La nuova firma elettronica mediante SPID
Oltre alle ben note firma digitale, firma elettronica avanzata e firma elettronica semplice, la norma contiene un richiamo ad una nuova modalità di firma elettronica, avente i requisiti di cui all’art. 2702 c.c., che presuppone l’emanazione di linee guida da parte dell’AgID.
Come noto, l’art. 20, comma 1 bis, del Codice dell’Amministrazione Digitale disciplina le modalità di sottoscrizione del documento informatico e prevede espressamente che “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’art. 2702 del codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.
Oltre alle ben note firma digitale, firma elettronica avanzata e firma elettronica semplice, la norma contiene un richiamo ad una nuova modalità di firma elettronica, avente i requisiti di cui all’art. 2702 c.c., che presuppone l’emanazione di linee guida da parte dell’AgID.
L’Agenzia ha provveduto ad emanare le suddette direttive in data 23 aprile ’20 e, come previsto, per tale modalità di firma elettronica si è codificato l’utilizzo del Sistema Pubblico per l’Identità Digitale (SPID).
Il provvedimento è particolarmente importante perché la nuova modalità di sottoscrizione potrà essere utilizzata per tutti gli atti e i contratti per i quali non è obbligatorio l’utilizzo della sola firma digitale (ovvero i contratti con oggetto immobiliare di cui all’art. 1350 c.c, dal numero 1) al numero 12) e dunque potrà riguardare un numero importante di documenti.
Per quanto concerne gli aspetti tecnici va evidenziato come il servizio non possa essere adoperato utilizzando identità digitali SPID per persona giuridica; possono essere utilizzate esclusivamente le identità digitali per le persone fisiche e le identità digitali per uso professionale.
Il processo per la generazione della firma prevede che il Service Provider (SP), ovvero il fornitore di servizi nella federazione SPID, conosca innanzitutto il codice fiscale del firmatario.
Acquisito tale dato possono avviarsi le procedure che portano alla generazione della firma elettronica; e pertanto il SP.
Il software di firma digitale con assicurazione FEA e conservazione a norma.
A questo punto, il documento giunge all’IDP il quale:
- presenta all’utente il bottone “Firma con SPID”, alla cui selezione il SP mostra l’elenco degli IDP (gestori delle identità digitali nel contesto della federazione SPID) che offrono il servizio di firma in modo che l’utente possa selezionare il proprio (è peraltro previsto che qualora l’utente sia già autenticato presso il SP, con l’identità digitale di un IDP che offre il servizio di firma con SPID, la selezione dell’IDP può essere saltata);
- il SP predispone il documento (documento predisposto per la firma), apponendovi un proprio sigillo elettronico qualificato e sottoponendolo, presso la propria piattaforma, all’utente affinché possa essere visionato, eventualmente scaricato e conservato;
- il SP rende manifesto all’utente che il processo prevede l’invio del documento all’IDP prescelto, acquisendone il consenso esplicito ; l’utente è anche avvisato in modo chiaro e manifesto che tale documento gli sarà reso successivamente disponibile dal proprio IDP e gli viene consigliato di leggerlo nuovamente in tale occasione;
- Il SP invia il documento predisposto per la firma al punto 2 all’IDP e, avuta evidenza del successo dell’invio, inoltra la sessione dell’utente al relativo IDP con una richiesta di autenticazione speciale denominata “firma con SPID“; tale richiesta contiene il codice fiscale del soggetto che deve apporre la firma.
A questo punto, il documento giunge all’IDP il quale:
- Procede con l’autenticazione dell’utente (mediante sistemi di autenticazione quantomeno in due passaggi), verificando che si tratti del firmatario atteso dal SP in base al codice fiscale ricevuto;
- informa l’utente che il processo di autenticazione è volto alla sottoscrizione, comunicando all’utente: a) il nome del SP che sta richiedendo la sottoscrizione del documento, b) il nome del file contenente il documento in oggetto;
- consente all’utente di visionare il documento e scaricarlo;
- propone all’utente di procedere con la sottoscrizione; il dissenso alla sottoscrizione da parte dell’utente comporta l’invio di una risposta di autenticazione con esito negativo al SP e il termine del processo;
- visualizza la pagina destinata a contenere il contenuto grafico del sigillo elettronico qualificato, informando l’utente in merito alla obbligatorietà o facoltatività della firma;
- acquisisce il consenso dell’utente ad apporre la firma;
- procede alla apposizione del sigillo elettronico qualificato (o di più sigilli nel caso siano previste più firme), formando dunque il documento firmato con SPID;
- propone all’utente di inviargli il documento firmato con SPID via posta elettronica, e/o di scaricarne una copia, e/o di renderglielo disponibile nella propria area riservata;
- invia al SP il documento firmato con SPID;
- invia al SP la risposta di autenticazione della firma con SPID recante l’esito positivo della procedura, reindirizzando l’utente presso il SP.
Come si vede si delinea un procedimento composito, che peraltro verrà eseguito nel giro di pochi secondi (e che dovrà essere ripetuto per ogni soggetto firmatario), che non prevede il solo impiego di SPID ma anche dei sigilli elettronici qualificati dei due soggetti (persone giuridiche) coinvolti nel processo, ovvero il fornitore di servizi nella federazione SPID (SP) e il gestore dell’identità digitale nel contesto della federazione SPID (IDP). Ciò con l’evidente fine di garantire l’integrità del documento che viene presentato e successivamente firmato con SPID.
Il sistema è dunque acquisito da validi presidi di sicurezza e oltretutto porta alla generazione di un documento che rispetta il profilo PDF/A-2a, ovvero un profilo che consente al documento in PDF di contenere allegati del medesimo formato, il che si potrà rivelare particolarmente utile in presenza, ad esempio, di contratti muniti di allegati tecnici che non richiedono la firma ma che devono viaggiare sempre in allegato al documento sottoscritto.