Il 4 aprile 2020 sono state pubblicate nella Gazzetta Ufficiale n. 90 le “Linee Guida per la sottoscrizione elettronica di documenti informatici ai sensi dell'art. 20 del CAD”, già pubblicate il 23 marzo 2020 sul sito dell’Agenzia per l’Italia Digitale.
Con l’entrata in vigore delle linee guida sarà dunque possibile firmare atti e contratti attraverso SPID con lo stesso valore giuridico della firma autografa, soddisfacendo quindi il requisito della forma scritta e producendo gli effetti dell’articolo 2702 del codice civile.
Procediamo per gradi.
SPID (Sistema Pubblico di Identità Digitale) è il sistema di autenticazione che già da tempo consente ai cittadini di accedere ai servizi online della pubblica amministrazione e dei privati aderenti tramite un’identità digitale unica. L’identità SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider), soggetti privati accreditati da AgID che, nel rispetto delle regole emesse dall’Agenzia, forniscono le identità digitali e gestiscono l’autenticazione degli utenti.
L’articolo 20 Codice Amministrazione Digitale, al comma 1 bis, così recita:
Art. 20 - Validità ed efficacia probatoria dei documenti informatici |
1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida. |
Questo il contenuto del comma 1 dell’art. 72 Codice Amministrazione Digitale:
Art. 71 - Regole tecniche |
1. L’AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell’apposita area del sito Internet istituzionale dell’AgID e di essa ne è data notizia nella Gazzetta Ufficiale della Repubblica italiana. Le Linee guida sono aggiornate o modificate con la procedura di cui al primo periodo. |
Le citate linee guida sono già in vigore essendo stata pubblicate, come detto, il 23 marzo 2020 nell’apposita area del sito Internet istituzionale dell’AgID, così come previsto dall’art. 71 Codice Amministrazione Digitale.
Cerchiamo di dare risposta alle domande che, in questi giorni, più frequentemente vengono poste.
Cosa si potrà fare con la Firma SPID?
Con la “Firma SPID” viene introdotta, nel nostro ordinamento, una nuova e ulteriore modalità di sottoscrizione informatica che va ad aggiungersi alla firma elettronica, alla firma elettronica avanzata e alla firma elettronica qualificata e che consentirà agli utenti di firmare un documento online proposto da un fornitore di servizi SPID, avendo semplicemente cura di autenticarsi presso il proprio gestore di identità SPID senza necessità di dotarsi di smart card o di altri dispositivi di creazione di firme elettroniche qualificate.
Posso già sottoscrivere documenti informatici con SPID?
Purtroppo no; al momento non è possibile sottoscrivere documenti informatici con SPID in quanto, affinché la “firma con SPID” possa consentire la sottoscrizione di documenti informatici e quindi anche atti e contratti con lo stesso valore giuridico della firma autografa soddisfacendo, così, il requisito della forma scritta e producendo gli effetti dell’art. 2702 del codice civile, sarà necessario che le software house già accreditate e autorizzate al rilascio di SPID, recepiscano le predette linee guida fornendo, quindi, il correlato servizio, nel rispetto delle norme in essere.
L’articolo 2 delle linee guida precisa che le stesse, tra l’altro, regolano le modalità atte a garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore e come destinatarie delle stesse siano i fornitori di servizi e i gestori dell’identità che intenderanno realizzare quanto previsto dal sopracitato articolo 20 nonché gli utenti in qualità di fruitori del servizio.
L’articolo 2.1 mette in evidenza il carattere vincolante e la valenza erga omnes delle linee guida le quali, nella gerarchia delle fonti, sono inquadrate come un atto di regolamentazione, seppur di natura tecnica, con la conseguenza che esse sono pienamente azionabili davanti al giudice amministrativo in caso di violazione delle prescrizioni ivi contenute.
Nelle ipotesi in cui la violazione sia posta in essere da parte dei soggetti di cui all’articolo 2, comma 2 del CAD, è altresì possibile presentare apposita segnalazione al difensore civico, ai sensi dell’articolo 17 del CAD, istituito presso l’AgID.
Chi potrà sottoscrivere ex articolo 20 comma 1bis del CAD?
Il processo di cui all’articolo 20 comma 1-bis del CAD non potrà essere adoperato utilizzando identità digitali SPID per persona giuridica in quanto potranno essere utilizzate esclusivamente le identità digitali della persona fisica e le identità digitali per uso professionale (queste ultime regolamentate dalle LL.GG. identità digitali uso professionale).
Quali caratteristiche deve avere il documento informatico?
Il documento predisposto per la firma deve rispettare le specifiche PDF versione 1.7 o successive, profilo PDF/A-2a, secondo lo standard ISO/IEC 32000-1 rispettando, in particolare, le seguenti caratteristiche tecniche:
1. il documento non richiede alcun controllo di accesso per essere aperto o modificato;
2. è consentita la modifica del documento esclusivamente per quanto concerne l’apposizione dei previsti sigilli elettronici PAdES;
3. né il contenuto del documento né i suoi metadati sono cifrati.
La Firma SPID vale solo in Italia o anche negli altri Paesi?
La firma SPID così come definita dal CAD all’articolo 20, si inserisce quale sistema di sottoscrizione elettronica distinto e in aggiunta sia alla firma elettronica avanzata che a quella qualificata; queste ultime, invece, sono normativamente previste e disciplinate dal Regolamento eIDAS.
Per tale motivo la validità e l’efficacia giuridica della Firma SPID è al momento da considerarsi tale solo nel nostro Paese (come già rilevato da Walter Arrighetti); ciò non toglie però che i documenti sottoscritti con Firma SPID saranno invece valutabili dagli altri Stati Membri i quali, peraltro, non potranno negarne la loro la validità solo per effetto di esser sottoscritti mediante una firma elettronica diversa dalla firma elettronica qualificata.
Quali sono le principali figure coinvolte per la sottoscrizione con Firma SPID?
I Service Provider e gli Identity Provider.
I Service Provider (fornitori di servizi) mettono a disposizione degli utenti servizi digitali accessibili tramite il login con credenziali SPID; l’elenco è disponibile qui.
Gli Identity Provider sono soggetti privati accreditati da AgID che, nel rispetto delle regole emesse dall’Agenzia, forniscono le identità digitali e gestiscono l’autenticazione degli utenti; l’elenco è disponibile qui.
La Firma SPID sarà gratuita?
Le linee guida in commento si limitano a specificare che i fornitori di servizi SPID che intendono far utilizzare la funzione di firma, hanno l’obbligo improrogabile di consentire agli utenti la sottoscrizione con firma elettronica qualificata; appare probabile, se non certo, che il servizio di sottoscrizione con Firma SPID non sarà fornito in gratuità in considerazione dei costi di realizzazione e gestione della struttura informatica.
Come avverrà la conservazione dei documenti firmati?
Le linee guida prevedono che gli Identity Provider potranno offrire ai firmatari servizi aggiuntivi di conservazione dei documenti firmati con SPID, resi accessibili all’utente attraverso apposito servizio il quale, anche in questo caso, presumibilmente sarà a pagamento.
Ove l’utente non vorrà avvalersi dei citati servizi aggiuntivi, dovrà provvedere alla conservazione secondo la normativa vigente in quanto gli Identity Provider hanno l’obbligo di non conservare i documenti oggetto della firma con SPID depositati presso i propri sistemi, rimuovendoli in modo sicuro al termine del trattamento.
Firma SPID e GDPR
L’articolo 8 delle linee guida precisa che gli enti federati sono tenuti al rispetto delle disposizioni di quanto prescritto dal Regolamento GDPR e dal D.Lgs. N°101/2018 mentre, il successivo 8.1 prevede che l’Identity Provider sarà titolare del trattamento per le finalità diverse da quelle del servizio di sottoscrizione ex art. 20 Codice Amministrazione Digitale e l’utente dovrà chiaramente essere informato del fatto che i dati personali oggetto del servizio e i documenti firmati con SPID saranno ulteriormente trattati dall’ Identity Provider.
Riferimenti normativi:
articolo 2702, codice civile
