C. Fantini - PEC e Firma digitale

Pec e firma digitale

Pisa, 22 aprile 2015

Relatore Avv. Chiara Fantini

La posta elettronica certificata

Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) per cui:

1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA (ora Agenzia per l’Italia digitale).

2. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta.

3. La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto del Presidente del Consiglio dei Ministri di cui al comma 1.


D.P.R. n. 68/2005

Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata a norma dell’art. 27 della Legge 16 gennaio 2003, n.3

D.M del 2 novembre 2005

Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione, la validazione anche temporale della posta elettronica certificata

Legge del 28 gennaio 2009, n. 2: gli obblighi di iscrizione della pec in capo a imprese in forma societaria e a professionisti, e di deposito dell’indirizzo nel registro delle imprese e negli albi professionali

Legge del 4 aprile 2012, n. 35: estensione dell’obbligo alle imprese individuali attive e di prima iscrizione.

La posta elettronica certificata Art.6, comma 1, del D.lgs. n. 82/2005

1. Per le comunicazioni di cui all' articolo 48, comma 1 , con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano

Art. 6 bis, commi 1 e 2, del D.lgs. n. 82/2005

Indice nazionale degli indirizzi PEC delle imprese e dei professionisti

Al fine di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica, è istituito (omissis) il pubblico elenco denominato Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC) delle imprese e dei professionisti, presso il Ministero per lo sviluppo economico.

L'Indice nazionale di cui al comma 1 è realizzato a partire dagli elenchi di indirizzi PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali, in attuazione di quanto previsto dall'articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2.


La PEC è considerata la versione “virtuale” della sede legale aziendale (cd. sede elettronica presso cui saranno recapitati tutti gli atti e i documenti aventi valore legale).

• Per i Professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato il termine è scaduto il 29 novembre 2009 e l’indirizzo PEC va comunicato all’ Ordine professionale di appartenenza.

• Le imprese costituite in forma societaria (Srl, snc, Sas, Spa) ed iscritte nel Registro delle imprese al 29 novembre 2008 il termine è scaduto il 29 novembre 2011.

Entro il 30 giugno 2012 tutte le società erano tenute a comunicare al Registro delle imprese il proprio indirizzo PEC.

Decreto Sviluppo Bis – D.L. del 18 ottobre 2012 n. 179. La pec diventava obbligatoria anche per le imprese individuali. «Le imprese che si iscrivono per la prima volta devono richiedere immediatamente la casella PEC per depositarla presso il Registro delle Imprese». Per le imprese individuali già esistenti, l'indirizzo PEC doveva essere depositato presso il Registro delle Imprese entro il 30 giugno 2013. Dal 1 gennaio 2013 – istituzione del domicilio digitale da parte del cittadino nei rapporti con PA.

La posta elettronica certificata I soggetti

o Mittente: l’utente che si avvale del servizio di posta elettronica certificata per la trasmissione di documenti prodotti mediante strumenti informatici

o Destinatario: l’utente che si avvale del servizio di posta elettronica certificata per la ricezione di documenti prodotti mediante strumenti informatici

o Gestore del servizio: il soggetto, pubblico o privato, che eroga il servizio di posta elettronica certificata e che gestisce domini di posta elettronica certificata, iscritto negli elenchi pubblici tenuti dall’Agenzia per l’Italia digitale

o Agenzia per l’Italia digitale: svolge attività di vigilanza e di controllo sui gestori del servizio al fine di verificare il possesso e il mantenimento dei requisiti previsti per l’iscrizione all’elenco


L’oggetto

Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) - rinvio

E altresì:

applicazioni pratiche anche alla luce della normativa e dei regolamenti di ultima generazione, quali:

notifiche giudiziali

istanze e dichiarazioni da presentare alla pubblica amministrazione

la trasmissione dei documenti informatici che così assumono le caratteristiche dell’immodificabilità e dell’integrità del documento informatico formato mediante la redazione per il tramite di appositi strumenti software

La fatturazione elettronica


Le domande sulla pec

1) A chi devo rivolgermi per avere un indirizzo PEC? Ai gestori PEC accreditati presso l’Agenzia per l’Italia digitale

2) Quali società rientrano nell’obbligo? Tutte le società di capitali o di persone, le società semplici, le cooperative, le società estere che hanno una sede secondaria in Italia e le società in liquidazione. E anche le imprese individuali.

3) A chi devo comunicare il mio indirizzo PEC per adempiere agli obblighi di legge e con quali modalità? Il rappresentante legale della società (dotato di codice fiscale proprio, codice fiscale dell’impresa ed indirizzo PEC) nonché in possesso di un dispositivo di firma dovrà comunicare l’indirizzo PEC al Registro delle Imprese seguendo la procedura online.

http://pec-registroimprese.infocamere.it/DPEC_WAR/do/Home.action?x=XXX

La Camera di Commercio dove ha sede l’impresa prenderà in carico la richiesta inviata tramite il servizio di cui sopra.

4) Posso adottare più indirizzi di posta elettronica certificata? Sì senza obblighi particolari di comunicazione al registro delle imprese. Accorgimenti sono richiesti in considerazione delle funzioni aziendali.





In generale sulla corrispondenza aziendale: L’imprenditore è tenuto a conservare ordinatamente

per ciascun affare gli originali delle lettere ricevute, dei telegrammi, nonché le copie delle lettere e dei telegrammi spediti.

Esse devono conservarsi per dieci anni anche sotto

forma di registrazioni su supporti digitali, sempre che le registrazioni corrispondano ai documenti a cui si riferiscono e possano in ogni momento essere rese leggibili con mezzi messi a disposizione del soggetto che utilizza detti supporti.

Sono fatte salve le ulteriori ed eventuali esigenze di

difendere un diritto in giudizio o di resistervi facendo valere le opposte ragioni di difesa. In questo caso si tiene conto dei termini prescrizionali all’uopo previsti dal legislatore.

L’applicazione «inderogabile» delle regole tecniche in

materia di sistema di conservazione di cui al D.P.C.M. del 3 dicembre 2013.


La corrispondenza nella sua sostanza:

Il legislatore stabilisce che la corrispondenza se rispetta requisiti di forma (sottoscrizione in primis) costituisce prova legale quanto meno della sua provenienza.

Per il suo contenuto invece rimanda ad altri criteri

- La prova fino a querela di falso

- Il contenuto confessorio della dichiarazione inserita nel documento

- L’anteriorità del documento rispetto ad eventi definitivi che non consentano di smentirne il contenuto. L’opponibilità della data a terzi

La PEC permette di associare al messaggio la “prova legale” della sua spedizione e della sua ricezione da parte del destinatario; che un fatto o un atto è stato portato a conoscenza di terzi. Il giudice deve valutare quelle comunicazioni senza margine di discrezionalità in base a quanto previsto dalla legge


Brevi cenni sulla forma e sul contenuto del messaggio di pec.

IL GESTORE MITTENTE Il messaggio composto viene inviato prima al proprio gestore PEC, il quale, una volta identificato il mittente e

svolti idonei controlli formali e di sicurezza, provvede a firmarlo digitalmente e ad inviarlo al gestore destinatario

L’utente riceve, a tal punto, un MESSAGGIO DI RICEVUTA DI ACCETTAZIONE dal proprio gestore PEC = prova

legale di spedizione del messaggio in quella data e in quell’ora, dell’immodificabilità e dell’integrità del contenuto del messaggio e dei suoi allegati nonché della sua riferibilità al soggetto mittente.

I contratti con il gestore che tengano conto degli obblighi facenti capo a questi in base alle prescrizioni del

legislatore e a quelli discendenti dalla peculiare disciplina contrattuale.


Brevi cenni sulla forma e sul contenuto del messaggio di pec.

IL GESTORE DESTINATARIO

A questo punto il gestore PEC destinatario prende in carico il messaggio e, fatti i dovuti

controlli formali e di sicurezza, lo recapita nella casella di posta dell’utente destinatario. Il mittente riceve, così, un MESSAGGIO DI RICEVUTA DI CONSEGNA (firmato digitalmente) dal

gestore PEC destinatario = prova legale di ricezione (e non di lettura come nella posta cartacea) in quel preciso momento, di quel preciso messaggio e di quegli specifici allegati da parte del destinatario.


Brevi cenni sulla forma e sul contenuto del messaggio di pec. Il mittente quindi riceve 2 “ricevute”, una di accettazione e una di avvenuta consegna. Queste

due ricevute sono inviate rispettivamente dal gestore PEC del mittente e dal gestore PEC destinatario.

La ricevuta di accettazione Attesta l’invio del messaggio Può essere utilizzata per dimostrare l’avvenuta spedizione nei casi in cui le norme richiedono

che il documento sia spedito entro una certa data. La ricevuta di avvenuta consegna Attesta la ricezione del messaggio Può contenere le evidenze documentali che consentono di provare la consegna di un

determinato documento al destinatario Queste ricevute quindi possono essere usate come prove dell'invio, della ricezione

(ed anche del contenuto del messaggio inviato)


Brevi cenni sulla forma e sul contenuto del messaggio di pec. Le informazioni di dettaglio delle ricevute possono essere diverse qualora si opti per la ricevuta

di avvenuta consegna completa, breve o sintetica: In particolare: la ricevuta completa di avvenuta consegna contiene (in allegato= Busta di

trasporto): 1) data, oggetto e ora riportate anche in un documento strutturato secondo il formalismo Xml.

La trasmissione è confermata da un riferimento temporale fornito dal servizio in formato leggibile dall’utente. Tale riferimento temporale è opponibile a terzi.

2) Il testo del messaggio originario completo, anche di eventuali allegati. Esso è firmato dal

sistema informatico del gestore di posta elettronica certificata del destinatario che così ne assicura l’integrità.

N.B. la firma del gestore è una firma elettronica avanzata, generata automaticamente dal

sistema e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle ricevute


La sicurezza della posta elettronica certificata

Gli elementi rilevanti

1) l’accesso al servizio di posta elettronica certificata è consentito solo previa identificazione informatica;

2) la scelta di circuiti aperti o chiusi;

3) l’uso di connessioni protette mediante cifratura dei dati;

4) un antivirus costantemente aggiornato;

5) la protezione dell’integrità dei messaggi trasmessi tra i gestori;

6) la tracciabilità di tutte le operazioni;

7) la conservazione dei log da parte del gestore del servizio che prevede anche l’associazione della marca temporale ai file generati da ciascuna operazione di salvataggio.


La sicurezza della posta elettronica certificata

Gli elementi rilevanti

La posizione giuridica, professionale e la dotazione organizzativa e tecnica del gestore. I requisiti devono rimanere documentati e documentabili.

Il potere di controllo e di vigilanza dell’Agenzia per l’Italia digitale

L’utilizzo sicuro della pec in azienda. Un «regolamento» potrebbe essere d’aiuto?

Le conseguenze

La firma digitale

La firma manoscritta fornisce la prova dell’origine del documento.

La firma digitale oltre a garantire l’origine del documento costituisce anche la prova

dell’assenza di alterazioni del testo firmato.

Art. 1, comma 1, lett. s), del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale)

firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici

La firma digitale

D.P.C.M. del 22 febbraio 2013 (art. 1, comma 1, lett. q e lett. r)

Firma remota: particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse

Firma automatica: particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma in assenza di presidio puntuale e continuo da parte di questo

N.B.: l’HSM è un insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi

D.P.C.M. del 13 novembre 2014 ovvero la firma digitale e le caratteristiche di

immodificabilità e di integrità del documento informatico

La firma digitale

La firma digitale

Elementi essenziali:

La dotazione della firma digitale presuppone l’identificazione del suo titolare attraverso il documento di identità e comunque attraverso dati quali nome, cognome, pseudonimi chiaramente identificati come tali, codice fiscale; oltre che, laddove richiesto dal titolare, allorchè pertinenti agli scopi che si prefigge:

l’indicazione delle qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza (Il certificato di ruolo consente la sottoscrizione di documenti informatici con l’esatta attestazione e indicazione titolo del sottoscrittore).

N.B. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata

La firma digitale

Come si «comporta» la firma digitale

Sistema di chiavi crittografiche asimmetriche:

tecnica basata sull’utilizzo di una coppia di chiavi inscindibilmente connesse tra loro da un rapporto di complementarietà

tra

Chiave privata: custodita dal titolare e utilizzata

per l’apposizione della firma Chiave pubblica: utilizzata per l’apertura

(decifratura) del documento firmato

La firma digitale


La firma apposta con chiave privata può essere verificata solo con la chiave pubblica corrispondente

Non è possibile ricostruire la chiave privata (segreta) a partire da quella pubblica

sebbene le due chiavi siano univocamente collegate

I dispositivi sicuri

Il dispositivo sicuro per la generazione della firma digitale deve poter essere attivato esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati secondo specifici livelli.

L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi

dia prova contraria.

La firma digitale


I dispositivi sicuri

I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:

a) sia riservata;

b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;

c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.

I dispositivi sicuri e le procedure devono garantire l'integrità dei documenti informatici a cui la firma si riferisce

La firma digitale


In particolare a livello tecnico, quando si richiede l’apposizione della firma: Il documento viene elaborato dal software producendo la sua impronta (creata

con algoritmo SHA-256 che comporta la generazione di impronta di hash di 256

bit, versione che sostituisce il precedente e meno robusto SHA-1 e relativa

impronta a 160 bit)

Attraverso la chiave privata del titolare, contenuta nel dispositivo insieme al

certificato, viene effettuata dal software la cifratura RSA dell’impronta

Ove l’utente volesse conferire maggiore certezza alle operazioni di firma, potrebbe

marcare il messaggio con la data e l’ora esatta attraverso la marca temporale

(a cui viene associata una validità di 20 anni) che viene concretamente apposta

mediante generazione, da parte di un certificatore, di una firma digitale del

documento cui è associata l'informazione relativa a una data e a un'ora certa.

La firma digitale Come si «comporta» la firma digitale

Il destinatario che riceve il documento firmato attraverso la combinazione di crittografia asimmetrica e funzione di hash, dovrà verificare il file avvalendosi di apposito software.

- Applicazione al documento ricevuto della chiave pubblica del mittente (contenuta nel certificato) al fine di decifrare l’impronta;

- applicazione della funzione di hash alla parte del testo in chiaro e ricavarne l’impronta;

- confrontare l’hash code ricevuto e decifrato con quello creato ex novo, al fine di verificare se le due impronte coincidono, il che confermerebbe la provenienza e la genuinità del messaggio;

- per completare il procedimento, il programma verifica la

validità del certificato della chiave pubblica (sospensione o revoca del certificato.. )

- verifica eventuale su marca temporale.

La firma digitale Le certificazioni di «sicurezza»

Gli obblighi dei titolari

Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di forma e ad

adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.

Art. 21, comma 2, del D.lgs. n. 82/2005

Gli obblighi dei certificatori

L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera

e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, qualora emettano certificati qualificati, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche. E non solo

La firma digitale Le certificazioni di «sicurezza»

Gli obblighi dei certificatori

Il certificatore deve, tra l’altro: - adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi;

- provvedere con certezza alla identificazione della persona che fa richiesta della

certificazione;

- rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi previsti; - specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo

interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi;

- attenersi alle regole tecniche di cui all' art. 71 del D.lgs. n. 82/2005. L’AGID svolge funzioni di controllo e vigilanza sull’attività dei certificatori qualificati.

La firma digitale

Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell' articolo 71 del D.lgs. n. 82/2005, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d'uso. Ovvero il certificato deve contenere:

indicazione che il certificato elettronico rilasciato è un certificato qualificato; numero di serie o altro codice identificativo del certificato; nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato; dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare; indicazione del termine iniziale e finale del periodo di validità del certificato; firma elettronica del certificatore.

N.B.: IL CERTIFICATO DI FIRMA DIGITALE HA DURATA SOLITAMENTE TRIENNALE DALLA DATA DEL RILASCIO

La firma digitale

La firma digitale è il risultato di una procedura informatica (validazione) che consente al sottoscrittore di rendere manifesta l’autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono:

- Autenticità: ovvero la certezza dell’identità del sottoscrittore;

- Integrità: ovvero la sua immodificabilità nel tempo e nella trasmissione;

- Non ripudio: la piena validità legale del documento sottoscritto e l’inconfutabile titolarità della firma utilizzata.

La firma digitale

D.P.C.M. del 22 febbraio 2013

La firma elettronica avanzata tout court - cenni

Artt. 55 e seguenti

Requisiti

Ambito di applicazione

La firma «grafometrica»

Grazie! Avv. Chiara Fantini

[email protected]

Copyright

Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.

Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.

Contatti

Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016

Tel. +39 0572 78166

Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475

Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca

www.consulentelegaleinformatico.it

Per richieste progetti e preventivi:

[email protected]

Per organizzare eventi e corsi di formazione:

[email protected]

Seguici su:

http://www.consulentelegaleinformatico.it/

mailto:[email protected]

mailto:[email protected]

C. Fantini - PEC e Firma digitale

Internet

Transcript of C. Fantini - PEC e Firma digitale