Il 26 marzo 2020 sono state emanate le linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD. Durante il percorso di consultazione pubblica, che si è svolto dal 21 novembre al 28 dicembre 2019, sono state presentate numerose osservazioni, basate su esperienze concrete di gestione di pratiche presentate ai sensi dell’art. 65 del CAD, ma nessuna è stata recepita.
Abbiamo confrontato le nuove linee guida per firmare documenti online con il documento appena sottoposto a consultazione pubblica da Agid. I due documenti sono sostanzialmente identici, eppure recependo alcune osservazioni si sarebbe migliorata in modo significativo l’esperienza degli utenti e quella degli operatori nel back-office.
Ora restiamo in attesa che gli Identity Provider (per i quali l’erogazione dei servizi di firma è su base volontaria) decidano se, e quando, vorranno permettere ai loro utenti di fruire del servizio.
Proviamo nel frattempo a elencare quelli che ci sembrano i punti critici che dovrebbero essere affrontati per migliorare la fruibilità di un sistema che aspira a dare un’accelerazione al processo di digitalizzazione e di dematerializzazione dei documenti.
Semplicità
Un soggetto che non dispone di un dispositivo di firma elettronica qualificata probabilmente non è abituato a sottoscrivere documenti digitali. Per questo motivo occorre proporgli una user experience chiara e lineare. Su questo aspetto ci vengono fornite indicazioni utili dall’art. 35 del CAD:
[…] I documenti informatici devono essere presentati al titolare di firma elettronica, prima dell’apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma secondo quanto previsto dalle Linee guida.
La procedura descritta nel capitolo 3 delle LG contrasta con la semplice linearità descritta dal CAD. Il sottoscrittore, già autenticato tramite SPID sul sistema del Service Provider (SP), è trasferito sul sistema dell’Identity Provider (IdP) sul quale deve nuovamente autenticarsi e, tramite quattordici passi (di cui due reiterabili per ognuna delle firme da apporre), procede alla sottoscrizione.
Nomenclatura dei file
Chi tratta le istanze nel back-office ha bisogno di capire rapidamente quali siano i contenuti di un file contenuto nel fascicolo documentale senza doverlo aprire. Si sarebbe dovuto trarre esperienza dalle sciagurate regole di nomenclatura definite per il SUAP dall’ art. 5 dell’allegato al DPR 160/2010 (si chieda a qualsiasi operatore del back-office cosa ne pensi). Invece le convenzioni di nomenclatura dei documenti descritte al paragrafo 4.2 delle LG non aggiungono alcuna informazione che non sia già contenuta nelle proprietà del file e costringono l’operatore di back-office ad aprire ciascun file per comprenderne il contenuto.
Formati
Il paragrafo 4.1 delle LG prevede l’uso del solo formato PAdES (PDF Advanced Electronic Signature). Nella normale operatività è necessario poter allegare all’istanza o alla dichiarazione documenti tecnici in formati diversi dal PDF, deve essere quindi possibile sottoscrivere documenti in tutti i formati previsti dalla Decisione di esecuzione (UE) 2015/1506 della Commissione.
Firme multiple di diversi tipi
I documenti e gli allegati alle istanze devono poter essere sottoscritti da soggetti diversi, alcuni dei quali devono farlo con firma elettronica qualificata (per esempio i professionisti che devono sottoscrivere i documenti di progetto insieme al committente). È necessario che il processo di firma tramite SPID possa essere avviato su documenti già sottoscritti da altri soggetti in uno dei formati previsti dalla normativa andando ad aggiungere le firme a quelle precedentemente apposte.
Indipendenza dai servizi dell’Identity Provider
Le LG prevedono che l’IdP possa scegliere se offrire o meno i servizi di sottoscrizione. La possibilità di presentare validamente istanze da parte dei soggetti autenticati con SPID deve essere garantita indipendentemente dall’IdP scelto. Non è pensabile che un soggetto predisponga tutta la documentazione necessaria alla presentazione dell’istanza per poi scoprire che il proprio IdP non offre i servizi di sottoscrizione.
Trasferimento dei documenti
La procedura individuata dalle LG prevede il trasferimento dei file da sottoscrivere dai sistemi del SP ai sistemi dell’IdP e viceversa per ciascuno dei sottoscrittori. Questa soluzione costringe a definire, al paragrafo 5.2, un Sistema di trasferimento sicuro dei documenti. Frequentemente, i documenti da sottoscrivere sono di dimensioni significative (anche dell’ordine delle centinaia di MB) questo determinerà un degrado della user experience con utenti costretti ad attese significative perché siano completati i trasferimenti.
Conclusioni
La logica che orienta le LG appare quella di una sostanziale sfiducia nel SP che induce a usare l’IdP come soggetto terzo e autorevole. Se tale approccio può avere senso per servizi erogati da privati, per la PA pare essere controproducente.
La realizzazione di un servizio di firma basato su SPID dovrebbe essere consentita liberamente ai diversi SP, come previsto dall’art. 55 del DPCM 22-02-2013. La soluzione individuata dalle LG costringe invece i SP ad avvalersi dei servizi dell’IdP.
Il processo descritto dalle LG potrebbe essere radicalmente semplificato se il SP potesse richiedere all’IdP un certificato di firma di breve durata (certificato disposable, o usa e getta) tramite il quale apporre la firma a un singolo documento o a un insieme di documenti nell’ambito della durata della sessione SPID.
