Firma tramite SPID

Buongiorno,
vorremmo implementare la firma tramite SPID.

Il documento all’indirizzo

spiega le regole ma non abbiamo trovato in alcun metadata degli IdP i tag descritti a pagina 10 (4.6), quindi vorrei sapere se esiste una documentazione più recente ed esaustiva che permetta di implementare correttamente la firma tramite SPID.

Vi ringrazio

5 Mi Piace

Buongiorno Alberto,

AgID è da quasi un anno che deve aggiornare il Registro SPID in tal senso, ma evidentemente non hanno ancora ritenuto utile farlo perché c’è un solo IdP che ha implementato il servizio, cioè Lepida.
Temo che finché non si aggiungeranno altri, la Firma con SPID non prenderà mai piedi e questo è un gran peccato.

Ciao, Valerio

1 Mi Piace

Buongiorno Alberto,

oltre alla motivazione già indicata, a mio parere ce ne sono alte, sostanziali.

  1. Il documento firmato non fa uso di certificati di firma intestati al firmatario, quindi chi riceve tale documento firmato non ha a disposizione alcuno strumento per capire autonomamente se la firma ci sia effettivamente, sia valida…oggi per verificare un pdf firmato basta un banalissimo Acrobat. Con la cd. “Firma SPID” nulla di tutto ciò

  2. La “Firma SPID” è un invenzione tutta italiana, quindi - anche ammesso che il punto 1 venga in qualche modo indirizzato - il documento firmato non avrebbe alcun valore legale al di fuori dell’italia, aspetto che è in totale contraddizione con il regolamento europeo eIDAS che nasce proprio per garantire la piena interoperabilità tra i paesi membri.

Ciò detto, SPID è un eccezionale acceleratore per i processi di firma digitale basati su certificati personali. L’identificazione spid soddisfa i requisiti dell’identificazione certa e dunque abilita l’emissione tout court di un certificato di firma digitale qualificata, immediatamente utilizzabile per firmare i documenti. In funzione degli specifici casi d’uso, il certificato personale potrà essere di breve durata (devo firmare una o poche pratiche in un arco di tempo ristretto) oppure di lunga durata (il tipico certificato di firma digitale qualificata a 1-3 anni)
Buon lavoro

In rete ho trovato una procedura di Firma con Spid che non utilizza direttamente gli IdP.
L’utente si autentica con Spid viene quindi generato un certificato (forse temporaneo) con i suoi dati e con quest’ultimo viene firmato un file Pdf con firma Pades.

Questa procedura è considerata una firma con spid?

https://spidsign.itagile.it/SPIDSignDemo/

Il certificato sembra essere generato da trustpro

https://www.trustpro.eu/

Cosa pensate di questa procedura?

Il servizio è di tipo “demo” quindi relativamente poco utile.
Comunque quello che è stato implementato in tale pagina è esattamente quanto scrivevo nel mio post di ieri.
Utilizzando l’identificazione SPID è possibile emettere, ovviamente solo da parte di un ente Certificatore, un certificato di firma elettronica qualificata (comunemente denominata semplicemente firma digitale) con cui viene firmato un documento. La validità del certificato dipende dagli accordi tra il service provider (chi ha la necessità di far firmare documenti) e l’ente certificatore (chi è autorizzato ad emettere certificati di firma elettronica qualificata).
Per realizzare tutto il processo occorre un’integrazione applicativa tra il Service Provider (che genera e gestisce il documento) e l’ente Certificatore (che normalmente fornisce sia la firma sia le API per firmare i documenti).
Per gestire l’accesso a SPID occorre accreditarsi presso AgID (procedura mediamente complessa, soprattutto per non addetti ai lavori), oppure rivolgersi ad un cd. “Soggetto Aggregatore”, il cui ruolo è quello di fare da gateway tra le aziende (pubbliche o private che siano) e l’ecosistema SPID.

1 Mi Piace

Grazie Paolo, sei stato preziosissimo. Ora ho capito come procedere.