menu di navigazione del network

3. Procedura di sottoscrizione ex articolo 20 comma 1-bis del CAD

Il processo di cui all’articolo 20 comma 1- bis del CAD non può essere adoperato utilizzando identità digitali SPID per persona giuridica; possono essere utilizzate esclusivamente le identità digitali della persona fisica e le identità digitali per uso professionale (queste ultime regolamentate dalle LL.GG . identità digitali uso professionale).

Continua a leggere su Docs Italia.

Noto con rammarico che il documento non sembra recepire nessuna delle considerazioni emerse nelle diverse discussioni aperte sul forum a partire dal 2017. Questo mi fa venire dubbi circa l’utilità di discutere sul forum (@ssette, @spiunno, @umbros, @pif , @raffaella)

2 Likes

La scelta di consentire l’erogazione della sottoscrizione SPID ai soli IdP contrasta con lo spirito dell’art 55 del DPCM 22-02-2013:

Art. 55.
Disposizioni generali

  1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.
  2. I soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:
    a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b) ;
    b) coloro che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a) .

Concordo con te Marco, e in effetti da molto tempo non partecipo più alle discussioni. Mi limito a leggere.
Riguardo la firma SPID e le linee guida messe in consultazione mi limito a constatare come il processo sia complesso, il documento firmato da IdP e SP (ma non dall’utente…), e che il SP di fatto si fa garante per se stesso.

Sarò noioso ma sarebbe da copiare da chi fa le cose bene e si colloca proprio per questo molto in alto nel DESI (al contrario di noi che siamo sempre nelle retrovie). Mi riferisco ai ns vicini austriaci che forniscono al cittadino un’identità digitale, un sistema di comunicazione certificata e una firma, con un certificato di firma nella loro “Buergerkarte” (carta del cittadino) che remota, con un certificato remoto tenuto dal loro IdP. La chiamano “Handysignatur” (firma dal cellulare).

Stessa cosa si potrebbe facilmente fare da noi, dire agli IdP di tenere un certificato CNS associato all’identità digitale e con quello implementare la FEA remota. Facile facile, costo basso…
Tecnicamente semplice da implementare, tanto che alcuni IdP lo forniscono come servizio a pagamento…oh,oh, che sia questo il problema ???

Leggo che la Ministra Pisano pensa di erogare SPID centralmente. Il che non vuol dire lo eroghi necessariamente lo Stato, ma magari un fornitore selezionato attraverso una gara, come per altro succede in Austria. Forse ci muoviamo lentamente verso una soluzione logica (non sovranità come qualcuno la bolla) e forse anche la FEA potrà essere rivista…Me lo auguro. Così mi pare, con tutto il rispetto per gli estensori che non hanno colpe, un accrocchio inutilmente complesso e per certi versi imbarazzante…E, come sottolinei tu, pure contrario alla norma stessa…

Non entro nel merito tecnico della procedura individuata o di confronto con scelte alternative.

Sottolineo invece che la firma dei documenti è a oggi uno dei vulnus principali nella digitalizzazione dei procedimenti, con rare eccezioni di procedimenti che vedono come controparte dell’amministrazione categorie qualificate di utenti.

Quindi qualche osservazione piu’ al contorno che al contenuto tecnico.

Tutti i SP interessati hanno il diritto di avvalersi del servizio in oggetto delle presenti Linee guida.

il SP mostra l’elenco degli IdP che offrono il servizio di firma.

Sembrerebbe che l’implementazione della firma SPID sia facoltativa tanto per i SP (amministrazioni) quanto per gli IDP.
Già questo mi pare un freno notevole alla diffusione della firma SPID.

Perché un IdP dovrebbe investire per adeguare i propri sistemi all’erogazione della firma SPID se da questa, come dal servizio di identificazione, non trae profitto diretto? (nota 1)

Perché un’amministrazione dovrebbe darsi da fare per sviluppare lato suo un qualcosa che potrebbe non avere corrispondenza lato IdP?

Inoltre, non si possono obbligare tramite legge le software house a implementare la firma SPID come contenuto minimo di un applicativo proposto in vendita alla pubblica amministrazione. Tuttavia, prevedere l’obbligo per amministrazioni e IdP di implementare la firma SPID sarebbe l’unico modo per sensibilizzarle ad adeguare gli applicativi proposti. Diversamente ogni amministrazione che vorrà dotarsi di questo strumento entrerà nel consueto giro dei “è una personalizzazione che nessuna amminsitrazione chiede”, “non rientra nella roadmap di sviluppo del software”, “ci sono difficoltà tecniche” ecc… tutte posizioni che si traducono in richieste economiche invereconde.

PROPOSTA: rendere obbligatoria la firma SPID per gli IdP e per gli SP (con eventuali clausole di esclusione per chi è in grado di garantire in modo gratuito per l’utente una firma di pari valore).
Se poi si trova un modo per dire che un’amministrazione non puo’ acquisire un software che riceve istanze e dichiarazioni che non implementi la firma SPID…

Nota 1 (OT): la non redditività è l’argomento che si usa spesso quando si parla di SPID gratuito e IdP. Anche il ministro indica fra i tanti motivi per centralizzare SPID in unico IdP a controllo pubblico anche la non remuneratività per il privato. Da un lato è vero, se il servizio è reso gratuitamente ai cittadini. Tuttavia è anche vero che gli IdP mediamente sono “autorizzati” dallo Stato anche a rilasciare altri servizi fiduciari a pagamento (firme, sigilli, marche, pec, certificati vari, talvolta cloud e servizi connessi) sui quali senza dubbio la remuneratività è presente e non scarsa.

2 Likes

Non posso che condividere proposta e considerazioni annesse

Questa Linee Guida danno per scontato il possesso e l’utilizzo di SPID, definendo il firmatario come “ la persona fisica che, utilizzando la propria identità digitale SPID di livello 2 o superiore, conferisce al documento informatico il valore e l’efficacia previsti dall’articolo 20 del CAD attraverso il processo di firma di cui al presente provvedimento ”. In questo senso sembra che SPID sia un requisito della procedura, mentre la previsione dettata dal CAD (all’art.20, base giuridica delle Linee Guida indiscorso) è, giustamente, tecnologicamente neutra.

Le specificità procedurali rafforzano la sensazione di un approccio basato su soluzioni locali: il Codice Fiscale (cfr. Par. 3.1) e la P.IVA necessari per la realizzazione del flusso inducono a pensare che non siano previsti firmatari o Service Provider provenienti da altri Stati Membri. Questa impostazione rende l’intero strumento non spendibile al di fuori dei confini nazionali e non estendibile, nemmeno su base nazionale, a strumenti di identificazione equivalenti, quali ad esempio CNS o CIE.

Tale impostazione genera una ingiustificata asimmetria, non solo tra Spid e gli schemi di identità notificati da parte di altri paesi Europei ma, anche tra Spid e gli altri schemi di identità nostrani.

Sarebbe opportuno rivedere la soluzione in modo che sia - in coerenza con il dettato normativo di rango primario - tecnologicamente neutra.

Al capitolo 3 si specifica: “Il servizio di sottoscrizione oggetto delle presenti Linee guida è realizzato per permettere al medesimo utente di sottoscrivere un documento, (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni di autenticazione SPID”
Si chiede, cortesemente, di chiarire nel caso in cui i documento necessiti di essere sottoscritto da più firmatari e solo uno di questi sia in possesso dell’autenticazione SPID sia possibile attuare il servizio di sottoscrizione SPID solo per l’unico dei firmatari in possesso di SPID?

Regole Tecniche per la FEA con SPID

  • Le “ Linee Guida per la sottoscrizione elettronica di documenti mediante SPID ex art. 20” dovrebbero disciplinare, come indicato al capitolo 2 del documento in consultazione, la modalità per la formazione del documento informatico che, previa identificazione dell’autore, assicuri il soddisfacimento del requisito della forma scritta e l’efficacia prevista dall’articolo 2702 del Codice Civile attraverso un processo tale da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. Tuttavia, leggendo il titolo e lo stesso documento posto in consultazione, le linee guida sembrerebbero regolare un “servizio di sottoscrizione” (vedi cap. 3) tramite SPID. Una tipologia di firma, quindi, che non potendo configurarsi come una firma digitale o qualificata, non può che essere una delle modalità realizzative della FEA tramite SPID. Una delle possibili tramite SPID, visto che ai sensi del DPCM la realizzazione della FEA è libera e non soggetta ad alcuna autorizzazione preventiva. Parimenti, limitare l’identificazione alla sola SPID precluderebbe l’utilizzo di altre forme di identificazione equivalenti, come CIE o identificazioni forti valide ai fini della normativa in materia di antiriciclaggio.
  • Una ulteriore conferma del fatto che più che del quarto caso dell’art. 20 del CAD si tratterebbe di una FEA è la mancanza di un chiaro riferimento all’autore del documento ed alle regole da applicare nella sua formazione. Le regole tecniche, infatti, si soffermano in modo particolare sulla parte di sottoscrizione e apposizione dei sigilli con i relativi formati. L’autore del documento sembrerebbe essere l’SP che forma e sigilla il documento (come sembrerebbe confermare il cap. 4.2, indicando come USID proprio l’SP). L’utente di fatto non ha nessun controllo sul documento avendo accesso solo in lettura (non può apportare modifiche), quindi ritenerlo l’autore non sembra verosimile. Eppure è proprio l’utente che viene previamente identificato e sono sempre il nome e cognome dell’utente che vengono messi nel sigillo dell’IdP (ulteriore firma rispetto a quella dell’SP).
  • Trattandosi di una delle modalità di FEA con SPID, dovrebbe essere chiarito che l’erogatore della firma è l’IdP e che si tratta di un servizio a valore aggiunto che gli IdP possono decidere di offrire secondo un modello di remunerazione da definire. Dovrebbe essere indicato anche chi sosterrà i costi: l’utente o l’SP.
  • Potrebbe essere utile corredare le Linee Guida di casi d’uso utili a definire obblighi e responsabilità in capo a ciascuno degli attori, utenti inclusi.