La guida

Firma semplificata con SPID: ecco le regole tecniche Agid e gli scenari che delineano

Un’innovazione che permette di semplificare i rapporti tra cittadini e fornitori di servizi: ora si possono sottoscrivere documenti usando solo SPID, senza dover ricorrere ad altri sistemi di firma. Vediamo in che modo, considerando le linee guida pubblicate da Agid

09 Giu 2020
Roberto D'Ippolito

Direttore dell'Osservatorio normativo Siav


I cittadini possono sottoscrivere un documento proposto da un fornitore di servizi usando semplicemente SPID. Questa l’importante novità introdotta dalle nuove linee guida relative alle “Regole tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”, pubblicate da parte di Agid – Agenzia per l’Italia digitale. Il documento rivoluziona i rapporti tra cittadini e fornitori di servizi pubblici e privati: ad esempio si potrà siglare un contratto semplicemente con l’utilizzo delle proprie credenziali SPID, senza dover ricorrete ad altri dispositivi di firma digitale (come token USB, smart card). Vediamo nel dettaglio cosa prevedono le nuove regole e gli scenari futuri che delineano.

Il contesto normativo

Le linee guida trovano origine dalla necessità di regolamentare le modifiche dell’articolo 20 del Codice dell’amministrazione digitale con le quali è stata introdotta, nel nostro ordinamento giuridico, la nuova modalità di sottoscrizione elettronica del documento informatico, comunemente denominata “firma SPID”.

Il comma 1-bis del citato articolo 20 del CAD aggiunge, dunque, alle già previste firme digitali, firme elettroniche qualificate e firme elettroniche avanzate, una modalità di sottoscrizione apposta “… previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”. A tale sottoscrizione la norma attribuisce il valore della forma scritta ad substantiam e l’efficacia fino a querela di falso prevista dall’articolo 2702 del Codice Civile.

Firma semplificata con SPID, i vantaggi

L’introduzione della modalità di sottoscrizione tramite SPID potrebbe avere impatti significativi nei rapporti tra cittadini ed erogatori di servizi, anche in virtù della significativa crescita della diffusione dello SPID avvenuta negli ultimi mesi, crescita dovuta anche alla contingente situazione legata alla diffusione del coronavirus e il conseguente incremento dell’utilizzo di servizi on line, tra i quali l’accesso alle misure di sostegno al reddito previste dal Decreto Cura Italia del marzo 2020. Si prevede che gli scenari di utilizzo della modalità di sottoscrizione tramite SPID riguarderanno prevalentemente documenti relativi alla contrattualizzazione di forniture di servizi, soprattutto in contesti in cui si fa uso di smart contract, ma anche in processi più tipicamente amministrativi, quali ad esempio i processi riguardanti la gestione del personale. Ogni sottoscrizione apposta nelle modalità descritte è identificata univocamente, così da poter essere “agganciata” a specifiche clausole contrattuali.

Le agevolazioni per gli utenti e per i fornitori di servizi appaiono evidenti: con l’utilizzo delle sole credenziali SPID sarà possibile sottoscrivere documenti senza essere costretti a ricorrere ad altri strumenti di firma, consentendo una completa dematerializzazione dei processi.

Come funziona la firma semplificata con SPID

Dal punto di vista tecnico, le regole Agid descrivono dettagliatamente il processo di firma, individuando due sottoprocessi, predisposizione e sottoscrizione, e identificando tre attori:

  • l’utente, ovvero chi deve sottoscrivere il documento;
  • il SP – “Service Provider”, ovvero il fornitore di servizi nella federazione SPID, che agisce nel sottoprocesso di predisposizione;
  • l’IdP – “Identity Provider”, ovvero il gestore di identità digitali nel contesto della federazione SPID, che agisce nel sottoprocesso di sottoscrizione.

Il sottoprocesso di predisposizione prevede quanto segue:

  1. l’utente accede al servizio esposto dal SP utilizzando le proprie credenziali SPID;
  2. Il SP predispone il documento da sottoscrivere, che può prevedere anche più firme, apponendovi il proprio sigillo elettronico qualificato (QSeal) e lo sottopone all’utente per la presa visione;
  3. previo esplicito consenso dell’utente, Il SP invia il documento all’IdP con il quale l’utente ha eseguito l’autenticazione.

Il sottoprocesso di sottoscrizione prevede quanto segue: l’IdP

  1. autentica nuovamente l’utente con credenziali di livello 2 o superiore;
  2. consente all’utente di visionare l’intero documento;
  3. richiede all’utente il consenso esplicito alla sottoscrizione;
  4. appone il proprio sigillo elettronico qualificato, o più sigilli qualora siano previste più firme. Per ogni firma inserisce un “timbro digitale” visibile recante le informazioni previste (cognome e nome del firmatario, etc…);
  5. propone all’utente l’invio del file tramite posta elettronica e/o di scaricarne una copia;
  6. invia il documento sottoscritto al SP;
  7. elimina dai propri sistemi ogni traccia del documento sottoscritto, tranne nei casi in cui l’utente abbia sottoscritto con l’IdP accordi che non lo consentano, ad esempio relativi alla conservazione digitale.

Considerazioni ulteriori

Possono utilizzare tali modalità di firma solo i possessori di identità digitali SPID per persona fisica o per uso professionale, non per persona giuridica. Il servizio prevede la possibilità che un utente sottoscriva il documento in più punti attraverso un’unica sezione di autenticazione SPID e che più utenti sottoscrivano il medesimo documento in tempi e con sessioni di autenticazioni SPID distinte.

Il documento predisposto per la firma da parte del SP deve essere un PDF/A-2, secondo lo standard ISO/IEC 32000-1. Le linee guida danno indicazioni su molteplici ulteriori aspetti di natura tecnica, relativi, in particolare, al documento sottoscritto, alla nomenclatura dei documenti, alle modalità di comunicazione tra SP e IdP e agli algoritmi crittografici.

GDPR e sigillo elettronico qualificato

La conformità al GDPR è garantita dal fatto che l’utente deve esprimere il proprio consenso alla sottoscrizione due volte, sulla piattaforma del SP in fase di predisposizione del documento e sulla piattaforma dell’IdP in fase di sottoscrizione. Da evidenziare l’utilizzo del sigillo elettronico qualificato da parte del SP e dell’IdP.

Strumento per certi versi ancora poco noto e poco utilizzato, il sigillo è stato introdotto nel nostro ordinamento con il regolamento eIDAS (Regolamento UE n. 910/2014). Il sigillo elettronico qualificato garantisce l’origine e l’integrità dei dati, e dunque del documento informatico, ha forti analogie con la firma elettronica, con la quale condivide definizione e scopo operativo finale ma dalla quale si differenzia principalmente per il fatto che è riconducibile a una persona giuridica, non ad una persona fisica. Il suo utilizzo, come garanzia dell’integrità del documento informatico, è indicato, ad esempio, per particolari tipologie di documenti: fatture elettroniche, visure camerali, ricevute dei sistemi di PEC possono essere “sigillate” con tale strumento e acquisire efficacia probatoria comunitaria.

Conclusione

L’introduzione della firma SPID rappresenta un ulteriore importante passo avanti verso la dematerializzazione e la semplificazione dei rapporti tra cittadini e fornitori di servizi, pubblici e privati. Le uniche perplessità derivano dal fatto che, al momento, la norma prevede una adesione volontaria a questo servizio il cui successo è quindi condizionato alla reale volontà di adesione da parte dei service provider.

L’articolo è parte di un progetto di comunicazione editoriale che Agendadigitale.eu sta sviluppando con il partner Siav.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3