del CAD. Per ogni modalità che non rappresenti per sé una sottoscrizione, l’articolo 61 propone una corrispettiva FEA da utilizzarsi con quella modalità. Sembrerebbe quindi ragionevole pensare che la firma SPID sia una sorta di “complemento” all’art. 61 per adeguarlo a SPID che al momento dell’emanazione delle regole tecniche sulle firme ancora non esisteva.

Molto più credibile però è l’ipotesi che la firma SPID sia in realtà una scelta “politica”, un modo, come si sussurra, per ravvivare un progetto e uno strumento, fortemente voluto dalla politica ma che da sempre stenta a decollare.

E forse anche per metterlo alla pari con il vecchio strumento, la CNS, e quello emergente, la CIE, entrambi, come vedremo, utilizzabili come strumenti di firma.

Le alternative

Una cosa è sicura, la firma SPID non è di certo l’unica soluzione di firma alternativa a quella qualificata/digitale. Ne ha parlato recentemente proprio qui su Agendadigitale.eu Giovanni Manca in un bell’articolo la cui lettura, così come per altro ogni articolo dello stesso autore, consiglio caldamente. Chi più autorevole di lui?

Sottoscrizione informatica: tipologie e scenari di utilizzo

Anche se ancora, dopo sette anni, molti non lo sanno, ognuno di noi ha in tasca uno strumento che consente di apporre una FEA, valida a tutti gli effetti nei confronti della PA: la CNS.

La CNS contiene infatti un certificato con il quale, ai sensi dell’art 61 comma 2 delle succitate Regole tecniche, è possibile apporre una FEA su istanze e dichiarazioni da presentare alla PA. Ed esistono pure i sw necessari. Purtroppo, per diversi motivi, in primis la necessità di usare un lettore di smart-card e l’incompatibilità con i devices più moderni (non supporta NFC), il suo utilizzo è stato molto limitato, salvo forse in alcune regioni come la Lombardia.

Ma la sua incarnazione moderna, la nuova CIE, supera questi limiti. Ha supporto per NFC, può essere usata come sistema di autenticazione al pari di SPID ed anzi, interagendo con SAML, è molto probabile verrà proprio utilizzata come implementazione standard del livello 3, il più sicuro, di SPID stesso. In più, al pari della CNS, è dotata di un certificato, che ai sensi dello stesso articolo sopra menzionato, può essere utilizzato per apporre una FEA, anche con cellulari e tablet. E se fino a poco fa mancava un software che consentisse di apporre la firma con la CIE, ora, da pochissimo, con il rilascio in beta dell’App “Firmo con CIE”, anche questo limite viene a cadere. Non solo, guardando la semplicità d’uso di questa App, è facile prevedere che CIE rappresenterà un formidabile concorrente. Gratuito e a tutti disponibile!

Per essere pignoli, visto che l’articolo 61 del DPCM 22 febbraio 2013 è stato già citato, è giusto ricordare che lo stesso articolo, al comma 1, fornisce un’altra alternativa di FEA per la PA: quella chiamata PEC-ID. Quella PEC in cui il gestore con propria attestazione firmata, certifica che quella casella PEC è riferibile ad un dato soggetto. Il principio è assai simile alla firma SPID, dove appunto non firma il soggetto ma sono IdP e SP che attestano che il soggetto è colui che ha postato il documento attraverso una sessione autenticata a lui riconducibile. Il fatto che la PEC-ID non sia mai stata implementata dovrebbe essere da monito e contemporaneamente spiegare come mai tanta ritrosia degli IdP nei confronti della firma SPID.

Ma se lo scopo fosse stato quello di fornire uno strumento semplice, standard e sicuro si poteva prendere in considerazione quanto fatto in altri paesi. Cito sempre l’Austria, perché a noi vicina (non è un paese del nord Europa o una remota repubblica baltica), una fortissima e radicata cultura amministrativa che culturalmente ci accomuna e da sempre ai vertici nel DESI. L’Austria ha fin dal principio fornito gratuitamente ai cittadini un “pacchetto” standard di strumenti: una sorta di CIE/CNS (Buergerkarte) dotata di un certificato – qualificato -, utilizzabile anche nei rapporti con i privati, un’Identità Digitale simile a SPID ed un sistema di recapito certificato (una sorta di PEC) fra loro perfettamente integrati. Per superare i limiti della Buergerkarte, gli stessi esposti per la CNS, il Governo austriaco ha poi fornito anche un certificato digitale qualificato remoto integrato con l’identità digitale (Handysignatur – firma dal cellulare) con cui apporre firme remote usando lo smartphone. Da noi, in analogia, sarebbe bastato associare ad ogni identità SPID un certificato tipo CNS (mi rendo conto che quello qualificato è da noi impensabile, ahimè) ed implementare una semplice firma remota. Standard, semplice per gli utenti e di facile implementazione.

Fantascienza?

I limiti della Firma SPID (e perché difficilmente avrà successo)

Al di là di quanto detto sopra, se la firma SPID fosse uno strumento efficace, di rapido e semplice utilizzo e magari gratuito, potrebbe essere comunque uno strumento valido ed avere successo.

Ma è così?

Riguardo all’ergonomicità, mi limiterò a citare quanto scritto qui su AgendaDigitale.eu da Andrea Tironi. La sua analisi precisa, assolutamente da leggere, mostra come per apporre una firma siano necessari ben 14 passaggi e il travaso dell’intero documento verso IdP e SP, pregiudicando sicuramente la qualità della user experience.

Linee guida per firmare con Spid: i punti da migliorare

A questo proposito va aperta una parentesi relativamente alla efficacia della consultazione pubblica delle Linee Guida di cui si era brevemente accennato in apertura: queste e altre criticità furono puntualmente evidenziate durante la consultazione pubblica. E molti fornirono anche possibili soluzioni alternative. Nessuna delle osservazioni/proposte fu recepita e le Linee Guida sono state emanate così come presentate nella consultazione pubblica. Non un buon inizio, specie leggendo l’analisi di Tironi.

A quanto pare la strada scelta non era l’unica percorribile, ma a detta di moltissimi validi commentatori, si è scelta la più complessa e meno ergonomica. Senza accettare alcun suggerimento.

Fra l’altro un documento firmato da me con firma SPID non sarebbe in realtà firmato da me, con un mio certificato, ma dai due soggetti, SP ed IdP, che attestano che quel documento è stato presentato attraverso un servizio a cui io ero autenticato. Come minimo contorto. E tutto per non darmi un certificato? Mah, lascio a voi giudicare.

Gli altri gravi limiti sono stati già in parte evidenziati (è una soluzione non eIDAS, solo italiana), altri già elencati da diversi commentatori: il fatto che non tutti gli IdP la implementeranno e la quasi certa non gratuità.

Conclusioni

Insomma, i presupposti sono tutt’altro che positivi, ed anzi, dalla disamina di tutto quanto sopra detto risulta ancora oggi davvero difficile trovare una giustificazione razionale ad una cosa come la firma SPID, almeno nella sua attuale materializzazione che si ricava dalle Linee Guida.

Così come non si capisce nemmeno il motivo di spingere su questa soluzione, dandole priorità massima. Quando da mesi attendiamo le Linee Guida, queste sì fondamentali, in materia di formazione e conservazione dei documenti, mentre di quelle, altrettanto importanti, sulle firme, si è addirittura persa ogni traccia. Per non parlare del domicilio digitale per le persone fisiche, altro tassello fondamentale sulla strada della digitalizzazione, che dopo le incredibili e anche un po’ inquietanti esternazioni dell’ex Commissario Straordinario Attias apparse su Wired a novembre 2019 (cito testualmente : “Ahimè, avrei voluto fare molto di più anche sul domicilio digitale, darne uno a ogni cittadino o almeno a ogni cittadino che lo volesse non sarebbe stato difficile, ci siamo andati davvero vicino, ma, per ragioni che confesso non sono del tutto chiare neppure a me, non ci siamo riusciti“), sembra essere totalmente scomparso dai radar.

In un simile contesto dare priorità alla firma SPID, indicandolo come punto di svolta per il processo di digitalizzazione del Paese, è davvero difficile da concepire, è anzi anche un po’ surreale.

A meno che la spinta in realtà non sia stata quella di “tamponare” l’attacco del pericoloso concorrente, la CIE, che pian piano si affaccia minacciosa. È già successo in diverse occasioni, come ad esempio la battaglia fra CIE e CNS o la disputa fra Diego Piacentini e Antonio Samaritani sull’implementazione del domicilio digitale. A pensar male si commetterà pure peccato ma spesso ci si azzecca…

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4