Firma con SPID e firma con CIE

15 Febbraio 2024    

Continua anche a gennaio 2024 la crescita di SPID e CIE. I dati delle due identità digitali aggiornati al momento in cui scriviamo questo articolo ci dicono che finora in Italia sono state emessi più di 37 milioni di SPID (37.070.441) e quasi 42 milioni di carte d’identità elettroniche (41.836.967).

Come è noto, le identità digitali permettono di autenticarsi e accedere in modalità sicura ai servizi online della pubblica amministrazione e dei privati che decidono di implementare sui propri siti web le funzioni “Entra con SPID” ed “Entra con CIE”.

L’autenticazione online tramite SPID e CIE è usata quotidianamente da milioni di italiani e probabilmente rappresenta l’esempio più evidente e apprezzato di come la trasformazione digitale può migliorare la vita di tutti noi, semplificandola.

Indice dei contenuti

Usare l’identità digitale per la firma elettronica

SPID e CIE, però, possono svolgere anche un’altra importante funzione. Entrambe le identità digitali, infatti, possono essere usate per sottoscrivere elettronicamente un documento informatico. Mentre l’uso della CIE ha lo stesso valore di una firma elettronica avanzata, la “firma con SPID” fa riferimento a un processo in cui il tipo di firma usata può essere la firma elettronica qualificata.

Firma con CIE

In particolare, il DPCM 22 febbraio 2013, relativo alle Regole tecniche in materia di firme elettroniche, all’articolo 61 comma 2 stabilisce che l’uso della CIE “sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice” dell’Amministrazione Digitale (CAD).

Firma con CIE non accettata dalle PA

Tuttavia, nonostante tale disposizione, capita spesso di trovarsi di fronte a pubbliche amministrazioni che non accettano documenti sottoscritti con la CIE, ritenendo la firma apposta con la carta di identità elettronica non valida. Il rifiuto può nascere dal fatto che per quella specifica sottoscrizione è richiesta una firma digitale o una firma elettronica qualificata. In tal caso, quindi, si tratta di un rifiuto legittimo.

Un altro caso che si verifica è quello di una PA che rifiuta la firma con CIE perché ritiene che questa sia valida esclusivamente nei rapporti con il Ministero degli Interni, inteso come soggetto che ha erogato la FEA. L’articolo 60 del citato DPCM, infatti, stabilisce che: “La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto” che la eroga.

Anche se alcuni eminenti esperti della materia hanno giustamente fatto notare che una simile interpretazione di tale articolo risulta troppo restrittiva e che, in ogni caso, in base al CAD la firma con CIE è una firma elettronica avanzata a tutti gli effetti, il rifiuto delle PA di accettare la firma con CIE di fatto priva i cittadini della possibilità di avvalersi di tale strumento.

La firma con SPID salva tutti

A superare i problemi legati alle interpretazioni normative è SPID, che risolve la questione e dà sempre la possibilità di firmare un documento con efficacia garantita verso tutti.

La soluzione è nota come “firma con SPID”, anche se tecnicamente questa espressione non è del tutto corretta. Vediamo perché, esaminando passo dopo passo cosa accade durante questo procedimento, sia dal punto di vista del Service Provider (SP, cioè il fornitore del servizio online che consente all’utente di “firmare con SPID”), sia dal punto di vista dell’Identity Provider (IdP, cioè il fornitore della identità digitale SPID).

I passaggi che vediamo sono quelli stabiliti dalle Linee Guida AgID sulle Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD.

Firma con SPID, quando è possibile

La “firma con SPID” non si può fare con lo SPID di tipo giuridico, ma soltanto con uno SPID personale o professionale.

Tutti i SP hanno diritto a poter mettere a disposizione dei propri utenti il servizio firma con SPID, ma gli IdP non sono obbligati ad attivare tale funzione per i propri utenti, cioè per i soggetti a cui hanno rilasciato un’identità digitale SPID. Quindi si può presentare il caso in cui, per uno stesso servizio online, gli utenti che hanno lo SPID con l’IdP “Alfa” avranno la possibilità di firmare con SPID, mentre gli utenti che hanno lo SPID con l’IdP “Beta” non avranno tale possibilità.

La procedura “firma con SPID” deve permettere a uno stesso utente di sottoscrivere un documento, anche in più punti, attraverso un’unica sessione di autenticazione SPID e, allo stesso tempo, deve consentire a utenti distinti di sottoscrivere lo stesso documento, in tempi e con sessioni di autenticazione SPID distinte.

Firma SPID – Cosa fa il Service Provider

Il SP deve innanzitutto conoscere il codice fiscale dell’utente. Solo dopo aver ottenuto il codice fiscale può dare via alla procedura, che si svolge seguendo i passaggi seguenti:

  1. Il SP presenta sul proprio sito web il pulsante “Firma con SPID”. Cliccandovi, l’utente può scegliere da un elenco di Idp quello con cui lui ha lo SPID.
  2. Il SP predispone il documento da firmare, apponendovi un sigillo elettronico qualificato di tipo PADES, e lo rende visionabile e scaricabile dal proprio sito.
  3. Il SP informa l’utente che il processo presuppone l’invio del documento al proprio IdP e raccoglie il suo consenso esplicito al riguardo (cosiddetto opt-in) e lo avvisa che il documento sarà nuovamente messo a disposizione dal proprio IdP, consigliandogli di leggerlo nuovamente.
  4. Per firmare l’utente deve cliccare il bottone “Prosegui con la Firma”. A questo punto il SP invia il documento all’IdP e, avuta evidenza del successo dell’invio, inoltra allo stesso Idp anche la sessione con l’utente, avanzando una richiesta di autenticazione di livello pari almeno a 2, denominata “firma con SPID”. Questa richiesta contiene il codice fiscale del firmatario.

Firma SPID – Cosa fa l’Identity Provider (IdP)

  1. Subentrando nella sessione che l’utente ha avviato con il SP, l’IdP autentica il firmatario con credenziali di livello 2 o superiore, verificando che i suoi dati coincidano con il codice fiscale ricevuto dal SP.
  2. L’IdP informa il firmatario che l’autenticazione è finalizzata a sottoscrivere un documento, comunicandogli il nome del SP e il nome del documento.
  3. Consente al firmatario di visionare e scaricare il documento.
  4. Propone al firmatario di procedere con la firma. Se l’utente non accetta, invia al SP un messaggio di esito negativo che mette fine al processo.
  5. Rende visibile all’utente il contenuto da firmare e lo informa circa il fatto che la firma sia obbligatoria o facoltativa.
  6. Acquisisce il consenso dell’utente ad apporre la firma.
  7. Appone un sigillo elettronico qualificato (o più sigilli in caso di più firme) formando quindi il documento firmato con SPID.
  8. Invia al firmatario il documento firmato via email oppure gli permette di scaricare una copia o gliela rende disponibile nella propria area riservata.
  9. Invia al SP il documento firmato con SPID e la risposta di autenticazione della firma con SPID recante l’esito positivo della procedura e reindirizza l’utente presso il SP.
  10. Al termine della procedura, l’IdP cancella dai suoi sistemi il documento firmato, salvo che il firmatario non abbia attivo con esso un servizio di conservazione digitale dei documenti firmati.

Firma con SPID, opportunità per le aziende

La possibilità di firmare con SPID è un’enorme opportunità per le aziende, che in questo modo possono ottenere dai propri utenti un documento firmato elettronicamente, in pochi secondi e con uno sforzo minimo da entrambi i lati.

Il soggetto chiamato a firmare, come visto, non dovrà fare altro che autenticarsi con il proprio SPID e poi firmare il documento, digitando il codice OTP ricevuto.

L’azienda, dal canto suo, per poter sfruttare i vantaggi della firma con SPID e velocizzare la raccolta delle firme e, quindi, la conclusione di accordi e contratti, non deve fare altro che rivolgersi a un fornitore che gli metta a disposizione la soluzione idonea a implementare il servizio.


Accedi per lasciare un commento