Dal 26 marzo 2020, anche se quasi nessuno lo sa, è possibile firmare molti contratti e atti pubblici in modo digitale, tramite lo SPID. Cioè il Sistema Pubblico di Identità Digitale. Risale a quella data, infatti, l'emanazione delle "Linee guida contenenti le Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell'art. 20 del CAD" (Codice dell'Amministrazione Digitale) da parte dell'Agenzia per l'Italia Digitale (AgID), l'agenzia pubblica italiana che sta gestendo la digitalizzazione della Pubblica Amministrazione e dell'economia del nostro Paese.
È possibile firmare tramite SPID tutti i contratti stipulati con un Ente o una azienda erogatrice di servizi pubblici, purché siano registrati nell'elenco dei fornitori di servizi della federazione SPID, cioè i "Service Provider" (SP) elencati nell'apposito sito Web dello SPID Registry (https://registry.spid.gov.it/service-providers). Il processo di firma digitale tramite SPID prevede una serie di passaggi, parte dei quali devono essere gestiti dal Service Provider e parte invece spettanti all'Identity Provider (IdP).
Questi ultimi sono i "gestori di identità digitali nel contesto della federazione SPID" e sono elencati in un ulteriore elenco pubblico.
Firma dei contratti tramite SPID: come funziona
Secondo quanto previsto dalle linee guida dell'AgID la firma di un contratto tramite SPID si compone di due fasi. La prima fase è a carico del Service Provider e consiste nella predisposizione del documento da sottoscrivere. La seconda è a carico dell'Identity Provider e consiste nella procedura di firma vera e propria.
Quindi il Service Provider redige il contratto o l'atto da firmare e lo propone al cittadino-utente digitale. Il quale ne prende visione sul sito Web del SP e può anche scaricarlo e memorizzarlo sui propri dispositivi. Subito dopo il SP informa l'utente che per la firma è necessario inviare il documento (che contiene anche i dati personali dell'utente che lo dovrà firmare) al suo Identity Provider. Se l'utente acconsente, allora potrà finalizzare la procedura scegliendo "Prosegui con la firma". Una volta ricevuto il documento da firmare l'IdP procede a identificare l'utente per verificare che si tratti della stessa persona che dovrà firmare l'atto o contratto.
Se tutto è in regola, allora l'IdP chiede all'utente se vuole proseguire con la firma e, se l'utente acconsente, l'IdP appone il suo sigillo elettronico qualificato trasformando il documento ricevuto in precedenza dall'SP in un "documento formato con SPID", che contiene la conferma della firma dell'utente e che viene reinviato al Service Provider come conferma della sottoscrizione dell'atto o contratto.
Tale documento deve avere precisi requisiti tecnici: deve essere in formato PDF/A-2a, standard ISO/IEC 32000-1 (quindi deve essere compatibile con la firma elettronica avanzata), non può contenere un controllo di accesso per essere aperto o modificato (perché il contratto firmato deve poter essere visionato, se serve), non può essere modificato (se non per l'apposizione della firma, in formato PAdES), non deve essere cifrato.
Dopo la firma digitale l'utente può scaricare la sua copia del contratto firmato con SPID, ma l'Identity Provider è costretto a cancellarlo per tutelare la privacy dell'utente. A meno che non abbia ricevuto il consenso esplicito dell'utente, come prevede il Regolamento Europeo sulla privacy (GDPR), alla sua conservazione. In questo caso, però, l'IdP diventa titolare del trattamento dei dati dell'utente "per finalità diverse e ulteriori rispetto a quelle relative al servizio di sottoscrizione".
Firma SPID sui documenti: quando è valida
La firma digitale di un documento, di un atto o di un contratto tramite il sistema SPID rende tale documento legalmente valido e vincolante su tutto il territorio nazionale e nei confronti di tutti, delle aziende e degli Enti Pubblici. In buona sostanza un contratto firmato con lo SPID è equiparato in tutto e per tutto ad un contratto con firma autografa. Avrà dunque le stesse conseguenze economiche e legali per entrambi i firmatari e potrà essere impugnato, annullato o considerato nullo soltanto nei casi previsti dalla normativa vigente per i normali contratti cartacei.