FIRMA DIGITALE E PEC

Codice dell’amministrazione digitale

Programma

Firma Digitale Il quadro giuridico normativo

di riferimento Le tipologie di firme Come funzionano gli

algoritmi a chiave pubblica e privata

Esercitazione Pratica Firmare un documento

Posta Elettronica Certificata Le novità introdotte dal DPR

n. 68/2005

PEC quando utilizzarla e quali garanzie fornisce

Come funziona il sistema di invio e ricezione PEC e la gestione delle ricevute

Direttiva Nicolais 2 (Giugno 2007) Interscambio di diti tra le

pubbliche amministrazioni

Il testo di legge della finanziaria 2008 Art. 76 comma 2

Nasce la Firma Digitale

L’Italia è stato il primo paese europeo a legiferare in materia di firma digitale e a predisporre il corredo dei relativi regolamenti.

Era il 1997: a breve distanza seguì la Germania, con un sistema legislativo simile a quello italiano anche se originato in modo autonomo dal nostro: gli altri Paesi della Comunità si mossero dopo, e solo a seguito di un’apposita direttiva europea

Norma italiana

La storia del documento informatico e della firma digitale inizia con l’articolo 15, comma 2 della Legge 15 marzo 1997, n. 59 (Bassanini). “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge.”

Norma comunitaria

All’inizio del 2000 viene pubblicata nella Gazzetta Ufficiale Comunitaria la direttiva 1999/93/CE relativa a un quadro comunitario per le firme elettroniche (G.U.C.E. n. L 013, 19 gennaio 2000).

Tale direttiva arriva praticamente in contemporanea con il riordinamento del documento amministrativo operato mediante il D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (G.U. 20 febbraio 2001, n. 42 suppl. ord.).

Conflitto d’intenti

Le regole europee aprono un esteso dibattito su come procedere al loro recepimento. L’Europa ha obiettivi diversi da quelli delle norme italiane del 1997. Queste hanno come obiettivo centrale l’attribuzione di specifici effetti giuridici ai documenti informatici al fine di, come si dice spesso, eliminare la carta nel procedimento amministrativo. I benefici riguardano la pubblica amministrazione e i privati.

Conflitto d’intenti

Il testo europeo vede invece al centro il mercato digitale: il commercio elettronico ha bisogno di regole comuni per garantire la libera circolazione dei prodotti dell’industria. Viene introdotta una definizione di sottoscrizione autografa estremamente complessa, “firma elettronica avanzata, basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma”. La normativa europea definisce anche la firma elettronica, sostanzialmente un metodo informatico di autenticazione che nel linguaggio corrente viene identificata anche come “firma leggera”. La sottoscrizione digitale equivalente a quella autografa diviene “firma forte”.

Codice dell’Amministrazione Digitale

Il CAD stabilisce le regole per il documento informatico, posta elettronica certificata e firma elettronica. Quest’ultima si consolida nell’ordinamento nelle forme di firma elettronica c.d. “leggera” e di firma elettronica qualificata, categoria nella quale rientra la firma digitale, la cui apposizione al documento informatico definisce giuridicamente quest’ultimo come pienamente equivalente dal punto di vista giuridico al documento cartaceo con sottoscrizione autografa, cioè alla scrittura privata.

CAD

La firma digitale rappresenta quindi la realizzazione pratica della firma elettronica qualificata utilizzando una coppia di chiavi crittografiche asimmetriche. Il percorso attuale si ricongiunge con quello iniziato nel D.P.R. 513 del 1997 ed anche la direttiva europea trova una sua piena realizzazione nelle nuove regole legislative.

La firma digitale diventa così lo strumento abilitante per l’intero sistema della dematerializzazione del documento. Essa può essere pienamente utilizzata non solo per la sottoscrizione del documento informatico, ma anche nella conservazione documentale sostitutiva, nella fatturazione elettronica, nello scambio di documenti informatici, come strumento di autenticazione in rete nei confronti della P.A.

Il quadro giuridico di riferimento1. L. 15 marzo 1997, n. 59 ( Bassanini )2. D.P.R. n. 513/1997 – Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti

informatici e telematici a norma dell’art. 15 comma 2, della L. 15 marzo 1997, n. 593. D.P.C.M 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione,

anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 Novembre 1997, n. 513.4. Circ. AIPA 19 giugno 2000 n. CR/24 – Linee guida per l’interoperabilità tra i certificatori iscritti nell’elenco pubblico di cui all’art. 8,

comma 3, del D.P.R. n. 513/19975. D.P.R. 28 dicembre 2000, n. 445 – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa6. Direttiva n. 93/1999/CE relativa ad un quadro comunitario per le firme elettroniche7. D.L.vo 23 gennaio 2002 n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche8. D.P.R. 7 aprile 2003, n. 137 – Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell’art. 13 del D.L.vo n.

10/20029. Decisione Commissione CE 14 luglio 2003.

1. CWA 14167-1 (March 2003): security requirements for trustworthy system managing certificates for electronic signatures -- Part 1: System Security Requirements

2. CWA 14167-2 (March 2002): security requirements for trustworthy system managing certificates for electronic signatures -- Part 2: cryptographic module for CSP signing operations –Protection Profile (MCSO-PP)

3. CWA 14169 (March 2002): secure signature-creation devices.10. D.P.C.M. 30 ottobre 2003 – Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia

dell’informazione, ai sensi dell’art. n. 10, comma 1, del D.L.vo n. 10/200211. D.P.C.M. 13 gennaio 2004 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e

la validazione, anche temporale, dei documenti informatici12. D.P.C.M 2 luglio 2004 – Competenza di materia di certificatori di firma elettronica13. Deliberazione 4/2005, 17 febbraio 2005 – regole per il riconoscimento e la verifica del documento informatico. (G.U. 3 marzo 2005, n. 51)14. Decreto legislativo del 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale15. Circolare CNIPA/CR/48, 6 settembre 2005 – Modalità per presentare la domanda di iscrizione nell’elenco pubblico dei certificatori di

cui all’art. 28, comma 1, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (G.U. 13 settembre 2005, n. 213)16. Deliberazione CNIPA 25/2005, 15 settembre 2005 – Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del decreto

del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 21 settembre 2005, n. 220)

17. Deliberazione 3 novembre 2005 – Rettifica alla deliberazione 15 settembre 2005, recante: Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 11 novembre 2005, n. 263)

CAD - Definizioni. Art. 1

DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; (non deve contenere macroistruzioni o codici eseguibili D.P.C.M. 13.01.2004)

FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

FIRMA ELETTRONICA QUALIFICATA: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

FIRMA DIGITALE: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici;

Documento informatico

Viene modificato (art 23, 1° comma) l’art. 2712 del codice civile, inserendo tra le varie tipologie di riproduzione anche quelle “informatiche”, le quali, pertanto, “fanno piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”

Principio generale di validità e rilevanza del documento informatico: il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti agli effetti di legge, se conformi alle disposizioni del presente codice ed alle regole tecniche di cui all’articolo 71 (art 20, 1° c.)

Il documento informatico, a cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza (art. 21, 1° c.)

Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. (art. 21, 2° c.)

Per la validità dell’invio telematico delle istanze e dichiarazioni da presentare alla pubblica amministrazione è necessaria la sottoscrizione mediante la firma digitale, il cui certificato è rilasciato da un certificatore accreditato (art. 65, 1° comma, lett. A).

Documento informatico

Firma elettronica: libera valutabilità del giudice, disconoscibile con il primo atto Difensivo.

Firma digitale o firma elettronica qualificata: la norma introduce la presunzione (relativa) per cui l’utilizzo si presume riconducibile al titolare. Il documento informatico in questione è ripudiabile senza necessità della querela di falso. Ciò significa che il preteso autore del documento ha l’onere di provare le circostanze che interrompono il nesso di imputazione tra sé ed il documento, nesso che riposa su una presunzione di utilizzo derivante dagli obblighi di custodia dei dati (PIN) e del dispositivo di firma (art. 32).

In seguito alla presunzione non è più esperibile il semplice disconoscimenti di cui all’art. 241 c.p.c., perché l’onere della prova impone al presunto autore del documento di provare positivamente le interruzioni del nesso di imputazione, dovendo superare, appunto la presunzione relativa di utilizzo di firma.

Efficacia probatoria

Il documento informatico è una riproduzione meccanica (2712 cc) se si appone una

firma elettronica debole ed è liberamente valutabile dal giudice. (vedi sotto)

se, invece, si appone una firma elettronica qualificata o digitale si entra nel campo del 2702 cc. quindi: "La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.“

La norma recita: "L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria."

CAD - Valore probatorio.

Art. 21 - 3° comma: L’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

Art. 30 - 2° comma: Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano affidamento sul certificato stesso, dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o non tempestiva sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all’articolo 71, salvo che provi d’aver agito senza colpa

Componenti di un sistema di firma Gli algoritmi crittografici Le chiavi: pubblica e privata Il documento informatico L’impronta Il dispositivo per la generazione di

una firma Il titolare Il certificato elettronico Il certificatore

Chiave pubblica/privata

La prima distinzione fondamentale va fatta tra chiave privata e chiave pubblica.

La chiave privata serve per firmare, quella pubblica per verificare una firma: insieme costituiscono una coppia inscindibile.

Chiave privata: l’elemento della coppia di chiavi asimmetriche, utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico (art. 1; 1° comma lett. H). La chiave privata risiede stabilmente nel dispositivo di firma (token) nel quale viene trasferita immediatamente dopo essere stata generata. Questa chiave non esce mai dal dispositivo: pertanto non può essere duplicata. Non vi sono nemmeno metodi diretti o indiretti per conoscere, mostrare o risalire al valore della chiave stessa: pertanto si può concludere che la chiave privata esiste in un unico esemplare ed è assolutamente segreta.

Se per qualche motivo (furto, smarrimento o rottura del dispositivo di firma) la chiave privata venisse a mancare non c’è alternativa che generare un’altra chiave privata e, di conseguenza, la corrispondente chiave pubblica.

Chiave pubblica/privata

Chiave pubblica: l’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche (art. 1; 1° comma lett. i)

La chiave pubblica risiede normalmente sia nel certificato che identifica l’utente al quale è stata assegnata la coppia di chiavi, sia negli archivi centrali del certificatore.

Essa non ha nulla di segreto: può essere mostrata, duplicata e trasmessa senza pericoli di sorta

Il dispositivo per la firma

I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata: sia riservata; non possa essere derivata e che la relativa

firma sia protetta da contraffazioni; possa essere sufficientemente protetta dal

titolare dall'uso da parte di terzi.

Il certificato elettronico

Certificati elettronici: gli attestati elettronici che collegano all’identità del titolare i dati utilizzati per verificare le firme elettroniche (art. 1; 1° comma lett. e)

La definizione appare molto generale e di difficile comprensione, a meno di non fissare le idee su un particolare tipo di firma, ad esempio quello con chiavi asimmetriche. In questo caso “i dati per verificare la firma” diventano semplicemente “la chiave pubblica” del titolare e lo scopo del certificato diventa essenzialmente quello di fornire i dati identificativi del titolare stesso insieme alla chiave pubblica che fa coppia con la chiave privata utilizzata dal titolare per firmare

Esercitazione pratica

Firmare un documento

Verificare la validità della firma

PEC

Posta elettronica certificata

PEC

La posta elettronica certificata è un servizio che ha lo scopo di accettare dei messaggi elettronici da un mittente e di farli pervenire al destinatario, dandone certezza della data e dell’ora in cui il messaggio è stato ricevuto in consegna e della data e dell’ora in cui è stato recapitato.

La posta elettronica certificata ha pertanto lo stesso valore legale della tradizionale posta raccomandata con avviso di ricevimento

Distinzioni

Definizione di posta elettronica: Sistema elettronico di trasmissione dei documenti

informatici (DPR 68/2005; art 1, 1° comma lett. h)

Definizione di posta elettronica certificata: ogni sistema di posta elettronica nel quale è fornita al

mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici (DPR 68/2005; art 1, 1° comma lett. g)

La differenza fondamentale tra i due sistemi è nelle “attestazioni”

CAD - Art. 45

Valore giuridico delle trasmissioni

comma1: I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, ivi compreso il fax, idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale.

comma 2: Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.

CAD - Art. 48

comma 1: La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.

comma 2: La trasmissione del documento informatico per via telematica, effettuata mediante la posta elettronica certificata, equivale, nei casi consentiti dalla legge, alla notificazione per mezzo della posta.

comma 3: La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso mediante posta elettronica certificata sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche.

Elementi di sicurezza

Soggetti mittente destinatario gestore del servizio di posta elettronica certificata.

Dominio dominio di posta elettronica certificata

Sicurezza punto di accesso ricevuta di accettazione punto di consegna ricevuta di avvenuta consegna

Elementi di sicurezza

Ricevuta di accettazione: contiene i dati di certificazione del gestore del

mittente quale prova dell’avvenuta spedizione

Ricevuta di avvenuta consegna: costituisce prova della consegna del messaggio

all’indirizzo elettronico dichiarato dal destinatario indipendentemente dalla lettura del messaggio (può contenere copia completa del messaggio inviato). Viene emessa unicamente dietro valida ricezione della busta di trasporto

Avviso di mancata consegna: comunicato al mittente entro 24 ore dall’invio

Elementi di sicurezza

Il gestore del mittente non accetta messaggi con virus informatici avvisa il mittente tempestivamente e non da

corso alla trasmissione conserva il messaggio per 30 mesi

Il gestore del destinatario non accetta messaggi con virus informatici avvisa il gestore del mittente tempestivamente

affinché informi il mittente conserva il messaggio per 30 mesi

Valore aggiunto

PEC PEC

PEC Normale

Normale PEC

Direttiva Nicolais

La Direttiva 2/2007 firmata dal Ministro Nicolais, riprende alcune importanti norme contenute nel Codice dell'Amministrazione digitale. Sebbene il CAD sia in vigore da tempo, le amministrazioni appaiono ancora in ritardo nel conformarsi alle prescrizioni dirette ad elevare il livello tecnologico delle prestazioni e, di conseguenza, ad incrementare l’interazione con i cittadini e le imprese.

Interoperabilità dei sistemi di gestione documentalePer realizzare l’interoperabilità dei sistemi di protocollo informatico e

gestione documentale gestiti dalle pubbliche amministrazioni, è necessario che le amministrazioni, in primo luogo, utilizzino, sin dalla formazione del documento, gli strumenti elettronici e la firma digitale nonché la trasmissione mediante posta elettronica certificata secondo le modalità stabilite dalle disposizioni vigenti (circolare AIPA del 7 maggio 2001, n.28). Le amministrazioni dovranno, altresì, dotarsi degli strumenti tecnologici necessari per la conservazione dei documenti generati in formato digitale secondo le regole attualmente vigenti (cfr. delibera n.11 Cnipa del 19 febbraio 2004).

Finanziaria 2008

Il Centro nazionale per l’informatica nella pubblica amministrazione (CNIPA) effettua, anche a campione, azioni di monitoraggio e verifica del rispetto delle disposizioni di cui all’articolo 47 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, nonché delle disposizioni in materia di posta elettronica certificata.

Il mancato adeguamento alle predette disposizioni in misura superiore al 50 per cento del totale della corrispondenza inviata, certificato dal CNIPA, comporta, per le pubbliche amministrazioni dello Stato, comprese le aziende ed amministrazioni dello Stato ad ordinamento autonomo, e per gli enti pubblici non economici nazionali, la riduzione, nell’esercizio finanziario successivo, del 30 per cento delle risorse stanziate nell’anno in corso per spese di invio della corrispondenza cartacea.

CAD - Formazione documenti informatici

Art. 40

comma 1: Le pubbliche amministrazioni che dispongono di idonee risorse tecnologiche formano gli originali dei propri documenti con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui all'articolo 71.

comma 2: Fermo restando quanto previsto dal comma 1, la redazione di documenti originali su supporto cartaceo, nonché la copia di documenti informatici sul medesimo supporto è consentita solo ove risulti necessaria e comunque nel rispetto del principio dell'economicità.