Firma Elettronica con SPID: cosa c’è da sapere
Grazie alle linee guida emanate da AgId, la Firma Elettronica con SPID ha acquisito lo stesso valore giuridico della firma autografa, soddisfacendo il requisito della forma scritta e producendo gli effetti dell’art. 2702 del Codice civile. Questo nuovo strumento digitale si è andato così ad aggiungere alle fattispecie di firma già previste dal legislatore (firma elettronica semplice, avanzata e qualificata), consentendo ai cittadini di sottoscrivere atti e documenti con validità giuridica con una nuova modalità. L’obiettivo è favorire il processo di completa digitalizzazione dei documenti.
L’Agenzia per l’Italia Digitale (AgID) ha emanato le “Linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD” il 26 marzo 2020. Tali linee guida sono divenute efficaci già dal momento della loro pubblicazione sul sito internet istituzionale dell’AgId. Il documento è stato poi pubblicato sulla Gazzetta Ufficiale il 4 aprile 2020.
Cos’è SPID
SPID è l’acronimo di Sistema Pubblico di Identità Digitale. Si tratta di un sistema di autenticazione gratuito e utilizzabile da pc, tablet e smartphone, che consente ai cittadini di accedere ai servizi messi a disposizione dalle Pubbliche Amministrazioni e dai privati che aderiscono al circuito con un’unica Identità Digitale. L’identità SPID viene fornita dagli Identity Provider, ossia da dei soggetti accreditati da AgID il cui compito è fornire le identità digitali agli utenti e gestirne le autenticazioni.
Il sistema SPID è:
- semplice, in quanto consente di gestire varie operazioni con un’unica password;
- sicuro, giacché assicura la piena protezione dei dati personali non consentendo alcun tipo di profilazione;
- veloce, dal momento che è possibile accedere ai servizi online in qualsiasi luogo e tramite qualunque dispositivo.
L’identità SPID è costituita da credenziali che permettono l’accesso ai servizi online prestati dai service provider e si distingue in 3 diversi livelli di sicurezza progressivi:
- SPID di livello 1: l’accesso è garantito da un nome utente e da una password;
- SPID di livello 2: necessario per servizi che richiedono un grado di sicurezza maggiore, permette l’accesso attraverso un nome utente e una password scelta dall’utente, più la generazione di un codice temporaneo di accesso, denominato OTP (One Time Password);
- SPID di livello 3: il livello con il più alto grado di sicurezza; oltre a nome utente e password, richiede un supporto fisico, come una smart card o uno smartphone, per l’identificazione.
Come funziona la procedura di Firma Elettronica con SPID
Per firmare documenti elettronici con SPID bisogna seguire una procedura che coinvolge due figure fondamentali: i Service Provider (SP), cioè i “fornitori di servizi della federazione SPID”, e i già citati Identity Provider (IdP), ossia i “gestori di identità digitali nel contesto della federazione SPID”.
L’intero processo di sottoscrizione si divide in due fasi:
- la predisposizione del documento alla sottoscrizione, che è gestita dai Service Provider;
- il consenso alla sottoscrizione, che è invece gestito dagli Identity Provider.
A livello pratico, in un primo momento il Service Provider fornisce il documento predisposto per la firma con il suo sigillo elettronico qualificato, permettendo all’utente di visionarlo, scaricarlo e memorizzarlo.
Poi, il SP informa l’utente che la procedura prevede l’invio del documento all’IdP, acquisendone così il consenso esplicito. L’utente, per proseguire nel processo, deve selezionare “Prosegui con la firma”.
L’IdP procede quindi con l’autenticazione dell’utente, verificando che sia il firmatario del documento inviato dal SP. Quindi, l’IdP propone all’utente di procedere alla sottoscrizione e, ricevuto il suo consenso, appone il proprio sigillo elettronico qualificato. In questo modo si origina il “documento formato con SPID”, che viene inviato dall’IdP al SP.
Le linee guida emanate da AgId permettono di identificare le caratteristiche che deve avere il documento da firmare con SPID:
- deve essere in PDF versione 1.7 o successive, profilo PDF/A-2°, secondo lo standard ISO/IEC 32000-1;
- non deve richiedere alcun controllo di accesso per essere aperto o modificato;
- deve essere modificabile solo ed esclusivamente per quanto concerne l’apposizione del sigillo PAdES;
- non deve presentare né il contenuto né i metadati cifrati.
La tendenza alla digitalizzazione completa dei documenti ha favorito la nascita e la diffusione di specifici software gestionali, come TeamSystem Digital Signature, creati proprio con l’obiettivo di rendere più semplice, veloce e sicuro l’intero processo di sottoscrizione digitale dei documenti.
Con questo servizio Cloud, ad esempio, è possibile gestire la firma elettronica anche da remoto, attraverso l’uso del proprio cellulare.