Le Linee guida SPID per la sottoscrizione elettronica di documenti

Il 26 marzo 2020 l’Agenzia per l’Italia Digitale (AgID) ha emanato le “Linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD, divenute efficaci già dal momento della loro pubblicazione sul sito internet istituzionale dell’Agenzia.

Tale documento, pubblicato sulla Gazzetta Ufficiale il 4 aprile 2020, va ad affiancare le “Le linee guida per il rilascio dell’identità digitale per uso professionale”, entrate in vigore nel mese di dicembre 2019, ed è destinato ai fornitori di servizi (o service provider) e ai fornitori delle identità digitali (o identity provider), le due figure coinvolte nel processo di sottoscrizione, di cui si dirà più avanti.

In via preliminare, occorre ricordare quanto previsto dall’art. 20 comma 1-bis del CAD, secondo cui “il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.

Quindi, sostanzialmente, grazie alle nuove Linee guida sarà possibile firmare atti e contratti attraverso il sistema SPID con lo stesso valore giuridico della firma autografa, soddisfacendo il requisito della forma scritta prescritto dall’art. 2702 del Codice civile. La firma SPID andrà ad affiancare le varie firme elettroniche, elettroniche avanzate e qualificate, e consentirà di firmare un documento predisposto da un Service Provider che aderisce al circuito SPID.

 

Che cos’è SPID?

SPID è il Sistema Pubblico di Identità Digitale, ovvero un sistema di autenticazione che permette ai cittadini di accedere ai servizi messi a disposizione dalle pubbliche amministrazioni e dai privati che aderiscono al circuito con un’unica Identità Digitale. L’identità SPID viene fornita dagli Identity Provider, ossia dei soggetti accreditati da AgID (al momento se ne contano nove) che si occupano di fornire le identità digitali agli utenti e di gestirne le autenticazioni. Secondo i dati forniti dall’AgID, nel mese di marzo 2020 si contavano circa 6 milioni e mezzo di identità digitali erogate e circa 4 mila pubbliche amministrazione che fornivano servizi tramite SPID.

I servizi già attivi per i cittadini sono moltissimi e in costante aggiornamento: si va dai servizi nazionali, come quelli messi a disposizione dall’INAIL (consultazione del Cud, richiesta bollettini), dall’INPS (congedi di maternità e domanda di disoccupazione) o dall’Agenzia delle Entrate a quelli territoriali messi a disposizione da Province, Comuni e numerose Università.

Durante questo periodo di isolamento forzato, molti avranno avuto modo di fruire dei contenuti di varia natura messi a disposizione da centinaia di aziende sul sito https://solidarietadigitale.agid.gov.it/#/: ebbene, alcuni di questi servizi, ad esempio, richiedono l’autenticazione dell’utente con il sistema SPID.

 

Come avviene la procedura di sottoscrizione?

La sottoscrizione di un documento avviene attraverso una lunga serie di passaggi che vede coinvolte due figure fondamentali: i Service Provider (SP) definiti come “i fornitori di servizi della federazione SPID” e gli Identity Provider (IdP) definiti come “i gestori di identità digitali nel contesto della federazione SPID”. I primi sono le amministrazioni pubbliche o i privati che offrono un determinato servizio, i quali predispongono, quindi, il documento che deve essere firmato dall’utente. I secondi sono soggetti accreditati dall’AgID, che forniscono servizi di autenticazione e sottoscrizione di documenti, garantendone la confidenzialità, l’integrità e la disponibilità.

A norma delle citate Linee guida, la sottoscrizione del documento consta di due fasi:

  1. la predisposizione del documento alla sottoscrizione, che viene gestita dal service provider;
  2. la fase del consenso alla sottoscrizione, che viene gestita invece dall’Identity provider.

Si può dire, quindi, semplificando, che in un primo momento il service provider fornisce all’utente il documento predisposto per la firma, apponendovi il proprio sigillo elettronico qualificato, e permettendogli di visionarlo, scaricarlo e memorizzarlo. Successivamente, informa l’utente che il processo prevede l’invio del documento all’IdP, acquisendone il consenso esplicito. Per proseguire l’utente seleziona il passaggio “Prosegui con la firma”.

Dal canto suo, l’identity provider procede poi all’autenticazione dell’utente e verifica che questi sia il firmatario del documento inviato dal service provider. Fatto ciò, propone all’utente di procedere alla sottoscrizione: ricevuto il consenso da quest’ultimo, appone il sigillo elettronico qualificato, formando, così, il “documento formato con SPID” e lo invia al SP.

Le Linee guida indicano poi, anche le caratteristiche di cui deve essere munito il documento da sottoscrivere, in particolare:

  • quanto al formato, esso deve essere in PDF versione 1.7 o successive, profilo PDF/A-2°, secondo lo standard ISO/IEC 32000-1
  • non deve richiedere alcun controllo di accesso per essere aperto o modificato;
  • la modifica del documento deve essere consentita esclusivamente per quanto concerne l’apposizione del sigillo PAdES;
  • né il contenuto del documento né i suoi metadati devono essere cifrati.

Le linee guida prevedono, infine, che, una volta formato il documento e messo a disposizione dell’utente per la visualizzazione e il download, l’identity provider debba rimuoverlo dai propri sistemi, nel rispetto di quanto previsto dalla normativa vigente in materia di protezione dei dati personali. Ci si riferisce, in particolare, all’art. 5 del GDPR (Reg. UE 679/2016) secondo cui i dati personali possono essere conservati per un tempo non superiore al conseguimento delle finalità per le quali sono trattati (“principio di limitazione della conservazione”).

 

Un servizio in più: la conservazione dei documenti firmati

L’identity provider può continuare a detenere il documento solo nel caso in cui sia stato appositamente autorizzato dall’utente. Esiste la possibilità, infatti, di offrire ai clienti un servizio aggiuntivo di conservazione dei documenti firmati che risulta completamente slegato dal servizio di sottoscrizione. In tal caso, l’IdP sarà titolare del trattamento dei dati dell’utente per finalità diverse e ulteriori rispetto a quelle relative al servizio di sottoscrizione ex art. 20 del CAD: all’utente dovrà essere fornita un’adeguata informativa con tutte le caratteristiche previste dall’art. 13 del GDPR, consentendogli, così, di prestare in maniera consapevole il proprio consenso.

 

Parere del Consiglio di Stato sulle Linee guida

Il Consiglio di Stato, con il parere n. 2122/2017 del 10 ottobre 2017, ha precisato che “per poter consentire al Codice di trovare una applicazione uniforme su tutto il territorio nazionale e nei confronti dell’intera collettività”, le linee guida emanate dall’AgID, ai sensi dell’articolo 71 del CAD, non possono che assumere una valenza erga omnes e un carattere di vincolatività. Tali linee guida andrebbero quindi inquadrate, nella gerarchia delle fonti, “come un atto di regolazione seppur di natura tecnica, con la conseguenza che le medesime dovrebbero ritenersi pienamente giustiziabili dinanzi al giudice amministrativo” in caso di violazione delle relative disposizioni. Inoltre, a norma dell’art. 17 del CAD, se le violazioni delle disposizioni sono poste in essere da pubbliche amministrazioni, da gestori di servizi pubblici e da società a controllo pubblico (ai sensi dell’art. 2, co. 2 del CAD), è possibile presentare una segnalazione al difensore civico digitale.

Redazione Diritto dell’informatica

ICTNewsNormativa
aprile 30, 2020
Agenzia per l'Italia DigitaleAgIDCADConsiglio di Statodocumento elettronicofirma elettronicaidentity providerLinee guida SPIDservice providerspid
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it