Il 26 marzo 2020 l’Agenzia per l’Italia Digitale (AgID) ha emanato le “Linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”, divenute efficaci già dal momento della loro pubblicazione sul sito internet istituzionale dell’Agenzia.
Tale documento, pubblicato sulla Gazzetta Ufficiale il 4 aprile 2020, va ad affiancare le “Le linee guida per il rilascio dell’identità digitale per uso professionale”, entrate in vigore nel mese di dicembre 2019, ed è destinato ai fornitori di servizi (o service provider) e ai fornitori delle identità digitali (o identity provider), le due figure coinvolte nel processo di sottoscrizione, di cui si dirà più avanti.
In via preliminare, occorre ricordare quanto previsto dall’art. 20 comma 1-bis del CAD, secondo cui “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.
Quindi, sostanzialmente, grazie alle nuove Linee guida sarà possibile firmare atti e contratti attraverso il sistema SPID con lo stesso valore giuridico della firma autografa, soddisfacendo il requisito della forma scritta prescritto dall’art. 2702 del Codice civile. La firma SPID andrà ad affiancare le varie firme elettroniche, elettroniche avanzate e qualificate, e consentirà di firmare un documento predisposto da un Service Provider che aderisce al circuito SPID.
Che cos’è SPID?
SPID è il Sistema Pubblico di Identità Digitale, ovvero un sistema di autenticazione che permette ai cittadini di accedere ai servizi messi a disposizione dalle pubbliche amministrazioni e dai privati che aderiscono al circuito con un’unica Identità Digitale. L’identità SPID viene fornita dagli Identity Provider, ossia dei soggetti accreditati da AgID (al momento se ne contano nove) che si occupano di fornire le identità digitali agli utenti e di gestirne le autenticazioni. Secondo i dati forniti dall’AgID, nel mese di marzo 2020 si contavano circa 6 milioni e mezzo di identità digitali erogate e circa 4 mila pubbliche amministrazione che fornivano servizi tramite SPID.
I servizi già attivi per i cittadini sono moltissimi e in costante aggiornamento: si va dai servizi nazionali, come quelli messi a disposizione dall’INAIL (consultazione del Cud, richiesta bollettini), dall’INPS (congedi di maternità e domanda di disoccupazione) o dall’Agenzia delle Entrate a quelli territoriali messi a disposizione da Province, Comuni e numerose Università.
Durante questo periodo di isolamento forzato, molti avranno avuto modo di fruire dei contenuti di varia natura messi a disposizione da centinaia di aziende sul sito https://solidarietadigitale.agid.gov.it/#/: ebbene, alcuni di questi servizi, ad esempio, richiedono l’autenticazione dell’utente con il sistema SPID.
Come avviene la procedura di sottoscrizione?
La sottoscrizione di un documento avviene attraverso una lunga serie di passaggi che vede coinvolte due figure fondamentali: i Service Provider (SP) definiti come “i fornitori di servizi della federazione SPID” e gli Identity Provider (IdP) definiti come “i gestori di identità digitali nel contesto della federazione SPID”. I primi sono le amministrazioni pubbliche o i privati che offrono un determinato servizio, i quali predispongono, quindi, il documento che deve essere firmato dall’utente. I secondi sono soggetti accreditati dall’AgID, che forniscono servizi di autenticazione e sottoscrizione di documenti, garantendone la confidenzialità, l’integrità e la disponibilità.
A norma delle citate Linee guida, la sottoscrizione del documento consta di due fasi:
- la predisposizione del documento alla sottoscrizione, che viene gestita dal service provider;
- la fase del consenso alla sottoscrizione, che viene gestita invece dall’Identity provider.
Si può dire, quindi, semplificando, che in un primo momento il service provider fornisce all’utente il documento predisposto per la firma, apponendovi il proprio sigillo elettronico qualificato, e permettendogli di visionarlo, scaricarlo e memorizzarlo. Successivamente, informa l’utente che il processo prevede l’invio del documento all’IdP, acquisendone il consenso esplicito. Per proseguire l’utente seleziona il passaggio “Prosegui con la firma”.
Dal canto suo, l’identity provider procede poi all’autenticazione dell’utente e verifica che questi sia il firmatario del documento inviato dal service provider. Fatto ciò, propone all’utente di procedere alla sottoscrizione: ricevuto il consenso da quest’ultimo, appone il sigillo elettronico qualificato, formando, così, il “documento formato con SPID” e lo invia al SP.
Le Linee guida indicano poi, anche le caratteristiche di cui deve essere munito il documento da sottoscrivere, in particolare:
- quanto al formato, esso deve essere in PDF versione 1.7 o successive, profilo PDF/A-2°, secondo lo standard ISO/IEC 32000-1
- non deve richiedere alcun controllo di accesso per essere aperto o modificato;
- la modifica del documento deve essere consentita esclusivamente per quanto concerne l’apposizione del sigillo PAdES;
- né il contenuto del documento né i suoi metadati devono essere cifrati.
Le linee guida prevedono, infine, che, una volta formato il documento e messo a disposizione dell’utente per la visualizzazione e il download, l’identity provider debba rimuoverlo dai propri sistemi, nel rispetto di quanto previsto dalla normativa vigente in materia di protezione dei dati personali. Ci si riferisce, in particolare, all’art. 5 del GDPR (Reg. UE 679/2016) secondo cui i dati personali possono essere conservati per un tempo non superiore al conseguimento delle finalità per le quali sono trattati (“principio di limitazione della conservazione”).
Un servizio in più: la conservazione dei documenti firmati
L’identity provider può continuare a detenere il documento solo nel caso in cui sia stato appositamente autorizzato dall’utente. Esiste la possibilità, infatti, di offrire ai clienti un servizio aggiuntivo di conservazione dei documenti firmati che risulta completamente slegato dal servizio di sottoscrizione. In tal caso, l’IdP sarà titolare del trattamento dei dati dell’utente per finalità diverse e ulteriori rispetto a quelle relative al servizio di sottoscrizione ex art. 20 del CAD: all’utente dovrà essere fornita un’adeguata informativa con tutte le caratteristiche previste dall’art. 13 del GDPR, consentendogli, così, di prestare in maniera consapevole il proprio consenso.
Parere del Consiglio di Stato sulle Linee guida
Il Consiglio di Stato, con il parere n. 2122/2017 del 10 ottobre 2017, ha precisato che “per poter consentire al Codice di trovare una applicazione uniforme su tutto il territorio nazionale e nei confronti dell’intera collettività”, le linee guida emanate dall’AgID, ai sensi dell’articolo 71 del CAD, “non possono che assumere una valenza erga omnes e un carattere di vincolatività”. Tali linee guida andrebbero quindi inquadrate, nella gerarchia delle fonti, “come un atto di regolazione seppur di natura tecnica, con la conseguenza che le medesime dovrebbero ritenersi pienamente giustiziabili dinanzi al giudice amministrativo” in caso di violazione delle relative disposizioni. Inoltre, a norma dell’art. 17 del CAD, se le violazioni delle disposizioni sono poste in essere da pubbliche amministrazioni, da gestori di servizi pubblici e da società a controllo pubblico (ai sensi dell’art. 2, co. 2 del CAD), è possibile presentare una segnalazione al difensore civico digitale.
Redazione Diritto dell’informatica