Il 26 marzo 2020 l’Agenzia per l’Italia Digitale (AgID) ha emanato le “Linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD, divenute efficaci già dal momento della loro pubblicazione sul sito internet istituzionale dell’Agenzia.

Tale documento, pubblicato sulla Gazzetta Ufficiale il 4 aprile 2020, va ad affiancare le “Le linee guida per il rilascio dell’identità digitale per uso professionale”, entrate in vigore nel mese di dicembre 2019, ed è destinato ai fornitori di servizi (o service provider) e ai fornitori delle identità digitali (o identity provider), le due figure coinvolte nel processo di sottoscrizione, di cui si dirà più avanti.

In via preliminare, occorre ricordare quanto previsto dall’art. 20 comma 1-bis del CAD, secondo cui “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.

Quindi, sostanzialmente, grazie alle nuove Linee guida sarà possibile firmare atti e contratti attraverso il sistema SPID con lo stesso valore giuridico della firma autografa, soddisfacendo il requisito della forma scritta prescritto dall’art. 2702 del Codice civile. La firma SPID andrà ad affiancare le varie firme elettroniche, elettroniche avanzate e qualificate, e consentirà di firmare un documento predisposto da un Service Provider che aderisce al circuito SPID.

 

Che cos’è SPID?

SPID è il Sistema Pubblico di Identità Digitale, ovvero un sistema di autenticazione che permette ai cittadini di accedere ai servizi messi a disposizione dalle pubbliche amministrazioni e dai privati che aderiscono al circuito con un’unica Identità Digitale. L’identità SPID viene fornita dagli Identity Provider, ossia dei soggetti accreditati da AgID (al momento se ne contano nove) che si occupano di fornire le identità digitali agli utenti e di gestirne le autenticazioni. Secondo i dati forniti dall’AgID, nel mese di marzo 2020 si contavano circa 6 milioni e mezzo di identità digitali erogate e circa 4 mila pubbliche amministrazione che fornivano servizi tramite SPID.

I servizi già attivi per i cittadini sono moltissimi e in costante aggiornamento: si va dai servizi nazionali, come quelli messi a disposizione dall’INAIL (consultazione del Cud, richiesta bollettini), dall’INPS (congedi di maternità e domanda di disoccupazione) o dall’Agenzia delle Entrate a quelli territoriali messi a disposizione da Province, Comuni e numerose Università.

Durante questo periodo di isolamento forzato, molti avranno avuto modo di fruire dei contenuti di varia natura messi a disposizione da centinaia di aziende sul sito https://solidarietadigitale.agid.gov.it/#/: ebbene, alcuni di questi servizi, ad esempio, richiedono l’autenticazione dell’utente con il sistema SPID.

 

Come avviene la procedura di sottoscrizione?

La sottoscrizione di un documento avviene attraverso una lunga serie di passaggi che vede coinvolte due figure fondamentali: i Service Provider (SP) definiti come “i fornitori di servizi della federazione SPID” e gli Identity Provider (IdP) definiti come “i gestori di identità digitali nel contesto della federazione SPID”. I primi sono le amministrazioni pubbliche o i privati che offrono un determinato servizio, i quali predispongono, quindi, il documento che deve essere firmato dall’utente. I secondi sono soggetti accreditati dall’AgID, che forniscono servizi di autenticazione e sottoscrizione di documenti, garantendone la confidenzialità, l’integrità e la disponibilità.

A norma delle citate Linee guida, la sottoscrizione del documento consta di due fasi:

  1. la predisposizione del documento alla sottoscrizione, che viene gestita dal service provider;
  2. la fase del consenso alla sottoscrizione, che viene gestita invece dall’Identity provider.

Si può dire, quindi, semplificando, che in un primo momento il service provider fornisce all’utente il documento predisposto per la firma, apponendovi il proprio sigillo elettronico qualificato, e permettendogli di visionarlo, scaricarlo e memorizzarlo. Successivamente, informa l’utente che il processo prevede l’invio del documento all’IdP, acquisendone il consenso esplicito. Per proseguire l’utente seleziona il passaggio “Prosegui con la firma”.

Dal canto suo, l’identity provider procede poi all’autenticazione dell’utente e verifica che questi sia il firmatario del documento inviato dal service provider. Fatto ciò, propone all’utente di procedere alla sottoscrizione: ricevuto il consenso da quest’ultimo, appone il sigillo elettronico qualificato, formando, così, il “documento formato con SPID” e lo invia al SP.

Le Linee guida indicano poi, anche le caratteristiche di cui deve essere munito il documento da sottoscrivere, in particolare:

  • quanto al formato, esso deve essere in PDF versione 1.7 o successive, profilo PDF/A-2°, secondo lo standard ISO/IEC 32000-1
  • non deve richiedere alcun controllo di accesso per essere aperto o modificato;
  • la modifica del documento deve essere consentita esclusivamente per quanto concerne l’apposizione del sigillo PAdES;
  • né il contenuto del documento né i suoi metadati devono essere cifrati.

Le linee guida prevedono, infine, che, una volta formato il documento e messo a disposizione dell’utente per la visualizzazione e il download, l’identity provider debba rimuoverlo dai propri sistemi, nel rispetto di quanto previsto dalla normativa vigente in materia di protezione dei dati personali. Ci si riferisce, in particolare, all’art. 5 del GDPR (Reg. UE 679/2016) secondo cui i dati personali possono essere conservati per un tempo non superiore al conseguimento delle finalità per le quali sono trattati (“principio di limitazione della conservazione”).

 

Un servizio in più: la conservazione dei documenti firmati

L’identity provider può continuare a detenere il documento solo nel caso in cui sia stato appositamente autorizzato dall’utente. Esiste la possibilità, infatti, di offrire ai clienti un servizio aggiuntivo di conservazione dei documenti firmati che risulta completamente slegato dal servizio di sottoscrizione. In tal caso, l’IdP sarà titolare del trattamento dei dati dell’utente per finalità diverse e ulteriori rispetto a quelle relative al servizio di sottoscrizione ex art. 20 del CAD: all’utente dovrà essere fornita un’adeguata informativa con tutte le caratteristiche previste dall’art. 13 del GDPR, consentendogli, così, di prestare in maniera consapevole il proprio consenso.

 

Parere del Consiglio di Stato sulle Linee guida

Il Consiglio di Stato, con il parere n. 2122/2017 del 10 ottobre 2017, ha precisato che “per poter consentire al Codice di trovare una applicazione uniforme su tutto il territorio nazionale e nei confronti dell’intera collettività”, le linee guida emanate dall’AgID, ai sensi dell’articolo 71 del CAD, non possono che assumere una valenza erga omnes e un carattere di vincolatività. Tali linee guida andrebbero quindi inquadrate, nella gerarchia delle fonti, “come un atto di regolazione seppur di natura tecnica, con la conseguenza che le medesime dovrebbero ritenersi pienamente giustiziabili dinanzi al giudice amministrativo” in caso di violazione delle relative disposizioni. Inoltre, a norma dell’art. 17 del CAD, se le violazioni delle disposizioni sono poste in essere da pubbliche amministrazioni, da gestori di servizi pubblici e da società a controllo pubblico (ai sensi dell’art. 2, co. 2 del CAD), è possibile presentare una segnalazione al difensore civico digitale.

Redazione Diritto dell’informatica

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.