Il processo di cui all’articolo 20 comma 1- bis del CAD non può essere adoperato utilizzando identità digitali SPID per persona giuridica; possono essere utilizzate esclusivamente le identità digitali della persona fisica e le identità digitali per uso professionale (queste ultime regolamentate dalle LL.GG . identità digitali uso professionale).
Continua a leggere su Docs Italia.
Noto con rammarico che il documento non sembra recepire nessuna delle considerazioni emerse nelle diverse discussioni aperte sul forum a partire dal 2017. Questo mi fa venire dubbi circa l’utilità di discutere sul forum (@ssette, @spiunno, @umbros, @pif , @raffaella)
La scelta di consentire l’erogazione della sottoscrizione SPID ai soli IdP contrasta con lo spirito dell’art 55 del DPCM 22-02-2013:
Art. 55.
Disposizioni generali
Concordo con te Marco, e in effetti da molto tempo non partecipo più alle discussioni. Mi limito a leggere.
Riguardo la firma SPID e le linee guida messe in consultazione mi limito a constatare come il processo sia complesso, il documento firmato da IdP e SP (ma non dall’utente…), e che il SP di fatto si fa garante per se stesso.
Sarò noioso ma sarebbe da copiare da chi fa le cose bene e si colloca proprio per questo molto in alto nel DESI (al contrario di noi che siamo sempre nelle retrovie). Mi riferisco ai ns vicini austriaci che forniscono al cittadino un’identità digitale, un sistema di comunicazione certificata e una firma, con un certificato di firma nella loro “Buergerkarte” (carta del cittadino) che remota, con un certificato remoto tenuto dal loro IdP. La chiamano “Handysignatur” (firma dal cellulare).
Stessa cosa si potrebbe facilmente fare da noi, dire agli IdP di tenere un certificato CNS associato all’identità digitale e con quello implementare la FEA remota. Facile facile, costo basso…
Tecnicamente semplice da implementare, tanto che alcuni IdP lo forniscono come servizio a pagamento…oh,oh, che sia questo il problema ???
Leggo che la Ministra Pisano pensa di erogare SPID centralmente. Il che non vuol dire lo eroghi necessariamente lo Stato, ma magari un fornitore selezionato attraverso una gara, come per altro succede in Austria. Forse ci muoviamo lentamente verso una soluzione logica (non sovranità come qualcuno la bolla) e forse anche la FEA potrà essere rivista…Me lo auguro. Così mi pare, con tutto il rispetto per gli estensori che non hanno colpe, un accrocchio inutilmente complesso e per certi versi imbarazzante…E, come sottolinei tu, pure contrario alla norma stessa…
Non entro nel merito tecnico della procedura individuata o di confronto con scelte alternative.
Sottolineo invece che la firma dei documenti è a oggi uno dei vulnus principali nella digitalizzazione dei procedimenti, con rare eccezioni di procedimenti che vedono come controparte dell’amministrazione categorie qualificate di utenti.
Quindi qualche osservazione piu’ al contorno che al contenuto tecnico.
Tutti i SP interessati hanno il diritto di avvalersi del servizio in oggetto delle presenti Linee guida.
il SP mostra l’elenco degli IdP che offrono il servizio di firma.
Sembrerebbe che l’implementazione della firma SPID sia facoltativa tanto per i SP (amministrazioni) quanto per gli IDP.
Già questo mi pare un freno notevole alla diffusione della firma SPID.
Perché un IdP dovrebbe investire per adeguare i propri sistemi all’erogazione della firma SPID se da questa, come dal servizio di identificazione, non trae profitto diretto? (nota 1)
Perché un’amministrazione dovrebbe darsi da fare per sviluppare lato suo un qualcosa che potrebbe non avere corrispondenza lato IdP?
Inoltre, non si possono obbligare tramite legge le software house a implementare la firma SPID come contenuto minimo di un applicativo proposto in vendita alla pubblica amministrazione. Tuttavia, prevedere l’obbligo per amministrazioni e IdP di implementare la firma SPID sarebbe l’unico modo per sensibilizzarle ad adeguare gli applicativi proposti. Diversamente ogni amministrazione che vorrà dotarsi di questo strumento entrerà nel consueto giro dei “è una personalizzazione che nessuna amminsitrazione chiede”, “non rientra nella roadmap di sviluppo del software”, “ci sono difficoltà tecniche” ecc… tutte posizioni che si traducono in richieste economiche invereconde.
PROPOSTA: rendere obbligatoria la firma SPID per gli IdP e per gli SP (con eventuali clausole di esclusione per chi è in grado di garantire in modo gratuito per l’utente una firma di pari valore).
Se poi si trova un modo per dire che un’amministrazione non puo’ acquisire un software che riceve istanze e dichiarazioni che non implementi la firma SPID…
Nota 1 (OT): la non redditività è l’argomento che si usa spesso quando si parla di SPID gratuito e IdP. Anche il ministro indica fra i tanti motivi per centralizzare SPID in unico IdP a controllo pubblico anche la non remuneratività per il privato. Da un lato è vero, se il servizio è reso gratuitamente ai cittadini. Tuttavia è anche vero che gli IdP mediamente sono “autorizzati” dallo Stato anche a rilasciare altri servizi fiduciari a pagamento (firme, sigilli, marche, pec, certificati vari, talvolta cloud e servizi connessi) sui quali senza dubbio la remuneratività è presente e non scarsa.
Non posso che condividere proposta e considerazioni annesse
Questa Linee Guida danno per scontato il possesso e l’utilizzo di SPID, definendo il firmatario come “ la persona fisica che, utilizzando la propria identità digitale SPID di livello 2 o superiore, conferisce al documento informatico il valore e l’efficacia previsti dall’articolo 20 del CAD attraverso il processo di firma di cui al presente provvedimento ”. In questo senso sembra che SPID sia un requisito della procedura, mentre la previsione dettata dal CAD (all’art.20, base giuridica delle Linee Guida indiscorso) è, giustamente, tecnologicamente neutra.
Le specificità procedurali rafforzano la sensazione di un approccio basato su soluzioni locali: il Codice Fiscale (cfr. Par. 3.1) e la P.IVA necessari per la realizzazione del flusso inducono a pensare che non siano previsti firmatari o Service Provider provenienti da altri Stati Membri. Questa impostazione rende l’intero strumento non spendibile al di fuori dei confini nazionali e non estendibile, nemmeno su base nazionale, a strumenti di identificazione equivalenti, quali ad esempio CNS o CIE.
Tale impostazione genera una ingiustificata asimmetria, non solo tra Spid e gli schemi di identità notificati da parte di altri paesi Europei ma, anche tra Spid e gli altri schemi di identità nostrani.
Sarebbe opportuno rivedere la soluzione in modo che sia - in coerenza con il dettato normativo di rango primario - tecnologicamente neutra.
Al capitolo 3 si specifica: “Il servizio di sottoscrizione oggetto delle presenti Linee guida è realizzato per permettere al medesimo utente di sottoscrivere un documento, (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni di autenticazione SPID”
Si chiede, cortesemente, di chiarire nel caso in cui i documento necessiti di essere sottoscritto da più firmatari e solo uno di questi sia in possesso dell’autenticazione SPID sia possibile attuare il servizio di sottoscrizione SPID solo per l’unico dei firmatari in possesso di SPID?
Regole Tecniche per la FEA con SPID