Decreto Semplificazioni: cosa sono SPID, PEC e Firma Elettronica e perché diventeranno sempre più importanti per tutti i cittadini

Lo scorso mese di Luglio il Governo ha approvato il Decreto Semplificazioni: anche se la stampa non l’ha messo molto in risalto, esso contiene una serie di norme che avranno un forte impatto sulla vita quotidiana di tutti i cittadini nell’ambito dei rapporti con la Pubblica Amministrazione.

Lo scopo del Decreto è quello di semplificare il più possibile i rapporti tra Pubblica Amministrazione e cittadino, introducendo o ampliando l’utilizzo del digitale per le comunicazioni ufficiali.

Più in particolare, il Decreto punta su SPID, PEC e Firma Elettronica: in questo post spieghiamo di che cosa si tratta.

Lo SPID è il Sistema Pubblico di Identità Digitale che il Decreto Semplificazioni vuole incentivare, rendendolo l’unico mezzo con cui accedere ai servizi erogati dalla Pubblica Amministrazione.

Lo SPID è una credenziale digitale – nome utente più password – che identifica un cittadino italiano o uno straniero con permesso di soggiorno e residente in Italia. È un sistema di identificazione presente solo in Italia, già utilizzato dalla Pubblica Amministrazione sia per accedere ai siti dei vari enti, sia per procedere al pagamento di tributi, sia per ottenere certificati o richiedere servizi. In particolare, il Decreto Semplificazioni prevede che, tramite lo Spid, ogni cittadino maggiorenne possa in futuro accedere automaticamente a tutti i siti della PA che attualmente richiedono credenziali di autenticazioni specifiche (p.e. Agenzia delle Entrate o INPS).

Per ottenere lo Spid occorre rivolgersi a un identity provider certificato ed essere in possesso di un documento d’identità valido (carta d’identità, passaporto, patente o permesso di soggiorno), tessera sanitaria con codice fiscale, una email e un numero di telefono cellulare. Ciascun identity provider ha modalità diverse per rilasciare lo Spid: in ogni caso, il momento fondamentale è il riconoscimento personale dell’utente che sarà poi l’utilizzatore dello Spid. Esso può essere fatto di persona, mediante videoriconoscimento o con l’apposizione di una Firma Elettronica Qualificata.

Una volta effettuato il riconoscimento, l’utente potrà scegliere che livello di sicurezza abbinare al proprio Spid:
– il livello 1 prevede il riconoscimento mediante la combinazione di username e password
– il livello 2 aggiunge una OTP (one time password), che viene inviata sul cellulare indicato in fase di riconoscimento
– Il livello 3 aggiunge un ulteriore PIN abbinato a un certificato elettronico

Il livello di sicurezza più richiesto dai siti della Pubblica Amministrazione è il livello 2: in ogni caso comunque lo SPID è uno strumento che permette la verifica dell’identità digitale dell’utente con un significativo livello di garanzia ed ha lo stesso valore del documento di riconoscimento.

Il secondo strumento su cui punta il Decreto Semplificazioni è la PEC, ovvero la Posta Elettronica Certificata. Si tratta di un sistema che permette di inviare e ricevere e-mail attribuendo ad esse lo stesso valore legale di una raccomandata con ricevuta di ritorno. Il sistema di invio e ricezione delle pec, infatti, consente di preservare l’integrità del messaggio e degli allegati in totale sicurezza, e prevede una serie di verifiche in merito all’inoltro, alla consegna e alla lettura dell’e-mail inviata: il mittente riceve infatti delle ricevute che hanno valore legale e costituiscono prova dell’avvenuto inoltro, consegna o mancato recapito del messaggio.

Il Decreto Semplificazioni intende potenziare l’utilizzo di questo tipo di mail, attribuendo ad essa il valore di domicilio digitale obbligatorio per imprese e professionisti. L’intento è quello di snellire le comunicazioni con la Pubblica Amministrazione e velocizzare i procedimenti giudiziari: la creazione di un registro anagrafico nazionale contenente le pec, consentirà di utilizzare tali indirizzi per l’inoltro automatico delle comunicazioni della PA e soprattutto per la notifica degli atti giudiziari.

Infine, a questi strumenti si affiancherà un uso sempre più diffuso di CIE (carta di identità elettronica) e CNS (carta nazionale dei servizi), strumenti che saranno sempre più utilizzati in quanto con essi è possibile apporre la propria Firma Elettronica ai documenti, dando ad essi valore legale.

In realtà ci sono però tre diversi tipi di Firma Elettronica, con caratteristiche diverse e soprattutto con un valore legale completamente differente: è quindi necessario capire bene di cosa si tratta e di quale tipo di Firma Elettronica si ha bisogno.

Il primo tipo di Firma Elettronica è la Firma Elettronica Semplice (FES), che consiste in una serie di dati in forma elettronica connessi con altri dati. Si tratta cioè di una semplice combinazione tra due o più dati, che il firmatario può utilizzare sia per firmare, sia per autenticarsi. In pratica è la combinazione nome utente + password, ed è la forma di Firma Elettronica più diffusa ma anche la più debole..

Il secondo tipo di Firma Elettronica è la Firma Elettronica Avanzata (FEA), che soddisfa una serie di requisiti contenuti nel DPCM 22.2.2013.

In particolare, la FEA deve:

• Consentire di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
• Permettere al firmatario di ottenere evidenza di quanto sottoscritto;
• Individuare il soggetto che eroga la soluzione di firma elettronica avanzata;
• Non permettere di modifica gli atti, i fatti o i dati rappresentati nell’oggetto della sottoscrizione; Connettere in maniera univoca la firma al documento sottoscritto.

Un esempio di FEA è la firma grafometrica su tablet, molto utilizzata dalle banche. Essa può essere usata in qualsiasi contesto, fatta eccezione per alcuni tipi di contratti che necessitano maggiori tutele (es. contratti immobiliari).
Nell’ambito dei rapporti con la Pubblica Amministrazione, sono considerate FEA anche le firme apposte con i certificati presenti su CIE, CNS, Tessera Sanitaria, Passaporto Elettronico, SPID o altri strumenti ad essi conformi. La validità legale delle sottoscrizioni mediante SPID è però limitata al territorio italiano, in quanto lo SPID è utilizzato solo in Italia.

L’ultimo tipo di Firma Elettronica è la Firma Elettronica Qualificata (FEQ), che è definita come una firma elettronica avanzata creata da un dispositivo apposito e basata su un certificato qualificato.

In pratica:
• Viene utilizzato un certificato qualificato emesso da un Ente accreditato;
• lo standard tecnologico è ben definito;
• è richiesto l’utilizzo di un dispositivo sicuro di firma (Smart Card, Token USB, HSM).

È uno strumento che consente una stretta connessione tra l’oggetto sottoscritto e la firma, e quindi i dati contenuti nel certificato del titolare; inoltre, la corrispondenza tra le chiavi di firma e il sottoscrittore è garantita da un Certificatore (la terza parte fidata) riconosciuto dall’AgID.

Ma qual è il valore legale dei documenti sottoscritti con Firma Elettronica?

In generale, qualunque documento sottoscritto con una Firma Elettronica può essere considerato dotato di forma scritta. Per quanto riguarda invece gli effetti probatori, di volta in volta esso dovrà essere oggetto di valutazione da parte del giudice.
Ma se questo principio generale è valido per la FES, il discorso cambia leggermente in caso di FEA e FEQ. In caso di documento sottoscritto con FEA, il documento sottoscritto, oltre ad avere la forma scritta, fa piena prova ai sensi dell’art. 2702 c.c. ed equivale quindi in tutto e per tutto ad una scrittura privata e ad una firma apposta con la penna su carta. Nel solo caso della FEQ, infine, si ha l’inversione dell’onere della prova: se la FEQ viene portata in tribunale, sarà il firmatario che dovrà dar prova del fatto che la firma in questione non è stata apposta da lui.

Aggiornato al 17 agosto 2020