Non é complicatissimo ma nemmeno banale @emmedi ! Chiaro che se non ci sarà nulla a livello infrastrutturale si sarà costretti a percorrere una di queste strade.
Che però continuano a non entusiasmarmi. In primis per un motivo “di principio”: ma se l’infrastruttura di base non mi copre nemmeno in un ambito così importante come la sottoscrizione che si costruisce un’infrastruttura a fare ? Penso che vi siano ampi margini per arricchire SPID per coprire anche questo aspetto, credo inoltre che sia opportuno che queste cose me le fornisca un elemento architettura standard e che di conseguenza non debbano essere a carico degli altri attori, anche per evitare che fioriscano (come oggi) decine di soluzioni diverse, spesso fantasiose e che spesso generano più problemi di quelli che risolvono.
Poi, nello specifico, non mi entusiasmano le soluzioni erogate direttamente dal Service Provider, credo sia molto meglio che per cose di questo tipo la soluzione debba essere messa a disposizione da una terza parte (l’Identità provider ma non necessariamente). Vero che nel tuo caso l’IdP entra in gioco ma il suo ruolo é comprimario.
E se provassimo a cambiare prospettiva ? Leggendo il Decreto Correttivo mi é saltata all’occhio la questione della PEC che dovrà essere adeguata, per poter essere considerata a tutti gli effetti un servizio certificato qualificato, aggiungendo alcune funzionalità, fra cui la questione dell’autenticazione forte al servizio. In sostanza penso si dovrebbe estendere la PEC alla (mai nata ma prevista da tempo) pec-id così come descritta al comma 1, lettera 3-bis dell’art.65.
Qui l’articolo 65 prevede che sia il prestatore di Servizio PEC, previa autenticazione forte al servizio (a questo punto direi attraverso SPID) a “certificare” che il messaggio/documento é attribuibile alla persona fisica rappresentata dal mittente. In poche parole il documento é firmato dal prestatore del servizio che attesta provenire dal mittente.
Molto ma molto più semplice e standardizzato (dato per assodato che dotare tutti di una vera firma non é ipotizzabile) sarebbe immaginare una cosa di questo tipo anche per i documenti/dati inviati tramite un servizio autenticato.
Il Decreto Correttivo lascia la strada aperta a soluzioni di questo tipo, ricollegandosi alla nuova modalità prevista nell’articolo 20.
Lasciamoci stupire…sperando solo di non dover attendere anni …