Da qualche giorno è disponibile la soluzione di Firma Elettronica Qualificata “one shot” con il massimo valore legale, pari alla firma autografa, che consente agli enti di digitalizzare l’iter di raccolta firme, utilizzando le funzionalità offerte dall’App IO.
Ai cittadini basta avere IO per firmare documenti e contratti direttamente sul proprio dispositivo.
Grazie a Firma con IO lo scambio di documenti tra enti e cittadini è immediato. Non serve apporre la firma in presenza o scannerizzare copie cartacee da inviare in pdf, perché tutto avviene su IO.
Per avere maggiori dettagli su come le Pubbliche Amministrazioni possono integrare il servizio di Firma con IO, si può consultare il manuale operativo.
A titolo di esempio, le Università possono gestire da remoto contratti occasionali, tirocini, dottorati, assegni di ricerca o borse di studio che devono essere sottoscritti da studenti o collaboratori, solitamente non dotati di una firma digitale certificata.
Come avviene il processo di firma
Vediamo nel dettaglio come avviene il processo di firma.
L’ente invia la richiesta di firma
L’ente chiede all’utente di firmare un documento, inviando un messaggio sull’app IO. L’ente può inserire una richiesta di firma anche nel proprio sito web, attraverso un pulsante dedicato che permette di aprire i documenti su IO e completare l’operazione.
I documenti sono visibili su IO
L’utente effettua l’accesso all’app IO per visualizzare i documenti da firmare, consultare le clausole presenti e le condizioni del fornitore del servizio.
L’utente appone la firma
Dopo aver selezionato le firme da apporre e accettato termini e condizioni del servizio, l’utente completa l’operazione tramite riconoscimento biometrico o codice di sblocco.
I documenti firmati sono disponibili
L’utente riceve tramite messaggio su IO i documenti firmati, che possono essere condivisi o scaricati sul proprio dispositivo.
Per poter usufruire di questa funzionalità, l’ente deve per prima cosa completare il processo di onboarding nell’Area Riservata di PagoPA.
Alcune precisazioni utili
Nelle FAQ pubblicate sul sito web dedicato ci sono alcune precisazioni utili; a titolo di esempio, viene chiarito che:
– Non è necessario avere già dei servizi pubblicati su App IO, si può scegliere di aderire solo a questa funzionalità
(anche se – a parere di chi scrive – sarebbe consigliato avere già dei servizi disponibili sull’app, soprattutto se i documenti da firmare riguardano qualche servizio in particolare);
– Firma con IO supporta la firma delle seguenti tipologie di file PDF: PDF standard; PDF/A-2A; e PDF già firmati con firma PAdES;
– Quando il documento viene inviato per la firma, risiede nei server di PagoPA, e solo al momento della firma viene inviato al QTSP (Qualified Trusted Service Provider) per l’emissione del certificato one shot e per la firma del documento;
– Per quanto riguarda la conservazione, sia l’utente che l’Ente sono tenuti alla conservazione, in quanto l’app IO li terrà soltanto per 90 giorni; in questo lasso di tempo l’utente potrà scaricare, salvare o condividere i documenti.
– La conservazione del certificato di firma qualificata one shot è onere del QTSP (Qualified Trusted Service Provider), che è tenuto a conservarlo per 20 anni;
– Si può inserire una data di scadenza della richiesta di firma, dopo quella data l’utente non potrà più firmare il documento. Se la data di scadenza non viene impostata, la richiesta di firma rimarrà attiva per tre mesi.
– È gestita anche la doppia firma: si può richiedere all’utente la firma di un documento PDF già firmato con firma PAdES (e.g., un documento con all’interno già la firma del soggetto con potere di firma dell’ente).
– Non è necessario inviare un messaggio per ciascun documento da firmare, possono essere firmati più documenti con una sola notifica: l’utente visualizza l’anteprima del primo documento, subito dopo una schermata di riepilogo con la lista delle firme da apporre e successivamente gli ulteriori documenti da firmare.
Gli scenari di utilizzo della firma
Il primo avviene esclusivamente da “mobile”, attraverso la notifica del documento e la conseguente firma, entrambe con l’app IO (in questo caso non ci sono sviluppi software particolari da fare, se non l’onboarding dell’Ente su App IO e l’invio della notifica con il documento);
Nel secondo caso, l’Ente integra sui suoi canali una CTA (Call To Action) “Firma con IO” attraverso la quale l’utente che naviga da mobile atterra sull’App IO per procedere alla firma, che avviene utilizzando le funzionalità dell’App; in questo caso occorre sviluppare delle funzionalità che integrano il canale web per la firma, seguendo le indicazioni contenute nel Manuale Operativo;
Nel terzo caso, l’Ente integra sui suoi canali una CTA (Call To Action) “Firma con IO” attraverso la quale l’utente che naviga da desktop ottiene un QR Code da inquadrare con il proprio smartphone per procedere alla firma, quindi il processo avviene qualsi esclusivamente dal web, e l’App viene utilizzata solo come “dispositivo” per la firma; anche in questo caso – come nel precedente – occorre sviluppare delle funzionalità che integrano il canale web per la firma.
Quindi il primo scenario può essere adottato dalle PA praticamente con pochissimi costi, a parte quelli dell’integrazione dei propri SW gestionali per l’invio del documento da firmare tramite l’App.
Rispetto ai casi in cui la firma del documento parte dal web – tipicamente il sito istituzionale dell’Ente o un servizio online dedicato – va fatta una riflessione sulla differenza con la normativa che regola la presentazione online delle istanze, in particolare l’Art. 65 CAD, in cui all’art. 1 si prevede che:
“Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante una delle forme di cui all’articolo 20;
b) ovvero, quando l’istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), la carta di identità elettronica o la carta nazionale dei servizi; (…)”
Quindi la “Firma con IO” interviene a pieno titolo nell’alternativa appena descritta nella lett. a), rimanendo comunque valida a tutt’oggi l’alternativa della lett. b) – cioè la presentazione di istanze online con accesso tramite SPID o CIE, che è l’ipotesi al momento più frequente.
Ne consegue che probabilmente non è chiaro quali possano essere gli scenari di utilizzo della firma tramite web, essendo invece molto più utile e frequente l’utilizzo della firma esclusivamente tramite App IO (scenario n. 1).
Infatti, questa modalità di firma è utile soprattutto nel caso di documenti “scollegati” da procedure web, e che non derivano direttamente da un’istanza, ma che conseguano come adempimento successivo in un procedimento complesso: come ad esempio i contratti di lavoro, i contratti per appalti di forniture, servizi e opere pubbliche, i contratti di concessione, perchè evita l’acquisto di dispositivi di firma digitale, sfruttando le potenzialità sia dell’account SPID / CIE e sia dell’app IO.
La Firma Elettronica Qualificata nel Regolamento EIDAS
La Firma Elettronica Qualificata è regolata dal Regolamento EIDAS (Artt. 29 e seguenti) e ha un valore giuridico equiparato alla firma autografa.
Inoltre la FEQ ha valore probatorio massimo, pari alla firma autografa, anche per gli use case da 1 a 12 dell’art. 1350 c.c. (es. atti pubblici immobiliari), dove la FEA non ha validità.
In caso di disconoscimento, solo per la FEQ vige la presunzione di valenza dello
strumento: è onere del firmatario dimostrare che la firma non è opera sua.
La FEQ non ha limite di utilizzo in ambito chiuso, a differenza della FEA, che deve limitarsi ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto, come da art. 60 del DPCM 22/02/2013, e necessita di un accordo scritto tra le parti.
La differenza con Firma con SPID è sostanziale, perchè quest’ultima è una tipologia di firma non classificata da normativa eIDAS ma equiparabile ad una Firma Elettronica Avanzata con caratteristiche tecnologiche definite dalle Linee Guida Agid, ai sensi dell’art. 20 del CAD.
Individuare casi d’uso interessanti per i Comuni
Nella comunicazione di PagoPA sono stati individuati i primi casi d’uso per le Università, sarebbe invece molto utile individuare casi d’uso interessanti per i Comuni, che coprono quasi 8.000 enti nel territorio nazionale, e offrono la maggior parte dei servizi per cittadini e imprese, e per altri soggetti pubblici.
A parte tutte le tipologie di contratti – già citati poco sopra – una fattispecie di interesse può essere rappresentata dall’adesione degli utenti a forniture di servizi di rete (acqua, luce, gas, telefonia, ecc.), che adesso avviene quasi totalmente in forma analogica o con strumenti riconducibili alla “firma grafometrica”.
Un altro esempio potrebbe essere l’apposizione dell’assenso di altri interessati nel procedimento, diversi dalla persona che presenta la richiesta: come avviene nel caso del rilascio della carta di identità per i minori, in cui è richiesto l’assenso di entrambi i genitori: quindi un genitore compila la domanda, e invia all’altro genitore l’assenso da firmare – tramite messaggio con App IO; in questo modo tutto il processo avviene online, senza necessità di compilare e/o scansionare altri moduli.
La stessa cosa avviene per il cambio di residenza – servizio attualmente fornito da ANPR con il portale nazionale – in cui tutti i soggetti maggiorenni debbono dare il loro assenso.
Per quanto riguarda l’invio della notifica con il documento da firmare, occorrerebbe verificare in quale modo la PA rientra in possesso del documento firmato dalla persona: anche nel caso in cui l’atto contenga già la firma del Responsabile preposto dell’Ente – se richiesta – il processo dovrebbe prevedere un’integrazione con il protocollo informatico, che si occupa infatti dell’acquisizione finale del documento con tutte le firme richieste e della conseguente fascicolazione, archiviazione e conservazione a norma.
A questo fine, sarebbe utile un richiamo alle Linee Guida AGID del 2020, ed in particolare all’All. 6, che contiene le regole per l’interoperabilità (di cui al momento si è appena conclusa la consultazione pubblica per la definizione delle API in formato REST, che si aggiungono al formato SOAP).
Rispetto ai costi di “Firma con IO”, le condizioni contrattuali attuali prevedono la cifra di 0,50 cent. per ogni firma apposta (che si abbassa a 0,40 cent. per un ammontare di firme apposte maggiore di 25.000).
La sostenibilità economica del servizio
La sostenibilità economica del servizio da parte degli Enti va vista in prospettiva, comparando i costi con i vantaggi della gestione digitale dei documenti: infatti, ad oggi molto spesso certe tipologie di documenti spesso sono firmati di persona oppure raccolti in modo non sicuro attraverso la scansione di pdf firmati manualmente.
In questo caso, invece, “Firma con IO” rende facile ed usabile la firma elettronica dei documenti, evitando l’acquisto di supporti esterni, come la firma digitale, o le tavolette per la firma grafometrica.
Un altro effetto interessante derivato potrebbe essere che la possibilità di firmare documenti diventi un volano per chi ancora non conosce l’App IO, i sistemi di identità digitale SPID / CIE e i possibili utilizzi, costituendo così uno strumento in più per la diffusione della cultura digitale.
