Uno dei “cavalli di battaglia” su cui il nostro Paese punta maggiormente nel processo di digitalizzazione dello stesso è sicuramente lo Spid, che a partire dal 2013 ha goduto di una crescita ed implementazione esponenziali, divenendo nei fatti lo strumento principe in tema di identificazione digitale.
A giudizio di chi scrive il suo ruolo non è tuttavia destinato a fermarsi qui, in quanto nel prossimo futuro potrà essere oggetto di una evoluzione che potrebbe portarlo a divenire strumento fondamentale sia in tema di identificazione che, soprattutto, in tema di firma, racchiudendo in sé due finalità ed esigenze che normalmente ad oggi vengono soddisfatte con il ricorso a strumenti diversi.
In tale direzione un grande passo in avanti, avvenuto in concomitanza con il lockdown e quindi passato un po’ in sordina, è stato compiuto con la pubblicazione delle “Linee guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 CAD” dd. 08/04/2020 da parte dell’AgID, le quali nei fatti prevedono una nuova tipologia di firma elettronica.
In particolare, la prima parte dell’art. 20 comma 1 bis CAD sancisce che “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.
Le linee guida di cui sopra danno quindi attuazione alle modifiche normative del 2017 e consentono di sottoscrivere – in modalità paperless e previa autenticazione presso il proprio gestore di identità digitale (Identity Provider, IP) – un documento proposto online da un fornitore di servizi online (Service Provider, cd. SP). Ad oggi tale possibilità è prevista esclusivamente per le persone fisiche, con espressa esclusione di quelle giuridiche, e la firma così realizzata è perfettamente valida ed efficace ai sensi dell’art. 2702 cc., godendo dello stesso valore giuridico della firma autografa.
L’estrema sintesi del processo, che si evidenzia essere ben più complesso ed articolato, è la seguente:
- l’utente si troverà sul sito del SP che gli metterà a disposizione il documento da firmare, sul quale appone il proprio sigillo elettronico qualificato;
- all’interno di tale sito troverà il pulsante per la firma tramite Spid e l’indicazione del flusso del procedimento di firma;
- il SP dovrà ottenere il consenso dell’utente all’invio del documento all’IP;
- successivamente a tale invio, il SP comunicherà la sessione al IP inviando una richiesta di autenticazione speciale e l’utente dovrà autenticarsi presso il proprio IP utilizzando almeno il secondo livello di Spid;
- sul sito del suo IP l’utente dovrà prestare un ulteriore consenso all’apposizione della firma utilizzando le proprie credenziali Spid;
- una volta ricevuto tale consenso, il IP apporrà il sigillo elettronico qualificato e invierà al SP il documento firmato.
Attraverso tale procedimento l’AgID garantisce la sicurezza, l’integrità e l’immodificabilità del documento, nonché la sua riconducibilità all’autore in maniera manifesta e inequivoca. La palla ora passa ai nove identity providers, alcuni dei quali si sono già attivati con successo per la concretizzazione di tale nuova ed interessante modalità di firma digitale.
Roberto De Bellis – Centro Studi CGN
