Viviana De Paola

ICT Senior Consultant AgID

SPID identità digitale e firma elettronica qualificata

Il processo per cui si fa uso di dati di identificazione personale in forma elettronica che

rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;

«mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati

di identificazione personale e utilizzata per l’autenticazione per un servizio online.

Articolo 3, Regolamento eIDAS UE 2014/910

IDENTIFICAZIONE ELETTRONICA

L'accesso ai servizi in rete erogati dalle pubbliche amministrazioni, che richiedono

identificazione informatica avviene, dal 28/2/2021, esclusivamente tramite SPID, CIE e

CNS.

Con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per

l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale le

PA utilizzano esclusivamente le identità digitali per consentire l'accesso delle imprese e

dei professionisti ai propri servizi in rete.

Art. 64, co. 2 quater, 2 nonies e 3 bis, del d.lgs. 82/2005 (CAD)

DIRITTI

Fondo per l'innovazione tecnologica e la digitalizzazione di euro 50.000.000,00

La prima somma di euro 37.500.000,00, quale quota relativa ai primi tre trimestri del 2020, è così

ripartita:

euro 31.100.000,00: realizzazione ed erogazione di servizi in rete nonché l’accesso ai servizi medesimi tramite le piattaforme abilitanti pagoPA, ANPR, SPID e App IO

(articoli 5, 62, 64 e 64-bis CAD);

euro 6.400.000,00: favorire la diffusione delle competenze digitali

DM 5/10/2020 Ministro per l’Innovazione Tecnologica e la Digitalizzazione (Dipartimento per la trasformazione digitale, Amministrazioni Pubbliche, Enti pubblici o società a

partecipazione pubblica)

DOVERI

I privati devono rispettare il CAD e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all'articolo 3-bis e al Capo IV, l'identità digitale di cui agli articoli 3-bis e 64.

Art. 2, co.3, CAD

SISTEMA PUBBLICO DI IDENTITA’ DIGITALE

https://www.spid.gov.it/servizi

Si può ottenere SPID a distanza usando la CIE, la

CNS e la firma digitale.

Da ottobre 2020 è prevista anche un’altra

modalità di riconoscimento on line senza

operatore

(video, per mostrare il proprio documento di

identità e codice ricevuto; bonifico da un proprio

conto corrente italiano intestato o cointestato,

indicando nella causale un codice specifico

ricevuto da un identity provider scelto.

https://avanzamentodigitale.italia.it/it/progetto/spi

d

https://avanzamentodigitale.italia.it/it/progetto/spid

Linee guida per il rilascio dell’identità digitale per uso professionale

Persona fisica: l’identità digitale che contiene gli attributi della persona fisica cui sono state

rilasciate le credenziali di autenticazione;

Modalità di rilascio:

il gestore dell’identità deve verificare l’identità personale della persona fisica richiedente.

La verifica dell’identità è assolvibile anche attraverso un servizio in rete accessibile con l’uso di

identità digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate

per l’autenticazione siano state rilasciate dallo stesso IdP al quale vengono richieste le

credenziali per uso professionale e siano di livello pari o superiore a quelle richieste.

Tale limitazione non si applica nel caso in cui siano intervenuti specifici accordi di natura privata

fra gli IdP.

Linee guida per il rilascio dell’identità digitale per uso professionale

Persona giuridica: l’identità digitale che contiene gli attributi della persona giuridica e della

persona fisica cui sono state rilasciate le credenziali di autenticazione;

Modalità di rilascio

il gestore dell’identità deve:

a) verificare l’identità personale della persona fisica richiedente;

b) verificare che il richiedente abbia titolo per richiedere l’identità digitale per la personagiuridica.

SPID uso professionale

«Tali identità digitali sono quelle utili a provare l’appartenenza di una persona fisica

all’organizzazione di una persona giuridica e/o la sua qualità di professionista.

Le identità in questione, al contrario, non costituiscono prova dei poteri di

rappresentanza di una persona giuridica dei quali una persona fisica è

eventualmente in possesso né l’appartenenza di un professionista a un determinato

ordine professionale o altro elenco qualificato.» Art. 1

Namirial persona giuridica (attualmente una sola identità digitale ad uso professionale per la persona giuridica a persona giuridica. Tale limite sarà presto

eliminato)

Register persona giuridica, liberi professionisti e ditte individuali

https://www.spid.gov.it/domande-frequenti https://www.agid.gov.it/it/piattaforme/spid

Austria, Belgio, Cipro, Croazia, Danimarca, Estonia, Finlandia, Germania, Grecia, Irlanda,

Lettonia, Lituania, Lussemburgo, Malta, Norvegia, Olanda, Portogallo, Regno Unito,

Repubblica Ceca, Slovacchia, Slovenia, Spagna, Svezia.

https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/06/25/eidas-

servizi-pubblici-accessibili-spid-cie-23-paesi

SPID nel mondo

Linee Guida per la sottoscrizione elettronica di

documenti informatici ai sensi dell'art. 20 del CAD

Adottate con determinazione n.157 del 23/03/2020; pubblicate in G.U.R.I. serie generale n.

90 del 4 aprile 2020.

La sottoscrizione elettronica è un processo informatico che permette di associare i dati utili a identificare il sottoscrittore al

documento informatico. («firma con SPID»)

Il titolare della firma che intende disconoscerla ha solo due alternative:

- dichiarare di non aver mai richiesto la firma digitale al certificatore accreditato (che conserva elementi utili a provare di

aver rilasciato la firma al soggetto);

- dimostrare che è stato vittima di furto o sottrazione temporanea del dispositivo e dei relativi codici per il suo utilizzo.

Disposizioni e regole tecniche di riferimento

Firma elettronica ex art. 20 – una firma elettronica apposta su un documento informatico formato previa identificazione informatica del suo autore attraverso un processo avente i requisiti fissati da AgID, con modalità tali da garantire la sicurezza, l’integrità e l’immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.

Sicurezza: dispositivi sicuri per la generazione della firma;

Immodificabilità: caratteristica che rende il contenuto del documento informatico non alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso.

Integrità: insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato.

Disposizioni e regole tecniche di riferimento

regole tecniche per firme elettroniche qualificate, certificati, sigilli e validazioni temporali

Firma elettronica: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e

utilizzati dal firmatario per firmare (prova valutabile liberamente in giudizio);

Firma elettronica avanzata: - connessa unicamente al firmatario;

- idonea a identificare il firmatario;

- creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello

di sicurezza, utilizzare sotto il proprio esclusivo controllo;

collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Firma elettronica qualificata: - dispositivo qualificato per la creazione di una firma elettronica;

- basata su un certificato qualificato per firme elettroniche;

Firme e Sigilli Elettronici AgID

FEA, FEQ o firma digitale hanno lo stesso valore giuridico della firma autografa e costituiscono in giudizio

una prova salvo che il titolare della firma dia prova contraria.

software di verifica

Firma digitale: un particolare tipo di firma qualificata basata su un sistema di

chiavi crittografiche, una pubblica e una privata, correlate tra loro, che

consente al titolare di firma elettronica tramite la chiave privata e a un

soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere

manifesta e di verificare la provenienza e l'integrità di un documento

informatico o di un insieme di documenti informatici; (art. 1 lettera s)

La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al

documento o all'insieme di documenti cui è apposta o associata. (art. 24)

Documenti informatici da sottoscrivere

Gli atti di cui all'articolo 1350 codice civile redatti su documento informatico o formati

attraverso procedimenti informatici devono essere sottoscritti, a pena di nullità, con firma

elettronica avanzata, qualificata o digitale ovvero «firma SPID».

Art. 21, co. 2-bis, CAD

Il servizio di sottoscrizione è realizzato per permettere al medesimo utente di sottoscrivere

un documento (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al

contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni

di autenticazione SPID distinte.

E’ consentita la modifica del documento esclusivamente per quanto concerne l’apposizione

dei previsti sigilli elettronici PAdES; né il contenuto del documento né i suoi metadati sono

cifrati.

Qualora un Identity o un Service Provider offra il servizio di firma SPID, il relativo metadata

pubblicato nel registro SPID contiene l’estensione <SignatureArt20> (namespace spid)

Documento AgID aprile 2014 L’apposizione di firme e informazioni su documenti firmati

Service Provider

Predispone il documento apponendovi il proprio sigillo elettronico qualificato QSeal

mediante sigillo elettronico di tipo PAdES,

non visibile (senza alcuna componente grafica) in formato PDF/A-2a,

secondo lo standard ISO/IEC 32000-1 con nome file usID_dataTora[_num].tmp.pdf;

presso la propria piattaforma lo sottopone, all’utente affinché possa essere visionato,

eventualmente scaricato e conservato.

Ad esempio il documento predisposto per la firma dall’Agenzia per l’Italia Digitale

(abbreviativo unico: “AgID”), il 21 marzo 2019 all’ora locale 08:34:10:

“AgID_20190321T083410.tmp.pdf”.

Il SP invia il documento predisposto per la firma all’IdP e, avuta evidenza del

successo dell’invio, inoltra la sessione dell’utente al relativo IDP con una richiesta di

autenticazione speciale (di livello pari almeno a 2), denominata “firma con SPID“, conforme

alle caratteristiche tecniche e alle modalità descritte nel capitolo 5 delle linee guida.

Tale richiesta contiene il codice fiscale del soggetto che deve apporre la firma, acquisito al

punto 1.

L’identificativo unico della sessione di autenticazione (session ID), sempre presente in ogni

richiesta e risposta di autenticazione, associa in modo univoco il documento informatico

scambiato tra SP, IDP e viceversa, ad un’unica autenticazione di firma con SPID.

Identity Provider

Acquisisce il consenso dell’utente ad apporre la firma e appone il proprio QSeal (o di

più sigilli nel caso siano previste più firme), nel documento che è, per ciascuna firma,

graficamente localizzato nello spazio previsto dal SP e indicato nella richiesta di

autenticazione.

Si forma così il documento firmato con SPID, che contiene il seguente testo:

Il %data% alle %ora%, %firmatario% ha confermato la volontà di apporre qui la propria

sottoscrizione ai sensi dell'art. 20, comma 1‐bis del CAD.

A seconda che si usi SPID uso professionale o meno la variabile è %firmatario% :

es. uso professionale: “Mario Rossi/Agenzia per

l'Italia Digitale/CF:IT‐97735020584” altrimenti vi sarà Mario Rossi senza AgID

Sistema di trasferimento sicuro dei documenti

1. SP e IdP controllano che ogni file creato presso il proprio storage soddisfi quanto

prescritto nelle convenzioni di nomenclatura dei documenti (§4.2 );

2. L’IdP rimuove dallo storage i file ricevuti per i quali non sia pervenuta, entro un tempo

limite di 10 secondi, una richiesta di autenticazione proveniente dal SP;

3. IdP e SP verificano l’integrità dei documenti ricevuti ricalcolandone l’impronta e

confrontandola con quella contenuta, rispettivamente, nella richiesta e nella risposta di

autenticazione che le accompagnano;

4. IdP e SP verificano l’autenticità dei QSeal della controparte e l’integrità del documento

ricevuto.

Obblighi in capo agli Identity e ai Service Provider

Gli IdP si impegnano a:

- rendere disponibile ai SP il proprio servizio e garantirne tutte le caratteristiche di

confidenzialità, integrità e disponibilità;

- non conservare i documenti oggetto della firma con SPID che sono depositati presso i

propri sistemi, rimuovendoli in modo sicuro al termine del trattamento, salvo che l’utente

non abbia scelto di avvalersi dei servizi di conservazione dei documenti firmati. (§9)

I SP si impegnano a:

consentire agli utenti la sottoscrizione con firma elettronica qualificata.

Sta lavorando per abilitare anche il Gateway FedERa

http://federazione.lepida.it/federa/cos-e-federa alla firma con SPID in modo da agevolare

gli Enti nell’utilizzo della nuova opportunità anche per i servizi online integrati con FedERa.

Gli Enti interessati possono contattare Lepida (piattaformecittadini@lepida.it) per

approfondimenti.

https://www.lepida.net/news/2020-09/lepidaid-pronto-firma-spid

Il Paese che cambia passa da qui.

www.agid.gov.it

Questa presentazione, nelle sue parti originali, è coperta da licenza Creative Commons Attribuzione, Condividi

allo stesso modo 4.0 Italia https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.it