Pec e firma digitale
Pisa, 22 aprile 2015
Relatore Avv. Chiara Fantini
La posta elettronica certificata
Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) per cui:
1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una
ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del
Presidente della Repubblica 11 febbraio 2005,
n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del
Consiglio dei Ministri, sentito DigitPA (ora Agenzia per l’Italia digitale).
2. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma
1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta.
3. La data e l'ora di trasmissione e di ricezione di un
documento informatico trasmesso ai sensi del comma 1 sono
opponibili ai terzi se conformi alle disposizioni di cui al decreto
del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle
relative regole tecniche, ovvero conformi al decreto del
Presidente del Consiglio dei Ministri di cui al comma 1.
La posta elettronica certificata
D.P.R. n. 68/2005
Regolamento recante disposizioni per l’utilizzo della posta
elettronica certificata a norma dell’art. 27 della Legge
16 gennaio 2003, n.3
D.M del 2 novembre 2005
Regole tecniche per la formazione, la trasmissione, la
conservazione, la duplicazione, la riproduzione, la
validazione anche temporale della posta elettronica
certificata
Legge del 28 gennaio 2009, n. 2: gli obblighi di iscrizione
della pec in capo a imprese in forma societaria e a
professionisti, e di deposito dell’indirizzo nel registro
delle imprese e negli albi professionali
Legge del 4 aprile 2012, n. 35: estensione dell’obbligo alle
imprese individuali attive e di prima iscrizione.
La posta elettronica certificata
Art.6, comma 1, del D.lgs. n. 82/2005
1. Per le comunicazioni di cui all' articolo 48, comma 1 , con i soggetti che hanno
preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa
tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La
dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa
accettazione dell'invio, tramite posta elettronica certificata, da parte delle
pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano
Art. 6 bis, commi 1 e 2, del D.lgs. n. 82/2005
Indice nazionale degli indirizzi PEC delle imprese e dei professionisti
Al fine di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio
di informazioni e documenti tra la pubblica amministrazione e le imprese e i
professionisti in modalità telematica, è istituito (omissis) il pubblico elenco
denominato Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC)
delle imprese e dei professionisti, presso il Ministero per lo sviluppo economico.
L'Indice nazionale di cui al comma 1 è realizzato a partire dagli elenchi di indirizzi
PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali, in
attuazione di quanto previsto dall'articolo 16 del decreto-legge 29 novembre 2008,
n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2.
La posta elettronica certificata
La PEC è considerata la versione “virtuale” della sede legale aziendale (cd. sede
elettronica presso cui saranno recapitati tutti gli atti e i documenti aventi valore
legale).
• Per i Professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato il termine
è scaduto il 29 novembre 2009 e l’indirizzo PEC va comunicato all’ Ordine
professionale di appartenenza.
• Le imprese costituite in forma societaria (Srl, snc, Sas, Spa) ed iscritte nel Registro
delle imprese al 29 novembre 2008 il termine è scaduto il 29 novembre 2011.
Entro il 30 giugno 2012 tutte le società erano tenute a comunicare al Registro delle
imprese il proprio indirizzo PEC.
Decreto Sviluppo Bis – D.L. del 18 ottobre 2012 n. 179. La pec diventava obbligatoria
anche per le imprese individuali. «Le imprese che si iscrivono per la prima volta
devono richiedere immediatamente la casella PEC per depositarla presso il
Registro delle Imprese». Per le imprese individuali già esistenti, l'indirizzo PEC
doveva essere depositato presso il Registro delle Imprese entro il 30 giugno 2013.
Dal 1 gennaio 2013 – istituzione del domicilio digitale da parte del cittadino nei
rapporti con PA.
La posta elettronica certificata
I soggetti
o Mittente: l’utente che si avvale del servizio di posta
elettronica certificata per la trasmissione di documenti
prodotti mediante strumenti informatici
o Destinatario: l’utente che si avvale del servizio di posta
elettronica certificata per la ricezione di documenti
prodotti mediante strumenti informatici
o Gestore del servizio: il soggetto, pubblico o privato, che
eroga il servizio di posta elettronica certificata e che
gestisce domini di posta elettronica certificata, iscritto negli
elenchi pubblici tenuti dall’Agenzia per l’Italia digitale
o Agenzia per l’Italia digitale: svolge attività di vigilanza e di
controllo sui gestori del servizio al fine di verificare il
possesso e il mantenimento dei requisiti previsti per
l’iscrizione all’elenco
La posta elettronica certificata
L’oggetto
Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) - rinvio
E altresì:
applicazioni pratiche anche alla luce della normativa e dei regolamenti di ultima
generazione, quali:
notifiche giudiziali
istanze e dichiarazioni da presentare alla pubblica amministrazione
la trasmissione dei documenti informatici che così assumono le caratteristiche
dell’immodificabilità e dell’integrità del documento informatico formato mediante
la redazione per il tramite di appositi strumenti software
La fatturazione elettronica
La posta elettronica certificata
Le domande sulla pec
1) A chi devo rivolgermi per avere un indirizzo PEC? Ai gestori PEC accreditati presso l’Agenzia
per l’Italia digitale
2) Quali società rientrano nell’obbligo? Tutte le società di capitali o di persone, le società
semplici, le cooperative, le società estere che hanno una sede secondaria in Italia e le
società in liquidazione. E anche le imprese individuali.
3) A chi devo comunicare il mio indirizzo PEC per adempiere agli obblighi di legge e con quali
modalità? Il rappresentante legale della società (dotato di codice fiscale proprio, codice
fiscale dell’impresa ed indirizzo PEC) nonché in possesso di un dispositivo di firma dovrà
comunicare l’indirizzo PEC al Registro delle Imprese seguendo la procedura online.
http://pec-registroimprese.infocamere.it/DPEC_WAR/do/Home.action?x=XXX
La Camera di Commercio dove ha sede l’impresa prenderà in carico la richiesta inviata
tramite il servizio di cui sopra.
4) Posso adottare più indirizzi di posta elettronica certificata? Sì senza obblighi particolari di
comunicazione al registro delle imprese. Accorgimenti sono richiesti in considerazione delle
funzioni aziendali.
La posta elettronica certificata
In generale sulla corrispondenza aziendale:
L’imprenditore è tenuto a conservare ordinatamente
per ciascun affare gli originali delle lettere ricevute,
dei telegrammi, nonché le copie delle lettere e dei
telegrammi spediti.
Esse devono conservarsi per dieci anni anche sotto
forma di registrazioni su supporti digitali, sempre che
le registrazioni corrispondano ai documenti a cui si
riferiscono e possano in ogni momento essere rese
leggibili con mezzi messi a disposizione del soggetto
che utilizza detti supporti.
Sono fatte salve le ulteriori ed eventuali esigenze di
difendere un diritto in giudizio o di resistervi facendo
valere le opposte ragioni di difesa. In questo caso si
tiene conto dei termini prescrizionali all’uopo previsti
dal legislatore.
L’applicazione «inderogabile» delle regole tecniche in
materia di sistema di conservazione di cui al D.P.C.M.
del 3 dicembre 2013.
La posta elettronica certificata
La corrispondenza nella sua sostanza:
Il legislatore stabilisce che la corrispondenza se rispetta requisiti di forma (sottoscrizione in primis)
costituisce prova legale quanto meno della sua provenienza.
Per il suo contenuto invece rimanda ad altri criteri
- La prova fino a querela di falso
- Il contenuto confessorio della dichiarazione inserita nel documento
- L’anteriorità del documento rispetto ad eventi definitivi che non consentano di smentirne il
contenuto. L’opponibilità della data a terzi
La PEC permette di associare al messaggio la “prova legale” della sua spedizione e della sua
ricezione da parte del destinatario; che un fatto o un atto è stato portato a conoscenza di terzi.
Il giudice deve valutare quelle comunicazioni senza margine di discrezionalità in base a quanto
previsto dalla legge
La posta elettronica certificata
Brevi cenni sulla forma e sul contenuto del messaggio di pec.
IL GESTORE MITTENTE
 Il messaggio composto viene inviato prima al proprio gestore PEC, il quale, una volta identificato il mittente e
svolti idonei controlli formali e di sicurezza, provvede a firmarlo digitalmente e ad inviarlo al gestore
destinatario
 L’utente riceve, a tal punto, un MESSAGGIO DI RICEVUTA DI ACCETTAZIONE dal proprio gestore PEC = prova
legale di spedizione del messaggio in quella data e in quell’ora, dell’immodificabilità e dell’integrità del
contenuto del messaggio e dei suoi allegati nonché della sua riferibilità al soggetto mittente.
I contratti con il gestore che tengano conto degli obblighi
facenti capo a questi in base alle prescrizioni del
legislatore e a quelli discendenti dalla peculiare
disciplina contrattuale.
La posta elettronica certificata
Brevi cenni sulla forma e sul contenuto del messaggio di pec.
IL GESTORE DESTINATARIO
 A questo punto il gestore PEC destinatario prende in carico il messaggio e, fatti i dovuti
controlli formali e di sicurezza, lo recapita nella casella di posta dell’utente destinatario.
 Il mittente riceve, così, un MESSAGGIO DI RICEVUTA DI CONSEGNA (firmato digitalmente) dal
gestore PEC destinatario = prova legale di ricezione (e non di lettura come nella posta
cartacea) in quel preciso momento, di quel preciso messaggio e di quegli specifici allegati
da parte del destinatario.
La posta elettronica certificata
Brevi cenni sulla forma e sul contenuto del messaggio di pec.
Il mittente quindi riceve 2 “ricevute”, una di accettazione e una di avvenuta consegna. Queste
due ricevute sono inviate rispettivamente dal gestore PEC del mittente e dal gestore PEC
destinatario.
La ricevuta di accettazione
 Attesta l’invio del messaggio
 Può essere utilizzata per dimostrare l’avvenuta spedizione nei casi in cui le norme richiedono
che il documento sia spedito entro una certa data.
La ricevuta di avvenuta consegna
 Attesta la ricezione del messaggio
 Può contenere le evidenze documentali che consentono di provare la consegna di un
determinato documento al destinatario
Queste ricevute quindi possono essere usate come prove dell'invio, della ricezione
(ed anche del contenuto del messaggio inviato)
La posta elettronica certificata
Brevi cenni sulla forma e sul contenuto del messaggio di pec.
Le informazioni di dettaglio delle ricevute possono essere diverse qualora si opti per la ricevuta
di avvenuta consegna completa, breve o sintetica:
In particolare: la ricevuta completa di avvenuta consegna contiene (in allegato= Busta di
trasporto):
1) data, oggetto e ora riportate anche in un documento strutturato secondo il formalismo Xml.
La trasmissione è confermata da un riferimento temporale fornito dal servizio in formato
leggibile dall’utente. Tale riferimento temporale è opponibile a terzi.
2) Il testo del messaggio originario completo, anche di eventuali allegati. Esso è firmato dal
sistema informatico del gestore di posta elettronica certificata del destinatario che così ne
assicura l’integrità.
N.B. la firma del gestore è una firma elettronica avanzata, generata automaticamente dal
sistema e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che
consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle
ricevute
La posta elettronica certificata
La sicurezza della posta elettronica certificata
Gli elementi rilevanti
1) l’accesso al servizio di posta elettronica certificata è
consentito solo previa identificazione informatica;
2) la scelta di circuiti aperti o chiusi;
3) l’uso di connessioni protette mediante cifratura dei dati;
4) un antivirus costantemente aggiornato;
5) la protezione dell’integrità dei messaggi trasmessi tra i
gestori;
6) la tracciabilità di tutte le operazioni;
7) la conservazione dei log da parte del gestore del servizio
che prevede anche l’associazione della marca temporale
ai file generati da ciascuna operazione di salvataggio.
La posta elettronica certificata
La sicurezza della posta elettronica certificata
Gli elementi rilevanti
La posizione giuridica, professionale e la dotazione organizzativa e tecnica del
gestore. I requisiti devono rimanere documentati e documentabili.
Il potere di controllo e di vigilanza dell’Agenzia per l’Italia digitale
L’utilizzo sicuro della pec in azienda. Un «regolamento» potrebbe essere d’aiuto?
Le conseguenze
La firma digitale
 La firma manoscritta fornisce la prova dell’origine del documento.
 La firma digitale oltre a garantire l’origine del documento costituisce anche la prova
dell’assenza di alterazioni del testo firmato.
Art. 1, comma 1, lett. s), del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale)
firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato
qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra
loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave
pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un
documento informatico o di un insieme di documenti informatici
La firma digitale
D.P.C.M. del 22 febbraio 2013 (art. 1, comma 1, lett. q e lett. r)
Firma remota: particolare procedura di firma elettronica qualificata o di firma
digitale, generata su HSM, che consente di garantire il controllo esclusivo delle
chiavi private da parte dei titolari delle stesse
Firma automatica: particolare procedura informatica di firma elettronica qualificata
o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il
controllo esclusivo delle proprie chiavi di firma in assenza di presidio puntuale e
continuo da parte di questo
N.B.: l’HSM è un insieme di hardware e software che realizza dispositivi sicuri per la
generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi
D.P.C.M. del 13 novembre 2014 ovvero la firma digitale e le caratteristiche di
immodificabilità e di integrità del documento informatico
La firma digitale
La firma digitale
Elementi essenziali:
La dotazione della firma digitale presuppone l’identificazione del suo titolare attraverso il
documento di identità e comunque attraverso dati quali nome, cognome, pseudonimi
chiaramente identificati come tali, codice fiscale; oltre che, laddove richiesto dal titolare,
allorchè pertinenti agli scopi che si prefigge:
l’indicazione delle qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi
professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni
professionali, nonché poteri di rappresentanza (Il certificato di ruolo consente la sottoscrizione di
documenti informatici con l’esatta attestazione e indicazione titolo del sottoscrittore).
N.B. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al
documento o all'insieme di documenti cui è apposta o associata
La firma digitale
Come si «comporta» la firma digitale
Sistema di chiavi crittografiche asimmetriche:
tecnica basata sull’utilizzo di una coppia di chiavi
inscindibilmente connesse tra loro da un
rapporto di complementarietà
tra
Chiave privata: custodita dal titolare e utilizzata
per l’apposizione della firma
Chiave pubblica: utilizzata per l’apertura
(decifratura) del documento firmato
La firma digitale
Come si «comporta» la firma digitale
La firma apposta con chiave privata può essere verificata solo con la chiave
pubblica corrispondente
Non è possibile ricostruire la chiave privata (segreta) a partire da quella pubblica
sebbene le due chiavi siano univocamente collegate
I dispositivi sicuri
Il dispositivo sicuro per la generazione della firma digitale deve poter essere attivato
esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati
secondo specifici livelli.
L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi
dia prova contraria.
La firma digitale
Come si «comporta» la firma digitale
I dispositivi sicuri
I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare
requisiti di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.
I dispositivi sicuri e le procedure devono garantire l'integrità dei documenti informatici a cui la
firma si riferisce
La firma digitale
Come si «comporta» la firma digitale
In particolare a livello tecnico, quando si richiede l’apposizione della firma:
Il documento viene elaborato dal software producendo la sua impronta (creata
con algoritmo SHA-256 che comporta la generazione di impronta di hash di 256
bit, versione che sostituisce il precedente e meno robusto SHA-1 e relativa
impronta a 160 bit)
Attraverso la chiave privata del titolare, contenuta nel dispositivo insieme al
certificato, viene effettuata dal software la cifratura RSA dell’impronta
Ove l’utente volesse conferire maggiore certezza alle operazioni di firma, potrebbe
marcare il messaggio con la data e l’ora esatta attraverso la marca temporale
(a cui viene associata una validità di 20 anni) che viene concretamente apposta
mediante generazione, da parte di un certificatore, di una firma digitale del
documento cui è associata l'informazione relativa a una data e a un'ora certa.
La firma digitale
Come si «comporta» la firma digitale
Il destinatario che riceve il documento firmato attraverso la combinazione di crittografia
asimmetrica e funzione di hash, dovrà verificare il file avvalendosi di apposito software.
- Applicazione al documento ricevuto della chiave pubblica del mittente (contenuta nel
certificato) al fine di decifrare l’impronta;
- applicazione della funzione di hash alla parte del testo in chiaro e ricavarne l’impronta;
- confrontare l’hash code ricevuto e decifrato con quello creato ex novo, al fine di verificare
se le due impronte coincidono, il che confermerebbe la provenienza e la genuinità del
messaggio;
- per completare il procedimento, il programma verifica la
validità del certificato della chiave pubblica (sospensione o
revoca del certificato.. )
- verifica eventuale su marca temporale.
La firma digitale
Le certificazioni di «sicurezza»
Gli obblighi dei titolari
Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di forma e ad
adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì
tenuto ad utilizzare personalmente il dispositivo di firma.
Art. 21, comma 2, del D.lgs. n. 82/2005
Gli obblighi dei certificatori
L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera
e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro
legali rappresentanti ed i soggetti preposti all'amministrazione, qualora emettano certificati
qualificati, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni
di amministrazione, direzione e controllo presso le banche. E non solo
La firma digitale
Le certificazioni di «sicurezza»
Gli obblighi dei certificatori
Il certificatore deve, tra l’altro:
- adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi;
- provvedere con certezza alla identificazione della persona che fa richiesta della
certificazione;
- rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi previsti;
- specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo
interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche
rivestite, previa verifica della documentazione presentata dal richiedente che attesta la
sussistenza degli stessi;
- attenersi alle regole tecniche di cui all' art. 71 del D.lgs. n. 82/2005.
L’AGID svolge funzioni di controllo e vigilanza sull’attività dei certificatori qualificati.
La firma digitale
Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai
sensi dell' articolo 71 del D.lgs. n. 82/2005, la validità del certificato stesso, nonché gli elementi
identificativi del titolare e del certificatore e gli eventuali limiti d'uso. Ovvero il certificato deve
contenere:
indicazione che il certificato elettronico rilasciato è un certificato qualificato; numero di serie o
altro codice identificativo del certificato; nome, ragione o denominazione sociale del
certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; nome, cognome o uno
pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato;
dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche
pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della
stessa in possesso del titolare; indicazione del termine iniziale e finale del periodo di validità del
certificato; firma elettronica del certificatore.
N.B.: IL CERTIFICATO DI FIRMA DIGITALE HA DURATA SOLITAMENTE TRIENNALE DALLA
DATA DEL RILASCIO
La firma digitale
La firma digitale è il risultato di una procedura informatica
(validazione) che consente al sottoscrittore di rendere
manifesta l’autenticità del documento informatico ed al
destinatario di verificarne la provenienza e l’integrità. In
sostanza i requisiti assolti sono:
- Autenticità: ovvero la certezza dell’identità del
sottoscrittore;
- Integrità: ovvero la sua immodificabilità nel tempo e
nella trasmissione;
- Non ripudio: la piena validità legale del documento
sottoscritto e l’inconfutabile titolarità della firma
utilizzata.
La firma digitale
D.P.C.M. del 22 febbraio 2013
La firma elettronica avanzata tout court - cenni
Artt. 55 e seguenti
Requisiti
Ambito di applicazione
La firma «grafometrica»
Grazie!
Avv. Chiara Fantini
cfantini@consulentelegaleinformatico.it
Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il
testo, immagini, fotografie, grafica) è di proprietà esclusiva
e riservata della società Colin & Partners Srl, e protetto dalle
leggi sul copyright ed in generale dalle vigenti norme
nazionali ed internazionali in materia. Il materiale fornito
potrà essere riprodotto solo a scopo didattico per il
presente corso ed ogni altra riproduzione o utilizzo in toto o
in parte è vietata salvo esplicita autorizzazione per scritto e
a priori da parte della Colin & Partners Srl.
Le informazioni contenute nel materiale didattico sono da
ritenersi esatte esclusivamente alla data di svolgimento del
corso e potranno essere soggette a variazioni, in base alle
modifiche legislative intervenute, in relazione alle quali la
Colin & Partners Srl non si assume l’onere di inviare
l’aggiornamento, salvo diversamente stabilito
contrattualmente tra le parti.
Contatti
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166
Fax +39 0572 294540
Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
info@consulentelegaleinformatico.it
Per organizzare eventi e corsi di formazione:
comunicazione@consulentelegaleinformatico.it
Seguici su:

C. Fantini - PEC e Firma digitale

  • 1.
    Pec e firmadigitale Pisa, 22 aprile 2015 Relatore Avv. Chiara Fantini
  • 2.
    La posta elettronicacertificata Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) per cui: 1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto del Presidente del Consiglio dei Ministri, sentito DigitPA (ora Agenzia per l’Italia digitale). 2. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta. 3. La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto del Presidente del Consiglio dei Ministri di cui al comma 1.
  • 3.
    La posta elettronicacertificata D.P.R. n. 68/2005 Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata a norma dell’art. 27 della Legge 16 gennaio 2003, n.3 D.M del 2 novembre 2005 Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione, la validazione anche temporale della posta elettronica certificata Legge del 28 gennaio 2009, n. 2: gli obblighi di iscrizione della pec in capo a imprese in forma societaria e a professionisti, e di deposito dell’indirizzo nel registro delle imprese e negli albi professionali Legge del 4 aprile 2012, n. 35: estensione dell’obbligo alle imprese individuali attive e di prima iscrizione.
  • 4.
    La posta elettronicacertificata Art.6, comma 1, del D.lgs. n. 82/2005 1. Per le comunicazioni di cui all' articolo 48, comma 1 , con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano Art. 6 bis, commi 1 e 2, del D.lgs. n. 82/2005 Indice nazionale degli indirizzi PEC delle imprese e dei professionisti Al fine di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica, è istituito (omissis) il pubblico elenco denominato Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC) delle imprese e dei professionisti, presso il Ministero per lo sviluppo economico. L'Indice nazionale di cui al comma 1 è realizzato a partire dagli elenchi di indirizzi PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali, in attuazione di quanto previsto dall'articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2.
  • 5.
    La posta elettronicacertificata La PEC è considerata la versione “virtuale” della sede legale aziendale (cd. sede elettronica presso cui saranno recapitati tutti gli atti e i documenti aventi valore legale). • Per i Professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato il termine è scaduto il 29 novembre 2009 e l’indirizzo PEC va comunicato all’ Ordine professionale di appartenenza. • Le imprese costituite in forma societaria (Srl, snc, Sas, Spa) ed iscritte nel Registro delle imprese al 29 novembre 2008 il termine è scaduto il 29 novembre 2011. Entro il 30 giugno 2012 tutte le società erano tenute a comunicare al Registro delle imprese il proprio indirizzo PEC. Decreto Sviluppo Bis – D.L. del 18 ottobre 2012 n. 179. La pec diventava obbligatoria anche per le imprese individuali. «Le imprese che si iscrivono per la prima volta devono richiedere immediatamente la casella PEC per depositarla presso il Registro delle Imprese». Per le imprese individuali già esistenti, l'indirizzo PEC doveva essere depositato presso il Registro delle Imprese entro il 30 giugno 2013. Dal 1 gennaio 2013 – istituzione del domicilio digitale da parte del cittadino nei rapporti con PA.
  • 6.
    La posta elettronicacertificata I soggetti o Mittente: l’utente che si avvale del servizio di posta elettronica certificata per la trasmissione di documenti prodotti mediante strumenti informatici o Destinatario: l’utente che si avvale del servizio di posta elettronica certificata per la ricezione di documenti prodotti mediante strumenti informatici o Gestore del servizio: il soggetto, pubblico o privato, che eroga il servizio di posta elettronica certificata e che gestisce domini di posta elettronica certificata, iscritto negli elenchi pubblici tenuti dall’Agenzia per l’Italia digitale o Agenzia per l’Italia digitale: svolge attività di vigilanza e di controllo sui gestori del servizio al fine di verificare il possesso e il mantenimento dei requisiti previsti per l’iscrizione all’elenco
  • 7.
    La posta elettronicacertificata L’oggetto Art. 48 del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) - rinvio E altresì: applicazioni pratiche anche alla luce della normativa e dei regolamenti di ultima generazione, quali: notifiche giudiziali istanze e dichiarazioni da presentare alla pubblica amministrazione la trasmissione dei documenti informatici che così assumono le caratteristiche dell’immodificabilità e dell’integrità del documento informatico formato mediante la redazione per il tramite di appositi strumenti software La fatturazione elettronica
  • 8.
    La posta elettronicacertificata Le domande sulla pec 1) A chi devo rivolgermi per avere un indirizzo PEC? Ai gestori PEC accreditati presso l’Agenzia per l’Italia digitale 2) Quali società rientrano nell’obbligo? Tutte le società di capitali o di persone, le società semplici, le cooperative, le società estere che hanno una sede secondaria in Italia e le società in liquidazione. E anche le imprese individuali. 3) A chi devo comunicare il mio indirizzo PEC per adempiere agli obblighi di legge e con quali modalità? Il rappresentante legale della società (dotato di codice fiscale proprio, codice fiscale dell’impresa ed indirizzo PEC) nonché in possesso di un dispositivo di firma dovrà comunicare l’indirizzo PEC al Registro delle Imprese seguendo la procedura online. http://pec-registroimprese.infocamere.it/DPEC_WAR/do/Home.action?x=XXX La Camera di Commercio dove ha sede l’impresa prenderà in carico la richiesta inviata tramite il servizio di cui sopra. 4) Posso adottare più indirizzi di posta elettronica certificata? Sì senza obblighi particolari di comunicazione al registro delle imprese. Accorgimenti sono richiesti in considerazione delle funzioni aziendali.
  • 9.
    La posta elettronicacertificata In generale sulla corrispondenza aziendale: L’imprenditore è tenuto a conservare ordinatamente per ciascun affare gli originali delle lettere ricevute, dei telegrammi, nonché le copie delle lettere e dei telegrammi spediti. Esse devono conservarsi per dieci anni anche sotto forma di registrazioni su supporti digitali, sempre che le registrazioni corrispondano ai documenti a cui si riferiscono e possano in ogni momento essere rese leggibili con mezzi messi a disposizione del soggetto che utilizza detti supporti. Sono fatte salve le ulteriori ed eventuali esigenze di difendere un diritto in giudizio o di resistervi facendo valere le opposte ragioni di difesa. In questo caso si tiene conto dei termini prescrizionali all’uopo previsti dal legislatore. L’applicazione «inderogabile» delle regole tecniche in materia di sistema di conservazione di cui al D.P.C.M. del 3 dicembre 2013.
  • 10.
    La posta elettronicacertificata La corrispondenza nella sua sostanza: Il legislatore stabilisce che la corrispondenza se rispetta requisiti di forma (sottoscrizione in primis) costituisce prova legale quanto meno della sua provenienza. Per il suo contenuto invece rimanda ad altri criteri - La prova fino a querela di falso - Il contenuto confessorio della dichiarazione inserita nel documento - L’anteriorità del documento rispetto ad eventi definitivi che non consentano di smentirne il contenuto. L’opponibilità della data a terzi La PEC permette di associare al messaggio la “prova legale” della sua spedizione e della sua ricezione da parte del destinatario; che un fatto o un atto è stato portato a conoscenza di terzi. Il giudice deve valutare quelle comunicazioni senza margine di discrezionalità in base a quanto previsto dalla legge
  • 11.
    La posta elettronicacertificata Brevi cenni sulla forma e sul contenuto del messaggio di pec. IL GESTORE MITTENTE  Il messaggio composto viene inviato prima al proprio gestore PEC, il quale, una volta identificato il mittente e svolti idonei controlli formali e di sicurezza, provvede a firmarlo digitalmente e ad inviarlo al gestore destinatario  L’utente riceve, a tal punto, un MESSAGGIO DI RICEVUTA DI ACCETTAZIONE dal proprio gestore PEC = prova legale di spedizione del messaggio in quella data e in quell’ora, dell’immodificabilità e dell’integrità del contenuto del messaggio e dei suoi allegati nonché della sua riferibilità al soggetto mittente. I contratti con il gestore che tengano conto degli obblighi facenti capo a questi in base alle prescrizioni del legislatore e a quelli discendenti dalla peculiare disciplina contrattuale.
  • 12.
    La posta elettronicacertificata Brevi cenni sulla forma e sul contenuto del messaggio di pec. IL GESTORE DESTINATARIO  A questo punto il gestore PEC destinatario prende in carico il messaggio e, fatti i dovuti controlli formali e di sicurezza, lo recapita nella casella di posta dell’utente destinatario.  Il mittente riceve, così, un MESSAGGIO DI RICEVUTA DI CONSEGNA (firmato digitalmente) dal gestore PEC destinatario = prova legale di ricezione (e non di lettura come nella posta cartacea) in quel preciso momento, di quel preciso messaggio e di quegli specifici allegati da parte del destinatario.
  • 13.
    La posta elettronicacertificata Brevi cenni sulla forma e sul contenuto del messaggio di pec. Il mittente quindi riceve 2 “ricevute”, una di accettazione e una di avvenuta consegna. Queste due ricevute sono inviate rispettivamente dal gestore PEC del mittente e dal gestore PEC destinatario. La ricevuta di accettazione  Attesta l’invio del messaggio  Può essere utilizzata per dimostrare l’avvenuta spedizione nei casi in cui le norme richiedono che il documento sia spedito entro una certa data. La ricevuta di avvenuta consegna  Attesta la ricezione del messaggio  Può contenere le evidenze documentali che consentono di provare la consegna di un determinato documento al destinatario Queste ricevute quindi possono essere usate come prove dell'invio, della ricezione (ed anche del contenuto del messaggio inviato)
  • 14.
    La posta elettronicacertificata Brevi cenni sulla forma e sul contenuto del messaggio di pec. Le informazioni di dettaglio delle ricevute possono essere diverse qualora si opti per la ricevuta di avvenuta consegna completa, breve o sintetica: In particolare: la ricevuta completa di avvenuta consegna contiene (in allegato= Busta di trasporto): 1) data, oggetto e ora riportate anche in un documento strutturato secondo il formalismo Xml. La trasmissione è confermata da un riferimento temporale fornito dal servizio in formato leggibile dall’utente. Tale riferimento temporale è opponibile a terzi. 2) Il testo del messaggio originario completo, anche di eventuali allegati. Esso è firmato dal sistema informatico del gestore di posta elettronica certificata del destinatario che così ne assicura l’integrità. N.B. la firma del gestore è una firma elettronica avanzata, generata automaticamente dal sistema e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle ricevute
  • 15.
    La posta elettronicacertificata La sicurezza della posta elettronica certificata Gli elementi rilevanti 1) l’accesso al servizio di posta elettronica certificata è consentito solo previa identificazione informatica; 2) la scelta di circuiti aperti o chiusi; 3) l’uso di connessioni protette mediante cifratura dei dati; 4) un antivirus costantemente aggiornato; 5) la protezione dell’integrità dei messaggi trasmessi tra i gestori; 6) la tracciabilità di tutte le operazioni; 7) la conservazione dei log da parte del gestore del servizio che prevede anche l’associazione della marca temporale ai file generati da ciascuna operazione di salvataggio.
  • 16.
    La posta elettronicacertificata La sicurezza della posta elettronica certificata Gli elementi rilevanti La posizione giuridica, professionale e la dotazione organizzativa e tecnica del gestore. I requisiti devono rimanere documentati e documentabili. Il potere di controllo e di vigilanza dell’Agenzia per l’Italia digitale L’utilizzo sicuro della pec in azienda. Un «regolamento» potrebbe essere d’aiuto? Le conseguenze
  • 17.
    La firma digitale La firma manoscritta fornisce la prova dell’origine del documento.  La firma digitale oltre a garantire l’origine del documento costituisce anche la prova dell’assenza di alterazioni del testo firmato. Art. 1, comma 1, lett. s), del D.lgs. n. 82/2005 (Codice dell’amministrazione digitale) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici
  • 18.
    La firma digitale D.P.C.M.del 22 febbraio 2013 (art. 1, comma 1, lett. q e lett. r) Firma remota: particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse Firma automatica: particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma in assenza di presidio puntuale e continuo da parte di questo N.B.: l’HSM è un insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi D.P.C.M. del 13 novembre 2014 ovvero la firma digitale e le caratteristiche di immodificabilità e di integrità del documento informatico
  • 19.
  • 20.
    La firma digitale Elementiessenziali: La dotazione della firma digitale presuppone l’identificazione del suo titolare attraverso il documento di identità e comunque attraverso dati quali nome, cognome, pseudonimi chiaramente identificati come tali, codice fiscale; oltre che, laddove richiesto dal titolare, allorchè pertinenti agli scopi che si prefigge: l’indicazione delle qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza (Il certificato di ruolo consente la sottoscrizione di documenti informatici con l’esatta attestazione e indicazione titolo del sottoscrittore). N.B. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata
  • 21.
    La firma digitale Comesi «comporta» la firma digitale Sistema di chiavi crittografiche asimmetriche: tecnica basata sull’utilizzo di una coppia di chiavi inscindibilmente connesse tra loro da un rapporto di complementarietà tra Chiave privata: custodita dal titolare e utilizzata per l’apposizione della firma Chiave pubblica: utilizzata per l’apertura (decifratura) del documento firmato
  • 22.
    La firma digitale Comesi «comporta» la firma digitale La firma apposta con chiave privata può essere verificata solo con la chiave pubblica corrispondente Non è possibile ricostruire la chiave privata (segreta) a partire da quella pubblica sebbene le due chiavi siano univocamente collegate I dispositivi sicuri Il dispositivo sicuro per la generazione della firma digitale deve poter essere attivato esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati secondo specifici livelli. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.
  • 23.
    La firma digitale Comesi «comporta» la firma digitale I dispositivi sicuri I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata: a) sia riservata; b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni; c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi. I dispositivi sicuri e le procedure devono garantire l'integrità dei documenti informatici a cui la firma si riferisce
  • 24.
    La firma digitale Comesi «comporta» la firma digitale In particolare a livello tecnico, quando si richiede l’apposizione della firma: Il documento viene elaborato dal software producendo la sua impronta (creata con algoritmo SHA-256 che comporta la generazione di impronta di hash di 256 bit, versione che sostituisce il precedente e meno robusto SHA-1 e relativa impronta a 160 bit) Attraverso la chiave privata del titolare, contenuta nel dispositivo insieme al certificato, viene effettuata dal software la cifratura RSA dell’impronta Ove l’utente volesse conferire maggiore certezza alle operazioni di firma, potrebbe marcare il messaggio con la data e l’ora esatta attraverso la marca temporale (a cui viene associata una validità di 20 anni) che viene concretamente apposta mediante generazione, da parte di un certificatore, di una firma digitale del documento cui è associata l'informazione relativa a una data e a un'ora certa.
  • 25.
    La firma digitale Comesi «comporta» la firma digitale Il destinatario che riceve il documento firmato attraverso la combinazione di crittografia asimmetrica e funzione di hash, dovrà verificare il file avvalendosi di apposito software. - Applicazione al documento ricevuto della chiave pubblica del mittente (contenuta nel certificato) al fine di decifrare l’impronta; - applicazione della funzione di hash alla parte del testo in chiaro e ricavarne l’impronta; - confrontare l’hash code ricevuto e decifrato con quello creato ex novo, al fine di verificare se le due impronte coincidono, il che confermerebbe la provenienza e la genuinità del messaggio; - per completare il procedimento, il programma verifica la validità del certificato della chiave pubblica (sospensione o revoca del certificato.. ) - verifica eventuale su marca temporale.
  • 26.
    La firma digitale Lecertificazioni di «sicurezza» Gli obblighi dei titolari Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di forma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma. Art. 21, comma 2, del D.lgs. n. 82/2005 Gli obblighi dei certificatori L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, qualora emettano certificati qualificati, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche. E non solo
  • 27.
    La firma digitale Lecertificazioni di «sicurezza» Gli obblighi dei certificatori Il certificatore deve, tra l’altro: - adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi; - provvedere con certezza alla identificazione della persona che fa richiesta della certificazione; - rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi previsti; - specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi; - attenersi alle regole tecniche di cui all' art. 71 del D.lgs. n. 82/2005. L’AGID svolge funzioni di controllo e vigilanza sull’attività dei certificatori qualificati.
  • 28.
    La firma digitale Attraversoil certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell' articolo 71 del D.lgs. n. 82/2005, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d'uso. Ovvero il certificato deve contenere: indicazione che il certificato elettronico rilasciato è un certificato qualificato; numero di serie o altro codice identificativo del certificato; nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato; dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare; indicazione del termine iniziale e finale del periodo di validità del certificato; firma elettronica del certificatore. N.B.: IL CERTIFICATO DI FIRMA DIGITALE HA DURATA SOLITAMENTE TRIENNALE DALLA DATA DEL RILASCIO
  • 29.
    La firma digitale Lafirma digitale è il risultato di una procedura informatica (validazione) che consente al sottoscrittore di rendere manifesta l’autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono: - Autenticità: ovvero la certezza dell’identità del sottoscrittore; - Integrità: ovvero la sua immodificabilità nel tempo e nella trasmissione; - Non ripudio: la piena validità legale del documento sottoscritto e l’inconfutabile titolarità della firma utilizzata.
  • 30.
    La firma digitale D.P.C.M.del 22 febbraio 2013 La firma elettronica avanzata tout court - cenni Artt. 55 e seguenti Requisiti Ambito di applicazione La firma «grafometrica»
  • 31.
    Grazie! Avv. Chiara Fantini cfantini@consulentelegaleinformatico.it Copyright Ilmateriale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl. Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti. Contatti Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016 Tel. +39 0572 78166 Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475 Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca www.consulentelegaleinformatico.it Per richieste progetti e preventivi: info@consulentelegaleinformatico.it Per organizzare eventi e corsi di formazione: comunicazione@consulentelegaleinformatico.it Seguici su: