RELAZIONE FOLLOW UP DEL MASTER PER ARCHIVISTI RECORDS MANAGER NELLE UNIVERSITÀ ITALIANE CAGLIARI UNIVERSITÀ DEGLI STUDI DI CAGLIARI

RELAZIONE FOLLOW UP DEL MASTER PER ARCHIVISTI RECORDS MANAGER NELLE UNIVERSITÀ ITALIANE CAGLIARI UNIVERSITÀ DEGLI STUDI DI CAGLIARI 22-23 - 24 GIUGNO 2004 Rosanna Udanch Ufficio protocollo archivio corrente Università degli Studi di Sassari

Il modulo didattico svolto nell ambito del follow up, aggiornamento al master per archivisti tenutosi nel 2002 in diverse località universitarie, è stato predisposto al fine di presentare quelle tecnologie, di cui tanto ci parla la normativa del ministro Stanca, che fungono da supporto alle attività di gestione informatica dei documenti: firma digitale e posta elettronica certificata. Le tre giornate di approfondimento sono state organizzate secondo il seguente programma: L avv. Guisella Finocchiaro, docente di diritto informatico presso l università di Bologna, ha presentato la parte del corso riguardante l informatica giuridica e, più precisamente, ha introdotto il discorso della firma digitale e del documento informatico L Ing. Guglielmo Longobardi, responsabile del settore protocollo presso il CNIPA (ex AIPA), ha affrontato il discorso relativo all archiviazione ottica dei documenti e alla posta elettronica certificata Dott. Gianni Penzo Doria, dirigente e responsabile dell archivio generale dell Università degli Studi di Padova, ha approfondito il discorso sul protocollo informatico e sulla gestione dei documenti L introduzione e l applicazione strategica delle norme in materia di documento elettronico, firma digitale, posta elettronica certificata, archiviazione ottica sostitutiva e protocollo informatico hanno avuto un esito di grande impatto sull organizzazione del lavoro e sulla gestione dei flussi documentali, soprattutto, nell ambito delle pubbliche amministrazioni. La nascita del protocollo informatico ha contribuito allo sviluppo dell informatica applicata ai documenti e ha permesso di creare sistemi, non solo informatici, ma anche informativi e, come tale, possiamo concepire la posta elettronica certificata. La lezione dell avv. Finocchiaro, per quanto complessa, ha avuto un riscontro positivo per via della chiarezza nel commentare la normativa di riferimento. Le tematiche riguardanti la firma digitale e la firma elettronica hanno evidenziato due aspetti della normativa: la si può ritenere di carattere generale in quanto è rivolta al singolo cittadino, alle pubbliche amministrazioni e ha rapporti privatistici. Non esiste una perfetta coincidenza tra aspetto legislativo e informatico, in quanto non esiste corrispondenza fra le due categorie 2

Dal commento sulla legge Bassanini n. 59 del 97, è emersa la volontà di attribuire rilevanza giuridica agli atti e ai documenti informatici. Il legislatore con tale norma cerca di soddisfare le esigenze della pubblica amministrazione, non per incrementare il commercio elettronico, ma per garantire rilevanza e validità ai dati informatici. L applicazione di questa normativa avviene solo con i regolamenti emessi successivamente in quanto la Bassanini si limita a produrre enunciati, se pur in modo analitico, trattando di atti, dati, documenti e contratti, pur essendo assente la parte applicativa. Con il DPR n. 513 del 97 è stata introdotta la firma digitale ma a tale provvedimento, nel 1999, è subentrata la direttiva comunitaria n. 93 con la quale, per molti aspetti, è in totale antitesi. Nella normativa italiana la firma digitale si basa su un sistema crittografico a chiave assimetrica, mentre nella normativa comunitaria le disposizioni descrivono solo ed esclusivamente le funzioni della firma elettronica, in modo particolare quella della autenticazione automatica, ma non gli oggetti tecnici. E stata preferita tale formula in quanto il legislatore europeo ritiene che non si debba favorire il mercato e, proprio per questo, possiamo sostenere che la direttiva si basa sul principio di neutralità tecnologica che consente di soddisfare alcune fra le esigenze più importanti: Non condiziona il mercato Soddisfa l esigenza tecnico - redazionale, ovvero non viene modificata la legge tutte le volte che si evolve la tecnica Esplica il principio di difficile attuazione, la norma è infatti priva di oggetti e analizza solo le funzioni Entrambe le normative riguardanti la firma digitale, sono state emesse successivamente al DPR 445/2000, il primo provvedimento legislativo che ha definito il documento informatico quale rappresentazione di atti, fatti e dati giuridicamente rilevanti. Accanto al tradizionale criterio di rappresentazione materiale di un documento, che avviene con la firma autografata, le firme elettroniche rappresentano modalità alternative attraverso le quali è possibile identificare il soggetto a cui imputare un testo. Infatti, l identità di una persona può riconoscersi attraverso dati riservati ed elusivi. La firma digitale è uno dei criteri utili ai fini dell identificazione del soggetto a cui attribuire fatti giuridici. E da intendersi come l apposizione di un elemento identificativo che, attraverso l uso di tessere magnetiche (le smart card), abilitano l utente/mittente alla connessione del sistema. Tale procedura informatica consente al destinatario di verificare la fonte del messaggio e, in eugual modo, di controllarne l integrità. 3

Esistono altri sistemi di identificazione dei soggetti, tra questi, si dispone delle chiavi biometriche così definite dall art.1 del D.P.R 10 novembre 1997, n. 513 La sequenza di codici informatici utilizzati nell ambito di meccanismi di sicurezza che impiegano metodi di verifica dell identità personale basati su specifiche caratteristiche fisiche dell utente Ed ancora, nello stesso articolo, definisce così la firma digitale: il risultato della procedura informatica basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l integrità di un documento informatico o di un insieme di documenti informatici. Ed ancora, si intende per documento informatico il documento informatico è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. In tal modo il legislatore italiano ha adottato una procedura informatica capace di fissare la traccia documentale. Il regolamento comunitario, direttiva CE n. 1999/93 del 13 dicembre 1999, definisce così la firma elettronica: dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione. La firma digitale si avvale di un tesserino elettronico, che abbiamo già individuato come smart card o carta intelligente, che memorizza una chiave di crittografia capace di codificare parole di senso compiuto in espressioni convenzionali articolate in caratteri alfa- numerici, e che permette, a chi la utilizza, di marcare un documento attraverso la digitazione di un codice segreto, un personal identification number (PIN) al fine di raggiungere un livello di sicurezza più elevato. Allo stesso modo il destinatario, che riceverà il messaggio, dovrà utilizzare la carta inserendola in un apparecchietto collegato al proprio computer con il quale è possibile codificare il messaggio. Attualmente la smart card è la carta elettronica più evoluta, contiene infatti dei microcircuiti che memorizzano ed elaborano i dati e svolge funzioni di identificazione, di autenticazione, protezione e crittografia dei dati trasmessi. Successivamente al sistema delle chiavi simmetriche, poco sicure, è stato adottato il sistema a chiavi assimetriche a coppia così definito nell art.1 lett. d, DPR 10 novembre 1997, n. 513 è la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell ambito dei sistemi di validazione o di cifratura di documenti informatici. 4

Si evince che non è più necessaria un unica chiave per criptare e decriptare il messaggio, ma esiste una chiave che codifica e una che decodifica il messaggio: è come se fossero due parti di un unica chiave. Il DPR n. 513/1997 prevede che la chiave asimetrica privata sia custodita e tenuta segreta dal titolare la chiave privata è l elemento della coppia di chiavi asimetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento in precedenza cifrato mediante la corrispondente chiave pubblica. La chiave pubblica è consultabile presso l albo conservato dalla Autorità di certificazione ed è intesa come l elemento della coppia di chiavi asimetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimetriche. Attualmente nel DPR vengono stabilite le modalità per l utilizzo delle chiavi al fine di firmare digitalmente una comunicazione, ma non disciplina la trasmissione del messaggio cifrato. La firma digitale è da intendere come una specie del genere firma elettronica, e non ha nulla a che vedere con questa, la riproduzione elettronica della firma autografa. Esistono quattro tipi di firme informatiche: firma elettronica, art.1 comma 1 lett. c/c, firma leggera o debole (elettronica) E l insieme dei dati in forma elettronica, allegati oppure connessi tramite l associazione logica ad altri dati elettronici, utilizzati come metodi di autenticazione informatica. Ha un codice segreto (un PIN), e con quello il soggetto deve identificarsi, e ha una smart card che si basa su tecniche biometriche di identificazione dell identità. firma digitale E una firma elettronica qualificata, basata su un certificato qualificato. Viene realizzata mediante un dispositivo sicuro che garantisce l integrità del documento. E il collegamento fra il documento e il titolare di un prodotto attraverso il quale è possibile verificare la provenienza della sottoscrizione autografa. firma elettronica avanzata firma elettronica qualificata, basata su strumento sicuro 5

La firma digitale prevede l utilizzo di una chiave privata e una chiave pubblica, per la quale vi è l obbligo di pubblicazione su un registro gestito dal certificatore. Il certificatore è il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi o revocati (art. 1 lett. M, DPR 10 novembre 1997, n.513). Il certificatore è la figura che certifica la validità della firma. E il soggetto che presta servizi di controllo delle firme elettroniche e ha la funzione di collegare la firma alla chiave privata, ovvero, all identità che deve essere accertata. Può individuare ulteriori caratteristiche della persona oltre all identità, ma ha l obbligo di mantenere le informazioni relative ai soggetti di cui certifica la validità della chiave. Nelle pubbliche amministrazioni può certificare esclusivamente firme interne (ad es. dei dipartimenti) e controllare chi utilizza la firma digitale. La figura professionale del certificatore, da intendersi come una sorta di garante, dovrà essere individuata in tutte le pubbliche amministrazioni perché da questa dipende la validazione delle firme e, soprattutto, il rinnovo dei certificati. Esistono tre tipi di certificatori: Certificatore E il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi a queste ultime Certificatore qualificato, rilascia certificati qualificati Certificatore accreditato, consegna l accreditamento e rilascia certificati qualificati Esistono due tipi di certificati: Certificato elettronico, regolato dal DPR 445/2000 E un attestato elettronico che collega i dati utilizzati per verificare le firme elettroniche ai titolari e conferma l identità dei titolari stessi Certificato qualificato, regolato dalla direttiva 1999/93 6

Al fine di poter affermare che attraverso la procedura a chiavi asimmetriche il documento informatico è stato sottoscritto con una chiave privata, il destinatario, deve considerare affidabile la chiave pubblica necessaria per la verifica della firma digitale. La certificazione viene definita come il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni (art.1, lett. h, DPR 10 novembre 1997, n.513). Il certificatore garantisce l attribuzione della chiave pubblica al titolare della corrispondente chiave privata. In base all art. 9, 2 comma, lett. A, DPR 10 novembre 1997, n. 513 e art.11 DPCM 8 febbraio 1999, il certificato rilasciato dall autorità ingenera pubblica fede, la funzione di garanzia è assolta dall identificazione del soggetto che richiede la certificazione, al quale viene rilasciata la chiave privata necessaria per l adozione del sistema di firma digitale. L autorità, dopo aver proceduto all identificazione, assegna al soggetto richiedente una chiave correlata in senso biunivoco con la chiave pubblica e, il cui certificato, viene inserito in appositi elenchi consultabili da chiunque abbia interesse a procurarsi o a verificare la chiave pubblica di un soggetto. Al certificatore è attribuito l obbligo di attestare il periodo di validità della chiave pubblica e del relativo certificato e di procedere alla revoca o alla sospensione dandone immediata pubblicazione. Nel caso l utilizzatore firmi digitalmente con una chiave scaduta, sospesa o revocata, il documento sarà ritenuto inefficace. L art. 60 del DPCM 8 febbraio 1999 stabilisce al 1 comma che La validità di un documento informatico, i cui effetti si protraggono nel tempo oltre il limite della validità della chiave di sottoscrizione, può essere estesa mediante l associazione di una o più marche temporali, al 2 comma Prima della scadenza della marca temporale, il periodo di validità può essere ulteriormente esteso, associando una nuova marca all evidenza informatica costituita dal documento iniziale, dalla relativa firma e dalle marche temporali già ad esso associate La firma digitale è quindi un elemento essenziale del documento, in quanto esprime il consenso del sottoscrittore sul contenuto del documento informatico, così come avviene nel documento cartaceo per la sottoscrizione autografa. 7

Nella 445/2000 viene attribuito valore giuridico al documento informatico, tale può essere considerato il documento senza firma, il documento con firma elettronica e con firma digitale o firma elettronica qualificata. Il documento senza firma ha efficacia probatoria e per tale si intendono anche tutte le riproduzioni meccaniche, ovvero le registrazioni sonore, i filmati, le fotografie in quanto sono prove di fatti rappresentati. Anche il documento informatico privo di firma può essere considerato prova in giudizio. Il documento con firma elettronica è invece atto scritto, e soddisfa il requisito formale e legale della prova scritta. Durante la lezione, e proprio in merito alle considerazioni espresse sul documento informatico, divergevano, tra l archivista Gianni Penzo e il legale Giusella Finocchiaro, le valutazioni formulate a proposito delle e-mail. In base alla 445/2000 le e-mail debbono ritenersi documenti, e quindi avere efficacia probatoria, poiché le si possono concepire come semplici riproduzioni meccaniche (445/2000 art. 43 comma 6) il cui reato è la falsificazione. In base al principio archivistico, invece, non possono essere considerate dei documenti (ed infatti la registrazione è discrezionale) in quanto non rispettano il principio di provenienza: a tutti gli effetti non è chiaro chi sia il mittente. Si può concepire come documento, non tanto il testo dell e- mail, ma il file ad esso allegato che dovrà essere soggetto a registrazione. Questa prassi comportamentale, è l unica tutela contro la volontà del mittente di disconoscere la validità del documento trasmesso. Il testo unico 445/2000 precisa che l e-mail si può considerare trasmessa solo se inviata all indirizzo elettronico dichiarato (posta certificata). Con la firma digitale, invece, il soggetto non può disconoscere l autenticità della firma (ad esempio nel caso di un contratto) perché è apposta sul documento con la chiave privata del soggetto e che, come abbiamo più volte ripetuto, è certificabile. La validazione è intrinseca nel documento digitale e avviene per mezzo del certificatore. Vi è inoltre la firma digitale autenticata che viene certificata da un notaio o da altro pubblico ufficiale autorizzato. Tale firma produce gli stessi effetti giuridici della sottoscrizione autenticata. Secondo l art. 16, 1 comma del DPR n. 513/1997 Si ha per riconosciuta, ai sensi dell art. 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dal notaio da altro pubblico ufficiale autorizzato, infatti, l autorità di certificazione non garantisce che il titolare sia il solo ad 8

utilizzare la chiave privata rilasciata. L autentica del documento dinanzi ad un notaio, garantisce l accertamento dell identità al momento della sottoscrizione. La firma digitale garantisce efficacia probatoria al documento informatico ma ha una validazione limitata (DPCM 13/01/2004). Al fine di avere validità illimitata, è necessario rinnovare il certificato o marca temporale( da artt. 44 a 52) e, se non si rinnova, il documento informatico (mettiamo il caso di un contratto) può perdere la propria efficacia probatoria e può diventare una riproduzione meccanica. In conclusione, chi stabilisce la durata del certificato e la validità del documento è il certificatore. 9

Nella seconda giornata l ing. Guglielmo Longobardi, ha affrontato le seguenti tematiche: Interoperabilità della firma digitale Il ruolo dei certificatori La crittografia La posta elettronica certificata La conservazione dei documenti elettronici La rivoluzione digitale nella pubblica amministrazione: la crittografia e la firma elettronica Nuove regole tecniche: approfondimento sul DPCM 13 gennaio 2004 Utilizzo pratico della firma digitale La rivoluzione digitale nella pubblica amministrazione: la crittografia e la firma elettronica L esigenza di informatizzare e di gestire i flussi documentali con sistemi informatici, nasce dalla necessità di gestire in modo efficiente ed integrato tutte le informazioni disponibili e dal bisogno di recepire informazioni con maggiore celerità. Questo nuovo comportamento gestionale ha un chiaro impatto sul profitto, sulla qualità dei servizi offerti, sull efficienza e sull immagine, in definitiva, la disponibilità delle informazioni può portare ad un grande vantaggio competitivo. La firma, come più volte ripetuto, ha rilevanza giuridica poiché dalla sottoscrizione autografa di un documento deriva la presunzione di legge sino a prova contraria di consenso del firmatario sul contenuto dell atto o del documento, codice civile, art. 2702. Per quanto riguarda la firma nei documenti pubblici, l autografia della sottoscrizione non è da intendersi come requisito d esistenza giuridica degli atti amministrativi quando i dati contenuti nel documento consentono di accertare chi sia l autore. In base alla legge 15 marzo 1997, n. 59 art. 15 Gli atti, i dati e i documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge 10

Il recepimento della direttiva europea La direttiva europea sulla firma elettronica è stata pubblicata il 19 gennaio 2000. L obiettivo principale era quello di definire un quadro comunitario unitario per le firme elettroniche, improntato sulla libera circolazione dei servizi di certificazione e sulla validità giuridica dei documenti firmati. Il testo è composto di 15 articoli e 4 allegati relativi a: I requisiti dei certificati qualificati II requisiti delle CA che rilasciano certificati qualificati III requisiti dei dispositivi sicuri per la creazione della firma IV raccomandazioni per la creazione della firma La firma elettronica nasce per esigenze di commercio elettronico, mentre la firma digitale segue l affermarsi del documento informatico: La firma elettronica (art. 2 direttiva europea) garantisce l autenticità La firma elettronica avanzata garantisce autenticità e integrità ed è prodotta con dispositivo di firma sicura che conferisce al documento la stessa valenza giuridica del documento autografo Entrambe possono essere rilasciate da un certificatore accreditato o non accreditato La Firma digitale avanzata è quella prodotta con un dispositivo di firma sicura ed è rilasciata da un certificatore accreditato Possono essere utilizzate anche altre forme di firma, che avranno una valenza interna all organizzazione, ma che non forniranno alcuna garanzia di validità giuridica In base all art. 38, comma 2 DPR 28 dicembre 2000 le istanze e le dichiarazioni inviate per via telematica sono valide se sottoscritte mediante firma digitale, questa deve avere un certificato qualificato che deve essere rilasciato da un certificatore accreditato. 11

Interoperabilità della firma digitale Per interoperabilità si intende la capacità di verificare le firme digitali avvalendosi degli strumenti dei vari certificatori, a prescindere dal software utilizzato per generare la firma. Tale compito è stato regolato dalla circolare AIPA/CR/24 del 19 giugno 2000 che impone: Il formato della firma Il formato del certificato e la sua rappresentazione A livello europeo l interoperabilità del processo di verifica si differenzia da quella italiana in quanto i certificati non sono conformi agli standard internazionali e, soprattutto, viene fatto un uso improprio delle estensioni dei certificati. In base al DPCM 13 gennaio 2004, articolo 40, comma 4, i certificatori accreditati, su cui si è ampiamente discusso con la prima docente, devono svolgere la propria attività in conformità con quanto previsto dalle regole per il riconoscimento e la verifica del documento elettronico. Nuove regole tecniche: approfondimento sul DPCM 13 gennaio 2004 Nel DPCM 13 gennaio 2004, articolo1, comma 1, sono descritti i concetti di: Riferimento temporale È l informazione contenente la data e l ora associata ad uno o più documenti informatici Validazione temporale E il risultato della procedura informatica con cui si attribuisce, ad uno o più documenti informatici, un riferimento temporale opponibile a terzi Marca temporale E l evidenza informatica che consente di attribuire la validazione temporale Le pubbliche amministrazioni possono utilizzare come sistemi di validazione temporale: Il riferimento temporale contenuto nella segnatura di protocollo Il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti Il riferimento temporale ottenuto attraverso l utilizzo di posta certificata ai sensi dell art. 14 del testo unico 12

La crittografia Il sistema di crittografia è stato adottato per far fronte alle principali minacce nello scambio di messaggi. Prima dell utilizzo di tale sistema, era possibile intercettare facilmente un messaggio e leggerne il contenuto e, allo stesso modo, era facile negare di aver inviato un messaggio o modificarne il contenuto. Con l utilizzo della crittografia si sono ottenute diverse garanzie: la confidenzialità il contenuto del messaggio non può essere letto da terzi l integrità, è la prova che il contenuto del messaggio non sia stato alterato durante la trasmissione il non ripudio garantisce la certezza di sapere che chi ha inviato il messaggio non possa poi disconoscerlo l autenticazione, in tal modo non vi è dubbio che chi ha inviato il messaggio sia veramente lui La crittografia è lo strumento fondamentale per la realizzazione dei meccanismi di sicurezza; è la scienza che studia gli algoritmi matematici idonei a trasformare reversibilmente, in funzione di una variabile detta chiave, il contenuto informativo di un documento o di un messaggio in modo da nasconderne il significato. La trasformazione diretta è normalmente indicata come operazione di cifratura (o codifica), quell inversa come operazione di decifratura (o decodifica). Si è già parlato nella parte normativa, affrontata dall avvocato Guisella Finocchiaro, del sistema di crittografia simmettrica e asimettrica secondo quanto disposto dalla normativa. La crittografia simmetrica si basa su degli algoritmi di tipo convenzionale in cui le operazioni di cifratura e decifratura richiedono la conoscenza di un unica chiave, detta segreta, che deve essere nota solo al mittente e al destinatario. La procedura richiede una fase iniziale in cui ciascuna coppia di interlocutori si scambia la chiave segreta in modo sicuro. La crittografia asimmetrica si basa sugli algoritmi asimetrici che utilizzano, per le operazioni di cifratura e decifratura, due chiavi distinte che non possono essere ricavate l una dall altra. La chiave di decifratura, o chiave privata, deve essere mantenuta rigorosamente segreta dal proprietario mentre la chiave di cifratura, o chiave pubblica, può essere resa pubblica. La proprietà fondamentale degli algoritmi asimettrici è che le due chiavi possono scambiarsi di ruolo: l una 13

consente l inversione della trasformazione ottenuta usando l altra e viceversa. Gli algoritmi asimetrici possono essere usati per il calcolo di firme elettroniche. La crittografia simmetrica è un sistema rapido che permette uno scambio sicuro della chiave privata ma è di difficile gestione per molti utenti, il sistema asimmetrico è un sistema lento ma comporta l applicarsi di una crittografia sicura che si basa sulla chiave pubblica. Il futuro della firma elettronica è nella disponibilità dei servizi che ne prevedono l uso. E lo strumento che concorrerà al processo di e- government consentendo, quando necessario, di sottoscrivere atti verso la pubblica amministrazione. Può trovare forte impulso nella realizzazione di applicativi che consentono di rendere disponibili dei servizi e in cui è necessaria la sottoscrizione con valore legale di una ben precisa volontà. La firma digitale garantisce integrità, autenticità e firme non falsificabili. Tali garanzie hanno consentito di rendere la firma digitale equivalente ad una firma autografa anche se, d altro canto, non permette di verificare eventuali modifiche. Per quanto riguarda l evidenza del momento dell apposizione della firma ci si può avvalere del riferimento temporale. La firma digitale nella carta nazionale servizi Per quanto riguarda la firma digitale applicata alle carte servizi, si seguono le norme previste per la firma digitale: il certificato deve essere rilasciato da un certificatore accreditato, e deve essere conforme allo standard RFC 2459 internet X.509 Public Key Infrastucture Certificate and CRL Profile ora sostituito dalla RFC 3280. La carta nazionale dei servizi contiene due certificati, che garantiscono l autenticazione, e due coppie di chiavi distinte. Esistono due distinti strumenti: Certificato e chiavi d autenticazione - garantiscono l autenticazione e l autorizzazione. Certificato e chiavi di firma digitale - permettono di esprimere una volontà In base ai principi di sicurezza fisica e logica, i dispositivi sicuri di generazione della firma sono rappresentati da smart card o da token crittografici. L utilizzo di tali dispositivi è protetto da un PIN, che è personalizzabile, e in caso di blocco del dispositivo è disponibile un Puk. I dispositivi sicuri devono essere conformi ai livelli di valutazione ITSEC E3 High ma, in Italia, non è ancora possibile ottenere certificazioni di questo tipo. 14

Il DPCM 13 gennaio 2004 prescrive la conformità con quanto indicato dalla commissione di cui all art. 9 della direttiva europea 1999/93. I documenti realizzati sui formati word, rtf, pdf, html, possono contenere un codice eseguibile capace di cambiare i dati rappresentati e, per tale motivo, l art. 3 del DPCM 13 gennaio 2004 prevede l inefficacia della firma digitale in questi casi. La posta elettronica certificata La pubblica amministrazione, ai fini della trasmissione documentale, ha l obbligo di utilizzare la posta elettronica certificata. E un mezzo di trasmissione, basato sulla posta elettronica, in grado di fornire ricevute che attestano sia l invio, sia l avvenuto recapito di un messaggio. E un servizio realizzato da soggetti in grado di assicurare predefiniti standard di qualità e sicurezza, ed è basato su un insieme di regole che definiscono la struttura e la semantica dei messaggi di trasporto scambiati. Schema funzionale: il mittente realizza il documento elettronico il mittente invia il messaggio al destinatario il nominativo del destinatario deve risultare registrato nell indice gestito dalla R.U.P.A. (rete ufficiale per le pubbliche amministrazioni) La rete ufficiale RUPA spedisce al mittente, fautore del messaggio, una ricevuta di consegna. Dal grande server gestito dalla R.U.P.A. il messaggio verrà indirizzato alla posta elettronica del destinatario Il destinatario riceve il messaggio nella sua casella di posta certificata Il destinatario rilascia una ricevuta di consegna La ricevuta di consegna viene inoltrata alla casella di posta del mittente. A tal punto si ha la certezza che il messaggio inviato è stato sicuramente ricevuto, il sistema è come quello postale della raccomandata con ricevuta di ritorno AR. 15

La conservazione dei documenti elettronici La conservazione dei documenti cartacei si avvale di sistemi archivistici, come il massimario di selezione, che garantiscono la possibilità di ritrovare un fascicolo e in esso i documenti conservati. Si può incorrere nella perdita di dati a causa del deperimento dei documenti conservati in locali non adeguati alla conservazione, ad esempio a causa della scarsa qualità della carta che può essere danneggiata dall umidità. In ogni caso, l autenticità e la validità giuridica sono garantite dalle firme autografe, da sigilli o punzoni, dalla carta intestata, fattori per i quali è possibile ricorrere a perizie calligrafiche e chimiche. Per quanto riguarda invece la ricerca di informazioni elettroniche, è possibile reperirle attraverso aggregazioni logiche di documenti o attraverso gli strumenti di ricerca ma, anche in questo caso, non è esclusa la possibilità di perdere i dati. Infatti, se non si garantiscono sistemi di sicurezza appropriati, ad esempio il backup dei dati per il ripristino delle informazioni perdute, è possibile smarrire irrimediabilmente informazioni alle quali è stata attribuita validità giuridico -probatoria. La causa più comune riguarda l obsolescenza tecnologica dei supporti, dei formati, o degli strumenti di lettura. Ad ogni modo, l autenticità e la validità giuridica del documento elettronico è garantita dalla firma digitale, dai sistemi di marcatura temporale e dalla autenticità legata al supporto. Con l archiviazione ottica i benefici quantificabili sono: lo spazio, la riduzione fisica della carta, diminuiscono anche i costi di archiviazione e il tempo della ricerca, inoltre ci si avvale di un rapido sistema di trasmissione dati e l uso di sistemi appositi di archiviazione ottica garantiscono la maggiore produttività del personale. L archiviazione ottica garantisce inoltre: la sicurezza degli accessi, l integrazione corretta delle immagini dei documenti ai dati gestionali, l utilizzo del sistema di classificazione archivistica attraverso l uso del titolario, la flessibilità di gestione dei documenti: un documento può essere ricercato secondo qualsiasi combinazione di dati identificativi associati al documento. A tal merito, la legge 4 gennaio 1968, n. 15 art. 25 afferma che Le pubbliche amministrazioni ed i privati hanno facoltà di sostituire, a tutti gli effetti, ai documenti dei propri archivi, alle scritture contabili, alla corrispondenza ed agli altri atti di cui per legge o regolamento è prescritta la conservazione, la corrispondente riproduzione fotografica, anche se costituita da fotogramma 16

negativo. Continua la legge 23 dicembre 1993, n. 537 art.2, comma 15 Gli obblighi i conservazione e di esibizione di documenti per finalità amministrative e probatorie, previsti dalla legislazione vigente, si intendono soddisfatti anche se realizzati mediante supporto ottico purchè le procedure utilizzate siano conformi a regole tecniche dettate dall autorità per l informatica nella pubblica amministrazione, ed ancora, la legge 15 marzo 1997, n.59 art. 15, comma 2 afferma: Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. Nella delibera AIPA n. 24 del 30/07/1998 Regole tecniche per l uso dei supporti ottici vengono integrate regole tecniche a criteri attuativi; si caratterizza per la descrizione di procedure e regole di difficile comprensione attuativa e per l onerosità degli adempimenti previsti per esigenze di estremo garantismo. In base al D.P.R. 28 dicembre 2000, n. 445 art.6, comma 1 Le pubbliche amministrazioni ed i privati hanno facoltà di sostituire, a tutti gli effetti, i documenti dei propri archivi, le scritture contabili, la corrispondenza e gli altri atti di cui per legge o regolamento è prescritta la conservazione, con la loro riproduzione su supporto fotografico, su supporto ottico, o con altro mezzo idoneo a garantire la conformità dei documenti agli originali. Tale articolo riprende e modifica la legge 4 gennaio 1968, n. 15 art. 25 già citata. Nell art. 6, comma 2 del D.P.R. 28 dicembre 2000, n. 445 Gli obblighi di conservazione ed esibizione dei documenti di cui al comma 1si intendono soddisfatti, ai fini sia amministrativi che probatori, anche se realizzati su supporto ottico quando le procedure utilizzate sono conformi alle regole tecniche dettate dall autorità per l informatica nella pubblica amministrazione. Proseguendo con la normativa che regola la conservazione dei documenti elettronici, nella deliberazione n. 42/2001 Regole tecniche per la conservazione dei documenti si evincono definizioni chiare ed esplicite: si attua la semplificazione dei processi, specie per i documenti informatici, viene utilizzata la tecnologia del riferimento temporale e della firma digitale, permette di utilizzare qualsiasi supporto di memorizzazione e da ampio risalto alla figura del Responsabile della conservazione. 17

Segue la deliberazione n. 11/2004 nella quale si parla più esplicitamente di conservazione ottica le cui finalità sono: Adeguarsi alle esigenze di rinnovo tecnologico e normativo Consentire la firma di file di documenti conservati di qualunque dimensione Rendere coerenti le definizioni con quelle presenti nella normativa vigente Punti di rilievo Suddivide i documenti in due grandi categorie: documenti informatici e documenti analogici Mantiene sostanzialmente invariate le modalità di conservazione delle due categorie di documenti Ribadisce la distinzione tra conservazione del documento analogico non unico e unico, limitando solo in quest ultimo caso il ricorso al pubblico ufficiale o notaio Un archivio digitale necessita, quanto quello cartaceo, di una gestione e competenze specifiche. La conservazione dei documenti in ambiente digitale comporta una rivisitazione organizzativa del concetto di archivio, necessita di nuovi processi e, soprattutto, di nuovi ruoli e responsabilità. L archivio digitale comporta molteplici vantaggi ma introduce nuove problematiche, è pertanto indispensabile una attenta valutazione di costi e benefici per l attuazione di varie soluzioni finalizzate alla conservazione. In questi ultimi anni, grazie anche all obbligo normativo, gli enti si occupano della conservazione digitale e cartacea adottando criteri di classificazione e fascicolazione uniformati. Un archivio organizzato con criterio è lo specchio dell organizzazione dell ente. Il followup è stato concluso con l intervento del Dott. Gianni Penzo Doria riguardante il protocollo informatico e la gestione dei documenti. L efficacia della lezione è da attribuirsi ai metodi di chiara comunicazione che hanno reso fattibile un salto nel passato e che hanno permesso di ripercorrere le tappe del protocollo dal 1900 ad oggi. Già alla fine del XIX secolo, Il Regio Decreto 25 gennaio 1900, n.35 approva il regolamento per gli uffici di registratura e di archivio nelle amministrazioni centrali. Segue la rivoluzione apportata dalla legge Bassanini legge 15 marzo 1997, n. 59 art. 15, comma 2 che chiarisce quale tipologia documentale è da ritenersi valida e rilevante a tutti gli effetti di legge: Gli atti, dati e documenti formati da pubbliche amministrazioni e dai privati con strumenti informatici o telematici, i contratti 18

stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con documenti informatici, sono validi e rilevanti a tutti gli effetti di legge. Seguono le norme sul protocollo informatico: DPR 20 ottobre 1998, n. 428 Regolamento recante norme per la gestione del protocollo informatico da parete delle amministrazioni pubbliche Direttiva PCM 28 ottobre 1999 Gestione informatica dei flussi documentali nelle pubbliche amministrazioni DPCM 31 ottobre 2000 Regole tecniche per il protocollo informatico di cui al DPR 20 ottobre 1998, n. 428 Le varie norme si trovano ora tutte incorporate nel Teso Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa che è stato modificato quattro volte. A questo sono incorporati: il D.Lgvo 23 gennaio 2002, n.10 nel quale si attribuisce validità probatoria alla forma del documento informatico, la legge 16 gennaio 2003, n.3, il DPR 7 aprile 2003, n. 137 sulle firme digitali e il D.Lgvo 30 giugno 2003, n. 196 da intendersi quale codice della privacy. Con il DPR 28 dicembre 2000, n. 445 art. 50, comma 3 era necessario velocizzare i tempi al fine di informatizzare i procedimenti amministrativi: Le pubbliche amministrazioni provvedono entro il 1 gennaio 2004 a realizzare o revisionare sistemi informativi automatizzati finalizzati alla gestione del protocollo informatico e dei procedimenti amministrativi in conformità alle disposizioni del presente testo unico ed alle disposizioni di legge sulla tutela della riservatezza dei dati personali, nonché dell art.15, comma 2, della legge 15 marzo 1997, n. 59 e dei relativi regolamenti di attuazione. Poi è subentrato il decreto rettorale 11 dicembre 1997, n. 1 e n.2 dell Università degli Studi di Padova Regolamento per la gestione, tenuta e tutela dei documenti amministrativi dal protocollo all archivio storico pubblicato nella Gazzetta Ufficiale n. 301 del 29.12.1997. Più di recente è stato emanato il Decreto MIT 14 ottobre 2003, pubblicato sulla Gazzetta Ufficiale n. 249 del 25 ottobre 2003 Approvazione delle linee guida per l adozione del protocollo 19

informatico e per il trattamento informatico dei procedimenti amministrativi, il cui scopo è quello di informatizzare i documenti legati ai procedimenti. Si parla spesso di procedimenti, procedure e processi quasi fossero dei sinonimi ma, in realtà, hanno significati completamente diversi. Per procedura si intende un azione che ha regole di routine, ovvero si può concepire come una sequenza di regole definite che permettono di raggiungere uno scopo. E il che cosa Il processo è il risultato di chi agisce, sono i processi/ gli attori che agiscono, interagiscono e si sostituiscono in un processo Il procedimento ha sempre a che fare con i documenti. E l insieme coordinato e scandito nel tempo dei documenti prodotti nell ambito di un affare E stata commentata inoltre la normativa più recente: il DPCM 30 ottobre 2003 Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell informazione, la direttiva MIT 27 novembre 2003 Impiego della posta elettronica nelle pubbliche amministrazioni, la Direttiva MIT 18 dicembre 2003 Linee guida in materia di digitalizzazione dell amministrazione per l anno 2004, la Direttiva MIT 19 dicembre 2003 Sviluppo ed utilizzazione dei programmi informatici da parte delle pubbliche amministrazioni. Finalmente, con il decreto legislativo 22 gennaio 2004 Codice dei beni culturali e del paesaggio, l archivio corrente viene definito bene culturale. La tipologia giuridica del codice garantisce stabilità triennale della norma e, soprattutto, è soggetta a minori vincoli normativi e burocratici in caso di debbano apportare delle trasformazioni. I documenti della pubblica amministrazione sono quindi dei beni culturali: Decreto legislativo 22 gennaio 2004, n. 42 art. 10, comma 2, lettera b Sono beni culturali gli archivi e i singoli documenti dello Stato, delle regioni, degli enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico. Con il DPCM 13 gennaio 2004 vengono stabilite le Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale dei documenti informatici. Più di recente è stato emanato dal ministero economia e finanze il Decreto 23 gennaio 2004 che contiene le modalità di assolvimento degli obblighi fiscali relativi ai documenti 20