2. Programma
Firma Digitale PEC quando utilizzarla e
Il quadro giuridico quali garanzie fornisce
normativo di riferimento Come funziona il sistema
Le tipologie di firme di invio e ricezione PEC e
la gestione delle ricevute
Come funzionano gli
algoritmi a chiave pubblica
e privata Direttiva Nicolais 2
Esercitazione Pratica (Giugno 2007)
Firmare un documento Interscambio di diti tra le
pubbliche amministrazioni
Posta Elettronica
Certificata Il testo di legge della
Le novità introdotte dal finanziaria 2008
DPR n. 68/2005 Art. 76 comma 2
3. Nasce la Firma Digitale
L’Italia è stato il primo paese europeo a
legiferare in materia di firma digitale e a
predisporre il corredo dei relativi regolamenti.
Era il 1997: a breve distanza seguì la Germania,
con un sistema legislativo simile a quello
italiano anche se originato in modo autonomo
dal nostro: gli altri Paesi della Comunità si
mossero dopo, e solo a seguito di un’apposita
direttiva europea
4. Norma italiana
La storia del documento informatico e della firma
digitale inizia con l’articolo 15, comma 2 della
Legge 15 marzo 1997, n. 59 (Bassanini). “Gli
atti, dati e documenti formati dalla pubblica
amministrazione e dai privati con strumenti
informatici o telematici, i contratti stipulati nelle
medesime forme, nonché la loro archiviazione
e trasmissione con strumenti informatici sono
validi e rilevanti a tutti gli effetti di legge.”
5. Norma comunitaria
All’inizio del 2000 viene pubblicata nella Gazzetta
Ufficiale Comunitaria la direttiva 1999/93/CE
relativa a un quadro comunitario per le firme
elettroniche (G.U.C.E. n. L 013, 19 gennaio 2000).
Tale direttiva arriva praticamente in contemporanea
con il riordinamento del documento amministrativo
operato mediante il D.P.R. 28 dicembre 2000, n.
445 “Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione
amministrativa” (G.U. 20 febbraio 2001, n. 42
suppl. ord.).
6. Conflitto d’intenti
Le regole europee aprono un esteso dibattito su
come procedere al loro recepimento. L’Europa
ha obiettivi diversi da quelli delle norme
italiane del 1997. Queste hanno come
obiettivo centrale l’attribuzione di specifici
effetti giuridici ai documenti informatici al
fine di, come si dice spesso, eliminare la carta
nel procedimento amministrativo. I benefici
riguardano la pubblica amministrazione e i
privati.
7. Conflitto d’intenti
Il testo europeo vede invece al centro il mercato
digitale: il commercio elettronico ha bisogno di
regole comuni per garantire la libera circolazione
dei prodotti dell’industria. Viene introdotta una
definizione di sottoscrizione autografa
estremamente complessa, “firma elettronica
avanzata, basata su un certificato qualificato e
creata mediante un dispositivo sicuro per la
creazione della firma”. La normativa europea
definisce anche la firma elettronica,
sostanzialmente un metodo informatico di
autenticazione che nel linguaggio corrente viene
identificata anche come “firma leggera”. La
sottoscrizione digitale equivalente a quella
autografa diviene “firma forte”.
8. Codice dell’Amministrazione
Digitale
Il CAD stabilisce le regole per il documento
informatico, posta elettronica certificata e firma
elettronica. Quest’ultima si consolida
nell’ordinamento nelle forme di firma
elettronica c.d. “leggera” e di firma elettronica
qualificata, categoria nella quale rientra la
firma digitale, la cui apposizione al documento
informatico definisce giuridicamente
quest’ultimo come pienamente equivalente
dal punto di vista giuridico al documento
cartaceo con sottoscrizione autografa, cioè
alla scrittura privata.
9. CAD
La firma digitale rappresenta quindi la realizzazione pratica della
firma elettronica qualificata utilizzando una coppia di chiavi
crittografiche asimmetriche. Il percorso attuale si ricongiunge
con quello iniziato nel D.P.R. 513 del 1997 ed anche la
direttiva europea trova una sua piena realizzazione nelle
nuove regole legislative.
La firma digitale diventa così lo strumento abilitante per l’intero
sistema della dematerializzazione del documento. Essa può
essere pienamente utilizzata non solo per la sottoscrizione
del documento informatico, ma anche nella conservazione
documentale sostitutiva, nella fatturazione elettronica, nello
scambio di documenti informatici, come strumento di
autenticazione in rete nei confronti della P.A.
10. Il quadro giuridico di riferimento
1. L. 15 marzo 1997, n. 59 ( Bassanini )
2. D.P.R. n. 513/1997 – Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma
dell’art. 15 comma 2, della L. 15 marzo 1997, n. 59
3. D.P.C.M 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei
documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 Novembre 1997, n. 513.
4. Circ. AIPA 19 giugno 2000 n. CR/24 – Linee guida per l’interoperabilità tra i certificatori iscritti nell’elenco pubblico di cui all’art. 8, comma 3, del D.P.R. n.
513/1997
5. D.P.R. 28 dicembre 2000, n. 445 – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa
6. Direttiva n. 93/1999/CE relativa ad un quadro comunitario per le firme elettroniche
7. D.L.vo 23 gennaio 2002 n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche
8. D.P.R. 7 aprile 2003, n. 137 – Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell’art. 13 del D.L.vo n. 10/2002
9. Decisione Commissione CE 14 luglio 2003.
1. CWA 14167-1 (March 2003): security requirements for trustworthy system managing certificates for electronic signatures -- Part 1: System Security
Requirements
2. CWA 14167-2 (March 2002): security requirements for trustworthy system managing certificates for electronic signatures -- Part 2: cryptographic module
for CSP signing operations –Protection Profile (MCSO-PP)
3. CWA 14169 (March 2002): secure signature-creation devices.
10. D.P.C.M. 30 ottobre 2003 – Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione, ai sensi
dell’art. n. 10, comma 1, del D.L.vo n. 10/2002
11. D.P.C.M. 13 gennaio 2004 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche
temporale, dei documenti informatici
12. D.P.C.M 2 luglio 2004 – Competenza di materia di certificatori di firma elettronica
13. Deliberazione 4/2005, 17 febbraio 2005 – regole per il riconoscimento e la verifica del documento informatico. (G.U. 3 marzo 2005, n. 51)
14. Decreto legislativo del 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale
15. Circolare CNIPA/CR/48, 6 settembre 2005 – Modalità per presentare la domanda di iscrizione nell’elenco pubblico dei certificatori di cui all’art. 28, comma 1, del
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (G.U. 13 settembre 2005, n. 213)
16. Deliberazione CNIPA 25/2005, 15 settembre 2005 – Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del decreto del Presidente della Repubblica
1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 21 settembre 2005, n. 220)
17. Deliberazione 3 novembre 2005 – Rettifica alla deliberazione 15 settembre 2005, recante: Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del
decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 11 novembre 2005, n. 263)
11. CAD - Definizioni. Art. 1
DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente
rilevanti; (non deve contenere macroistruzioni o codici eseguibili D.P.C.M. 13.01.2004)
FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
FIRMA ELETTRONICA QUALIFICATA: la firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il
firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da
consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un
certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
FIRMA DIGITALE: un particolare tipo di firma elettronica qualificata basata su un sistema di
chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite
la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta
e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di
documenti informatici;
12. Documento informatico
Viene modificato (art 23, 1° comma) l’art. 2712 del codice civile, inserendo tra le varie
tipologie di riproduzione anche quelle “informatiche”, le quali, pertanto, “fanno piena prova
dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non ne
disconosce la conformità ai fatti o alle cose medesime”
Principio generale di validità e rilevanza del documento informatico: il documento
informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione
con strumenti telematici sono validi e rilevanti agli effetti di legge, se conformi alle
disposizioni del presente codice ed alle regole tecniche di cui all’articolo 71 (art 20, 1° c.)
Il documento informatico, a cui è apposta una firma elettronica, sul piano probatorio è
liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di
qualità e sicurezza (art. 21, 1° c.)
Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma
elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile.
L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia
la prova contraria. (art. 21, 2° c.)
Per la validità dell’invio telematico delle istanze e dichiarazioni da presentare alla pubblica
amministrazione è necessaria la sottoscrizione mediante la firma digitale, il cui
certificato è rilasciato da un certificatore accreditato (art. 65, 1° comma, lett. A).
13. Documento informatico
Firma elettronica: libera valutabilità del giudice, disconoscibile con il
primo atto Difensivo.
Firma digitale o firma elettronica qualificata: la norma introduce la
presunzione (relativa) per cui l’utilizzo si presume riconducibile al titolare. Il
documento informatico in questione è ripudiabile senza necessità della
querela di falso. Ciò significa che il preteso autore del documento ha
l’onere di provare le circostanze che interrompono il nesso di imputazione
tra sé ed il documento, nesso che riposa su una presunzione di utilizzo
derivante dagli obblighi di custodia dei dati (PIN) e del dispositivo di firma
(art. 32).
In seguito alla presunzione non è più esperibile il semplice
disconoscimenti di cui all’art. 241 c.p.c., perché l’onere della prova
impone al presunto autore del documento di provare positivamente le
interruzioni del nesso di imputazione, dovendo superare, appunto la
presunzione relativa di utilizzo di firma.
14. Efficacia probatoria
Il documento informatico
è una riproduzione meccanica (2712 cc) se si appone
una firma elettronica debole ed è liberamente valutabile dal
giudice. (vedi sotto)
se, invece, si appone una firma elettronica qualificata o
digitale si entra nel campo del 2702 cc. quindi: "La
scrittura privata fa piena prova, fino a querela di falso, della
provenienza delle dichiarazioni da chi l'ha sottoscritta, se
colui contro il quale la scrittura è prodotta ne riconosce la
sottoscrizione, ovvero se questa è legalmente considerata
come riconosciuta.“
La norma recita: "L'utilizzo del dispositivo di firma si
presume riconducibile al titolare, salvo che questi dia
prova contraria."
15. CAD - Valore probatorio.
Art. 21 - 3° comma: L’apposizione ad un documento
informatico di una firma digitale o di un altro tipo di firma
elettronica qualificata basata su un certificato elettronico
revocato, scaduto o sospeso equivale a mancata
sottoscrizione. La revoca o la sospensione, comunque
motivate, hanno effetto dal momento della pubblicazione,
salvo che il revocante, o chi richiede la sospensione, non
dimostri che essa era già a conoscenza di tutte le parti
interessate.
Art. 30 - 2° comma: Il certificatore che rilascia al pubblico un
certificato qualificato è responsabile, nei confronti dei terzi
che facciano affidamento sul certificato stesso, dei danni
provocati per effetto della mancata o non tempestiva
registrazione della revoca o non tempestiva sospensione del
certificato, secondo quanto previsto dalle regole tecniche di
cui all’articolo 71, salvo che provi d’aver agito senza colpa
16. Componenti di un sistema di
firma
Gli algoritmi crittografici
Le chiavi: pubblica e privata
Il documento informatico
L’impronta
Il dispositivo per la generazione di una
firma
Il titolare
Il certificato elettronico
Il certificatore
17. Chiave pubblica/privata
La prima distinzione fondamentale va fatta tra chiave privata e chiave
pubblica.
La chiave privata serve per firmare, quella pubblica per verificare una
firma: insieme costituiscono una coppia inscindibile.
Chiave privata: l’elemento della coppia di chiavi asimmetriche,
utilizzato dal soggetto titolare, mediante il quale si appone la firma
digitale sul documento informatico (art. 1; 1° comma lett. H). La chiave
privata risiede stabilmente nel dispositivo di firma (token) nel quale
viene trasferita immediatamente dopo essere stata generata. Questa
chiave non esce mai dal dispositivo: pertanto non può essere
duplicata. Non vi sono nemmeno metodi diretti o indiretti per conoscere,
mostrare o risalire al valore della chiave stessa: pertanto si può concludere
che la chiave privata esiste in un unico esemplare ed è assolutamente
segreta.
Se per qualche motivo (furto, smarrimento o rottura del dispositivo di firma)
la chiave privata venisse a mancare non c’è alternativa che generare
un’altra chiave privata e, di conseguenza, la corrispondente chiave
pubblica.
18. Chiave pubblica/privata
Chiave pubblica: l’elemento della coppia di chiavi
asimmetriche destinato ad essere reso pubblico, con il
quale si verifica la firma digitale apposta sul
documento informatico dal titolare delle chiavi
asimmetriche (art. 1; 1° comma lett. i)
La chiave pubblica risiede normalmente sia nel
certificato che identifica l’utente al quale è stata
assegnata la coppia di chiavi, sia negli archivi centrali
del certificatore.
Essa non ha nulla di segreto: può essere
mostrata, duplicata e trasmessa senza pericoli di
sorta
19. Il dispositivo per la firma
I dispositivi sicuri e le procedure utilizzate per la
generazione delle firme devono presentare
requisiti di sicurezza tali da garantire che la
chiave privata:
sia riservata;
non possa essere derivata e che la relativa firma
sia protetta da contraffazioni;
possa essere sufficientemente protetta dal titolare
dall'uso da parte di terzi.
20. Il certificato elettronico
Certificati elettronici: gli attestati elettronici che
collegano all’identità del titolare i dati utilizzati per
verificare le firme elettroniche (art. 1; 1° comma lett.
e)
La definizione appare molto generale e di difficile
comprensione, a meno di non fissare le idee su un
particolare tipo di firma, ad esempio quello con chiavi
asimmetriche. In questo caso “i dati per verificare la
firma” diventano semplicemente “la chiave pubblica”
del titolare e lo scopo del certificato diventa
essenzialmente quello di fornire i dati identificativi del
titolare stesso insieme alla chiave pubblica che fa
coppia con la chiave privata utilizzata dal titolare per
firmare
23. PEC
La posta elettronica certificata è un servizio
che ha lo scopo di accettare dei messaggi
elettronici da un mittente e di farli pervenire al
destinatario, dandone certezza della data e
dell’ora in cui il messaggio è stato ricevuto in
consegna e della data e dell’ora in cui è
stato recapitato.
La posta elettronica certificata ha pertanto lo
stesso valore legale della tradizionale
posta raccomandata con avviso di
ricevimento
24. Distinzioni
Definizione di posta elettronica:
Sistema elettronico di trasmissione dei documenti
informatici (DPR 68/2005; art 1, 1° comma lett. h)
Definizione di posta elettronica certificata:
ogni sistema di posta elettronica nel quale è fornita al
mittente documentazione elettronica attestante
l’invio e la consegna di documenti informatici (DPR
68/2005; art 1, 1° comma lett. g)
La differenza fondamentale tra i due sistemi è nelle
“attestazioni”
25. CAD - Art. 45
Valore giuridico delle trasmissioni
comma1: I documenti trasmessi da chiunque ad una
pubblica amministrazione con qualsiasi mezzo telematico
o informatico, ivi compreso il fax, idoneo ad accertarne la
fonte di provenienza, soddisfano il requisito della forma
scritta e la loro trasmissione non deve essere seguita da
quella del documento originale.
comma 2: Il documento informatico trasmesso per via
telematica si intende spedito dal mittente se inviato al
proprio gestore, e si intende consegnato al destinatario se
reso disponibile all'indirizzo elettronico da questi
dichiarato, nella casella di posta elettronica del
destinatario messa a disposizione dal gestore.
26. CAD - Art. 48
comma 1: La trasmissione telematica di comunicazioni che
necessitano di una ricevuta di invio e di una ricevuta di
consegna avviene mediante la posta elettronica
certificata ai sensi del decreto del Presidente della
Repubblica 11 febbraio 2005, n. 68.
comma 2: La trasmissione del documento informatico per
via telematica, effettuata mediante la posta elettronica
certificata, equivale, nei casi consentiti dalla legge, alla
notificazione per mezzo della posta.
comma 3: La data e l'ora di trasmissione e di ricezione di
un documento informatico trasmesso mediante posta
elettronica certificata sono opponibili ai terzi se conformi
alle disposizioni di cui al decreto del Presidente della
Repubblica 11 febbraio 2005, n. 68, ed alle relative regole
tecniche.
27. Elementi di sicurezza
Soggetti
mittente
destinatario
gestore del servizio di posta elettronica certificata.
Dominio
dominio di posta elettronica certificata
Sicurezza
punto di accesso
ricevuta di accettazione
punto di consegna
ricevuta di avvenuta consegna
28. Elementi di sicurezza
Ricevuta di accettazione:
contiene i dati di certificazione del gestore del mittente
quale prova dell’avvenuta spedizione
Ricevuta di avvenuta consegna:
costituisce prova della consegna del messaggio
all’indirizzo elettronico dichiarato dal destinatario
indipendentemente dalla lettura del messaggio (può
contenere copia completa del messaggio inviato). Viene
emessa unicamente dietro valida ricezione della busta di
trasporto
Avviso di mancata consegna:
comunicato al mittente entro 24 ore dall’invio
29. Elementi di sicurezza
Il gestore del mittente non accetta messaggi con
virus informatici
avvisa il mittente tempestivamente e non da corso alla
trasmissione
conserva il messaggio per 30 mesi
Il gestore del destinatario non accetta messaggi con
virus informatici
avvisa il gestore del mittente tempestivamente
affinché informi il mittente
conserva il messaggio per 30 mesi
34. Direttiva Nicolais
La Direttiva 2/2007 firmata dal Ministro Nicolais, riprende alcune importanti
norme contenute nel Codice dell'Amministrazione digitale. Sebbene il CAD
sia in vigore da tempo, le amministrazioni appaiono ancora in ritardo nel
conformarsi alle prescrizioni dirette ad elevare il livello tecnologico delle
prestazioni e, di conseguenza, ad incrementare l’interazione con i cittadini
e le imprese.
Interoperabilità dei sistemi di gestione documentale
Per realizzare l’interoperabilità dei sistemi di protocollo informatico e gestione
documentale gestiti dalle pubbliche amministrazioni, è necessario che le
amministrazioni, in primo luogo, utilizzino, sin dalla formazione del
documento, gli strumenti elettronici e la firma digitale nonché la
trasmissione mediante posta elettronica certificata secondo le modalità
stabilite dalle disposizioni vigenti (circolare AIPA del 7 maggio 2001, n.28).
Le amministrazioni dovranno, altresì, dotarsi degli strumenti tecnologici
necessari per la conservazione dei documenti generati in formato digitale
secondo le regole attualmente vigenti (cfr. delibera n.11 Cnipa del 19
febbraio 2004).
35. Finanziaria 2008
Il Centro nazionale per l’informatica nella pubblica
amministrazione (CNIPA) effettua, anche a campione, azioni
di monitoraggio e verifica del rispetto delle disposizioni di cui
all’articolo 47 del decreto legislativo 7 marzo 2005, n. 82, e
successive modificazioni, nonché delle disposizioni in materia
di posta elettronica certificata.
Il mancato adeguamento alle predette disposizioni in misura
superiore al 50 per cento del totale della corrispondenza
inviata, certificato dal CNIPA, comporta, per le pubbliche
amministrazioni dello Stato, comprese le aziende ed
amministrazioni dello Stato ad ordinamento autonomo, e per
gli enti pubblici non economici nazionali, la riduzione,
nell’esercizio finanziario successivo, del 30 per cento delle
risorse stanziate nell’anno in corso per spese di invio della
corrispondenza cartacea.
36. CAD - Formazione documenti
informatici
Art. 40
comma 1: Le pubbliche amministrazioni che
dispongono di idonee risorse tecnologiche formano
gli originali dei propri documenti con mezzi
informatici secondo le disposizioni di cui al presente
codice e le regole tecniche di cui all'articolo 71.
comma 2: Fermo restando quanto previsto dal
comma 1, la redazione di documenti originali su
supporto cartaceo, nonché la copia di documenti
informatici sul medesimo supporto è consentita solo
ove risulti necessaria e comunque nel rispetto del
principio dell'economicità.