Entro il 20 dicembre 2019 è possibile commentare lo schema di Linee Guida recanti le “Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’articolo 20 del CAD” secondo le modalità descritte sul sito istituzionale di AgID.
Le Regole Tecniche proposte in consultazione in base alla normativa stabilita nell’articolo 71 del Codice dell’Amministrazione Digitale (CAD) sono evidentemente redatte con una forte attenzione alle norme sulla protezione dei dati personali e vincolate alle regole consolidate per SPID.
Come sempre accade quando è coinvolto Spid, elemento determinante del sistema è l’adesione dei SP e il loro impegno economico.
La formazione del documento informatico
Nel titolo del documento viene citato l’intero articolo 20, ma le Linee Guida fanno specifico riferimento al primo periodo del comma 1-bis.
La prevista formazione del documento informatico viene ricondotta a una ulteriore fattispecie di sottoscrizione che, quindi, si aggiunge a quelle già presenti nel nostro ordinamento.
In particolare, in questo comma, si dispone il soddisfacimento del requisito della forma scritta e l’efficacia prevista dall’articolo 2702 del Codice Civile del documento informatico formato previa identificazione informatica del suo autore.
Peraltro, nelle Linee Guida, non c’è riferimento all’articolo 20, comma 2-bis dove si stabilisce la possibilità di utilizzare questa modalità di formazione del documento anche per gli atti di cui all’articolo 1350 del Codice civile.
Come si articola il procedimento di sottoscrizione
Vediamo come si articola il procedimento di sottoscrizione descritto.
Per l’identificazione del soggetto sottoscrittore si utilizza l’architettura SPID. Sono ammesse solo le identità assegnate a persone fisiche o per uso professionale, quest’ultime regolamentate nelle “Linee guida per il rilascio dell’identità digitale per uso professionale, pubblicate con Determinazione AgID .318/20192 e successive modificazioni”.
La procedura di sottoscrizione si attua nel rispetto delle regole di SPID e il documento da sottoscrivere è predisposto da un fornitore di servizi autorizzato tramite la sottoscrizione dell’apposita convenzione (Service Provider – SP).
Il servizio di sottoscrizione è realizzato per permettere al medesimo utente di sottoscrivere un documento, (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, analogamente, anche la sottoscrizione del medesimo documento a utenti distinti, in tempi e con sessioni di autenticazione SPID distinte.
Il SP propone all’utente il bottone “Firma con SPID” e consente all’utente di scegliere il gestore dell’identità SPID (Identity Provider – IdP) a meno che l’utente con sia già autenticato durante la sessione attiva con il SP.
Quest’ultimo predispone il documento per la firma e lo “congela” con un sigillo elettronico qualificato. Il documento è nella totale disponibilità dell’utente che può visionarlo, copiarlo in locale e conservarlo.
L’autenticazione dell’utente
Se l’utente, al quale vengono fornite informazioni sul flusso del documento verso e dall’IdP prescelto procede con l’operazione di firma (tramite specifico bottone) iniziano le operazioni a carico dell’IdP. L’autenticazione che l’IdP deve garantire almeno il livello 2 con specifiche caratteristiche denominate in modo esplicito come “firma con SPID”.
L’IdP procede con l’autenticazione dell’utente con credenziali di livello 2 o superiore, verificando che si tratti del firmatario atteso dal SP, in base al codice fiscale reso disponibile nella transazione (e che evidentemente deve essere noto e a circolazione autorizzata dall’utente).
L’IdP poi informa l’utente che il processo di autenticazione è specifico per la sottoscrizione, comunicando all’utente:
- il nome del SP che sta richiedendo la sottoscrizione del documento;
- il nome del file contenente il documento in oggetto.
Anche in questa fase è consentito all’utente di visionare il documento e copiarlo in locale.
L’IdP propone all’utente di procedere con la sottoscrizione, raccogliendone il consenso. Qualora l’utente non intenda procedere con la sottoscrizione, si ha l’invio di una risposta di autenticazione con esito negativo al SP e il termine del processo.
Viene visualizzata la pagina destinata a contenere il contenuto grafico del sigillo elettronico qualificato informando l’utente in merito alla obbligatorietà o facoltatività della firma.
L’utente acconsente all’apposizione della firma.
Si procede alla apposizione del sigillo elettronico qualificato (o di più sigilli nel caso siano previste più firme), formando dunque il documento firmato con SPID, secondo quanto prescritto nelle regole di formato stabilite in queste Linee Guida.
All’utente viene proposto l’invio del documento firmato con SPID via posta elettronica, e/o di scaricarne una copia, e/o di averne disponibilità nella propria area riservata in base allo specifico servizio disponibile.
Successivamente il documento firmato con SPID viene inviato al SP con le modalità stabilite nelle Linee Guida.
La conclusione della sessione
La sessione con il SP si conclude con l’invio della risposta di autenticazione della firma SPID recante l’esito positivo della procedura reindirizzando l’utente presso il SP. Nel caso in cui questa operazione non abbia successo, l’IdP informa il SP e l’utente che l’operazione di sottoscrizione non ha avuto successo.
Le operazioni di consenso all’apposizione del sigillo qualificato sono reiterate per ogni firma.
Il documento sottoscritto, salvo il caso per il quale l’utente ha scelto i servizi di conservazione dell’ IdP (come stabilito nelle Linee Guida), deve essere cancellato dall’IdP con modalità conformi alla normativa sulla protezione dei dati personali.
Modalità operative e tecnologiche
Le Linee Guida poi descrivono in dettaglio le modalità operative e tecnologiche partendo dal formato per il documento informatico.
Il documento predisposto dal SP per il processo di firma deve essere conforme alle specifiche PDF versione 1.7 o successive, profilo PDF/A-2a, secondo lo standard ISO/IEC 32000-112. Inoltre deve necessariamente rispettare le seguenti caratteristiche tecniche:
- il documento non richiede alcun controllo di accesso per essere aperto o modificato;
- è consentita la modifica del documento esclusivamente per quanto concerne l’apposizione dei previsti sigilli elettronici conformi al formato PAdES;
- il contenuto del documento e i suoi metadati non sono cifrati.
Altre specifiche tecniche riguardano la nomenclatura dei documenti, le modalità di apposizione dei sigilli elettronici qualificati da parte del SP e dell’ IdP, il formato dei certificati qualificati per il sigillo elettronico e una serie di informazioni indispensabili per il corretto funzionamento del sistema SPID.
Vengono stabilite ulteriori regole, cruciali per il rispetto della protezione dei dati personali, sul trasferimento sicuro dei documenti informatici.
Sono stabilite anche regole per gli algoritmi crittografici da utilizzare per la sottoscrizione e l’apposizione dei sigilli elettronici qualificati.
Le Linee Guida si chiudono con i codici di ritorno delle transazioni e con gli obblighi che IdP e SP devono rispettare.
Da notare che, sempre nella parte finale delle Linee Guida si stabilisce che:
“Al fine della convalida dei documenti, tutti i sigilli elettronici qualificati associati al documento ai sensi delle presenti Linee guida sono validi ai sensi della normativa vigente in materia”.
Si tratta di una norma importante, perché è la prima volta nell’ordinamento nazionale che si stabiliscono regole tecniche sul sigillo elettronico qualificato stabilito nel regolamento europeo 910/2014 (eIDAS).
Conclusioni
In conclusione, di questa sintetica analisi possiamo dire che queste Linee Guida confermano che quanto stabilito all’articolo 20, comma 1-bis non apporta particolari benefici al consolidato sistema delle sottoscrizioni.
La consultazione pubblica può apportare migliorie al linguaggio, alle volte poco chiaro e all’eliminazione dei numerosi refusi presenti nel testo.
È evidente che AgID ha fatto un forte e apprezzabile sforzo per soddisfare un obbligo che le derivava dalla normativa primaria.
L’adesione a questo servizio è volontaria, come stabilito nelle Linee Guida.
L’elemento cruciale di questo sistema è ancora una volta (come sempre quando è coinvolto SPID) nell’adesione dei SP e nel loro impegno economico indispensabile per alimentare gli introiti degli IdP.
Certamente questo meccanismo è utile alla PA perché può ottenere una sottoscrizione qualificata da parte del cittadino, ma la PA non è un SP pagante.
Questa ulteriore conferma sulla sostenibilità economica dovrebbe orientare le decisioni politiche per evitare che il progetto SPID, tanto ambito, sostenuto e sviluppato per quasi quattro anni sia lasciato morire d’inedia.
