Ancora oggi, nonostante i tanti strumenti che si hanno a disposizione e nonostante l’avanzare della tecnologia, il tema del valore legale del documento digitale tiene banco. Situazione dovuta in parte al fatto che le soluzioni per firmare un documento digitale sono diverse e, spesso, simili tra loro, specialmente agli occhi dei non addetti ai lavori. Simili, ma non uguali (come si vedrà meglio alla fine).
Tramite SPID è possibile apporre una firma elettronica a un documento? Sì… in un certo senso. Le cose, in realtà, stanno un po’ diversamente e, in merito, si fa ancora parecchia confusione. Perché in gioco ci sono due strumenti che, per certi versi, svolgono una funzione analoga.
Meglio procedere con ordine.
Temi:
Cos’è lo SPID
L’acronimo SPID sta per Sistema pubblico d’identità digitale. Si tratta di uno strumento che accerta l’identità digitale di una certa persona e le permette di gestire online tutta una serie di comunicazioni da e verso gli enti pubblici.
Per richiedere le credenziali SPID: Spid.gov.it
Alla fine del 2019, l’AgID (Agenzia per l’Italia digitale) ha comunicato le linee guida per la corretta gestione dello SPID. Tra le novità più importanti, c’è sicuramente la definizione puntuale degli IdP, gli identity provider, ovvero i gestori dell’identità digitale (soggetto che dovrebbe agevolare la diffusione e l’utilizzo dello SPID in Italia).
Cos’è la firma elettronica
Per definizione, la firma elettronica è un insieme di dati elettronici che, tramite associazione logica, possono essere allegati o connessi ad altri dati elettronici. Molto più comunemente, la firma elettronica viene considerata come l’equivalente digitale di una firma che viene apposta sui documenti digitali.
Una firma digitale può essere apposta a un documento informatico in vari modi, smart card e token USB sono i più comuni. Per poterla ottenere, bisogna rivolgersi alle Camere di commercio (Camcom.gov.it) oppure agli intermediari autorizzati (la lista è presente sui siti delle singole Camere di commercio territoriali).
Approfondimento: Cos’è la firma elettronica: facciamo un po’ di chiarezza
E la firma digitale?
Firma elettronica e firma digitale, fin troppo spesso, vengono confuse. Vale la pena, in questo contesto, precisare quali sono le differenze e i diversi ambiti di utilizzo.
- La firma digitale è un tipo di firma elettronica;
- La firma digitale è una firma elettronica qualificata, quindi garantisce connessione univoca al firmatario e sua identificazione certa, sicurezza nella creazione, collegamento ai dati sottoscritti con possibilità di verifica di ogni successiva modifica;
- La firma digitale è stata creata utilizzando un dispositivo qualificato per la creazione di una firma elettronica, ed è basata su un certificato.
- La firma digitale è, per definizione, una firma elettronica forte.
Approfondimento: La firma digitale: cos’è, a cosa serve e come funziona
Come firmare un documento con SPID
Partendo dal presupposto che un utente abbia già a disposizione una propria identità SPID, sul documento non viene apposta una firma elettronica ma un sigillo elettronico.
In questo modo:
SOGGETTO | AZIONE |
Utente | Si autentica presso il service provider. |
SP (fornitore di servizi SPID) | Se l’utente accetta, appone al documento uno strumento chiamato sigillo elettronico qualificato. |
SP | Invia il documento con sigillo elettronico all’IdP. |
IdP (identity provider) | Autentica l’utente e gli permette di visionare l’intero documento sulla propria piattaforma online. |
IdP | Richiede all’utente di sottoscrivere il documento. |
IdP | Dopo aver acquisito dall’utente la sottoscrizione, appone al documento il proprio sigillo digitale. |
IdP | Invia il cosiddetto “documento firmato con SPID” al service provider. |
SP | Permette all’utente di visionare il “documento firmato con SPID”. |
IdP | È obbligato a cancellare tutti i dati relativi all’utente presenti sui propri sistemi (a meno che l’IdP e l’utente non vi siano accordi di altro tipo). |
SPID e GDPR
In tutti i passaggi sopra indicati, si sarà notato che ci sono diversi punti riguardanti l’utilizzo dei dati personali. Infatti, anche il sistema di apposizione sigillo elettronico tramite SPID deve, necessariamente, adeguarsi alle norme del GDPR in merito al trattamento dei dati personali.
Non a caso, l’utente deve esprimere il proprio consenso per due volte:
- La prima: l’utente permette al service provider di conoscere alcuni dei propri dati personali (come il codice fiscale) e di inviare il documento in questione all’identity provider;
- La seconda: l’utente acconsente che l’IdP esamini il documento nella sua interezza e vi apponga il proprio sigillo elettronico.
Il sigillo elettronico
Come si è visto, il documento non viene strettamente firmato con firma elettronica/digitale ma vi viene apposto un sigillo elettronico. Che, per certi versi, è uno strumento simile, in quanto si tratta di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi” (secondo la definizione presente nel regolamento eIDAS).
Simili ma non uguali:
- Il sigillo elettronico garantisce l’integrità del documento e si riferisce a una persona giuridica;
- La firma elettronica garantisce l’identità del firmatario e si riferisce a una persona fisica.
Approfondimento: Il sigillo elettronico, cos’è, come funziona e differenze con la firma digitale