Dopo il percorso di consultazione pubblica, svoltosi dal 21 novembre al 28 dicembre 2019, il 23 marzo 2020 l’AgID (Agenzia per l’Italia Digitale) ha emanato le “Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”.
Il testo dell’art. 20, comma 1-bis del CAD (Codice dell’Amministrazione Digitale) stabilisce che:
Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice Civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.
La firma elettronica qualificata (FEQ), o firma digitale, che tramite una procedura di validazione per mezzo di token USB, smart card o firma remota garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici può essere acquistata, direttamente da casa, tramite una procedura di videoriconoscimento a distanza.
L’innovazione grazie allo SPID
Quando le Linee Guida dell’AgID saranno state pubblicate sulla Gazzetta Ufficiale, sarà possibile firmare qualunque documento o atto giuridico per cui sia richiesta la sottoscrizione, con il medesimo valore giuridico della firma autografa, permettendo di soddisfare il requisito della forma scritta e, pertanto, di produrre gli effetti dell’art. 2702 del Codice Civile, tramite il cosiddetto SPID (Sistema Pubblico di Identità Digitale), inizialmente nato per permettere di accedere ai servizi online offerti dalle Pubbliche Amministrazioni e dai soggetti privati aderenti tramite un’unica Identità Digitale.
Il sistema di autenticazione tramite SPID potrà essere utilizzato dalle Pubbliche Amministrazioni come da fornitori di servizi privati e potrà sostituire la firma elettronica qualificata nella maggioranza dei casi. Potrà anche essere usato in alternativa alla firma autografa su documento cartaceo per rendere giuridicamente validi atti e documenti, compresa l’autocertificazione Covid-19, che fino a questo momento doveva necessariamente essere redatta in formato cartaceo.
Esistono tre tipi di SPID identificati dal livello di accreditamento. Lo SPID di primo livello consiste in un nome utente e una password scelta dall’utente. Il secondo livello ha un grado di sicurezza maggiore in quanto, oltre al nome utente e alla password, prevede anche l’inserimento di un codice di accesso temporaneo generato automaticamente e utilizzabile tramite smartphone. Il terzo e ultimo livello di sicurezza prevede un log in basato su ulteriori dispositivi per gestire chiavi crittografiche, come una smart card o un dispositivo per la firma digitale remota (HSM).
Per il processo di sottoscrizione di documenti sarà necessario utilizzare uno SPID almeno di secondo livello per le identità digitali della persona fisica. Anche le identità digitali per uso professionale potranno accedere al servizio. Non sarà invece disponibile per le identità digitali per persona giuridica.
Leggi anche: “Firma Digitale CNS: come funziona e come averla”
Come precisato dal Consiglio di Stato, le Linee Guida adottate dall’AgID, consultabili pubblicamente su Docs Italia, hanno carattere vincolante, nonostante l’adesione dei fornitori di servizi nella federazione SPID sia su base volontaria, a partire dal quindicesimo giorno successivo alla pubblicazione delle Linee Guida sulla Gazzetta Ufficiale.
Spetterà, quindi, ai fornitori di servizi nella federazione SPID decidere se offrire o meno come servizio la funzione di SPID quale strumento per poter sottoscrivere elettronicamente documenti e atti. In caso positivo i metadati SPID indicheranno chiaramente che l’ente in questione offre tale servizio.
In cosa consiste il servizio
Il servizio deve permettere a un utente di sottoscrivere un documento anche in più punti attraverso un’unica sessione di autenticazione SPID e, inoltre, deve rendere possibile per più utenti sottoscrivere il medesimo documento in tempi diversi tramite distinte sessioni di autenticazione.
Le Linee Guida prevedono che gli Identity Service Providers possano offrire ai clienti firmatari servizi aggiuntivi di conservazione dei documenti firmati con SPID. In tal caso gli Identity Service Providers diventano titolari del trattamento dei dati personali per finalità diverse da quella del servizio di sottoscrizione, motivo per cui saranno obbligati a fornire agli utenti un’informativa chiara a riguardo.
Nel caso in cui l’utente non richieda un simile servizio di conservazione dei documenti firmati, l’Identity Service Provider, al termine del processo di sottoscrizione, è tenuto a rimuovere in modo sicuro il documento sottoscritto tramite SPID dai propri sistemi.
In estrema sintesi, la procedura di firma elettronica con SPID si svolge in due passaggi principali. Il primo, chiamato ‘predisposizione alla sottoscrizione’, si suddivide in quattro fasi, a carico del fornitore del servizio nella federazione SPID, che dovrà specificare all’utente la necessità di firmare tramite SPID, predisporre il documento per la firma, rendere noto all’utente che il processo prevede l’invio del documento all’Identity Service Provider e, infine, inviare a quest’ultimo il documento predisposto per la firma.
Il secondo passaggio, il ‘consenso alla sottoscrizione’, si divide in dieci fasi in cui l’Identity Service Provider identifica l’utente con SPID di livello 2 o superiore, gli fornisce l’informazione e tutti i dati utili per il processo di autenticazione e gli consente di visionare ulteriormente il documento, per poi raccogliere il suo consenso e, in caso positivo, acquisire dal fornitore il sigillo elettronico qualificato da apporre al documento stesso, per poi inviarlo al fornitore e, infine, informare sia l’utente sia il fornitore della conclusione del processo.
