Una notizia che di recente è passata un po’ sotto silenzio ma che potrebbe essere destinata a rivoluzionare i rapporti tra cittadini, professionisti, imprese e pubblica amministrazione è la possibilità di apporre una firma digitale valida e riconosciuta sull’intero territorio nazionale servendosi di SPID.
I possessori di un’identità digitale SPID (vedere SPID, come funziona davvero e a che cosa serve) potranno così firmare atti e contratti così come se il documento fosse stato siglato in forma cartacea con una firma autografa.
Le nuove linee guida pubblicate da AgID a marzo 2020, in ottemperanza con quanto disposto all’articolo 20 del CAD (Codice dell’amministrazione digitale), ha approvato ufficiamente la possibilità di usare SPID per firmare atti e contratti soddisfacendo il requisito della forma scritta e producendo gli effetti dell’articolo 2702 del Codice civile.
Nell’articolo citato in apertura abbiamo descritto nel dettaglio il ruolo di figure quali l’identity provider (IdP) e il service provider (SP).
Nel caso della firma digitale con SPID l’utente dovrà autenticarsi, usando la sua identità digitale, sul servizio messo a disposizione dal SP che predispone anche il documento oggetto di sottoscrizione. La verifica dell’identità, effettuata tramite controllo delle credenziali SPID e un’autenticazione che sarà almeno di secondo livello (sarà necessaria l’autenticazione a due fattori inserendo il codice ricevuto sul proprio cellulare), è in capo all’IdP.
Previa conferma dell’utente possessore dell’identità digitale SPID, sul documento viene apposta la firma da parte dell’IdP quindi inviato di nuovo al SP a conferma dell’avvenuta sottoscrizione dell’atto o del contratto.
Il documento PDF, che non deve essere né crittografato né protetto mediante password, deve essere stato precedentemente preparato da uno dei contraenti nel formato PDF/A-2 con specifiche versione 1.7 o successive, usato e riconosciuto anche dalla pubblicazione amministrazione: Che cos’è il formato PDF/A e perché è di fondamentale importanza per la conservazione dei documenti.
L’utente può a sua volta scaricare e archiviare il documento firmato digitalmente con SPID mentre l’IdP dovrà eliminarlo dai suoi server (a meno che non sia stato autorizzato dall’utente ad attivare la conservazione dei documenti firmati, previa stipula di uno specifico servizio solitamente in abbonamento e quindi a pagamento).
La firma digitale con SPID non si sostituisce alle firme elettroniche avanzate (FEA) e qualificate (FEQ) (vedere Differenza tra firma digitale, firma qualificata e firma elettronica) ma rappresenterà comunque una valida alternativa da considerarsi utilizzabile, però, solo entro i confini italiani. La normativa europea (eIDAS), infatti, non regola la modalità di firma mediante SPID.