Photo by Kyle Glenn on Unsplash

Documenti, identità e firma elettronica: perché l’unica certezza rimane Spid

di Giovanni Manca, vicepresidente Anorc – Cantiere Documenti digitali

 

Giovanni Manca prosegue la sua analisi, normativa e tecnologica, sul rapporto che intercorre tra identità digitale e firma elettronica. Leggi anche “Documenti digitali, perché su identità e firma è una questione aperta” e “Documenti, sigillo elettronico: caratteristiche e possibili utilizzi

 

La versione vigente del Codice dell’amministrazione digitale (CAD), in vigore dal 27 gennaio 2018, ha introdotto una nuova fattispecie di formazione del documento informatico nell’articolo 20, comma 1-bis. In particolare nell’appena citato comma si stabilisce che:

“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore(…omissis…).”

Per completare il quadro sulle novità introdotte nell’ultimo CAD, dobbiamo citare anche quanto stabilito nel secondo periodo dell’articolo 21, comma 2-bis:

“Gli atti di cui all’articolo 1350, numero 13), del Codice (civile) redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori modalità di cui all’articolo 20, comma 1-bis, primo periodo.”

Nel seguito si commentano queste norme con lo scopo di fornire evidenza sulla portata di queste novità, evidenziando delle criticità con delle proposte operative per meccanismi organizzativi e tecnologici più semplici e coordinati tra di loro. Il tutto anche con l’indispensabile coordinamento con l’articolo 65 del CAD, che tratta di Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica.

Lo schema applicativo che ci propone la norma primaria è il seguente:

  • L’autore del documento è stato identificato in modalità informatica. Questo è avvenuto tramite un processo avente i requisiti fissati da AgID, mediante il nuovo meccanismo delle Linee guida che contengono le regole tecniche. La modalità informatica utilizzata per l’identificazione potrebbe essere un PIN, una Carta d’Identità Elettronica (CIE 3.0 è versione che attualmente è in fase di emissione), la Carta Nazionale dei servizi. Il dubbio è comunque risolto nell’articolo 64, comma 2-quater: “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID”. Ma il comma 2-nonies stabilisce che l’accesso può avvenire anche tramite CIE o CNS.
  • Preso atto di questo principio, sappiamo che AgID dovrà associare a SPID delle modalità di formazione del documento tali da garantire sicurezza, integrità e immodificabilità dello stesso. Per fare delle ipotesi sulla direzione verso la quale si muoverà AgID, dobbiamo andare a leggere gli allegati sul glossario e sui formati al DPCM 13 novembre 2014.
  • Nel glossario non c’è la definizione di sicurezza del documento informatico, ma il concetto è espresso nell’allegato dedicato ai formati documentali: “La sicurezza di un formato dipende da due element,i il grado di modificabilità del contenuto del file e la capacità di essere immune dall’inserimento di codice maligno”. Il primo concetto rimanda all’immodificabilità quindi per la sicurezza in sé abbiamo solo il secondo.
  • Per quanto attiene all’integrità troviamo la definizione nel glossario: “Insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato”.
  • L’allegato con il glossario contiene anche la definizione di immodificabilità: Caratteristica che rende il contenuto del documento informatico non alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso”.

 Questa analisi di dettaglio ci aiuta a definire cosa sarebbe auspicabile stabilire con le specifiche Linee guida di AgID. Dunque, l’autore è stato identificato tramite SPID e accede con la sua identità in un sistema informatico dove produce la forma e il contenuto del documento informatico. Applicando le Linee guida, AgID adesso deve assicurare la completa formazione garantendo i tre requisiti appena esposti. Le opzioni sono già stabilite nel DPCM 13 novembre 2104 nell’articolo 3, comma 4.

La presenza di ben 5 opzioni per garantire integrità e immodificabilità non aiuta a definire al meglio il percorso tecnico e organizzativo indispensabile per ottenere applicazioni efficaci ed efficienti.

Inoltre la presenza tra le opzioni della firma digitale (qualificata), ma non della firma elettronica avanzata (applicabile in base al CAD stesso), crea delle disomogeneità tra norme tecniche e rende difficoltoso il coordinamento tra le stesse.

In altre parole possiamo dire che l’unica certezza rimane l’utilizzo di SPID.

Un’altra difficoltà nel coordinamento deriva da quanto stabilito nell’articolo 65, comma 1 del CAD e in particolare nelle lettere a) e b). Nella lettera a) si fa riferimento alle sottoscrizioni, ma questa nuova fattispecie non è una sottoscrizione visto che è un metodo per formare il documento. Poi nella lettera b) si stabilisce che sono valide le istanze e dichiarazioni presentate alla pubblica amministrazione, quando l’istante o il dichiarante è identificato attraverso SPID. Ma sono accettate anche la CIE e la CNS.

E’ evidente che il sovrapporsi delle norme non ha portato beneficio alla loro omogeneità e coordinamento.

AgID nelle funzioni che gli assegna lo Statuto e l’articolo 71 del CAD dovrà provvedere a disegnare percorsi lineari ed efficaci, razionalizzando l’uso dell’identità digitale, creando un solo percorso valido per l’interazione con la PA.

Inoltre è indispensabile definire i nuovi ruoli della sottoscrizione informatica in coordinamento con l’identità digitale rappresentata da SPID, ma anche dalla CIE. Il futuro della CNS è ancora poco chiaro.  La circostanza che la notifica a Bruxelles degli schemi di identificazione è stata fatta (con successo) per SPID e entro l’anno sarà attuata anche per la CIE (annuncio di AgID), induce a ipotizzare che la CNS (con la Tessera Sanitaria) può subire una battuta d’arresto.

 

 

Foto di Kyle Glenn