Normativa di riferimento 1
Evoluzione della normativa Nel Art. CP 491-bis doc. informatico del C.P. =supporto L. contenente 547 una «res» come 23/12/1993 il documento L 547 23/12/1993 Legge semplificazione Amministrativa L. 59 15/03/1997 Legge Bassanini L 59 15/03/1997 Regole Deliberazione tecniche per riproduzione CNIPA n. 11e conservazione documenti Delib.CNIPA 19/02/2004 11 19/02/2004 Regolamentazione DPR 513 Firma 10/11/1997 digitale ma anche doc informatico DPR 513 10/11/1997 Direttiva CE Europea 93 Firma 13/12/1999 elettronica CE 93 13/12/1999 Regolamentazione DPR 428 Protocollo 20/10/1998 informatico DPR 428 20/10/1998 Regolamentazione Dlgs 42 Sistema 28/02/2005 Pubblico di Connettività (SPC) Dlgs 42 28/02/2005 Regolamentazione DPR 68 Posta 11/02/2005 Elettronica Certificata (PEC) DPR 68 11/02/2005 Nuove DPCM regole 13/01/2004 tecniche Firme elettroniche DPCM 13/01/2004 Regole DPCM tecniche Firma 08/02/1999 digitale DPCM 08/02/1999 Legge L comunitaria 422 di 29/12/2000 recepimento L 422 29/12/2000 Regole DPCM tecniche Protocollo 31/10/2000 informatico DPCM 31/10/2000 Regole DPCM tecniche Gener. Appos. Verifica Firme elettr. e 30/03/2009 validaz. temporale DPCM 30/03/2009 Testo DPR Testo Unico 445 Unico D.A. (solo per Doc. 28/12/2000 Protocollo Modificato amministrativa informatico) DPR 445 (TUDA) 28/12/2000 DPR 445 28/12/2000 Recepimento Dlgs 10 norma 23/01/2002 comunitaria Dlgs 10 23/01/2002 Coordinamento TU/nuove DPR 137 regole firme 07/04/2003 elettroniche DPR 137 07/04/2003 Codice Nuova Attuale Amministrazione Dlgs versione 82 CAD Digitale 07/03/2005 Con CAD SPC (CAD) Dlgs 82 07/03/2005 In attesa delle emanazioni di DCPM Bozze Vari regole DPCM tecniche Con le nuove regole tecniche DigitPA amministrazione_digitale Decreto Dlgs 159 che fa confluire 04/04/2006 SPC nel CAD Dlgs 159 04/04/2006 Vari interventi legislativi Dlgs 177/2009, Dlgs 32/2010 Dlgs Dlgs 235177/2009 30/12/2010 Dlgs 32/2010 Dlgs 235 30/12/2010 DL 138 + 13/08/2011 altri DL 179 18/10/2012 Fonte: P. Ridolfi «Il nuovo codice dell amministrazione digitale» collana minigrafie SIAV ACADEMY 2
Concetti basilari 3
Dal documento analogico a quello informatico Documento Analogico Documento Informatico E un oggetto materiale E un oggetto "quasi" immateriale E originale Ogni duplicato è un originale Può essere sottoscritto con firma autografa Può essere firmato digitalmente 4
Documento informatico ed analogico Definizioni Documento Informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (CAD Capo I, Sezione I Art.1 Definizioni, lettera p) Documento Analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti (CAD Capo I, Sezione I, Art.1 Definizioni, lettera p-bis) 5
Tipologia di firme elettroniche Firma elettronica: l insieme di dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzata come metodo di autenticazione (CAD Dlgs 235/10 Capo 1, sez.1 art.1 lett. q) Firma elettronica avanzata: l insieme di dati allegati o connessi a un documento informatico, che consentono l identificazione del firmatario del documento, che garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, e che sono collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati (CAD Dlgs 235/10 Capo 1, sez.1 art.1 lett. q-bis) Firma elettronica qualificata: la firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma (CAD Dlgs 235/10 Capo 1, sez.1 art.1 lett. r) Firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite chiave pubblica, rispettivamente di rendere manifesta e di verificare la provenienza e l integrità di un documento informatico o insieme di documenti informatici (CAD Dlgs 235/10 Capo 1, sez.1 art.1 lett. s) 6
Efficacia dei documenti informatici Tipo documento Documento Informatico non sottoscritto Efficacia probatoria Ha efficacia probatoria di cui all art. 2712 c.c. «Riproduzioni meccaniche» (art. 10 TUDA) Documento Informatico sottoscritto con firma digitale il cui certificato è revocato, scaduto o sospeso equivale a mancata sottoscrizione (art.21 comma 3 CAD) Documento Informatico sottoscritto con firma digitale Ha efficacia probatoria di cui all art. 2712 c.c. «Riproduzioni meccaniche» (art. 10 TUDA) Ha efficacia probatoria di cui all art. 2702 c.c. «Efficacia della scrittura privata», il dispositivo di firma si presume riconducibile al titolare (art. 21, comma 2 CAD) 7
Efficacia probatoria dei documenti sottoscritti Documento sottoscritto Firma elettronica Liberamente valutabile dal giudice Documento sottoscritto Firma elettronica avanzata Firma elettronica qualificata Firma digitale Fa piena prova fino a querela di falso (CAD art.21 comma 2) 8
Firma e marca temporale FIRMA ELETTRONICA (almeno avanzata) Identificazione univoca del firmatario MARCA TEMPORALE Identificazione certa di data e ora 9
Marca temporale Una marca temporale, rilasciata da una Certification Authority accreditata, consente di attribuire una data ed un ora certe Una marca temporale, apposta ad un documento informatico, ne estende la validità sino alla scadenza della marca 10
Garanzia di legalità nel tempo Certificati di firma Scadono Marche temporali Scadono E necessario un processo per garantire nel tempo la validità legale dei documenti informatici La conservazione a norma dei documenti garantisce la legalità nel tempo 11
Ricapitolando Validità nel tempo Doc originale Doc firmato Doc firmato e marcato La conservazione consente di mantenere la validità nel tempo Tempo T1 T2 firma T3 marca Scadenza, sospensione o revoca del certificato di firma Scadenza marca temporale ART. 51 DPCM 30 marzo 2009 Valore della firma digitale nel tempo La validità di un documento informatico, i cui effetti si protraggano nel tempo oltre il limite della validità della chiave di sottoscrizione, può essere estesa mediante l'associazione di una marca temporale. 12
Requisiti per la conservazione dei documenti informatici Art. 44 comma 1 Il sistema di conservazione dei documenti informatici assicura: a) l'identificazione certa del soggetto che ha formato il documento e dell'amministrazione o dell'area organizzativa omogenea di riferimento di cui all'articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 b) l'integrità del documento c) la leggibilità e l'agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto 13
Interdisciplinarietà: 3 figure importanti Art. 44 comma 1-bis Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d intesa con il responsabile del trattamento dei dati personali di cui all art.29 del Dlgs 30 giugno 2002, n. 196 e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all art. 61 DPR 445 28 dicembre 2000, nella definizione e gestione delle attività di rispettiva competenza. Responsabile della conservazione Responsabile del trattamento dei dati personali Responsabile della gestione dei flussi documentali 14
La conservazione: possibili scenari Servizio in proprio L Ente provvede a predisporre un proprio sistema di conservazione Servizio in outsourcing L Ente affida in tutto o in parte ad un soggetto esterno la conservazione a norma dei documenti (Deliberazione n. 11 del 19 febbraio 2004 del CNIPA - ora Agenzia per l Italia Digitale - al comma 3, art. 5) La Regione FVG mette a disposizione degli Enti il servizio di conservazione a norma. Ruoli e responsabilità vengono definiti in appositi disciplinari sottoscritti dalle parti 15
Impianto contrattuale per gli Enti Locali Disciplina del servizio in outsourcing per la conservazione digitale a norma dei documenti informatici amministrativi 16
Impianto contrattuale: concetto 17
Impianto contrattuale: relazioni 18
Disciplinare Regione-Enti Allegati Sub «A» DOCUMENTI Allegato Sub «B» MANUALE 19
Articoli dei disciplinari 1. Premesse 2. Definizioni 3. Oggetto 4. Contenuto e caratteristiche della prestazione 5. Accessi 6. Miglioramento tecnologico / Adeguamento tecnologico 7. Obblighi e responsabilità dell incaricato 8. Obblighi e responsabilità del delegante 9. Conservatore e Gestore del servizio di conservazione / Conservatore e Responsabile della Conservazione 10. Sicurezza 11. Riservatezza e privacy 12. Comunicazioni interne tra le PARTI 13. Rinvii 14. Registrazione e spese contrattuali 15. Allegati 16. Esecutività 17. Durata 20
Collaborazioni, associazioni e tavoli di lavoro 21
Servizio di conservazione legale La soluzione Insiel 22
Il Processo Sistemi documentali Sistema di conservazione Documenti archiviati Presa in carico e controllo Archiviazione e marcatura temporale Conservazione 23
Il Processo: presa in carico dei documenti 1/2 Area Ente Area Se i documenti risultano archiviati in sistemi documentali prodotti e gestiti da Insiel, all attivazione del flusso di conservazione, processi automatici, o specifiche funzionalità a disposizione degli operatori, pubblicano gli identificativi dei documenti da conservare in appositi elenchi. Ufficio Ufficio Ufficio Classe Classe Versione Versione Versione Per i documenti prodotti da sistemi gestiti da terze parti, sono a disposizione dei web services mediante i quali gli utenti abilitati inseriscono le richieste di conservazione e provvedono, contestualmente, a depositare i documenti e i metadati in un area di interscambio I documenti sono classificati come da immagine 24
Il processo: presa in carico dei documenti 2/2 Documento Metadati Documento principale Allegato 1 Allegato 2... Allegato N 1. Il documento preso in carico è composto da un documento principale un file contenente i metadati eventuali allegati 2. I processi di presa in carico, con la frequenza registrata negli allegati al manuale della conservazione adottato dall Ente o dall Azienda, provvedono ad effettuare un duplicato informatico (CAD art. 1 comma 1 i -quinquies) dei documenti da conservare in un area temporanea di memorizzazione. a generare il file XML (extensible Markup Language) dei metadati per i documenti prodotti da sistemi gestiti direttamente da Insiel a controllare l idoneità del formato 25
Il Processo: archiviazione 1/2 Il processo di archiviazione traccia le informazioni relative alle richieste di conservazione sottopone ogni documento ai controlli specifici, previsti per la classe documentale cui appartiene verifica i certificati di firma e le eventuali marche temporali in assenza di errori, carica i metadati nella base dati di conservazione ed archivia i documenti su supporti non riscrivibili marca temporalmente l insieme delle impronte dei file archiviati 26
Il Processo: archiviazione 2/2 In presenza di anomalie, il processo provvede a registrare sulla base dati della conservazione gli estremi del documento e il tipo di anomalia riscontrata informare, via e-mail, il responsabile della conservazione dell Ente/Azienda 27
Il Processo: conservazione Il processo di archiviazione è disaccoppiato rispetto a quello di conservazione, ossia possono esistere più lotti (volumi di archiviazione) a fronte di un unico volume di conservazione La chiusura dei volumi di conservazione avviene mediante l apposizione della firma digitale e della marca temporale da parte del responsabile del processo di conservazione di Insiel o da un suo incaricato Tutti i soggetti preposti al servizio sono formalmente incaricati e a ciascuno di essi risultano attribuite specifiche mansioni 28
Certificazione ISO 9001: software Le componenti software utilizzate per la gestione dei processi di presa in carico, archiviazione e conservazione sono state certificate e appositi documenti, costantemente aggiornati, descrivono: l architettura del sistema i requisiti e la parametrizzazione del sistema i processi di revisione e implementazione del software 29
Certificazione ISO 9001: servizio Il processo di erogazione del servizio è stato anch esso certificato Il manuale del processo di conservazione viene consegnato ai clienti ed è parte integrante del disciplinare che regolamenta il servizio Dettagliate specifiche ad uso interno definiscono l organizzazione del servizio, le risorse ad esso dedicate e le ulteriori strutture aziendali coinvolte Una guida operativa descrive in dettaglio le attività svolte dal personale nell ambito del servizio 30
Certificazione ISO 9001 31
Attivazione del servizio: figure coinvolte 32
Attivazione del servizio: operazioni preliminari Per poter utilizzare il servizio, gli Enti devono Nominare un Responsabile Sottoscrivere il disciplinare del servizio con la Regione FVG Adottare un proprio Manuale della conservazione ed i relativi allegati Chiedere formalmente l avvio del processo Insiel, ricevuto l incarico dalla Regione Personalizza i moduli software per la presa in carico Predispone l ambiente tecnologico Schedula ed avvia i processi 33
Conduzione del servizio: attività di gestione (1/3) Attività giornaliere Controllo degli esiti dei processi automatici di presa in carico Verifica delle anomalie riscontrate ed eventuali comunicazioni integrative ai responsabili della conservazione Analisi dei log Chiusura dei lotti Controlli manuali di integrità su almeno un documento per ogni lotto chiuso nella giornata Verifica degli esiti registrati dalle procedure di controllo automatico e di backup Verifica di congruenza tra l elenco generato in automatico e le unità di backup effettivamente prodotte e custodite nel bunker Invio della seconda copia di salvi in una sede geograficamente differente DEMO 34
Conduzione del servizio: attività di gestione (2/3) Attività mensili DEMO Verifica dell integrità dei dispositivi di backup A partire dai dispositivi di backup, esecuzione di funzionalità di ricerca e di visualizzazione delle caratteristiche di lotti e documenti, «recupero per esibizione» di singoli documenti Verifica del corretto funzionamento delle apparecchiature in «Sala di esibizione» Registrazione, da parte di tutti i soggetti coinvolti, degli esiti dei controlli effettuati Stesura di verbali 35
Conduzione del servizio: attività di gestione (3/3) Attività saltuarie DEMO Predisposizione e aggiornamento degli allegati tecnici ai Manuali della Conservazione adottati dai clienti Predisposizione di specifiche tecniche per la definizione di nuove classi documentali Predisposizione delle bozze di direttive per la sanatoria delle anomalie Richiesta di pareri legali Formulazione di istanze ed interpelli agli organi centrali di controllo Verifica del corretto funzionamento delle apparecchiature in «Sala di esibizione» ed eventuale aggiornamento tecnologico Conservazione dei Visori Attivazione di nuovi processi di conservazione 36
Conduzione del servizio: anomalie 1/3 Come vengono gestite le anomalie? I documenti che non superano i controlli di integrità e validità legale generano un anomalia che viene registrata nel sistema di conservazione e, contemporaneamente, comunicata al Responsabile della Conservazione dell Ente, o ad un suo delegato Il sistema, a fronte di una direttiva, è in grado di ignorare l anomalia e forzare il documento nel sistema, registrando anche il documento giustificativo 37
Conduzione del servizio: anomalie 2/3 38
Conduzione del servizio: anomalie 3/3 39
Strumenti di controllo: CONSWEB L applicazione consente di gestire il servizio, verificare il processo, esibire i documenti e produrre i report di controllo 40
Strumenti di controllo: come accedere L accesso prevede l uso di credenziali L utente abilitato ha l autorizzazione ad eseguire solamente le funzioni previste dal ruolo a lui assegnato Sono previsti i seguenti ruoli di accesso per Responsabile della conservazione e suoi delegati Incaricato alla gestione del servizio di conservazione Incaricato al controllo dei processi Ogni azione svolta è tracciata e memorizzata 41
Esibizione dei documenti E la richiesta di esibire i documenti informatici conservati a norma Area protetta di consultazione I documenti richiesti sono a disposizione presso il CED Insiel nell apposita area protetta di consultazione Sono in fase di definizione ulteriori modalità di esibizione Ufficio/Ente Conservatore ART. 6 comma 1 Deliberazione CNIPA n.11 19 febbraio 2004 Obbligo di esibizione Il documento conservato deve essere reso leggibile in qualunque momento presso il sistema di conservazione sostitutiva. 42
Come comunicare Gli Enti che hanno aderito al servizio di Conservazione legale Insiel possono comunicare con il personale preposto mediante una casella di posta dedicata e costantemente presidiata servizioconservazione@insiel.it 43