pa digitale

Firmare documenti elettronici con SPID, ora si può. Anche l’autocertificazione Covid-19

di |

Vediamo ora come avviene la procedura di firma elettronica con SPID nella realtà pratica. Sono previsti due passaggi, il primo prevede quattro fasi ed è la cosiddetta predisposizione alla sottoscrizione che avviene presso il fornitore del servizio nella federazione SPID. Il secondo – in dieci fasi – è la prestazione del consenso alla sottoscrizione che l’utente presta al proprio fornitore di identità digitale (Identity Service Provider).

Introduzione

Solo qualche giorno fa, qui, su Key4Biz, chi scrive proponeva di superare le gravi criticità create da modelli di autocertificazione (che il Ministero dell’Interno e la Polizia di Stato vorrebbero validi esclusivamente in forma cartacea, proprio perché asseritamente l’unica forma che consente sottoscrizione e controfirma dell’agente accertatore) utilizzando SPID (Sistema Pubblico di Identità Digitale) come modalità per garantire autenticità e imputabilità di un (sicuramente gestibile e valido) modello di autocertificazione digitale.

     Con la recente determinazione n. 157/2020 del 23 Marzo 2020 recante le “Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD l’Agenzia per l’Italia Digitale (AgID) – all’esito del percorso di consultazione pubblica che si è svolto dal 21 novembre al 28 dicembre 2019 – ha formalmente riconosciuto allo SPID (anche) il valore giuridico di sottoscrizione autografa – in conformità all’articolo 20 del Codice dell’Amministrazione Digitale (d.lgs. 82/2005) per la firma di atti e contratti (ovviamente non solo di modelli di autocertificazione più o meno bizzarri…).

SPID diventa in tal modo anche uno strumento di sottoscrizione elettronica che si va ad aggiungere alla firma elettronica qualificata, nella prospettiva di alimentare sempre più il processo di dematerializzazione e digitalizzazione dei documenti.

      Con la pubblicazione delle Linee Guida sulla Gazzetta Ufficiale sarà dunque possibile firmare con SPID qualsiasi atto giuridico che richieda la sottoscrizione con lo stesso valore giuridico della firma autografa, soddisfacendo, così, il requisito della forma scritta e producendo gli effetti dell’art. 2702 del codice civile. I cittadini avranno così a disposizione anche un altro strumento digitale per sottoscrivere documenti con validità giuridica, oltre alla già esistente firma elettronica qualificata.

       Le nuove regole disciplinano le modalità con cui i fornitori di servizi online possono permettere agli utenti di sottoscrivere atti e contratti tramite la loro identità digitale. Il sistema può essere utilizzato sia dai fornitori di servizi privati sia dalle Pubbliche Amministrazioni e consente di sostituire la firma autografa nella quasi totalità dei casi.

SPID, a che punto siamo. Alcuni numeri e lo stato dell’arte.  

Si aggiunge così a SPID una importante funzionalità – quella della sottoscrizione elettronica – che potrà essere utilizzata da quei 6.332.555 di italiani che – secondo l’ultimo censimento effettuato da AgID al 31 Marzo 2020 – sono titolari di SPID attivi. 

Certo: un numero di molto inferiore a quello che nei proclami degli ideatori doveva portare la quasi totalità degli italiani a familiarizzare con uno strumento che si pensava sarebbe divenuto di uso quotidiano, la identità digitale univoca degli italiani nel mondo di reti e servizi di comunicazione elettronica, il gateway di accesso a tutti i servizi digitali in grado di rivoluzionare il rapporto tra cittadino e Pubblica Amministrazione. Ma questo auspicio non si è verificato: come spesso accade in questo Paese, gli strumenti digitali – lungi dall’abbattere la burocrazia – la raddoppiano, aggiungendo la burocrazia digitale a quella tradizionale. Inoltre, le stesse amministrazioni che entro 24 mesi, termine scaduto il 1° aprile 2018, avrebbero dovuto (in numero stimato da ISTAT di almeno diecimila PA) essere attive su SPID hanno attivato un solo servizio o servizi solo parzialmente fruibili online. Il numero delle amministrazioni attive su SPID è ancora lontano dal numero di circa 10.000: al 17 Marzo 2020 sono solo 4.283 e il numero di 10.000 (prima dell’emergenza COVID-19) era stato come obiettivo posticipato dal 2018 alla fine del 2020 (sono invece ad oggi 7 i fornitori privati che accettano SPID e 9 gli Identity Service Provider qualificati da AgID per il rilascio di SPID).

A breve anche per iOS l’app Cie Id 

A ciò si aggiunga la mancanza di informazione ai cittadini e la “concorrenza interna” di strumenti come la carta di identità elettronica 3.0 (oltre ad ordinari PIN come strumenti di autenticazione informatica): invece di promuovere – nell’ambito di un chiaro indirizzo politico unitario – SPID, rafforzandone la diffusione, è di oggi la notizia data dal Poligrafico e Zecca dello Stato  che – proprio a partire da oggi – tutti i cittadini italiani che hanno la carta d’identità elettronica 3.0 potranno accedere direttamente online ai servizi della pubblica amministrazione. Tra i servizi a disposizione quelli previdenziali dell’Inps, quelli sanitari e anagrafici di Regioni e Comuni. Per utilizzare il servizio sarà necessario scaricare l’app Cie Id, già disponibile per Android, a breve anche per iOS. 

Se però si pensa che fin dal settembre 2018  – nell’ambito del percorso  previsto dal regolamento comunitario eIDAS (2014/910/CE) per il riconoscimento dell’identità digitale come strumento di accesso ai servizi digitali delle pubbliche amministrazioni degli Stati membri – proprio SPID è stato oggetto della prima notifica, rendendo l’Italia uno dei primi Stati Membri a dotarsi di un sistema di autenticazione nazionale in linea con il Regolamento eIDAS e il primo a notificare un sistema guidato dal settore privato, si può comprendere come – se i numeri continuano ad essere quelli sopra evidenziati –  i rischi di fallimento e di occasione persa siano elevatissimi, ancorchè ancora evitabili ad avviso di chi scrive (soprattutto se esponenti governativi si astengono da affermazioni circa l’opportunità di “abbandonare SPID come progetto”). Al contrario bisogna insistere: si pensi che con la notifica europea di SPID, già oggetto di pubblicazione in Gazzetta europea del 10 settembre 2018, integrata nella Gazzetta del 26 settembre n. C 344/11, con l’indicazione corretta dei tre livelli oggetto di notifica – elevato, significativo e basso – corrispondenti ai tre livelli di accesso a SPID, gli italiani sono tra i primi cittadini dell’Unione a poter accedere con la loro identità digitale (eID) a servizi pubblici e privati online sul territorio di tutti gli Stati membri (era previsto che entro settembre 2019 gli stati europei avrebbero dovuto consentire accesso ai loro servizi digitali anche tramite l’Identità digitale italiana SPID).

Se allora l’utilizzo delle identità digitali degli Stati Membri oltre il confine nazionale rappresenta un importante passo avanti nella realizzazione del Mercato Unico Digitale e nell’adozione di soluzioni digitali per semplificare la vita dei cittadini, le Linee Guida che consentono di utilizzare SPID come strumento di sottoscrizione elettronica vanno lette con la più grande positività, perché arricchiscono e “rivitalizzano” le funzionalità di uno strumento che davvero potrebbe contribuire alla necessaria rivoluzione digitale in questo Paese. 

E chissà che l’attuale emergenza COVID-19 – che tra le poche caratteristiche positive sta imponendo ai cittadini italiani una forzata abitudine alle tecnologie e all’utilizzo di soluzioni digitali anche per la vita quotidiana di studenti, lavoratori,  cittadini, etc – non contribuisca davvero a fare di SPID quello che era tra gli obiettivi degli ideatori: uno strumento di utilizzo quotidiano.

Sottoscrivere elettronicamente con SPID atti giuridici: le indicazioni pratiche delle Linee Guida AgID

    Analizziamo ora gli aspetti pratici come introdotti dalla Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD (di seguito anche più semplicemente indicate come “Linee Guida”) per procedere alla soscrizione elettronica con SPID.

    Intanto, una premessa: va ricordato che, come precisato dal Consiglio di Stato ‒ le Linee Guida adottate dall’Agenzia per l’Italia Digitale, ai sensi dell’articolo 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes. Ne deriva che, nella gerarchia delle fonti, le Linee Guida sono inquadrate come un atto di regolamentazione, seppur di natura tecnica, con la conseguenza che esse sono pienamente azionabili davanti al giudice amministrativo in caso di violazione delle prescrizioni ivi contenute. Resta ovviamente ferma la circostanza – confermata dall’articolo 11 delle Linee Guida – che l’adesione dei fornitori di servizi nella federazione SPID (cioè i soggetti pubblici o privati che attivano e riconoscono SPID come strumento di autenticazione e – da oggi – di sottoscrizione) avviene su base del tutto volontaria (a partire dal quindicesimo giorno successivo alla pubblicazione delle Linee Guida sulla gazzetta ufficiale).

     Sempre preliminarmente, va poi evidenziato che il processo di sottoscrizione di cui all’articolo 20 comma 1-bis del CAD non può essere adoperato utilizzando identità digitali SPID per persona giuridica: possono essere utilizzate esclusivamente le identità digitali della persona fisica (SPID almeno di livello 2) e le identità digitali per uso professionale (quest’ultime regolamentate dalle Linee guida per il rilascio dell’identità digitale per uso professionale, pubblicate con Determinazione AgID n. 318/2019 e successive modificazioni). Spetta inoltre a fornitori di servizi nella federazione SPID (cioè i soggetti pubblici o privati che attivano e riconoscono SPID come strumento di autenticazione e – da oggi – di sottoscrizione) decidere se offrire come servizio la funzione di SPID quale strumento di sottoscrizione elettronica (in tale caso i metadati SPID indicheranno se l’ente offre il servizio in oggetto o meno).

      Il servizio di sottoscrizione oggetto delle Linee guida è realizzato per permettere al medesimo utente di sottoscrivere un documento, (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni di autenticazione SPID distinte.

La procedura di sottoscrizione con SPID: la duplice fase di predisposizione del documento da firmare (quattro passaggi ) e di consenso alla sottoscrizione del documento (dieci passaggi)

        Bisogna partire dall’articolo 20, comma 1-bis del CAD che prevede che “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.

      Dunque, l’ingresso di SPID tra le “firme elettroniche” avviene nella forma di SPID quale strumento di “ identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71”, che sono appunto quelli fissati dalle Linee Guida che stiamo esaminando.

       Le Linee Guida regolano le modalità atte a garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore e si rivolgono: agli utenti fruitori del servizio di sottoscrizione mediante SPID, ai fornitori di servizi nella federazione SPID e agli Identity Service Providers che intendono conferire a SPID la funzione e il servizio di firma elettronica  e anche ai cc.dd soggetti aggregatori.

Vediamo ora come avviene la procedura di firma elettronica con SPID nella realtà pratica

       Sono previsti due passaggi, entrambi basati su una procedura codificata: il primo passaggio prevede quattro fasi ed è la cosiddetta predisposizione alla sottoscrizione che avviene presso il fornitore del servizio nella federazione SPID (cioè il soggetto pubblico o privato che attiva, accetta e/o riconosce SPID come mezzo di autenticazione e sottoscrizione elettronica). Il secondo passaggio – in dieci fasi – è la prestazione del consenso alla sottoscrizione che l’utente presta al proprio fornitore di identità digitale (Identity Service Provider).

      La procedura di predisposizione del documento da sottoscrivere – che deve essere un fornitore del servizio nella federazione SPID  a mettere a disposizione del firmatario (di cui preliminarmente deve conoscere il codice fiscale) – consta di quattro passaggi:

  1.     il fornitore del servizio nella federazione SPID presenta all’utente il bottone “Firma con SPID”, alla cui selezione il medesimo fornitore mostra l’elenco dei gestori di identità digitali nel contesto della federazione SPID che offrono il servizio di firma. L’utente seleziona il proprio Identity Service Provider. Qualora l’utente sia già autenticato presso il fornitore del servizio nella federazione SPID, con l’identità digitale di un Identity Service Provider che offre il servizio di firma con SPID, la selezione dell’ Identity Service Provider può essere saltata;
  2.    il fornitore del servizio nella federazione SPID predispone il documento (c.d. documento predisposto per la firma), apponendovi un proprio sigillo elettronico qualificato e sottoponendolo, presso la propria piattaforma, all’utente affinché possa essere visionato, eventualmente scaricato e conservato;
  3.    il fornitore del servizio nella federazione SPID, rendendo manifesto all’utente che il processo prevede l’invio del documento all’Identity Service Provider prescelto, acquisisce il consenso esplicito (opt-in) dell’utente. L’utente è anche avvisato in modo chiaro e manifesto che tale documento gli sarà reso successivamente disponibile dal proprio Identity Service Provider e gli viene consigliato di leggerlo nuovamente in tale occasione. Per proseguire l’utente seleziona il bottone “Prosegui con la Firma”;
  4.    il fornitore del servizio nella federazione SPID invia infine il documento predisposto per la firma all’Identity Service Provider e, avuta evidenza del successo dell’invio, inoltra la sessione dell’utente al relativo Identity Service Provider con una richiesta di autenticazione speciale (come detto può essere utilizzato uno SPID per lo meno di livello 2 per la validazione del processo di sottoscrizione), denominata “firma con SPID”, conforme alle caratteristiche tecniche pure descritte nelle Linee Guida. Tale richiesta contiene il codice fiscale del soggetto che deve apporre la firma 8acqyuisito dal fornitore del servizio nella fase 1 sopra riportata).

      La correlata procedura di prestazione del consenso alla sottoscrizione è gestita nell’ambito del rapporto utente firmatario e proprio Identity Service Provider, secondo questa articolazione. L’Identity Service Provider:

  1. procede con l’autenticazione dell’utente con credenziali di livello 2 o superiore, verificando che si tratti del firmatario atteso dal fornitore del servizio nella federazione SPID  in base al codice fiscale ricevuto;
  2. informa l’utente che il processo di autenticazione è volto alla sottoscrizione, comunicando all’utente:
  • il nome del fornitore del servizio nella federazione SPID  che sta richiedendo la sottoscrizione del documento,
  • il nome del file contenente il documento in oggetto.
  • consente all’utente di visionare il documento e scaricarlo;
  • propone all’utente di procedere con la sottoscrizione, raccogliendone il consenso. Il dissenso alla sottoscrizione da parte dell’utente comporta l’invio di una risposta di autenticazione con esito negativo al fornitore del servizio nella federazione SPID  e il termine del processo.
  • visualizza la pagina destinata a contenere il contenuto grafico del sigillo elettronico qualificato informando l’utente in merito alla obbligatorietà o facoltatività della firma;
  • acquisisce il consenso dell’utente ad apporre la firma.
  • procede alla apposizione del sigillo elettronico qualificato (o di più sigilli nel caso siano previste più firme), formando dunque il documento firmato con SPID;
  • propone all’utente di inviargli il documento firmato con SPID via posta elettronica, e/o di scaricarne una copia, e/o di renderglielo disponibile nella propria area riservata;
  • invia al fornitore del servizio nella federazione SPID  il documento firmato con SPID secondo modalità tecniche specificate dalle Linee Guida;
  • invia al fornitore del servizio nella federazione SPID  la risposta di autenticazione della firma SPID recante l’esito positivo della procedura, reindirizzando l’utente presso il fornitore del servizio nella federazione SPID. Nel caso in cui il punto precedente non abbia successo, l’Identity Service Provider informa il fornitore del servizio nella federazione SPID e l’utente in merito al mancato successo del processo di firma (il processo di cui ai punti 6 e 7 è reiterato per ogni firma).

      Al termine del processo qui descritto, salvo che l’utente non abbia scelto di avvalersi dei servizi di conservazione dei documenti firmati, l’Identity Service Provider rimuove “ in modo sicuro” (cfr. art. 8.1 delle Linee Guida) dai propri sistemi il documento oggetto della sottoscrizione, nel pieno rispetto di quanto disposto dal Regolamento 679/2016 sulla protezione dei dati personali.

       L’articolo 9 delle Linee Guida, difatti, prevede che gli Identity Service Providers possono offrire ai firmatari servizi aggiuntivi di conservazione a norma dei documenti firmati con SPID, poi resi accessibili all’utente attraverso apposito servizio e area utente. In questo caso, le Linee Guida specificano che l’Identity Service Provider sarà il Titolare del trattamento dei dati personali per finalità diverse da quelle del servizio di sottoscrizione ex art. 20, comma 1-bis del CAD e l’utente dovrà ricevere una chiara e trasparente informativa circa il fatto che i dati personali oggetto del servizio e i documenti firmati con SPID sono ulteriormente trattati dall’Identity Service Provider a scopo di resa del servizio di conservazione.

Conclusioni

         Il presente contributo omette volutamente di analizzare nello specifico gli articoli da 4 a 7 delle Linee Guida che – pur interessanti – sono dedicati a specifiche regole tecniche e di sicurezza che si rivolgono ad un pubblico di lettori diverso da quello interessato a conoscere in pratica la novità della sottoscrizione elettronica con SPID (che resta comunque una alternativa alla sottoscrizione con firma digitale se è vero che lo stesso articolo 8.2 delle Linee Guida – con previsione per lo meno singolare – dispone come vero e proprio obbligo definito “improrogabile” in capo ai fornitori del servizio nella federazione SPID di “consentire agli utenti la sottoscrizione con firma elettronica qualificata”).

          Occorrerà vedere se la “traduzione” pratica del processo di sottoscrizione – che a leggere le quattordici fasi dei due passaggi di predisposizione e sottoscrizione del documento può apparire appesantito – non si traduca in un nuovo processo di burocrazia digitale che allontani ancor di più da SPID l’utente firmatario nella invero sperabile diffusione della fruizione di un  servizio che senz’altro rende SPID ancora più importante nella sua configurazione di flessibile strumento di multiforme utilizzo (autenticazione, sottoscrizione, etc).

          Sarà solo il mercato a rispondere: in termini di quanti fornitori di servizi nella federazione SPID aderiranno volontariamente, in termini di costi (anche raffrontati a quelli per la firma digitale) che saranno applicati dagli Identity Service Providers per la resa del servizio di sottoscrizione elettronica con SPID e, infine, in termini di facilità effettiva di utilizzo del servizio rispetto all’uso della firma digitale o di normali PIN di firma o di OTP (che sono comunque firme elettroniche semplici o, se assistite da funzioni di marcatura temporale, comunque non pienamente firme elettroniche qualificate).

Leggi le altre notizie sull’home page di Key4biz