Your SlideShare is downloading. ×
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza

417

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
417
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Aspetti giuridici dellafirma digitaledella PEC e della CNSRavenna, Facoltà di Giurisprudenza, 11 aprile 2013Avv. Ph.D. Michele MartoniFirma digitaleParte 1
  • 2. firme elettroniche e identitàConstatazione: Rete “reale” non virtuale– Popolazione mondiale7 miliardi(Istituto francese di studi demografici, novembre 2012)– Utenti Internet nel mondo2 miliardi 100 milioni(Internet World Stats, marzo 2011)– Utenti Facebook800 milioni (350 milioni by mobile)(Facebook, dicembre 2011)firme elettroniche e identitàQuesito 1)Come posso attestare la mia identità inrete? E verificare quella del miointerlocutore?Quesito 2)Come posso tutelare la segretezza el’integrità delle mie comunicazionielettroniche?
  • 3. • Steganografia– Occultamento fisico del messaggio• Il messaggio è “invisibile”• Intercettazione: forte rischio di pregiudizioun’epoca un sistemaun’epoca un sistema• Crittografia– Occultamento semantico del contenuto delmessaggio• Il messaggio è “visibile” ma non “comprensibile”• Key management
  • 4. crittografia simmetricacrittografia asimmetrica• La crittografia simmetrica, notaanche come crittografia a chiaveprivata o a chiave segreta, è quellaparticolare tecnica crittografica cheprevede lutilizzo di un’unica chiavesia per loperazione di cifratura siaper quella di decifraturalucchetto di Diffie edHellman• http://www.youtube.com/watch?v=Ex_ObHVftDg• http://www.youtube.com/watch?v=U62S8SchxX4&feature=PlayList&p=ED3A07961E012AF5&playnext=1&playnext_from=PL&index=11
  • 5. crittografia simmetricacrittografia asimmetrica• La crittografia asimmetrica (crittografia adoppia chiave o crittografia a chiavepubblica) contempla invece l’impiego di unacoppia di chiavi, una chiave pubblica ed unachiave privata. Il principio sotteso a questaparticolare tecnica prevede che quanto vienecifrato con una chiave potrà essere decifratoesclusivamente con l’altra chiave della coppiaUna chiave (KPRIV) per cifrareUn’altra chiave (KPUB) per decifrareDue chiave diverse ma correlate (KPRIV KPUB)1. Chiave privata (KPRIV) conosciuta solo dal titolare2. Chiave pubblica (KPUB) conosciuta da tuttiCrittografia asimmetrica
  • 6. Una funzione matematica che genera, a partireda una generica sequenza di simboli binari (bit),una impronta in modo tale che risulti di fattoimpossibile, a partire da questa, determinare unasequenza di simboli binari (bit) per le quali lafunzione generi impronte uguali ...(cfr. d.p.c.m. 30 marzo 2009)hash functiondalla crittografiaalle firme elettroniche• in principio era “solo” la Firma digitale 1997• poi giunsero le Firme elettroniche 1999-2000
  • 7. dalla crittografiaalle firme elettroniche• La firma digitale altro non è che l’applicazionedi un sistema di cifratura a chiave asimmetrica• Oltre al piano software vi è un livelloorganizzativo che unisce allo strumento di firmal’elemento della certificazione della identitàdella persona titolare dello strumento.Attività di certificazione• Certificatore– Semplice– Qualificato– Accreditato• Certificato– Semplice– Qualificato
  • 8. Certificatore(art. 1, lett. g, CAD)• Per Certificatore si intende il soggettoche presta servizi di certificazione dellefirme elettroniche o che fornisce altriservizi connessi con queste ultime.Attività di certificazione(art. 26 CAD)1. Lattività dei certificatori stabiliti in Italia o in un altro Stato membro dellUnioneeuropea è libera e non necessita di autorizzazione preventiva. Detti certificatori o,se persone giuridiche, i loro legali rappresentanti ed i soggetti prepostiallamministrazione, qualora emettano certificati qualificati devono possedere irequisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,direzione e controllo presso le banche di cui allarticolo 26 del testo unico delle leggiin materia bancaria e creditizia, di cui al decreto legislativo 385/1993, e successivemodificazioni. (cfr. DM 161/1998)2. Laccertamento successivo dellassenza o del venir meno dei requisiti di cui alcomma 1 comporta il divieto di prosecuzione dellattività intrapresa.3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altriStati membri dellUnione europea non si applicano le norme del presente codice e lerelative norme tecniche di cui allarticolo 71 e si applicano le rispettive norme direcepimento della direttiva 1999/93/CE.
  • 9. Tipologie di Certificati1.- Certificato elettronico “semplice”2.- Certificato qualificatoDefinizione di certificato(art. 1, CAD)• Per certificati elettronici si intendono gli attestatielettronici che collegano all’identità del titolare idati utilizzati per verificare le firme elettroniche.• Per certificato qualificato si intende il certificatoelettronico conforme ai requisiti di cui all’allegatoI della direttiva 1999/93/CE, rilasciati dacertificatori che rispondono ai requisiti di cuiall’allegato II della medesima direttiva.
  • 10. Certificati qualificati(allegato I, dir. 1999/93/CE)I certificati qualificati devono includere:a) lindicazione che il certificato rilasciato è un certificato qualificato;b) lidentificazione e lo Stato nel quale è stabilito il prestatore di servizi dicertificazione;c) il nome del firmatario del certificato o uno pseudonimo identificato come tale;d) lindicazione di un attributo specifico del firmatario, da includere se pertinente, aseconda dello scopo per cui il certificato è richiesto;e) i dati per la verifica della firma corrispondenti ai dati per la creazione della firmasotto il controllo del firmatario;f) unindicazione dellinizio e del termine del periodo di validità del certificato;g) il codice didentificazione del certificato;h) la firma elettronica avanzata del prestatore di servizi di certificazione che harilasciato il certificato;i) i limiti duso del certificato, ove applicabili; ej) i limiti del valore dei negozi per i quali il certificato può essere usato, ove applicabili.Tipologie di Certificatori1.- Certificatore semplice (cfr. supra art. 26)2.- Certificatore qualificato3.- Certificatore accreditato
  • 11. Certificatori qualificati(art. 27, CAD)Requisiti:1. ex art. 26 (onorabilità)2. specializzazione del personale3. procedure e metodi di gestione4. utilizzo di sistemi affidabili5. adozione di misure contro la contraffazioneProcedimento:1. comunicazione DIA2. controlli del CNIPACertificatori accreditati(art. 29, CAD)• Elenco pubblico: www.cnipa.gov.it• Riconoscimento del possesso dei requisiti del livello più elevato, intermini di qualità e sicurezza• Silenzio-assenso: 90 giorni• Il richiedente deve possedere:– Requisiti di cui all’articolo 27– Se soggetto privato deve altresì possedere:• Forma giuridica di S.p.A.• Capitale sociale minimo• Caratteristiche del personale impiegato oltre che dei legali rappresentanti
  • 12. Regole speciali per le P.A.articolo 34 C.A.D.• 1. Ai fini della sottoscrizione, ove prevista, di documenti informatici dirilevanza esterna, le pubbliche amministrazioni:– a) possono svolgere direttamente lattività di rilascio dei certificati qualificatiavendo a tale fine lobbligo di accreditarsi ai sensi dellarticolo 29; tale attività puòessere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché dicategorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore dicategorie di terzi possono essere utilizzati soltanto nei rapporti conlAmministrazione certificante, al di fuori dei quali sono privi di ogni effetto adesclusione di quelli rilasciati da collegi e ordini professionali e relativi organi agliiscritti nei rispettivi albi e registri; con decreto del Presidente del Consiglio deiMinistri, su proposta dei Ministri per la funzione pubblica e per linnovazione e letecnologie e dei Ministri interessati, di concerto con il Ministro delleconomia edelle finanze, sono definite le categorie di terzi e le caratteristiche dei certificatiqualificati;– b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa inmateria di contratti pubblici.• 2. Per la formazione, gestione e sottoscrizione di documenti informaticiaventi rilevanza esclusivamente interna ciascuna amministrazione puòadottare, nella propria autonomia organizzativa, regole diverse da quellecontenute nelle regole tecniche di cui allarticolo 71. […]Responsabilitàdel Certificatore• Art. 30
  • 13. Vigilanza sull’attivitàdei certificatori e deigestori di posta elettronica• Art. 31Obblighi del titolare edel certificatore• Art. 32
  • 14. Revoca e sospensionedei certificati qualificati• Art. 36Cessazione dell’attivitàdi certificazione• Art. 37
  • 15. Tipologie di firmeFirma elettronicaFirma elettronica avanzataFirma elettronica qualificataFirmadigitalefirma elettronica• linsieme dei dati in forma elettronica,allegati oppure connessi tramiteassociazione logica ad altri dati elettronici,utilizzati come metodo di identificazioneinformatica
  • 16. firma elettronicaavanzata – FEA• insieme di dati in forma elettronica allegatioppure connessi a un documento informaticoche consentono l’identificazione del firmatariodel documento e garantiscono la connessioneunivoca al firmatario, creati con mezzi sui quali ilfirmatario può conservare un controllo esclusivo,collegati ai dati ai quali detta firma si riferisce inmodo da consentire di rilevare se i dati stessisiano stati successivamente modificatifirma elettronicaqualificata• un particolare tipo di firma elettronicaavanzata che sia basata su un certificatoqualificato e realizzata mediante undispositivo sicuro per la creazione dellafirma
  • 17. firma digitale• un particolare tipo di firma elettronica avanzatabasata su un certificato qualificato e su unsistema di chiavi crittografiche, una pubblica euna privata, correlate tra loro, che consente altitolare tramite la chiave privata e al destinatariotramite la chiave pubblica, rispettivamente, direndere manifesta e di verificare la provenienzae lintegrità di un documento informatico o di uninsieme di documenti informatici• Documento informatico: larappresentazione informatica di atti, fatti odati giuridicamente rilevantidocumento informatico
  • 18. • Documento analogico: larappresentazione non informatica di atti,fatti o dati giuridicamente rilevantidocumento analogico• copia informatica di documentoanalogico: il documento informaticoavente contenuto identico a quello deldocumento analogico da cui è tratto• copia per immagine su supportoinformatico di documento analogico: ildocumento informatico avente contenuto eforma identici a quelli del documentoanalogico da cui è trattocopie
  • 19. • copia informatica di documento informatico:il documento informatico avente contenutoidentico a quello del documento da cui è trattosu supporto informatico con diversa sequenza divalori binari;• duplicato informatico: il documentoinformatico ottenuto mediante lamemorizzazione, sullo stesso dispositivo o sudispositivi diversi, della medesima sequenza divalori binari del documento originario;copia e duplicatoEfficacia deldocumento informaticoArt. 20, c.1.bis• Lidoneità del documento informatico asoddisfare il requisito della forma scritta eil suo valore probatorio sono liberamentevalutabili in giudizio, tenuto conto dellesue caratteristiche oggettive di qualità,sicurezza, integrità ed immodificabilità,fermo restando quanto dispostodall’articolo 21.
  • 20. Efficacia del documentoinformatico sottoscrittoArt. 21, c.1• Il documento informatico, cui è appostauna firma elettronica, sul pianoprobatorio è liberamente valutabile ingiudizio, tenuto conto delle suecaratteristiche oggettive di qualità,sicurezza, integrità e immodificabilità.... segueArt. 21, c.2• Il documento informatico sottoscritto con firma elettronica avanzata,qualificata o digitale, formato nel rispetto delle regole tecniche di cuiallarticolo 20, comma 3, che garantiscano lidentificabilitàdellautore, lintegrità e limmodificabilità del documento, halefficacia prevista dallarticolo 2702 C.c. Lutilizzo del dispositivodi firma si presume riconducibile al titolare, salvo che questi diaprova contraria.Art. 21, c.2.bis• Salvo quanto previsto dall’articolo 25, le scritture private di cuiall’articolo 1350, primo comma, numeri da 1 a 12, del codice civile,se fatte con documento informatico, sono sottoscritte, a pena dinullità, con firma elettronica qualificata o con firma digitale.
  • 21. ... segueArt. 21, c.3• L’apposizione ad un documento informatico di una firmadigitale o di un altro tipo di firma elettronica qualificatabasata su un certificato elettronico revocato, scaduto osospeso equivale a mancata sottoscrizione. La revocao la sospensione, comunque motivate, hanno effetto dalmomento della pubblicazione, salvo che il revocante, ochi richiede la sospensione, non dimostri che essa eragià a conoscenza di tutte le parti interessate.Documenti amministrativiinformaticiArt. 23.ter, c.1 e c.2• Gli atti formati dalle pubbliche amministrazioni construmenti informatici, nonché i dati e i documentiinformatici detenuti dalle stesse, costituisconoinformazione primaria ed originale da cui è possibileeffettuare, su diversi o identici tipi di supporto,duplicazioni e copie per gli usi consentiti dalla legge.• I documenti costituenti atti amministrativi con rilevanzainterna al procedimento amministrativo sottoscritticon firma elettronica avanzata hanno l’efficacia previstadall’art. 2702 del codice civile.
  • 22. ... segue … le copieArt. 23.ter, c.1 e c.2• Le copie su supporto informatico di documenti formati dallapubblica amministrazione in origine su supporto analogicoovvero da essa detenuti, hanno il medesimo valore giuridico, adogni effetto di legge, degli originali da cui sono tratte, se la loroconformità alloriginale è assicurata dal funzionario a ciò delegatonell‘ambito dellordinamento proprio dellamministrazione diappartenenza, mediante lutilizzo della firma digitale o di altrafirma elettronica qualificata e nel rispetto delle regole tecnichestabilite ai sensi dellarticolo 71; in tale caso l’obbligo diconservazione dell’originale del documento è soddisfatto con laconservazione della copia su supporto informatico.Art. 23.ter, c.5Sulle copie analogiche di documenti amministrativi informaticipuò essere apposto a stampa un contrassegno, sulla base deicriteri definiti con linee guida dellAgenzia per lItalia digitale,tramite il quale è possibile ottenere il documento informatico,ovvero verificare la corrispondenza allo stesso della copiaanalogica. Il contrassegno apposto ai sensi del primo periodosostituisce a tutti gli effetti di legge la sottoscrizione autografae non può essere richiesta la produzione di altra copiaanalogica con sottoscrizione autografa del medesimodocumento informatico. I programmi software eventualmentenecessari alla verifica sono di libera e gratuita disponibilità.... segue … il contrassegno
  • 23. Validazione temporaleArt. 1: il risultato della procedura informaticacon cui si attribuiscono, ad uno o piùdocumenti informatici, una data ed unorario opponibili ai terziArt. 20: la data e lora di formazione deldocumento informatico sono opponibili aiterzi se apposte in conformità alle regoletecniche sulla validazione temporale.
  • 24. Firma autenticataart. 251. Si ha per riconosciuta, ai sensi dellarticolo 2703 del codice civile, lafirma elettronica o qualsiasi altro tipo di firma avanzata autenticata dalnotaio o da altro pubblico ufficiale a ciò autorizzato.2. Lautenticazione della firma elettronica, anche mediantel’acquisizione digitale della sottoscrizione autografa, o di qualsiasialtro tipo di firma elettronica avanzata consiste nellattestazione, daparte del pubblico ufficiale, che la firma è stata apposta in suapresenza dal titolare, previo accertamento della sua identitàpersonale, della validità dell’eventuale certificato elettronico utilizzatoe del fatto che il documento sottoscritto non è in contrasto conlordinamento giuridico.3. Lapposizione della firma digitale da parte del pubblico ufficiale halefficacia di cui allarticolo 24, comma 2.4. Se al documento informatico autenticato deve essere allegato altrodocumento formato in originale su altro tipo di supporto, il pubblicoufficiale può allegare copia informatica autenticata delloriginale,secondo le disposizioni dellarticolo 23, comma 5.Firme automaticheArt. 35, c.2 e c.3• I dispositivi sicuri e le procedure di cui al comma 1 devonogarantire lintegrità dei documenti informatici a cui la firmasi riferisce. I documenti informatici devono esserepresentati al titolare, prima dellapposizione della firma,chiaramente e senza ambiguità, e si deve richiedereconferma della volontà di generare la firma secondoquanto previsto dalle regole tecniche di cui allarticolo 71.• Il secondo periodo del comma 2 non si applica alle firmeapposte con procedura automatica. La firma conprocedura automatica è valida se apposta previoconsenso del titolare all’adozione della proceduramedesima.
  • 25. MacroistruzioniArt. 3, comma 3, regole tecniche3. Il documento informatico, sottoscrittocon firma digitale o altro tipo di firmaelettronica qualificata, non produce glieffetti di cui allart. 21, comma 2, delcodice, se contiene macroistruzioni ocodici eseguibili, tali da attivarefunzionalità che possano modificare gliatti, i fatti o i dati nello stessorappresentati.nuova dimensione• L’impiego di questi strumenti produceeffetti giuridici• L’approccio deve pertanto essere diversorispetto all’impiego di altri device … nonsono una fidelity card !• La rilevanza di tali strumenti dal profilogiuridico li rende ancora più appetitosi peri terzi malintenzionati• Per questo, e ancora di più, l’approcciodeve essere consapevole
  • 26. vulnerabilità e limiti• Normativa• Dispositivo di firma• Certificatore• Apparecchiatura del firmatario• Software di apposizione della firma• Fattore “U”OpenSourceINTelligence• è lattività di raccolta di informazionimediante la consultazione di fonti dipubblico accesso. Nellambito dioperazioni di intelligence il termine"Open Source" si riferisce a fontipubbliche, liberamente accessibili, incontrapposizione a fonti segrete ocoperte.
  • 27. dall’identità in reteal furto di identitàArt. 494 C.p. – Sostituzione di personaChiunque, al fine di procurare a sé o ad altri unvantaggio o di recare ad altri un danno, inducetaluno in errore, sostituendo illegittimamente lapropria all’altrui persona, o attribuendo a sé o adaltri un falso nome, o un falso stato, ovvero unaqualità a cui la legge attribuisce effetti giuridici, èpunito, se il fatto non costituisce un altro delittocontro la fede pubblica, con la reclusione fino aun anno.Furto di firma digitale
  • 28. riflessioni• L’identità in rete è un fatto!• I dati che costituiscono e che sanciscono lapropria identità in rete sono informazionistrategiche da preservare• La normativa e la tecnica ci sono!• Occorre consapevolezza e formazione anchesugli strumenti impiegati e sulle caratteristiche ei limiti di funzionamento• E questo non solo nell’impiego ma anche nellaimpostazione delle strategie di innovazione• Approccio consapevole e interdisciplinarePosta Elettronica Certificata “PEC”Parte 2
  • 29. La trasmissione deldocumento informatico• Trasmissione da chiunque ad unapubblica amministrazione (art. 45)• Trasmissione fra pubblicheamministrazioni (art. 47)• Trasmissione che necessita di unaricevuta (art. 48)• Istanza del cittadino alla pubblicaamministrazione (artt. 64 e ss.)Valore giuridico della trasmissioneart. 45, CAD1. I documenti trasmessi da chiunque ad una pubblicaamministrazione con qualsiasi mezzo telematico oinformatico, ivi compreso il fax, idoneo ad accertarne lafonte di provenienza, soddisfano il requisito della formascritta e la loro trasmissione non deve essere seguita daquella del documento originale.2. Il documento informatico trasmesso per via telematica siintende spedito dal mittente se inviato al proprio gestore,e si intende consegnato al destinatario se resodisponibile allindirizzo elettronico da questi dichiarato,nella casella di posta elettronica del destinatario messaa disposizione dal gestore.
  • 30. Dati particolari e privacyart. 46, CAD1. Al fine di garantire la riservatezza dei datisensibili o giudiziari di cui allarticolo 4, comma1, lettere d) ed e), del decreto legislativo 30giugno 2003, n. 196, i documenti informaticitrasmessi ad altre pubbliche amministrazioniper via telematica possono contenere soltanto leinformazioni relative a stati, fatti e qualitàpersonali previste da legge o da regolamentoe indispensabili per il perseguimento dellefinalità per le quali sono acquisite.Trasmissione fra P.A.art. 47, CAD1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante lutilizzodella posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimentoamministrativo una volta che ne sia verificata la provenienza.2. Ai fini della verifica della provenienza le comunicazioni sono valide se:a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidentedella Repubblica 28 dicembre 2000, n. 445;c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previstodalla normativa vigente o dalle regole tecniche di cui allarticolo 71;d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto delPresidente della Repubblica 11 febbraio 2005, n. 68.[...] Le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, provvedono adistituire e pubblicare nell’Indice PA almeno una casella di posta elettronica certificata perciascun registro di protocollo.[...] La pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propridipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto dellenorme in materia di protezione dei dati personali e previa informativa agli interessati in merito algrado di riservatezza degli strumenti utilizzati.
  • 31. Posta elettronica certificataart. 48, CAD1. La trasmissione telematica di comunicazioni che necessitano di una ricevutadi invio e di una ricevuta di consegna avviene mediante la posta elettronicacertificata ai sensi del decreto del Presidente della Repubblica 11 febbraio2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decretodel Presidente del Consiglio dei Ministri, sentito DigitPA.2. La trasmissione del documento informatico per via telematica, effettuata aisensi del comma 1, equivale, salvo che la legge disponga diversamente,alla notificazione per mezzo della posta.3. La data e lora di trasmissione e di ricezione di un documento informaticotrasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alledisposizioni di cui al decreto del Presidente della Repubblica 11 febbraio2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto delPresidente del Consiglio dei Ministri di cui al comma 1.Segretezza della corrispondenzaart. 49, CAD1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati edocumenti formati con strumenti informatici non possono prenderecognizione della corrispondenza telematica, duplicare con qualsiasi mezzoo cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o perestratto sullesistenza o sul contenuto di corrispondenza, comunicazioni omessaggi trasmessi per via telematica, salvo che si tratti di informazioni perloro natura o per espressa indicazione del mittente destinate ad essere resepubbliche.2. Agli effetti del presente codice, gli atti, i dati e i documenti trasmessi per viatelematica si considerano, nei confronti del gestore del sistema di trasportodelle informazioni, di proprietà del mittente sino a che non sia avvenuta laconsegna al destinatario.
  • 32. Caratteristiche della PECLa posta elettronica certificata (PEC) è unsistema di posta elettronica in grado di superarele “debolezze” della posta elettronica e di poteressere utilizzata in qualsiasi contesto nel qualesia necessario avere prova opponibiledell’invio e della consegna di un documentoelettronico.(cfr. Supplemento al n. 1/2007 del periodicoInnovazione, CNIPA, p. 5)[... segue]A tale precipuo fine, la normativa hastabilito il formato delle c.d. ricevute e lecaratteristiche tecniche difunzionamento.La stessa ha inoltre introdotto edisciplinato, nell’ordinamento italiano, lafigura del Gestore di servizio di PEC.
  • 33. D.P.R. 68/2005art. 1 - Oggetto• Il presente regolamento stabilisce lecaratteristiche e le modalità perl’erogazione e la fruizione di servizi ditrasmissione di documenti informaticimediante posta elettronica certificata.[segue]• La PEC è un sistema di trasporto e inquanto tale non entra nel merito di ciò cheè oggetto di trasferimento dal mittente aldestinatario
  • 34. ... la email (semplice)– È un sistema “non normato” di trasmissione dati– Non c’è garanzia dei momenti di invio e ricezione(salvo conferme meramente volontarie e conriferimento temporale non opponibile a terzi)– Non garantisce la paternità del messaggio– Non garantisce l’integrità del messaggio– Non garantisce la segretezza del messaggio– Chiunque può gestire il servizio di posta elettronicaValore aggiuntoÈ plausibile creare un parallelo fra PEC e RACCOMANDATA ...ancorché - in realtà - la prima fornisca alcuni ulteriori valori aggiunti:1) conoscibilità certa del mittente e quindi del titolare della casella di posta;2) legame fra la trasmissione ed il documento trasmesso;3) archiviazione da parte del gestore di tutti gli eventi certificati per unperiodo di trenta mesi;4) semplicità di trasmissione (così come la email);5) economicità di trasmissione;6) possibilità di invio multiplo;7) velocità della consegna;8) elevate caratteristiche di sicurezza e di qualità del soggetto che eroga ilservizio.
  • 35. Svantaggi• Presunzione di conoscenza del messaggioin luogo della effettiva conoscenza• La PEC non è uno standard internazionale• Digital divideDescrizione funzionaleComponenti da considerare:1) Utente mittente: colui il quale ha l’esigenza di inviare undocumento informatico;2) Utente destinatario: il soggetto al quale sarà destinatol’invio;3) Gestore del mittente: il soggetto con il quale il mittentemantiene un rapporto finalizzato alla disponibilità del servizioPEC;4) Rete di comunicazione: tipicamente può essere considerataInternet;5) Documento informatico: oggetto dell’invio verso ildestinatario.
  • 36. [segue]Modalità della trasmissione edinteroperabilità (art. 5)1. Il messaggio di posta elettronica certificata inviato dalmittente al proprio gestore di posta elettronica certificataviene da questultimo trasmesso al destinatariodirettamente o trasferito al gestore di posta elettronicacertificata di cui si avvale il destinatario stesso;questultimo gestore provvede alla consegna nellacasella di posta elettronica certificata del destinatario.2. Nel caso in cui la trasmissione del messaggio di postaelettronica certificata avviene tra diversi gestori, essiassicurano linteroperabilità dei servizi offerti, secondoquanto previsto dalle regole tecniche di cui allarticolo17.
  • 37. Utilizzo della PECart. 4, d.p.r.68/2005• Comma 6: La validità della trasmissione ericezione del messaggio di postaelettronica certificata è attestatarispettivamente dalla ricevuta diaccettazione e dalla ricevuta diavvenuta consegna di cui all’art.6Ricevuta di accettazione e diavvenuta consegna (art. 6)1. Il gestore di posta elettronica certificata utilizzato dal MITTENTE fornisce almittente stesso la ricevuta di accettazione nella quale sono contenuti i datidi certificazione che costituiscono prova dellavvenuta spedizione di unmessaggio di posta elettronica certificata.2. Il gestore di posta elettronica certificata utilizzato dal DESTINATARIOfornisce al mittente, allindirizzo elettronico del mittente, la ricevuta diavvenuta consegna.3. La ricevuta di avvenuta consegna fornisce al mittente prova che il suomessaggio di posta elettronica certificata è effettivamente pervenutoallindirizzo elettronico dichiarato dal destinatario e certifica il momento dellaconsegna tramite un testo, leggibile dal mittente, contenente i dati dicertificazione.4. La ricevuta di avvenuta consegna può contenere anche la copia completadel messaggio di posta elettronica certificata consegnato secondo quantospecificato dalle regole tecniche di cui allarticolo 17.5. La ricevuta di avvenuta consegna è rilasciata contestualmente allaconsegna del messaggio di posta elettronica certificata nella casella diposta elettronica messa a disposizione del destinatario dal gestore,indipendentemente dallavvenuta lettura da parte del soggetto destinatario.
  • 38. Ricevuta di presa in carico (art. 7)1.Quando la trasmissione del messaggio diposta elettronica certificata avvienetramite più gestori il gestore deldestinatario rilascia al gestore del mittentela ricevuta che attesta lavvenuta presain carico del messaggio.Avviso di mancata consegna(art. 8)1.Quando il messaggio di posta elettronicacertificata non risulta consegnabile ilgestore comunica al mittente, entro leventiquattro ore successive allinvio, lamancata consegna tramite un avvisosecondo le modalità previste dalle regoletecniche di cui allarticolo 17.
  • 39. Il Gestorehttp://www.digitpa.gov.it/pec_elenco_gestoriElenco dei gestoriart. 14, DPR 68/2005Possono presentare domanda al DigitPA di essere inseriti nell’apposito elenco le PAo i PRIVATI– I privati devono avere natura di società di capitali e capitale interamente versato non inferiorea 1 milione di euro– I legali rappresentanti e i soggetti preposti alla amministrazione devono possedere i requisitidi onorabilità richiesti in materia bancaria e creditizia per i medesimi ruoli (cfr. anche icertificatori accreditati di FD)– Il richiedente deve inoltre dimostrare affidabilità organizzativa e tecnica per lo svolgimentodell’attività de qua– Impiegare personale qualificato– Rispettare le norme in materia – ivi comprese le regole tecniche (decreto 2/11/2005)– Applicare procedure e metodi adeguati (cfr. comma 6)– Adottare adeguate procedure di sicurezza e di garanzia dell’integrità– Prevedere sistemi di emergenza che garantiscano comunque la trasmissione– Essere certificati ISO 9000– Fornire copia di una copertura assicurativa per i rischi dell’attività ed i danniverso terzi
  • 40. Iscrizione del registro• Vale il principio del silenzio / assenso se entro90 giorni dall’istanza il DigitPA non hacomunicato all’interessato il provvedimento didiniego.• Il termine può essere interrotto una sola voltaesclusivamente per la motivata richiesta didocumenti che integrino o completino ladocumentazione presentata e che non siano giànella disponibilità del DigitPA o che questo nonpossa acquisire autonomamenteGestori stabiliti in altri paesidell’Unione EuropeaArt. 15, d.p.r. 68/2005• Possono esercitare a condizione chesoddisfino – conformemente allanormativa di stabilimento – requisitianaloghi a quelli italiani• Il DigitPA verifica l’equivalenza ai requisitied alle formalità prescritte.
  • 41. Pubbliche amministrazioni• Le pubbliche amministrazioni possonosvolgere autonomamente l’attivitàrispettando le regole tecniche e disicurezza previste• Le caselle rilasciate ai privati sonovalide e rilevanti ai sensi di legge soloper le comunicazioni fra questi e lestesse amministrazioniAutonomia delprocesso telematico (?)Art. 16, c.4, d.p.r. 68/2005Le disposizioni di cui al presente regolamentonon si applicano all’uso degli strumentiinformatici e telematici nel processo civile, nelprocesso penale, nel processo amministrativo,nel processo tributario e nel processo dinanzialle sezioni giurisdizionali della Corte dei conti,per i quali restano ferme le specifichedisposizioni normative (c.d. CPEPT).
  • 42. La PEC nel PCTDL 193/2009, art. 41. Con uno o più decreti del Ministro della giustizia, di concerto con ilMinistro per la pubblica amministrazione e linnovazione, sentito ilCentro nazionale per linformatica nella pubblica amministrazione eil Garante per la protezione dei dati personali, adottati, ai sensidellarticolo 17, comma 3, della legge 23 agosto 1988, n. 400, entrosessanta giorni dalla data di entrata in vigore della legge diconversione del presente decreto, sono individuate le regoletecniche per ladozione nel processo civile e nel processopenale delle tecnologie dellinformazione e dellacomunicazione, in attuazione dei principi previsti dal decretolegislativo 7 marzo 2005, n. 82, e successive modificazioni. Levigenti regole tecniche del processo civile telematico continuano adapplicarsi fino alla data di entrata in vigore dei decreti di cui aicommi 1 e 2.(segue)2. Nel processo civile e nel processo penale, tutte lecomunicazioni e notificazioni per via telematica sieffettuano mediante posta elettronica certificata, aisensi del decreto legislativo 7 marzo 2005, n. 82, esuccessive modificazioni, del decreto del Presidentedella Repubblica 11 febbraio 2005, n. 68, e delle regoletecniche stabilite con i decreti previsti dal comma 1. Finoalla data di entrata in vigore dei predetti decreti, lenotificazioni e le comunicazioni sono effettuate nei modie nelle forme previste dalle disposizioni vigenti alla datadi entrata in vigore del presente decreto.
  • 43. PEC e Albo3-bis. Il secondo comma dell’ articolo 16 del regio decreto-legge 27novembre 1933, n. 1578, convertito, con modificazioni, dalla legge22 gennaio 1934, n. 36, introdotto dal comma 5 dell’ articolo 51 deldecreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni,dalla legge 6 agosto 2008, n. 133, è sostituito dal seguente:«Nell’albo è indicato, oltre al codice fiscale, l’indirizzo di postaelettronica certificata comunicato ai sensi dell’ articolo 16,comma 7, del decreto-legge 29 novembre 2008, n. 185,convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2. Gliindirizzi di posta elettronica certificata e i codici fiscali, aggiornaticon cadenza giornaliera, sono resi disponibili per via telematicaal Consiglio nazionale forense e al Ministero della giustizia nelleforme previste dalle regole tecniche per l’adozione nel processocivile e nel processo penale delle tecnologie dell’informazione edella comunicazione».D.L. 112/2008• Art. 51, comma 5– Conferma la necessaria indicazione nell’Albodell’indirizzo di PEC– Impone la messa a disposizione con cadenzagiornaliera dei dati (PEC e CF) al Consiglionazionale forense ed al Ministero dellaGiustizia
  • 44. DL 185/2008• Articolo 16, comma 6– PEC alle imprese• Articolo 16, comma 7– PEC ai professionisti• Articolo 16, comma 8– PEC alla pubblica amministrazione• Articolo 16, comma 9– Non serve la dichiarazione di disponibilità edaccettazioneArt. 16, c.6 - Imprese• Le imprese costituite in forma societaria sonotenute ad indicare il proprio indirizzo di postaelettronica certificata [o analogo indirizzo diposta elettronica che certifichi data e oradell’invio e della ricezione delle comunicazioni eintegrità del contenuto] nella domanda diiscrizione al registro delle imprese• Le imprese già registrate dovranno provvedereentro 3 anni
  • 45. (segue)• La consultazione per via telematica dei singoliindirizzi di posta elettronica certificata [oanaloghi …] nel registro delle imprese o neglialbi o elenchi costituiti ai sensi del presentearticolo [n.d.r. deroga professionisti sub c.7]avviene liberamente e senza oneri.• L’estrazione di elenchi di indirizzi è consentitaalle sole pubbliche amministrazioni per lecomunicazioni relative agli adempimentiamministrativi di loro competenza.Art. 16, c.7 - Professionisti• I professionisti iscritti in albi ed elenchicomunicano ai rispettivi ordini il proprio indirizzodi posta elettronica certificata [o analogo …]entro un anno dalla data di entrata in vigore deldecreto [29 novembre 2009]• Gli ordini pubblicano in un elenco riservato,consultabile telematicamente esclusivamentedalle pubbliche amministrazioni, i datiidentificativi degli iscritti con il relativo indirizzo diposta certificata
  • 46. Art. 16, c.8 - PA• Le amministrazioni pubbliche – qualora nonabbiano provveduto ai sensi dell’art. 47, c.3, lett.a), del CAD – istituiscono una casella di postacertificata [o analogo …] per ciascun registrodi protocollo e ne danno comunicazione alCNIPA che provvede alla pubblicazione in unelenco consultabile telematicamenteart. 16 bis - CittadiniAi cittadini che ne fanno richiesta èattribuita una casella di posta certificata oanalogo indirizzo di posta elettronicabasato su tecnologie che certifichino datae ora dell’invio e della ricezione dellecomunicazioni e l’integrità del contenutodelle stesse, garantendo l’interoperabilitàcon analoghi sistemi internazionali.[v. meglio infra]
  • 47. (segue)• Le comunicazioni fra PROFESSIONISTI,IMPRESE e PA … possono essereinviate attraverso la posta elettronicacertificata [o analogo …] senza che ildestinatario debba dichiarare la propriadisponibilità ad accettare l’utilizzoart. 16 bis - CittadiniAi cittadini che ne fanno richiesta è attribuita unacasella di posta elettronica certificata oanalogo indirizzo di posta elettronica basato sutecnologie che certifichino data e ora dell’invio edella ricezione delle comunicazioni e l’integritàdel contenuto delle stesse, garantendol’interoperabilità con analoghi sistemiinternazionali.
  • 48. (segue)• L’utilizzo della posta elettronicacertificata avviene ai sensi degli articoli 6e 48 del CAD, con effetto equivalente,ove necessario, alla notificazione permezzo della posta.CEC-PACComunicazioneElettronicaCertificata fraPubblicaAmministrazione eCittadino
  • 49. segue• Il Dipartimento per la Digitalizzazione della pubblicaamministrazione e l’Innovazione tecnologica (DDI)comunica che oggi si è conclusa la fase di selezionedelle offerte per la concessione del servizio di Postaelettronica certificata (PEC) gratuita per i cittadini.Il raggruppamento temporaneo di impresa costituitoda Poste Italiane, Postecom e Telecom Italia èrisultato primo in graduatoria.Dopo i significativi risultati in termini di diffusione ottenutigrazie alla sperimentazione avviata con INPS e ACI asettembre scorso, la PEC gratuita sta diventando unarealtà per tutti.DPCM 6 maggio 2009Disposizioni in materia di rilascio e di usodella casella di posta elettronica certificataassegnata ai cittadini(G.U. 119 del 25 maggio 2009)
  • 50. Dove si applicaOsservazioni• Esclusi i “non” cittadini• Art. 3, c. 2: “Per i cittadini che utilizzano il servizio diPEC, lindirizzo valido ad ogni effetto giuridico, ai finidei rapporti con le pubbliche amministrazioni, è quelloespressamente rilasciato ai sensi dellart. 2, comma 1”.Non è prevista la possibilità per chi ha ottenuto la CEC-PAC di indicare un diverso domicilio elettronico … salvorecedere dal contratto. Questo si scontra con la libertà didomicilio.
  • 51. Accettazione dell’invioart. 3, c. 44. La volontà del cittadino espressa ai sensidellart. 2, comma 1, rappresenta laesplicita accettazione dellinvio, tramitePEC, da parte delle pubblicheamministrazioni di tutti i provvedimenti egli atti che lo riguardano.Uso della PEC e istanzeart. 4, c. 44. Le pubbliche amministrazioni accettano leistanze dei cittadini inviate tramite PEC nelrispetto dellart. 65, comma 1, lettera c), deldecreto legislativo n. 82 del 2005. Linvio tramitePEC costituisce sottoscrizione elettronica aisensi dellart. 21, comma 1, del decretolegislativo n. 82 del 2005; le pubblicheamministrazioni richiedono la sottoscrizionemediante firma digitale ai sensi dellart. 65,comma 2, del citato decreto legislativo.
  • 52. Accesso agli indirizziart. 71. Laffidatario del servizio di PEC ai cittadini di cuiallart. 6, comma 1, rende consultabili allepubbliche amministrazioni, in via telematica,gli indirizzi di PEC di cui al presente decreto, nelrispetto dei criteri di qualità e sicurezza edinteroperabilità definiti dal CNIPA e nel rispettodella disciplina in materia di tutela dei datipersonali di cui al decreto legislativo 30 giugno2003, n. 196.Comunicazioni PA e dipendentiart. 91. I pubblici dipendenti, allattodellassegnazione di una casella di PECda parte dellamministrazione diappartenenza, possono optare perlutilizzo della stessa ai fini di cui allart.16-bis, comma 6, del decreto-legge 29novembre 2008, n. 185.
  • 53. Carta Nazionale Servizi “CNS”Parte 3Servizi on line (artt. 63 e ss.)1.- modalità di accesso ai servizi2.- istanze e dichiarazioni telematiche
  • 54. Organizzazione e finalitàdei servizi in rete (art. 63)Modalità di accesso ai servizi erogatiin rete dalle PA (art. 64)
  • 55. Carte elettroniche (art. 66)1.- Carta nazionale dei servizi2.- Carta di identità elettronicaCNS
  • 56. Approfondimento• Cfr. relazione allegata alla presentazione• Cfr. da ultimo il provvedimento delGarante per la protezione dei datipersonali n. 1693904 del 21 gennaio2010 su tessera sanitaria (TS)* e CNS(*) FSE e dossier informaticoNorme di riferimento• D.p.r. 117/2004• Decreto 9 dicembre 2004• Direttiva 4 gennaio 2005
  • 57. Alcuni principi(art. 66, CAD)• d) le pubbliche amministrazioni che erogano servizi inrete devono consentirne laccesso ai titolari della cartanazionale dei servizi indipendentemente dallente diemissione, che è responsabile del suo rilascio;• e) la carta nazionale dei servizi può essere utilizzataanche per i pagamenti informatici tra soggetti privati epubbliche amministrazioni, secondo quanto previstodalla normativa vigente (cfr. Bankpass Web). […]• 8-bis. Fino al 31 dicembre 2011, la carta nazionale deiservizi e le altre carte elettroniche ad essa conformipossono essere rilasciate anche ai titolari di carta diidentità elettronica.Progetto CNS• www.progettocns.it
  • 58. Un esempio• CRS-SISS Regione Lombardiawww.crs.lombardia.itContratto-quadro• Il CNIPA ha concluso un contratto quadrodella durata di 6 anni per l’emissione di tremilioni di CNS in favore delle PA• Il contratto è stato concluso con unraggruppamento temporaneo d’impresecomposto da ACTALIS (certificatore FD),FINSIEL, Oberthur Card Systems Italia,SIA e Trust Italia
  • 59. grazie dell’attenzionemichele[dot]martoni[at]unibo[dot]it

×