Approfondimento di Alfonso Pisani

Le nuove linee guida AGID per firmare online e le implicazioni per le pubbliche amministrazioni (seconda parte)

Alfonso Pisani

Con determinazione numero 157 del 23 marzo 2020 sono state emanate dall’Agenzia per l’Italia Digitale le linee guida per firmare i documenti online secondo l'articolo 20 del codice dell'amministrazione digitale.

Nella prima parte dell’articolo abbiamo ripercorso il quadro normativo sulle firme elettroniche e sul soddisfacimento del requisito della forma scritta e del valore probatorio dei rispettivi documenti. 

In questa seconda parte andremo a parlare dei requisiti che deve avere un sistema di firma online, in particolare per le PA per le istanze e le comunicazioni.

Infatti oltre all’aspetto probatorio ed al requisito della forma scritta vale la pena di ricordare che i dipendenti pubblici devono tener conto anche dell'ambito della valenza delle firme nell'ambito dei procedimenti amministrativi e delle comunicazioni con la pubblica amministrazione.  

All'articolo 65 del codice dell'amministrazione digitale viene infatti detto che le istanze e le dichiarazioni dei cittadini verso la pubblica amministrazione sono valide in determinati casi riassunti dalla figura seguente 

 Resta da specificare la casistica ultima prevista dall'articolo 20 del codice dell'amministrazione digitale dove si dice che il documento informatico a il valore della forma scritta ed il valore probatorio di cui all'articolo 2702 del codice civile se esso  

"e' formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'articolo 71 con modalita' tali da garantire la sicurezza, integrita' e immodificabilita' del documento e, in maniera manifesta e inequivoca, la sua riconducibilita' all'autore." 

Ed è proprio qui che entrano in mezzo le linee guida AGID suddette che descrivono proprio questa casistica.

Vale la pena di iniziare a dire che le linee guida sono giuridicamente vincolanti in quanto atto di normazione secondaria alle quali lo stesso articolo 71 del codice dell'amministrazione digitale attribuisce tale potere.

Abbiamo pertanto due problematiche 

1. L'identificazione dell'autore
2. La necessità di rendere manifesta la sua volontà di firmare 

Certo questi due argomenti sono molto differenti tra di loro: accedere in un sistema informatico in particolare con SPID non significa poter attribuire all'autore tutte le operazioni che sono state fatte all'interno del sistema stesso.

Infatti SPID potremmo dire che si limita a certificare semplicemente l'ingresso nel sistema. D'altra parte lo stesso regolamento Eidas parla di servizi di autenticazione che servizi che permettono l'accesso ai sistemi identificando in maniera inequivocabile il soggetto e di sistemi fiduciari tra i quali rientra la firma elettronica.  

Lo spid di livello 2 come ribadito dalle stesse linee guida è quello che deve essere usato per le comunicazioni e le istanze verso la pubblica amministrazione. 

Quindi accedendo ad un sistema on-line tramite SPID abbiamo soddisfatto il primo requisito per la trasmissione dell'istanza o della comunicazione

Resta da vedere qual è il processo che rende manifesta la volontà del soggetto di firmare il documento che è il risultato naturale delle operazioni fatte all'interno del sistema nel quale si è acceduti. 

In questo le linee guida prevedono i seguenti passaggi: 

1. Sulla pagina web del sito della PA, nel nostro caso, vi dovrà essere la presenza di un tasto “Firma con SPID” cliccando il quale all’utente saranno presentati tutti i fornitori di identità SPID e l’utente dovrà scegliere il proprio (ammesso che questo fornisca servizi di firma online)
2. La produzione di un documento in formato PDF da parte del fornitore del servizio online attraverso il quale si vuole presentare l’istanza o la dichiarazione alla PA, che riassume il contenuto dell’istanza o della dichiarazione
3. Al documento in pdf così formato verrà apposto un sigillo digitale da parte della PA del documento così formato. Il sigillo digitale, in base al regolamento Eidas altro non è se non una firma qualificata o digitale di una persona giuridica. Il suo scopo è anche quello di rendere il documento immodificabile.
4. Viene reso manifesto all’utente che il processo prevede l’invio del documento al fornitore del servizio di identificazione SPID prescelto, acquisendone il consenso esplicito (opt-in). L’utente è anche avvisato in modo chiaro e manifesto che tale documento gli sarà reso successivamente disponibile dal proprio IDP e gli viene consigliato di leggerlo nuovamente in tale occasione. Per proseguire l’utente dovrà selezionare un bottone “Prosegui con la Firma”.
5. A questo punto viene inviato il documento al fornitore del servizio di autenticazione SPID con la richiesta di firma e l’utente viene redirezionato verso la pagina di detto fornitore alla quale si dovrà autenticare se non già fatto in precedenza con credenziali di livello 2 dello SPID.
6. Il fornitore del servizio di identificazione SPID propone all’utente di firmare il documento e gli da la possibilità di visionarlo ancora una volta
7. Se l’utente conferma la volontà di firmare il documento il fornitore del servizio di identificazione SPID apporrà al documento da firmare una dicitura del tipo:
   Il (data della firma) alle (ora della firma) (nome del firmatario) ha confermato la volonta' di apporre qui la propria sottoscrizione ai sensi dell'art. 20, comma 1‐bis del CAD.
    
   Successivamente il fornitore del servizio di identificazione SPID apporrà un suo sigillo digitale al documento (cioè una firma di persona giuridica in modo da renderlo immodificabile ed attestare che si è proceduto alla firma) e restituirà copia del documento all’utente (tramite posta elettronica e/o invito a scaricarlo) ed al fornitore del servizio iniziale (la PA nel nostro caso) informandola dell’avvenuta sottoscrizione con successo. 

E’ importante, dunque che le pubbliche amministrazioni possano ripensare i propri servizi in modo da sostituire a modalità ormai obsolete, basate ad esempio sul caricamento di un’istanza scansionata e del documento di identità o ad altre modalità che prevedono un meccanismo di autenticazione, per il quale però non sia chiaro qual è il documento firmato da conservare nei propri archivi questa nuova modalità di sottoscrizione. Naturalmente il sistema di firma dovrà poi essere integrato con il sistema documentale per procedere alla protocollazione, smistamento e fascicolazione dell’istanza o dichiarazione.

10 aprile 2020