Rev. 4.1 del 04/01/2016 - Didasko Platfom · Archiviazione Documenti Digitali 2 Premessa...

Archiviazione Documenti Digitali 1

Archiviazione Documenti Digitali

Rev. 4.1 del 04/01/2016


Premessa

L’esigenza del processo di dematerializzazione documentale diventa ogni giorno sempre più pressante per le Pubbliche Amministrazioni e le imprese. Il “countdown” dei documenti cartacei passa attraverso alcune leggi emanate di recente dalla Comunità europea sul divieto per le P.A. di scambiarsi documenti e/o comunicazioni in formato cartaceo e l’introduzione del domicilio digitale per cittadini e imprese.

Come dettato nell’Agenda Digitale promossa dalla Commissione europea, si sta accelerando sempre più per una diffusione capillare dell’ICT: ciò significa che le amministrazioni pubbliche, le imprese o i semplici cittadini avranno a disposizione strumenti che permetteranno una più immediata e veloce gestione e tracciabilità dei flussi documentali digitali.

Recentemente è stata emanata una normativa in tema di ottimizzazione della produttività del lavoro, di efficienza e trasparenza degli uffici che servono il pubblico che, unite alle modifiche apportate al Codice dell’Amministrazione Digitale (CAD), fissano standard moderni ed innovativi per imprese e Pubblica Amministrazione.

In questo contesto, è necessario che le Pubbliche Amministrazioni prendano coscienza della nuova realtà, adeguandosi ai dettami dell’Agenda Digitale. Ciò va fatto fissando come obiettivo primario l’aggiornamento del personale addetto e l’introduzione delle nuove tecnologie per conseguire, in tempi rapidi, un livello adeguato di efficienza e trasparenza della macchina pubblica.

Purtroppo, il susseguirsi di nuove leggi, norme, regolamenti, direttive ha sollevato negli addetti ai lavori non poca confusione e delle perplessità determinando condizioni di difficile fruibilità e applicabilità delle stesse.

Affinché, il processo di dematerializzazione documentale possa avvenire nei modi e nei tempi auspicati, c’è bisogno di regole chiare e standardizzate, in grado di garantire l’interoperabilità tra sistemi informativi in uso presso le diverse istituzioni pubbliche e/o private. La risultante alla problematica appena esposta è l’impiego di tecnologie ipertestuali e di sistemi di work flow, propri dell’informatica giuridica.


Disclaimer

Certipass ha predisposto questo documento per l’approfondimento delle materie relative alla Cultura Digitale e al migliore utilizzo del personal computer, in base agli standard e ai riferimenti Comunitari vigenti in materia; data la complessità e la vastità dell’argomento, peraltro, come editore, Certipass non fornisce garanzie riguardo la completezza delle informazioni contenute; non potrà, inoltre, essere considerata responsabile per eventuali errori, omissioni, perdite o danni eventualmente arrecati a causa di tali informazioni, ovvero istruzioni ovvero consigli contenuti nella pubblicazione ed eventualmente utilizzate anche da terzi.

Certipass si riserva di effettuare ogni modifica o correzione che a propria discrezione riterrà sia necessaria, in qualsiasi momento e senza dovere nessuna notifica.

L’Utenza destinataria è tenuta ad acquisire in merito periodiche informazioni visitando le aree del sito dedicate al Programma.

Copyright © 2016

Tutti i diritti sono riservati a norma di legge e in osservanza delle convenzioni internazionali.

Nessuna parte di questo documento può essere riprodotta con sistemi elettronici, meccanici o altri, senza l’autorizzazione scritta da Certipass.

Nomi e marchi citati nel testo sono depositati o registrati dalle rispettive case produttrici.

Il logo EIPASS® è di proprietà esclusiva di Certipass. Tutti i diritti riservati.


Sommario1. Digitalizzazione e archiviazione documentale..............................................................................................................4

1.1 L’archivio e i flussi documentali.............................................................................................................4

1.2 Gli “oggetti” dell’archivio digitale...........................................................................................................6

2. La dematerializzazione degli archivi.................................................................................................................................8

3. La disciplina probatoria dei documenti informatici.................................................................................................10

4. Le copie.........................................................................................................................................................................................12

5. Il sistema e i requisiti per la conservazione dei documenti informatici.........................................................14

6. Il Responsabile della conservazione...............................................................................................................................17

7. Il Manuale di conservazione................................................................................................................................................19

8. L’entrata in vigore delle nuove Regole Tecniche ed i sistemi di conservazione già esistenti. La disciplina transitoria...................................................................................................................................................................22

9. Firme Elettroniche. Storia......................................................................................................................................................23

9.1 La situazione giuridica a gennaio 2014................................................................................................23

9.2 Le firme elettroniche nell’Unione Europea............................................................................................25

9.3 Le firme nella legislazione nazionale....................................................................................................26

9.4 La firma elettronica..............................................................................................................................26

9.5 La firma elettronica avanzata...............................................................................................................27

9.6 La firma digitale...................................................................................................................................28

9.7 La firma elettronica qualificata.............................................................................................................29

9.8 Differenza tra firma digitale e firma elettronica qualificata...................................................................29


1. Digitalizzazione e archiviazione documentale

1.1 L’archivio e i flussi documentaliÈ preliminare alla trattazione dell’argomento della digitalizzazione e dell’archiviazione documentale sostitutiva, un breve cenno al concetto di ARCHIVIO.

Per archivio (definito anche Fondo) si intende il complesso organico dei documenti, prodotti o acquisiti da un soggetto giuridico nello svolgimento della propria attività, collegati tra loro da un nesso logico necessario detto “vincolo archivistico”.

L’unità di base indivisibile dell’archivio è il FASCICOLO.

Ciò significa che all’interno di un archivio non è riconosciuto il documento singolarmente inteso.

La necessità di disporre di un insieme di documenti, organizzati in fascicoli, tra essi correlati e reperibili nello stesso luogo è stata sentita da tempo remoto.

Ulpiano, noto giurista romano del 200 d.C. ebbe modo di definire già da allora l’archivio quale locus publicus in quo instrumenta deponuntur.

Tale complesso di documenti, avendo stessa natura ed essendo riconducibile ad uno stesso soggetto, richiede lo stesso tipo di considerazione e di trattamento. La scienza archivistica non rappresenta l’archivio in modo statico. Sebbene l’archivio in senso proprio costituisca un complesso unitario, al suo interno, a fini essenzialmente operativi, si individuano diverse sezioni, riconducibili alle fasi di vita dei documenti in relazione alla funzione che in un determinato momento essi assolvono. Tali fasi suddividono idealmente l’archivio in tre parti:

1. archivio corrente;

2. archivio di deposito;

3. archivio storico.

L’archivio corrente è il complesso della documentazione relativa ad affari ancora in corso, per i quali è necessario disporre della documentazione per il suo utilizzo ai fini della trattazione dei procedimenti che non sono ancora conclusi1. In tale fase, infatti, il fascicolo (che abbiamo visto essere l’unità minima indivisibile dell’archivio) è in continuo accrescimento o, per usare una terminologia un po’ più tecnica, i documenti al suo interno sono ancora in fase di sedimentazione. Gli archivi correnti perseguono quindi la duplice finalità della conservazione degli atti e della contemporanea utilizzazione degli stessi per fini amministrativi.

In riferimento alle pubbliche amministrazioni, le attività che si svolgono nell’ambito dell’archivio corrente sono le seguenti: protocollazione, classificazione e fascicolazione.

In questa prima fase assume particolare rilievo l’attività di classificazione attraverso la quale, tramite il piano di classificazione o titolario di classificazione, viene assegnato al documento protocollato un codice (o classifica, suddivisa normalmente in titoli, classi e categorie) predeterminato sulla base dell’analisi delle funzioni dell’ente, al quale deve ricondursi la molteplicità dei documenti prodotti, per organizzarne la sedimentazione ordinata all’interno dei fascicoli. Ogni amministrazione adotta un proprio titolario a seconda delle proprie esigenze dettate dalle tipologie documentarie che compongono l’archivio.

Pertanto, tutti i documenti, una volta protocollati e classificati, andranno a confluire in un determinato fascicolo, che costituisce, come si è detto, l’unità minima indivisibile dell’archivio. Il fascicolo informatico

1 Il riferimento specifico è agli archivi delle Amministrazioni Pubbliche, sebbene i principi siano comunque di carattere e di applicabilità generale.


può contenere aree a cui hanno accesso solo l’amministrazione titolare e gli altri soggetti da essa individuati.

Il fascicolo, a sua volta, può contenere al suo interno altre sezioni denominate sotto-fascicoli.

Tale attività, detta fascicolazione, consente la riconduzione logica (e, nel caso di documenti cartacei, anche fisica) di un documento all’interno dell’unità archivistica che ne raccoglie i precedenti, al fine di mantenere vivo il vincolo archivistico che lega ogni singolo atto alla pratica relativa, così costituendo un sistema basato sull’organizzazione funzionale dei documenti in unità complesse stabili nel tempo (i fascicoli), che riflettono la concreta attività del soggetto produttore.

Al termine del procedimento o dell’affare cui si riferisce, il fascicolo si considererà “chiuso” e pronto per essere trasferito dall’archivio corrente all’archivio di deposito.

Nell’archivio di deposito confluirà, quindi, la documentazione che, pur avendo terminato la sua fase attiva e non essendo più occorrente all’espletamento dell’attività quotidiana, conserva una sua utilità dal punto di vista operativo e non è comunque ancora pronta ad essere destinata al prevalente uso culturale. In questa fase si predispongono le operazioni propedeutiche al passaggio della documentazione nell’archivio storico e si programmano gli scarti, cioè l’eliminazione del materiale ritenuto non più utile, ovvero giuridicamente significativo, alle esigenze amministrative e storiche.

La permanenza dei fascicoli nell’archivio di deposito è volta a consentire un facile accesso ai documenti relativi agli affari (procedimenti) esauriti e/o conclusi per i quali, tuttavia, non sono decorsi i termini di conservazione, che di norma, coincidono con i termini di prescrizione dei diritti cui fanno riferimento.

Decorso il periodo di conservazione, i documenti del deposito sono sottoposti alle operazioni di selezione e scarto, nonchè riordinati in vista del versamento all’archivio storico. La documentazione che viene trasferita all’archivio storico è destinata alla conservazione permanente.

Le medesime regole varranno, mutatis mutandis, per gli archivi digitali.

Anche il documento informatico dovrà essere protocollato, classificato e fascicolato. Peraltro è agevole intuire come l’accesso alla documentazione del fascicolo informatico sia di gran lunga più agevole (non sarà più necessario il reperimento fisico del fascicolo ma sarà sufficiente una semplice “interrogazione” da una postazione pc) e più sicuro, dal momento che l’accesso ai documenti in esso contenuti o ad una parte di essi può essere regolamentato secondo credenziali diversificate.

Il percorso che il documento segue in tutto il suo ciclo di vita, dalla sua acquisizione e protocollazione, sino alla sua archiviazione finale ovvero alla sua distruzione, prende il nome di flusso documentale.

Non è però sufficiente la semplice archiviazione elettronica per poter ritenere equiparato un archivio digitale ad un archivio cartaceo: ai fini della piena equiparazione giuridica sarà necessario che questa archiviazione elettronica avvenga secondo i dettami del d.lgs. 7.3.2005, n.82 (Codice dell’Amministrazione Digitale, di seguito CAD) e delle relative regole tecniche di cui si parlerà nel prosieguo.

È innegabile che la dematerializzazione dei documenti di un archivio presenti innumerevoli vantaggi. Tra questi:

• notevole risparmio sui costi legati agli archivi cartacei;

• eliminazione delle problematiche legate alla conservazione fisica dei documenti originali;

• risparmio sui costi del personale addetto all’archivio;

• soluzione delle problematiche relative alla potenziale pericolosità degli ambienti (incendi, allagamenti, ecc);

• possibilità di accesso immediato ai documenti, anche da parte di più utenti magari posti in luoghi fisici


molto distanti tra loro, evitando inutili duplicazioni;

• ricerche più veloci e quasi sempre efficaci al 100%;

• risparmio di costi legato alle spese di spedizione;

• eliminazione delle problematiche relative alla dispersione delle informazioni.

1.2 Gli “oggetti” dell’archivio digitaleDa un punto di vista normativo, gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi dell’articolo 71 del CAD2.

Con esclusivo riferimento alle Pubbliche Amministrazioni - fermi restando gli obblighi relativi all’utilizzo dei documenti informatici e, quindi, degli archivi informatici (divenuta ormai la regola, in ossequio a quanto disposto dall’art.40 del CAD, secondo cui “le pubbliche amministrazioni formano gli originali dei propri documenti con mezzi informatici”) – in riferimento agli archivi cartacei già esistenti, esse valutano, in piena discrezionalità e in termini di rapporto tra costi e benefici, il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la conservazione e provvedono, in caso di scelta in tal senso, alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, sempre nel rispetto delle regole tecniche di cui innanzi.

Ciò che prima dell’entrata in vigore del CAD costituiva l’eccezione, adesso è la regola, tanto che con regolamento sono individuati i documenti che possono essere redatti in originale anche su supporto cartaceo. In realtà vi sono alcuni documenti che devono essere redatti in originale su supporto cartaceo: il riferimento è agli originali unici e, in particolare, ad una categoria di questi individuata con D.P.C.M. 21.3.20133.

Il documento analogico originale unico è quel documento cui non è possibile risalire al suo contenuto nemmeno utilizzando altri documenti o scritture. Per tale tipologia documentaria permane l’obbligo della conservazione dell’originale cartaceo oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi apposta e firmata digitalmente, sempre nel rispetto delle regole tecniche di cui all’art. 71 del CAD.

A titolo di esempio si possono citare i Decreti del Presidente del Consiglio dei Ministri, i decreti ministeriali e interministeriali, gli atti amministrativi da adottarsi nella forma del decreto del Presidente della Repubblica, ai sensi della legge 12 gennaio 1991, n. 13 e i Decreti dirigenziali e direttoriali. Tuttavia, il predetto DPCM 21.3.2013, individua alcuni documenti analogici originali unici per i quali permane comunque l’obbligo della conservazione dell’originale cartaceo, indipendentemente dalla loro conservazione in modalità digitale. Essi sono:

1. atti contenuti nella Raccolta ufficiale degli atti normativi della Repubblica;

2. atti giudiziari, processuali e di polizia giudiziaria per i venti anni successivi;

3. opere d’arte;

4. documenti di valore storico-artistico, ivi compresi quelli in possesso delle Forze armate;2 Art.71 CAD (Regole Tecniche): “1.Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l’innovazione, di concerto con i Ministri competenti, sentita la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, ed il Garante per la protezione dei dati personali nelle materie di competenza, previa acquisizione obbligatoria del parere tecnico di DigitPA.

1-bis (abrogato)

1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita’ ai requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell’Unione europea.

3 Recante “Individuazione di particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico, ai sensi dell’art. 22, comma 5, del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni”.


5. documenti, ivi compresi quelli storico-demaniali, conservati negli archivi, nelle biblioteche e nelle discoteche di Stato, ivi compresi gli atti e documenti conservati nella biblioteca storica dell’ex Centro Studi Esperienze della Direzione Centrale per la Prevenzione e la Sicurezza Tecnica del Dipartimento del VV.F., del soccorso pubblico e della difesa civile;

6. atti notarili;

7. atti conservati dai notai ai sensi della legge 16 febbraio 1913, n. 89, prima della loro consegna agli Archivi notarili;

8. atti conservati presso gli Archivi notarili.


2. La dematerializzazione degli archiviIn realtà, già da tempo la normativa italiana consente la c.d. dematerializzazione degli archivi attraverso l’utilizzo di supporti sostitutivi del documento cartaceo.

Sin dalla fine degli anni ‘70 fu reso possibile, ad esempio, utilizzare la c.d. fotoriproduzione sostitutiva. Al riguardo l’art.25 della Legge 4.1.1968, n.154, dispone che “Le P.A. ed i privati hanno facoltà di sostituire, a tutti gli effetti, ai documenti dei propri archivi, alle scritture contabili, alla corrispondenza ed agli altri atti di cui per legge o regolamento è prescritta la conservazione, la corrispondente riproduzione fotografica anche se costituita da fotogramma negativo”. ( v. anche il d.p.c.m. 11.09.1974 e il d.p.c.m. 6.12.1996).

Successivamente l’art.2, comma 15 della L. 24.12.1993, n.537 consentì la memorizzazione anche su supporto ottico, purchè con procedure conformi alle regole definite dall’AIPA5 (vedi Delibera AIPA 28.7.1994, n.15: regole tecniche per l’uso dei supporti ottici, in seguito sostituita dalla Delibera 30.7.1998, n.24).

Di recente, l’art.6, D.P.R. 28.12.2000, n.445 (T.U. sulla documentazione amministrativa), recante “riproduzione e conservazione di documenti” (poi abrogato dal C.A.D.), consentì alla P.A. ed ai privati di sostituire, a tutti gli effetti, i documenti dei propri archivi, le scritture contabili, la corrispondenza e gli altri atti di cui per legge o per regolamento è prescritta la conservazione, con la loro riproduzione su supporto fotografico, su supporto ottico, o con altro mezzo idoneo a garantire la conformità dei documenti agli originali.

Con l’emanazione del D.Lgs. 7.3.2005, n.82 (CAD) e delle regole tecniche in materia di sistemi di conservazione (D.P.C.M. 3.12.2013), entrate in vigore il 13.4.2014, l’assetto normativo della materia può dirsi, almeno per il momento, completato.

Per quanto di interesse, è bene ricordare alcune fondamentali definizioni introdotte dal CAD:

• documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;

• documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti;

• copia informatica di documento analogico: il documento informatico avente contenuto identico a quello del documento analogico da cui e’ tratto;

• copia per immagine su supporto informatico di documento analogico: il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui e’ tratto;

• copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui e’ tratto su supporto informatico con diversa sequenza di valori binari;

• duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario;

• gestione informatica dei documenti: l’insieme delle attivita’ finalizzate alla registrazione e segnatura di protocollo, nonche’ alla classificazione, organizzazione, assegnazione, reperimento e conservazione dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell’ambito del sistema di classificazione d’archivio adottato, effettuate mediante sistemi informatici;

• originali non unici: i documenti per i quali sia possibile risalire al loro contenuto attraverso altre scritture o documenti di cui sia obbligatoria la conservazione, anche se in possesso di terzi;

• dato a conoscibilità limitata: il dato la cui conoscibilita’ e’ riservata per legge o regolamento a specifici soggetti o categorie di soggetti;

4 Recante “Norme sulla documentazione amministrativa e sulla legalizzazione e autenticazione di firme”.

5 Gli organismi pubblici con funzioni propositive e di consulenza tecnica in materia digitale, di emanazione di regole, standard e guide tecniche, che si sono avvicendati nel corso degli anni sono: l’AIPA (Autorità per l’informatica nella pubblica amministrazione), il CNIPA (Centro nazionale per l’informatica nella pubblica amministrazione), DigitPA e, da ultimo, l’AgID (Agenzia per l’Italia Digitale).


• dato delle pubbliche amministrazioni: il dato formato, o comunque trattato da una pubblica amministrazione;

• dato pubblico: il dato conoscibile da chiunque;

• disponibilità: la possibilità di accedere ai dati senza restrizioni non riconducibili a esplicite norme di legge.


3. La disciplina probatoria dei documenti informaticiCom’è agevole constatare, se in ambito analogico non sorgono particolari difficoltà ad identificare e definire l’originale e la copia, in ambito digitale la prospettiva cambia decisamente.

In primo luogo è opportuno precisare che il documento informatico, da chiunque formato, la memorizzazione su supporto informatico e la trasmissione con strumenti telematici conformi alle relative regole tecniche, sono validi e rilevanti agli effetti di legge se conformi alle disposizioni stabilite dal CAD.

L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

Tale disposizione si riferisce al mero documento informatico, vale a dire al documento privo di sottoscrizione con firma elettronica semplice o avanzata.

La formazione, la trasmissione, la conservazione, la copia, la duplicazione, la riproduzione e la validazione temporale dei documenti informatici, nonchè la generazione, apposizione e verifica di qualsiasi tipo di firma elettronica avanzata, devono invece rispettare la disciplina dettata dalle regole tecniche di cui all’art.71 del CAD.

La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle regole tecniche sulla validazione temporale.

Con le medesime regole tecniche sono definite le misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico, ferme restando le disposizioni di legge in materia di protezione dei dati personali.

Possiamo pertanto affermare che gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi del più volte ricorrente art. 71 CAD.

Il documento informatico sottoscritto con firma elettronica, invece, sul piano probatorio e’ liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Tali caratteristiche possono, ad esempio, dipendere dal tipo di formato utilizzato per la sua generazione, dal tipo di supporto sul quale è stato memorizzato, ecc.

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile6, vale a dire l’efficacia probatoria che si attribuisce alla scrittura privata.

E’ importante evidenziare che, secondo quanto dispone l’art.21, comma 3, del CAD, l’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione7. La revoca o la sospensione hanno effetto dal momento della loro pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

Pertanto, se il sottoscrittore vorrà garantirsi la validità perpetua del documento informatico sottoscritto, dovrà apporre, contestualmente alla firma, una marcatura temporale che garantirà nel tempo la validità del certificato di firma all’atto della sottoscrizione.

6 Art.2702 c.c.:La scrittura privata fa piena prova, fino a querela di falso della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.

7 La durata di un certificato elettronico è, attualmente, di tre anni.


4. Le copieUn documento analogico può essere riprodotto in copia su supporto informatico in due modi: riproducendone solo il contenuto ovvero riproducendone forma e contenuto.

Nel primo caso si avrà una copia informatica del documento analogico (il classico esempio è l’acquisizione del contenuto del documento analogico attraverso un software OCR), nel secondo caso una copia per immagine su supporto informatico di documento analogico (es. riproduzione dell’immagine da scanner).

Pertanto, le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico e i documenti informatici contenenti copia di atti formati in origine su supporto analogico sono due tipologie di copia diverse tra loro.

Per la disciplina probatoria di tali documenti occorre fare riferimento all’art.22 del CAD secondo cui:

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile8, se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. La loro esibizione e produzione sostituisce quella dell’originale;

2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell’art.71;

3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle regole tecniche di cui all’art 71 (prive, però, di attestazione di conformità) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale non è espressamente disconosciuta.

Pertanto, le copie formate ai sensi dei precedenti numeri 1, 2 e 3, sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito in riferimento ai documenti analogici originali unici di cui si è trattato innanzi.

La copia informatica di documento analogico priva di attestazione di conformità è efficace comunque a meno di espresso disconoscimento, fatta eccezione per l’ipotesi di documento appartenente ad un Pubblica Amministrazione, nel qual caso non ha alcuna efficacia giuridica, mentre i documenti informatici interni della P.A., costituenti atti amministrativi, hanno l’efficacia di scrittura privata se sottoscritti con firma elettronica avanzata.

I duplicati di documenti informatici, invece, se prodotti in conformità alle regole tecniche di cui all’art.71 del CAD, hanno il medesimo valore giuridico del documento informatico da cui sono tratti.

L’esibizione di documenti informatici contenenti copia di atti pubblici, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, se sottoscritti da parte di colui che li spedisce o rilascia, con firma digitale o altra firma elettronica qualificata, sostituisce quella dell’originale.

Al termine di queste procedure, che consentono la conservazione sostitutiva dei documenti analogici è possibile procedere con la distruzione dei medesimi, fatta eccezione per quella tipologia documentaria

8 Art. 2714 c.c.: Le copie di atti pubblici spedite nelle forme prescritte da depositari pubblici autorizzati fanno fede come l’originale. La stessa fede fanno le copie di atti pubblici originali, spedite da depositari pubblici di esse, a ciò autorizzati.

Art. 2715 c.c.: Le copie delle scritture private depositate presso pubblici uffici e spedite da pubblici depositari autorizzati hanno la stessa efficacia della scrittura originale da cui sono estratte.


rappresentata dagli originali unici, elencata nel DPCM 21.3.2013.

In questo caso occorre distinguere due ipotesi:

• nel caso di documenti analogici originali unici elencati nella prima parte della tabella A allegata al decreto, si potrà procedere alla loro distruzione solo se la loro conformità all’originale sia stata autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico9;

• nel caso di documenti analogici originali unici elencati nella seconda parte della tabella A allegata al decreto, non si potrà procedere in nessun caso alla loro distruzione.

Può però sorgere anche la necessità di produrre copie di documenti informatici su supporto analogico, in verità ipotesi abbastanza frequente nella pratica quotidiana.

In questo caso l’art. 23 del CAD dispone che le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato.

Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loro conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

Con espresso riferimento alle P.A., sulle copie analogiche di documenti amministrativi informatici può essere apposto a stampa un contrassegno, sulla base dei criteri definiti con linee guida dell’Agenzia per l’Italia digitale, tramite il quale è possibile ottenere il documento informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con sottoscrizione autografa del medesimo documento informatico.

9 Per gli archivi delle Amministrazioni Pubbliche è comunque previsto un consenso preventivo da parte della competente Sovrintendenza.


5. Il sistema e i requisiti per la conservazione dei documenti informaticiCome si è avuto modo di evidenziare in precedenza, al termine della fase attiva, il documento dovrà essere conservato in archivio (deposito). Com’è agevole intuire, la gestione informatica degli archivi presenta problematiche nuove e criticità diverse.

Anzitutto, il sistema di conservazione dei documenti informatici deve assicurare:

• l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del D.P.R. 28.12.2000, n. 445 (T.U. sulla documentazione amministrativa);

• l’integrità del documento;

• la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;

• il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del D. Lgs. 30.6.2003, n.196 (Codice in materia di protezione dei dati personali), e dal disciplinare tecnico pubblicato in allegato B a tale decreto.

Il sistema deve quindi garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti informatici, dei documenti amministrativi informatici e dei fascicoli informatici o delle aggregazioni documentali informatiche. Deve altresì assicurare, dalla presa in carico dal produttore (vale a dire il soggetto pubblico o privato titolare dell’archivio) fino all’eventuale scarto, tramite l’adozione di regole, procedure e tecnologie, la conservazione dei seguenti oggetti:

1. i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati;

2. i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati ad essi associati, contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che appartengono al fascicolo o all’aggregazione documentale.

Spicca immediatamente una prima distinzione tra l’archivio tradizionale e l’archivio informatico: l’archivio tradizionale non riconosce il singolo documento, giacchè, si è detto, l’unità minima è rappresentata dal fascicolo. Ciò non avviene, invece, nell’ambito dell’archivio informatico nel quale è, in teoria, consentito l’accesso anche al documento singolo.

Le componenti funzionali del sistema di conservazione devono altresì assicurare il trattamento dell’intero ciclo di gestione dell’oggetto conservato nell’ambito del processo di conservazione. Inoltre, il sistema di conservazione deve garantire l’accesso all’oggetto conservato, per il periodo prescritto dalla norma, indipendentemente dall’evolversi del contesto tecnologico. In tale ambito, una delle criticità più importanti è rappresentata dai formati dei documenti e dalla loro possibile obsolescenza. Il Responsabile della conservazione dovrà verificare periodicamente la leggibilità dei documenti informatici e prevedere la eventuale conversione dei formati in caso di pericolo per la leggibilità degli stessi dovuto alla evoluzione dei relativi software, i quali dovranno comunque essere il più possibile “aperti” secondo standard universali. E’ richiesto, più in dettaglio, il possesso dei seguenti requisiti: apertura, sicurezza, portabilità e supporto allo sviluppo10. Per formato si intende la modalità di rappresentazione della sequenza di bit che costituiscono il documento informatico, ed è comunemente individuato dalla sua estensione (.doc, .pdf, .tiff, .bmp, ecc.). I formati indicati dalle Regole Tecniche sulla conservazione sono i seguenti:

1. PDF - PDF/A (quest’ultimo è stato sviluppato con l’obiettivo specifico di rendere possibile la conservazione documentale a lungo termine su supporti digitali);

10 Per i dettagli, cfr. allegato 2 alle Regole Tecniche del 3.12.2013.


2. TIFF (formato immagine);

3. JPG (formato immagine);

4. Office Open XML;

5. Open Document Format (ODF);

6. XML;

7. TXT;

8. Formato Messaggio posta elettronica (standard RCF 2822 MIME).

Normalmente, i fattori da cui dipende la sicurezza di un formato sono rappresentati dal grado di modificabilità del contenuto e dalla capacità di essere immune dall’inserimento di codici maligni.

Le Pubbliche Amministrazioni indicano i formati adottati per le diverse tipologie di documenti informatici, motivando le scelte effettuate, nel manuale di gestione e nel manuale di conservazione.

Gli elenchi degli standard, delle specifiche tecniche e dei formati utilizzabili quali riferimento per il sistema di conservazione sono riportati negli allegati 2 e 3 al DPCM 3.12.2013.

Secondo le Regole tecniche in materia di sistema di conservazione, gli oggetti della conservazione sono trattati dal sistema di conservazione in pacchetti informativi, costituiti da quei “contenitori” logici che racchiudono i documenti informatici, i fascicoli informatici, le aggregazioni documentali informatiche, oppure anche i soli metadati riferiti agli oggetti da conservare.

I pacchetti informativi si dividono in:

1. pacchetto di versamento: pacchetto informativo inviato dal produttore al sistema di conservazione secondo un formato predefinito e concordato descritto nel manuale di conservazione;

2. pacchetto di archiviazione: pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento secondo le specifiche contenute nell’allegato 4 alle Regole Tecniche e secondo le modalità riportate nel manuale di conservazione;

3. pacchetto di distribuzione: pacchetto informativo inviato dal sistema di conservazione all’utente in risposta ad una sua richiesta.

Da un punto di vista gestionale il sistema di conservazione deve operare secondo modelli organizzativi esplicitamente definiti che garantiscono la sua distinzione logica dal sistema di gestione documentale, se esistente.

In buona sostanza, secondo le regole tecniche, l’archivio corrente (sistema di gestione documentale) deve essere tenuto distinto dall’archivio di deposito (e storico) e quindi dal sistema di conservazione.

Ai sensi dell’art. 44 del CAD, la conservazione può essere svolta o all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare, ovvero può essere affidata, in tutto o in parte, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche, anche accreditati come conservatori presso l’Agenzia per l’Italia digitale.

La conservazione può essere affidata ad un soggetto esterno mediante contratto o convenzione di servizio che preveda l’obbligo del rispetto del manuale di conservazione predisposto dal responsabile della stessa.

Il soggetto esterno a cui e’ affidato il processo di conservazione assume il ruolo di responsabile del trattamento dei dati come previsto dal Codice in materia di protezione dei dati personali, ferma restando la competenza del Ministero dei beni e delle attività culturali e del turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o degli archivi privati che rivestono interesse storico di particolare rilievo.


Anche per le pubbliche amministrazioni è prevista sia la realizzazione dei processi di conservazione all’interno della propria struttura organizzativa sia l’affidamento dello stesso a conservatori accreditati, pubblici o privati, di cui all’art. 44-bis, comma 1, del CAD, fatte salve le competenze del Ministero dei beni e delle attività culturali e del turismo ai sensi del d. lgs. 22.1.2004, n. 42, cui spettano poteri di vigilanza e controllo. I soggetti che invece intervengono nel sistema di conservazione sono (art.6, Regole Tecniche):

• il produttore;

• l’utente;

• il responsabile della conservazione.

I ruoli di produttore e utente sono svolti da persone fisiche o giuridiche interne o esterne al sistema di conservazione, secondo il modello organizzativo che si è inteso adottare.

Per produttore si intende la persona fisica o giuridica, di norma diversa dal soggetto che ha formato il documento, che produce il pacchetto di versamento ed è responsabile del trasferimento del suo contenuto nel sistema di conservazione. Nelle pubbliche amministrazioni, tale figura si identifica con responsabile della gestione documentale.

L’utente è invece il soggetto che ha titolo ad accedere ai documenti conservati per acquisirli, secondo le modalità definite dal sistema. Dalle Regole Tecniche viene definito quale persona, ente o sistema che interagisce con i servizi di un sistema di gestione informatica dei documenti e/o di un sistema per la conservazione dei documenti informatici, al fine di fruire delle informazioni di interesse.


6. Il Responsabile della conservazioneIl responsabile della conservazione definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia. Egli, sotto la propria responsabilità, può delegare lo svolgimento del processo di conservazione o di parte di esso ad uno o più soggetti di specifica competenza ed esperienza in relazione alle attività ad essi delegate. Tale delega e’ formalizzata, esplicitando chiaramente il contenuto della stessa, ed in particolare le specifiche funzioni e competenze affidate al delegato.

Il responsabile della gestione documentale o il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi assicura la trasmissione del contenuto del pacchetto di versamento, da lui prodotto, al sistema di conservazione secondo le modalità operative definite nel manuale di conservazione.

La figura centrale del sistema di conservazione è rappresentata, certamente, dal Responsabile della conservazione. Notevoli sono i compiti e d i relativi oneri.

Egli opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell’ufficio unico di cui all’art. 17 del CAD11, oltre che con il responsabile della gestione documentale ovvero con il coordinatore della gestione documentale ove nominato, per quanto attiene alle pubbliche amministrazioni.

In particolare il responsabile della conservazione:

• definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente;

• gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente;

• genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;

• genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;

• effettua il monitoraggio della corretta funzionalità del sistema di conservazione;

• assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità degli archivi e della leggibilità degli stessi;

• al fine di garantire la conservazione e l’accesso ai documenti informatici, adotta misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all’obsolescenza dei formati;

• provvede alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;

• adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione;

• assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite;

• assicura agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza;

11 Art. 17 CAD (estratto): Le pubbliche amministrazioni centrali garantiscono l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione definite dal Governo. A tale fine, le predette amministrazioni individuano un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, responsabile del coordinamento funzionale (…).


• provvede, per gli organi giudiziari e amministrativi dello Stato, al versamento dei documenti conservati all’archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle norme vigenti;

• predispone il manuale di conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.

Il responsabile della conservazione può, altresì, chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati che offrano idonee garanzie organizzative e tecnologiche, ovvero a soggetti a cui e’ stato riconosciuto il possesso dei requisiti di cui all’art.44-bis, comma 1, del CAD, distinti dai conservatori o dai conservatori accreditati.

Anche le pubbliche amministrazioni possono chiedere di certificare la conformità del processo di conservazione a soggetti, pubblici o privati, a cui e’ stato riconosciuto il possesso dei requisiti di cui al citato art. 44-bis, comma 1, del CAD, distinti dai conservatori accreditati.

Nelle pubbliche amministrazioni, il ruolo del responsabile della conservazione e’ svolto da un dirigente o da un funzionario formalmente designato e può essere svolto dal responsabile della gestione documentale ovvero dal coordinatore della gestione documentale, ove nominato.


7. Il Manuale di conservazioneÈ stato più volte citato il Manuale di conservazione. Il manuale di conservazione (che, precisa l’art.8 delle Regole tecniche, deve essere un documento informatico) illustra in dettaglio l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione.

Il Manuale deve riportare almeno:

n) i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;

• la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;

• la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;

• la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;

• la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;

• la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;

• la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;

• la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;

• la descrizione delle procedure per la produzione di duplicati o copie;

• i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione;

• le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali e’ previsto il suo intervento;

• le normative in vigore nei luoghi dove sono conservati i documenti.

Detto questo, esaminiamo in dettaglio il processo vero e proprio.

Il processo di conservazione sostitutiva si compone delle seguenti fasi:

• acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico;

• verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste dal manuale di conservazione e con quanto indicato all’art. 11;

• il rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla lettera b) abbiano evidenziato delle anomalie;

• la generazione, anche in modo automatico, del rapporto di versamento relativo ad uno o più pacchetti di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte,


calcolate sull’intero contenuto del pacchetto di versamento, secondo le modalità descritte nel manuale di conservazione;

• l’eventuale sottoscrizione del rapporto di versamento con la firma digitale o firma elettronica qualificata apposta dal responsabile della conservazione, ove prevista nel manuale di conservazione;

• la preparazione, la sottoscrizione con firma digitale o firma elettronica qualificata del responsabile della conservazione e la gestione del pacchetto di archiviazione sulla base delle specifiche della struttura dati contenute nell’allegato 4 alle Regole Tecniche e secondo le modalità riportate nel manuale della conservazione;

• la preparazione e la sottoscrizione con firma digitale o firma elettronica qualificata, ove prevista nel manuale di conservazione, del pacchetto di distribuzione ai fini dell’esibizione richiesta dall’utente;

• ai fini della interoperabilità (dialogo) tra sistemi di conservazione, la produzione dei pacchetti di distribuzione coincidenti con i pacchetti di archiviazione;

• la produzione di duplicati informatici o di copie informatiche effettuati su richiesta degli utenti in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico;

• la produzione delle copie informatiche al fine di adeguare il formato di cui all’art. 11, in conformità a quanto previsto dalle regole tecniche in materia di formazione del documento informatico;

• lo scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma, dandone informativa al produttore;

• nel caso degli archivi pubblici o privati, che rivestono interesse storico particolarmente importante, lo scarto del pacchetto di archiviazione avviene previa autorizzazione del Ministero dei beni e delle attività culturali e del turismo rilasciata al produttore secondo quanto previsto dalla normativa vigente in materia.

Fatto salvo quanto previsto dal d.lgs. 22.1. 2004, n. 42 (Codice dei beni culturali e del paesaggio), in ordine alla tutela, da parte del Ministero dei beni e delle attività culturali e del turismo, sugli archivi e sui singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico, i sistemi di conservazione delle pubbliche amministrazioni e i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell’Agenzia per l’Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del produttore e misure di sicurezza conformi a quelle stabilite dalle Regole tecniche.

Il sistema di conservazione deve quindi permettere ai soggetti autorizzati l’accesso diretto, anche da remoto, al documento informatico conservato, attraverso la produzione di un pacchetto di distribuzione selettiva secondo le modalità descritte nel manuale di conservazione.

Ciò naturalmente comporta che particolare attenzione deve essere rivolta alla sicurezza dei dati.

In riferimento alle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio unico di cui all’art. 17 del CAD, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del d. lgs. 30.6. 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50-bis e 51 del CAD e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette misure devono essere descritte nel manuale di conservazione.

Per quanto riguarda, invece, i soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole.


Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dagli articoli 50-bis e 51 del CAD e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale.

Anche tali sistemi di conservazione devono rispettare le misure di sicurezza previste dagli articoli da 31 a 36 del d. lgs. 30.6. 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto.


8. L’entrata in vigore delle nuove Regole Tecniche ed i sistemi di conservazione già esistenti. La disciplina transitoria.Le regole tecniche introdotte con il ridetto DPCM 3.12.2013 sono state pubblicate nella Gazzetta Ufficiale in data 12.3.2014 (G.U. n.59, S.O. n.20) e sono entrate in vigore dopo 30 giorni dalla pubblicazione.

Il regime transitorio è stato così regolamentato:

• i sistemi di conservazione già esistenti alla data di entrata in vigore del decreto dovranno essere adeguati nel termine massimo di 36 mesi dall’entrata in vigore del decreto secondo un piano dettagliato, da allegarsi al manuale di conservazione. Fino al completamento di tale processo per questi sistemi continueranno ad essere applicate le previgenti regole tecniche. Decorso tale termine si applicheranno in ogni caso le nuove regole tecniche.

• fino al completamento del processo di cui al punto precedente, restano validi i sistemi di conservazione realizzati ai sensi della deliberazione CNIPA n.11/2004, dopodiché tale deliberazione cesserà di avere efficacia.

Al Responsabile della conservazione è consentito di valutare l’opportunità di riversare nel nuovo sistema di conservazione gli archivi precedentemente formati o di mantenerli invariati fino al termine di scadenza di conservazione dei documenti in essi contenuti.


9. Firme Elettroniche. StoriaLa firma digitale è introdotta in Italia con la Legge 15 marzo 1997, n. 59, nota come “Bassanini 1” che all’articolo 15 stabilì che “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge.”. Nel 1997 era opinione diffusa che si trattasse dell’ennesimo buono proposito. La legge disponeva che le modalità di applicazione fossero stabilite, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni dalla data di entrata in vigore della legge. Nello stesso anno fu emanato il DPR 10 novembre 1997 n. 513. Il decreto prescriveva che entro centottanta giorni fossero emanate le regole tecniche attraverso uno specifico decreto della Presidenza del Consiglio dei Ministri, in seguito emanato con il DPCM 8 febbraio 1999.

Non deve stupire il ritardo di alcuni mesi nel promulgare le regole tecniche, il tema non aveva precedenti al mondo, non esistevano norme o esperienze da cui trarre spunto. Il primo certificatore accreditato fu la S.I.A. S.p.A. (Società Interbancaria per l’Automazione) il 26 gennaio 2000, dopo due anni si contavano già quattordici soggetti accreditati, i soggetti dotati di firma digitale erano poche migliaia. L’allora Autorità per l’Informatica nella Pubblica Amministrazione era investita delle attività operative: l’accreditamento e la vigilanza dei certificatori. Fin dal 2000 il legislatore comprese l’importanza rivestita dall’affidabilità di tali soggetti, imponendo il possesso di particolari requisiti societari, primo fra tutti un ragguardevole capitale sociale.

I certificatori accreditati in Italia sono oggetto di vigilanza da parte dell’organismo pubblico attualmente denominato Agenzia per l’Italia Digitale (già DigitPA e CNIPA). Tale organismo (pubblico) effettua la vigilanza Sulla base della Circolare 15 febbraio 2007, n. 52. I compiti (previsti dal CAD) assegnati all’Agenzia per l’Italia Digitale in materia di firma digitale e firma elettronica qualificata riguardano l’accreditamento e vigilanza sui certificatori che forniscono dispositivi di firma digitale e firma elettronica qualificata e la pubblicazione dell’elenco di tali soggetti. I servizi forniti dai certificatori accreditati sono accessibili a chiunque attraverso la lista dei certificatori (TSL).

Il DPR 513/97 fu abrogato e sostituito dal DPR 445/2000, il primo testo unico in materia di documentazione amministrativa.

Il legislatore europeo emanò il primo provvedimento in materia con la Direttiva 1999/93/CE, recepita in Italia con il Decreto Legislativo 23 gennaio 2002, n. 10.

L’evoluzione legislativa giunge quindi dal Decreto Legislativo 7 marzo 2005, n. 82, noto come CAD - Codice dell’Amministrazione Digitale , ancora oggi vigente, sebbene abbia subito diverse modifiche nel corso degli anni.

Anche le regole tecniche, inizialmente emanate con il DPCM 8 febbraio 1999 sono state nel tempo abrogate e sostituite dapprima dal DPCM 13 gennaio 2004, poi con il DPCM 30 marzo 2009 e, quindi, con il DPCM 22 febbraio 2013, che tratta di Firma digitale, firma elettronica qualificata e firma elettronica avanzata.

9.1 La situazione giuridica a gennaio 2014La norma di rango primario è costituita dal Decreto Legislativo 7 marzo 2005, n. 82, noto come CAD - Codice dell’Amministrazione Digitale, atto avente forza di legge, emanato a seguito della delega prevista dall’articolo 10 della legge 29 luglio 2003, n. 229 (Legge di semplificazione 2001), entra in vigore il 1° gennaio 2006. La firma elettronica è stata introdotta nel CAD per Recepire una Direttiva europea e garantirne la libera valutazione in giudizio.


Il CAD dalla data di emanazione è stato oggetto di numerose modifiche apportate dal D.lgs. 4 aprile 2006, n. 159, dal D.L. n. 185/2008, convertito in Legge n. 2/2009, dalla Legge 18 giugno 2009, n. 69 e dalla Legge 3 agosto 2009, n. 102. In seguito, è intervenuto il D.lgs. 30 dicembre 2010, n. 235, quindi il D.L. 18 ottobre 2012, n. 179 convertito con modificazioni dalla Legge 17 dicembre 2012, n. 221, infine, il D.L. 21 giugno 2013 n. 69, convertito con modificazioni dalla Legge 9 agosto 2013. Come si vedrà più avanti, il D.lgs. 235/2010 ha importanti implicazioni a proposito del disconoscimento della firma elettronica avanzata.

Anche il codice civile e il codice penale sono stati oggetto di modifiche che hanno preso atto dell’esistenza della firma digitale.

In particolare, ai documenti informatici sottoscritti con firma elettronica sono applicabili i seguenti articoli del codice civile:

Articolo 1350 - Atti che devono farsi per iscritto.

Devono farsi per atto pubblico o per scrittura privata, sotto pena di nullità:

1. i contratti che trasferiscono la proprietà di beni immobili;

2. i contratti che costituiscono, modificano o trasferiscono il diritto di usufrutto su beni immobili, il diritto di superficie, il diritto del concedente e dell’enfiteuta;

3. i contratti che costituiscono la comunione di diritti indicati dai numeri precedenti;

4. i contratti che costituiscono o modificano le servitù prediali, il diritto di uso su beni immobili e il diritto di abitazione;

5. gli atti di rinunzia ai diritti indicati dai numeri precedenti;

6. i contratti di affrancazione del fondo enfiteutico;

7. i contratti di anticresi;

8. i contratti di locazione di beni immobili per una durata superiore a nove anni;

9. i contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo indeterminato;

10. gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite dello Stato;

11. gli atti di divisione di beni immobili e di altri diritti reali immobiliari;

12. le transazioni che hanno per oggetto controversie relative ai rapporti giuridici menzionati nei numeri precedenti;

13. gli altri atti specialmente indicati dalla legge.

Articolo 2702 - Efficacia della scrittura privata.

La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.

Articolo 2703 - Sottoscrizione autenticata

Si ha per riconosciuta la sottoscrizione autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato. L’autenticazione consiste nell’attestazione da parte del pubblico ufficiale che la sottoscrizione è stata apposta in sua presenza. Il pubblico ufficiale deve previamente accertare l’identità della persona che sottoscrive

Articolo 2714 - Copie di atti pubblici.

Le copie di atti pubblici spedite nelle forme prescritte da depositari pubblici autorizzati fanno fede come


l’originale. La stessa fede fanno le copie di copie di atti pubblici originali, spedite da depositari pubblici di esse, a ciò autorizzati

Articolo 2715 - Copie di scritture private originali depositate.

Le copie delle scritture private depositate presso pubblici uffici e spedite da pubblici depositari autorizzati hanno la stessa efficacia della scrittura originale da cui sono estratte.

Nel codice penale sono stati introdotti gli articoli:

Articolo 495-bis. Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri.

Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno.

Articolo 640-quinquies. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica.

Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a se´ o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro.

9.2 Le firme elettroniche nell’Unione EuropeaIl 1° dicembre 1997 il Consiglio ha invitato la Commissione a presentare quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio relativa alle firme digitali.

Il legislatore europeo ha emanato nel 1999 la Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche.

Il legislatore comunitario si poneva obiettivi diversi rispetto al legislatore italiano (cfr. Storia), difatti nelle premesse leggiamo che “le comunicazioni elettroniche e il commercio elettronico necessitano di firme elettroniche e dei servizi ad esse relativi, atti a consentire l’autenticazione dei dati; la divergenza delle norme in materia di riconoscimento giuridico delle firme elettroniche e di accreditamento dei prestatori di servizi di certificazione negli Stati membri può costituire un grave ostacolo all’uso delle comunicazioni elettroniche e del commercio elettronico; invece, un quadro comunitario chiaro relativo alle condizioni che si applicano alle firme elettroniche rafforzerà la fiducia nelle nuove tecnologie e la loro accettazione generale; la normativa negli Stati membri non dovrebbe essere di ostacolo alla libera circolazione di beni e di servizi nel mercato interno;” ed anche che “le firme elettroniche verranno usate in svariate circostanze ed applicazioni, che comporteranno un’ampia gamma di nuovi servizi e prodotti facenti uso di firme elettroniche o ad esse collegati; la definizione di tali prodotti e servizi non dovrebbe essere limitata al rilascio e alla gestione di certificati, ma comprenderebbe anche ogni altro servizio e prodotto facente uso di firme elettroniche, o ad esse ausiliario, quali servizi di immatricolazione, servizi di apposizione del giorno e dell’ora, servizi di repertorizzazione, servizi informatici o di consulenza relativi alle firme elettroniche”.

L’obiettivo che si poneva il legislatore era ambizioso: “le firme elettroniche saranno utilizzate nel settore pubblico nell’ambito delle amministrazioni nazionali e comunitarie e nelle comunicazioni tra tali amministrazioni nonché con i cittadini e gli operatori economici, ad esempio nei settori degli appalti pubblici, della fiscalità, della previdenza sociale, della sanità e dell’amministrazione della giustizia”.

L’ambito di applicazione, sancito nell’articolo 1, stabilisce che “La presente direttiva è volta ad agevolare l’uso delle firme elettroniche e a contribuire al loro riconoscimento giuridico. Essa istituisce un quadro giuridico


per le firme elettroniche e taluni servizi di certificazione al fine di garantire il corretto funzionamento del mercato interno.”

L’errore commesso dal legislatore europeo è stato di illudersi di poter mantenere la neutralità tecnologica, illudendosi che il mercato trovasse da solo un accordo sulle tecnologie in modo da poter garantire l’interoperabilità, così come è avvenuto nell’ambito della telefonia. Ma esisteva una differenza sostanziale: nel campo della telefonia c’era un forte interesse economico a garantire la possibilità di telefonare ad utenti di altri gestori (come anche dall’estero), nel campo della firma elettronica tale interesse è inesistente, se non addirittura contrario.

Sono stati necessari anni prima che il legislatore comunitario prendesse coscienza del problema e decidesse di stabilire regole tecniche atte a garantire l’interoperabilità con l’emanazione di delle Decisioni 767/2009 e 130/2011. Tali decisioni hanno però un ambito di applicazione limitato ai documenti presentati dai prestatori di servizi, ai fini dell’espletamento delle procedure e delle formalità tramite gli sportelli unici di cui all’articolo 8 della direttiva 2006/123/CE .

Nel 2012 la Commissione ha proposto uno schema di regolamento in materia, il cui ambito di applicazione è ampio: pubbliche amministrazioni, cittadini e imprese di tutta l’Unione. I lavori presso il Consiglio sono terminati a febbraio 2014, l’entrata in vigore è prevista per l’estate dello stesso anno. Al Regolamento, che si ricorda ha valore di legge ed è vincolante, seguiranno atti implementativi della Commissione allo scopo di individuare gli elementi tecnologici necessari per garantire l’interoperabilità.

9.3 Le firme nella legislazione nazionaleIl CAD, al mese di gennaio 2014, prevede quattro tipologie di firme elettroniche:

1. Firma elettronica

2. Firma elettronica avanzata

3. Firma digitale

4. Firma elettronica qualificata

Le pubbliche amministrazioni possono utilizzare esclusivamente la firma elettronica avanzata, firma digitale, firma elettronica qualificata. Esse, sono altresì obbligate ad accettare istanze e dichiarazioni sottoscritte con Firma digitale e firma elettronica qualificata. Le pubbliche amministrazioni possono dotare i cittadini di firma digitale, ma tale firma può essere usata solo con la medesima amministrazione.

9.4 La firma elettronicaLa firma elettronica è introdotta per garantire il rispetto dell’articolo 5.2 della Direttiva 1999/93/CE, ma anche, e soprattutto, per garantire la libera valutazione in giudizio. A tale scopo, l’articolo 21, comma 1 del CAD, sancisce che “Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.”

Sulla idoneità del documento (sottoscritto o meno) a soddisfare il requisito della forma scritta, trova applicazione l’articolo 20, comma 1-bis del CAD. Nel corso degli anni si è prodotta giurisprudenza in merito che ha riconosciuto il valore probatorio di documenti informatici provvisti di firme elettroniche.

La firma elettronica è definita come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. In linea di


principio, è una firma elettronica l’autore di un documento word, il mittente di una mail, la firma a stampa, l’immagine della firma autografa. Che tali firme elettroniche riescano a superare la valutazione in giudizio è da verificare.

Il principio è riconducibile al fatto che una firma elettronica non possa essere rifiutata a priori quale elemento probatorio, ma che debba essere valutata al fine di verificarne le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

In materia di firme elettroniche “SSCD” è l’acronimo di Secure Signature Creation Device, un particolare dispositivo che contiene la chiave crittografica di firma con alte caratteristiche di sicurezza, mentre “HSM” è l’acronimo di Hardware Security Module.

9.5 La firma elettronica avanzataLa firma elettronica avanzata è definita nel CAD quale “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Occorre fare molta attenzione alla definizione che introduce direttamente gli elementi peculiari di tale tipologia di firma:

1. Consente di identificare il firmatario;

2. Connessione certa fra ogni singola firma e il rispettivo documento;

3. Garantisce il controllo esclusivo del firmatario sullo strumento di firma usato;

4. Consente di rilevare se le informazioni oggetto della firma siano state modificate.

La firma elettronica avanzata, inoltre, consente di rilevare se i dati stessi siano stati successivamente modificati.

Per quanto concerne il valore giuridico, trova applicazione il seguente articolo del CAD:

Art. 21. Documento informatico sottoscritto con firma elettronica

Comma 2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. (…).

Comma 2-bis. (…) Gli atti di cui all’articolo 1350, numero 13) del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata(…).

Deve essere sottolineato che requisito per l’applicazione dei commi precedenti è il rispetto delle regole tecniche emanate con DPCM 22 febbraio 2013. Ad una firma elettronica avanzata difforme, saranno altresì applicabili l’articolo 20, comma 1-bis e 21 comma 1.

La firma elettronica avanzata può essere fornita anche da soggetti (certificatori) non autorizzati: per decidere se adottare una soluzione di firma elettronica avanzata, è importante effettuare un’attenta analisi del rischio di disconoscimento. Il documento sottoscritto con firma elettronica avanzata, invero, può essere disconosciuto dal soggetto da cui è opposta, alla stessa stregua di un documento sottoscritto con firma autografa.

La firma elettronica avanzata non è soggetta a tecniche specifiche, pertanto le realizzazioni di soluzioni sono libere. Qualunque soluzione è quindi possibile, purché conforme alle regole tecniche e, in particolare, all’articolo 56 del DPCM 22 febbraio 2013. Per realizzare una buona soluzione di firma elettronica avanzata


non è sufficiente acquistare un tablet di firma di buona qualità (non necessariamente a colori).

Le regole tecniche impongono che le soluzioni di firma elettronica avanzata siano obbligatoriamente certificate solo per essere fornite alle pubbliche amministrazioni.

9.6 La firma digitaleLa “firma digitale” è definita nel CAD come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Un documento informatico può contenere anche più di una firma digitale.

La firma digitale è quindi caratterizzata da:

1. Quanto previsto per la firma elettronica avanzata;

2. Dall’essere basata su un certificato qualificato;

3. Dall’utilizzo di un sistema di crittografia asimmetrico.

Per quanto concerne il valore e gli effetti giuridici della firma digitale, indipendenti dal tipo di certificatore accreditato che l’abbia fornita, trova applicazione il seguente articolo del CAD:

Art. 21. Documento informatico sottoscritto con firma elettronica

Comma 2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.

Comma 2-bis. (…) le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Rispetto alla firma elettronica avanzata vi è la possibilità di utilizzare la firma digitale anche per gli atti previsti dai punti da 1 a 12 dell’articolo 1350 del codice civile.

La firma digitale del pubblico ufficiale integra e sostituisce sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.

Altra fondamentale differenza è introdotta dall’ultimo periodo del comma 2: “L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.”. La legge introduce la cosiddetta inversione dell’onere della prova: è il sottoscrittore che deve dimostrare che altri hanno avuto la possibilità di utilizzare il proprio dispositivo di firma. Tale circostanza, fatta salva l’incuria del titolare, non può tecnicamente avverarsi.

La firma digitale basata su strumenti forniti da una pubblica amministrazione accreditata non ha effetti giuridici superiori rispetto alla firma digitale basata su strumenti forniti da un soggetto privato accreditato.

La firma digitale è completamente regolata dalla normativa anche da un punto di vista tecnico, ciò consente di garantire l’interoperabilità. Il provvedimento che contiene le regole tecnologiche in materia di firma digitale, vigenti al mese di novembre 2013, sono emanate con Delibera CNIPA 45/2009.


Per dotarsi di firma digitale è possibile chiederla ad un certificatore accreditato: i soggetti privati che intendono fornire dispositivi di firma digitale devono possedere particolari requisiti societari, rispettare determinati requisiti tecnici, organizzativi e di sicurezza, accreditarsi presso l’Agenzia per l’Italia Digitale.

Per richiedere una firma digitale è sempre necessario dimostrare al certificatore accreditato la propria identità. Per sottoscrivere un documento con firma digitale è necessario conoscere il proprio PIN.

La firma digitale remota, in paerticolare, è quella firma digitale generata utilizzando un dispositivo di firma chiamato HSM custodito generalmente dal certificatore. Verificando una firma digitale è possibile conoscere il nome e cognome del firmatario. La firma digitale non necessariamente dev’essere verificata lo stesso giorno in cui è generata.

9.7 La firma elettronica qualificataLa “firma elettronica qualificata” è definita nel CAD come “un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma”. La firma elettronica qualificata è quindi caratterizzata da:

1. Quanto previsto per la firma elettronica avanzata;

2. Dall’essere basata su un certificato qualificato;

3. Dall’essere realizzata mediante un “dispositivo sicuro per la creazione della firma”.

Un dispositivo sicuro per la creazione della firma è un dispositivo che possiede particolari caratteristiche di sicurezza elencate nell’articolo 35 del CAD e che siano stati oggetto di certificazione di sicurezza.

Per quanto concerne il valore giuridico nulla cambia rispetto a quanto prescritto per la firma digitale, si rimanda quindi al paragrafo precedente.

9.8 Differenza tra firma digitale e firma elettronica qualificataSchematizzando le caratteristiche della firma digitale e della firma elettronica qualificata otteniamo la seguente tabella.

FIRMA DIGITALE FIRMA ELETTRONICA QUALIFICATA

Firma elettronica avanzata Firma elettronica avanzata

Certificato qualificato Certificato qualificato

Crittografia asimmetrica ---

Controllo esclusivo del dispositivo di firma Dispositivo sicuro per la generazione della firma


FIRME ELETTRONICHE: NEL QUADRO NORMATIVO

Premettendo che, la firma elettronica qualificata e digitale non sono la rappresentazione informatica dell’immagine della firma autografa, la prima differenza è che per la firma digitale è previsto l’uso della crittografia asimmetrica, mentre tale disposizione non sussiste in capo alla firma elettronica qualificata. Ma per entrambe le firme è previsto l’uso del certificato qualificato. Il certificato qualificato è il documento informatico che lega indissolubilmente le informazioni afferenti una persona fisica ad una chiave pubblica utilizzata nel processo della verifica della firma apposta con la corrispondente chiave privata. Il sistema a doppia chiave (pubblica e privata) si chiama crittografia asimmetrica. Pertanto, affermare di utilizzare un certificato qualificato ma di non usare la crittografia asimmetrica non ha senso: il certificato qualificato, contenendo una chiave pubblica, implica l’uso della crittografia asimmetrica.




Crittografia asimmetrica Crittografia asimmetrica

Controllo esclusivo del dispositivo di firma Dispositivo sicuro per la generazione della firma

Seconda differenza è che per la firma digitale non è previsto l’uso di un “dispositivo sicuro per la generazione della firma”, ma è previsto il “controllo esclusivo del dispositivo di firma da parte del titolare”. Ma come si può garantire il controllo esclusivo di un dispositivo? Esiste un solo modo: far valutare le caratteristiche intrinseche del dispositivo da un laboratorio accreditato per tale attività ed ottenere la certificazione da un organismo riconosciuto a livello internazionale, cioè utilizzare la stessa procedura applicata per la certificazione di un “dispositivo sicuro per la generazione della firma”. Pertanto, nella pratica, anche questa differenza è insussistente. A riprova di ciò i seguenti articoli delle regole tecniche :

Art. 12. - Ulteriori requisiti per i dispositivi sicuri per la generazione della firma elettronica qualificata

1. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma elettronica qualificata, anche remota o automatica, prevista dall’art. 35 del Codice è effettuata secondo criteri non inferiori a


quelli previsti:

• dal livello EAL 4+ della norma ISO/IEC 15408, in conformità ai profili di protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;

• dal livello EAL 4+ della norma ISO/IEC 15408, in conformità ai profili di protezione o traguardi di sicurezza giudicati adeguati ai sensi dell’art. 35, commi 5 e 6 del Codice e successive modificazioni.

Art. 13. - Ulteriori requisiti per i dispositivi sicuri per la generazione della firma digitale

1. Salvo quanto disposto al comma 2, la certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma digitale è effettuata ai sensi dell’art. 12.

2. L’organismo di certificazione della sicurezza informatica può individuare ulteriori modalità di verifica della conformità ai requisiti di sicurezza dei dispositivi sicuri per la creazione di una firma digitale remota ai sensi dell’art. 35, commi 1 e 2 del Codice.

Nella redazione delle regole tecniche il legislatore ha previsto, in ossequio al CAD, che i dispositivi di firma digitale possano essere certificati diversamente dai dispositivi per la firma elettronica qualificata, ma che, in assenza di tali specifiche certificazioni si debba applicare la certificazione prevista per i dispositivi di firma elettronica qualificata. Nei fatti, a gennaio 2014, nessuna certificazione è stata effettuata ai sensi del comma 2 dell’articolo 13. Pertanto, possiamo affermare che anche questa differenza, nei fatti, non esiste. Pertanto, firma digitale e firma elettronica qualificata sono da considerarsi quali sinonimi di fatto.

In caso di contestazioni, il Giudice potrà verificare agevolmente, senza l’ausilio di terzi, la firma digitale e la firma elettronica qualificata.




Crittografia asimmetrica Crittografia asimmetrica

Dispositivo sicuro per la generazione della firma Dispositivo sicuro per la generazione della firma

FIRME ELETTRONICHE: NEL QUADRO NORMATIVO


www eipass com

Rev. 4.1 del 04/01/2016 - Didasko Platfom · Archiviazione Documenti Digitali 2 Premessa...

Documents

Transcript of Rev. 4.1 del 04/01/2016 - Didasko Platfom · Archiviazione Documenti Digitali 2 Premessa...