Firma digitale documenti allegati

Buongiorno e buon 2025! :faccia_leggermente_sorridente:

Vorrei chiedere un vostro parere. Abbiamo sviluppato un’applicazione web con autenticazione SPID/CIE che permette agli utenti di caricare documenti. Finora non abbiamo avuto richieste specifiche per l’integrazione della firma elettronica, ma ora è diventata necessaria per alcuni documenti.

Vorrei capire:

  • È obbligatorio che l’utente utilizzi una firma elettronica vera e propria, o esistono metodi alternativi legalmente validi, come ad esempio l’uso di OTP (simile alla sottoscrizione con contratto TIM, dove l’utente completa il processo con varie checkbox e un SMS)?

  • Dal punto di vista normativo, quali sono le opzioni possibili per garantire la validità legale del processo?

  • Per l’implementazione, avete suggerimenti su aziende o servizi che offrono soluzioni di firma elettronica sicura e facilmente integrabili?

Grazie mille per il supporto!

Come prima cosa va visto che tipo di firma serve a voi.
I più grossi sono quelli di Infocert, io come prima cosa proverei a contattare loro.
Visto che a voi serve una soluzione tutta software guarderei i loro servizi di firma remota.

Però non so se questo servizio comprende anche la marca temporale, e dovete caprie se a voi serve anche la marca temporale o no.

E l’altro loro servizio la “firma digitale con SPID a consumo” per un uso saltuari forse è una soluzione migliore, e comprende anche la marca temporale.

Il problemi per come li vedo io sono principalmente due;
1 Tutta la procedura di acquisto della firma digitale che prevede il riconoscimento
della persona a cui è legata la firma.
2 Va visto come il loro servizi possano integrarsi alla vostra soluzione.
Dovreste guardare GoSign Business e chiedere direttamente a loro

Per quanto all’art. 65 del CAD, se la presentazione dell’istanza è fatta post autenticazione SPID/CIE non è necessaria altra firma.
Nella mia esperienza, i documenti che necessitano di una firma vengono in genere firmati prima di essere caricati sul sistema, non dopo: l’utente si dota in autonomia di una soluzione di firma digitale, prepara il documento, lo carica.

3 Mi Piace

Si anche perché la firma digitale è personale e visto il suo valore, cederla ad un’entità terza obbliga all’adempimento di tutta una serie di procedure legali, ad esempio una delega fatta dal notaio.

C’e prima di tutto da capire di che cosa hanno davvero bisogno i loro utenti, magari a loro basta una sorta di marca temporale che attesti che quel specifico documento è stato mandato ad una certa ora e data, e da quel momento non ha subito modifiche.

Se gli serve una vera firma digitale allora l’unica possibilità che vedo, come dici anche tu, è che l’utente se la faccia per conto proprio e poi loro dovranno creare una procedura usando le api messe a disposizione da infocert o da chiunque useranno, per firmare il documento quando l’utente lo caricherà nel sistema.
Sempre che queste API ci siano.

Se i tuoi clienti sono enti pubblici potresti far usare Firma con IO, hai tutte le API pronte per l’integrazione:

Dai un occhiata a questa soluzione

https://www.01s.it/01-firma-spid/

secondo me fa al caso tuo
Ciao
Daniele

In sintesi, dobbiamo gestire documenti generati automaticamente tramite un form per la compilazione di una domanda a un bando. Dopo che compili il form ti viene fuori un pdf di riepilogo con la domanda al bando. Il nostro obiettivo è stabilire se, per convalidare il PDF creato dopo aver effettuato l’accesso con SPID o CIE, sia sufficiente un codice OTP oppure sia necessaria una firma digitale qualificata.

L’utilizzo della firma digitale tramite l’app IO rappresenta un’opzione molto vantaggiosa, poiché evita ai contribuenti l’obbligo di possedere una firma digitale personale. È sufficiente disporre di SPID e della registrazione all’app IO: si riceve una notifica e si procede facilmente con la firma. Anche per l’implementazione mi pare molto fattibile.

In alternativa, per non dipendere totalmente da SPID/CIE per la firma e validazione stiamo valutando l’impiego di un OTP, ma non sono certo che questa soluzione sia sufficiente a livello normativo (i contribuenti per compilare la domanda effettuano già l’accesso con spid/cie).

Mi servirebbe capire proprio a livello di legge qual è la strada migliore.

visto che già autentichi con SPID, perché non sfruttare direttamente tu l’implementazione firma con SPID? Avevo scritto un articolo “a quattro mani” di approfondimento sul tema qualche anno fa, in fase di avvio. Qui di seguito il link per il download FIRMA CON SPID

1 Mi Piace

DLGS 82/2005 - CAD, Art. 65, c. 1, lettera b
L’accesso tramite SPID equivale alla sottoscrizione con firma ex art. 20, sempre CAD.
Perché aggiungere un’altra firma, rendendo più complesso il sistema sia per voi che per il cittadino?

3 Mi Piace

Proprio cosi’.

Prendete a riferimento una pratica molto personale e che richiede identificazione completa, e cioe’ la dichiarazione dei redditi. Una volta che si e’ entrati con CIE o SPID nel sito AE e si sono inseriti i dati e’ sufficiente premere il tasto INVIO e la dichiarazione e’ virtualmente firmata. Una copia resta disponibile in pdf.

In una nuova soluzione qualsiasi complicazione puo’ fare perdere interesse e l’uso di una firma digitale a pagamento sarebbe un’offesa per i partecipanti. La firma digitale ha senso in contesti molto ristretti (notariato, tribunali), per un largo pubblico e’ demenziale, in particolare dato che CIE/ SPID/ eIDAS esistono gia’ come prove sicure di identita’.

3 Mi Piace

Hai ragione, ma bisogna vedere cosa viene richiesto ai quei clienti, non è un problema informatico è prima di tutto un problema legale, dove spesso le leggi sono fatte male.

Prima di tutto quei clienti devono sapere per certo di che tipo di firma hanno davvero bisogno, sempre che ne abbiano davvero bisogno, perché magari da un punto di vista legale non hanno alcun bisogno e la vogliono solo perché fa figo.

Ringrazio davvero tutti per le risposte e l’interessamento! :slight_smile:
Bellissima community