La campagna di Key4biz

Il problema della firma con CIE non accettata da tutte le PA. Eppure la soluzione è semplice

di Giovanni Manca |

Una soluzione rapida sarebbe possibile con un intervento di AgID sull’articolo 60, in attesa dell’aggiornamento del DPCM 22 febbraio 2013 che è obsoleto e inapplicabile al 90%. Ecco una proposta di testo, in forma discorsiva da Linee guida.

La firma elettronica avanzata (FEA) viene introdotta per la prima volta nella direttiva europea 1999/93/CE come principio, tecnologicamente neutro, per costruire le basi della firma elettronica qualificata. Come sappiamo, nel regolamento eIDAS la firma elettronica qualificata è definita come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”. 

La firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.

Nella normativa primaria nazionale (il Codice dell’Amministrazione Digitale – CAD) alla FEA vengono associati un valore giuridico e un’efficacia probatoria quasi paragonabili a quelli di una firma elettronica qualificata a condizione che siano soddisfatti i requisiti stabiliti nelle regole tecniche con il DPCM 22 febbraio 2013 (in particolare nel Titolo V). Questo ampliamento vuole ampliare le possibilità di utilizzo delle firme elettroniche.

Nello stesso decreto (articolo 61, comma 2) si stabilisce che:

“2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del Codice.”

Questa regola tecnica stabilisce che l’utilizzo di una CIE sostituisce una FEA se la sottoscrizione è utilizzata nei confronti della pubblica amministrazione. Questo significa che la FEA generata con una CIE è nativamente una FEA conforme alle regole tecniche, ne consegue che esse non devono essere applicate ad essa.

L’Istituto Poligrafico e Zecca dello Stato (IPZS) ha sviluppato e messo a disposizione degli utenti un’APP denominata CIESign. Questa APP utilizza la tessera CIE per apporre FEA conformi ai formati PAdES per file .pdf e CAdES per tutte le altre tipologie di file.

Il videotutorial di Key4biz – La firma elettronica avanzata con carta d’identità elettronica

Un’altra APP (sviluppata da un soggetto privato) per firmare tramite FEA con la CIE è disponibile presso la pagina: https://firmoconcie.it/

Con la CIE anche la firma elettronica avanzata. Ma non è accettata da tutte le PA, perché?

Quanto descritto sembra un buon passo di innovazione e di trasformazione digitale a favore di cittadini e imprese, ma molti utenti lamentano sui social che, dopo aver firmato un documento con la CIE, la pubblica amministrazione alla quale inviano il file non accetta la sottoscrizione respingendo il documento dell’utente causa “firma non valida”.

Nel seguito si descrivono le possibili motivazioni delle PPAA che non accettano il documento:

  1. La normativa richiede esplicitamente una firma digitale o un firma elettronica qualificata.

In questo caso la non accettazione del documento sottoscritto è legittima, la firma generata con CIE non è una firma digitale perché il certificato utilizzato non è qualificato e il microchip della tessera non è certificato secondo la normativa comunitaria sui dispositivi di firma digitale o qualificata.

  • L’amministrazione ricevente ha un sistema di verifica della firma non conforme alla normativa per quanto stabilito nell’articolo 65, comma 1, lettera a) del CAD. Questa inadempienza può essere segnalata al difensore civico per il digitale, insediato presso l’Agenzia per l’Italia Digitale (AgiD) in conformità all’articolo 17, comma 1-quater del CAD.

È un passaggio burocratico ma indispensabile per attivare le attività di controllo istituzionale.

In alternativa ci potrebbero essere iniziative in capo ad Associazioni o alla società civile, allo stato attuale, ancora non significative.

  • L’amministrazione ricevente è consapevole degli obblighi normativi ma non accetta la FEA perché ritiene che non è soddisfatta la limitazione d’uso stabilita nell’articolo 60 del DPCM 22 febbraio 2013:

“La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’art. 55, comma 2, lettera a)” 

(Nota: il soggetto citato è l’erogatore della soluzione di FEA, in questo caso il Ministero dell’Interno).

La limitazione d’uso stabilita nel sopra citato art. 60 è un tema ben noto agli specialisti. Questa limitazione è causata da una interpretazione “conservativa” dell’articolo stesso che non tiene conto del fatto che una regola tecnica non può modificare il valore giuridico e l’efficacia probatoria stabiliti in una norma primaria (il CAD). Inoltre la parola “sostituisce” nell’articolo 61, comma 2 sta a significare che la FEA apposta con CIE è a tutti gli effetti una FEA  e ad essa non si applicano le regole tecniche stabilite nel Titolo V del DPCM 22 febbraio 2013 perché non necessarie vista la sicurezza insita nella CIE. 

Infine lo spirito dell’articolo 60 è nello stabilire adeguata cautela per l’interoperabilità tecnica nella FEA apposta con CIE. Questa cautela è corretta se siamo di fronte a soluzioni di FEA generiche, in questo caso il sottoscrittore è certo di avere la firma verificata solo dal soggetto proponente. 

Nel caso della CIE il problema non si pone perché la struttura della FEA e i formati prodotti sono interoperabili all’origine.

Una soluzione rapida sarebbe possibile con un intervento di AgID sull’articolo 60, in attesa dell’aggiornamento del DPCM 22 febbraio 2013 che è obsoleto e inapplicabile al 90%.

Una proposta di testo, in forma discorsiva da Linee guida, potrebbe essere:

“La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti Linee guida deve garantire l’interoperabilità nelle attività di verifica delle sottoscrizioni. Per quanto concerne la firma elettronica avanzata realizzata tramite firma grafometrica si adotta lo standard ISO/IEC 19794-7 o sistema equivalente. 

Le tipologie di firma elettronica avanzata basate sulla crittografia a chiave pubblica sono conformi alla Determinazione AgID 121/2019 del 17 maggio 2019 e successive modificazioni.

L’utilizzo di ulteriori modalità di generazione della firma elettronica avanzata è consentito previa disponibilità a titolo gratuito permanente da parte dei soggetti di cui al paragrafo 5.1, secondo capoverso delle specifiche tecniche necessarie per la verifica della validità della sottoscrizione. 

L’AgID pubblica queste specifiche sul proprio sito istituzionale.”

In ogni caso, con l’avvento dell’IT Wallet (il Portafoglio Pubblico Italiano di Identità Digitale) e del Portafoglio Europeo di Identità Digitale, stabilito nell’eIDAS 2.0, la firma elettronica qualificata (firma digitale) dovrà essere resa disponibile gratuitamente per scopi non professionali, cioè ai cittadini. 

I tempi di attesa sono di un paio d’anni a partire da aprile 2024, data quasi certa di entrata in vigore del regolamento eIDAS 2.0. 

L’articolo di Giovanni Manca nasce dalla videoinchiesta di Key4biz:

Con la CIE anche la firma elettronica avanzata. Ma non è accettata da tutte le PA, perché? L’appello al Governo

Leggi le altre notizie sull’home page di Key4biz