Questo sito contribuisce alla audience di Il Messaggero

Come fare firma digitale con SPID

di

Avrai sicuramente sentito parlare di firma digitale e di SPID. La prima è uno strumento che permette di conferire valore legale ai documenti firmato con mezzi elettronici (il valore legale è variabile in base al tipo di firma usata, come ti spiegherò più avanti); il secondo è l’ormai celebre sistema pubblico di identità digitale, grazie al quale è possibile accedere a tutti i servizi della Pubblica Amministrazione (e non solo) usando le medesime credenziali. Ma è possibile unire le due cose? O meglio, è possibile firmare un documento con SPID? La risposta è sì, ma con molte limitazioni e distinguo da fare.

Se, dunque, ti stai chiedendo come fare firma digitale con SPID, lascia che ti guidi in questo argomento e ti spieghi un po’ come stanno le cose in merito alla possibilità di firmare un documento usando la suddetta identità digitale. Vedremo quindi cos’è lo SPID e in quali contesti può essere usato per firmare documenti, poi faremo la stessa cosa per quanto riguarda la firma digitale e, infine, vedremo concretamente i passaggi da compiere per firmare un documento con SPID (nei casi in cui è possibile farlo).

Dunque, senza indugiare oltre, ti suggerisco di prenderti qualche minuto di tempo libero e di leggere con attenzione le informazioni riportate di seguito, in modo da capire meglio il funzionamento della firma con SPID e, se possibile, usare questo strumento per dare valore legale ai tuoi documenti elettronici. Ti assicuro che è meno complesso di quello che potresti pensare. Buona lettura!

Indice

Informazioni preliminari

Come accennato poc’anzi, è possibile fare la firma digitale con SPID, ma non in tutti i casi. Se con la classica firma digitale si ha la possibilità di prendere qualsiasi file dal proprio computer (PDF, DOCX ecc.) e firmarlo usando gli appositi strumenti predisposti allo scopo (software e/o dispositivi hardware forniti dall’azienda a cui ci si è rivolti per acquistare il servizio di firma), con SPID è possibile firmare solo alcuni documenti specifici ed è fondamentale che sia il fornitore dei servizi stesso a offrire materialmente la possibilità di farlo (es. cliccando sul pulsante Firma con SPID, dopo essersi autenticati sul sito mediante la propria identità digitale).

Lo scenario tipico è il seguente: accedi al sito del fornitore di servizi inserendo nome utente e password di SPID; ti viene proposto un documento da firmare e quindi puoi firmarlo con la tua identità digitale senza passaggi aggiuntivi. Avrai già capito, a questo punto, che non puoi firmare qualunque documento con SPID (es. i file già presenti sul tuo computer). Per quelli ti servirà acquistare un servizio di firma digitale come quelli a cui accennavo poco fa. Questi ultimi, però, a differenza di SPID, sono sempre a pagamento. Per maggiori dettagli, puoi consultare le linee guida presenti sul sito dell’AGID (Agenzia per l’Italia digitale) e, soprattutto, puoi continuare a leggere questo tutorial.

Cos’è SPID e a cosa serve

SPID

Lo SPID, acronimo di Sistema Pubblico di Identità Digitale, è uno strumento che permette di accedere ai servizi online della Pubblica Amministrazione (pagamenti, informazioni sanitarie, servizi previdenziali, pratiche d’impresa, richieste di bonus e incentivi statali ecc.) e anche a quelli di alcuni enti privati che vi aderiscono usando le medesime credenziali, vale a dire username e password, che spesso associati a un codice usa e getta generato tramite app o SMS. Le modalità di accesso variano in base al livello di sicurezza dello SPID usato, che infatti può avere tre livelli di sicurezza.

Lo SPID di livello 1 consente di accedere inserendo nome utente e password; lo SPID di livello 2 aggiunge a nome utente e password anche un codice OTP (monouso) inviato come notifica via app o come SMS, mentre lo SPID livello 3, il più sicuro in assoluto, combina username e password a l’uso di un supporto fisico, come una smart card.

Se non hai ancora SPID, puoi richiederlo rivolgendoti agli Identity Provider, cioè le aziende fornitrici del servizio autorizzate dal Governo, a patto di aver compiuto 18 anni di età, avere la cittadinanza italiana con tessera sanitaria valida oppure essere in possesso di un permesso di soggiorno valido. Dovrai tenere a portata di mano un documento di riconoscimento in corso di validità, la tessera sanitaria o il codice fiscale, un indirizzo e-mail al quale hai accesso e il tuo numero di cellulare.

Quando tutto pronto, accedi al sito di uno dei gestori di identità digitale autorizzati dal Governo, registrati a quest’ultimo ed effettua il riconoscimento a distanza o di persona, in base alle tue preferenze. Il modo più semplice per identificarsi è usando una carta d’identità elettronica (CIE) o un altro documento elettronico, come la tessera sanitaria con CNS. In questo caso, ti servirà anche uno smartphone/tablet con chip NFC a cui avvicinare la carta per identificarti, per poi inserire eventualmente il PIN associato al documento. Alternativamente, puoi anche utilizzare un lettore di smart card connesso a un PC.

Ci sono, tuttavia, anche altri metodi di riconoscimento, come la conferma dell’identità tramite registrazione video (ti basterà mostrare il viso, esibire i documenti richiesti e leggere il codice monouso che ti è stato inviato tramite SMS o app del gestore di identità, per poi fare un bonifico simbolico da un C/C a te intestato).

Ancora, se non hai dimestichezza con questi strumenti, potrai farti riconoscere anche da un operatore umano, dal vivo o a distanza: nel primo caso, dovrai recarti presso un ufficio pubblico convenzionato, oppure sarà un incaricato a raggiungerti direttamente a casa tua (Poste per esempio si avvale degli stessi portalettere); nel secondo, invece, un operatore umano in videoconferenza ti aiuterà lui stesso a portare a termine la procedura.

La richiesta dello SPID è gratis per i privati cittadini in quasi tutti i casi: possono fare eccezione i casi in cui si sceglie di effettuare il riconoscimento tramite operatore umano. Le aziende invece devono pagare una cifra annuale (si parla, in genere, di 30 euro o poco più) per avere lo SPID. Per approfondire, consulta pure la mia guida su come fare lo SPID.

Una volta ottenuta la tua identità digitale, potrai usarla per firmare documenti elettronici, ma solo se il provider consente di farlo e solo in poche circostanze. Per intenderci, non potrai prendere un PDF o un file di Word dal tuo computer e firmarlo con SPID come invece potresti fare con un normale servizio di firma digitale. Prima ancora di fare qualsiasi altra cosa, ti suggerisco dunque di informarti per bene e di controllare se sul sito dell’ente che predispone il documento di tuo interesse sia presente un tasto come Firma con SPID nel momento in cui ti viene chiesto di sottoscriverlo.

Cos’è la firma digitale e a cosa serve

Gestori delle identità

Nei casi in cui la firma con SPID non è disponibile, bisogna utilizzare la “classica” firma elettronica, la quale può essere definita come l’equivalente di una firma autografa su carta e si può usare per firmare qualsiasi documento presente sul proprio dispositivo. Attenzione, però: esistono vari tipi di firma elettronica e ognuno di essi ha un valore legale diverso.

Entrando più in dettaglio, la firma digitale è la forma di firma elettronica qualificata più avanzata e si distingue dalla semplice firma elettronica per il fatto che assicura autenticità, integrità e valore legale al documento firmato. Si acquista a pagamento da alcuni provider che offrono questo tipo di servizio, detti enti certificatori (es. Aruba), e si applica mediante strumenti software e hardware specifici in grado di attestare, appunto, l’identità del firmatario: i più diffusi sono i kit composti da smart card e dispositivo di lettura fisici (es. chiavetta o lettore di smart card da collegare al PC), ma ci sono anche dei kit di firma remoti in cui il certificato di firma risiede sui server remoti dell’ente certificatore e quindi consentono di firmare i documenti da qualsiasi device senza collegare chiavette o lettori di smart card, ma generando un semplice codice OTP via app.

Esistono, poi, la firma elettronica semplice e la firma elettronica avanzata che non prevedono l’uso di mezzi in grado di assicurare l’identità del firmatario e, pertanto, non consentono di attestare la validità legale di un documento firmato con questi mezzi, se non tramite l’intervento di un giudice (che avrà dunque il compito di dire se un documento firmato con firma elettronica semplice o avanzata è stato realmente firmato da una determinata persona o meno). Come facilmente intuibile, per applicare questo tipo di firma non occorre acquistare alcun servizio: basta usare il mouse, il dito o una penna per touch-screen e apporre la firma mediante quest’ultima su un qualsiasi PDF o altro documento elettronico. Per tutti i dettagli, ti invito a leggere la mia guida non cui spiego come firmare digitalmente.

Come firmare digitalmente con SPID

Fatte le dovute precisazioni di cui sopra, direi che possiamo andare “al sodo” e vedere come firmare digitalmente con SPID. La firma con SPID, diversa da tutte le altre, è disponibile dal 23 marzo 2020, data in cui l’AgID (Agenzia per l’Italia Digitale) ha pubblicato le nuove linee guida in materia di firme digitali a valore legale.

Nel servizio di firma con SPID entrano in gioco due nuovi attori: il già citato IdP (Identity Provider) e anche il SP (service provider), ovvero il sito Web su cui si trova già pronto il documento da firmare, previa autenticazione tramite IdP. Lo ripeto: deve essere lo stesso SP (o fornitore di servizi pubblici) a predisporre il documento per la firma. In caso contrario, dovrai procedere con la firma elettronica e non con lo SPID.

Come apporre firma digitale con SPID

Fornitori di servizi pubblici

Se sei pronto a sottoscrivere un contratto o un atto con il tuo fornitore di servizi, provvedi anzitutto a registrarti a SPID. Puoi scegliere uno qualsiasi degli Identity Provider autorizzati dal Governo, come ad esempio Poste Italiane, Aruba, InfoCert, Intesa, Lepida, Namirial, Sielte, Register.it e TIM. Il procedimento da seguire per ottenere le credenziali è più o meno sempre lo stesso, come ti ho spiegato in questa guida.

Quanto al documento da firmare, come ti dicevo, sarà il sito stesso a redigere il contratto o l’atto si cui apporre la firma, per poi proporlo a te per la sottoscrizione. Detto questo, per procedere, è sufficiente cliccare sul pulsante Firma con SPID. Dopo esserti autenticato tramite nome utente, password e codice OTP fornito dal tuo Identity Provider, potrai scaricare la versione firmata del file.

Il documento finale conterrà un simbolo grafico (sigillo) in corrispondenza della firma riconducibile al SP e all’IdP. Nota bene: il file predisposto per la firma è sempre in formato PDF (versione 1.7 o successive) e ha un profilo di tipo PDF/A-2. Ma facciamo un paio di esempi pratici con alcuni dei Identity Provider più popolari.

Come fare firma digitale con SPID Poste

Registrati a PosteID abilitato SPID

Per firmare digitalmente con lo SPID di Poste Italiane devi anzitutto recarti sulla pagina apposita di PosteID. Una volta sul sito, clicca sul pulsante giallo Registrati subito e, alla pagina successiva, seleziona lo strumento di identificazione che preferisci. Puoi scegliere tra Riconoscimento di persona, Con App PosteID, SMS su Cellulare Certificato, Lettore Bancoposta, Carta Nazionale dei Servizi, Firma digitale e Riconoscimento presso Sportello Pubblico. Tieni a portata di mano l’indirizzo e-mail, il numero di cellulare, la tessera sanitaria e un documento di riconoscimento valido.

Quando sei pronto, clicca sul pulsante Prosegui e inserisci i tuoi dati anagrafici. Una volta compilati tutti i campi, clicca ancora su Prosegui e, se hai già un account Poste Italiane (qui ti spiego come crearne uno), inserisci la password per accettare la proposta contrattuale. L’attivazione avverrà nel giro di qualche minuto o di qualche ora al massimo. Riceverai la conferma via e-mail all’indirizzo indicato in fase di registrazione. Il procedimento è gratuito, a meno che tu non scelga di identificarti tramite Riconoscimento di persona a casa (sarà il postino a completare la procedura al costo di 14,50 euro). Per i dettagli, consulta pure questa mia guida su come fare lo SPID con Poste Italiane.

A questo punto, quando il service provider ti proporrà di firmare il documento, potrai farlo in assoluta autonomia cliccando sul pulsante Firma con SPID e inserendo i dati di accesso di PosteID. In base alle opzioni da te scelte, potrà essere richiesto un ulteriore controllo di sicurezza tramite notifica su app PosteID, codice via SMS oppure attraverso l’utilizzo di una smart card, di un’altra password o di un dispositivo per la firma digitale da remoto (questo se il tuo SPID è di livello 3, il più sicuro in assoluto).

Firma Digitale Remota

Per firmare liberamente PDF, file di Word e altri file presenti sul computer, invece, occorre la firma elettronica qualificata, diversa dalla firma digitale con SPID. Restando nell’ambito di Poste Italiane, occorre dunque acquistare il servizio Firma Digitale Remota di Poste Italiane, che permette di firmare qualsiasi documento e non ha nulla a che vedere con lo SPID e l’Identity Provider scelto per quest’ultimo.

Ciò significa che sarai tu stesso a caricare i file che intendi firmare, una volta effettuato il download dell’apposito software FirmaOK! (nel caso della firma con SPID propriamente detta, invece, è il service provider a mettere a disposizione il documento). Anche in questo caso, però, SPID potrà tornarti utile: sebbene non sia indispensabile, puoi sceglierlo in alternativa all’Account Poste Verificato per identificarti durante l’acquisto. Il costo del servizio, nel momento in cui scrivo, è di 45,75 euro IVA inclusa.

Una volta acquistata la firma di Poste Italiane, scarica il programma FirmaOK!, avvialo, premi sul pulsante Firma e seleziona il documento da firmare. Dovrai dunque inserire nome utente e password e poi digitare il PIN associato alla tua firma digitale di Poste Italiane. Dovrai poi apporre il segno di spunta accanto alla voce Dichiaro di aver preso visione del documento, di sottoscriverne il contenuto e di essere consapevole della validità ai sensi della legge della firma apposta e cliccare sul pulsante Continua. Riceverai un codice via SMS da inserire nel campo OTP; inseriscilo, clicca su OK e poi su Fatto. Avrai così firmato il tuo documento, che potrai inviare a chi vorrai e che potrà essere letto sempre con dei software specifici dai destinatari. Trovi maggiori informazioni nella mia guida su come ottenere la firma digitale con Poste Italiane

Come fare SPID con firma digitale Aruba

Aruba

Anche Aruba offre tutto il necessario per creare un’identità SPID e ottenere la firma digitale, e anche in questo caso valgono grossomodo le indicazioni date poc’anzi per Poste Italiane.

Se hai già creato il tuo SPID con Aruba, volendo firmare un documento con quest’ultimo, dovrai premere sul pulsante per firmare con SPID, selezionare Aruba dall’elenco dei gestori di identità digitale e autenticarti con le tue credenziali.

Se, invece, hai bisogno del servizio di firma digitale, in quanto vuoi firmare qualsiasi PDF o documento elettronico che si trova sui tuoi dispositivi, devi acquistare la Firma Digitale Aruba, la quale è disponibile in vari formati, sia con kit fisici che con servizio di firma remota, come ti ho spiegato anche prima. SPID e servizio di firma digitale sono slegati ma, volendo, puoi usare il tuo account SPID per autenticarti durante la fase di acquisto della firma digitale sul sito di Aruba.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.