La determinazione AGID n. 157/2020, «Emanazione delle Linee Guida per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD», fornisce le indicazioni operative per firmare il documento informatico e attribuire la paternità certa all’atto (o al provvedimento).
L’art. 20, «Validità ed efficacia probatoria dei documenti informatici», del d.lgs. n. 82/2005 stabilisce che il documento informativo firmato con firma digitale, o altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, formato, previa identificazione informatica del suo autore:
- «soddisfa il requisito della forma scritta»;
- «ha l’efficacia prevista dall’articolo 2702 del Codice civile».
Le Linee guida, aventi carattere vincolante e valenza erga omnes (quale atto di regolamentazione di natura tecnica), disciplinano le modalità atte a garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.
Destinatari delle Linee guida sono:
- i fornitori di servizi e i gestori dell’identità (SP);
- gli utenti in qualità di fruitori del servizio.
L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria, con l’evidente intento di formulare la piena identità digitale (SPID, della persona fisica e per uso professionale), con il pieno diritto di accedere ai servizi on line offerti dai soggetti pubblici (P.A. e gestori di pubblici servizi).
Viene indicata concretamente la procedura di sottoscrizione da parte del gestore (e di riflesso l’utente con le proprie credenziali):
- sottoscrizione mediante la predisposizione del documento per la firma, apponendovi un proprio sigillo elettronico qualificato (formato del file, nome del file, QSeal) e sottoponendolo, presso la propria piattaforma, all’utente affinché possa essere visionato, eventualmente scaricato e conservato;
- l’utente una volta acquisito il documento all’IdP prescelto (quello indicato dal titolare del SPID), manifesta il consenso esplicito (opt-in) che riflette la procedura dal lato dell’utente;
- l’utente viene avvisato in modo chiaro e manifesto che tale documento gli sarà reso successivamente disponibile dal proprio IdP e gli viene consigliato di leggerlo nuovamente per selezionare il bottone “Prosegui con la Firma”;
- segue, quindi, invio del documento predisposto per la firma all’IdP e, avuta evidenza del successo dell’invio, si giunge alla sessione dell’utente al relativo IdP con una richiesta di autenticazione speciale, denominata “firma con SPID”, conforme alle caratteristiche tecniche delle Linee guida (la richiesta contiene il codice fiscale del soggetto che deve apporre la firma).
Chiarita l’attività materiale per sottoscrivere il documento, i passi successivi sono attinenti alle regole tecniche proiettate allo scopo di dare sicurezza e immodificabilità del testo/documento (si riporta l’essenzialità):
FORMATO DEL DOCUMENTO
Il documento predisposto per la firma dal SP rispetta le specifiche PDF versione 1.7 o successive, profilo PDF/A-2a, secondo lo standard ISO/IEC 32000-1 rispettando, in particolare, le seguenti caratteristiche tecniche:
- il documento non richiede alcun controllo di accesso per essere aperto o modificato;
- è consentita la modifica del documento esclusivamente per quanto concerne l’apposizione dei previsti sigilli elettronici PAdES;
- il contenuto del documento e i suoi metadati sono cifrati.
NOMENCLATURA DEL DOCUMENTO:
Il nome del documento predisposto per la firma è costituito da tre parti obbligatorie variabili, una parte facoltativa, dove è riportato la data, l’ora, il nome del documento firmato:
- data: è la data di creazione del documento predisposto per la firma (rispetto al fuso orario italiano), rappresentata da una stringa di 8 caratteri numerici;
- ora: è l’ora di creazione del documento predisposto per la firma, rispetto all’orario di sistema del SP, riportato al fuso orario italiano, una stringa di 6 numeri;
- num: è un numero incrementale di 3 cifre che può essere facoltativamente utilizzato dal SP per differenziare più documenti che sono predisposti nell’arco del medesimo minuto secondo.
Stabilita la stringa del file, seguono gli ulteriori passi che garantiscono l’affidabilità della firma stessa (sigillo elettronico di tipo PAdES, non visibile), nei formati previsti dal Regolamento eIDAS)[1], la certificazione, la creazione del metadato, le autentificazioni per la firma, le impronte con algoritmi crittografici.
SISTEMA DI TRASFERIMENTO SICURO DEI DOCUMENTI
Ogni ente federato si dota di un sistema di trasferimento dedicato ai documenti (mediante l’URL che l’ente medesimo pubblica nel metadata SPID, e codici di ritorno), costituito da uno storage dedicato, un protocollo di comunicazione sicura che garantisce un adeguato livello di confidenzialità, integrità e disponibilità, e da un sistema di gestione dei file ricevuti, protetto da misure di sicurezza logica, fisica e amministrativa.
OBBLIGHI IN CAPO AGLI IDENTITY PROVIDER (IDP) E SERVICE PROVIDER (SPO)
Sono tenuti:
- al rispetto della disciplina in materia di tutela dei dati personali del Regolamento GDPR e di recepimento (exlgs. n. 101/2018);
- rendere disponibile il servizio e garantirne tutte le caratteristiche di confidenzialità, integrità e disponibilità;
- non conservare i documenti oggetto della firma con SPID che sono depositati presso i propri sistemi, rimuovendoli in modo sicuro al termine del trattamento;
- consentire agli utenti la sottoscrizione con firma elettronica qualificata;
- possono offrire ai firmatari servizi aggiuntivi di conservazione dei documenti firmati con SPID resi accessibili all’utente (previa informativa sull’ulteriore trattamento di quanto firmato con SPID).
Tali obblighi si riconducono al rispetto dei principi previsti dal GDPR (c.d. principio di «responsabilizzazione», art. 5, par. 2).
Le Linee guida AGID offrono lo spunto per una molteplicità di riflessioni, specie in un periodo di emergenza COVID-19 ove si vorrebbe spingere a massimizzare la digitalizzazione della P.A. (vedi, i ritardi negli accreditamenti delle risorse ai professionisti e il relativo data breach) e dei rapporti sociali attraverso il virtuale/digitale, con una schedatura o tracciatura di tutti gli utenti (vedi, le app di geo localizzazione), in piena sicurezza dei dati personali (dicono) e in evidente violazione dei principi di proporzionalità e ragionevolezza, invasivi della riservatezza e delle libertà di movimento.
[1] La c.d. “marcatura temporale” è il processo con cui un certificatore accreditato crea ed appone su un documento informatico, digitale o elettronico una “firma digitale del documento” alla quale sono associate le informazioni relative alla data ed all’ora di creazione che, ove siano state seguite le regole tecniche sulla validazione temporale, sono così opponibili ai terzi, Cass. civ., sez. I, ord., 13 febbraio 2019, n. 4251.