L’app IO è un’applicazione per i dispositivi mobili sviluppata dalla società pubblica PagoPA con l’obiettivo di integrare tutti i servizi pubblici. L’obiettivo è renderne più semplice e veloce l’accesso e l’utilizzo da parte dei cittadini italiani. Portata al debutto ad aprile 2020, come abbiamo spiegato nella guida all’app IO, l’applicazione mette il cittadino nelle condizioni di ricordare eventi e scadenze importanti: sono gli enti pubblici a mettersi in contatto con ciascun soggetto interessato. E non più il viceversa. Firma con IO rappresenta un ulteriore nuovo passo in avanti nella stessa direzione.
Firmare i documenti dal proprio smartphone, con un’unica applicazione
Il nuovo strumento chiamato Firma con IO si propone come una soluzione particolarmente utile per i cittadini che devono scambiare documenti con la Pubblica Amministrazione. Utilizzando esclusivamente l’app IO, è possibile apporre una firma elettronica qualificata (FEQ) e sottoscrivere qualunque documento senza mai uscire di casa o dall’ufficio. Il cittadino non deve quindi più prendere un appuntamento e recarsi fisicamente presso gli sportelli dell’ente pubblico.
Abbiamo già visto le differenze tra firma digitale, firma qualificata e firma elettronica: Firma con IO consente di apporre una firma con il massimo valore legale. La firma elettronica qualificata “one shot” corrisponde infatti a una specifica tipologia di firma elettronica utilizzata per consentire la firma di un documento digitale in modo rapido e conveniente. È definita one shot proprio perché è applicata una sola volta senza la necessità di ulteriori passaggi o autenticazioni.
La firma elettronica qualificata “one shot” si basa sull’uso di una chiave crittografica privata che è strettamente associata all’identità del firmatario. Quando il firmatario applica la sua firma elettronica one shot sul documento digitale, la chiave crittografica è utilizzata per creare una firma digitale univoca e non alterabile. La firma digitale attesta l’integrità del documento e l’identità del firmatario.
L’utilizzo di questo tipo di firma è previsto nel Regolamento eIDAS (Electronic Identification, Authentication, and Trust Services) europeo e nel caso dell’app IO sono i meccanismi di autenticazione basati su CIE e SPID a fornire garanzia dell’identità di ciascun utente.
Come funziona la firma dei documenti digitali con l’app IO
La procedura di apposizione della firma digitale è molto semplice con l’app IO. L’ente pubblico chiede al cittadino di firmare un documento inviando un messaggio sull’app IO. L’ente può gestire la richiesta di firma anche da Web, attraverso la pubblicazione di un pulsante dedicato. Tale pulsante provoca l’apertura dei documenti mediante l’app IO che è in ogni caso necessaria per completare l’operazione di firma. Per chi utilizza sistemi desktop, il sistema di firma mostra un codice QR da inquadrare con lo smartphone. Seguendo l’URL che si apre sul dispositivo mobile, è possibile seguire la procedura guidata.
A questo punto, l’utente può visualizzare i documenti da firmare sul suo smartphone, consultare le clausole presenti e le condizioni del fornitore del servizio. Dopo aver selezionato le firme da apporre e accettato termini e condizioni del servizio, l’utente completa l’operazione – ad ulteriore garanzia – tramite riconoscimento biometrico o l’inserimento del codice di sblocco del telefono.
I documenti firmati sono restituiti dalla stessa app IO. Essi possono essere condivisi e scaricati in locale. Anzi, è bene farlo perché l’app IO conserva i documenti soltanto per 90 giorni. Trascorso tale periodo di tempo non saranno più disponibili. La conservazione del certificato di firma qualificata one shot spetta invece al QTSP (Qualified Trusted Service Provider), che è tenuto a conservarlo per 20 anni.
L’applicazione IO è ufficialmente pronta per consentire la gestione del processo di firma dei documenti digitali. In queste settimane è tuttavia in corso l’onboarding degli enti pubblici: la Pubblica Amministrazione deve aderire al progetto e indicare esplicitamente le finalità per le quali è richiesta l’attivazione del nuovo meccanismo di firma.
I dettagli tecnici sul processo di firma
Il manuale operativo contiene tutti i dettagli tecnici sulla prassi che la Pubblica Amministrazione deve applicare per richiedere l’apposizione di una firma, per verificare lo stato dei documenti e l’avvenuta sottoscrizione.
Innanzi tutto, il cittadino deve ricevere esclusivamente documenti PDF standard, in formato PDF/A-2A o file già firmati con una firma PAdES. Ne abbiamo parlato nell’articolo su come verificare la firma digitale sui documenti. I documenti firmati PAdES conservano l’estensione PDF perché la firma è inserita nel file stesso, senza l’utilizzo di alcuna busta a fungere da “contenitore”. Non è consentito l’utilizzo e l’invio di documenti scannerizzati.
Oltre a supportare la doppia firma (sottoscrizione di documenti già firmati PAdES), il sistema permette la gestione di più FEQ one shot: si pensi ai genitori chiamati a siglare uno stesso documento (vedere più avanti).
Utilizzando le API “ad hoc” e un approccio aperto, ciascun ente pubblico deve quindi creare un dossier, individuare il cittadino interessato tramite il suo ID univoco (a sua volta connesso con il codice fiscale), creare una richiesta di firma, inviare i documenti da firmare e spedire la richiesta così composta. Per verificare lo stato della firma ed ottenere i documenti firmati, è sufficiente predisporre e inviare una specifica richiesta via HTTP GET.
L’alternativa all’utilizzo di Firma con IO resta sempre, ai sensi del Codice dell’amministrazione digitale (CAD), la presentazione di istanze online ai vari enti pubblici previa autenticazione mediante CIE o SPID.
Quali sono i possibili campi applicativi
Il sistema Firma con IO è utilizzabile per molteplici finalità. Lo scambio di documenti tra enti e cittadini è infatti pratico e immediato. Si può gestire qualunque pratica con la Pubblica Amministrazione, i Comuni possono gestire a distanza le richieste di cambio di residenza, attivare le richieste di erogazione della nuova carta d’identità (comprese quelle dei minori) e di altri documenti personali. Con il nuovo meccanismo di firma si possono inoltre, ad esempio, stipulare contratti per la fornitura di servizi (acqua, gas, luce) attraverso le multiutility sotto il controllo pubblico.
Nel mondo accademico si possono siglare contratti da remoto per servizi occasionali, tirocini, dottorati, assegni di ricerca o borse di studio. Allo stesso modo, le scuole di qualunque ordine e grado possono richiedere agli studenti o ai genitori degli alunni documenti da firmare all’inizio e nel corso dell’anno scolastico.
In tutti i casi, la cosiddetta liability shift offre massima garanzia sulla firma e sull’integrità dei documenti sottoscritti evitando qualsiasi rischio di disconoscimento.