«Non si tratta solo di documenti firmati digitalmente dalle parti e dai notai, ma di documenti di cui viene garantita la formazione e la successiva conservazione per un tempo illimitato con tecnologie sicure che ne assicurano anche la fruizione. In tal modo il notaio garantisce la sicurezza giuridica con le medesime modalità anche nel mondo del documento informatico»: così il Consiglio Nazionale del Notariato ha spiegato la riforma ai tempi della prima approvazione del decreto legislativo. La riforma ha mosso il primo passo nel momento in cui tutti i notai sono stati dotati di firma digitale e diventa ora concretamente accessibile dal momento in cui tutte le procedure sono state regolamentate e la legge promulgata.

Secondo il Consiglio Nazionale del Notariato, d’ora in poi sarà possibile:

• «utilizzare l’atto notarile informatico per gli atti relativi all’acquisto casa, al mutuo o la costituzione di società»
• «eliminare la carta nella fase di redazione e, in particolare, nella “conservazione” degli atti, con un notevole risparmio di costi relativi alla gestione documentale, che diventerà indubbiamente più semplice ed efficiente grazie al formato digitale»

I clienti non saranno costretti ad avere una firma digitale per contrarre gli atti, ma sarà sufficiente passare per una “firma elettronica” (cioè una firma tradizionale, scannerizzata ed autenticata direttamente dal notaio). Le parti contraenti potranno scegliere liberamente se passare per la via digitale o per la via tradizionale cartacea, nella consapevolezza del fatto che d’ora in poi le due strade sono equiparate e l’opzione digitale potrà consentire nel tempo sostanziali risparmi tanto in relazione ai tempi di redazione degli atti, quanto in relazione a costi materiali e di archivio.

Fonte: PMI.it

Il progetto di digitalizzazione permette dunque il rilascio di 16 certificati anagrafici dal portale istituzionale del Campidoglio. I certificati, dotati di timbro e firma digitale che ne accertano l’autenticità, possono essere direttamente stampati in copia unica e utilizzati ai fini consentiti dalla legge, esattamente come i certificati emessi dall’ufficio anagrafico. Sarà possibile stampare in bollo o in carta semplice, e il pagamento dei diritti di segreteria o del bollo (con commissione dell’1,5%) avverrà con la carta di credito. L’autenticità del documento può essere verificata da chi lo riceve attraverso l’inserimento del Codice Identificazione Univoco – riportato sul documento – in uno spazio apposito del portale istituzionale del Comune. Completata questa verifica, il certificato può essere riprodotto una sola volta, a garanzia della sua unicità.

Fonte: Help Consumatori

Dopo la Riforma Brunetta della Pubblica Amministrazione (il decreto legislativo n. 150/2009 che ha introdotto meritocrazia, premialità, trasparenza e responsabilizzazione dei dirigenti), l’approvazione del nuovo CAD (il vecchio Codice è stato pubblicato cinque anni fa con decreto legislativo n. 82 del 2005) va a costituire così il secondo pilastro su cui poggia il disegno di modernizzazione e digitalizzazione della PA definito nel Piano industriale presentato nel maggio 2008.

Questa riforma, resasi necessaria per effetto della rapida evoluzione delle tecnologie informatiche, risponde in maniera puntuale alla necessità di mettere a disposizione delle amministrazioni e dei pubblici dipendenti strumenti (soprattutto digitali) in grado di incrementare l’efficienza e l’efficacia dell’intero sistema pubblico. I cittadini e le imprese richiedono infatti mezzi più snelli, rapidi e meno costosi per comunicare con le pubbliche amministrazioni. L’obiettivo è quindi quello di evitare che strutture obsolete e procedure interminabili continuino a gravare il sistema Italia di costi e di adempimenti tali da scoraggiare l’afflusso di capitali internazionali a vantaggio di Paesi, anche emergenti, che hanno più decisamente imboccato la strada della modernizzazione e della semplificazione amministrativa.

Le principali novità riguardano:

• la riorganizzazione delle pubbliche amministrazioni attraverso l’istituzione di un ufficio unico responsabile delle attività ICT, la razionalizzazione organizzativa e informatica dei procedimenti, l’introduzione del protocollo informatico e del  fascicolo elettronico;
• la semplificazione dei rapporti con i cittadini e con le imprese attraverso l’introduzione di forme di pagamenti informatici, lo scambio di dati tra imprese e PA, la diffusione e l’uso della PEC, l’accesso ai servizi in rete, l’utilizzo della firma digitale, la dematerializzazione dei documenti e l’arricchimento dei contenuti dei siti istituzionali in termini di trasparenza;
• la sicurezza e lo scambio dei dati attraverso la predisposizione, in caso di eventi disastrosi, di piani di emergenza per garantire la continuità operativa nella fornitura di servizi e lo scambio di dati tra PA e cittadini.

Il nuovo Codice dell’amministrazione digitale rende possibile la modernizzazione della Pubblica Amministrazione con la diffusione di soluzioni tecnologiche e organizzative che consentono un forte recupero di produttività. Tra questi:

• riduzione dei tempi fino all’80% per le pratiche amministrative;
• riduzioni dei costi della giustizia: nei sei mesi di sperimentazione delle notifiche telematiche relative al processo civile presso il Tribunale di Milano sono state effettuate 100.000 notifiche telematiche per un risparmio di circa 1 milione di euro;
• riduzione di circa 1 milione di pagine l’anno per l’effetto dell’avvio della dematerializzazione, con l’obiettivo al 2012 di ridurre di 3 milioni le pagine;
• risparmio del 90% dei costi di carta e del relativo impatto ecologico (uso e smaltimento) per circa 6 milioni di euro l’anno (solo acquisto senza smaltimento);
• utilizzo diffuso della Posta Elettronica Certificata (PEC), che produrrà un risparmio a regime di 200 milioni di euro per la riduzione delle raccomandate della Pubblica Amministrazione ai cittadini, senza contare la riduzione dei tempi e degli spazi di archiviazione.

Una volta completato l’iter di approvazione, il decreto legislativo avvierà un processo che consentirà di avere entro i prossimi 3 anni (in coerenza quindi con il Piano e-Gov 2012) un’amministrazione nuova, digitale e sburocratizzata:

• Entro 3 mesi le pubbliche amministrazioni utilizzeranno soltanto la Posta elettronica certificata (PEC) per tutte le comunicazioni che richiedono una ricevuta di consegna ai soggetti che hanno preventivamente dichiarato il proprio indirizzo;
• Entro 4 mesi le amministrazioni individueranno un unico ufficio responsabile dell’attività ICT;
• Entro 6 mesi le pubbliche amministrazioni centrali pubblicheranno i bandi di concorso sui propri siti istituzionali;
• Entro 12 mesi saranno emanate le regole tecniche che consentiranno di dare piena validità alle copie cartacee e soprattutto a quelle digitali dei documenti informatici, dando così piena effettività al processo di dematerializzazione dei documenti della PA. Le pubbliche amministrazioni non potranno richiedere l’uso di moduli e formulari che non siano stati pubblicati sui propri siti istituzionali. Il cittadino fornirà una sola volta i propri dati alla Pubblica Amministrazione: sarà onere delle amministrazioni in possesso di tali dati assicurare, tramite convenzioni, l’accessibilità delle informazioni alle altre amministrazioni richiedenti;
• Entro 15 mesi le pubbliche amministrazioni predisporranno appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili a fornire servizi e il ritorno alla normale operatività.

Per saperne di più

• Il nuovo CAD
• La foto della conferenza
• Il video della conferenza stampa

Fonte: Ministero per la pubblica amministrazione e l’innovazione 

Prima di tutto è necessario ricordare che l’art. 33 della L. 69/2009 (pubblicata nella Gazzetta Ufficiale n. 140 del 19 giugno 2009) prevedeva una delega al Governo per modificare solo alcuni e specifici aspetti del Codice dell’amministrazione digitale e, in particolare, il testo dell’articolo precisava questo:

1. Il Governo è delegato ad adottare, secondo le modalità e i princìpi e criteri direttivi di cui all’articolo 20 della legge 15 marzo 1997, n. 59, e successive modificazioni, entro diciotto mesi dalla data di entrata in vigore della presente legge, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con i Ministri interessati, uno o più decreti legislativi volti a modificare il codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nel rispetto dei seguenti princìpi e criteri direttivi specifici:
   • a) prevedere forme sanzionatorie, anche inibendo l’erogazione dei servizi disponibili in modalità digitali attraverso canali tradizionali, per le pubbliche amministrazioni che non ottemperano alle prescrizioni del codice;
   • b) individuare meccanismi volti a quantificare gli effettivi risparmi conseguiti dalle singole pubbliche amministrazioni, da utilizzare per l’incentivazione del personale coinvolto e per il finanziamento di progetti di innovazione;
   • c) individuare meccanismi volti a quantificare i mancati risparmi derivati dall’inottemperanza alle disposizioni del codice al fine di introdurre decurtazioni alle risorse finanziarie assegnate o da assegnare alle amministrazioni inadempienti;
   • d) prevedere l’affidamento temporaneo delle funzioni di cui all’articolo 17 del codice ad altre strutture in caso di mancata istituzione del centro di competenza;
   • e) modificare la normativa in materia di firma digitale al fine di semplificarne l’adozione e l’uso da parte della pubblica amministrazione, dei cittadini e delle imprese, garantendo livelli di sicurezza non inferiori agli attuali;
   • f) prevedere il censimento e la diffusione delle applicazioni informatiche realizzate o comunque utilizzate dalle pubbliche amministrazioni e dei servizi erogati con modalità digitali, nonché delle migliori pratiche tecnologiche e organizzative adottate, introducendo sanzioni per le amministrazioni inadempienti;
   • g) individuare modalità di verifica dell’attuazione dell’innovazione tecnologica nelle pubbliche amministrazioni centrali e delle ulteriori funzioni di cui all’articolo 16 del codice con l’introduzione di forme di monitoraggio che includano valutazioni sull’impatto tecnologico, nonché sulla congruenza e compatibilità delle soluzioni adottate, prevedendo l’affidamento al CNIPA delle relative attività istruttorie;
   • h) disporre l’implementazione del riuso dei programmi informatici di cui all’articolo 69 del codice, prevedendo a tal fine che i programmi sviluppati per le amministrazioni pubbliche presentino caratteri di modularità ed intersettorialità;
   • i) introdurre specifiche disposizioni volte a rendere la finanza di progetto strumento per l’accelerazione dei processi di valorizzazione dei dati pubblici e per l’utilizzazione da parte delle pubbliche amministrazioni centrali, regionali e locali;
   • l) indicare modalità di predisposizione di progetti di investimento in materia di innovazione tecnologica e di imputazione della spesa dei medesimi che consentano la complessiva ed organica valutazione dei costi e delle economie che ne derivano;
   • m) prevedere l’obbligo dell’utilizzo delle procedure e delle reti informatiche nelle comunicazioni tra le pubbliche amministrazioni, di qualsiasi livello, tra loro, con i propri dipendenti e con i concessionari di pubblici servizi;
   • n) prevedere la pubblicazione di indicatori di prestazioni nei siti delle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, introducendo sanzioni per le amministrazioni inadempienti;
   • o) equiparare alle pubbliche amministrazioni le società interamente partecipate da enti pubblici o con prevalente capitale pubblico;
   • p) prevedere che tutte le pubbliche amministrazioni di cui all’articolo 1, comma 2, del citato decreto legislativo n. 165 del 2001 eroghino i propri servizi, ove possibile, nelle forme informatiche e con le modalità telematiche, consolidando inoltre i procedimenti informatici già implementati, anche in collaborazione con soggetti privati;
   • q) introdurre nel codice ulteriori disposizioni volte ad implementare la sicurezza informatica dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, anche in relazione al Sistema pubblico di connettività.
2. All’attuazione della delega di cui al presente articolo le amministrazioni interessate provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri per la finanza pubblica.

Dalla lettura del lungo testo contenuto nell’art. 33 si evince chiaramente che nella delega, da una parte si è voluto prevedere un apparato sanzionatorio e, quindi, delle forme di controllo e di incentivo sull’operato delle amministrazioni pubbliche impegnate lungo la strada della digitalizzazione; dall’altra parte, senza prevedere nella delega modifiche particolari nella specifica regolamentazione dei processi documentali elettronici e negli strumenti da utilizzare, si è voluto incentivare l’utilizzo sicuro delle tecnologie informatiche nelle comunicazioni tra PA, tra PA e dipendenti e tra PA e cittadini/imprese. Anche le modifiche in materia di firma digitale avrebbero dovuto essere funzionali a un miglioramento nella usability di tale strumento, non certo si voleva delegare il Governo a operare una delicatissima e complessa modifica nella regolamentazione degli effetti formali e probatori della firma digitale e delle firme elettroniche!
E, invece, il testo partorito in pochissimi mesi di lavoro (c’erano 18 mesi a disposizione dall’entrata in vigore della legge, perché proprio con le controverse materie della Società del’Informazione continuiamo a regolamentare in fretta e furia e senza un minimo di attenzione?) è un guazzabuglio di modifiche e novità nell’impianto sistematico del Codice, senza né un capo, né una coda e soprattutto senza che il Governo avesse la delega specifica dal Parlamento per poterlo fare!

Non si discutono le modifiche al CAD contenute nello Schema di Decreto in materia di sanzioni, controlli e né tantomeno le specifiche a attente normative in materia di sicurezza informatica. Qui ci siamo e il Governo sta seguendo correttamente i binari indicati nella delega. E su queste materie ci saranno buone novità contenute nel testo di modifica. Ma tali buone novità e l’onesta e corretta opera di semplificazione rischiano di essere vanificate, anzi totalmente invalidate da incredibili e dissennate modifiche all’intero assetto normativo del CAD in materia di documento informatico, firme elettroniche, processi di copia e conservazione digitali. E tutte queste modifiche – si ripete – sono totalmente fuori delega e, quindi, devono considerarsi contra legem! Quindi, non soltanto sono dannose, ma sono anche totalmente in antitesi con lo spirito e gli obiettivi dichiarati nella delega contenuta nell’art. 33 della L. 69/2009.
Non si discutono le modifiche al CAD contenute nello Schema di Decreto in materia di sanzioni, controlli e né tantomeno le specifiche a attente normative in materia di sicurezza informatica. Qui ci siamo e il Governo sta seguendo correttamente i binari indicati nella delega. E su queste materie ci saranno buone novità contenute nel testo di modifica. Ma tali buone novità e l’onesta e corretta opera di semplificazione rischiano di essere vanificate, anzi totalmente invalidate da incredibili e dissennate modifiche all’intero assetto normativo del CAD in materia di documento informatico, firme elettroniche, processi di copia e conservazione digitali. E tutte queste modifiche – si ripete – sono totalmente fuori delega e, quindi, devono considerarsi contra legem! Quindi, non soltanto sono dannose, ma sono anche totalmente in antitesi con lo spirito e gli obiettivi dichiarati nella delega contenuta nell’art. 33 della L. 69/2009.

Proviamo sinteticamente a spiegare cosa sta succedendo, con la accorata speranza che chi di dovere verifichi, intervenga e blocchi questa scellerata azione di vero e proprio boicottaggio al CAD.
Già nei primissimi articoli del CAD si interviene e si introducono nuove definizioni, quali la copia informatica di documento informatico (che è la copia di un documento informatico con contenuto identico, ma diversa sequenza di valori binari) e il duplicato informatico (che è il duplicato esatto del documento originale informatico, ma che – udite udite – avrà l’aggiunta di ulteriori valori necessari per distinguerlo dall’originale!). E già iniziano i paradossi: si cerca di far percorrere al documento informatico le strade tortuose del documento cartaceo. Esiste l’originale e la copia nel mondo cartaceo? Bene, allora li introduciamo pure nel mondo digitale, dimenticando la storia del diritto dell’informatica e le stesse caratteristiche (e i relativi vantaggi) della digitalizzazione documentale che permettono di ottenere tanti originali informatici da mantenere su diversi supporti, ai fini di una corretta conservazione (e anche in adempimento alla normativa sulla protezione dei dati personali)!
Finita qui? Magari! Siamo purtroppo solo all’inizio di una profonda opera di frettolosa rivisitazione di discipline e concetti sui quali, finalmente e a fatica, si era arrivati a un minimo di chiarezza.

Continuiamo, dunque. Con l’entrata in vigore del CAD, seguendo lo spirito della delega che lo aveva animato (Legge delega 29 luglio 2003, n. 229), il legislatore aveva cercato di mettere ordine tra i concetti di firma elettronica e firma digitale e di provare in qualche modo a trovare una strada possibile di coordinamento con la direttiva comunitaria 1999/93/CE in materia di firme elettroniche (la quale ha uno spirito profondamente diverso rispetto alla nostra normativa, perseguendo principi e interessi dettati da una attenzione particolare al commercio elettronico tra privati, piuttosto che agli interessi della PA digitale). Pertanto, animato dalla volontà di semplificare, il legislatore di allora aveva pensato (in bene o in male) di fare uscire dal nostro ordinamento il concetto di “firma elettronica avanzata” e di limitare il concetto della firma elettronica essenzialmente a due tipologie di firma, regolamentandone i relativi effetti formali e probatori:

• la firma elettronica (alla quale erano riconducibili quella cd. semplice e quella avanzata presenti nella normativa comunitaria)
• la firma elettronica qualificata (alla quale è riconducibile la firma digitale).

Ebbene, con una spericolata azione normativa (si ripete ancora una volta, totalmente fuori delega!) la firma elettronica avanzata che era in precedenza uscita dalla porta, viene oggi fatta rientrare dalla finestra! Alla faccia della semplificazione!!! Ora cittadini, imprese e Pa dovranno cimentarsi nel nuovo, difficile e creativo gioco digitale del “che firma è e che valore ha questa firma”? Infatti, oltre ad aver introdotto la firma elettronica avanzata, il testo che si dovrebbe approvare a giorni in Consiglio dei Ministri ha dovuto modificare gli articoli 20 e 21 del CAD, attribuendo ai documenti informatici con diversi tipi di firme differenti valori formali e probatori! W la semplificazione all’italiana!
Ma sono le pesantissime modifiche agli articoli 22 (rubricato adesso copie informatiche di documenti analogici) e 23 (rubricato copie analogiche di documenti informatici) che raggiungono l’inverosimile e rischiano di paralizzare qualsiasi processo di digitalizzazione documentale nelle Pa e nelle imprese. Non si può approfondire, ma di fatto si vuole far passare il concetto che, senza la figura del pubblico ufficiale che attesti l’autenticità della copia informatica di documento analogico (originale unico o non unico che sia) la conformità di ogni archivio informatico sostitutivo potrà essere sempre disconosciuta!

Quindi, è vero che si sottolinea nel testo di riforma che le copie informatiche possono essere conservate al posto dei relativi originali analogici, ma chi si azzarderà più a sviluppare processi del genere, senza un notaio? E che fine ha fatto lo spirito di semplificazione? Perché non si introduce almeno il concetto di certificazione del processo di conservazione da parte del pubblico ufficiale? O si vogliono bloccare tutti i processi di conservazione sostitutiva già avviati con successo in Italia?

Nel nuovo art. 23-bis (rubricato documenti amministrativi informatici) il testo di modifica poi si diverte a tracciare la strada del particolare e innovativo documento analogico informatico; parliamo, cioè, del documento che si dimentica di essere informatico e segue la strada tipica degli originali e delle copie cartacee! Vogliamo avvantaggiarci del digitale oppure vogliamo fare finta che con la Società dell’Informazione non è cambiato nulla e dobbiamo fare i duplicati con timbro e affidarne l’autenticazione al burocrate di turno, dimenticandoci la funzione delle firme digitali e delle marche temporali e soprattutto trascurando il fatto che nel mondo digitale la copia di un bit è esattamente identica al suo originale? E che senso ha sottolineare che il responsabile della conservazione deve preoccuparsi di conservare l’originale informatico? Vogliamo, forse, mettere in cassaforte un server e un formato documentale, dimenticandoci del rischio di brevissima obsolescenza tecnologica tipico del mondo digitale?
Stiamo giocando a fare a cazzotti con i principi fondamentali del diritto dell’informatica?

Non posso andare avanti e ci sarebbe tanto altro da dire. L’essenziale è che si intervenga al più presto e si rimeditino certi improvvisati concetti che non so bene a chi giovino (in verità, qualche sospetto l’abbiamo un po’ tutti!) e che rischiano realmente di far procedere questa riforma “a balzi” sì, ma all’indietro, come un gambero…e sono certo che non è questo lo spirito dell’importante riforma immaginata dai Ministri Brunetta e Calderoli, i quali faticosamente cercano, anche attraverso gli innovativi strumenti digitali, di spianare le strada amministrativa e liberarla da inutili orpelli e giri a vuoto.

Ovviamente, come Associazione ANORC, dichiariamo la nostra massima disponibilità a dare una mano in questa difficile strada di cambiamento e a partecipare attivamente a tavoli di confronto che evitino di commettere errori irreparabili lungo le autostrade della digitalizzazione documentale.

>> Clicca qui per leggere il testo del decreto legislativo di modica del Codice dell’Amministrazione Digitale

A cura dell’avv. Andrea Lisi – Digital&Law Department (www.studiolegalelisi.it)
Presidente Associazione Nazionale Operatori e Responsabili della Conservazione digitale dei documenti (www.anorc.it)

Indicato fra i settori chiave a favore dell’attuazione dei piani per lo sviluppo dell’e-Government, l’e-Procurement ha per oggetto la gestione dell’intero processo di approvvigionamento attraverso strumenti informatici e telematici. Infatti, l’obiettivo generale dell’acquisto di beni e servizi per via telematica è quello di uniformare l’azione della Pubblica Amministrazione ai principi di efficienza, efficacia ed economicità, al fine di contenere la spesa pubblica e di rendere più efficiente ed innovativo l’Ente pubblico.

In particolare, l’introduzione di questo strumento nelle politiche di acquisto del settore pubblico, è orientata al perseguimento di alcuni obiettivi fondamentali:

• Programmazione dei fabbisogni;
• Razionalizzazione della spesa di beni e servizi;
• Semplificazione e standardizzazione delle procedure di acquisto;
• Conseguimento di economie di scala;
• Maggiore trasparenza delle procedure di gara sia verso i fornitori che verso i cittadini;
• Miglioramento della responsabilizzazione e del controllo della spesa;
• Incremento della specializzazione delle competenze;
• Maggiore efficienza nell’interazione fra Amministrazione e mercato.

Lo scenario ipotizzabile di e-Procurement può coprire diverse fattispecie:

• Tra aziende (secondo il paradigma del “commercio elettronico” o Business to Business – B2B),
• Tra aziende e privati (Business to Consumer – B2C),
• Tra aziende e istituzioni pubbliche (Business to Government – B2G).

Nel caso in cui gli appalti telematici siano utilizzati per gestire ed aggiudicare gare pubbliche di appalto si è coniato il nuovo termine di public e-Procurement, il quale in Italia risponde alla normativa in materia di pubblici appalti emanati dai due principali strumenti legislativi: l’originario Decreto del Presidente della Repubblica n.101 del 2002, il “Nuovo Codice degli Appalti”, ovvero il Decreto Legislativo n.163 del 12 Aprile 2006. Successivamente, la Legge n.296 del 27 Dicembre 2006 (La Legge “Finanziaria”) introduceva il Consolidamento del ruolo delle Centrali di acquisto Regionali, ed infine, il Decreto Legislativo n.6 del 26 Gennaio 2007 chiariva le disposizioni correttive ed integrative al Codice Appalti. In Europa la cosa si complica un pochino di più con una Direttiva attuativa (la Direttiva 2004/18/CE del Parlamento Europeo e del Consiglio) che in realtà è stata solo “parzialmente” recepita dall’ordinamento nazionale, e che in alcuni casi risulta addirittura in contrasto con la nostra normativa.

La normativa italiana prevede diversi strumenti di e-Procurement pubblico, ovvero che identificano sub procedure concorsuali modulate in virtù della tutela più o meno accentuata del principio di evidenza pubblica:

• Le aste elettroniche;
• I sistemi dinamici di acquisizione (convenzioni, gruppi di acquisto, accordi quadro, richieste di offerta, etc);
• Le procedure di gara interamente gestite con sistemi telematici;
• Il mercato elettronico (Marketplace o “negozi virtuali”).

Tipicamente, i siti web dedicati all’erogazione dei servizi di e-Procurement sono costituiti da una piattaforma informatica integrata attraverso la quale gli Enti appaltanti possono effettuare acquisti di beni o servizi da Fornitori Abilitati attraverso una Gara Telematica. Le procedure del sistema consentono anche l’individuazione del contraente per la stipula dei contratti.
Lo strumento telematico di negoziazione utilizzato nelle Gare Telematiche garantisce la parità di condizioni dei partecipanti, nel rispetto dei principi di trasparenza e di semplificazione delle procedure, nonché delle disposizioni, anche tecniche, di recepimento della normativa comunitaria sulle firme elettroniche e sulla documentazione amministrativa.

L’accesso tramite l’Account da parte degli Utenti al Sistema comporta l’accettazione di tutte le disposizioni contenute nelle Regole che governano la piattaforma.  Pertanto, l’accesso al Sistema implica che gli utenti autorizzati abbiano piena consapevolezza delle responsabilità e delle conseguenze di natura civile e penale previste in caso di dichiarazioni mendaci, falsità in atti ed uso di atti falsi ai sensi e per gli effetti del Decreto del Presidente della Repubblica n.445 del 28 Dicembre 2000. Qualora emerga la non veridicità del contenuto delle dichiarazioni fornite dall’utente decadrà la sua facoltà di accedere al sistema.

L’accesso e la partecipazione alle Gare telematiche sono riservati ai soli soggetti abilitati conformemente a quanto disposto dal Bando di abilitazione e dalle presenti Regole e deve avvenire nel rispetto dello stesso, dei documenti della procedura nonché delle istruzioni pubblicate all’interno del Sistema. Al fine di poter utilizzare il Sistema, gli Utenti dovranno dotarsi, a propria cura e spese, della strumentazione tecnica ed informatica software ed hardware, inclusi gli strumenti di Firma digitale ed i collegamenti alle linee di telecomunicazione, necessari per il collegamento alla rete Internet e, in generale, per compiere le attività all’interno del Sistema. L’identità dei fornitori e compratori è certificata dall’utilizzo di strumenti di firma digitale, cioè di una firma elettronica qualificata.

Dal punto di vista operativo, il servizio di marcatura temporale di un documento informatico consiste nella generazione, da parte di un soggetto terzo, di una firma digitale del documento cui è associata l’informazione relativa a una data e a un’ora certa.

Un file marcato temporalmente contiene il documento del quale si è chiesta la validazione temporale e la marca emessa dall’ente certificatore.

Il previgente quadro normativo prevedeva che le marche temporali fossero conservate in un apposito archivio informatico per un periodo non inferiore a cinque anni. Inoltre, subordinava la validità delle stesse al solo periodo di conservazione, vale a dire che, superati i cinque anni, i documenti marcati temporalmente rischiavano di non avere più la stessa rilevanza.

La riforma prevede, invece, che tutte le marche temporali vengano conservate in un apposito archivio per un periodo non inferiore a venti anni ovvero, su richiesta dell’interessato, per un periodo maggiore.

La firma digitale è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche correlate tra loro, che consente al titolare di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico.

Il limite che tale sistema di sottoscrizione presentava riguarda la validità dei documenti informatici nel tempo, nel senso che, essendo la firma digitale subordinata alla validità (solitamente triennale) di uno specifico certificato qualificato, alla scadenza di quest’ultimo i documenti rischiavano di non essere più validi.
Per ovviare a tale problema, occorreva apporre sui documenti informatici una marca temporale prima della scadenza del certificato.

Nella riforma indicata, è disposto che la firma digitale, anche se il relativo certificato qualificato risulti scaduto, revocato o sospeso, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma in un momento precedente alla scadenza, sospensione o revoca del certificato.

In pratica, se dopo aver firmato digitalmente un documento vi apponiamo anche una marca temporale, renderemo la firma digitale valida nel tempo.

Fonte: PMI.it

L’art. 2712 c.c. riguarda le c.d. «Riproduzioni meccaniche» (alle cui tipologie previste dall’art. 2712 c.c. il primo comma dell’art. 23 del D.Lgs. n. 82/2005 ha aggiunto espressamente quelle «informatiche») che «formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime».

L’art. 6, comma 2, del D.Lgs. n. 10/2002, stabilì inoltre che «il documento informatico sottoscritto con firma digitale soddisfa il requisito legale della forma scritta (ora art. 20, comma 2, del D.Lgs. n. 82/2005 che richiede il rispetto delle regole tecniche di cui all’art. 71). Sul piano probatorio esso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza» (ora art. 21, comma 1, del D.Lgs. n. 82/2005).

«Il documento informatico, quando è sottoscritto con firma digitale, basata su un certificato qualificato (rilasciato da un certificatore accreditato o non) ed è generato mediante un dispositivo elettronico per la creazione di una firma sicura (è un hardware – periferica che risponde ai requisiti fissati dall’allegato III della Direttiva CE 93/1999, la firma sicura è poi verificata coi criteri fissati dall’allegato IV della stessa Direttiva) fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto» (comma 3 dell’art. 6 del D.Lgs n. 10/2002, oggi riportato nel comma 2 dell’art. 21 del D.Lgs. n. 82/2005). Esso ha, pertanto, l’efficacia della scrittura privata con sottoscrizione autenticata o, meglio in questo caso, legalmente considerata come riconosciuta, prevista dagli artt. 2702, 2703 e 2704 (quest’ultimo sulla data della scrittura) del codice civile.

L’art. 35 del D.Lgs. n. 82/2005 sui dispositivi sicuri e le procedure per la generazione della firma stabilisce che essi devono presentare requisiti di sicurezza tali da garantire che la chiave privata sia riservata, non possa essere derivata o contraffatta e possa essere sufficientemente protetta dal titolare dall’uso da parte di terzi. Essi devono inoltre garantire l’integrità dei documenti informatici su cui è apposta la firma ed essere strutturati in modo tale da chiedere conferma della volontà di generare la firma o da ricondurre chiaramente tale generazione alla volontà del titolare (questo nel caso di procedura automatica).

«Al documento informatico, sottoscritto con firma digitale, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova (da parte del Giudice) unicamente a causa del fatto che è sottoscritto con firma elettronica od in quanto la firma non è basata su un certificato qualificato» (comma 4, dell’art. 6 del D.Lgs. n. 10/2002, abrogato e non riportato nel D.Lgs. n. 82/2005, ma sostanzialmente inutile).

L’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sottoscrizione hanno effetto dal momento della pubblicazione, salvo che il revocante o chi richiede la sospensione non dimostri che essa era già a conoscenza di tutte le parti interessate (norma introdotta dal comma 4 dell’art. 21 del D.Lgs. n. 82/2005).

La firma digitale o un altro tipo di firma elettronica qualificata può essere autenticata da un notaio o da un altro pubblico ufficiale a ciò autorizzato. In tal caso essa è legalmente riconosciuta ai sensi dell’art. 2703 del codice civile e la scrittura privata così sottoscritta «fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta», ai sensi dell’art. 2702 c.c.

L’autenticazione della firma digitale o di un altro tipo di firma elettronica qualificata consiste nell’attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità del certificato elettronico utilizzato e del fatto che il documento elettronico sottoscritto non è in contrasto con l’ordinamento giuridico (art. 25 D.Lgs. n. 82/2005, i cui contenuti erano in precedenza riportati nell’art. 24 del D.P.R. n. 445/2000).

Queste disposizioni si applicano alle firme elettroniche basate su di un certificato qualificato rilasciato da un certificatore avente sede nell’Unione Europea o fuori di essa, se accreditato in uno Stato di essa o garantito da un certificatore comunitario o riconosciuto in forza di un accordo fra la Comunità e Paesi terzi (comma 5 del D.Lgs. n. 10/2002, ripreso dal comma 4 dell’art. 21 del D.Lgs. n. 82/2005).

Ricordiamo poi l’art. 9 del D.Lgs. n. 10/2002, che sostituiva l’art. 38 del D.P.R. n. 445/2000 (tuttora in vigore, non essendo stato abrogato dal D.Lgs. n. 82/2005) sui rapporti telematici tra cittadini e Pubblica Amministrazione, stabilendo che le istanze e le dichiarazioni inviate per via telematica alla P.A. od ai gestori di pubblici servizi sono valide:

1. se sottoscritte mediante firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato e generata mediante un dispositivo per la creazione di una firma sicura (è richiesto quindi il massimo grado di affidabilità e sicurezza);

2. quando l’autore è identificato dal sistema informatico (della Pubblica Amministrazione a cui si è rivolto) con l’uso della carta d’identità elettronica o della carta nazionale dei servizi.

Autore: Gianfranco Visconti – Consulente di Direzione aziendale – Lecce
Fonte: Pmi – Ipsoa Editore, n. 6, Giugno 2009

soggetti del servizio di posta elettronica certificata sono: il mittente, il destinatario ed il gestore del servizio, cioe` il soggetto, pubblico o privato, che eroga il servizio e gestisce domini (indirizzi di siti e di caselle su Internet) di posta elettronica certificata (D.P.R. 11 febbraio 2005, n. 68, art. 2).

Coloro che possono scambiarsi i messaggi di posta elettronica certificata sono sia i privati (persone fisiche, persone giuridiche private ed imprese, associazioni e comitati che non sono persone giuridiche) sia le Pubbliche Amministrazioni (P.A. – persone giuridiche pubbliche, di cui all’art. 11 c.c.). Per i privati il solo indirizzo di PEC valido per ogni effetto giuridico e` quello espressamente dichiarato ai fini di ciascun procedimento con le P.A. o di ogni singolo rapporto tra privati o tra questi e le P.A. (art. 4, comma 2). Questo principio e` stato limitato da alcune norme successive che esamineremo successivamente per quanto riguarda i soli rapporti fra i privati e le P.A., in primo luogo dall’art. 6 del D.Lgs. 7 marzo 2005, n. 82 che stabilisce che non e` piu` necessario che il privato rinnovi la sua disponibilita` a ricevere messaggi di PEC in occasione di ogni procedimento amministrativo (almeno per quelli con la stessa Amministrazione).

Le imprese, per i rapporti tra loro intercorrenti, potevano (ma vedremo che le imprese individuali possono tuttora) dichiarare la volonta` di accettare l’invio di messaggi di PEC attraverso una apposita indicazione nell’atto di iscrizione nel Registro delle Imprese. Questa facolta` e` diventata un obbligo per le sole imprese aventi forma di societa` in forza dei commi 6 e 9 dell’art. 16 del D.L. 29 gennaio 2008, n. 185, convertito con modificazioni nella legge 28 gennaio 2009, n. 2, che analizzeremo successivamente. Tutte queste dichiarazioni obbligavano solo il dichiarante e potevano essere revocate nella stessa forma (comma 4, dell’art. 4 del D.P.R. n. 68/2005). Il comma 11, dell’art. 16 del D.L. n 185/2008 ha abrogato il comma 4 dell’art. 4 del D.P.R. n. 68/2005 col presumibile scopo di rendere obbligatoria per tutte le imprese l’indicazione dell’indirizzo di PEC all’atto dell’iscrizione nel Registro delle Imprese, ma, dato che il comma 6 dello stesso art. 16 rende questo ultimo obbligatorio solo per «le imprese costituite in forma societaria», le imprese individuali rientrano nella categoria dei soggetti «privati» di cui al comma 2, dell’art. 4 del D.P.R. n. 68/2005, per cui esse restano non obbligate all’indicazione dell’indirizzo di PEC al momento dell’iscrizione nel Registro delle Imprese e, se lo indicano, possono revocarlo quando vogliono con un’altra dichiarazione, eccetto che per le societa` che possono soltanto cambiarlo ma non farne completamente a meno.

Le modalita` di queste comunicazioni di disponibilita` dei privati e delle imprese ad accettare l’invio di messaggi di PEC sono definite nelle regole tecniche di cui all’art. 17 sempre del D.P.R. n. 68/2005 (comma 5, dell’art. 4).
Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore e si ritiene consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta elettronica (mailbox) messagli a disposizione dal suo gestore, che puo` essere diverso dal gestore del mittente (art. 3 che modifica il comma 1 dell’art. 14 del D.P.R. 28 gennaio 2000, n. 445). Nel caso in cui il gestore del mittente e quello del destinatario non coincidano essi devono assicurare l’interoperabilita` (la capacita` di comunicare fra loro) dei servizi offerti secondo quanto previsto dalle regole tecniche di cui all’art. 17 (art. 5). Il gestore del destinatario deve rilasciare a quello del mittente una ricevuta elettronica che attesti l’avvenuta presa in carico del messaggio (art. 7).

Su ogni messaggio di PEC il gestore appone il «riferimento temporale» (documento informatico che contiene la data e l’ora di invio o di ricezione del messaggio) ed una «marca temporale» corrispondente sul log o registro informatico dei messaggi (art. 10). L’integrita` di tutte le parti del messaggio di posta elettronica certificata (per es., messaggio dell’e-mail, firma digitale, files allegati, ecc.) viene garantita dal gestore attraverso l’inclusione di esso nella «busta di trasporto» (art. 11, comma 1), cioe` il documento informatico che contiene il messaggio di PEC (art. 1, lett. a).
Le ricevute rilasciate dai gestori di PEC e la busta di trasporto sono da questi sottoscritte con una firma elettronica avanzata (c.d. firma digitale) ai sensi dell’art. 1, comma 1, lettera dd) del D.P.R. n. 445/2000, generata automaticamente dal sistema di posta elettronica e basata su chiavi asimmetriche a coppia, una pubblica e una privata, tale da garantire la provenienza, l’autenticita` e l’integrita` del messaggio di PEC (art. 9).

Quando il messaggio di PEC non sia consegnabile il gestore deve comunicare al mittente, entro le 24 ore dall’invio, la mancata consegna tramite un avviso elettronico secondo le modalita` previste dalle regole tecniche di cui all’art. 17 (art. 8). Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte viene conservata per un periodo di trenta mesi dai gestori in un «log» o registro informatico dei messaggi stessi, con lo stesso valore giuridico (nel senso di opponibilita` ai terzi) delle ricevute (art. 11, comma 2, ed art. 6, comma 7).

I gestori dei sistemi di posta elettronica certificata sono solo quelli inclusi in un apposito elenco pubblico tenuto dal CNIPA – Centro Nazionale per l’Informatica nella Pubblica Amministrazione (vi sono, per es., Poste Spa ed Infocamere Spa) che verifica i requisiti soggettivi ed oggettivi per essi previsti inerenti alla capacità, competenza ed esperienza tecnico – organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza compresi sistemi di emergenza che assicurino in ogni caso il completamento della trasmissione, alla certificazione ISO 9000 del processo di gestione della PEC, ecc. Per iscriversi all’elenco i gestori devono avere forma giuridica di Pubbliche Amministrazioni (persone giuridiche pubbliche, cioe` Enti Pubblici) o di societa` di capitali con un capitale sociale interamente versato non inferiore ad un milione di Euro e presentare una polizza assicurativa contro i rischi derivanti dall’attivita` del gestore (art. 14).

L’utilizzo di caselle di PEC rilasciate a privati (persone fisiche, imprese, ecc.) da Pubbliche Amministrazioni iscritte nell’elenco di cui sopra costituisce valido invio solo limitatamente ai rapporti intrattenuti fra le Amministrazioni stesse ed i privati a cui sono state rilasciate le caselle (art. 16, comma 2). I gestori di PEC stabiliti, cioe` aventi «stabile organizzazione » (la definizione di stabile organizzazione, di derivazione comunitaria, e` presente, nell’ordinamento italiano, nell’art. 162 del Testo Unico delle Imposte sui Redditi ed e` esposta nel primo paragrafo della prima sezione del primo capitolo del presente volume), in altri Stati membri dell’Unione Europea per operare in Italia devono presentare requisiti e forme giuridiche equivalenti a quelli previsti dalla nostra legislazione che sono verificati sempre dal CNIPA (art. 15).

I gestori di posta elettronica certificata devono assicurare i livelli minimi di servizio previsti dalle regole tecniche di cui all’art. 17 (art. 13). Inoltre, i gestori, sia del mittente che del destinatario, sono tenuti a verificare l’eventuale presenza di virus informatici (software che possono danneggiare un sistema informatico o i dati in esso contenuti) nelle email ed informare, in caso positivo, il mittente dell’impossibilita` di dare corso alla trasmissione, conservando i messaggi per trenta mesi secondo le modalita` definite dalle regole tecniche di cui all’art. 17 (art. 12).

Le regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata sono state definite dal Ministro per l’Innovazione e le Tecnologie ed emanate col Decreto del Presidente del Consiglio dei Ministri del 2 novembre 2005 pubblicato sulla Gazzetta Ufficiale n. 266 del 15 novembre 2005.
Tutti gli atti normativi sulla disciplina della posta elettronica certificata e della firma digitale sono consultabili su: www.cnipa.gov.it.
Autore: Gianfranco Visconti – Consulente di Direzione aziendale – Lecce
Fonte: PMI – Ipsoa Editore, n. 4/2009

Ma le cose non sono così semplici. La firma digitale si compone di due fasi: nella prima il documento digitale da firmare è compresso o dilatato secondo un preciso processo matematico (lo Sha-I appunto) in una sequenza fissa di 160 bit l’ “impronta”. Poi l’impronta è trasformata con un algoritmo (Rsa) in una sequenza di 1.024 bit, la “firma”. L’algoritmo opera con due chiavi differenti per firmatario, una per cifrare e una per decifrare. L’Rsa usa chiavi derivate da una coppia di numeri primi impiegati in modo complementare: per la cifratura la chiave privata è basata sui due numeri primi, mentre per la decifratura la chiave pubblica è basata sul loro prodotto.

La difficoltà per chi volesse violare il documento sta nel fatto che non è così facile scomporre il prodotto nei suoi due fattori, anche perché con le attuali tecniche di firma si usano numeri primi grandissimi, ognuno di 1.024 bit, pari a circa 330 cifre decimali. Non c’è altro modo di scomporre il numero se non per tentativi e il tempo per farlo, anche con i più potenti calcolatori, sarebbe superiore all’età dell’universo. Il codice Sha-I è un processo che trasforma ogni documento in una sequenza di 160 bit. E’ impossibile risalire al documento che l’ha generato e al massimo, operando per tentativi, si ricaverebbe un documento con la stessa impronta ma che non ha nulla a che vedere con l’originale.

Allora cos’hanno fatto i matematici cinesi? Hanno trovato un metodo più intelligente di quello per tentativi. Ma in ultima analisi non cambia niente, perché continua ad essere impossibile recuperare il documento d’origine. Inoltre, anche se si riuscisse a rompere il codice Sha-I rimarrebbe comunque da decifrare l’Rsa. Insomma la firma digitale continua ad essere sicura e inviolabile da ormai 10 anni e sembra che continuerà ad esserlo per ancora un bel po’ di tempo.

Fonte: biweb.it

Possiamo pensare per analogia a quanto è accaduto nel corso degli ultimi decenni alla rete autostradale nazionale, che fu realizzata con grandi risorse economiche che sarebbero state vane se poi non fosse stata riempita di “contenuti”. A distanza di anni infatti, stiamo costruendo ulteriori corsie, poiché i “contenuti” superano la “banda disponibile”. Nelle telecomunicazioni, sta accadendo proprio questo e noi ne siamo gli attori. Dall’ inizio del nuovo millennio ad oggi la domanda di banda trasmissiva della P.A. è aumentata di 20 volte, si è passati da 2 Gigabit/secondo a oltre 40 Gigabit/secondo, ma nello stesso periodo il rapporto tra spesa e banda utilizzata è diminuito da 26 Milioni di euro per igabit/secondo a 3 Milioni di euro. Pensando a domani, potremmo prendere a modello quello che è accaduto per i Personal Computer o per i Telefoni Cellulari, ovvero capillarizzazione della risorsa a costi decisamente inferiori. Quindi l’SPC (Sistema Pubblico di Connettività) così come le autostrade, rappresenterà un Sistema e non una semplice Rete. Un sistema arricchito di flussi digitali per fornire Servizi, piuttosto che strumenti condivisi, ultimo dei quali la Posta Elettronica Certificata e la Firma Digitale, per dare maggiore efficacia ed unicità all’azione amministrativa nei confronti del cittadino.

Ciò presuppone una forte integrazione, cooperazione e interconnessione tra gli uffici pubblici, all’interno di un processo di semplificazione, per eliminare ad esempio la grande richiesta di certificati che il cittadino o l’impresa deve poi inoltrare con dispendio di risorse presso altre amministrazioni Pubbliche, oppure l’erogazione di servizi on line sia di tipo informativo che transazionale, come il pagamento dei tributi.

“Chiunque ha diritto alla protezione dei dati personali che lo riguardano”, come cita testualmente l’art. 1.della legge sulla Privacy. Ecco quindi che la sicurezza dei dati, delle informazioni e delle comunicazioni diviene un’esigenza sempre più stringente che, per essere correttamente affrontata, richiede, da una parte, diversi livelli di attenzione e, dall’altra, diversi ambiti di intervento, tra i quali emerge la necessità di curare la formazione dei dipendenti pubblici coinvolti nei processi di innovazione. La realizzazione di una reale sicurezza delle informazioni, impone un’efficace protezione della rete dagli attacchi che possono provenire dal mondo esterno, una corretta gestione e definizione delle policy di accesso ai vari servizi da parte del personale interno e una adeguata strategia di Business Continuity che consenta, con efficaci politiche di archiviazione, recovery e backup dei dati, di affrontare anche eventi imprevisti e dannosi che ne minacciano l’Integrità, la Disponibilità e la Riservatezza.