SPID e firma digitale: differenze e somiglianze

Pubblicato il 01 Marzo 2022

La firma digitale può essere ottenuta anche utilizzando lo SPID come sistema di riconoscimento

di Stefano Trentin, Dottore Commercialista Responsabile di ECM, Business Unit di Sanmarco Informatica

Questo nuovo tipo di firma elettronica consente ai cittadini di sottoscrivere un documento proposto online da un fornitore di servizi SPID (‘SP’), ad esempio un contratto, in modalità totalmente dematerializzata, semplicemente autenticandosi presso il proprio gestore di identità SPID (‘IdP’).

Il tutto è stato possibile con la pubblicazione delle Linee guida di AgID contenenti le Regole Tecniche circa la sottoscrizione elettronica di documenti tramite SPID ex art. 20 del CAD che descrivono, su mandato del legislatore, un nuovo tipo di firma elettronica, denominata “firma con SPID”, che soddisfa il requisito della forma scritta e l’efficacia fino a querela del falso (ex art. 2702 del Codice Civile), essendo formata previa identificazione elettronica del firmatario.
L’identificazione elettronica garantisce dunque la sicurezza (intesa come integrità e immodificabilità del documento sottoscritto) ma anche, “in maniera manifesta e inequivoca”, la riconducibilità della firma stessa all’autore.

Come funziona la Firma con SPID

Procediamo prima di tutto con una descrizione rapida e semplificata della “Firma con SPID”:

  • Un SP (fornitore di servizi SPID) propone all’utente, che si è già autenticato presso l’SP mediante la propria identità digitale SPID, di sottoscrivere un documento;
  • Se l’utente accetta, l’SP predispone un modello di documento, apponendovi un sigillo elettronico qualificato (QSeal) e lo invia all’IdP (gestore di identità SPID) prescelto dall’utente;
  • L’IdP autentica nuovamente l’utente, consentendo all’utente di visionare l’intero documento;
  • L’IdP richiede all’utente di acconsentire esplicitamente alla sottoscrizione dello stesso eventualmente in più punti;
  • Terminata l’acquisizione del consenso (ovvero dei consensi, nel caso di firme multiple), l’IdP sigilla ulteriormente il documento apponendovi il proprio QSeal;
  • L’IdP consente all’utente di visualizzare e scaricare il file PDF così ri-sigillato, che costituisce il documento firmato con SPID;
  • L’IdP reinvia al SP il “documento firmato con SPID”.

Nonostante sia basata su sigillo elettronico qualificato, la firma con SPID è inquadrata dall’art. 20 del CAD come un sistema di sottoscrizione elettronica distinto e in aggiunta sia alla firma elettronica avanzata sia a quella qualificata, che sono invece normate dal succitato Regolamento eIDAS. Non vi è quindi allo stato attuale alcun obbligo di riconoscimento dei documenti firmati con SPID al di fuori del perimetro nazionale.

È di tutta evidenza come la firma SPID possa ben essere utilizzata in determinati processi dove vi sia la ragionevole certezza che tutti gli utenti siano dotati di identità SPID. Un esempio può essere nella documentazione riguardante i rapporti di lavoro, dove oramai qualsiasi dipendente è dotato della propria identità SPID.

Quindi se fino a poco tempo fa lo SPID era solamente utilizzato per potersi autenticare sui siti e i servizi online, ove previsto, con la pubblicazione delle linee guida dell’AGID, SPID, presso i solution provider che offrono questa soluzione, diventa uno strumento per la firma digitale.

Nella mia esperienza è premiante per le aziende avere a disposizione piattaforme informatiche per la gestione dei processi di firma, che forniscono molteplici tipologie di firme digitali assieme a molteplici modalità di autenticazione. È così possibile costruire processi di digitalizzazione che utilizzano gli strumenti appropriati (tipo di firma) in relazione al risultato che si vuole ottenere (validità legale della firma).

Compila il form per essere ricontattato e avere maggiori informazioni in merito.

Richiedi maggiori informazioni