Cosa prevedono le linee guida in tema di sottoscrizione elettronica tramite SPID? Quali sono i principali passaggi che consentiranno di generare una nuova forma di firma elettronica? In questo articolo andremo a capire quali sono le peculiarità di questa nuova tipologia di firma elettronica.
Fino al 28 dicembre sarà possibile inviare commenti o suggerimenti ad Agid con riguardo alle linee guida pubblicate il 20 novembre scorso ad oggetto “Regole tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art.20 del CAD”, che prevedono l’impiego del Sistema Pubblico per l’Identità Digitale (SPID) per sottoscrivere digitalmente documenti e contratti.
Sarà quindi possibile sottoscrivere tramite SPID un documento informatico, ed il cui valore probatorio sarà pari alla sottoscrizione autografa, dato che l’art.20, comma 1-bis del CAD, riporta testualmente che “1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.
Oltre alla firma elettronica semplice, avanzata, qualificata, e digitale, se ne aggiunge una nuova che potremmo definire firma elettronica “identificata” (oppure anche “Firma SPID”), la cui procedura di sottoscrizione avviene appunto tramite SPID e consente di sottoscrivere un documento in più punti attraverso un’unica sessione di autenticazione SPID.
Premesso che la creazione della suddetta firma non può essere svolta utilizzando identità digitali SPID per persone giuridiche, ma esclusivamente identità digitali SPID per persone fisiche ed identità digitali SPID per uso professionale, possiamo riassumere il processo di generazione della sottoscrizione elettronica tramite SPID nelle seguenti 15 fasi:
- All’utente viene presentato il bottone “Firma con SPID”, dopodichè il fornitore del servizio di sottoscrizione mostra l’elenco dei gestori dell’identità digitale SPID che offrono il servizio di firma.
- L’utente seleziona il proprio gestore dell’identità digitale SPID.
- Il fornitore del servizio di sottoscrizione predispone il documento (documento predisposto per la firma), apponendovi un proprio sigillo elettronico qualificato, e tramite la propria piattaforma lo sottopone all’utente affinché possa essere visionato, eventualmente scaricato e conservato.
- Il fornitore del servizio di sottoscrizione comunica all’utente che il processo prevede l’invio del documento al gestore dell’identità digitale SPID prescelto, acquisendone il consenso esplicito. L’utente è anche avvisato in modo chiaro e manifesto che il documento gli sarà reso successivamente disponibile dal proprio gestore dell’identità digitale SPID. Per proseguire l’utente seleziona il bottone “Prosegui con la firma”.
- Il fornitore del servizio di sottoscrizione invia il documento predisposto per la firma al gestore dell’identità digitale SPID, e, avuta evidenza del successo dell’invio, inoltra la sessione dell’utente al relativo gestore dell’identità digitale SPID, con richiesta di autenticazione speciale (livello almeno 2) e contenente il codice fiscale del soggetto che deve apporre la firma;
- Il gestore dell’identità digitale SPID procede con l’autenticazione dell’utente (con credenziali di livello 2 o superiore), verificando che si tratti del firmatario atteso in base al codice fiscale ricevuto;
- Il gestore dell’identità digitale SPID informa l’utente che il processo di autenticazione è volto alla sottoscrizione, comunicando altresì:
- il nome del fornitore del servizio di sottoscrizione che sta richiedendo la sottoscrizione;
- il nome del file contenente il documento in oggetto;
- Il gestore dell’identità digitale SPID consente all’utente di visionare il documento e scaricarlo;
- Il gestore dell’identità digitale SPID propone all’utente di procedere con la sottoscrizione, raccogliendone il consenso, ed in caso di dissenso alla sottoscrizione vi è l’invio al fornitore del servizio di sottoscrizione di una risposta di autenticazione con esito negativo ed il termine del processo;
- L’utente visualizza la pagina destinata a contenere il contenuto grafico del sigillo elettronico qualificato e viene informato in merito alla obbligatorietà o facoltatività della firma;
- Il gestore dell’identità digitale SPID acquisisce il consenso dell’utente ad apporre la firma;
- Il gestore dell’identità digitale SPID procede all’apposizione del sigillo elettronico qualificato (o più sigilli nel caso siano previste più firme), generando il documento firmato con SPID;
- Il gestore dell’identità digitale SPID propone all’utente l’invio del documento firmato con SPID via posta elettronica oppure di scaricarne una copia, oppure metterla a disposizione nella propria area riservata;
- Il gestore dell’identità digitale SPID inoltra al fornitore del servizio di sottoscrizione il documento firmato con SPID;
- Il gestore dell’identità digitale SPID invia al fornitore del servizio di sottoscrizione l’esito positivo della procedura, reindirizza l’utente al fornitore del servizio di sottoscrizione, dopodichè rimuove dai propri sistemi il documento oggetto della sottoscrizione.
Da rilevare infine almeno due criticità:
- ad oggi è possibile firmare con SPID il solo formato PDF/A-2a (standard ISO/IEC 32000-1) tramite l’apposizione di sigilli elettronici in modalità PAdES;
- in termini di valore probatorio, non vi è un riconoscimento da parte dei diversi Stati Membri dato che il regolamento eIDAS non contempla la suddetta procedura di firma elettronica.
Link: www.agid.gov.it
Umberto Zanini, Dottore Commercialista e Revisore Legale
Fonte: Sistemiamo l’Italia