Istanze online che prevedono firma di più soggetti: come fare con SPID?

Dopo una chiacchierata con @spiunno, a latere dell’evento Completiamo insieme il sistema operativo del Paese , riprendo la discussione da dove l’avevamo lasciata.
Nelle linee guida, che stiamo aspettando di poter consultare, sarebbe bello veder recepiti i contenuti di questo thread dove vedo sedimentate esperienze concrete e buone idee di interazione.
Il workflow proposto da @spiunno, unito a certificati di breve durata emessi dal Service Provider (che è anche il destinatario dell’istanza) usati per sottoscrivere il medesimo documento da parte di uno o più soggetti garantiscono la validità della presentazione, la paternità del documento e la sua immodificabilità.

Questa soluzione potrebbe essere semplicemente implementata anche utilizzando https://io.italia.it/.

Potrebbe anche essere l’occasione per una redazione partecipata delle linee guida. Cosa ne pensate? coinvolgo anche @ameft e @pif che sono intervenuti in un diverso thread

riporto alcune considerazioni che facevo in un altro thread:

Mi paiono di particolare importanza questi requisiti:

• la realizzazione di soluzioni di firma elettronica avanzata resti libera e non sia monopolio degli IDP
• la firma sia basata su certificati (@ssette, @emmedi) in modo da consentire la conservazione di lungo periodo degli atti sottoscritti con FEA.
• la FEA sia basata su certificati di breve durata generati sulla base dell’asserzione SPID (@emmedi)
• gli atti possano essere sottoscritti da più soggetti (@ssette, @emmedi, @Raffaella)

è importante che le linee guida siano oggetto di un’ampia discussione, in modo da raccogliere requisiti ed esperienze molto diverse. A me pare che il luogo più indicato sia questo, insieme a https://docs.developers.italia.it/ .

Devo ammettere che mi pare una soluzione tecnicamente complessa, direi inutilmente. Sarebbe bastato “spostare” il certificato presente nella CNS di una persona presso l’idp E implementare una FEA con lo stesso algoritmo della CNS (che è standard, sicuro, ecc) remotamente. Come ha fatto ad esempio il governo austriaco che ha utilizzato il certificato della loro Buergerkarte (una cosa simile alla CNS) remotamente per creare una firma (qualificata!) remotamente, la cosiddetta Handysignatur (firma col telefonino…). Fra l’altro gratuita per il cittadino.
Ma ormai sono rassegnato al fatto che da noi si scelgano sempre strade tortuose.
Detto ciò, sottoscrivo i requisiti. Anche rispetto al workflow di firma sono sostanzialmente d’accordo. Se è possibile fornire un elenco di firmatari in anticipo tanto meglio. Come elemento della UI vedo un semplice pulsante “firma” che premuto fa in modo da richiedere le credenziali e otp.

Ma soprattutto, implementiamola o come minimo fissiamo le specifiche quanto prima. La maggior parte della disaffezione dei cittadini verso i siti per presentare istanze digitali è legato alla difficoltà di sottoscrivere e alla (giusta, l’ho sempre sostenuto e il fatto che si parli di firma SPID mi rinforza nel convincimento) ritrosia delle PA ad applicare quella spericolata semplificazione che confonde autenticazione con sottoscrizione.

Ho provato a sintetizzare un’ipotesi di soluzione in questo articolo: https://www.linkedin.com/pulse/una-proposta-operativa-per-fea-basata-su-spid-marco-deligios/

Il silenzio sul tema della firma di documenti ai sensi dell’art. 20 del CAD è ormai assordante.
Non dimentichiamo che, come evidenziato da @marcofromsicily in un differente thread, la linea d’azione LA38 del Piano triennale 2019-2021 prevede:

Linee guida per l’implementazione di sistemi per la firma ex articolo 20 del
Codice dell’amministrazione digitale attraverso SPID (giugno 2019).