L’Amministrazione digitale - mediaartex.it · Il Codice dell'Amministrazione Digitale (D. Lgs. 7...

L’Amministrazione digitale

Il Codice dell’Amministrazione Digitale (CAD)

e-Government

“e” sta per electronic e “Government” significa sia Governo che Amministrazione,

ovvero

“Amministrazione Elettronica”

e-Government - e-Gov - Amministrazione Digitale

Si fa riferimento al processo di informatizzazione della Pubblica Amministrazione, il

quale, insieme all'adozione di progressivi adeguamenti legislativi ed organizzativi, prevede

l'ampio utilizzo delle tecnologie dell'informazione e della comunicazione.


Cosa si intende …

miglioramento dei servizi

trasparenza dell'azione amministrativa

potenziamento dei supporti conoscitivi per le decisioni pubbliche

contenimento dei costi dell'azione amministrativa

integrazione ed interconnessione dei sistemi medesimi

rispetto degli standard definiti anche in armonia con le normative comunitarie

collegamento con il sistema statistico nazionale

Il progressivo processo di informatizzazione della PA

consentirà di gestire i procedimenti con sistemi digitali

allo scopo di favorire il miglioramento della qualità della vita del Paese,

tramite l'erogazione di migliori servizi online da parte

delle Pubbliche Amministrazioni, centrali e locali, a cittadini e imprese,

ottimizzando il lavoro degli Enti ed offrendo a cittadini e imprese nuovi e più efficienti servizi.


Il piano elaborato dal Governo Italiano, detto e-gov 2012, raccoglieva 80 progetti aggregati

intorno a quattro ambiti di intervento prioritari:

settoriali, riferiti alle amministrazioni centrali dello Stato e alle Università

territoriali, riferiti sia alle regioni, sia ai capoluoghi

di sistema, mirati allo sviluppo di infrastrutture, come ad es. i progetti per ridurre il "digitali divide" e migliorare l'accessibilità dei servizi

internazionali, per mantenere un forte impegno nella rete europea delle infrastrutture e nella rete europea della innovazione e della “best practice” (migliore prassi)

Tutto questo in armonia con il processo di standardizzazione dei servizi in Europa, inquadrati dal Piano di azione europeo e-Government 2011-2015 elaborato dalla Commissione europea il

15 dicembre 2010 che identifica 4 priorità:

User empowerment (potere al consumatore)

Mercato interno

Efficienza ed efficacia dei governi e delle amministrazioni

Condizioni preliminari per lo sviluppo dell'e-Government


L’Agenda Digitale Europea

Nel marzo 2010 la Commissione europea ha varato la strategia Europa 2020 ideata con l'intento di uscire dalla crisi e di preparare l'economia dell'UE alle sfide del prossimo decennio.

Traccia un percorso mirato al progressivo raggiungimento, per l'intero territorio dell'Unione, di migliori livelli di occupazione, produttività, coesione sociale ed una economia con basse

emissioni di carbonio.

Si prevede che entro il 2020 i contenuti e le applicazioni digitali verranno forniti quasi

interamente online.


L’Agenda Digitale Europea La strategia Europa 2020 è articolata in sette diversi percorsi. L'Agenda Digitale Europea è il

percorso pensato per occuparsi del ruolo fondamentale che le tecnologie dell'informazione e della comunicazione (TIC) ricoprono per il raggiungimento degli obiettivi.

1. Creare un nuovo contesto normativo stabile per la banda larga 2. Nuove infrastrutture per servizi digitali pubblici attraverso il meccanismo per collegare

l'Europa 3. Avviare una grande coalizione sulle competenze e i posti di lavoro in ambito digitale 4. Proporre una strategia e una direttiva UE in materia di sicurezza informatica 5. Aggiornamento del quadro UE relativo ai diritti d'autore 6. Accelerare il "cloud computing" attraverso il potere d'acquisto del settore pubblico 7. Avviare una nuova strategia industriale per l'elettronica


L’Agenda Digitale Europea

Creare un nuovo contesto normativo stabile per la banda larga

Maggiori investimenti privati in reti a banda larga fisse e mobili ad alta velocità, per il 2013 è di finalizzare un nuovo contesto normativo stabile per la banda larga

Nuove infrastrutture per servizi digitali pubblici attraverso il Meccanismo per collegare l'Europa

Accelerare l'introduzione di servizi digitali, in materia di sistemi di identificazione elettronica (eIDs), firme elettroniche (eSignatures), mobilità delle imprese, giustizia elettronica (eJustice), cartelle

sanitarie elettroniche, piattaforme culturali (come Europeana) e il ricorso ad appalti pubblici online (eProcurement)

Avviare una grande coalizione sulle competenze e i posti di lavoro in ambito digitale

Adozione di provvedimenti pratici per evitare che un milione di posti di lavoro nel settore delle TIC rimangano vacanti da qui al 2015. La Commissione si occuperà di coordinare le azioni del settore

pubblico e privato per promuovere la certificazione delle competenze e presenterà anche un piano d'azione a sostegno degli imprenditori del web che sia in grado di rendere l'Europa più

"start-up friendly".


L’Agenda Digitale Europea Proporre una strategia e una direttiva UE in materia di sicurezza informatica

La sicurezza e la libertà online vanno di pari passo. La Commissione presenterà una strategia e una proposta di direttiva per stabilire un livello minimo comune di preparazione a livello nazionale,

compresa una piattaforma online per prevenire e contrastare gli incidenti informatici transfrontalieri

Aggiornamento del quadro UE relativo ai diritti d'autore

Nel 2013, la Commissione cercherà una soluzione alle questioni relative ai diritti d'autore per le quali sono necessari progressi rapidi attraverso un dialogo strutturato tra le parti

Accelerare il "cloud computing" attraverso il potere d'acquisto del settore pubblico

La Commissione avvierà azioni pilota nell'ambito del partenariato europeo per il cloud al fine di contribuire a creare il più grande mercato TIC al mondo abilitato per il cloud, eliminando gli

interessi nazionali

Avviare una nuova strategia industriale per l'elettronica

La Commissione proporrà una strategia industriale per la micro e la nano-elettronica allo scopo di aumentare l'attrattiva dell'Europa per gli investimenti nella progettazione e nella produzione


Digital Divide

In Italia metà della popolazione usa regolarmente Internet. La tecnologia è parte integrante della

vita quotidiana di milioni di persone. Studenti, lavoratori, professionisti e imprenditori usano

costantemente le opportunità offerte dall'innovazione tecnologica ma il gap tecnologico del

nostro paese rispetto ad altri è ancora molto evidente.

Fra le cause che alimentano il digital divide spiccano il forte ritardo con il quale ampi settori della

Pubblica Amministrazione si aggiornano sull'adozione di prodotti e tecnologie software ed

hardware ITC al passo con le nuove esigenze sia attuali che programmatiche e l'altrettanto forte

ritardo sulla relativa formazione che dovrebbe essere diffusa, attuale e progressivamente

aggiornata.

Mentre nel "Sistema Paese" cresce la diffusione di apparati digitali fissi e mobili in linea con i

tempi, cresce la diffusione di competenze sui relativi software intesi come sistemi operativi,

applicazioni verticali e di produttività individuale, non cresce con pari rapidità l'arricchimento dei

contenuti, dei saperi e dei moduli formativi.


L’Agenda Digitale Italiana

E’ stata una delle novità più rilevanti contenute nel decreto "Semplifica Italia“.

L'Agenda ha avuto il compito di pianificare degli interventi aventi come obiettivo:

Il termine ultimo per la realizzazione di questi obiettivi è il 2020.

• rendere liberamente disponibili i dati delle pubbliche amministrazioni 1

• incentivare la trasparenza, la responsabilità e l'efficienza del settore pubblico 2

• alimentare l'innovazione e stimolare la crescita economica. 3


Da gennaio 2013

Partono le misure legate al domicilio digitale, alla comunicazione digitale dei documenti da parte della Pa e all'open data

Le amministrazioni pubbliche dovranno rendere accessibili i propri dati in modo da permettere a chiunque l'uso anche a scopi commerciali

I contratti della Pa saranno siglati con la firma digitale, così come è prevista la trasmissione telematica dei certificati di malattia

Sono inoltre previste delle sanzioni in caso di mancata trasmissione di documenti in via telematica tra Pa e tra Pa e cittadino

Parte anche la cartella clinica digitale, ampiamente sperimentata in numerose regioni

Quanto al capitolo giustizia digitale, è prevista la trasmissioni per via telematica delle comunicazioni tra i vari tribunali

Anche la gestione dei concorsi sarà obbligatoriamente digitale

Mentre le dichiarazioni di fallimento potranno essere trasmesse in via telematica


Da marzo 2013

Più incerti i tempi per arrivare al fascicolo sanitario nazionale

Ogni paziente avrà una sorta di cartella clinica digitale aggiornata con gli esami e le cure che ha fatto

Ogni ospedale potrà così accedere a un database per sapere la storia clinica del paziente senza la necessità di documenti cartacei

Per il via libera è richiesta l'emanazione di un decreto e comunque non partirà prima di novanta giorni dal decreto


… di ”dematerializzazione” se ne parla dal 1980

“… è la progressiva trasformazione degli archivi cartacei

in documenti informatici (sostituzione) …”

… la definizione di documento informatico”

l‘Art. 15 comma 2 D.L. 15 marzo 1997 n. 59

l’Art. 42 D.L. 7 marzo 2005 n. 82

“è la rappresentazione informatica di atti, fatti o dati

giuridicamente rilevanti”,

conferendogli pieno valore giuridico …

“La Legge definita CAD è entrata in vigore il 1 gennaio 2006”


Scopo della dematerializzazione

Evitare o ridurre in maniera significativa la creazione di nuovi documenti cartacei.

Il documento deve nascere, produrre i suoi effetti e venire archiviato in un "ciclo di vita" interamente telematico

Eliminare i documenti cartacei attualmente esistenti negli archivi, sostituendoli con registrazioni informatiche (naturalmente qui non si parla di documenti di valore storico o soggetti a

conservazione permanente per la loro natura)

In estrema sintesi il processo di dematerializzazione ha lo scopo di conservare le caratteristiche di autenticità, integrità, leggibilità, accessibilità e riservatezza dei documenti informatici

offrendo, nel contempo, fondamentali vantaggi in termini di minori costi, recupero di risorse, maggiore efficienza e superiore qualità dei servizi.


La Legge CAD

Il Codice dell'Amministrazione Digitale (D. Lgs. 7 Marzo 2005, n. 82, pubblicato sulla Gazzetta Ufficiale n. 111 del 16 maggio 2005), è entrato in vigore il 1° gennaio 2006.

Con lo scopo di regolamentare

la disponibilità, la gestione, l’accesso, la trasmissione,

la conservazione e la fruibilità

dell’informazione in modalità digitale.

Disciplina temi cruciali della Amministrazione digitale quali la sicurezza nella trasmissione telematica di messaggi, firme, autorizzazioni, disposizioni commerciali o finanziarie garantendo la riservatezza di un documento generato e diffuso per via informatica,

assicurandone l'integrità anche a lungo termine e certificandone la provenienza.


Il Cad si compone di 92 articoli suddivisi in 9 capi

1. Principi generali

2. Documento informatico e firme elettroniche; pagamenti, libri e scritture

3. Formazione, gestione e conservazione dei documenti informatici

4. Trasmissione informatica dei documenti

5. Dati delle pubbliche amministrazioni e servizi di rete

6. Sviluppo, acquisizione e riuso di sistemi informatici nelle pubbliche amministrazioni

7. Regole tecniche

8. Sistema pubblico di connettività e rete internazionale della pubblica amministrazione

9. Disposizioni transitorie finali ed abrogazioni


Il nuovo Codice dell’Amministrazione Digitale

D. Lgs. 235/2010, pubblicato sulla Gazzetta Ufficiale n. 6 del 10 gennaio 2011 ed

entrato in vigore il 25 gennaio 2011 che riprende, aggiorna ed amplia il precedente D. Lgs.

82/2005 e traccia un percorso operativo che consente di "efficientare" la PA modernizzando,

digitalizzando e sburocratizzando i suoi procedimenti. Composto da 57 articoli:

i primi 55 riguardano modifiche apportate al CAD.

1. Diritto all'uso delle tecnologie verso amministrazioni e gestori di servizi pubblici - Siti web istituzionali, posta elettronica certificata (PEC) e firma digitale (FD)

2. Incentivi e sanzioni - Valutazione del personale, da cui dipendono sanzioni ed incentivi

3. Obbligo di coordinarsi - L'amministrazione digitale non potrà più lavorare a compartimenti stagni

4. Possibilità per le amministrazioni di tesaurizzare il "dividendo dell'efficienza" favorito dall'applicazione dell'innovazione digitale - Efficienza organizzativa dovranno essere valutati e andranno in parte ad incentivare il personale coinvolto


Il documento

Informatico

Documento

Analogico

Copia Originale

Non unico Unico Copia

informatica per immagine di uno

analogico

Copia informatica di

uno informatico

Duplicato informatico

Copia analogica di uno

informatico

Copia informatica di uno analogico


Il documento informatico

“… la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti …”

(Capo I – Principi generali Sezione I - Definizioni, finalità e ambito di applicazione, lettera "p").

Si evidenzia così la non essenzialità del supporto rispetto al contenuto del documento

anche se le caratteristiche del supporto restano, comunque, rilevanti ai fini del giudizio sull'affidabilità del documento dal

punto di vista dell'alterabilità o cancellabilità di quanto in esso registrato.”


Il documento analogico

“ … la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti …”

(Capo I - Principi generali Sezione I - Definizioni, finalità e ambito di applicazione, lettera p-bis).

È considerato analogico il documento che, per la sua formazione,

utilizzi una grandezza fisica che assume valori continui,

come le tracce continue su carta per il documento cartaceo, le immagini continue per il film, le

lastre o pellicole radiologiche, i microfilm, le magnetizzazioni continue su nastri audio e video e

altro.


Copia informatica di un documento analogico

“ … documento informatico avente contenuto identico a quello del documento analogico da cui è

Tratto ...”

I documenti informatici contenenti copia di atti pubblici, scritture private o documenti in genere,

composti in origine su supporto cartaceo, mantengono la medesima efficacia dell'originale

cartaceo ai sensi degli articoli 2714 e 2715 del codice civile a condizione che siano spediti o

rilasciati dai depositari pubblici autorizzati o da pubblici ufficiali autorizzati e se ad essi è apposta

o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica

qualificata. La loro esibizione e produzione sostituisce a pieno titolo quella dell'originale.


Copia per immagine su supporto informatico di un documento analogico

“ … documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto. “

Ad esempio il file .pdf, .jpg, .tiff, ecc. che scaturisce dalla scansione del documento analogico da cui

è tratto, rispetto al quale appare identico sia come contenuto che come forma. A differenza della

precedente definizione notiamo che nella "copia per immagine" è identico, oltre il contenuto, anche

la forma del documento analogico di partenza. La copia per immagine è valida se la sua conformità

al documento di partenza è attestata da un notaio o da un pubblico ufficiale autorizzato tramite

dichiarazione allegata al documento informatico.

Mantiene comunque la stessa efficacia probatoria dell'originale se prodotta nel rispetto delle regole tecniche di cui all'art.71 del D. Lgs. 235/2010 e non viene espressamente disconosciuta Vi si

ricorre estesamente nelle operazioni di dematerializzazione e conservazione sostitutiva di cui parleremo più avanti.


Copia informatica di un documento informatico

“ … documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari.”

Ad esempio un file che ha il medesimo contenuto dell'originale, ma con un diverso formato come il

documento .pdf che risulta dalla conversione di un file .doc, .odt, .txt, ecc.

Tale copia Tale copia ha lo stesso valore probatorio dell'originale da cui ha origine se un pubblico

ufficiale autorizzato ne attesta la conformità oppure se la stessa conformità non viene espressamente disconosciuta. Vale la stessa considerazione per gli estratti.


Duplicato informatico

“ … documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario.”

Un file del tutto identico all'originale perché duplicato con il medesimo applicativo (copia/incolla o

"salva con nome) come quando si duplica un file nel medesimo formato ma su un supporto diverso,

ad esempio dal PC a un CD od una pen-drive. Riproducendo la medesima sequenza di bit si

conservano intatti, oltre che il contenuto e la forma anche, ad esempio, la sequenza di valori binari

che restituiscono la firma digitale. Capiamo bene adesso quanto significativa sia la differenza che

corre fra una copia informatica di documento informatico ed un duplicato informatico. Il duplicato

informatico conserva l'identico valore probatorio del documento informatico da cui ha origine senza

bisogno di ulteriori attestazioni.


Copia analogica di un documento informatico

Le copie su supporto analogico (cartaceo) di un documento informatico, anche sottoscritto con

firma elettronica avanzata, qualificata o digitale, mantengono la stessa efficacia probatoria

dell'originale da cui sono tratte a condizione che la loro conformità all'originale sia attestata da un

pubblico ufficiale autorizzato oppure non vengano espressamente disconosciute .

(9 D. Lgs.235/2010, art 23, Copie analogiche di documenti informatici)


Il timbro digitale (nuovo strumento)

Un documento informatico, firmato digitalmente e spedito via PEC,

resta un documento valido finché rimane in formato elettronico.

Se per una qualsiasi esigenza il documento debba essere stampato

Il processo di stampa tradizionale interrompe la catena dei valori di

autenticità, integrità, non ripudio e data certa di creazione e/o di firma garantiti dalla firma digitale e dall'invio tramite PEC.

Il documento stampato potrebbe aver nuovamente bisogno della firma tradizionale di un pubblico ufficiale autorizzato per riacquistare il suo valore, perdendo così i vantaggi di essere nato in

formato elettronico e di essere stato firmato digitalmente.



Il timbro digitale (glifo) rappresenta una interessante innovazione tecnologica adottata dal CAD ed è in grado di certificare l'autenticità di un documento indipendentemente dal supporto utilizzato

per rappresentarlo.

Il principio tecnologico è concettualmente analogo a quello dei codici a barre largamente usati in Italia fin dagli anni '80.

Si tratta di rappresentare graficamente una serie di informazioni tramite un codice grafico bidimensionale

(da qui il termine "glifo" ossia, essenzialmente, la rappresentazione stilizzata di oggetti o concetti).

L'articolazione in due dimensioni consente di veicolare una quantità di informazioni

significativamente maggiore della capacità del codice a barre "tradizionale" che adopera una sola

dimensione.



Esempio (1): Può accadere che si renda necessario stampare su supporto cartaceo un documento informatico firmato digitalmente con garanzia però di mantenerne inalterato il valore legale.

Si pensi ad esempio al cittadino che richiede on line il proprio certificato di residenza...

il sistema informatico gli può mettere a disposizione un documento informatico firmato digitalmente, ma come fa il cittadino a consegnarlo ad esempio ad una banca che magari lo

vuole in cartaceo ?

Questo tema oggi è pienamente risolto dalle attuali tecnologie di timbro digitale.

Il Timbro Digitale è un codice a barre bidimensionale che contiene non solo l’immagine originale del documento ma anche le verifiche di congruità, originalità dei contenuti e della firma.

Il glifo viene elaborato e apposto sul documento informatico da un appliance dedicato a tale procedimento detto di "securizzazione".



Il sistema di Timbro Digitale prevede anche un processo di verifica, proprio come la firma digitale,

attraverso l’uso del modulo software Viewer in grado di decodificare il glifo e quindi estrarne sia la

versione originale che le informazioni necessarie a verificare l’attendibilità del documento e della

firma digitale nonché eventuali difformità rispetto alla versione stampata sulla quale si trova il glifo.

Il documento stampato, diviene a sua volta un'ulteriore tipo di supporto in cui è stato salvato il

documento originale firmato digitalmente: dai glifi infatti il viewer è in grado di ricostruire il

documento originale e di verificare la veridicità della firma digitale. Non è necessario che il

documento cartaceo sia ben conservato: può essere usurato a causa di piegature (si pensi ai

documenti conservati nel portafoglio), accartocciato o addirittura mancante di buona parte del

timbro digitale (fino ai tre quarti). Il viewer è in grado comunque di estrarre dal timbro digitale a

disposizione il documento originale e di verificarne la validità legale.



Esempio (2): la Gazzetta Ufficiale, a partire dal 2 gennaio 2009, si avvale di questo strumento e al

fine di consentire all'utenza la verifica di autenticità e provenienza, l'Istituto Poligrafico e Zecca dello

Stato (IPZS) mette a disposizione un applicativo che consente di verificare l'autenticità del

documento attraverso:

a. la visualizzazione del certificato attestante che la produzione della Gazzetta Ufficiale è avvenuta con il processo controllato adottato dall'Istituto Poligrafico e Zecca dello Stato

b. la coerenza della tipologia e degli estremi di pubblicazione della Gazzetta Ufficiale a cui si riferisce la pagina in esame: serie, numero, data di pubblicazione e numero di pagina

c. la verifica dell'integrità del documento ovvero che il contenuto di ciascuna pagina della Gazzetta Ufficiale riprodotta in "locale" non sia stato modificato in riferimento a quello effettivamente pubblicato e memorizzato sui server dell'Istituto Poligrafico e Zecca dello Stato


Il timbro digitale (nuovo strumento) L'applicativo consente un primo livello di verifica per leggere, senza necessità di collegamento

Internet, il certificato di provenienza, gli estremi ed il tipo di G.U. comprensivo di numero di pagina,

ad esempio:

Gazzetta Ufficiale n. 103 del 06-05-2009 Serie Generale Pagina n. 7

Certificate: Version: 1 (OxO)

Serial Number: ce:d4:3e:4c:ce:8a:3b:27

Signature Algorithm: shaIWithRSAEncryption

Issuer: C=IT, ST=ltaly, L=Rome, 0=lstituto Poligrafico e Zecca dello Stato S.p.A.

OU=Sistemi di Base, Internet e Telecomunicazioni,

CN=Sistemisti/emailAddress=sistemisti0ipzs.it

Validity

Not Before: Dee 30 15:14:00 2008 GMT

Not After : Dee 30 15:14:00 2009 GMT

Subject: C=IT, ST=ltaly, L=Rome, 0=lstituto Poligrafico e Zecca dello Stato S.pA.,

0U= Sistemi di Base, Internet e Telecomunicazioni, CN=I.P.Z.S. S.pA./emailAddress=gazzettaufficiale0ipzs.it



Un secondo livello di verifica si attiva confrontando l'immagine archiviata sui server del

Poligrafico con quella in possesso dell'utente rilevando, dal confronto eventuali

manomissioni che vengono evidenziate attraverso segnalazioni grafiche, altrimenti ne

viene esplicitamente confermata la conformità. È possibile verificare una pagina di

Gazzetta Ufficiale sia in formato PDF che in formato cartaceo, in quest'ultimo caso il

documento deve essere preventivamente scansionato ed esportato in formato PDF.


Il Viewer (documento originale)


Il Viewer (documento modificato)


Il Quick Response Code (QRC)

Si tratta di una ulteriore, interessante, applicazione pratica della potenzialità comunicativa dei

codici grafici bidimensionali (2D): il codice QR, dall'inglese Quick Response (risposta rapida).

E’ già adoperato per attività del tutto diverse fra loro come:

le operazioni di check-in negli aeroporti, memorizzare dati di aziende o professionisti al posto

dell'uso dei biglietti da visita, descrivere le proprietà di un prodotto ampliando i contenuti delle

etichette, narrare le particolarità di un edificio storico o delle opere custodite in un museo,

effettuare acquisti "al volo" da cataloghi, riviste o, addirittura, cartelloni pubblicitari tramite l'uso di

applicazioni per cellulari, con le quali basta "fotografare" il QR Code con la cam incorporata, per

scegliere il prodotto e con le dovute procedure di sicurezza, autorizzarne l'addebito sul proprio

conto.


Cambiamento

Essere consapevoli che l’Amministrazione digitale cambierà radicalmente gli strumenti di lavoro ed il modo di :

Lavorare (telelavoro, teleconferenze) - Comunicare (telefoni evoluti) - Condurre gli affari (e-commerce)

Firma elettronica, documenti informatici, posta elettronica, ecc., sono solo alcuni tasselli di un

complesso mosaico tecnologico. Lo scambio di informazioni sarà più veloce e di facile accesso.

L'impatto organizzativo sarà enorme, a tutti i livelli.

Adesso che il piano tecnologico e quello normativo sono entrambi a livelli adeguati, sarà

necessario intervenire sugli aspetti organizzativi ridefinendo le procedure e la struttura stessa.

Principalmente, sarà necessario portare a livello gerarchico più basso le responsabilità.

Naturalmente occorreranno tecnici, formatori, esperti di organizzazione e investimenti.


Il CNIPA -> DigitPA -> Agenzia per l’Italia Digitale

Compiti assegnato alla nuova Agenzia – Gruppo 1:

a. realizzazione delle infrastrutture tecnologiche e immateriali al servizio delle «comunità intelligenti» (smart communities),

b. promozione del paradigma dei dati aperti (open data)

c. potenziamento delle applicazioni di amministrazione digitale (e-government)

d. promozione della diffusione e del controllo di architetture di cloud computing

e. utilizzazione degli acquisti pubblici innovativi

f. infrastrutturazione per favorire l'accesso alla rete internet in grandi spazi pubblici collettivi

g. investimento nelle tecnologie digitali per il sistema scolastico e universitario

h. consentire l'utilizzo del Sistema pubblico di connettività


Il CNIPA -> DigitPA -> Agenzia per l’Italia Digitale

Compiti assegnato alla nuova Agenzia – Gruppo 2:

a. Consulenza e proposta

b. Emanazione di regole, standard e guide tecniche, nonché operazioni di vigilanza e controllo sul rispetto di norme

c. Valutazione, monitoraggio e coordinamento

d. Predisposizione, realizzazione e gestione di interventi e progetti di innovazione _______________________________________________________________________________

L' Agenzia per l'Italia Digitale è quindi impegnata a sostenere lo sviluppo della dematerializzazione, puntando non solo a eliminare i documenti in formato cartaceo ora esistenti

negli archivi per sostituirli con registrazioni informatiche,

ma anche a far sì che tutte le amministrazioni pubbliche adottino criteri che evitino o riducano il più possibile la creazione di nuovi documenti su carta.

•GESTIONE DELL’AULA


Inefficienze del documento cartaceo

Aumento dei costi

Diminuzione di efficienza nell’espletamento dei processi

Tempi di archiviazione e ricerca più lunghi

Velocità del degrado cartaceo (usura, danneggiamento)

Non condivisibile da più persone che stiano lontane

Bassa protezione nella conservazione

Occupazione di ingenti spazi


Costi

In 19 mila uffici sono stati prodotti in un anno

110 mln documenti

160 mln di registrazioni protocollo

147 mln di documenti archiviati

55 mila persone utilizzate per lo smistamento e protocollo

Trasmissione, protocollo, copia ed archiviazione

Pubblica Amministrazione Centrale (PAC) - Costo 3 mld di euro

Pubblica Amministrazione Locale (PAL) - Costo 1,5 mld di euro

Gestione foglio stipendio

Per 1,5 mln di dipendenti pubblici – Costo 40 mln di euro e 1.100 dipendenti

Per 16 mln di dipendenti pubblici e privati – Costo 1 mld di euro


Stime

In Italia in un anno

vengono stampate 115 mld di pagine

rimangono inutilizzate 19.5 mld di pagine

Spesi 287 mln di euro

Ogni documento viene duplicato da 9 a 11 volte

Un documento su 20 viene smarrito

Il 3% della documentazione non viene archiviata correttamente

(il costo per recuperare un documento non archiviato correttamente sale fino a 120€)

Impiego materiale cartaceo

1,2 mln di tonnellate, circa 240 mld di fogli

equivale all’abbattimento di 20 mln di alberi ed all’emissione 4 mln di ton. di CO2 l’anno

Carta ed oneri distribuzione fisica dei cedolini

Risparmio utilizzando cedolini online – 27 mln di euro

Risparmio ottenuto dalle procedure digitali – 168÷259 mila ton. di carta


Fatturazione elettronica

• Modello non strutturato: Il documento elettronico non strutturato è una semplice immagine del documento cartaceo. I risparmi si limitano alla conservazione.

• Modello strutturato: La fattura elettronica strutturata contiene al suo interno tutte le informazioni idonee ad alimentare il sistema gestionale

• Modello integrato: In questo caso, oltre alla fattura, si dematerializzano tutti i principali documenti dell'intero ciclo: ordini, documenti di trasporto, avvisi di pagamento, dati anagrafici e commerciati. In questo caso il risparmio è massimo.


Diritti digitali dei cittadini e delle imprese

“Sezione II del CAD – Diritti dei cittadini e delle imprese”

Diritto all’effettuazione dei pagamenti con modalità informatiche

Diritto utilizzo della posta elettronica certificata

La possibilità di riscontrare la qualità dei servizi erogati

L’alfabetizzazione informatica dei cittadini

La partecipazione democratica elettronica

Alcuni servizi già esistenti

Autocertificazioni, stato pratiche, cambio residenza o abitazione, certificati anagrafici, stato civile, iscrizione albo presidente o scrutatori di seggio, visure anagrafiche, visure elettorali,

prenotazione estratti e carte d’identità, ecc


Strumenti per godere dei diritti digitali

Carta di Identità Elettronica (CIE)

Carta Nazionale dei Servizi (CNS)

Firma digitale (FD)

Posta elettronica certificata (PEC)

Siti web della PA


Carta Nazionale dei Servizi (CNS)

“… il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni.“

Rilasciata a cittadini e titolari d’impresa pubblica

Validità 6 anni con rinnovo ogni 3 anni. Alla scadenza verrà rilasciata una nuova

E’ uno strumento per l'autenticazione del cittadino in rete

Conterrà i dati identificativi del cittadino

Saranno impressi i dati del titolare, il Codice Identificazione Numerico , data rilascio e scadenza

Presenterà sul retro la dicitura “ Carta Nazionale Servizi ” ed il nome della PA emettitrice

Potrà integrare le funzionalità della tessera sanitaria

Conterrà il certificato di autenticazione e della firma digitale

Smart card con un microchip

La CNS non può essere rilasciata al cittadino che sia già in possesso della CIE

www.crs.lombardia.it

http://www.crs.lombardia.it/


DPR 2 marzo 2004 n.117 – Tutte le PA possono emettere la CNS per consentire ai cittadini di fruire dei servizi pubblici.

L’art 3 del CAD: I cittadini e le imprese hanno diritto a richiedere e ottenere l’uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni e con i gestori di pubblici

servizi statali nei limiti di quanto previsto nel presente codice

Autenticazione del cittadino in rete

Accesso ai servizi in rete delle PA

Pagamenti online alla PA

Per le Camere di Commercio

Dopo aver stipulato contratto TelemacoPay le imprese

potranno ottenere i seguenti servizi:

Visura ordinaria, storica ed artigiana, scheda società,

dichiarazione sostitutiva certificato Registro Imprese, copie statuti, atti e bilanci depositati, stato dei pagamenti annuali per un massimo di tre posizioni (3 REA)


Carta d’Identità Elettronica (CIE)

“… il documento d'identità munito di elementi per l'identificazione fisica del titolare rilasciato su

supporto informatico dalle amministrazioni comunali con la prevalente finalità di dimostrare l'identità anagrafica del suo titolare".

Sostituirà i vecchi documenti di riconoscimento cartacei

E’ uno strumento per l'autenticazione del cittadino in rete

Smart card in policarbonato, che integra una banda ottica ed un microchip

Saranno impressi i dati del titolare, il Codice Identificazione Numerico , data rilascio e scadenza

Conterrà i dati amministrativi del Servizio Sanitario Nazionale

Conterrà i dati personali, il codice fiscale ed eventualmente il gruppo sanguigno

Utilizzata per il trasferimento elettronico dei pagamenti tra privati e PA

Al rilascio vengono consegnati tre diversi codici: PIN - PUK - CIP


Incidente di percorso

• Lo scopo era di sostituire quella cartacea

• Fiasco e beffa

o Il raddoppio della scadenza è gestito male, non è possibile apporre timbri per cui si è aggiunto un documento cartaceo per il rinnovo e molti paesi non lo accettano per la sua facile duplicazione.

o Ora è possibile richiedere il duplicato, ma a pagamento.


La carta elettronica del dipendente pubblico

Con il DPCM 24 maggio 2010 sono state stabilite le regole tecniche per il rilascio della carta

personale di riconoscimento elettronica ai dipendenti di ruolo delle amministrazioni pubbliche

statali oltre che al personale militare in attività di servizio o ausiliaria.

L'adozione di un'unica carta multiservizi, rendendo possibile attivare una serie di nuovi servizi quali firma elettronica, controllo accessi, rilevamento presenze, accesso sicuro alla

postazione di lavoro, accesso ad aree riservate fisiche o virtuali, tracciabilità delle operazioni, posta elettronica certificata, ecc., rappresenta un ulteriore passo in avanti nella, direzione del

progressivo completamento del processo di digitalizzazione e dematerializzazione delle procedure documentali a tutto vantaggio dell'efficienza, del contenimento dei costi e della

trasparenza amministrativa.

Pubblicato sulla G.U. n. 182 del 06/08/2010


Diritti digitali

L'art 3 del D. Lgs. 235/2010 recita: "I cittadini e le imprese hanno diritto a richiedere ed ottenere l'uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni, con i soggetti di cui all'articolo 2, comma 2 , e con i gestori di pubblici servizi ai sensi di quanto previsto dal presente codice".


Siti web della PA

Accessibilità – Usabilità – Reperibilità

Accesso tramite autenticazione alternativa e/o CIE o CNS

Elenco dei servizi forniti in rete

Organigramma degli uffici

Elenco delle tipologie di procedimenti svolti dagli uffici

Scadenze e modalità di adempimento dei procedimenti

Elenco completo delle caselle di posta elettronica

Le pubblicazioni, i messaggi di informazione e comunicazione

Elenco di tutti i bandi di gara e di concorso


Sicurezza, continuità operativa e "disaster recovery"

Il D.Lgs. 235/2010 prevede un serie di importanti ed innovative disposizioni sui delicati argomenti

che vanno dalla sicurezza alla fruibilità dei dati e dei sistemi, dalla continuità operativa

al "disaster recovery". Si intende descrivere con "continuità operativa" Insieme strutturato di

metodi e strumenti (hardware, software, procedure, risorse umane, ecc) volti ad assicurare la

continuità dei servizi, anche in presenza di eventi assai gravi quali disastri naturali, eventi bellici,

ecc. in grado di causare blocchi prolungati dei sistemi informatici.

Le linee guida, emanate, da DigitPA, il 16/11/2011, sono articolate in 8 capitoli nei quali vengono

delineati gli scenari della continuità operativa nell'ambito delle pubbliche amministrazioni.


Firma digitale

Posta elettronica certifica

Protocollo elettronico

Fatturazione elettronica

Conservazione sostitutiva

Portata della rivoluzione


Protocollo Informatico

Art. 50, comma 3, D.P.R. 445/2000: “… e pubbliche amministrazioni provvedono entro il 1° gennaio 2004 a realizzare o revisionare sistemi informativi automatizzati finalizzati alla gestione del protocollo informatico e dei procedimenti amministrativi in conformità alle disposizioni del presente testo unico e alle disposizioni di legge sulla tutela della riservatezza dei dati personali …”

Oltre al guadagno in termini di rapidità ed efficienza di gestione della procedura documentale, il protocollo informatico consente di avvalersi di reportistiche in tempo reale.

Entro la scadenza prevista le pubbliche amministrazioni interessate devono avere pronti i sistemi informativi necessari alla completa trattazione digitale delle pratiche. Ciò però presuppone che le pratiche stesse siano in formato digitale, ma in molti casi non lo sono ancora.

La norma impone che i sistemi siano pronti, anche se ciò non significa necessariamente che debbano essere usati in ogni caso.



La corretta ed efficace conservazione digitale dei documenti è un'esigenza nuova, fortemente avvertita non solo dalle Pubbliche Amministrazioni che si ritrovano, giorno per giorno, a doverne gestire quantità colossali, ma anche dalle imprese private.

La gestione cartacea delle procedure documentali richiede aree sempre più estese. Questi spazi devono, prima di ogni cosa, essere idonei per la conservazione nel tempo. I locali preposti allo scopo vanno acquistati o locati e poi, in ogni caso, illuminati, puliti, climatizzati, manutenuti, sorvegliati... Qualche numero per rendere l'idea:

A livello nazionale la Campania è la Regione con la maggiore quantità stimata di documenti in archivi di deposito (634,0 km di archivi, pari al 25,8% del totale nazionale), seguita dalla Liguria (9,9%) e dalla Lombardia (8,5%). A livello locale, le quantità stimate maggiori si registrano a Napoli (564,7 km di archivi, pari al 22,9% del totale nazionale) e Genova (199,2 km di archivi, pari all'8,1% del totale nazionale). I tipi di Ufficio con la maggiore quantità stimata di documenti in archivi di deposito sono i Tribunali Civili e Penali (526,3 km di archivi, pari al 21,4% del totale nazionale), gli Uffici della Polizia di Stato (483,2 km di archivi, pari al 19,6% del totale nazionale) e le Avvocature Distrettuali dello Stato (10,2%).



Dematerializzazione della documentazione cartacea presente nelle Caserme Ministero della Difesa - Agenzia Industrie Difesa

“Ottimizzare tempi e spazi,” questo è l'obiettivo del progetto di dematerializzazione del Ministero della Difesa da attuare in tutte le caserme.

Digitalizzando gli archivi vengono "svuotati" e riutilizzati gli spazi del patrimonio presente in tutta Italia.

Verrà ridotto il personale addetto all'archivio tradizionale con una riduzione dei costi, ma soprattutto ciò consentirà un recupero degli spazi di particolare pregio.

Basti pensare che solo per il progetto pilota è previsto di digitalizzare 19 km lineari di faldoni A4 - 32mila mq di aree su un totale di 97 km pari a 112.036. Il risparmio economico è notevole: sul totale del lavoro (100 Km circa di faldoni) il beneficio netto atteso è maggiore di 409,5 milioni di Euro.



Il Codice dell'Amministrazione Digitale ribadisce che tutti i documenti, che per legge o regolamento devono essere conservati, possono essere riprodotti e conservati su supporto informatico e sono validi a tutti gli effetti di legge. La riproduzione di questi e relativa conservazione devono essere effettuate in modo da garantire la conformità dei documenti agli originali e la loro conservazione nel tempo. Per i documenti prodotti già in origine in modalità informatica, è obbligatorio che la loro conservazione permanente avvenga con modalità digitali.

Il progredire del concorso fra evoluzione tecnologica ed analisi normativa ha prodotto e regolamentato l'idea che, adottando determinati formati ed avvalendosi di determinati strumenti quali, ad esempio, la firma digitale, la marcatura temporale e la posta elettronica certificata, il documento informatico non possa più essere manipolato successivamente alla sua "chiusura" e che la verifica della sua provenienza, integrità, riservatezza e genuinità sia resa certa con sicurezza pari, se non superiore, a quella del documento cartaceo tradizionale.

D.P.R. 445/2000 "Disposizioni legislative in materia di documentazione amministrativa". Il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.



La conservazione sostitutiva è una operazione finalizzata a rendere un documento non deteriorabile, quindi disponibile nel tempo in tutta la sua integrità e autenticità, trasponendo, attraverso un processo di elaborazione, i documenti analogici o informatici (anche sottoscritti in forma elettronica) su un idoneo supporto, impedendo, con l'adozione di particolari accorgimenti tecnico/giuridici quali la firma digitale e marca temporale, che il suo contenuto o la sua forma possano in qualche modo venire successivamente modificati o alterati.

La firma digitale consente di risalire alla certificazione della paternità del documento sostituivo prodotto, la marcatura temporale consente di attribuire una data certa al documento digitale creato.



In sintesi, quando si dovrà procedere alla dematerializzazione e conservazione sostitutiva di documenti analogici non unici (quindi quei documenti per i quali si possa ricostruire il contenuto attraverso altre scritture o documenti, di cui sia obbligatoria la conservazione anche presso terzi) si adotterà la procedura di memorizzazione dell'immagine del documento su idoneo supporto informatico con apposizione della marcatura temporale e firma digitale da parte del Responsabile della Conservazione.

II riversamento è finalizzato a trasporre da un supporto a un altro, un determinato documento, magari per il deterioramento del supporto principale:

Riversamento diretto : trasferisce un documento da un supporto ad un altro non alterando o modificando la rappresentazione digitale. Il riversamento diretto può paragonarsi al backup di un file

Riversamento sostitutivo: è il processo che trasferisce i documenti da un supporto di memorizzazione ad un altro, modificando la loro rappresentazione informatica.



La copia digitale di un documento amministrativo, se certificata come conforme all'originale, può sostituire il documento analogico per quanto riguarda gli obblighi di conservazione ma occorre esercitare attenzione e prudenza perché in realtà questo passaggio non è del tutto automatico. Per la Pubblica Amministrazione in particolare, lo scarto dei documenti deve sempre e comunque essere autorizzato dalle Soprintendenze archivistiche e dalle Commissioni di sorveglianza del Ministero per i beni culturali e per i documenti destinati alla conservazione permanente non è possibile, in nessun caso, procedere alla distruzione dell'originale analogico. Ciò significa che tali documenti possano essere "dematerializzati" ai soli fini gestionali, ma gli originali analogici dovranno essere comunque conservati ai fini probatori.

I documenti amministrativi da conservare, infatti, sono distinti in documenti per i quali è prevista la conservazione a lungo termine - in quanto dichiarati di rilevanza storica e documenti che possono essere distrutti quando il superamento di un certo arco temporale porti agli stessi inefficacia giuridica e una sostanziale inutilità per la scarsa rilevanza sul piano di testimonianza storica.



Il documento informatico, nella Delibera CNIPA 19/2/2004, veniva descritto come "la rappresentazione informatica o in formato analogico di atti, fatti e dati intelligibili direttamente o attraverso un processo di elaborazione elettronica".

Il documento analogico, "quello formato utilizzando una grandezza fisica che assume valori continui, come le tracce su carta (ad esempio, documenti cartacei), come le immagini su film (ad esempio, pellicole mediche, microfilm), come le magnetizzazioni su nastro (ad esempio, cassette e nastri magnetici audio e video) ". Può essere suddiviso in :

Copia: intesa come la matrice di una manifestazione di volontà che si concretizza in un documento originale

Originale diverso dalla copia per funzionalità, si presenta con caratteristiche proprie, formalizzate dalla legge per gli effetti giuridici che gli sono attribuiti.

Unico

Non unico: se sia possibile risalire al suo contenuto attraverso altre scritture o documenti di cui sia obbligatoria la conservazione, anche se in possesso di terzi.

Per soddisfare la forma scritta, la formazione del documento informatico deve garantire:

l’immutabilità nel tempo - la non modificabilità automatica.



Per la conservazione sostitutiva e il riversamento sostitutivo, nel caso di documento originale unico è necessario l'intervento nel processo di un pubblico ufficiale che attesti la conformità di quanto conservato al documento di origine, altrimenti è sufficiente la garanzia di tale conformità da parte del responsabile della conservazione, sotto la sua diretta responsabilità.

L’art. 4, comma 3, della Delibera stabilisce che il documento analogico d’origine, del quale sia obbligatoria la conservazione, può essere distrutto soltanto al termine del processo di conservazione sostitutiva.

La procedura di conservazione digitale deve essere gestita da un "responsabile della conservazione" che lavori d'intesa con il responsabile del trattamento dei dati personali e, qualora fosse presente, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi.

il processo di conservazione può essere affidato in outsourcing ed individua la possibilità che soggetti terzi certifichino la conformità di tale processo a quanto stabilito sia dall'art. 43 del CAD.


Articolo 10 - Beni culturali

– Sono beni culturali le cose immobili e mobili appartenenti allo Stato, alle regioni, agli altri enti pubblici territoriali …

– Sono inoltre beni culturali: gli archivi e i singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico;

Articolo 20 - Interventi vietati

– I beni culturali non possono essere distrutti, deteriorati, danneggiati o adibiti ad usi non compatibili con il loro carattere storico …

Articolo 21 - Interventi soggetti ad autorizzazione

– Sono subordinati ad autorizzazione del Ministero:

• lo scarto dei documenti degli archivi pubblici e degli archivi privati per i quali sia intervenuta la dichiarazione ai sensi dell'articolo 13, nonché lo scarto di materiale bibliografico delle biblioteche pubbliche, con l'eccezione prevista all'articolo 10, comma 2, lettera c), e delle biblioteche private per le quali sia intervenuta la dichiarazione ai sensi dell'articolo 13.


La prospettiva storica

Sono ben conservati i documenti su terracotta risalenti al tempo dei sumeri o nell’antica Babilonia o gli antichi testi su pergamene e carta.

Purtroppo non c’è affatto la certezza che la “memoria digitale” e i supporti su cui essa è registrata abbiano la possibilità di durare a lungo nel tempo.

Nessun sistema informatico odierno sembra in grado di garantire una conservazione così lunga, sarebbe come pretendere di poter rivedere una cassetta VHS quando saranno spariti da tempo

tutti i videoregistratori che potevano farlo.


Il Sistema Pubblico di Connettività (SPC)

E’ la rete che collega tra loro tutte le amministrazioni pubbliche italiane, gestita dal CNIPA. I suoi obiettivi sono:

• fornire un insieme di servizi di connettività condivisi dalle PA

• garantire l’interazione della PA centrale e locale con tutti gli altri soggetti connessi a internet

• fornire un’infrastruttura condivisa di interscambio che consenta l’interoperabilità tra tutte le reti delle PA esistenti

• fornire servizi di connettività e cooperazione alle PA che ne facciano richiesta

• realizzare un modello di fornitura dei servizi multifornitore

• garantire lo sviluppo dei sistemi informatici nell’ambito del SPC salvaguardando la sicurezza dei dati, la riservatezza delle informazioni


Rete Internazionale della PA

E’ la più grande struttura di connessione tra pubbliche amministrazioni realizzata in Europa. Raggiungerà ambasciate, consolati, istituti di cultura, Ice (Istituto per il Commercio Estero), Enit (Agenzia Nazionale per il Turismo) e Camere di commercio.

Ad essere collegate saranno 510 sedi in 131 paesi.

A beneficiare della connessione dati e fonia, e della videoconferenza, saranno le sedi diplomatiche, ossia ambasciate e consolati, come pure gli istituti italiani di cultura, gli uffici ICE, ENIT e le Camere di Commercio.


Pagamenti elettronici Pagamenti elettronici ed e-commerce risultano molto avvantaggiati dal nuovo quadro

normativo che emerge dal CAD. La firma digitale, in particolare, permette di dare valore giuridico alla dichiarazione

negoziale elettronica al contratto concluso mediante l’utilizzo di internet..


REGISTRO DELLE IMPRESE TELEMATICO

E’ un registro pubblico, nel quale si devono iscrivere tutti gli atti e i fatti relativi alla vita dell’impresa

• iscrizione delle pratiche entro 5 giorni dalla protocollazione dell’istanza informatica o telematica, invece dei 10 giorni o più di quella cartacea;

• certificati e visure entro 5 giorni contro i 3 mesi del regime precedente.

Il risparmio di costi, ad esempio per i diritti di segreteria del Registro imprese, è pari a circa un 30%.

Notevole è il vantaggio nell’attività di archiviazione, senza dover attendere i 3 o 4 mesi prima necessari per la stessa attività a livello cartaceo e permettendo poi la consultazione dei relativi registri in tempo reale ed a distanza.

Invio telematico delle dichiarazioni dei redditi, l’INPS riceve i modelli 730-4 esclusivamente in modalità telematica.


Sperimentazione

Il progetto, elaborato dalla sezione penale del Tribunale di Modena, si basa sul sistema Sidip di proprietà del Ministero della Giustizia. Il sistema consiste nella gestione dei fascicoli relativi ai procedimenti penali in fase dibattimentale e nella creazione di un archivio informatico del settore penale del Tribunale. Consente di affiancare ai documenti cartacei i documenti informatici e poterli facilmente consultare, trasferire, modificare, integrare, sostituire, sdoppiare, archiviare anche parzialmente. Giudici, avvocati e cancelleria possono consultare in contemporanea il fascicolo digitale, con grandi vantaggi:

• tutti possono contestualmente produrre atti o provvedimenti sia in formato cartaceo sia in formato digitale, sia giurisdizionali sia amministrativi.

• i giudici hanno immediata conoscenza del “fatto” processuale, lo studio del fascicolo è velocizzato anche grazie ai sistemi di ricerca elettronica e non è più necessario sfogliare interi faldoni alla ricerca di un singolo documento

• la verifica della regolarità delle notificazioni è istantanea

• lo studio delle deposizioni, delle perizie e delle consulenze è facilitato


Sperimentazione

I fascicoli informatici, accessibili ai soli utenti autorizzali, sono "trasportati” in assoluta sicurezza:

la loro consultazione è immediata (attualmente occorrono spesso giorni solo per individuare il luogo ove un incarto processuale è custodito) e resa possibile in ogni degli addetti aula, camera di consiglio, ufficio, aule dei giudici e nelle cancellerie e persino a distanza: negli studi professionali a mezzo di computer portatili.

Dopo la conclusione delle indagini preliminari gli avvocati possono accedere liberamente al contenuto degli atti e ricevere copie anche a mezzo del servizio di posta elettronica, previa riscossione dei diritti di cancelleria con sistema analogo a quello attualmente in uso per la trasmissione dei verbali d'udienza redatti in stenotipia.


L'Ente certificatore

Per riconoscere con certezza l’autore di un determinato messaggio, ci si avvale di una terza parte che garantisce tale identità, il Certificatore.

Il Certificatore rilascia un certificato digitale che attesta il riconoscimento del richiedente e lo mette a disposizione dei terzi, attraverso l’inserimento in un elenco consultabile online. I Certificatori fanno capo all'Agenzia per l'Italia Digitale.

La certificazione costituisce il punto cruciale di tutto il sistema della firma digitale.

Il Certificatore deve identificare con certezza la persona che fa richiesta della certificazione, art. 9 del DPR 513/1997. Sarà necessario recarsi personalmente presso la più comoda RA del Certificatore per procedere al riconoscimento. Nel certificato possono essere inserite ulteriori dati del titolare: attività professionale, cariche e poteri di rappresentanza per verificare, oltre alla firma digitale, che il firmatario sia legittimato a sottoscrivere determinati atti.

Dopo il riconoscimento, il Certificatore provvede alla generazione del certificato, alla sua pubblicazione sul registro consultabile per via telematica e, contestualmente, a trasmetterne copia al richiedente che provvederà a conservarlo sul dispositivo di firma.

Il Certificatore appone al certificato la propria firma digitale.


Il certificato elettronico

E’ un attestato elettronico rilasciato da un certificatore (cioè colui che presta servizi di certificazione) che collega i dati utilizzati per verificare la firma elettronica al titolare e conferma l’identità del titolare stesso.

Il certificato ha una data di scadenza (dura generalmente due/tre anni) e può essere revocato o sospeso. In questi casi il certificatore deve rendere pubblica la sospensione o la revoca immediatamente.


Il Certificato elettronico qualificato

Ha le caratteristiche del Certificato elettronico,.Garantisce la corrispondenza biunivoca tra la chiave pubblica e il titolare cui essa appartiene, identifica quest'ultimo e attesta il termine di scadenza del certificato, in ogni caso non superiore a tre anni. Il Certificato contiene:

a. indicazione che il certificato elettronico rilasciato è un certificato qualificato;

b. numero di serie o altro codice identificativo del certificato;

c. nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito;

d. nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato.

e. dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare;

f. indicazione del termine iniziale e finale del periodo di validità del certificato;

g. firma elettronica del certificatore che ha rilasciato il certificato, realizzata in conformità alle regole tecniche ed idonea a garantire l'integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.


Tipologie del certificato

Certificati semplici

I certificati semplici non sono qualificati. L'attività di certificazione è libera e non prevede nessuna autorizzazione

Certificati qualificati

L'attività di certificazione è libera, ma richiede il preventivo avviso al Dipartimento per l'Innovazione Tecnologica presso la Presidenza del Consiglio dei Ministri e sono possibili controlli successivi

Certificati qualificati al più elevato livello di qualità e sicurezza

L'attività di certificazione deve essere accreditata presso il Dipartimento per l'Innovazione Tecnologica e sono previsti controlli preventivi e successivi.


L’autenticazione informatica

“ … La validazione dell'insieme di dati attribuiti in modo esclusivo e univoco a un soggetto, che ne distinguono l'identità nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso …”

L'autenticazione è il processo attraverso il quale due o più entità separate, ad esempio un client e un server, possono stabilire la reciproca identità in base a delle regole di sicurezza predefinite. I sistemi di autenticazione sono particolarmente rilevanti nelle connessioni di rete.

Il concetto di authentication a cui fa riferimento la direttiva 1999/93/CE (sulle ed. firme elettroniche) non ha nulla a che vedere con il concetto di autenticazione fornito all'art. 2703 c.c. (previsto per la sottoscrizione cartacea) e risulta essere un concetto nuovo, in linea con le nuove forme di identificazione informatica per 1' accesso ai servizi telematici (quali ID e PW).


Formazione del documento informatico

… la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti …

Per soddisfare la forma scritta, la formazione del documento informatico deve garantire:

– l’immutabilità nel tempo

– la non modificabilità automatica


Gestione informatica dei documenti

… è l’insieme delle attività finalizzate:

alla registrazione e segnatura di protocollo,

alla classificazione,

all’organizzazione,

all’assegnazione,

al reperimento e conservazione

dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell’ambito del sistema di classificazione d’archivio adottato, effettuate mediante sistemi informatici.

La Firma Digitale (FD)

Cos’è la firma digitale

Il documento elettronico affinché abbia efficacia giuridica, deve contemporaneamente garantire:

genuinità

provenienza

non ripudiabilità

Tecnicamente la firma digitale è il risultato di un procedimento informatico di validazione basato su una coppia di chiavi asimmetriche, l'una pubblica e l'altra privata. La procedura consente al sottoscrittore di renderne manifesta ed innegabile la provenienza (tramite la chiave privata del mittente), e al destinatario di assicurarsi che nessun altro abbia potuto leggere illegalmente il documento informatico (tramite la chiave pubblica del destinatario).

In pratica è un procedura informatica che permette al destinatario di verificare l'identità del mittente (il quale non può disconoscere il documento da lui firmato) e a sua volta, il destinatario non può modificare il documento firmato dal mittente.


Le scritture segrete

Con l'avvento del computer e di Internet, i dati sensibili vengono tenuti segreti utilizzando diverse tecniche quali username e password che autenticano l'identità dell'utente ogni volta che vi accede. Nella vita di tutti i giorni la riservatezza non è mai stata così importante come oggi. La soluzione sta nel rendere segreto il documento.

Le scritture segrete possono raggrupparsi in tre classi fondamentali:

le scritture nascoste (steganografia, ad esempio, un messaggio viene fotografato e ridotto alle

dimensioni di un punto tipografico, quindi nascosto in un testo «innocuo» )

le scritture dissimulate (all'interno di un messaggio tradizionale, si conviene di attribuire un

particolare significato ad alcune parole)

le scritture cifrate (crittografia, messaggi aventi le caratteristiche proprie della segretezza in

quanto si presentano incomprensibili)


La crittografia

Crittografia è la tecnica che permette, con l’aiuto di un algoritmo matematico, di trasformare un messaggio leggibile da tutti in una forma incomprensibile alle persone non autorizzate a leggerlo e quindi non in possesso della chiave segreta di decifrazione (e quindi non in possesso della chiave segreta di decifrazione).

Il cane abbaia! (Si tramuterebbe in un incomprensibile):

Lm dbof bccblb!

Incomprensibile, naturalmente, fino al momento in cui qualcuno non carpisca la «chiave» di decodifica...

La funzione è reversibile, per cui applicando lo stesso algoritmo e la stessa chiave segreta al testo cifrato si ottiene il testo originale ovvero in chiaro o decifrato.


Crittografia Simmetrica

si usa una sola chiave segreta per cifrare e decifrare il testo.

Ha il vantaggio della semplicità ma presenta dei grossi limiti. Occorre infatti che le parti si scambino preventivamente la chiave di criptazione, la cui trasmissione implica un serio problema di sicurezza e, nel caso di comunicazione tra diversi soggetti, si devono adottare chiavi diverse per ognuno di essi generando così un elevato numero di chiavi. E’ utilizzata per proteggere i documenti custoditi nel proprio computer da accessi non autorizzati.


Crittografia Asimmetrica

si usa una coppia di chiavi diverse e complementari per cifrare e decifrare il documento, una chiave è privata (segreta) mentre l’altra è resa pubblica

La crittografia asimmetrica ha due possibili impieghi:

– Segretezza

– Autenticazione


Impiego della crittografia asimmetrica ai fini della segretezza

Mario (A) cifra con la chiave pubblica di Giovanni (B)

Giovanni (B) decifra con la sua chiave privata

A, cifrando il documento con la chiave pubblica di B, è sicuro che solo B, titolare della complementare chiave privata, potrà aprirlo. In questo modo si ha la sicurezza della riservatezza del messaggio, che è il fine per cui è stata inventata questa tecnica. La genuinità e la sicurezza del documento sono salvaguardate anche in fase di archiviazione del documento.


Impiego della crittografia asimmetrica ai fini dell’autenticazione

Mario (A) cifra con la sua chiave privata

Giovanni (B) decifra con la chiave pubblica di Mario (A)

Se B può aprire con la chiave pubblica di A, vuol dire che tale documento è stato cifrato dalla chiave privata di A, e quindi si ha la sicurezza che solo A può esserne stato l’autore, in questo modo si accerta la provenienza del messaggio.

Impiego della crittografia asimmetrica ai fini dell’autenticazione e segretezza

A cifra con la sua chiave privata B decifra con la sua chiave privata

A cifra con la chiave pubblica di B B decifra con la chiave pubblica di A

l’unione delle due tecniche, permette di ottenere la riservatezza del messaggio di cui è possibile accertare anche la provenienza.


Riepilogo


Autenticazione Provenienza

Non ripudiabilità

Genuinità Segretezza Sicurezza

Programma di crittografia (esempio)


La funzione di Hash

La crittografia asimmetrica risolve egregiamente i problemi di autenticazione e segretezza. Purtroppo però la cifratura di un lungo documento risulta onerosa da un punto di vista computazionale e poco efficiente.

Per questo motivo, prima di procedere alla cifratura del documento, si applica allo stesso la “funzione di Hash”.

La funzione di Hash, partendo da un certo documento, permette di ottenere una stringa di testo di lunghezza prefissata e relativamente contenuta, denominata “impronta”, a prescindere dalla lunghezza del documento originario. L’impronta è una sorta di “riassunto” del documento.


345°&%4ooO?A?=0A?IUkjkks_:_>$£...

.

La funzione di Hash

Una funzione molto utilizzata a questo scopo è nota con il nome di SHA (Secure Hash Algorithm) che, nella versione SHA-1, produce un'impronta lunga 160 bit, qualunque sia la dimensione del documento di partenza. In accordo con gli orientamenti UE, la versione SHA-1 è in procinto di essere sostituita dalla versione SHA-256, così indicata per richiamare il fatto che produrrà una impronta della lunghezza di 256 bit.

L’algoritmo della funzione di Hash applicato a documenti diversi genera impronte diverse. Anzi, ricalcolando la funzione di Hash su uno stesso documento dopo aver subito anche una minima e insignificante modifica, la nuova impronta che gli corrisponde è vistosamente diversa.

Prima

345°&%4ooO?A?=0A?IUkjkks_:_>$£.... Dopo

€76kiux//jkd32&&<_-.:;;@opèòàè998


La funzione di Hash

L’algoritmo della funzione di Hash è a senso unico

(one way) cioè non è in alcun modo possibile

ottenere il documento originale utilizzando la

sua impronta.

Un buon algoritmo di Hash deve ridurre al minimo la possibilità di collisione, cioè per cui due diversi

documenti producono la stessa impronta.


345°&%4ooO?A?=0A?IUkjkks_:_>$£....

345°&%4ooO?A?=0A?IUkjkks_:_>$£....

345°&%4ooO?A?=0A?IUkjkks_:_>$£....

La funzione di Hash

L’impronta digitale di un lungo documento è naturalmente di dimensioni molto più ridotte rispetto al documento stesso. Se invece del documento originale viene cifrata la sua impronta, il processo risulta molto più efficiente.

Applicando quindi ad un certo documento prima la funzione di Hash, poi la cifratura con chiave privata, si ottiene sicurezza e non ripudiabilità dello stesso documento.

L’impronta criptata con la chiave privata dell’autore del documento costituisce la firma digitale (come disciplinata dal Dlgs 82/2005).

Va precisato però che ciò che adesso denominiamo firma digitale non è esattamente lo stesso oggetto identificato nel CAD. Alla nostra “firma digitale”, come vedremo, manca ancora qualcosa per avere tutte le caratteristiche richieste dal CAD.


345°&%4ooO?A?=0A?IUkjkks_:_>$£....

Riconoscere i dispositivi di firma

L’obbligo espresso nel CAD riguardante l’utilizzo di un dispositivo di firma sicuro - o Secure Signature Creation Device (SSCD) - per tutte le operazioni di sottoscrizione dei documenti (oltre alla generazione delle chiavi) è tassativo, altrimenti i documenti informatici sottoscritti non sono validi e rilevanti a tutti ali effetti di legge, cioè non hanno il valore legale degli atti per i quali la legge prescrive la forma scritta e in particolare, non saranno accettati dalla PA in sostituzione dei documenti cartacei con sottoscrizione autografa.

L’articolo 1 del DPR 8 febbraio 1999 (le “regole tecniche") stabilisce che si intende:

…

d) per “dispositivo di firma”, un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali.


Riconoscere i dispositivi di firma

La caratteristica programmabile solo all’origine significa che nel dispositivo di firma devono essere inserite delle informazioni successivamente non modificabili. Si tratta di una caratteristica comune a tutte le carte a microprocessore. Nella sua forma più comune un dispositivo di firma è costituito da una smart card (carta intelligente), un tesserino di plastica delle dimensioni standard di una carta di credito, provvisto di un microprocessore e di una certa quantità di memoria.

Un dischetto o una pen drive non possono essere dei dispositivi sicuri di firma perché non hanno il requisito della programmabilità, una caratteristica dei microprocessori. Inoltre, anche per la generazione delle firme occorre un’unità di elaborazione dati affinché la generazione della firma avvenga all’interno di un dispositivo di firma così che non sia possibile l’intercettazione del valore della chiave privata utilizzata. Dunque occorre un dispositivo intelligente e per di più programmabile solo all’origine.


Secur Signature Creation Device (SSCD)

È il dispositivo in cui viene generata la coppia di chiavi asimmetriche e successivamente utilizzato per custodire la chiave privata.

La caratteristica peculiare di un dispositivo di firma sicuro risiede nel fatto che la chiave privata, una volta generata, non può essere esportata al suo esterno.


La Smart Card a supporto della crittografia

La smart card a microprocessore, grazie alle caratteristiche di protezione dei dati intrinseche del microchip e alla presenza di un coprocessore crittografico che gli consente di eseguire le principali funzioni crittografiche on-board, si propone come mezzo adeguato a proteggere le chiavi private.

Un token è un dispositivo fisico necessario per effettuare un’autenticazione. Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato a batteria con autonomia nell’ordine di qualche anno, dotato di uno schermo e talvolta di una tastiera numerica. Alcuni token possono essere collegati ad un computer tramite una porta USB per facilitare lo scambio di dati. Un token è tipicamente un generatore di numeri pseudocasuali a intervalli regolari (nell’ordine di poche decine di secondi) secondo un algoritmo .


La Smart Card a supporto della crittografia

L’autenticazione è data dal fatto che per generare la password temporanea corretta è necessario:

– possedere lo specifico token che in un dato istante, genera lo stesso numero pseudocasuale generato dal server di autenticazione

– conoscere la password di partenza con cui il numero va combinato.

Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza dovrebbe non solo indovinare quella valida (cosa che presuppone la conoscenza dell’algoritmo, dei valori che lo influenzano e anche della password nota all’utente) per il particolare istante, ma dovrebbe anche usarla prima che essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza.


I dispositivi HSM (Hardware Security Module)

In questa fase iniziale di applicazione del CAD nella quale gli utenti non sono ancora troppo numerosi tali procedure sono ragionevolmente gestibili in termini di efficacia, economia e sicurezza. Ma quando invece gli utenti (che operano in ambienti assai eterogenei) diverranno significativamente più numerosi, l'uso di questi "tradizionali" strumenti di firma potrebbe rivelarsi problematico oltre che costoso. In questa prospettiva si configura sempre più validamente l'adozione di soluzioni di firma remota.

Per firma remota si intende un'operazione di apposizione di firma elettronica eseguita tramite una chiave privata custodita non su un dispositivo locale conservato dall'utente (come la smart card), ma collocata all'interno di un dispositivo remoto HSM (Hardware Security Module).

Come autenticarsi però con sicurezza su un dispositivo hardware posto forse a centinaia di chilometri di distanza? Due delle modalità più conosciute che consentono di ottenere una firma remota qualificata sono l'autenticazione CID (Caller IDentifier) e l'autenticazione OTP (One Time Password).



L'autenticazione CID (Caller IDentifier) si effettua utilizzando il proprio telefono cellulare. L'utente avvia la procedura di firma del documento ma, prima di immettere la password statica del proprio account di firma remota, telefona al provider del servizio il quale identifica la provenienza della chiamata dal numero di telefono (Caller IDentifier). Verificata la corrispondenza del numero chiamante, preventivamente associato all'utente in fase di registrazione, il sistema autorizza l'operazione di firma digitale. L'utente immette la propria password statica e l'operazione di firma viene conclusa. La certezza dell'autenticazione è garantita dall'incastro di due fattori complementari: "qualcosa che ho "( il numero di telefono custodito sulla SIM che solo l'utente possiede) e "qualcosa che so" (la password statica che solo l'utente conosce). Questo tipo di autenticazione viene anche definito "Call drop" o "Call truncation" perché la telefonata viene troncata dal server senza avviare una risposta evitando così di generare costi telefonici.



L'autenticazione OTP (One Time Password) richiede invece che l'utente possieda un dispositivo hardware OTP e quindi utilizzi, oltre che una password statica, anche una password dinamica che "resta in vita" solo per poche decine di secondi, procedura questa già largamente conosciuta e diffusa per chi opera in home banking.


Il tablet di firma (firma grafometrica o biometrica)

La firma grafometrica è un particolare tipo di firma elettronica avanzata che si ottiene firmando letteralmente con una penna elettronica su uno strumento hardware detto "tablet di firma" (una tavoletta grafica ad alta sensibilità).

Il "vantaggio psicologico" di questa tipologia di firma elettronica avanzata è dato dal fatto che l'utente firma manualmente come ha sempre fatto e, grazie al cosiddetto "ink effect", l'operazione di firma e l'effetto finale visualizzato sulla tavoletta e sul campo firma del documento è del tutto simile ad una tradizionale apposizione di firma su un documento cartaceo. Si potrebbe essere portati a pensare che la firma così catturata possa essere qualcosa di simile ad una banale scansione dell'originale ma non è così. Un particolare software rileva ed archivia le caratteristiche calligrafiche quali velocità di scrittura, pressione esercitata, inclinazione della penna, accelerazione del movimento, conteggio di momenti di "non contatto" della penna elettronica sullo schermo durante il gesto della firma. La registrazione di questi parametri consente quindi di "legare" la firma, così apposta, all'individuo. Completata la firma l'utente può decidere di accettarla premendo con la penna un pulsante di OK sulla tavoletta o di ripeterla annullando l'operazione. Se l'utente accetta il documento è compiutamente firmato e si presenta sullo schermo con la firma visibile nell'apposito campo con un rassicurante "effetto carta". Se i firmatari sono più di uno, l'operazione si ripeterà tante volte quanti sono i sottoscrittori.


Il tablet di firma (firma grafometrica o biometrica)

Sul documento informatico vengono così registrate informazioni sia statiche che dinamiche. L'immagine della firma viene posta su un livello visibile, mentre i dati grafometrici, non visibili, vengono crittografati e legati all'impronta del documento. La crittografia dei dati grafometrici avviene attraverso l'utilizzo della chiave pubblica, la quale è legata alla propria corrispondente chiave privata conservata in dispositivi hardware ad elevata sicurezza. L'operazione di verifica consente di accertarne sia la provenienza, sia che il documento non sia stato modificato successivamente all'atto dell'apposizione della firma.


Firme forti e firme deboli

La prima distinzione che incontriamo è quella fra firme "deboli" e firme "forti".

Le cosiddette firme deboli (firma elettronica) consentono di ricondurre in qualsiasi forma dei dati elettronici, ad esempio una firma a stampa, ad un soggetto, ma non assicurano l'integrità del documento stesso. Il documento è liberamente valutabile in giudizio, tenendo conto delle sue caratteristiche oggettive di qualità e sicurezza.

Le cosiddette firme forti (firma elettronica avanzata, firma elettronica qualificata e firma digitale) sono quelle per cui il firmatario non può disconoscere semplicemente la sottoscrizione se non a querela di falso. Garantiscono l'identità dell'autore e l'integrità del documento firmato.


Firma elettronica autenticata

Si ricorda inoltre la firma elettronica autenticata secondo l'art. 25 del CAD. L'autenticazione della firma elettronica, anche mediante l'acquisizione digitale della sottoscrizione autografa o di qualsiasi altro tipo di firma elettronica avanzata consiste nell'attestazione da parte del pubblico ufficiale (ad esempio, un notaio) che la firma è stata apposta in sua presenza dal titolare - previo accertamento della sua identità personale della validità dell'eventuale certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l'ordinamento giuridico. L'apposizione della firma digitale da parte del pubblico ufficiale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente. Questa firma è equiparata, ai fini di legge, alla sottoscrizione autenticata dal notaio o da altro pubblico ufficiale. Si tratta del procedimento di firma considerato in assoluto più sicuro.


Riconoscere le diverse tipologie di firme 1. Per Firma Elettronica si intende l’insieme dei dati in forma elettronica, allegati oppure connessi tramite

associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica. Conferiscono un certo livello di autenticazione ai dati elettronici: password, PIN, digitalizzazione della firma autografa, ecc.

2. Per Firma Elettronica Avanzata si intende l’insieme di dati in forma elettronica, allegati oppure connessi ad un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

3. Per Firma Elettronica Qualificata si intende un particolare tipo di firma elettronica avanzata che si basa su un certificato e realizzata mediante un dispositivo sicuro per la creazione della firma.

4. Per Firma digitale si intende un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

5. Per Firma elettronica autenticata si intende l'attestazione da parte del pubblico ufficiale che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale della validità dell'eventuale certificato elettronico utilizzato.


Il valore legale della differenti firme in giudizio


Firma Elettronica avanzata Firma Elettronica qualificata

Firma Digitale Firma Elettronica autenticata

Firma Elettronica

Firma Forte Firma Debole

Firma Pesante Firma Leggera

Firma 5.1 (europeo) Firma 5.2 (europeo)

Valore probatorio del documento informatico sottoscritto con firma elettronica

L'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni:

a. il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del 13 dicembre 1999 del Parlamento europeo e del Consiglio, ed è accreditato in uno Stato membro;

b. il certificato qualificato è garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui alla medesima direttiva;

c. il certificato qualificato, o il certificatore, è riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali.


Valore probatorio del documento informatico sottoscritto con firma elettronica

Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.


Ripudio e disconoscimento

Dobbiamo distinguere tra “non ripudiabilità” in senso tecnico e “disconoscimento” ai fini processuali

In senso tecnico la non ripudiabilità deriva dal fatto che, essendo il titolare il solo soggetto che dispone della chiave privata e del codice che attiva la procedura, nessun altro può avere apposto quella firma. Il Certificatore è garante dell’attribuzione sicura della chiave pubblica che verifica la firma.

Il disconoscimento della firma digitale processualmente può risolversi o nella prova che la firma è stata apposta da un soggetto che si è impossessato, all’insaputa del titolare, del dispositivo e del codice di attivazione, o nella prova che il Certificatore ha agito con negligenza o in malafede.


Le funzioni dell'Agenzia per l'Italia Digitale e dei Certificatori

La procedura di certificazione consiste nell'identificazione certa di un determinato soggetto e nell'indissolubile abbinamento ad esso di un insieme di dati, rilevabili tramite un procedura informatica, in grado di determinare, in modo inequivocabile, l'attribuzione ad esso della sottoscrizione elettronica di un documento.

Il Certificatore è il soggetto che presta servizi di certificazione delle firme elettroniche o altri servizi connessi. Possono essere inquadrati come:

•Certificatori in genere o semplici

•Certificatori qualificati

•Certificatori accreditati



Il Certificatore in genere o semplice svolgono il servizio di certificazione di firme elettroniche. Per svolgere questa attività non occorrono formalità o autorizzazione preventive, è previsto che il Certificatore sia in possesso dei medesimi requisiti di onorabilità richiesti a chi svolge funzione di amministrazione, direzione e controllo presso istituti di credito. Il successivo accertamento dell'inesistenza o del venir meno di questo requisito comporta il divieto di proseguire l'attività di certificazione.



Il Certificatore qualificato deve possedere i requisiti previsti dal Codice (tra l'altro, dimostrare affidabilità organizzativa, tecnica e finanziaria; impiegare personale in possesso di conoscenze, esperienze e competenze specifiche, essere dotato di sistemi hardware e software in grado di garantire la sicurezza tecnica e crittografica dei procedimenti; prevedere adeguate misure volte ad impedire la contraffazione dei certificati) e prima di iniziare l'attività, deve darne comunicazione all'Agenzia per l'Italia Digitale. Questa categoria di Certificatori rilascia certificati qualificati, detti così perché devono contenere alcune informazioni qualificanti obbligatorie quali, ad esempio, l'indicazione che si tratti di un certificato qualificato, il numero di serie, l'identità del certificatore, l'identità del titolare del certificato, l'indicazione del periodo temporale di validità del certificato emesso..



Il Certificatore accreditato, ai sensi dell'art. 29 del D. Lgs. 235/2010, è l'Ente in possesso dei più elevati requisiti di qualità e sicurezza. Per essere accreditati infatti, oltre che possedere i requisiti del Certificatore qualificato, occorre presentare apposita istanza all'Agenzia per l'Italia Digitale, allegare il profilo professionale del personale responsabile della generazione dei dati per la creazione e la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati, possedere sistemi hardware e software in grado di garantire l'elevata qualità continuativa del servizio, nonché dimostrare (se il richiedente è un soggetto privato), di poter disporre di un capitale sociale non inferiore a quello necessario per le attività bancarie. La domanda si considera accolta se non è rigettata nel termine di novanta giorni; all'accoglimento consegue l'iscrizione del richiedente in un apposito elenco pubblico. L'accreditamento è sotto il controllo e la garanzia dello Stato.

I Certificatori accreditati possono rilasciare certificati digitali validi per le sottoscrizioni di istanze e dichiarazioni inviate per via telematica alla PA che è obbligata ad accettare i documenti firmati digitalmente.



La responsabilità civile del certificatore è disciplinata dall’art. 30

il certificatore che rilascia al pubblico un certificato qualificato o che garantisce l’affidabilità del certificato è responsabile (è una responsabilità extracontrattuale, ai sensi degli artt. 2043 e

seguenti c.c.), se non prova di aver agito senza colpa o dolo del danno cagionato.

Il Certificato qualificato garantisce

l’esattezza e la completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio

l’identità del firmatario: al rilascio del certificato il firmatario detiene i dati per la creazione della firma corrispondenti ai dati per la verifica di essa riportati o identificati nel certificato



E prevista la possibilità di usare, anche sul certificato qualificato, uno pseudonimo in luogo del nome del titolare ma corre l'obbligo di qualificarlo come tale ed il certificatore ha l'obbligo di

conservare per almeno venti anni le informazioni relative alla reale identità del titolare

Il Certificatore che rilascia certificati qualificati è responsabile verso i terzi dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o della sospensione del

certificato

Il certificatore limita la sua responsabilità per i certificati qualificati emessi, se segnala su di essi, in modo riconoscibile dai terzi, i limiti d’uso o il valore limite dei negozi giuridici per cui può

essere usato il certificato stesso e li evidenzi chiaramente nel processo di verifica della firma.

Il titolare è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri e a custodire ed utilizzare il dispositivo di firma (l’hardware ed il software utilizzati per apporre la firma elettronica su un documento informatico) con la diligenza del buon padre di

famiglia (art. 32 che riprende il principio generale dell’art. 1227 c.c.).



Il Certificatore deve revocare o sospendere il certificato qualificato emesso:

• in esecuzione di un provvedimento dell’Autorità Amministrativa o Giudiziaria,

• su richiesta del titolare o del terzo dal quale derivano i poteri del titolare,

• in presenza di cause limitative della capacità di agire del titolare o di abusi o falsificazioni,

• nei casi previsti dalle regola tecniche di cui all’art. 71.

La revoca o la sospensione del certificato qualificato ha effetto dal momento della pubblicazione attestato mediante adeguato riferimento temporale.


Aspetti giuridici

Non è appropriato l’utilizzo della firma digitale come sistema di semplice identificazione in rete. La firma digitale è necessaria e utile nel momento in cui si deve sottoscrivere una dichiarazione ottenendo la garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al sottoscrittore, al pari del documento cartaceo sottoscritto con firma autografa

La garanzia che il documento informatico, dopo la sottoscrizione non possa essere modificato in alcun modo in quanto, durante la procedura di verifica, eventuali modifiche sarebbero riscontrate; la certezza che solo il titolare del certificato possa aver sottoscritto il documento perché non solo possiede il dispositivo di firma (smart card/token USB) necessario, ma è anche l’unico a conoscere il PIN necessario per utilizzare il dispositivo stesso, unite al ruolo del certificatore che garantisce la veridicità e la correttezza delle informazioni riportate nel certificato, conferiscono alla firma digitale caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale. Nella PA il potere di firma nel documento Informatico da parte del funzionario che ne ha titolarità, dovrà essere esercitato mediante la firma digitale.


Esempi tipici di utilizzo

Nella PA il potere di firma nel documento informatico da parte del funzionario che ne ha titolarità, dovrà essere esercitato mediante la firma digitale.

Denunce, dichiarazioni di cambi di residenza, di domicilio, richieste di contribuii, di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, ecc.

Fra privati può trovare un interessante impiego nella sottoscrizione di contratti, verbali di riunioni, ordini di acquisto, risposte a bandi di gara, ecc.

La firma digitale trova già da tempo applicazione nel protocollo informatico, nella procedura di archiviazione documentale, nel mandato informatico di pagamento, nei servizi camerali, nelle

procedure telematiche d’acquisto, ecc.


Il valore legale della differenti firme in giudizio

La normativa conferisce dignità giuridica anche alle firme deboli.

Queste possono essere generate senza vincoli sugli strumenti e sulle modalità operative; non sono definibili tecnologicamente a priori e non offrono garanzie di interoperabilità se non in particolari condizioni di utilizzo come, ad esempio, in gruppi chiusi di utenti. Infatti, in questo caso, la comunità di utenti condivide gli strumenti di firma e di verifica della stessa.

Un giudice non potrà rifiutare in giudizio le firme deboli, ma la loro ammissibilità nascerà dalla sua libera convinzione e non dall'obbligo di legge previsto per la firma digitale.

Le firme deboli ("5.2" in terminologia europea) assumono quindi un rilievo probante e non, come per le firme "forti" ("5.1" in terminologia europea) probatorio.

Le firme deboli hanno valore legale, se con ciò si intende l'opponibilità a terzi in sede civile. Del resto il documento stesso costituisce un mezzo di prova come un altro.

Se però per valore legale si intendono la validità e rilevanza ad ogni effetto di legge, allora no.

Soltanto la firma digitale soddisfa il requisito legale della forma scritta e fornisce certezza dell'identità del firmatario.


Firma digitale ed e-commerce

La firma digitale non è necessaria per le attività di compravendita di beni e servizi. In particolare, la firma digitale non è necessaria per fare acquisti in rete.

In pratica, la firma digitale è necessaria per dare piena validità agli atti digitali che richiedono la forma scritta. Dove la forma dell’atto è libera, la firma digitale è superflua.



Differenza tra firma autografata e firma digitale

Firma autografa Firma digitale

Creazione manuale mediante algoritmo di creazione

Apposizione la firma è parte integrante del

documento e a esso legata

attraverso il supporto fisico

il documento firmato è costituito

dalla coppia documento più

firma. La firma è indisso-

lubilmente legata al contenuto

del documento

Verifica Diretta e soggettiva.

Si fa un confronto con una

firma autenticata.

Metodo insicuro

Indiretta e oggettiva.

Si applica un algoritmo di verifica

pubblicamente noto e c’è la

garanzia del Certificatore.

Metodo sicuro

Falsificazione Facilmente falsificabile, ma il

falso è riconoscibile

Non falsificabile senza conoscere

la chiave privata, ma il falso è

irriconoscibile

Documento copia distinguibile indistinguibile

Validità temporale illimitata limitata

Automazione dei

processi

non possibile possibile

Caratteristiche della validità temporale

I certificati hanno una durata limitata in genere da 1 a 3 anni.

Con la scadenza del certificato cessa la validità dei relativi documenti firmati digitalmente, anche quando il documento dovrebbe mantenere la sua validità per un periodo più lungo. In questo caso, sorge l'esigenza di prorogare la validità del documento oltre la data di scadenza del certificato.

Secondo l’art. 60 delle regole tecniche, la proroga della validità di un documento dopo la scadenza del certificato si ottiene con l’apposizione periodica di marche temporali, la prima apposta prima della scadenza del certificato, le successive prima della scadenza della precedente marca temporale. La marcatura temporale si ottiene anche in altri modi:

– con la Posta Elettronica Certificata, in fase di conservazione

– con il Protocollo informatico.



Come mai le firme digitali e le marche temporali sono sottoposte a scadenza? La risposta e semplice: è un problema di sicurezza.

Marca temporale e firma digitale si basano entrambe su funzioni matematiche della crittografia asimmetrica. Un eventuale usurpatore che volesse violare il documento, cercherà di forzarne la cifratura attraverso metodi analitici o attraverso la cosiddetta forza bruta, cioè provando tutte le combinazioni possibili di chiave fino a trovare quella giusta.

Per chiavi asimmetriche RSA (algoritmo di crittografia, Rivest, Shamir e Adleman) di lunghezza pari a 1024 bit, il periodo necessario a forzare il sistema crittografico è stimato in diverse decine di anni. I certificatori, in generale non emettono certificati con validità superiore all’anno, massimo tre anni.



La norma è chiara: L’apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.

La collocazione nel tempo del documento informatico è realizzata mediante la validazione temporale, definita giuridicamente come il risultato della procedura informatica, con cui si attribuisce, a uno o più documenti informatici, un riferimento temporale opponibile ai terzi.

Supponiamo di dover conservare un documento con firma digitale per un lungo periodo, superiore alla durata del certificato con cui è stato emesso. Una volta superato tale periodo di validità, bisognerà dimostrare che la sottoscrizione digitale è avvenuta prima di tale scadenza. La normativa consente di risolvere il problema con altri sistemi oltre alla marcatura temporale: la Posta Elettronica Certificata e per la pubblica amministrazione, il Protocollo informatico.

La marca temporale è definita dal legislatore come un’evidenza informatica che consente la validazione temporale.


Schema del processo di marcatura

• l’impronta del documento viene inviata al servizio di marcatura temporale; in questo modo la marcatura può essere effettuata senza compromettere la confidenzialità del contenuto

• il servizio di marcatura aggiunge all’impronta ricevuta la data e l’ora, ottenendo una impronta marcata

• l’impronta marcata è firmata digitalmente con la chiave Privata del servizio, ottenendo la marca temporale da cui è possibile recuperare, mediante la chiave pubblica del servizio, l’impronta del documento, la data e l'ora della sua generazione

• la marca temporale viene inviata al richiedente il quale la allega al documento

Il file marcato temporalmente ha estensione .M7M.

Tra la richiesta della validazione e la generazione della marca non deve trascorrere più di un minuto e il riferimento deve essere molto preciso: le Regole tecniche (artt. 55 e 58) specificano che l’ora assegnata deve riferirsi alla scala del tempo internazionale UTC (Tempo Universale Coordinato) con l’approssimazione massima di un secondo.


1m

Processo di marcatura

La marca temporale attesta esclusivamente che il documento esisteva nel momento in cui è stata generata la marca e non che è stato firmato in quel momento. Se per il procedimento in corso è indispensabile attestare con certezza il momento di apposizione della firma digitale, la marcatura temporale deve essere contestuale con il processo di sottoscrizione.

La norma stabilisce che (art. 50, DPCM 13 gennaio 2004): Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a cinque anni ovvero, su richiesta dell’interessato, per un periodo maggiore, alle condizioni previste dal certificatore e che: La marca temporale è valida per l’intero periodo di conservazione a cura del fornitore del servizio.

Il periodo di validità della marca temporale è quindi gestibile nel rapporto tra l’interessato e il certificatore e può essere prolungato utilizzando, ad esempio, chiavi di marcatura temporale di lunghezza pari a 2048 bit.



Processo di firma e marcatura Vediamo come apporre ad un documento una marca temporale contestualmente alla firma digitale. Ovviamente, preventivamente, abbiamo provveduto ad acquistare un lotto di marche temporali. Il costo di una marca è di € 0,50 ma si dimezza se il lotto è grande.


Processo di firma e marcatura Selezioniamo la funzione di firma

Selezionare il documento firmare


Processo di firma e marcatura

l software controlla la smart card e chiede il pin

Il programma di effettuerà un’anteprima del documento su cui apporrà la firma per consentirci di verificare che sia quello giusto



Confermiamo l’operazione, si apre la finestra MARCA TEMPORALE con la richiesta del pin e del formato

Inseriamo i dati e confermiamo la richiesta, in pochi secondi l’operazione è conclusa


Processo di firma e marcatura L’operazione è andata a buon fine ed ora disponiamo del documento firmato e marcato

temporalmente denominato Condizioni Contrattuali.pdf.m7m.

Selezioniamo il file Condizioni Contrattuali. pdf.m7m per verificarlo

Verifichiamolo



Verifichiamo la firma

Verifichiamo la marca temporale

Validità almeno ventennale per le marche temporali e firma digitale sempreverde.

Sono due delle importanti novità contenute nel DPCM 30 marzo 2009 pubblicato nella Gazzetta Ufficiale di sabato 6 giugno, abroga precedente DPCM 13 gennaio 2004.

Il nuovo decreto semplifica e attualizza il quadro normativo di riferimento sulle regole tecniche in materia di generazione, apposizione e verifica delle firme digitali.


Marca temporale

Il previgente quadro normativo prevedeva che le marche temporali fossero conservate in un apposito archivio informatico non modificabile per un periodo non inferiore a cinque anni. Inoltre, subordinava la validità delle stesse al solo periodo di conservazione a cura del fornitore del servizio, vale a dire che, superati i cinque anni, i documenti “marcati temporalmente” rischiavano di non avere più la stessa rilevanza civilistica/fiscale.

L’articolo 49 del nuovo DPCM risolve la criticità, disponendo che tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio non modificabile per un periodo non inferiore a venti anni ovvero, su richiesta dell’interessato, per un periodo maggiore, alle condizioni previste dal certificatore.


Firma digitale

Un limite della firma digitale riguardava la validità dei documenti informatici nel tempo, nel senso che, essendo la firma digitale subordinata alla validità (solitamente triennale) di uno specifico certificato qualificato, alla scadenza di quest’ultimo i documenti rischiavano di non essere più validi.

Per ovviare a tale problema, occorreva apporre sui documenti informatici una marca temporale prima della scadenza del certificato qualificato di firma; così facendo, si protraeva nel tempo la validità del documenti stessi.

Nel Dpcm 30/3/2009 è ora disposto che la firma digitale, anche se il relativo certificato qualificato risulti scaduto, revocato o sospeso, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma in un momento precedente alla scadenza, sospensione o revoca del certificato.

In pratica, se dopo aver firmato digitalmente un documento vi apponiamo anche una marca temporale, renderemo la firma digitale valida nel tempo.


Le vulnerabilità della firma digitale

• Il processo di generazione della firma digitale non può essere considerato sicuro in modo assoluto, poiché il PC utilizzato per generare l’impronta del documento da firmare è potenzialmente insicuro.

• Il rischio concreto è che il PC possa ottenere dalla smart card una firma su un documento diverso da quello visualizzato sullo schermo ed effettivamente scelto dall’utente. L’utente potrebbe non essere consapevole dell’esistenza di un siffatto documento, pertanto la vulnerabilità è considerata molto grave.

• I documenti incorporino macro-istruzioni o codice eseguibile (si pensi ad esempio alle macro dei documenti Word, oppure al codice JavaScript dei documenti PDF). Il problema è che un documento contenente istruzioni non è statico, nel senso che la visualizzazione del suo contenuto potrebbe dipendere da tali istruzioni.

• Si immagini ad esempio a un contratto con la data o un importo che cambino in funzione della data di visualizzazione o stampa del documento stesso (un metodo suggerito è di utilizzare il formato PDF/A o le immagini).


Le vulnerabilità della firma digitale

L’utente che firma un documento cartaceo esprime un consenso sulla base di quello che vede. Da qui nasce il WYSIWYS (What You See Is What You Sign – quello che vedi e quello che firmi).

II documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma non produce gli effetti di cui all’articolo 10, comma 3, del testo unico (ora art. 21 comma 2 del Codice dell’Amministrazione Digitale) se contiene macroistruzioni o codici eseguibili tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.


Riconoscere ed impostare i diversi tipi di formato

Il nostro ordinamento prevede l'utilizzo di tre formati per produrre file firmati digitalmente

firma digitale in formato PKCS#7

firma digitale in formato PDF

firma digitale in formato XML (EXTENSIBLE MARKUP LANGUAGE)


Il formato PKCS#7

È il primo formato, in uso dal 1999. Questo formato, meglio noto come P7M, è quello previsto dalla normativa vigente sull’interoperabilità della firma digitale.

Il P7M è stato l'unico formato accettato dalla PA e a oggi è ancora l’unico che la PA accetta automaticamente.

Adesso la PA accetta anche PDF ma, per potere scambiare documenti pdf firmati con una PA è necessario che essa comunichi ufficialmente tale possibilità, anche sul proprio sito web.


Il formato PDF

Il formato PDF è di larga diffusione e di immediata fruibilità (il software di lettura è scaricabile gratuitamente da Internet e di facile utilizzo) e risponde ai requisiti tecnico e giuridici per poter trasportare firme digitali al suo interno.

Con deliberazione del CNIPA n. 4/2005 il 16 Febbraio 2006 è stato sottoscritto un protocollo d’intesa tra Adobe System Inc. e i CNIPA al fine di introdurre nel nostro ordinamento la possibilità di utilizzare il formato di firma definito nelle specifiche PDF, uno standard la cui gestione in applicazioni sviluppato a tale scopo non obbliga al pagamento di royalty.


Il formato PDF

Un verificatore di firma gratuito e diffusissimo

Accesso immediato e semplice al documento firmato

Gestione di firme multiple

I campi firma

WYSISYS

Interoperabilità internazionale

Controllo implicito della dinamicità del documento

Possibilità di associare una marca temporale alla firma

PDF: una soluzione completa


Il formato PDF/A-1

Stante l’attuale disposto normativo non è più ammesso l’utilizzo del formato TIF, quale alternativa al formato PDF/A.

Il formato PDF/A-1 è regolato dallo standard ISO 19005-1 per la conservazione a lungo termine dei documenti elettronici e rispondente ai requisiti previsti dallo standard internazionale richiesti dal decreto.

Può essere generato utilizzando diversi prodotti software, sia gratuiti, sia con licenza d’uso a pagamento: Adobe Acrobat Professional, Microsoft Office, OpenOffice, ecc.

Garantisce che il documento sia visualizzabile sempre allo stesso modo, anche a distanza di tempo. Lo standard PDF/A è suddiviso in due parti ma solo il PDF/A-1 è approvato. Il PDF/A-1 è a sua volta suddiviso in due livelli:

• PDF/A-1a = massimo richiesto dallo standard

• PDF/A-1b = minimo richiesto dallo standard (incluso nel PDF/A-1 a).


Il formato PDF/A-1

La verifica di un documento in formato PDF/A si ottiene tramite prodotti specializzati come Adobe Acrobat 9 Professional, che esegue la verifica di conformità del documento alle specifiche dello standard di formato ISO 19005 definite.

Dopo aver aperto il documento PDF, la funzione di verifica viene attivata selezionando il link presente nella sezione “Informazioni PDF” del documento stesso. Il risultato della verifica viene fornito come “stato”.


Confronto tra formati di archiviazione


Il formato XML

La deliberazione CNIPA n.34/2006 recante “Regole tecniche per la definizione del profilo di busta crittografica per la firma digitale in linguaggio XML” ha introdotto nel nostro ordinamento il formato di firma basato sul linguaggio Xml, molto diffuso in settori come quello bancario e sanitario.


Attrezzarsi per la firma digitale

Per dotarsi del kit per la firma digitale, bisogna rivolgersi ad un Certificatore autorizzato. L’elenco è disponibile sul sito dell’Agenzia per l’Italia Digitale alla pagina http://digitpa.gov.it/certificatori_firma_digitale.

Il Certificatore provvede a consegnare un dispositivo sicuro per la generazione delle firme (una smartcard con lettore o token USB) e il software per gestire il dispositivo e per la generazione di firme digitali.

Il costo del kit varia da Certificatore a Certificatore, da 36 € in su.

Il certificato (anche più di uno) ha una scadenza, e deve essere rinnovato periodicamente. In genere hanno validità da uno a tre anni, dipende dal certificatore. Il rinnovo ha un costo orientativo di poche decine di Euro.


Apporre la firma digitale (P7M)

La firma digitale può essere apposta a un documento utilizzando l’apposito software di firma fornito dal Certificatore nel dispositivo oppure utilizzando uno dei tanti software disponibili.

Naturalmente è necessario disporre di un computer connesso a internet e del dispositivo di firma.

Dopo aver attivato il software di firma ci verrà richiesto di selezionare il documento da sottoscrivere e di inserire la propria smart card (o token usb o altro dispositivo) nel lettore.

Si digiterà il codice PIN e dopo qualche secondo potremo salvare un file sottoscritto e pronto per essere utilizzato.

Il file sottoscritto con firma digitale conserva il suo nome originale, al quale viene aggiunta l’estensione .p7m, ad esempio, contratto.pdf.p7m.


Verifica della firma digitale (P7M)

La procedura di verifica della firma digitale apposta ad un documento informatico consiste nel verificare che:

il documento non sia stato modificato dopo la firma

il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori

il certificato del sottoscrittore non sia scaduto

il certificato del sottoscrittore non sia stato sospeso o revocato.

Anche per la procedura di verifica della firma digitale si può usare il software del proprio Certificatore o altro disponibile anche gratuitamente ad esempio nel sito dell’Agenzia per l’Italia Digitale.

Per eseguire la verifica non è necessario il dispositivo di firma, basta un computer ed il software. Tuttavia per verificare anche l’eventuale revoca o sospensione del certificato, serve il collegamento ad internet.


Saper apporre la firma digitale (PDF)

Per poter sottoscrivere digitalmente documenti in formato pdf è necessario disporre del dispositivo sicuro (smart card o token USB) con un prodotto software in grado di processare e produrre file PDF contenenti firme digitali conformi alle specifiche ISO 32000.

Naturalmente, si possono utilizzare i prodotti Acrobat (versioni Professional e Reader) per l’apposizione e la verifica di firme digitali.

In questo caso, bisognerà installare l’add-on gratuito rilasciato da Adobe Systems Italia e scaricabile dal sito http://www.adobe.com/it/security/italiandigsig.html. indispensabile per predisporre correttamente l’Adobe Reader e l’Adobe Acrobat per la fruizione delle firme digitali nel pieno rispetto della normativa vigente.



L’add-on installato aggiunge due pulsanti alla barra degli strumenti del Reader e dell’Acrobat.


Il primo pulsante serve per scaricare da internet e installare nel Reader o nell’Acrobat l’Elenco Pubblico dei Certificatori Accreditati al CNIPA.

Il secondo pulsante è utilizzato solo in fase di verifica.


Ora bisognerà procedere con il riconoscimento della smart card che utilizzeremo per firmare i documenti: aprire il gestore di certificati digitali del Reader scegliendo dalla barra dei menu Documento → Impostazioni di protezione.

Si aprirà la finestra Impostazioni di protezione.



Dalla finestra Impostazioni di protezione selezioniamo ID digitali → Moduli e TOken PKCS#11 e poi il pulsante Aggiungi modulo per ricercare nelle cartelle le librerie della smart card caricate al momento dell’installazione del kit acquistato. Tali librerie si trovano normalmente nella cartella C:\WINDOWS\system32 e devono essere selezionate per indicare ad Acrobat o al Reader il tipo di smart card che si sta utilizzando.



Si tratta di file .dll il cui nome ci è comunicato dal nostro Certificatore: ad esempio nella figura seguente viene selezionato ed utilizzato il file incryptoki2.dll.



I dati selezionati, in particolare il nome della smart card e il percorso utilizzato per far riferimento alla libreria, vengono riportati sulla finestra impostazioni di protezione.



Adesso con un doppio clic sulla voce Moduli e token PKCS#11 visualizziamo il token nel quale sono memorizzate le nostre credenziali di firma: chiave privata e certificato.

Dopo aver effettuato doppio click sul token in questione e inserito il PIN della smart card le nostre credenziali di firma verranno automaticamente ritrovate dal Reader o dall’Acrobat e inserite nell’elenco degli ID digitali.



Per apporre firme con Adobe Acrobat a documenti pdf:

• Aprire il documento con Acrobat e alla barra degli strumenti Firma selezioniamo la voce Apponi firma

• Inserire la smart card nel lettore e, dopo aver cliccato sul pulsante ok nel messaggio che viene proposto, si tracci nel documento il riquadro che conterrà la firma

• Nella finestra Firma documento selezionare il certificato di firma all'interno del campo ID digitale e inserire, all’interno del campo Password, il PIN

• Per produrre file conformi alla normativa vigente è indispensabile che in questa fase venga selezionato il certificato di firma, recante la dicitura Firma documento

Una volta inserito il PIN e cliccato sul pulsante Firma il documento verrà firmato e salvato e la procedura di firma è completata.



Per apporre firme con Adobe Acrobat a documenti pdf:

• Aprire il documento con Acrobat e alla barra degli strumenti Firma selezioniamo la voce Apponi firma




Se il documento contiene uno o più campi firma vuoti contraddistinti dal simbolo in figura, si inserisce la smart card nel lettore e si fa clic sul campo firma per procedere.


La procedura di verifica è molto semplice.

Aperto il documento si localizzano le sue firme che contengono al loro interno il nome del firmatario e un simbolo rappresentante l’esito della verifica.

Facendo clic sopra la firma, si apre la finestra Stato convalida firma che rappresenta una sintetica situazione della verifica.

Facciamo clic sul pulsante Proprietà firma … per accedere alla omonima finestra.




Ricaviamo le seguenti informazioni:

• il documento non è stato modificato dopo la firma

• il certificato del sottoscrittore è garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori

• il certificato del sottoscrittore non è scaduto

• il certificato del sottoscrittore non è stato sospeso o revocato

Apporre una marca temporale

Il servizio di marcatura temporale consente di associare, quando si ritiene necessario, a uno o più documenti informatici un riferimento temporale digitale opponibile ai terzi.

Il riferimento temporale opponibile a terzi può essere ottenuto anche attraverso l’utilizzo della posta elettronica certificata, dalla segnatura di protocollo ed attraverso la procedura di conservazione documentale.

Il riferimento temporale può essere generato con qualsiasi sistema che garantisca stabilmente uno scarto non superiore a un minuto secondo rispetto alla scala di Tempo Universale Coordinato (UTC), determinata ai sensi dell’articolo 3, comma 1, della legge 11 agosto 1991, n. 273.

C’è la possibilità di marcare temporalmente un intero lotto di documenti utilizzando una sola marca temporale e quindi con una unica, semplice e veloce operazione: basta apporre la marca all’impronta del documento in cui si è provveduto a inserire le singole impronte dei documenti costituenti l’intero lotto.

FD – Apporre una marca temporale

La Posta Elettronica Certificata (PEC)

La posta elettronica è uno dei principali strumenti di comunicazione sia nel mondo del lavoro sia in ambito privato: è semplice, immediato, accessibile, efficace, flessibile.

Purtroppo però la posta elettronica è carente nelle comunicazioni che hanno valore legale.

La posta elettronica certificata (PEC) è un sistema di posta elettronica predisposto proprio per superare questi inconvenienti e può quindi essere utilizzata in qualsiasi contesto nel quale sia necessario avere prova opponibile dell’invio e della consegna di un documento elettronico.

Esattamente come la tradizionale raccomandata con ricevuta di ritorno.

PEC - La Posta Elettronica Certificata


La PEC ha caratteristiche ancora più interessanti della raccomandata:

la conoscibilità certa della casella mittente e quindi del titolare, mentre non è tracciato colui che spedisce una raccomandata

la possibilità di legare in maniera certa e opponibile la trasmissione con il documento trasmesso, tale possibilità è preclusa con la raccomandata



Un’importante caratteristica della PEC è quella di essere adatta

tanto a uno scambio tra individui

quanto a quello tra applicazioni.

Da un punto di vista pratico,

sarà necessario consultare la casella PEC quotidianamente,

dal momento che per il destinatario eventuali termini di scadenza decorrono dal momento in cui il messaggio è stato depositato nella sua casella di PEC e non da quando lo avrà letto.



I gestori del servizio PEC, iscritti nell’apposito elenco pubblico gestito dall’Agenzia per l’Italia Digitale, svolgono il ruolo di garante per le fasi di invio e di consegna di un messaggio.

Possono svolgere il ruolo di gestori

sia le aziende private, con capitale sociale non inferiore a un milione di euro,

sia Pubbliche Amministrazioni, purché presentino regolare domanda di accreditamento presso l’Agenzia per l’Italia Digitale.

l’Agenzia per l’Italia Digitale valuta i requisiti di onorabilità, l’adeguatezza del personale, i processi atti a garantire la sicurezza dei dati e delle trasmissioni, l’esperienza, la solidità dell’infrastruttura

e dei servizi.


Responsabilità dell’Agenzia per l’Italia Digitale

La normativa attribuisce all’Agenzia per l’Italia Digitale diverse responsabilità:

• È custode e gestore delle regole tecniche e provvede al loro aggiornamento

• Gestisce l’elenco pubblico dei gestori di PEC

• Valuta le domande presentate da coloro che si candidano al ruolo di gestori di PEC

• Fornisce agli iscritti i certificati per la firma elettronica delle ricevute e per l’accesso

• Riceve tutte le modifiche in ordine all’assetto societario, alle caratteristiche del servizio, alle procedure adottate, e della continuità di funzionamento e di sicurezza

• Svolge il ruolo di vigilanza e controllo sulle attività esercitate dai gestori iscritti

• A tal riguardo emette circolari esplicative e di indirizzo, acquisisce informazioni, esegue test di interoperabilità del sistema di gestione della PEC

• Gestisce il sito www.lndicePA.gov.it che contiene la struttura organizzativa delle amministrazioni, gli Uffici di protocollo (AOO - Aree Organizzative Omogenee), le caselle di posta elettronica ufficiali e le caselle di PEC


http://www.lndicepa.gov.it/







Responsabilità dell’Agenzia per l’Italia Digitale

Nello svolgimento delle proprie attività il CNIPA si relaziona agli altri organismi quali

Autorità per la concorrenza e il mercato

Autorità garante per la privacy

Autorità giudiziaria

Altre istituzioni interessate per materia


Livelli di servizio

Almeno fino a 50 destinatari

Dimensione massima del messaggio 30 Mb

Disponibilità del servizio nel quadrimestre uguale al 99,8%

Durata massima di ogni evento di indisponibilità del servizio inferiore o uguale al 50% nel quadrimestre

La ricevuta di accettazione del messaggio deve essere fornita al mittente entro un termine

Ogni gestore di PEC descrive nel manuale operativo, soluzioni tecniche ed organizzative sui servizi di emergenza


Manuale operativo

Conterrà le regole generali , le procedure seguite dal gestore di posta elettronica e …

a) i dati identificativi del gestore

b) l’indicazione del responsabile del manuale stesso

c) i riferimenti normativi necessari per la verifica dei contenuti

d) l’indirizzo del sito web del gestore ove è pubblicato e scaricabile

e) l’indicazione delle procedure nonché degli standard tecnologici e di sicurezza utilizzati dal gestore nell’erogazione del servizio

f) le definizioni, le abbreviazioni e i termini tecnici che in esso figurano

g) una descrizione sintetica del servizio offerto

h) la descrizione delle modalità di reperimento e di presentazione delle informazioni presenti nei log dei messaggi


Manuale operativo

i) l’indicazione del contenuto e delle modalità dell’offerta da parte del gestore

j) l’indicazione delle modalità di accesso al servizio

k) l’indicazione dei livelli di servizio e dei relativi indicatori di qualità di cui all’art. 12 del decreto del Ministro per l’innovazione e le tecnologie 2 novembre 2005

l) l’indicazione delle condizioni di fornitura del servizio

m) l’indicazione delle modalità di protezione dei dati dei titolari

n) l’indicazione degli obblighi e delle responsabilità che ne discendono, delle esclusioni e delle eventuali limitazioni, in sede di indennizzo, relative ai soggetti previsti all’art. 2 del decreto del Presidente della Repubblica n. 68/2005


Il piano per la sicurezza

a. una descrizione delle procedure utilizzate nell’erogazione del servizio (attivazione dell’utenza e organizzazione del servizio di posta elettronica certificata), con particolare riferimento ai problemi attinenti alla sicurezza, alla gestione dei logfile e alla garanzia della loro integrità

b. una descrizione dei dispositivi di sicurezza installati

c. una descrizione dei flussi di dati

d. l’indicazione della procedura di gestione e conservazione delle copie di sicurezza dei dati

e. l’indicazione della procedura da seguire al verificarsi di possibili guasti di grande rilevanza che determinino l’arresto del servizio (occorre precisare i tipi di guasti per i quali sono state previste delle soluzioni: calamità naturali, dolo, indisponibilità prolungata del sistema, o altri eventi) e descrizione delle soluzioni proposte per farvi fronte, con informazioni dettagliate circa i tempi e le modalità previste per il ripristino

f. un’analisi dei rischi (occorre precisare le possibili tipologie di rischio: dolo, infedeltà del personale, inefficienza operativa, inadeguatezza tecnologica, o altro)

g. una descrizione delle procedure per la gestione dei rischi di cui al punto precedente (occorre precisare i tempi di reazione previsti e i nomi dei responsabili tenuti ad intervenire)


Il piano per la sicurezza

h. una dettagliata indicazione dei controlli previsti (occorre indicare, se è previsto, il ricorso periodico a ispezioni esterne)

i. l’indicazione della struttura generale e della struttura logistica dell’organizzazione e delle relative modalità operative

j. una sommaria descrizione dell’infrastruttura di sicurezza per ciascun immobile di cui si compone la struttura

k. una breve descrizione dell’allocazione degli impianti informatici, dei servizi e degli uffici collocati negli immobili che fanno parte della struttura

l. l’indicazione delle modalità di tenuta dei log dei messaggi

m. una descrizione della procedura di accesso ai log dei messaggi da parte del personale del gestore

n. una descrizione del sistema di riferimento temporale e della marca temporale adottata

o. una descrizione dei sistemi adottati per garantire la riservatezza e l’integrità delle trasmissioni di messaggi mediante il sistema.


Segnalazioni urgenti all’Agenzia per l’Italia Digitale

I gestori hanno l’obbligo di comunicare all’Agenzia i disservizi contraddistinti da uno dei seguenti codici: 1A, 1B, 2A, 2B, 3A, 3B, secondo quanto riportato TABELLA A.

Il gestore è tenuto ad informare l‘Agenzia dell’evento occorso, entro trenta minuti dalla rilevazione dell’evento stesso.

Nel caso di comportamento anomalo e non circoscritto (codici 1A e 1B), il gestore è tenuto a sospendere il servizio.

Ove il gestore coinvolto non attivi l’autosospensione, l’Agenzia dispone la sospensione del servizio. Nel caso di comportamento anomalo e circoscritto (codici 2A e 2B), il CNIPA può

disporre la sospensione del servizio per il gestore coinvolto.


Tabella A – Classificazione dei disservizi 1. Comportamento anomalo e non circoscritto: comportamento difforme dalle regole tecniche, relativo alle

funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale non è circoscritto il potenziale impatto (codice 1A, se rilevato dal gestore; codice 1B, se rilevato da terzi).

2. Comportamento anomalo circoscritto: comportamento difforme dalle regole tecniche, relativo alle funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale è circoscritto il potenziale impatto (codice 2A, se rilevato dal gestore; codice 2B, se rilevato da terzi ).

3. Malfunzionamento bloccante: tipologia di malfunzionamento a causa del quale le funzionalità del sistema di PEC non possono essere utilizzate in tutto o in parte dagli utenti (codice 3A, se rilevato da gestore; codice 3B, se rilevato da terzi).

4. Malfunzionamento grave: tipologia di malfunzionamento a causa del quale in alcune circostanze le funzionalità del sistema di PEC non possono essere utilizzate in tutto o in parte dagli utenti (codice 4A, se rilevato dal gestore; codice 4B, se rilevato da terzi).

5. Malfunzionamento: situazione a causa della quale le funzionalità del sistema di PEC in tutto o in parte, risultano degradate ovvero il sistema ha un comportamento anomalo in situazioni circoscritte per funzionalità secondarie (esclusi: la procedura di identificazione, i messaggi originari, le ricevute, gli avvisi e le buste) (codice 5A, se rilevato dal gestore; codice 5B, se rilevato da terzi).


Il ruolo degli attori

l’utente mittente, è colui che invia un documento informatico

l’utente destinatario, è colui a cui è destinato l’oggetto dell’invio

il gestore del mittente, il soggetto che eroga il servizio PEC al mittente

il gestore del destinatario, il soggetto che eroga il servizio PEC al destinatario

la rete di comunicazione, è tipicamente internet

il documento informatico, è l’oggetto dell’invio.


Inviare una PEC

Il mittente predispone l’oggetto dell’invio, che può essere qualsiasi tipo di documento informatico, ad esempio un testo, un’immagine, un programma e così via.

si fa riconoscere dal sistema di PEC del proprio gestore secondo le modalità da questi previste: utilizzando tipicamente user-id / password oppure, con maggiori livelli di sicurezza, le smart card.

Avvenuto il riconoscimento, il mittente, utilizzando il proprio client di posta elettronica o, in alternativa, un web browser, predispone il messaggio di PEC e lo invia, come è abituato a fare.

A seguito dell’invio, il messaggio non va direttamente al destinatario ma viene gestito dal sistema di PEC del mittente che provvede a effettuare una serie di controlli.

In caso di criticità il messaggio non viene inoltrato verso il destinatario e il mittente riceve una ricevuta, con firma digitale del proprio gestore di PEC, contenente l’informazione che l’invio non

ha avuto luogo e le relative motivazioni.


Inviare una PEC

Il gestore mittente provvede a imbustare il messaggio del mittente, a firmarlo digitalmente per garantire l’inalterabilità del messaggio del mittente e a inviare la busta al gestore del destinatario.

Il gestore del destinatario effettua i propri controlli per verificare che il messaggio provenga da un gestore PEC iscritto nell’apposito elenco e che durante il transito il messaggio non sia stato

alterato o attaccato da virus.

il gestore del destinatario deposita il messaggio nella casella del destinatario e provvede a inviare la ricevuta di avvenuta consegna al mittente con la sua firma digitale per conferire validità

giuridica alla ricevuta.

La ricevuta attesta che il messaggio inviato dal mittente è stato depositato nella casella del destinatario e inoltre può evidenziare anche il contenuto dell’invio. Il messaggio si intende

consegnato quando il gestore lo rende disponibile nella casella di posta elettronica certificata del destinatario e non quando viene letto.



Inviare una PEC

I messaggi della PEC

I sistemi di PEC generano messaggi cifrati con lo standard intenazionale S/MIME e si articolano in 3 categorie:

• RICEVUTE

• Ricevuta di accettazione

• Ricevuta di presa in carico

• Ricevuta di avvenuta consegna: o Completa o Breve o Sintetica

• AVVISI

• Avviso di non accettazione

• Avviso di mancata consegna

• Avviso di rilevazione di virus informatici

• BUSTE

• Busta di trasporto

• Busta di anomalia


I messaggi della PEC: Ricevute

• ricevuta di accettazione

• ricevuta di presa in carico

• ricevuta di avvenuta consegna

– la ricevuta completa di avvenuta consegna contiene in allegato il messaggio originale e i dati di certificazione del gestore destinatario.

– la ricevuta breve di avvenuta consegna contiene in allegato i dati di certificazione del gestore destinatario e il testo del messaggio originale. Eventuali file allegati risulteranno ‘sintetizzati’ nei rispettivi Hash

– la ricevuta sintetica di avvenuta consegna contiene in allegato soltanto i dati di certificazione del gestore destinatario.


I messaggi della PEC: Avvisi

• avviso di non accettazione per eccezioni formali ovvero per virus informatici

• avviso di rilevazione di virus informatici

• avviso di mancata consegna per superamento dei tempi massimi previsti ovvero per rilevazione di virus informatici


I messaggi della PEC: Buste

• busta di trasporto

• busta di anomalia


La busta di trasporto è consegnata inalterata nella casella PEC di destinazione per permettere la verifica dei dati di certificazione da parte del ricevente

La PEC è un sistema di trasporto

Mediante il servizio di PEC è possibile spedire qualunque tipo di documento prodotto con strumenti informatici, anche sottoscritto con firma digitale. In particolare, la casella PEC da un punto di vista tecnico, è utilizzabile come una normale casella di posta elettronica.

È preferibile tuttavia utilizzare la PEC solo nelle comunicazioni che richiedono la certificazione delle fasi di invio e ricezione del messaggio e degli eventuali allegati, come ad esempio l’invio di documentazione ad una Pubblica Amministrazione.

Nel caso in cui la trasmissione di un messaggio sia andata a buon fine, il mittente riceve nella propria casella due ricevute:

• la ricevuta di accettazione, da parte del proprio gestore

• la ricevuta di avvenuta consegna, da parte del gestore del destinatario

Nel caso in cui una ricevuta di consegna venisse innavvertitamente cancellata, oppure smarrita, il titolare può rivolgersi al proprio gestore che per norma è tenuto a tenere per 30 mesi l’archivio delle operazioni svolte (log).


Punti di forza

Certificazione avvenuta consegna del messaggio

Possibilità di allegare al messaggio qualsiasi tipologia di documento digitale

Archiviazione da parte del gestore di tutti gli eventi per 30 mesi

Semprlicità di trasmissione, inoltro, riproduzione, archiviazione e ricerca

Economicità di trasmissione, inoltro, riproduzione, archiviazione e ricerca

Possibilità di invio a più destinatari contemporaneamente

Tracciabilità della casella mittente e quindi del titolare

Velocità di consegna

Consultazione della casella PEC da qualsiasi computer connesso ad internet

Elevati requisiti di qualità e continuità

Applicazione delle procedure atte a garantire la sicurezza e la privacy dei dati personali



Valore aggiunto della PEC PEC Email FAX Raccomandata A/R

Valore legale ○ ○

Certezza della consegna ○ ○ ○

Certezza identità mittente ○ ○

Velocità e semplicità ○ ○

Utilizzo da ogni luogo ○ ○

Certezza del contenuto ○ ○

Tracciabilità della casella mittente ○

Costi contenuti ○ ○

Punti di forza

Punti di forza

I soggetti interessati ai vantaggi derivanti dall’uso della PEC: la PA, la business community, il cittadino

Riduzione dei tempi, delle pratiche e delle voci di spesa relative, dei contenziosi in merito alla ricezione e invio di documenti

Utilizzare la PEC con i propri fornitori, clienti, partner, canali di vendita ecc., per comunicazioni sia di tipo economico (fatture) e/o di tipo giuridico (contratto)

Le aziende potranno inviare alla Camera di Commercio le comunicazioni sociali partecipare a bandi di gara, richiedere atti e certificati, ecc

Il cittadino potrà risparmiare e accedere facilmente ai dati per la consultazione, l’archiviazione, la ricerca dei documenti e potrà interagire con la PA e gestire i rapporti con le aziende erogatrici di

servizi


Valore legale

Il servizio di PEC produce le certificazioni a valore legale attestanti l’invio e la consegna di un messaggio, solo se entrambi gli interlocutori dispongono di caselle PEC.

Qualora da una casella di PEC si spedisca un messaggio a un destinatario che non ha una casella di PEC, il mittente resterà senza la ricevuta di avvenuta consegna rilasciata dal gestore del destinatario. Del resto, in questa circostanza, il gestore del destinatario non esiste. Il mittente avrà solo la regolare ricevuta di accettazione rilasciata dal suo gestore che, da sola, non serve a nulla.

Molti utenti preferiscono bloccare le mail ordinarie, principalmente per due motivi:

• ci si protegge meglio dallo spam

• la gestione della casella di PEC è più ordinata e limitata solo a quei messaggi che richiedono le ricevute legali opponibili a terzi.


Utilizzo della PEC nella PA

La legge Finanziaria 2008 all’articolo 2 comma 589, prevede che l’Agenzia per l’Italia Digitale effettui azioni di monitoraggio e verifica, presso le pubbliche amministrazioni, delle disposizioni in materia di PEC.

Il mancato adeguamento alle disposizioni in misura superiore al 50 per cento del totale della corrispondenza inviata comporta la riduzione, nell’esercizio finanziario successivo, del 30 per cento delle risorse stanziate nell’anno in corso per spese di invio della corrispondenza cartacea.

Il Codice dell’amministrazione digitale stabilisce che i privati hanno diritto a richiedere e ottenere l’uso della PEC da parte delle amministrazioni, le quali ai sensi dell’art. 47, devono istituire almeno una casella di PEC e devono rendere disponibili gli indirizzi di PEC anche attraverso il sito web.


Ricerca di una PEC

L’utilizzo della PEC da parte della PA nei confronti dei privati deve essere esplicitamente richiesto.

L’indirizzo di PEC non può essere considerato come una residenza telematica e non esistono elenchi pubblici di indirizzi di PEC di privati., ad eccezione della pubblicazione degli indirizzi di PEC delle imprese.

Per le PA esiste un servizio denominato Indice delle Pubbliche Amministrazioni (IPA) consultabile online all’indirizzo http://www.indicepa.gov.it, che consente la ricerca per indici della PEC legata alla PA:

• per alfabeto

• per categoria

• per area geografica

• per servizio


http://www.indicepa.gov.it/









Ricerca di una PEC


Domicilio digitale del cittadino

Per facilitare la comunicazione tra PA e cittadini, a decorrere dal 1.1.2013 la legge n, 221 del 17.12.2012 rende posssibile al cittadino di eleggere ed indicare alla PA, un proprio indirizzo PEC quale proprio domicilio fiscale.

L’Anagrafe Nazionale della Popolazione Residente (ANPR), provvederà a garantire la disponibilità, in tempo reale, dei dati anagrafici delle persone fisiche, attraverso continui aggiornamenti con le anagrafi tenute dai comuni.

ANPR renderà disponibili i domicili digitali a tutte le PA ed ai gestori di Pubblici Servizi tramite accesso telematico.


Libri e centri scolastici digitali

Il collegio dei docente a partire dall’anno scolastico 2014-2015 e successivi, libri esclusivamente digitali o misti (testo cartaceo e contenuti digitali integrativi oppure contenuti digitali e digitali integrativi disponibili in rete).

Entro deiil loro limite la scuola assicura il contenuto digitale, il supporto tecnologico per la fruizione dei contenuti digitali.


Limiti della PEC

La PEC attribuisce al contenuto di una e-mail lo stesso valore di una raccomandata A.R. di tipo tradizionale.

Dato che la PEC è uno standard solo italiano, non ha l’interoperabilità con il resto del mondo e quindi tutti i vantaggi della PEC sono limitati all’ambito nazionale.

L’interoperabilità internazionale non è cosa di poco conto. Pensiamo a un esempio banale: le gare europee. Quando una Pubblica Amministrazione bandisce una gara di appalto di importo superiore a un limite minimo, a tale gara possono rispondere enti di qualsiasi stato membro dell’Unione Europea. La REM agevolerebbe di gran lunga tale libertà di partecipazione: infatti da ciascuno degli altri 26 paesi membri si potrebbe rispondere in modo rapido, economico ed efficace.


Certificati S/MIME

Una alternativa alla PEC è l'adozione dei certificati S/MIME, interoperabili con qualunque sistema e disponibili da anni anche in ambito internazionale.

MIME (acronimo di Multipurpose Internet Mail Extensions ) è uno standard per il formato di un messaggio di posta elettronica. S/MIME (Secure Multipurpose Internet Mail Extensions) è un formato basato sullo standard internazionale X.509v3, che si inserisce all’interno delle specifiche MIME.

Questo certificato consente di autenticare e verificare l’integrità dei messaggi e ne garantisce il non ripudio mediante l’utilizzo della certificazione digitale basata su crittografia asimmetrica. Per comunicare in maniera sicura con un altro soggetto è sufficiente ottenere la sua chiave pubblica con cui criptare il messaggio, in pratica si invia al destinatario il messaggio firmato digitalmente.

Si può quindi tranquillamente asserire che il protocollo S/MIME, attraverso l’utilizzo di un certificato digitale, assolve interamente a quanto richiesto e previsto dal comma 6. Il certificato assicura l’integrità del documento ed è uno standard condiviso nel mondo che garantisce compatibilità e interoperabilità.


Registered E-Mail (REM)

Una alternativa alla PEC da prendere in seria considerazione, è stata lanciata nel novembre 2006. Un progetto di standardizzazione della PEC concepita dall’ente di standardizzazione europeo ETSI (European Telecommunications Standards Institute): la Registered E-Mail - REM.

La REM rientra appieno nei requisiti indicati dalla legge 2/2009, infatti assicura la data e l’ora sia dell’invio sia della ricezione del messaggio, l’integrità delle e-mail e l’interoperabilità con analoghi sistemi internazionali.

Grazie ai cosiddetti profili di interoperabilità che ETSI sta realizzando per la REM, i domini che vorranno adeguarsi all’utilizzo di questi profili potranno scambiarsi i messaggi di REM riconoscendosi mutuamente piena validità non solo tecnica, ma anche legale laddove consentito dalla legislazione.


CEC-PAC

E’ l’acronimo di Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadini. La CEC-PAC è la PEC ma ha cambiato nome, per via di poche e significative differenze:

• è gratuita

• è riservata ai privati cittadini maggiorenni che ne fanno richiesta

• è destinata solo alle comunicazioni tra PA e cittadino, e viceversa

• la casella di posta elettronica CEC-PAC ha dimensione minima di 250MB

• prevedere la funzionalità aggiuntiva della ricevuta di presa visione da parte del destinatario

• prevede il servizio di notifica tramite e-mail tradizionale dell’avvenuta ricezione di un messaggio sulla casella CEC-PAC

• prevede il fascicolo elettronico personale del cittadino, uno spazio per la memorizzazione dei documenti scambiati con capacità minima di memorizzazione di 500 MB


Operare con la PEC

Uno dei grandi vantaggi della PEC è la semplicità d’uso.

Per inviare messaggi di PEC e per leggere quelli ricevuti, possiamo utilizzare il servizio webmail che mette a disposizione il nostro fornitore del servizio, col vantaggio di poter consultare la PEC

ovunque ci si trovi, oppure possiamo usare lo stesso cliente di posta che già utilizziamo.

Operativamente, infatti, tra la PEC e la normale e-mail non c’è alcuna differenza, salvo le ricevute che riceviamo quando spediamo il messaggio PEC.

Quando attiviamo una nuova casella di PEC, il gestore ci fornirà i parametri per accedere al pannello di controllo per configurarla e i parametri per configurare il nostro client di posta.


Dal sito http://www.pec.it selezioniamo dal menu di sinistra la voce Accesso Gestione Mail

Verrà visualizzato il pannello Gestione Mail – Posta Certificata con la richiesta dei parametri d’accesso

PEC - La Posta Elettronica Certificata Configurare la PEC

http://www.pec.it/

Si accede all’area di configurazione della casella.

Si può modificare la password


Viene offerta la possibilità di gestire in modo personalizzato la ricezione di messaggi provenienti da normali caselle e-mail non PEC. Nel caso si decidesse di accettare messaggi provenienti da caselle non PEC, il gestore offre la possibilità di attivare il servizio anti spam.


Per chi riceve molti messaggi PEC, può essere utile il servizio giornaliero di report via e-mail. All’attivazione del servizio, si riceve dal gestore la documentazione di certificazione che, in ogni caso, potremo sempre richiedere.


Si possono anche impostare delle regole per filtrare i messaggi in arrivo.


Configuriamo ora il client di posta, Outlook 2007. Dal menu Strumenti di Microsoft Outlook 2007, selezioniamo Impostazioni account , dopodiché clicchiamo sul pulsante Nuovo.

PEC - La Posta Elettronica Certificata Configurare la PEC in Outlook 2007

Con i parametri e le indicazioni fornite dal gestore, inseriamo i dati richiesti.


Esempi di invio

Invio in allegato del file Condizioni Contrattuali.pdf.m7m, in tre differenti situazioni:

1. invio da casella PEC a casella PEC

2. invio da casella PEC a casella e-mail tradizionale

3. invio da casella e-mail tradizionale a casella PEC


Invio da casella PEC a casella PEC

Il mittente riceve due ricevute

a. la ricevuta di accettazione

b. la ricevuta di consegna

Il destinatario riceve

c. il messaggio con tutte le informazioni a corredo



Il mittente riceve due ricevute a e b


Il destinatario riceve c

Invio da casella PEC a casella e-mail tradizionale

Il mittente riceve

a. la ricevuta di accettazione

Il destinatario riceve

b. il messaggio con tutte le informazioni a corredo



Il mittente riceve a


Il destinatario riceve b

Invio da casella e-mail tradizionale a casella PEC

Nella casella PEC del destinatario non arriva nulla.

Nella casella e-mail viene recapitato il messaggio.

Ciò in accordo alla particolare configurazione della casella PEC che prevede il blocco del messaggio ordinario verso la PEC e l’inoltro dello stesso verso la casella e-mail indicata.


Casi anomali

Messaggio formalmente non corretto

• Nel caso in cui l’indirizzo del destinatario sia sbagliato. Il mittente riceve dal proprio gestore un avviso di mancata consegna

Presenza virus

• Nel caso in cui il gestore del mittente rilevi la presenza di un virus nel messaggio, invia al proprio utente un avviso di mancata accettazione per virus.

• Nel caso in cui sia il gestore del destinatario a rilevare il virus, questi invia al gestore del mittente un avviso di rilevazione virus. Il Gestore mittente, alla ricezione di un avviso di rilevazione virus, invia al mittente del messaggio un avviso di mancata consegna per virus. Il gestore che intercetta il virus provvede comunque ad archiviare il messaggio.

Ritardi di consegna

• Nel caso in cui il gestore del mittente non riceve alcona ricevuta di presa in carico nelle 12 ore successive alla spedizione, invia al mittente un primo avviso di mancata consegna per superamento limiti di tempo. Superate ulteriori 12 ore il mittente riceve un secondo ed

ultimo avviso di mancata consegna. In questo caso la spedizione deve considerarsi non andata a buon fine.


Obblighi e responsabilità del gestore di posta

Il Gestore si impegna a rispettare la normativa vigente e le Regole Tecniche contenute nel Decreto Ministeriale 2 novembre 2005, in particolare a:

• garantire i livelli di servizio previsti

• assicurare l’interoperabilità con gli altri Gestori accreditati

• informare i titolari sulle modalità di accesso al servizio e sui necessari requisiti tecnici

• fornire al mittente la ricevuta di presa in carico, accettazione e di avvenuta consegna del messaggio di PEC (salvo nel caso di eventi disastrosi improvvisi)

• comunicare al Titolare della casella di PEC la mancata consegna del messaggio entro le 24 ore dall’invio (salvo nel caso di eventi disastrosi improvvisi)

• apporre su ogni messaggio un riferimento temporale, sia esso il messaggio di trasporto, una ricevuta o un avviso (salvo nel caso di eventi disastrosi improvvisi)

• apporre la relativa marca temporale ai log dei messaggi generati dal sistema



• effettuare la corretta trasmissione dal mittente al destinatario conservando l’integrità del messaggio originale nella relativa busta di trasporto (salvo nel caso di eventi disastrosi improvvisi)

• rilasciare avviso di rilevazione di virus informatici

• rilasciare avviso di mancata consegna per superamento dei tempi massimi previsti (salvo nel caso di eventi disastrosi improvvisi)

• agire nel rispetto delle norme previste dal Codice in materia di protezione dei dati personali

• adottare misure atte a evitare inserimento di codici eseguibili dannosi nei messaggi (virus)

• prevedere procedure e servizi di emergenza che assicurino il completamento della trasmissione anche in caso di incidenti (salvo nel caso di eventi disastrosi improvvisi)



• conservare i messaggi contenenti virus informatici per il periodo previsto dalla normativa

• disattivare una casella PEC dopo aver verificato l’autenticità della richiesta

• fornire informazioni sulle modalità di richiesta, reperimento e presentazione all’utente dei log dei messaggi

• utilizzare protocolli sicuri allo scopo di garantire la segretezza, l’autenticità, l’integrità delle informazioni trasmesse attraverso il sistema PEC

• comunicare tempestivamente ai propri utenti l’eventuale cessazione/interruzione del servizio

• consentire l’accesso logico e fisico al sistema alle sole persone autorizzate.


Obblighi e responsabilità del titolare di PEC

• utilizzare in modo sicuro il sistema evitando di rivelare a terzi le credenziali di accesso

• utilizzare il servizio per i soli usi consentiti dalla legge

• dare il consenso all’utilizzo dei propri dati personali ai sensi del DLgs 196/2003

• informare le persone abilitate all’utilizzo delle caselle sulle tematiche di sicurezza concernenti il loro uso onde evitare un uso non autorizzato

• adottare misure atte a evitare inserimento di codici eseguibili dannosi nei messaggi (virus)

• resta a cura del Titolare della casella di PEC la conservazione delle copie dei messaggi inviati o spediti e delle relative ricevute.


Raccomandazioni al titolare di PEC

• non utilizzare la casella di PEC per le comunicazioni usuali (come una normale casella di posta) ma limitarne l’utilizzo alle solo comunicazioni ufficiali e per gli usi consentiti dalla legge

• controllare frequentemente la casella di posta: i messaggi di PEC hanno validità legale e si intendono ricevuti dal destinatario nell’istante di deposito nella mailbox dell’utente, non nel momento in cui vengono effettivamente letti

• controllare l’occupazione della propria mailbox e procedere, eventualmente, a una cancellazione dei messaggi più vecchi in modo da evitare che la casella si riempia e i messaggi non possano essere recapitati

• custodire con diligenza la propria password e modificarla almeno ogni 6 mesi. In caso di trattamento di dati sensibili e/o giudiziari l’utente è tenuto a modificarla almeno ogni 3 mesi

• utilizzare come password una sequenza di almeno 8 caratteri alfanumerici che non contenga riferimenti agevolmente riconducibili all’incaricato in modo tale da renderne difficile l’individuazione.

• adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso e uso esclusivo del Titolare

• proteggere il proprio computer con firewall e software antivirus.


L’Amministrazione digitale - mediaartex.it · Il Codice dell'Amministrazione Digitale (D. Lgs. 7...

Documents

Transcript of L’Amministrazione digitale - mediaartex.it · Il Codice dell'Amministrazione Digitale (D. Lgs. 7...