La nuova firma con SPID ha il potenziale di democratizzare la firma elettronica. Potrebbe divenire uno strumento ben conosciuto da parte dei sei milioni di cittadini che già oggi utilizzano SPID per l’autenticazione verso i siti della Pubblica Amministrazione e che, auspicabilmente presto, potranno sottoscrivere molte tipologie di documenti. D’altra parte, il successo di uno strumento già conosciuto ne faciliterebbe il suo utilizzo anche in contesti aziendali.
Su queste basi, la firma con SPID sarà utilizzata anche in azienda per firmare documenti interni all’azienda stessa? Faciliterà la completa digitalizzazione dei processi? La risposta è negativa.
Vediamo cosa ne frena l’utilizzo partendo dall’analisi delle Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD dalla prospettiva delle aziende private e della firma dei documenti interni.
La nuova firma con Spid per sottoscrivere documenti aziendali
Sono molte le aziende che si chiedono come sia possibile utilizzare la nuova modalità di firma per sottoscrivere documenti aziendali con l’obiettivo di facilitare la dematerializzazione di processi cartacei esistenti. Spesso i processi aziendali richiedono la firma da parte di uno o più attori. I processi digitali che dematerializzano i processi cartacei integrano quindi una qualche modalità di firma elettronica.
D’altra parte, la dematerializzazione dei processi porta con sé forti cambiamenti organizzativi: si pensi ad esempio alla normativa interna tipica delle società di ingegneria. Così, un’idea semplice, almeno ad alto livello, si traduce invece in progetti di implementazione che fanno spesso emergere difficoltà, costi di integrazione elevati, senza contare la costante e forte resistenza al cambiamento da parte degli utenti finali.
Per questi motivi, innovazioni o cambiamenti normativi come quelli introdotti recentemente, portano le aziende a ipotizzare, che siano disponibili nuovi e più semplici strumenti da far utilizzare ai propri dipendenti.
Oggi le aziende tendono a preferire la firma elettronica cosiddetta semplice alla firma digitale o alla firma avanzata. La firma elettronica semplice ha infatti costi di implementazione più ridotti e semplifica l’esperienza utente che, abituato alla firma su carta, tende a ostacolare qualsiasi innovazione che richieda più di qualche secondo per sostituirla. Le aziende sono consapevoli che il valore probatorio di questa modalità di firma sia veramente limitato in quanto liberamente valutabile in giudizio.
Per questo motivo i processi digitali prevedono spesso un passaggio finale in cui un responsabile appone una firma digitale, a completamento di un processo tracciato quasi completamente in applicazioni come Erp, sistemi di content management o di business process management. In questi scenari, la firma digitale finale aggiunge il carattere di immodificabilità e integrità al documento, mentre si lascia alle applicazioni aziendali l’identificazione del firmatario e la cattura della sua volontà di sottoscrivere un particolare documento. La firma digitale finale assume quindi un valore simile a quello del sigillo elettronico qualificato, strumento introdotto nel nostro ordinamento con l’emanazione del Regolamento eIDAS.
Ad alto livello, la firma con SPID è molto simile al processo appena descritto: il firmatario non è in possesso di un certificato a questi riconducibile e la sua identità è verificata controllando delle credenziali (sebbene con un livello di sicurezza che prevede anche l’utilizzo di one-time password o l’utilizzo di app certificate). Come per il caso discusso, una volta confermata la volontà di sottoscrivere il documento, il processo di firma con SPID termina con l’apposizione di un sigillo elettronico qualificato da parte dell’Idp, il gestore di identità digitali nel contesto della federazione SPID. Le analogie tra il processo di firma elettronica semplice su descritto e la firma con SPID si fermano qui.
Le differenze tra il processo di firma elettronica semplice e la firma con SPID
Seppur vi siano delle analogie, le differenze tra il processo di firma elettronica semplice e la firma con SPID sono sostanziali. La firma con SPID è estremamente più potente, “per legge”, in quanto è equiparata alla firma autografa: questa caratteristica non è raggiungibile neanche con il più sofisticato sistema di firma elettronica semplice e che potrebbe non essere considerato come valido in giudizio.
La firma SPID, oltre al firmatario, prevede due attori, il fornitore di servizi e il gestore di identità digitali. Il fornitore di servizi è l’ente o la società che potrà richiedere ad un utente collegato di sottoscrivere un documento con la firma SPID. A tal fine permetterà all’utente di selezionare il proprio fornitore di identità: è quest’ultimo che cattura la volontà di firma dell’utente e applica il proprio sigillo per rendere il documento così sottoscritto come immodificabile.
La firma SPID non è pensata per le aziende private, almeno non direttamente: il DPCM 24 ottobre 2014 che regola le caratteristiche del sistema SPID, definisce come fornitore di servizio SPID un’amministrazione, un ente pubblico o un fornitore dei servizi della società dell’informazione così come definito dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70. Il fornitore di servizi, inoltre, deve sottoscrivere una convenzione con Agid.
Le limitazioni all’uso della firma Spid in azienda
Il fornitore di servizi SPID è quindi una pubblica amministrazione oppure un’azienda che eroga un servizio prestato tipicamente via internet, tipicamente dietro compenso. Una generica azienda non rientra in questa fattispecie e difficilmente potrà (o vorrà) stipulare una convenzione con AGID per rientrare tra i fornitori di servizi SPID. Non potrà quindi fornire, anche se solo per i propri utenti, il servizio di firma SPID. L’azienda potrebbe però acquistare dei servizi di firma SPID pensati proprio per lo scopo discusso e offerti da un generico service provider, ammesso che siano disponibili in futuro service provider e che offrano questo tipo di servizi.
C’è poi un’altra limitazione all’utilizzo della firma SPID in azienda: la protezione dei documenti riservati e della proprietà intellettuale. Il documento da firmare deve, infatti, necessariamente uscire dal perimetro aziendale per passare in quello del service provider e quindi del gestore delle identità digitale scelto dal firmatario. In tema di sicurezza il regolamento impone regole di stringenti come l’utilizzo di storage dedicati e di canali di comunicazione sicuri. Inoltre, lo stesso regolamento prevede che il gestore delle identità cancelli il file da sottoscrivere al termine del processo di firma o entro dieci secondi per i file ricevuti e per i quali non sia pervenuta una relativa richiesta di autenticazione proveniente dal gestore dei servizi. Anche in presenza di questo tipo di regole molte aziende preferiscono che i propri documenti non escano fuori dalla propria intranet perché questi possono contenere informazioni sensibili, proprietà intellettuale o per il rispetto di normative o accordi interaziendali.
La firma SPID difficilmente sarà utilizzata in contesti aziendali, sicuramente mai in maniera massiccia: in effetti il regolamento è pensato soprattutto per i fornitori privati di servizi e per la pubblica amministrazione. Quest’ultima avrà uno strumento dirompente e che potrà fornire strumenti di firma, potenzialmente, a tutti i propri dipendenti senza la necessità di fornire a ciascuno di questi un certificato di firma digitale. La pubblica amministrazione non ha più motivi per non digitalizzare quasi completamente i propri processi.
D’altra parte, le aziende private hanno bisogno di un meccanismo di firma elettronica, simile a quanto previsto dalla firma con SPID, che dia piena validità legale al documento sottoscritto dai propri dipendenti, senza richiedere l’utilizzo e la gestione di certificati personali, uno per ogni firmatario.
Conclusioni
Valutando quanto definito da Agid in tema di firma con SPID, non siamo molto lontani dalla possibilità di definire un processo di firma legalmente valido e che preveda l’utilizzo del sigillo elettronico qualificato, aziendale, in combinazione con un meccanismo semplice e per quanto possibile completamente interno a ciascuna azienda, tale da permettere di tracciare la verifica dell’identità di ogni firmatario e la sua volontà, immediatamente prima della sottoscrizione di ogni documento.
In tal caso, anche le aziende private non avranno alcun motivo per non dematerializzare completamente i propri processi cartacei esistenti e prevedere l’utilizzo di soli documenti informatici.
