Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Firma Digitale E Pec

1,227 views

Published on

Riassunto degli articoli principali riguardanti l\'applicazione della firma digitale e della PEC nella Pubblica Amministrazione

  • Be the first to comment

Firma Digitale E Pec

  1. 1. FIRMA DIGITALE E PECCodice dell’amministrazione digitale
  2. 2. Programma Firma Digitale  PEC quando utilizzarla e  Il quadro giuridico quali garanzie fornisce normativo di riferimento  Come funziona il sistema  Le tipologie di firme di invio e ricezione PEC e la gestione delle ricevute  Come funzionano gli algoritmi a chiave pubblica e privata  Direttiva Nicolais 2  Esercitazione Pratica (Giugno 2007)  Firmare un documento  Interscambio di diti tra le pubbliche amministrazioni Posta Elettronica Certificata  Il testo di legge della  Le novità introdotte dal finanziaria 2008 DPR n. 68/2005  Art. 76 comma 2
  3. 3. Nasce la Firma DigitaleL’Italia è stato il primo paese europeo a legiferare in materia di firma digitale e a predisporre il corredo dei relativi regolamenti.Era il 1997: a breve distanza seguì la Germania, con un sistema legislativo simile a quello italiano anche se originato in modo autonomo dal nostro: gli altri Paesi della Comunità si mossero dopo, e solo a seguito di un’apposita direttiva europea
  4. 4. Norma italianaLa storia del documento informatico e della firma digitale inizia con l’articolo 15, comma 2 della Legge 15 marzo 1997, n. 59 (Bassanini). “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge.”
  5. 5. Norma comunitariaAll’inizio del 2000 viene pubblicata nella Gazzetta Ufficiale Comunitaria la direttiva 1999/93/CE relativa a un quadro comunitario per le firme elettroniche (G.U.C.E. n. L 013, 19 gennaio 2000).Tale direttiva arriva praticamente in contemporanea con il riordinamento del documento amministrativo operato mediante il D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (G.U. 20 febbraio 2001, n. 42 suppl. ord.).
  6. 6. Conflitto d’intentiLe regole europee aprono un esteso dibattito su come procedere al loro recepimento. L’Europa ha obiettivi diversi da quelli delle norme italiane del 1997. Queste hanno come obiettivo centrale l’attribuzione di specifici effetti giuridici ai documenti informatici al fine di, come si dice spesso, eliminare la carta nel procedimento amministrativo. I benefici riguardano la pubblica amministrazione e i privati.
  7. 7. Conflitto d’intentiIl testo europeo vede invece al centro il mercato digitale: il commercio elettronico ha bisogno di regole comuni per garantire la libera circolazione dei prodotti dell’industria. Viene introdotta una definizione di sottoscrizione autografa estremamente complessa, “firma elettronica avanzata, basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma”. La normativa europea definisce anche la firma elettronica, sostanzialmente un metodo informatico di autenticazione che nel linguaggio corrente viene identificata anche come “firma leggera”. La sottoscrizione digitale equivalente a quella autografa diviene “firma forte”.
  8. 8. Codice dell’AmministrazioneDigitaleIl CAD stabilisce le regole per il documento informatico, posta elettronica certificata e firma elettronica. Quest’ultima si consolida nell’ordinamento nelle forme di firma elettronica c.d. “leggera” e di firma elettronica qualificata, categoria nella quale rientra la firma digitale, la cui apposizione al documento informatico definisce giuridicamente quest’ultimo come pienamente equivalente dal punto di vista giuridico al documento cartaceo con sottoscrizione autografa, cioè alla scrittura privata.
  9. 9. CADLa firma digitale rappresenta quindi la realizzazione pratica della firma elettronica qualificata utilizzando una coppia di chiavi crittografiche asimmetriche. Il percorso attuale si ricongiunge con quello iniziato nel D.P.R. 513 del 1997 ed anche la direttiva europea trova una sua piena realizzazione nelle nuove regole legislative.La firma digitale diventa così lo strumento abilitante per l’intero sistema della dematerializzazione del documento. Essa può essere pienamente utilizzata non solo per la sottoscrizione del documento informatico, ma anche nella conservazione documentale sostitutiva, nella fatturazione elettronica, nello scambio di documenti informatici, come strumento di autenticazione in rete nei confronti della P.A.
  10. 10. Il quadro giuridico di riferimento1. L. 15 marzo 1997, n. 59 ( Bassanini )2. D.P.R. n. 513/1997 – Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’art. 15 comma 2, della L. 15 marzo 1997, n. 593. D.P.C.M 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del D.P.R. 10 Novembre 1997, n. 513.4. Circ. AIPA 19 giugno 2000 n. CR/24 – Linee guida per l’interoperabilità tra i certificatori iscritti nell’elenco pubblico di cui all’art. 8, comma 3, del D.P.R. n. 513/19975. D.P.R. 28 dicembre 2000, n. 445 – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa6. Direttiva n. 93/1999/CE relativa ad un quadro comunitario per le firme elettroniche7. D.L.vo 23 gennaio 2002 n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche8. D.P.R. 7 aprile 2003, n. 137 – Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell’art. 13 del D.L.vo n. 10/20029. Decisione Commissione CE 14 luglio 2003. 1. CWA 14167-1 (March 2003): security requirements for trustworthy system managing certificates for electronic signatures -- Part 1: System Security Requirements 2. CWA 14167-2 (March 2002): security requirements for trustworthy system managing certificates for electronic signatures -- Part 2: cryptographic module for CSP signing operations –Protection Profile (MCSO-PP) 3. CWA 14169 (March 2002): secure signature-creation devices.10. D.P.C.M. 30 ottobre 2003 – Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione, ai sensi dell’art. n. 10, comma 1, del D.L.vo n. 10/200211. D.P.C.M. 13 gennaio 2004 – Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici12. D.P.C.M 2 luglio 2004 – Competenza di materia di certificatori di firma elettronica13. Deliberazione 4/2005, 17 febbraio 2005 – regole per il riconoscimento e la verifica del documento informatico. (G.U. 3 marzo 2005, n. 51)14. Decreto legislativo del 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale15. Circolare CNIPA/CR/48, 6 settembre 2005 – Modalità per presentare la domanda di iscrizione nell’elenco pubblico dei certificatori di cui all’art. 28, comma 1, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (G.U. 13 settembre 2005, n. 213)16. Deliberazione CNIPA 25/2005, 15 settembre 2005 – Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 21 settembre 2005, n. 220)17. Deliberazione 3 novembre 2005 – Rettifica alla deliberazione 15 settembre 2005, recante: Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche per la tenuta. (G.U. 11 novembre 2005, n. 263)
  11. 11. CAD - Definizioni. Art. 1 DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; (non deve contenere macroistruzioni o codici eseguibili D.P.C.M. 13.01.2004) FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica; FIRMA ELETTRONICA QUALIFICATA: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma; FIRMA DIGITALE: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici;
  12. 12. Documento informatico Viene modificato (art 23, 1° comma) l’art. 2712 del codice civile, inserendo tra le varie tipologie di riproduzione anche quelle “informatiche”, le quali, pertanto, “fanno piena prova dei fatti e delle cose rappresentate se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime” Principio generale di validità e rilevanza del documento informatico: il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti agli effetti di legge, se conformi alle disposizioni del presente codice ed alle regole tecniche di cui all’articolo 71 (art 20, 1° c.) Il documento informatico, a cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza (art. 21, 1° c.) Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. (art. 21, 2° c.) Per la validità dell’invio telematico delle istanze e dichiarazioni da presentare alla pubblica amministrazione è necessaria la sottoscrizione mediante la firma digitale, il cui certificato è rilasciato da un certificatore accreditato (art. 65, 1° comma, lett. A).
  13. 13. Documento informatico Firma elettronica: libera valutabilità del giudice, disconoscibile con il primo atto Difensivo. Firma digitale o firma elettronica qualificata: la norma introduce la presunzione (relativa) per cui l’utilizzo si presume riconducibile al titolare. Il documento informatico in questione è ripudiabile senza necessità della querela di falso. Ciò significa che il preteso autore del documento ha l’onere di provare le circostanze che interrompono il nesso di imputazione tra sé ed il documento, nesso che riposa su una presunzione di utilizzo derivante dagli obblighi di custodia dei dati (PIN) e del dispositivo di firma (art. 32). In seguito alla presunzione non è più esperibile il semplice disconoscimenti di cui all’art. 241 c.p.c., perché l’onere della prova impone al presunto autore del documento di provare positivamente le interruzioni del nesso di imputazione, dovendo superare, appunto la presunzione relativa di utilizzo di firma.
  14. 14. Efficacia probatoria Il documento informatico  è una riproduzione meccanica (2712 cc) se si appone una firma elettronica debole ed è liberamente valutabile dal giudice. (vedi sotto)  se, invece, si appone una firma elettronica qualificata o digitale si entra nel campo del 2702 cc. quindi: "La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi lha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.“La norma recita: "Lutilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria."
  15. 15. CAD - Valore probatorio. Art. 21 - 3° comma: L’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate. Art. 30 - 2° comma: Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano affidamento sul certificato stesso, dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o non tempestiva sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all’articolo 71, salvo che provi d’aver agito senza colpa
  16. 16. Componenti di un sistema difirma Gli algoritmi crittografici Le chiavi: pubblica e privata Il documento informatico L’impronta Il dispositivo per la generazione di una firma Il titolare Il certificato elettronico Il certificatore
  17. 17. Chiave pubblica/privataLa prima distinzione fondamentale va fatta tra chiave privata e chiave pubblica. La chiave privata serve per firmare, quella pubblica per verificare una firma: insieme costituiscono una coppia inscindibile. Chiave privata: l’elemento della coppia di chiavi asimmetriche, utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico (art. 1; 1° comma lett. H). La chiave privata risiede stabilmente nel dispositivo di firma (token) nel quale viene trasferita immediatamente dopo essere stata generata. Questa chiave non esce mai dal dispositivo: pertanto non può essere duplicata. Non vi sono nemmeno metodi diretti o indiretti per conoscere, mostrare o risalire al valore della chiave stessa: pertanto si può concludere che la chiave privata esiste in un unico esemplare ed è assolutamente segreta. Se per qualche motivo (furto, smarrimento o rottura del dispositivo di firma) la chiave privata venisse a mancare non c’è alternativa che generare un’altra chiave privata e, di conseguenza, la corrispondente chiave pubblica.
  18. 18. Chiave pubblica/privataChiave pubblica: l’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche (art. 1; 1° comma lett. i)La chiave pubblica risiede normalmente sia nel certificato che identifica l’utente al quale è stata assegnata la coppia di chiavi, sia negli archivi centrali del certificatore.Essa non ha nulla di segreto: può essere mostrata, duplicata e trasmessa senza pericoli di sorta
  19. 19. Il dispositivo per la firmaI dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:  sia riservata;  non possa essere derivata e che la relativa firma sia protetta da contraffazioni;  possa essere sufficientemente protetta dal titolare dalluso da parte di terzi.
  20. 20. Il certificato elettronico Certificati elettronici: gli attestati elettronici che collegano all’identità del titolare i dati utilizzati per verificare le firme elettroniche (art. 1; 1° comma lett. e)La definizione appare molto generale e di difficile comprensione, a meno di non fissare le idee su un particolare tipo di firma, ad esempio quello con chiavi asimmetriche. In questo caso “i dati per verificare la firma” diventano semplicemente “la chiave pubblica” del titolare e lo scopo del certificato diventa essenzialmente quello di fornire i dati identificativi del titolare stesso insieme alla chiave pubblica che fa coppia con la chiave privata utilizzata dal titolare per firmare
  21. 21. Esercitazione praticaFirmare undocumentoVerificare lavalidità dellafirma
  22. 22. Posta elettronica certificataPEC
  23. 23. PEC La posta elettronica certificata è un servizio che ha lo scopo di accettare dei messaggi elettronici da un mittente e di farli pervenire al destinatario, dandone certezza della data e dell’ora in cui il messaggio è stato ricevuto in consegna e della data e dell’ora in cui è stato recapitato. La posta elettronica certificata ha pertanto lo stesso valore legale della tradizionale posta raccomandata con avviso di ricevimento
  24. 24. DistinzioniDefinizione di posta elettronica: Sistema elettronico di trasmissione dei documenti informatici (DPR 68/2005; art 1, 1° comma lett. h)Definizione di posta elettronica certificata: ogni sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici (DPR 68/2005; art 1, 1° comma lett. g) La differenza fondamentale tra i due sistemi è nelle “attestazioni”
  25. 25. CAD - Art. 45Valore giuridico delle trasmissioni comma1: I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, ivi compreso il fax, idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. comma 2: Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile allindirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.
  26. 26. CAD - Art. 48 comma 1: La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. comma 2: La trasmissione del documento informatico per via telematica, effettuata mediante la posta elettronica certificata, equivale, nei casi consentiti dalla legge, alla notificazione per mezzo della posta. comma 3: La data e lora di trasmissione e di ricezione di un documento informatico trasmesso mediante posta elettronica certificata sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche.
  27. 27. Elementi di sicurezza Soggetti  mittente  destinatario  gestore del servizio di posta elettronica certificata. Dominio  dominio di posta elettronica certificata Sicurezza  punto di accesso  ricevuta di accettazione  punto di consegna  ricevuta di avvenuta consegna
  28. 28. Elementi di sicurezza Ricevuta di accettazione:  contiene i dati di certificazione del gestore del mittente quale prova dell’avvenuta spedizione Ricevuta di avvenuta consegna:  costituisce prova della consegna del messaggio all’indirizzo elettronico dichiarato dal destinatario indipendentemente dalla lettura del messaggio (può contenere copia completa del messaggio inviato). Viene emessa unicamente dietro valida ricezione della busta di trasporto Avviso di mancata consegna:  comunicato al mittente entro 24 ore dall’invio
  29. 29. Elementi di sicurezzaIl gestore del mittente non accetta messaggi con virus informatici  avvisa il mittente tempestivamente e non da corso alla trasmissione  conserva il messaggio per 30 mesiIl gestore del destinatario non accetta messaggi con virus informatici  avvisa il gestore del mittente tempestivamente affinché informi il mittente  conserva il messaggio per 30 mesi
  30. 30. Valore aggiunto
  31. 31. PEC  PEC
  32. 32. PEC  Normale
  33. 33. Normale  PEC
  34. 34. Direttiva NicolaisLa Direttiva 2/2007 firmata dal Ministro Nicolais, riprende alcune importanti norme contenute nel Codice dellAmministrazione digitale. Sebbene il CAD sia in vigore da tempo, le amministrazioni appaiono ancora in ritardo nel conformarsi alle prescrizioni dirette ad elevare il livello tecnologico delle prestazioni e, di conseguenza, ad incrementare l’interazione con i cittadini e le imprese.Interoperabilità dei sistemi di gestione documentalePer realizzare l’interoperabilità dei sistemi di protocollo informatico e gestione documentale gestiti dalle pubbliche amministrazioni, è necessario che le amministrazioni, in primo luogo, utilizzino, sin dalla formazione del documento, gli strumenti elettronici e la firma digitale nonché la trasmissione mediante posta elettronica certificata secondo le modalità stabilite dalle disposizioni vigenti (circolare AIPA del 7 maggio 2001, n.28). Le amministrazioni dovranno, altresì, dotarsi degli strumenti tecnologici necessari per la conservazione dei documenti generati in formato digitale secondo le regole attualmente vigenti (cfr. delibera n.11 Cnipa del 19 febbraio 2004).
  35. 35. Finanziaria 2008Il Centro nazionale per l’informatica nella pubblica amministrazione (CNIPA) effettua, anche a campione, azioni di monitoraggio e verifica del rispetto delle disposizioni di cui all’articolo 47 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, nonché delle disposizioni in materia di posta elettronica certificata.Il mancato adeguamento alle predette disposizioni in misura superiore al 50 per cento del totale della corrispondenza inviata, certificato dal CNIPA, comporta, per le pubbliche amministrazioni dello Stato, comprese le aziende ed amministrazioni dello Stato ad ordinamento autonomo, e per gli enti pubblici non economici nazionali, la riduzione, nell’esercizio finanziario successivo, del 30 per cento delle risorse stanziate nell’anno in corso per spese di invio della corrispondenza cartacea.
  36. 36. CAD - Formazione documentiinformatici Art. 40  comma 1: Le pubbliche amministrazioni che dispongono di idonee risorse tecnologiche formano gli originali dei propri documenti con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui allarticolo 71.  comma 2: Fermo restando quanto previsto dal comma 1, la redazione di documenti originali su supporto cartaceo, nonché la copia di documenti informatici sul medesimo supporto è consentita solo ove risulti necessaria e comunque nel rispetto del principio delleconomicità.

×