Incontro di formazione presso il Consiglio dell'Ordine dei Commercialisti di Bolzano

1. Michele Martoni
Lawyer, Contract Professor at the University of Bologna, Ph.D. in IT Law
PEC, FIRMA DIGITALE
E PROCESSO TELEMATICO
in collaborazione con
ADR SEMPLIFICA
Koinè società cooperativa Servizi Professioni Economico
Bolzano, 30 ottobre 2012

2. PREMESSA

3. percorso logico
rete e identità reale
nuove modalità di attestazione
efficacia giuridica

4. identità virtu(re)ale
Constatazione: Rete “reale” non virtuale
Popolazione mondiale
7 miliardi 100 milioni
(Istituto francese di studi demografici, agosto 2012)
Utenti Internet nel mondo
2 miliardi 300 milioni
(Internet World Stats, agosto 2012)
Utenti Facebook
1 miliardo (23 milioni in Italia)
(Facebook, settembre 2012)

5. quesito n. 1
• Esiste un modo per attestare in Rete la
propria identità ?
ad esempio per:
– avvalersi di un pubblico servizio
– concludere un contratto
– scambiarsi corrispondenza in modalità sicura
nell’ambito di rapporti commerciali o
professionali
– etc.

6. quesito n. 2
• Esiste un modo per garantire in Rete
l’integrità di un documento ?
– Esistono attacchi su sessioni https approfittando di momenti di
inattività: si veda ad esempio Cookie Monster (2008)
• http://fscked.org/blog/cookiemonster-core-logic-configuration-and-readmes
• http://en.wikipedia.org/wiki/Cookiemonster_attack
• ... e la sua riservatezza ?

7. Sì !
• Esistono molti modi ma se non li conosciamo
non siamo nemmeno in grado di capire quando
un contesto, un interlocutore o uno strumento
sono “insidiosi”
– Se carico un autostoppista sono consapevole del
rischio che corro
– Se affido il mio archivio personale ad un Service
Provider qualunque … mi limito a valutarne la
convenienza in termini economici !

8. aspetto culturale
• Se non comprendo il valore tutelato (ad
esempio la riservatezza del dato piuttosto che la
certezza della identità di una persona) sarò
portato a non applicare e quindi a non
rispettare la disciplina in materia
• Sarò portato a vivere come un inutile
appesantimento tutto ciò che viene sancito e
regolamentato

9. nuova dimensione
• L’impiego di questi strumenti produce
effetti giuridici
• L’approccio deve pertanto essere diverso
rispetto all’impiego di altri device … non
sono una fidelity card !
• La rilevanza di tali strumenti dal profilo
giuridico li rende ancora più appetitosi per
i terzi malintenzionati
• Per questo, e ancora di più, l’approccio
deve essere consapevole

10. vulnerabilità e limiti
• Normativa
• Dispositivo di firma
• Certificatore
• Apparecchiatura del firmatario
• Software di apposizione della firma
• Fattore “U”

11. OpenSourceINTelligence
• è l'attività di raccolta di informazioni
mediante la consultazione di fonti di
pubblico accesso. Nell'ambito di
operazioni di intelligence il termine
"Open Source" si riferisce a fonti
pubbliche, liberamente accessibili, in
contrapposizione a fonti segrete o
coperte.

12. dall’identità in rete
al furto di identità
Art. 494 C.p. – Sostituzione di persona
Chiunque, al fine di procurare a sé o ad altri un
vantaggio o di recare ad altri un danno, induce
taluno in errore, sostituendo illegittimamente la
propria all’altrui persona, o attribuendo a sé o ad
altri un falso nome, o un falso stato, ovvero una
qualità a cui la legge attribuisce effetti giuridici, è
punito, se il fatto non costituisce un altro delitto
contro la fede pubblica, con la reclusione fino a
un anno.

13. riflessioni
• L’identità in rete è un fatto!
• I dati che costituiscono e che sanciscono la
propria identità in rete sono informazioni
strategiche da preservare
• La normativa e la tecnica ci sono!
• Occorre consapevolezza e formazione anche
sugli strumenti impiegati e sulle caratteristiche e
i limiti di funzionamento
• E questo non solo nell’impiego ma anche nella
impostazione delle strategie di innovazione
• Approccio consapevole e interdisciplinare

14. Email (es. Google)
“[...] Quando carica o invia in altro modo dei contenuti ai nostri Servizi, l’utente
concede a Google (e a coloro che lavorano con Google) una licenza mondiale per
utilizzare, ospitare, memorizzare, riprodurre, modificare, creare opere derivate
(come quelle derivanti da traduzioni, adattamenti o modifiche che apportiamo in
modo che i contenuti dell’utente si adattino meglio ai nostri Servizi), comunicare,
pubblicare, rappresentare pubblicamente, visualizzare pubblicamente e distribuire
tali contenuti. I diritti che concede con questa licenza riguardano lo scopo limitato
di utilizzare, promuovere e migliorare i nostri Servizi e di svilupparne di nuovi.
Questa licenza permane anche qualora l’utente smettesse di utilizzare i nostri
Servizi (ad esempio nel caso di una scheda di attività commerciale aggiunta a
Google Maps). Alcuni Servizi potrebbero offrire modalità di accesso e rimozione
dei contenuti forniti a tale Servizio. Inoltre, in alcuni dei nostri Servizi sono
presenti termini o impostazioni che restringono l’ambito del nostro utilizzo dei
contenuti inviati a tali Servizi. L’utente dovrà assicurarsi di disporre dei diritti
necessari per concederci tale licenza rispetto a qualsiasi contenuto inviato ai
nostri Servizi.”.
termini di servizio al 16 maggio 2012
https://www.google.it/intl/it/policies/

15. Email (es. Google)
“In Gmail, gran parte degli annunci che visualizziamo
compaiono accanto a un messaggio email aperto e riguardano
i contenuti del messaggio. Quando personalizziamo gli
annunci, visualizziamo annunci attinenti ai contenuti di tutte
le tue email. Ad esempio, se di recente hai ricevuto molti
messaggi sulla fotografia o sulle fotocamere, potremmo
visualizzare un’offerta di un negozio locale che vende
fotocamere.”.
norme sulla privacy (FAQ) al 16 maggio 2012
https://www.google.it/intl/it/policies/

16. Social network (es. Facebook)
“Per quanto riguarda i contenuti coperti da diritti di proprietà,
ad esempio foto e video (Contenuti IP), l'utente concede a
Facebook le seguenti autorizzazioni, soggette alle
impostazioni sulla privacy e delle applicazioni dell'utente
stesso: l'utente fornisce a Facebook una licenza non esclusiva,
trasferibile, che può essere concessa come sotto-licenza,
libera da royalty e valida in tutto il mondo, che consente
l'utilizzo di qualsiasi Contenuto IP pubblicato su Facebook o
in connessione con Facebook (Licenza IP). La Licenza IP
termina nel momento in cui l'utente elimina i Contenuti IP
presenti sul suo account, a meno che tali contenuti non siano
stati condivisi con terzi e che questi non li abbiano eliminati.
terms al 16 maggio 2012
http://www.facebook.com/policies/

17. Social network (es. Facebook)
Quando l'utente elimina Contenuti IP, questi vengono eliminati in modo simile a
quando si svuota il cestino del computer. Tuttavia, è possibile che i contenuti
rimossi vengano conservati come copie di backup per un determinato periodo di
tempo (pur non essendo visibili ad altri).
Quando si usa un'applicazione, i contenuti e le informazioni vengono messi in
condivisione con l'applicazione. Le applicazioni devono rispettare la privacy
dell'utente, ed è l'accordo accettato al momento dell'aggiunta dell'applicazione
che controlla il modo in cui l'applicazione può utilizzare, archiviare e trasferire i
contenuti e le informazioni (ulteriori informazioni sulla Piattaforma sono
disponibili nella nostra Normativa sulla privacy e nella pagina della Piattaforma).
Quando l'utente pubblica contenuti o informazioni usando l'impostazione tutti,
concede a tutti, anche alle persone che non sono iscritte a Facebook, di accedere e
usare tali informazioni e di associarle al suo profilo (ovvero al suo nome e alla
sua immagine).”.
terms al 16 maggio 2012
http://www.facebook.com/policies/

18. Cloud computing (es. iCloud)
Rimozione di Contenuti
Lei prende atto che Apple non è responsabile in alcun modo per
Contenuti forniti da altri e non ha alcun dovere di controllare
preventivamente tali Contenuti. Tuttavia, Apple si riserva il diritto in
ogni momento di decidere se un Contenuto è opportuno e in conformità
con il presente Contratto, e può controllare preventivamente, spostare,
rifiutare, modificare e/o rimuovere i Contenuti in ogni momento, senza
preavviso e a sua sola discrezione, nel caso in cui tali Contenuti siano
ritenuti in violazione del presente Contratto o siano sgradevoli in altro
modo.
terms al 16 maggio 2012
http://www.apple.com/legal/icloud/it/terms.html

19. Cloud computing (es. iCloud)
Accesso al Suo Account e Contenuto
Apple si riserva il diritto di adottare le misure che Apple ritiene siano
ragionevolmente necessarie o opportune per applicare e/o verificare la conformità
con qualsiasi parte del presente Contratto. Lei prende atto e accetta che Apple
potrà, senza responsabilità nei Suoi confronti, accedere, utilizzare, conservare e/o
divulgare le Sue informazioni sull’Account e Contenuti alle forze dell’ordine,
funzionari del governo e/o terzi, così come Apple ritenga sia ragionevolmente
necessario o opportuno, qualora sia richiesto per legge o nel caso in cui noi
riteniamo in buona fede che tale accesso, uso, divulgazione o conservazione siano
ragionevolmente necessari per: (a) conformarsi a procedimenti od ordini
giudiziari; (b) applicare il presente Contratto, inclusa l’investigazione di qualsiasi
violazione potenziale dello stesso; (c) individuare, prevenire o gestire in altro
modo problemi di sicurezza, tecnici o in materia di frode; o (d) proteggere i
diritti, la proprietà o la sicurezza di Apple, i suoi utenti, terze parti o il pubblico,
così come richiesto o consentito dalla legge.
terms al 16 maggio 2012
http://www.apple.com/legal/icloud/it/terms.html

20. Parte 2
PCT

21. Normativa che regola il PCT
• D.P.R. 123/2001 (ora sostituito)
• D.L. 112/2008 (conv. L. 133/2008)
• D.L. 193/2009 (conv. L. 24/2010)
• D.M. 27 aprile 2009
• D.M. 21 febbraio 2011 (att. D.L. 193/2009)
– Sostituisce integralmente il D.P.R. 123/2001
• Provv. 18 luglio 2011

22. Normativa sugli strumenti
• D.Lgs. 82/2005 (CAD)
• D.lgs. 68/2005 (PEC)
• Regole tecniche PEC
• D.P.C.M. 6 maggio 2009 (CECPAC)
• D.P.C.M. (regole tecniche FD)
e infine:
• D.Lgs. 196/2003 (Codice Privacy)

23. Il primo passo: i “Registri”
• D.M. Giustizia, 27 marzo 2000 , n. 264,
Regolamento recante norme per la tenuta dei
registri presso gli uffici giudiziari
• D.M. Giustizia, 24 maggio 2001, Regole
procedurali relative alla tenuta dei registri
informatizzati dell’amministrazione della giustizia
• D.M. Giustizia, 27 aprile 2009, Nuove regole
procedurali relative alla tenuta dei registri
informatizzati dell'amministrazione della giustizia

24. Cosa sono i Registri
registri: i registri tenuti, a cura delle cancellerie o
delle segreterie, presso gli uffici giudiziari,
ovvero i registri previsti da codici, da leggi
speciali o da regolamenti, comunque connessi
all'espletamento delle attribuzioni e dei servizi
svolti dall'Amministrazione della giustizia
tenuta dei registri: la formazione, l'uso, la
conservazione, la custodia, l'esibizione di registri

25. Come sono tenuti i Registri
I registri sono tenuti su base annuale ed in modo da
garantire la integrità, la completezza, la disponibilità
e la riservatezza di iscrizioni ed annotazioni nonché la
identificazione del soggetto che accede ai registri (art.
2, c.1)
I registri sono tenuti in modo informatizzato secondo le
regole procedurali (art. 3, c.1)
La tenuta informatizzata dei registri secondo le regole
tecniche e le regole procedurali di attuazione garantisce
la integrità, la disponibilità e la riservatezza dei dati e
consente l'identificazione del soggetto che accede al
registro (art. 4, c.1);

26. Informatizzazione degli atti
atti: gli atti formati o comunicati dalle cancellerie
o segreterie degli uffici giudiziari
Gli atti sono formati mediante sistemi informatici
conformi alle disposizioni di cui al decreto
legislativo 12 febbraio 1993, n. 39. Se la legge
richiede la sottoscrizione dell'atto a pena di
nullità, l'autenticità ne è attestata mediante la
firma digitale, secondo le regole tecniche (art. 9)

27. Il PCT: gli inizi
• D.P.R. 123 / 2001
– Le cui disposizioni come vedremo oggi non
sono più efficaci nel processo civile
• D.M. 17 luglio 2008 (regole tecniche)
– Anch’esso oggi sostituito

28. Il nuovo assetto normativo
• Art. 4, comma 1, D.L. 193 / 2009
“sono individuate le regole tecniche per
l'adozione nel processo civile e nel
processo penale delle tecnologie
dell'informazione e della comunicazione, in
attuazione dei principi previsti dal
decreto legislativo 7 marzo 2005, n. 82, e
successive modificazioni”

29. Attuazione dell’art. 4 D.L. 193/2009
• Decreto del Ministero della Giustizia in
data 21 febbraio 2011 recante
“Regolamento concernente le regole
tecniche per l’adozione nel processo
civile e nel processo penale delle
tecnologie dell’informazione e della
comunicazione”

30. Un problema di fonti
• Art. 37, comma 2
Dalla data di cui al comma 1 (leggasi 18
maggio 2011) cessano di avere efficacia
nel processo civile le disposizioni del
D.P.R. 123/2001 e del D.M. 17 luglio 2008

31. Un problema di fonti
• Art. 17, comma 3, L. 400/1988
[…] I regolamenti ministeriali ed
interministeriali non possono dettare
norme contrarie a quelle dei
regolamenti emanati dal Governo. Essi
debbono essere comunicati al Presidente
del Consiglio dei ministri prima della loro
emanazione.

32. In ritardo …
• Il decreto doveva essere attuato – in
applicazione dei termini prescritti dal
comma 1 dell’art. 4 del D.L. 193/2009 –
entro il 27 aprile 2010
• Il decreto in parola è stato adottato con
quasi un anno di ritardo !

33. Definizioni (art. 2)
• Dominio giustizia
• Portale dei servizi telematici
• Punto di accesso
• Gestore dei servizi telematici
• Posta elettronica certificata
• Identificazione informatica
• Firma digitale
• Fascicolo informatico

34. Definizioni (art. 2)
• Soggetti abilitati
– Soggetti abilitati interni
– Soggetti abilitati esterni
• Soggetti abilitati esterni pubblici
• Soggetti abilitati esterni privati
• Utente privato
• Spam
• Software antispamming
• Log

35. 2 video di ciò che già accade
• Milano
– http://vimeo.com/23708193
• Bologna
– http://vimeo.com/8342168

36. Prima di addentrarsi …
• Prima di addentrarsi nelle attuali regole
tecniche occorre approfondire la
conoscenza degli strumenti che se
impiegati correttamente consentono di
attuare il processo civile telematico.
• Mi riferisco in particolare a:
– Documento informatico e firme elettroniche
– Posta elettronica certificata

37. DOCUMENTO INFORMATICO e
FIRME ELETTRONICHE

38. Il Codice dell’Amministrazione Digitale
• Decreto Legislativo n. 82/2005
Codice dell’Amministrazione Digitale
(modificato da ultimo dal D.Lgs. 235/2010)
• D.P.C.M. 30/3/2009
Regole tecniche in materia di generazione, apposizione
e verifica delle firme digitali e validazione temporale dei
documenti informatici

39. Un diverso approccio normativo
• D.p.r. 513/1997
• Direttiva 1999/93/EC

40. un’epoca un sistema
• Steganografia
– Occultamento fisico del messaggio
• Il messaggio è “invisibile”
• Intercettazione: forte rischio di pregiudizio

41. un’epoca un sistema
• Crittografia
– Occultamento semantico del contenuto del
messaggio
• Il messaggio è “visibile” ma non “comprensibile”
• Key management

42. crittografia simmetrica
crittografia asimmetrica
• La crittografia simmetrica, nota
anche come crittografia a chiave
privata o a chiave segreta, è quella
particolare tecnica crittografica che
prevede l'utilizzo di un’unica chiave
sia per l'operazione di cifratura sia
per quella di decifratura

43. crittografia simmetrica
crittografia asimmetrica
• La crittografia asimmetrica (crittografia a
doppia chiave o crittografia a chiave
pubblica) contempla invece l’impiego di una
coppia di chiavi, una chiave pubblica ed una
chiave privata. Il principio sotteso a questa
particolare tecnica prevede che quanto viene
cifrato con una chiave potrà essere decifrato
esclusivamente con l’altra chiave della coppia

44. Crittografia asimmetrica
Una chiave (KPRIV) per cifrare
Un’altra chiave (KPUB) per decifrare
Due chiave diverse ma correlate (KPRIV KPUB)
1. Chiave privata (KPRIV) conosciuta solo dal titolare
2. Chiave pubblica (KPUB) conosciuta da tutti

45. hash function
Una funzione matematica che genera, a partire
da una generica sequenza di simboli binari (bit),
una impronta in modo tale che risulti di fatto
impossibile, a partire da questa, determinare una
sequenza di simboli binari (bit) per le quali la
funzione generi impronte uguali ...
(cfr. d.p.c.m. 30 marzo 2009)

46. dalla crittografia
alle firme elettroniche
• in principio era “solo” la Firma digitale 1997
• poi giunsero le Firme elettroniche 1999-2000

47. dalla crittografia
alle firme elettroniche
• La firma digitale altro non è che l’applicazione
di un sistema di cifratura a chiave asimmetrica
• Oltre al piano software vi è un livello
organizzativo che unisce allo strumento di firma
l’elemento della certificazione della identità
della persona titolare dello strumento.

48. Attività di certificazione
• Certificatore
– Semplice
– Qualificato
– Accreditato
• Certificato
– Semplice
– Qualificato

49. Certificatore
(art. 1, lett. g, CAD)
• Per Certificatore si intende il soggetto
che presta servizi di certificazione delle
firme elettroniche o che fornisce altri
servizi connessi con queste ultime.

50. Attività di certificazione
(art. 26 CAD)
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione
europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o,
se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti
all'amministrazione, qualora emettano certificati qualificati devono possedere i
requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi
in materia bancaria e creditizia, di cui al decreto legislativo 385/1993, e successive
modificazioni. (cfr. DM 161/1998)
2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di cui al
comma 1 comporta il divieto di prosecuzione dell'attività intrapresa.
3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri
Stati membri dell'Unione europea non si applicano le norme del presente codice e le
relative norme tecniche di cui all'articolo 71 e si applicano le rispettive norme di
recepimento della direttiva 1999/93/CE.

51. Tipologie di Certificati
1.- Certificato elettronico “semplice”
2.- Certificato qualificato

52. Definizione di certificato
(art. 1, CAD)
• Per certificati elettronici si intendono gli attestati
elettronici che collegano all’identità del titolare i
dati utilizzati per verificare le firme elettroniche.
• Per certificato qualificato si intende il certificato
elettronico conforme ai requisiti di cui all’allegato
I della direttiva 1999/93/CE, rilasciati da
certificatori che rispondono ai requisiti di cui
all’allegato II della medesima direttiva.

53. Certificati qualificati
(allegato I, dir. 1999/93/CE)
I certificati qualificati devono includere:
a) l'indicazione che il certificato rilasciato è un certificato qualificato;
b) l'identificazione e lo Stato nel quale è stabilito il prestatore di servizi di
certificazione;
c) il nome del firmatario del certificato o uno pseudonimo identificato come tale;
d) l'indicazione di un attributo specifico del firmatario, da includere se pertinente, a
seconda dello scopo per cui il certificato è richiesto;
e) i dati per la verifica della firma corrispondenti ai dati per la creazione della firma
sotto il controllo del firmatario;
f) un'indicazione dell'inizio e del termine del periodo di validità del certificato;
g) il codice d'identificazione del certificato;
h) la firma elettronica avanzata del prestatore di servizi di certificazione che ha
rilasciato il certificato;
i) i limiti d'uso del certificato, ove applicabili; e
j) i limiti del valore dei negozi per i quali il certificato può essere usato, ove applicabili.

54. Tipologie di Certificatori
1.- Certificatore semplice (cfr. supra art. 26)
2.- Certificatore qualificato
3.- Certificatore accreditato

55. Certificatori qualificati
(art. 27, CAD)
Requisiti:
1. ex art. 26 (onorabilità)
2. specializzazione del personale
3. procedure e metodi di gestione
4. utilizzo di sistemi affidabili
5. adozione di misure contro la contraffazione
Procedimento:
1. comunicazione DIA
2. controlli del CNIPA

56. Certificatori accreditati
(art. 29, CAD)
• Elenco pubblico: www.cnipa.gov.it
• Riconoscimento del possesso dei requisiti del livello più elevato, in
termini di qualità e sicurezza
• Silenzio-assenso: 90 giorni
• Il richiedente deve possedere:
– Requisiti di cui all’articolo 27
– Se soggetto privato deve altresì possedere:
• Forma giuridica di S.p.A.
• Capitale sociale minimo
• Caratteristiche del personale impiegato oltre che dei legali rappresentanti

57. Regole speciali per le P.A.
articolo 34 C.A.D.
• 1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di
rilevanza esterna, le pubbliche amministrazioni:
– a) possono svolgere direttamente l'attività di rilascio dei certificati qualificati
avendo a tale fine l'obbligo di accreditarsi ai sensi dell'articolo 29; tale attività può
essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché di
categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di
categorie di terzi possono essere utilizzati soltanto nei rapporti con
l'Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto ad
esclusione di quelli rilasciati da collegi e ordini professionali e relativi organi agli
iscritti nei rispettivi albi e registri; con decreto del Presidente del Consiglio dei
Ministri, su proposta dei Ministri per la funzione pubblica e per l'innovazione e le
tecnologie e dei Ministri interessati, di concerto con il Ministro dell'economia e
delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati
qualificati;
– b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in
materia di contratti pubblici.
• 2. Per la formazione, gestione e sottoscrizione di documenti informatici
aventi rilevanza esclusivamente interna ciascuna amministrazione può
adottare, nella propria autonomia organizzativa, regole diverse da quelle
contenute nelle regole tecniche di cui all'articolo 71. […]

58. Responsabilità
del Certificatore
• Art. 30

59. Vigilanza sull’attività
dei certificatori e dei
gestori di posta elettronica
• Art. 31

60. Obblighi del titolare e
del certificatore
• Art. 32

61. Revoca e sospensione
dei certificati qualificati
• Art. 36

62. Cessazione dell’attività
di certificazione
• Art. 37

63. firma elettronica
• l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite
associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione
informatica

64. firma elettronica
avanzata – FEA
• insieme di dati in forma elettronica allegati
oppure connessi a un documento informatico
che consentono l’identificazione del firmatario
del documento e garantiscono la connessione
univoca al firmatario, creati con mezzi sui quali il
firmatario può conservare un controllo esclusivo,
collegati ai dati ai quali detta firma si riferisce in
modo da consentire di rilevare se i dati stessi
siano stati successivamente modificati

65. firma elettronica
qualificata
• un particolare tipo di firma elettronica
avanzata che sia basata su un certificato
qualificato e realizzata mediante un
dispositivo sicuro per la creazione della
firma

66. firma digitale
• un particolare tipo di firma elettronica avanzata
basata su un certificato qualificato e su un
sistema di chiavi crittografiche, una pubblica e
una privata, correlate tra loro, che consente al
titolare tramite la chiave privata e al destinatario
tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza
e l'integrità di un documento informatico o di un
insieme di documenti informatici

67. documento informatico
• Documento informatico: la
rappresentazione informatica di atti, fatti o
dati giuridicamente rilevanti

68. documento analogico
• Documento analogico: la
rappresentazione non informatica di atti,
fatti o dati giuridicamente rilevanti

69. copie
• copia informatica di documento
analogico: il documento informatico
avente contenuto identico a quello del
documento analogico da cui è tratto
• copia per immagine su supporto
informatico di documento analogico: il
documento informatico avente contenuto e
forma identici a quelli del documento
analogico da cui è tratto

70. copia e duplicato
• copia informatica di documento informatico:
il documento informatico avente contenuto
identico a quello del documento da cui è tratto
su supporto informatico con diversa sequenza di
valori binari;
• duplicato informatico: il documento
informatico ottenuto mediante la
memorizzazione, sullo stesso dispositivo o su
dispositivi diversi, della medesima sequenza di
valori binari del documento originario;

71. Efficacia del
documento informatico
Art. 20, c.1.bis
• L'idoneità del documento informatico a
soddisfare il requisito della forma scritta e
il suo valore probatorio sono liberamente
valutabili in giudizio, tenuto conto delle
sue caratteristiche oggettive di qualità,
sicurezza, integrità ed immodificabilità,
fermo restando quanto disposto
dall’articolo 21.

72. Efficacia del documento
informatico sottoscritto
Art. 21, c.1
• Il documento informatico, cui è apposta
una firma elettronica, sul piano
probatorio è liberamente valutabile in
giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità,
sicurezza, integrità e immodificabilità.

73. ... segue
Art. 21, c.2
• Il documento informatico sottoscritto con firma elettronica avanzata,
qualificata o digitale, formato nel rispetto delle regole tecniche di cui
all'articolo 20, comma 3, che garantiscano l'identificabilità
dell'autore, l'integrità e l'immodificabilità del documento, ha
l'efficacia prevista dall'articolo 2702 C.c. L'utilizzo del dispositivo
di firma si presume riconducibile al titolare, salvo che questi dia
prova contraria.
Art. 21, c.2.bis
• Salvo quanto previsto dall’articolo 25, le scritture private di cui
all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile,
se fatte con documento informatico, sono sottoscritte, a pena di
nullità, con firma elettronica qualificata o con firma digitale.

74. ... segue
Art. 21, c.3
• L’apposizione ad un documento informatico di una firma
digitale o di un altro tipo di firma elettronica qualificata
basata su un certificato elettronico revocato, scaduto o
sospeso equivale a mancata sottoscrizione. La revoca
o la sospensione, comunque motivate, hanno effetto dal
momento della pubblicazione, salvo che il revocante, o
chi richiede la sospensione, non dimostri che essa era
già a conoscenza di tutte le parti interessate.

75. Documenti amministrativi
informatici
Art. 23.ter, c.1 e c.2
• Gli atti formati dalle pubbliche amministrazioni con
strumenti informatici, nonché i dati e i documenti
informatici detenuti dalle stesse, costituiscono
informazione primaria ed originale da cui è possibile
effettuare, su diversi o identici tipi di supporto,
duplicazioni e copie per gli usi consentiti dalla legge.
• I documenti costituenti atti amministrativi con rilevanza
interna al procedimento amministrativo sottoscritti
con firma elettronica avanzata hanno l’efficacia prevista
dall’art. 2702 del codice civile.

76. ... segue … le copie
Art. 23.ter, c.1 e c.2
• Le copie su supporto informatico di documenti formati dalla
pubblica amministrazione in origine su supporto analogico
ovvero da essa detenuti, hanno il medesimo valore giuridico, ad
ogni effetto di legge, degli originali da cui sono tratte, se la loro
conformità all'originale è assicurata dal funzionario a ciò delegato
nell‘ambito dell'ordinamento proprio dell'amministrazione di
appartenenza, mediante l'utilizzo della firma digitale o di altra
firma elettronica qualificata e nel rispetto delle regole tecniche
stabilite ai sensi dell'articolo 71; in tale caso l’obbligo di
conservazione dell’originale del documento è soddisfatto con la
conservazione della copia su supporto informatico.

77. ... segue … il contrassegno
Art. 23.ter, c.5
• Al fine di assicurare la provenienza e la conformità
all’originale, sulle copie analogiche di documenti
informatici, è apposto a stampa, sulla base dei criteri
definiti con linee guida emanate da DigitPA, un
contrassegno generato elettronicamente, formato nel
rispetto delle regole tecniche stabilite ai sensi
dell’articolo 71 e tale da consentire la verifica
automatica della conformità del documento
analogico a quello informatico.

78. Validazione temporale
Art. 1: il risultato della procedura informatica
con cui si attribuiscono, ad uno o più
documenti informatici, una data ed un
orario opponibili ai terzi
Art. 20: la data e l'ora di formazione del
documento informatico sono opponibili ai
terzi se apposte in conformità alle regole
tecniche sulla validazione temporale.

79. Firma autenticata
art. 25
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la
firma elettronica o qualsiasi altro tipo di firma avanzata autenticata dal
notaio o da altro pubblico ufficiale a ciò autorizzato.
2. L'autenticazione della firma elettronica, anche mediante
l’acquisizione digitale della sottoscrizione autografa, o di qualsiasi
altro tipo di firma elettronica avanzata consiste nell'attestazione, da
parte del pubblico ufficiale, che la firma è stata apposta in sua
presenza dal titolare, previo accertamento della sua identità
personale, della validità dell’eventuale certificato elettronico utilizzato
e del fatto che il documento sottoscritto non è in contrasto con
l'ordinamento giuridico.
3. L'apposizione della firma digitale da parte del pubblico ufficiale ha
l'efficacia di cui all'articolo 24, comma 2.
4. Se al documento informatico autenticato deve essere allegato altro
documento formato in originale su altro tipo di supporto, il pubblico
ufficiale può allegare copia informatica autenticata dell'originale,
secondo le disposizioni dell'articolo 23, comma 5.

80. Firme automatiche
Art. 35, c.2 e c.3
• I dispositivi sicuri e le procedure di cui al comma 1 devono
garantire l'integrità dei documenti informatici a cui la firma
si riferisce. I documenti informatici devono essere
presentati al titolare, prima dell'apposizione della firma,
chiaramente e senza ambiguità, e si deve richiedere
conferma della volontà di generare la firma secondo
quanto previsto dalle regole tecniche di cui all'articolo 71.
• Il secondo periodo del comma 2 non si applica alle firme
apposte con procedura automatica. La firma con
procedura automatica è valida se apposta previo
consenso del titolare all’adozione della procedura
medesima.

81. Macroistruzioni
Art. 3, comma 3, regole tecniche
3. Il documento informatico, sottoscritto
con firma digitale o altro tipo di firma
elettronica qualificata, non produce gli
effetti di cui all'art. 21, comma 2, del
codice, se contiene macroistruzioni o
codici eseguibili, tali da attivare
funzionalità che possano modificare gli
atti, i fatti o i dati nello stesso
rappresentati.

82. Approfondimento sulle
Regole Tecniche
1) DPCM 30/03/2009
2) Bozza in fase di emanazione

83. DPCM 30/03/2009

84. Valore della firma digitale
nel tempo (art. 51)
1.La firma digitale, ancorché sia scaduto,
revocato o sospeso il relativo certificato
qualificato del sottoscrittore, è valida se
alla stessa è associabile un riferimento
temporale opponibile ai terzi che colloca la
generazione di detta firma digitale in un
momento precedente alla sospensione,
scadenza o revoca del suddetto certificato.

85. Caratteristiche generali
delle chiavi (art. 4)
1. Una coppia di chiavi per la creazione e la verifica della
firma può essere attribuita ad un solo titolare.
2. Se il soggetto appone la sua firma per mezzo di una
procedura automatica ai sensi dell'art. 35, comma 3 del
codice, deve utilizzare una coppia di chiavi diversa da
tutte le altre in suo possesso.
3. Se la procedura automatica fa uso di un insieme di
dispositivi sicuri per la generazione delle firme del
medesimo soggetto, deve essere utilizzata una coppia di
chiavi diversa per ciascun dispositivo utilizzato dalla
procedura automatica.

86. Caratteristiche generali
delle chiavi (art. 4)
4. Ai fini del presente decreto, le chiavi di creazione e verifica della
firma ed i correlati servizi, si distinguono secondo le seguenti
tipologie:
a) chiavi di sottoscrizione, destinate alla generazione e verifica delle
firme apposte o associate ai documenti;
b) chiavi di certificazione, destinate alla generazione e verifica delle
firme apposte o associate ai certificati qualificati, alle informazioni
sullo stato di validità del certificato ovvero alla sottoscrizione dei
certificati relativi a chiavi di marcatura temporale;
c) chiavi di marcatura temporale, destinate alla generazione e
verifica delle marche temporali.
5. Non è consentito l'uso di una coppia di chiavi per funzioni
diverse da quelle previste, per ciascuna tipologia, dal comma 4,
salvo che, con riferimento esclusivo alle chiavi di cui al medesimo
comma 4, lettera b), il CNIPA non ne autorizzi l'utilizzo per altri
scopi.

87. Conservazione delle chiavi e dei dati
per la generazione della firma (art. 7)
1. E' vietata la duplicazione della chiave privata
e dei dispositivi che la contengono.
2. Per fini particolari di sicurezza, è consentito
che le chiavi di certificazione vengano
esportate, purché ciò avvenga con modalità
tali da non ridurre il livello di sicurezza e di
riservatezza delle chiavi stesse.
3. Il titolare della coppia di chiavi:
a) assicura la custodia del dispositivo di firma
in conformità all'art. 32, comma 1, del codice, in
ottemperanza alle indicazioni fornite dal
certificatore;

88. Conservazione delle chiavi e dei dati
per la generazione della firma (art. 7)
b) conserva le informazioni di abilitazione
all'uso della chiave privata separatamente dal
dispositivo contenente la chiave;
c) richiede immediatamente la revoca dei
certificati qualificati relativi alle chiavi contenute
in dispositivi di firma difettosi o di cui abbia
perduto il possesso, o qualora abbia il
ragionevole dubbio che essi siano stati usati
abusivamente da persone non autorizzate;
d) mantiene in modo esclusivo la conoscenza o
la disponibilità di almeno uno dei dati per la
creazione della firma.

89. Riferimenti temporali
opponibili a terzi (art. 37)
1. I riferimenti temporali realizzati dai certificatori
accreditati in conformità con quanto disposto dal titolo IV
sono opponibili ai terzi ai sensi dell'art. 20, comma 3, del
codice.
2. I riferimenti temporali apposti sul giornale di controllo da
un certificatore accreditato, secondo quanto indicato nel
proprio manuale operativo, sono opponibili ai terzi ai
sensi dell'art. 20, comma 3 del codice.
3. L'ora assegnata ai riferimenti temporali di cui al comma
2 del presente articolo, deve corrispondere alla scala di
tempo UTC(IEN), di cui al decreto del Ministro
dell'industria, del commercio e dell'artigianato 30
novembre 1993, n. 591, con una differenza non
superiore ad un minuto primo.

90. Riferimenti temporali
opponibili a terzi (art. 37)
4. Costituiscono inoltre validazione temporale:
a) il riferimento temporale contenuto nella segnatura di protocollo di cui
all'art. 9 del decreto del Presidente del Consiglio dei ministri, 31
ottobre 2000, pubblicato nella Gazzetta Ufficiale 21 novembre 2000,
n. 272;
b) il riferimento temporale ottenuto attraverso la procedura di
conservazione dei documenti in conformità alle norme vigenti, ad
opera di un pubblico ufficiale o di una pubblica amministrazione;
c) il riferimento temporale ottenuto attraverso l'utilizzo di posta
elettronica certificata ai sensi dell'art. 48 del codice;
d) il riferimento temporale ottenuto attraverso l'utilizzo della marcatura
postale elettronica ai sensi dell'art. 14 , comma 1, punto 1.4 della
Convenzione postale universale, come modificata dalle decisioni
adottate dal XXIII Congresso dell'Unione postale universale,
recepite dal Regolamento di esecuzione emanato con il decreto del
Presidente della Repubblica 12 gennaio 2007, n. 18.

91. Rappresentazione del
documento informatico (art. 40)
1. Il certificatore indica nel manuale
operativo i formati del documento
informatico e le modalità operative a cui il
titolare deve attenersi per evitare le
conseguenze previste dall'art. 3, comma 3.

92. Limitazioni d’uso (art. 41)
1. Il certificatore, su richiesta del titolare o
del terzo interessato, è tenuto a inserire
nel certificato qualificato eventuali
limitazioni d'uso.
2. La modalità di rappresentazione dei limiti
d'uso e di valore di cui all'articolo 28,
comma 3, del codice è definita dal CNIPA
con il provvedimento di cui all'art. 3,
comma 2 del presente decreto.

93. Limiti d’uso garantiti agli utenti ...
http://www.digitpa.gov.it/sites/default/files/normativa/1386700_Limiti%20uso%20nei%20CQ_0_0.pdf
Ferma restando la facoltà per i certificatori accreditati di concordare con i
propri clienti qualunque limitazione d’uso da inserire all’interno del certificato
qualificato, tutti i certificatori accreditati devono provvedere ad inserire, su
richiesta del titolare o della persona giuridica che ha richiesto il certificato,
almeno i seguenti limiti d’uso:
I titolari fanno uso del certificato solo per le finalità di lavoro per le quali esso
è rilasciato. The certificate holder must use the certificate only for the
purposes for which it is issued.
Il presente certificato è valido solo per firme apposte con procedura
automatica. La presente dichiarazione costituisce evidenza dell'adozione di
tale procedura per i documenti firmati. The certificate may be used only for
automatic procedure signature purposes.
L’utilizzo del certificato è limitato ai rapporti con (indicare il soggetto). The
certificate may be used only for relations with the (declare the subject)

94. Registrazione
delle marche generate (art. 49)
1. Tutte le marche temporali emesse da un
sistema di validazione sono conservate in
un apposito archivio digitale non
modificabile per un periodo non inferiore a
venti anni ovvero, su richiesta
dell'interessato, per un periodo maggiore,
alle condizioni previste dal certificatore.

95. SCHEMA DI D.P.C.M.

96. Definizioni (nuove)
p) HSM: insieme di hardware e software che realizza
dispositivi sicuri per la generazione delle firme in grado
di gestire in modo sicuro una o più coppie di chiavi
crittografiche;
q) firma remota: particolare procedura di firma elettronica
qualificata o di firma digitale, generata su HSM, che
consente di garantire il controllo esclusivo delle chiavi
private da parte dei titolari delle stesse;
r) firma automatica: particolare procedura informatica di
firma elettronica qualificata o di firma digitale eseguita
previa autorizzazione del sottoscrittore che mantiene il
controllo esclusivo delle proprie chiavi di firma, in
assenza di presidio puntuale e continuo da parte di
questo;

97. Art. 3 (Firma remota e HSM)
4. La firma remota di cui all’articolo 1, comma 1, lettera q),
è generata su un HSM custodito e gestito, sotto la
responsabilità, dal certificatore accreditato ovvero
dall’organizzazione di appartenenza dei titolari dei
certificati che ha richiesto i certificati medesimi ovvero
dall’organizzazione che richiede al certificatore di fornire
certificati qualificati ad altri soggetti al fine di
dematerializzare lo scambio documentale con gli stessi.
Il certificatore deve essere in grado, dato un certificato
qualificato, di individuare agevolmente il dispositivo
afferente la corrispondente chiave privata.

98. [segue]
5. Nel caso in cui il dispositivo di cui al comma 4 non sia custodito dal
certificatore, egli deve:
a) indicare al soggetto che custodisce il dispositivo le procedure operative,
gestionali e le misure di sicurezza fisica e logica che tale soggetto è
obbligato ad applicare;
b) effettuare verifiche periodiche sulla corretta applicazione delle indicazioni
di cui alla lettera a), che il soggetto che custodisce il dispositivo ha l’obbligo
di consentire ed agevolare;
c) redigere i verbali dell’attività di verifica di cui alla lettera b) che potranno
essere richiesti in copia da DigitPa ai fini dell’attività di cui all’art. 31 del
Codice;
d) comunicare a DigitPA il luogo in cui i medesimi dispositivi sono custoditi;
e) effettuare ulteriori verifiche su richiesta di DigitPA consentendo di
partecipare anche ad incaricati dello stesso ente;
f) assicurare che il soggetto che custodisce il dispositivo si impegni a
consentire le verifiche di cui alle lettere b) ed e).

99. [segue]
6. Nel caso in cui il certificatore venga a conoscenza
dell’inosservanza di quanto previsto al comma 5,
procede alla revoca dei certificati afferenti le chiavi
private custodite sui dispositivi oggetto
dell’inadempienza.
7. La firma remota di cui all’art. 1, comma 1, lettera q), è
realizzata con misure tecniche ed organizzative,
esplicitamente approvate, per le rispettive competenze,
da DigitPA, nell’ambito delle attività di cui agli articoli 29
e 31 del Codice, e da OCSI, per quanto concerne la
sicurezza del dispositivo ai sensi dell’articolo 35 del
Codice, tali da garantire al titolare il controllo esclusivo
della chiave privata.

100. Titolo V – Firma Elettronica Avanzata
Art. 55 (Disposizioni generali)
1. La realizzazione di soluzioni di firma
elettronica avanzata è libera e non è
soggetta ad alcuna autorizzazione
preventiva.
2. I soggetti che erogano o realizzano
soluzioni di firma elettronica avanzata si
distinguono in:

101. [segue]
a) coloro che erogano soluzioni di firma elettronica
avanzata al fine di utilizzarle nei rapporti
intrattenuti con soggetti terzi per motivi
istituzionali, societari o commerciali,
realizzandole in proprio o anche avvalendosi di
soluzioni realizzate dai soggetti di cui alla lettera
b);
b) coloro che, quale oggetto dell’attività di impresa,
realizzano soluzioni di firma elettronica avanzata
a favore dei soggetti di cui alla lettera a).

102. Art. 56
Caratteristiche delle soluzioni di firma elettronica avanzata
1. Le soluzioni di firma elettronica avanzata garantiscono:
a) l’identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i
dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito
modifiche dopo l’apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a);
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli
atti, fatti o dati nello stesso rappresentati;
h) la connessione univoca della firma al documento sottoscritto.
2. La firma elettronica avanzata generata in violazione di quanto disposto da una o più
disposizioni di cui alle lettere a), b), c), d), e), g), h) del comma 1, non soddisfa i
requisiti previsti dagli articoli 20, comma 1‐bis, e 21, comma 2, del Codice.

103. Art. 57
(Obblighi a carico dei soggetti che erogano soluzioni di
firma elettronica avanzata)
1. I soggetti di cui all’articolo 55, comma 2, lettera a) devono:
a) identificare in modo certo l’utente tramite un valido documento di
riconoscimento, informarlo in merito agli esatti termini e condizioni
relative all'uso del servizio, compresa ogni eventuale limitazione
dell'uso, subordinare l’attivazione del servizio alla sottoscrizione di
una dichiarazione di accettazione delle condizioni del servizio da
parte dell’utente;
b) conservare per almeno venti anni copia del documento di
riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra
informazione atta a dimostrare l’ottemperanza a quanto previsto
all’articolo 56, comma 1, garantendone la disponibilità, integrità,
leggibilità e autenticità;
c) fornire liberamente e gratuitamente copia della dichiarazione e le
informazioni di cui alla lettera b) al firmatario, su richiesta di questo;
d) rendere note le modalità con cui effettuare la richiesta di cui al punto
c), pubblicandole anche sul proprio sito internet;

104. [segue]
e) rendere note le caratteristiche del sistema realizzato atte a garantire
quanto prescritto dall’articolo 56, comma 1;
f) specificare le caratteristiche delle tecnologie utilizzate e come queste
consentono di ottemperare a quanto prescritto,
g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito
internet;
h) assicurare, ove possibile, la disponibilità di un servizio di revoca del
consenso all'utilizzo della soluzione di firma elettronica avanzata e
un servizio di assistenza.
2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi
da eventuali danni cagionati da inadeguate soluzioni tecniche, i
soggetti di cui all’articolo 55, comma 2, lettera a), si dotano di una
copertura assicurativa per la responsabilità civile rilasciata da una
società di assicurazione abilitata ad esercitare nel campo dei rischi
industriali per un ammontare non inferiore ad euro cinquecentomila.

105. [segue]
3. Le modalità scelte per ottemperare a quanto disposto al comma 2
devono essere rese note ai soggetti interessati, pubblicandole
anche sul proprio sito internet.
4. Il comma 2 del presente articolo non si applica alle persone
giuridiche pubbliche che erogano soluzioni di firma elettronica
avanzata per conto di pubbliche amministrazioni.
5. In ambito sanitario, limitatamente alla categoria di utenti
rappresentata dai cittadini fruitori di prestazioni sanitarie, la
dichiarazione di accettazione delle condizioni del servizio prevista al
comma 1, lettera a) può essere fornita oralmente dall'utente
all'esercente la professione sanitaria, il quale la raccoglie in un
documento informatico che sottoscrive con firma elettronica
qualificata o firma digitale.
6. I commi 1 e 2 non si applicano alle soluzioni di cui all’articolo 61,
commi 1 e 2, alle quali si applicano le norme vigenti in materia.

106. Art. 60
Limiti d’uso della firma elettronica avanzata
1. La firma elettronica avanzata realizzata in
conformità con le disposizioni delle
presenti regole tecniche, è utilizzabile
limitatamente ai rapporti giuridici
intercorrenti tra il sottoscrittore e il
soggetto di cui all’articolo 55, comma 2,
lettera a).

107. Art. 61
Soluzioni di firma elettronica avanzata
1. L’invio tramite posta elettronica certificata di cui all’articolo 65,
comma 1, lettera c‐bis) del Codice, effettuato richiedendo la
ricevuta completa di cui all’articolo 1, comma 1, lettera i) del decreto
2 novembre 2005 recante “Regole tecniche per la formazione, la
trasmissione e la validazione, anche temporale, della posta
elettronica certificata” sostituisce, nei confronti della pubblica
amministrazione, la firma elettronica avanzata ai sensi delle presenti
regole tecniche.
2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei
Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe),
del passaporto elettronico e degli altri strumenti ad essi conformi
sostituisce, nei confronti della pubblica amministrazione, la firma
elettronica avanzata ai sensi delle presenti regole tecniche per i
servizi e le attività di cui agli articoli 64 e 65 del codice.
3. I formati della firma di cui al comma 2 sono gli stessi previsti ai sensi
dell’art. 4, comma 2.

108. [segue]
4. Le applicazioni di verifica della firma generata ai sensi
del comma 2 devono accertare che il certificato digitale
utilizzato nel processo di verifica corrisponda ad uno
degli strumenti di cui al medesimo comma.
5. I certificatori accreditati che emettono certificati per gli
strumenti di cui al comma 2 rendono disponibili strumenti
di verifica della firma.
6. Fermo restando quanto disposto dall’art. 55, comma 1,
al fine di favorire la realizzazione di soluzioni di firma
elettronica avanzata, DigitPa elabora Linee guida sulla
base delle quali realizzare soluzioni di firma elettronica
avanzata conformi alle presenti regole tecniche.

109. La trasmissione del
documento informatico
• Trasmissione da chiunque ad una
pubblica amministrazione (art. 45)
• Trasmissione fra pubbliche
amministrazioni (art. 47)
• Trasmissione che necessita di una
ricevuta (art. 48)
• Istanza del cittadino alla pubblica
amministrazione Michele Martoni e ss.)
23/06/2012
(artt. 64 109

110. POSTA ELETTRONICA
CERTIFICATA

111. Valore giuridico della trasmissione
art. 45, CAD
1. I documenti trasmessi da chiunque ad una pubblica
amministrazione con qualsiasi mezzo telematico o
informatico, ivi compreso il fax, idoneo ad accertarne la
fonte di provenienza, soddisfano il requisito della forma
scritta e la loro trasmissione non deve essere seguita da
quella del documento originale.
2. Il documento informatico trasmesso per via telematica si
intende spedito dal mittente se inviato al proprio gestore,
e si intende consegnato al destinatario se reso
disponibile all'indirizzo elettronico da questi dichiarato,
nella casella di posta elettronica del destinatario messa
a disposizione dal gestore.

112. Dati particolari e privacy
art. 46, CAD
1. Al fine di garantire la riservatezza dei dati
sensibili o giudiziari di cui all'articolo 4, comma
1, lettere d) ed e), del decreto legislativo 30
giugno 2003, n. 196, i documenti informatici
trasmessi ad altre pubbliche amministrazioni
per via telematica possono contenere soltanto le
informazioni relative a stati, fatti e qualità
personali previste da legge o da regolamento
e indispensabili per il perseguimento delle
finalità per le quali sono acquisite.

113. Trasmissione fra P.A.
art. 47, CAD
1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo
della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento
amministrativo una volta che ne sia verificata la provenienza.
2. Ai fini della verifica della provenienza le comunicazioni sono valide se:
a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445;
c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto
dalla normativa vigente o dalle regole tecniche di cui all'articolo 71;
d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del
Presidente della Repubblica 11 febbraio 2005, n. 68.
[...] Le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, provvedono ad
istituire e pubblicare nell’Indice PA almeno una casella di posta elettronica certificata per
ciascun registro di protocollo.
[...] La pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propri
dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle
norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al
grado di riservatezza degli strumenti utilizzati.

114. Posta elettronica certificata
art. 48, CAD
1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta
di invio e di una ricevuta di consegna avviene mediante la posta elettronica
certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto
del Presidente del Consiglio dei Ministri, sentito DigitPA.
2. La trasmissione del documento informatico per via telematica, effettuata ai
sensi del comma 1, equivale, salvo che la legge disponga diversamente,
alla notificazione per mezzo della posta.
3. La data e l'ora di trasmissione e di ricezione di un documento informatico
trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle
disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto del
Presidente del Consiglio dei Ministri di cui al comma 1.

115. Segretezza della corrispondenza
art. 49, CAD
1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e
documenti formati con strumenti informatici non possono prendere
cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo
o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per
estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o
messaggi trasmessi per via telematica, salvo che si tratti di informazioni per
loro natura o per espressa indicazione del mittente destinate ad essere rese
pubbliche.
2. Agli effetti del presente codice, gli atti, i dati e i documenti trasmessi per via
telematica si considerano, nei confronti del gestore del sistema di trasporto
delle informazioni, di proprietà del mittente sino a che non sia avvenuta la
consegna al destinatario.

116. Caratteristiche della PEC
La posta elettronica certificata (PEC) è un
sistema di posta elettronica in grado di superare
le “debolezze” della posta elettronica e di poter
essere utilizzata in qualsiasi contesto nel quale
sia necessario avere prova opponibile
dell’invio e della consegna di un documento
elettronico.
(cfr. Supplemento al n. 1/2007 del periodico
Innovazione, CNIPA, p. 5)

117. [... segue]
A tale precipuo fine, la normativa ha
stabilito il formato delle c.d. ricevute e le
caratteristiche tecniche di
funzionamento.
La stessa ha inoltre introdotto e
disciplinato, nell’ordinamento italiano, la
figura del Gestore di servizio di PEC.

118. D.P.R. 68/2005
art. 1 - Oggetto
• Il presente regolamento stabilisce le
caratteristiche e le modalità per
l’erogazione e la fruizione di servizi di
trasmissione di documenti informatici
mediante posta elettronica certificata.

119. [segue]
• La PEC è un sistema di trasporto e in
quanto tale non entra nel merito di ciò che
è oggetto di trasferimento dal mittente al
destinatario

120. ... la email (semplice)
– È un sistema “non normato” di trasmissione dati
– Non c’è garanzia dei momenti di invio e ricezione
(salvo conferme meramente volontarie e con
riferimento temporale non opponibile a terzi)
– Non garantisce la paternità del messaggio
– Non garantisce l’integrità del messaggio
– Non garantisce la segretezza del messaggio
– Chiunque può gestire il servizio di posta elettronica

121. Valore aggiunto
È plausibile creare un parallelo fra PEC e RACCOMANDATA ...
ancorché - in realtà - la prima fornisca alcuni ulteriori valori aggiunti:
1) conoscibilità certa del mittente e quindi del titolare della casella di posta;
2) legame fra la trasmissione ed il documento trasmesso;
3) archiviazione da parte del gestore di tutti gli eventi certificati per un
periodo di trenta mesi;
4) semplicità di trasmissione (così come la email);
5) economicità di trasmissione;
6) possibilità di invio multiplo;
7) velocità della consegna;
8) elevate caratteristiche di sicurezza e di qualità del soggetto che eroga il
servizio.

122. Svantaggi
• Presunzione di conoscenza del messaggio
in luogo della effettiva conoscenza
• La PEC non è uno standard internazionale
• Digital divide

123. Descrizione funzionale
Componenti da considerare:
1) Utente mittente: colui il quale ha l’esigenza di inviare un
documento informatico;
2) Utente destinatario: il soggetto al quale sarà destinato
l’invio;
3) Gestore del mittente: il soggetto con il quale il mittente
mantiene un rapporto finalizzato alla disponibilità del servizio
PEC;
4) Rete di comunicazione: tipicamente può essere considerata
Internet;
5) Documento informatico: oggetto dell’invio verso il
destinatario.

124. Modalità della trasmissione ed
interoperabilità (art. 5)
1. Il messaggio di posta elettronica certificata inviato dal
mittente al proprio gestore di posta elettronica certificata
viene da quest'ultimo trasmesso al destinatario
direttamente o trasferito al gestore di posta elettronica
certificata di cui si avvale il destinatario stesso;
quest'ultimo gestore provvede alla consegna nella
casella di posta elettronica certificata del destinatario.
2. Nel caso in cui la trasmissione del messaggio di posta
elettronica certificata avviene tra diversi gestori, essi
assicurano l'interoperabilità dei servizi offerti, secondo
quanto previsto dalle regole tecniche di cui all'articolo
17.

125. Utilizzo della PEC
art. 4, d.p.r.68/2005
• Comma 6: La validità della trasmissione e
ricezione del messaggio di posta
elettronica certificata è attestata
rispettivamente dalla ricevuta di
accettazione e dalla ricevuta di
avvenuta consegna di cui all’art.6

126. Ricevuta di accettazione e di
avvenuta consegna (art. 6)
1. Il gestore di posta elettronica certificata utilizzato dal MITTENTE fornisce al
mittente stesso la ricevuta di accettazione nella quale sono contenuti i dati
di certificazione che costituiscono prova dell'avvenuta spedizione di un
messaggio di posta elettronica certificata.
2. Il gestore di posta elettronica certificata utilizzato dal DESTINATARIO
fornisce al mittente, all'indirizzo elettronico del mittente, la ricevuta di
avvenuta consegna.
3. La ricevuta di avvenuta consegna fornisce al mittente prova che il suo
messaggio di posta elettronica certificata è effettivamente pervenuto
all'indirizzo elettronico dichiarato dal destinatario e certifica il momento della
consegna tramite un testo, leggibile dal mittente, contenente i dati di
certificazione.
4. La ricevuta di avvenuta consegna può contenere anche la copia completa
del messaggio di posta elettronica certificata consegnato secondo quanto
specificato dalle regole tecniche di cui all'articolo 17.
5. La ricevuta di avvenuta consegna è rilasciata contestualmente alla
consegna del messaggio di posta elettronica certificata nella casella di
posta elettronica messa a disposizione del destinatario dal gestore,
indipendentemente dall'avvenuta lettura da parte del soggetto destinatario.

127. Ricevuta di presa in carico (art. 7)
1.Quando la trasmissione del messaggio di
posta elettronica certificata avviene
tramite più gestori il gestore del
destinatario rilascia al gestore del mittente
la ricevuta che attesta l'avvenuta presa
in carico del messaggio.

128. Avviso di mancata consegna
(art. 8)
1.Quando il messaggio di posta elettronica
certificata non risulta consegnabile il
gestore comunica al mittente, entro le
ventiquattro ore successive all'invio, la
mancata consegna tramite un avviso
secondo le modalità previste dalle regole
tecniche di cui all'articolo 17.

129. Elenco dei gestori
art. 14, DPR 68/2005
Possono presentare domanda al DigitPA di essere inseriti nell’apposito elenco le PA
o i PRIVATI
– I privati devono avere natura di società di capitali e capitale interamente versato non inferiore
a 1 milione di euro
– I legali rappresentanti e i soggetti preposti alla amministrazione devono possedere i requisiti
di onorabilità richiesti in materia bancaria e creditizia per i medesimi ruoli (cfr. anche i
certificatori accreditati di FD)
– Il richiedente deve inoltre dimostrare affidabilità organizzativa e tecnica per lo svolgimento
dell’attività de qua
– Impiegare personale qualificato
– Rispettare le norme in materia – ivi comprese le regole tecniche (decreto 2/11/2005)
– Applicare procedure e metodi adeguati (cfr. comma 6)
– Adottare adeguate procedure di sicurezza e di garanzia dell’integrità
– Prevedere sistemi di emergenza che garantiscano comunque la trasmissione
– Essere certificati ISO 9000
– Fornire copia di una copertura assicurativa per i rischi dell’attività ed i danni
verso terzi

130. Iscrizione del registro
• Vale il principio del silenzio / assenso se entro
90 giorni dall’istanza il DigitPA non ha
comunicato all’interessato il provvedimento di
diniego.
• Il termine può essere interrotto una sola volta
esclusivamente per la motivata richiesta di
documenti che integrino o completino la
documentazione presentata e che non siano già
nella disponibilità del DigitPA o che questo non
possa acquisire autonomamente

131. Gestori stabiliti in altri paesi
dell’Unione Europea
Art. 15, d.p.r. 68/2005
• Possono esercitare a condizione che
soddisfino – conformemente alla
normativa di stabilimento – requisiti
analoghi a quelli italiani
• Il DigitPA verifica l’equivalenza ai requisiti
ed alle formalità prescritte.

132. Pubbliche amministrazioni
• Le pubbliche amministrazioni possono
svolgere autonomamente l’attività
rispettando le regole tecniche e di
sicurezza previste
• Le caselle rilasciate ai privati sono
valide e rilevanti ai sensi di legge solo
per le comunicazioni fra questi e le
stesse amministrazioni

133. Autonomia del
processo telematico (?)
Art. 16, c.4, d.p.r. 68/2005
Le disposizioni di cui al presente regolamento
non si applicano all’uso degli strumenti
informatici e telematici nel processo civile, nel
processo penale, nel processo amministrativo,
nel processo tributario e nel processo dinanzi
alle sezioni giurisdizionali della Corte dei conti,
per i quali restano ferme le specifiche
disposizioni normative (c.d. CPEPT).

134. La PEC nel PCT
DL 193/2009, art. 4
1. Con uno o più decreti del Ministro della giustizia, di concerto con il
Ministro per la pubblica amministrazione e l'innovazione, sentito il
Centro nazionale per l'informatica nella pubblica amministrazione e
il Garante per la protezione dei dati personali, adottati, ai sensi
dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, entro
sessanta giorni dalla data di entrata in vigore della legge di
conversione del presente decreto, sono individuate le regole
tecniche per l'adozione nel processo civile e nel processo
penale delle tecnologie dell'informazione e della
comunicazione, in attuazione dei principi previsti dal decreto
legislativo 7 marzo 2005, n. 82, e successive modificazioni. Le
vigenti regole tecniche del processo civile telematico continuano ad
applicarsi fino alla data di entrata in vigore dei decreti di cui ai
commi 1 e 2.

135. (segue)
2. Nel processo civile e nel processo penale, tutte le
comunicazioni e notificazioni per via telematica si
effettuano mediante posta elettronica certificata, ai
sensi del decreto legislativo 7 marzo 2005, n. 82, e
successive modificazioni, del decreto del Presidente
della Repubblica 11 febbraio 2005, n. 68, e delle regole
tecniche stabilite con i decreti previsti dal comma 1. Fino
alla data di entrata in vigore dei predetti decreti, le
notificazioni e le comunicazioni sono effettuate nei modi
e nelle forme previste dalle disposizioni vigenti alla data
di entrata in vigore del presente decreto.

136. PEC e Albo
3-bis. Il secondo comma dell’ articolo 16 del regio decreto-legge 27
novembre 1933, n. 1578, convertito, con modificazioni, dalla legge
22 gennaio 1934, n. 36, introdotto dal comma 5 dell’ articolo 51 del
decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni,
dalla legge 6 agosto 2008, n. 133, è sostituito dal seguente:
«Nell’albo è indicato, oltre al codice fiscale, l’indirizzo di posta
elettronica certificata comunicato ai sensi dell’ articolo 16,
comma 7, del decreto-legge 29 novembre 2008, n. 185,
convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2. Gli
indirizzi di posta elettronica certificata e i codici fiscali, aggiornati
con cadenza giornaliera, sono resi disponibili per via telematica
al Consiglio nazionale forense e al Ministero della giustizia nelle
forme previste dalle regole tecniche per l’adozione nel processo
civile e nel processo penale delle tecnologie dell’informazione e
della comunicazione».

137. D.L. 112/2008
• Art. 51, comma 5
– Conferma la necessaria indicazione nell’Albo
dell’indirizzo di PEC
– Impone la messa a disposizione con cadenza
giornaliera dei dati (PEC e CF) al Consiglio
nazionale forense ed al Ministero della
Giustizia

138. DL 185/2008
• Articolo 16, comma 6
– PEC alle imprese
• Articolo 16, comma 7
– PEC ai professionisti
• Articolo 16, comma 8
– PEC alla pubblica amministrazione
• Articolo 16, comma 9
– Non serve la dichiarazione di disponibilità ed
accettazione

139. Art. 16, c.6 - Imprese
• Le imprese costituite in forma societaria sono
tenute ad indicare il proprio indirizzo di posta
elettronica certificata [o analogo indirizzo di
posta elettronica che certifichi data e ora
dell’invio e della ricezione delle comunicazioni e
integrità del contenuto] nella domanda di
iscrizione al registro delle imprese
• Le imprese già registrate dovranno provvedere
entro 3 anni

140. (segue)
• La consultazione per via telematica dei singoli
indirizzi di posta elettronica certificata [o
analoghi …] nel registro delle imprese o negli
albi o elenchi costituiti ai sensi del presente
articolo [n.d.r. deroga professionisti sub c.7]
avviene liberamente e senza oneri.
• L’estrazione di elenchi di indirizzi è consentita
alle sole pubbliche amministrazioni per le
comunicazioni relative agli adempimenti
amministrativi di loro competenza.

141. Art. 16, c.7 - Professionisti
• I professionisti iscritti in albi ed elenchi
comunicano ai rispettivi ordini il proprio indirizzo
di posta elettronica certificata [o analogo …]
entro un anno dalla data di entrata in vigore del
decreto [29 novembre 2009]
• Gli ordini pubblicano in un elenco riservato,
consultabile telematicamente esclusivamente
dalle pubbliche amministrazioni, i dati
identificativi degli iscritti con il relativo indirizzo di
posta certificata

142. Art. 16, c.8 - PA
• Le amministrazioni pubbliche – qualora non
abbiano provveduto ai sensi dell’art. 47, c.3, lett.
a), del CAD – istituiscono una casella di posta
certificata [o analogo …] per ciascun registro
di protocollo e ne danno comunicazione al
CNIPA che provvede alla pubblicazione in un
elenco consultabile telematicamente

143. art. 16 bis - Cittadini
Ai cittadini che ne fanno richiesta è
attribuita una casella di posta certificata o
analogo indirizzo di posta elettronica
basato su tecnologie che certifichino data
e ora dell’invio e della ricezione delle
comunicazioni e l’integrità del contenuto
delle stesse, garantendo l’interoperabilità
con analoghi sistemi internazionali.
[v. meglio infra]

144. (segue)
• Le comunicazioni fra PROFESSIONISTI,
IMPRESE e PA … possono essere
inviate attraverso la posta elettronica
certificata [o analogo …] senza che il
destinatario debba dichiarare la propria
disponibilità ad accettare l’utilizzo

145. art. 16 bis - Cittadini
Ai cittadini che ne fanno richiesta è attribuita una
casella di posta elettronica certificata o
analogo indirizzo di posta elettronica basato su
tecnologie che certifichino data e ora dell’invio e
della ricezione delle comunicazioni e l’integrità
del contenuto delle stesse, garantendo
l’interoperabilità con analoghi sistemi
internazionali.

146. (segue)
• L’utilizzo della posta elettronica
certificata avviene ai sensi degli articoli 6
e 48 del CAD, con effetto equivalente,
ove necessario, alla notificazione per
mezzo della posta.

147. CEC-PAC
Comunicazione
Elettronica
Certificata fra
Pubblica
Amministrazione e
Cittadino

148. segue
• Il Dipartimento per la Digitalizzazione della pubblica
amministrazione e l’Innovazione tecnologica (DDI)
comunica che oggi si è conclusa la fase di selezione
delle offerte per la concessione del servizio di Posta
elettronica certificata (PEC) gratuita per i cittadini.
Il raggruppamento temporaneo di impresa costituito
da Poste Italiane, Postecom e Telecom Italia è
risultato primo in graduatoria.
Dopo i significativi risultati in termini di diffusione ottenuti
grazie alla sperimentazione avviata con INPS e ACI a
settembre scorso, la PEC gratuita sta diventando una
realtà per tutti.

149. DPCM 6 maggio 2009
Disposizioni in materia di rilascio e di uso
della casella di posta elettronica certificata
assegnata ai cittadini
(G.U. 119 del 25 maggio 2009)

150. Dove si applica

151. Osservazioni
• Esclusi i “non” cittadini
• Art. 3, c. 2: “Per i cittadini che utilizzano il servizio di
PEC, l'indirizzo valido ad ogni effetto giuridico, ai fini
dei rapporti con le pubbliche amministrazioni, è quello
espressamente rilasciato ai sensi dell'art. 2, comma 1”.
Non è prevista la possibilità per chi ha ottenuto la CEC-
PAC di indicare un diverso domicilio elettronico … salvo
recedere dal contratto. Questo si scontra con la libertà di
domicilio.

152. Accettazione dell’invio
art. 3, c. 4
4. La volontà del cittadino espressa ai sensi
dell'art. 2, comma 1, rappresenta la
esplicita accettazione dell'invio, tramite
PEC, da parte delle pubbliche
amministrazioni di tutti i provvedimenti e
gli atti che lo riguardano.

153. Uso della PEC e istanze
art. 4, c. 4
4. Le pubbliche amministrazioni accettano le
istanze dei cittadini inviate tramite PEC nel
rispetto dell'art. 65, comma 1, lettera c), del
decreto legislativo n. 82 del 2005. L'invio tramite
PEC costituisce sottoscrizione elettronica ai
sensi dell'art. 21, comma 1, del decreto
legislativo n. 82 del 2005; le pubbliche
amministrazioni richiedono la sottoscrizione
mediante firma digitale ai sensi dell'art. 65,
comma 2, del citato decreto legislativo.

154. Accesso agli indirizzi
art. 7
1. L'affidatario del servizio di PEC ai cittadini di cui
all'art. 6, comma 1, rende consultabili alle
pubbliche amministrazioni, in via telematica,
gli indirizzi di PEC di cui al presente decreto, nel
rispetto dei criteri di qualità e sicurezza ed
interoperabilità definiti dal CNIPA e nel rispetto
della disciplina in materia di tutela dei dati
personali di cui al decreto legislativo 30 giugno
2003, n. 196.

155. Comunicazioni PA e dipendenti
art. 9
1. I pubblici dipendenti, all'atto
dell'assegnazione di una casella di PEC
da parte dell'amministrazione di
appartenenza, possono optare per
l'utilizzo della stessa ai fini di cui all'art.
16-bis, comma 6, del decreto-legge 29
novembre 2008, n. 185.

156. Servizi in rete

157. Art. 63
1. Le pubbliche amministrazioni centrali individuano le modalità di erogazione
dei servizi in rete in base a criteri di valutazione di efficacia, economicità ed
utilità e nel rispetto dei princìpi di eguaglianza e non discriminazione,
tenendo comunque presenti le dimensioni dell'utenza, la frequenza dell'uso
e l'eventuale destinazione all'utilizzazione da parte di categorie in situazioni
di disagio.
2. Le pubbliche amministrazioni e i gestori di servizi pubblici progettano e
realizzano i servizi in rete mirando alla migliore soddisfazione delle
esigenze degli utenti, in particolare garantendo la completezza del
procedimento, la certificazione dell'esito e l'accertamento del grado di
soddisfazione dell'utente. A tal fine, sono tenuti ad adottare strumenti idonei
alla rilevazione immediata, continua e sicura del giudizio degli utenti, in
conformità alle regole tecniche da emanare ai sensi dell' articolo 71. Per le
amministrazioni e i gestori di servizi pubblici regionali e locali le regole
tecniche sono adottate previo parere della Commissione permanente per
l'innovazione tecnologica nelle regioni e negli enti locali di cui all' articolo
14,comma 3-bis.

158. [segue]
3. Le pubbliche amministrazioni collaborano per integrare i
procedimenti di rispettiva competenza al fine di agevolare gli
adempimenti di cittadini ed imprese e rendere più efficienti i
procedimenti che interessano più amministrazioni, attraverso
idonei sistemi di cooperazione.
3-bis. A partire dal 1°gennaio 2014, allo scopo di incentivare e
favorire il processo di informatizzazione e di potenziare ed
estendere i servizi telematici, i soggetti di cui all'articolo 2,
comma 2, utilizzano esclusivamente i canali e
i servizi telematici, ivi inclusa la
posta elettronica certificata, per l'utilizzo dei propri servizi,
anche a mezzo di intermediari abilitati, per la presentazione
da parte degli interessati di denunce, istanze e atti e
garanzie fideiussorie, per l'esecuzione di versamenti fiscali,
contributivi, previdenziali, assistenziali e assicurativi, nonché
per la richiesta di attestazioni e certificazioni.

159. [segue]
3-ter. A partire dal 1°gennaio 2014 i soggetti indicati al comma 3-
bis utilizzano esclusivamente servizi telematici o la posta
elettronica certificata anche per gli atti, le comunicazioni o i servizi
dagli stessi resi.
3-quater. I soggetti indicati al comma 3-bis, almeno sessanta giorni
prima della data della loro entrata in vigore, pubblicano nel sito web
istituzionale l'elenco dei provvedimenti adottati ai sensi dei commi
3-bis e 3-ter, nonché termini e modalità di utilizzo dei servizi e dei
canali telematici e della posta elettronica certificata.
3-quinquies. Con decreto del Presidente del Consiglio dei ministri,
sentita la Conferenza unificata di cui all'articolo 8 del decreto
legislativo 28 agosto 1997, n. 281, e successive modificazioni, da
emanare entro sei mesi dalla data di entrata in vigore della presente
disposizione, sono stabilite le deroghe e le eventuali limitazioni al
principio di esclusività indicato dal comma 3-bis, anche al fine di
escludere l'insorgenza di nuovi o maggiori oneri per la finanza
pubblica.

160. Modalità di accesso ai servizi erogati
in rete dalle PA (art. 64)
1. La carta d'identità elettronica e la carta nazionale dei servizi
costituiscono strumenti per l'accesso ai servizi erogati in rete
dalle pubbliche amministrazioni per i quali sia necessaria
l'identificazione informatica.
2. Le pubbliche amministrazioni possono consentire l'accesso
ai servizi in rete da esse erogati che richiedono
l'identificazione informatica anche con strumenti diversi
dalla carta d'identità elettronica e dalla carta nazionale dei
servizi, purché tali strumenti consentano l'individuazione
del soggetto che richiede il servizio. L'accesso con carta
d'identità elettronica e carta nazionale dei servizi è
comunque consentito indipendentemente dalle modalità di
accesso predisposte dalle singole amministrazioni.
3. Abrogato.

161. Art. 65
1. Le istanze e le dichiarazioni presentate alle
pubbliche amministrazioni per via telematica ai
sensi dell'articolo 38, commi 1 e 3, del decreto del
Presidente della Repubblica 28 dicembre 2000, n.
445, sono valide: a) se sottoscritte mediante la
firma digitale o la firma elettronica qualificata, il cui
certificato è rilasciato da un certificatore
accreditato; b) ovvero, quando l'autore è
identificato dal sistema informatico con l'uso della
carta d'identità elettronica o della carta nazionale
dei servizi, nei limiti di quanto stabilito da ciascuna
amministrazione ai sensi della normativa vigente;

162. [segue]
c) ovvero quando l'autore è identificato dal sistema informatico con i diversi
strumenti di cui all'articolo 64, comma 2, nei limiti di quanto stabilito da
ciascuna amministrazione ai sensi della normativa vigente nonché quando
le istanze e le dichiarazioni sono inviate con le modalità di cui all’articolo 38,
comma 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n.
445. c-bis) ovvero se trasmesse dall’autore mediante la propria casella di
posta elettronica certificata purché le relative credenziali di accesso siano
state rilasciate previa identificazione del titolare, anche per via telematica
secondo modalità definite con regole tecniche adottate ai sensi dell’articolo
71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo
allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai
sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le
disposizioni normative che prevedono l’uso di specifici sistemi di
trasmissione telematica nel settore tributario 1-bis. Con decreto del Ministro
per la pubblica amministrazione e l’innovazione e del Ministro per la
semplificazione normativa, su proposta dei Ministri competenti per materia,
possono essere individuati i casi in cui è richiesta la sottoscrizione mediante
firma digitale.

163. [segue]
2. Le istanze e le dichiarazioni inviate o compilate su
sito secondo le modalità previste dal comma 1
sono equivalenti alle istanze e alle dichiarazioni
sottoscritte con firma autografa apposta in
presenza del dipendente addetto al procedimento.
3. (abrogato)
4. Il comma 2 dell'articolo 38 del decreto del
Presidente della Repubblica 28 dicembre 2000, n.
445, è sostituito dal seguente: «2. Le istanze e le
dichiarazioni inviate per via telematica sono valide
se effettuate secondo quanto previsto dall'articolo
65 del decreto legislativo 7 marzo 2005, n. 82».

164. Art. 38, d.p.r. 445/2000
1. Tutte le istanze e le dichiarazioni da presentare alla pubblica amministrazione o ai gestori o
esercenti di pubblici servizi possono essere inviate anche per fax e via telematica. (L)
2. Le istanze e le dichiarazioni inviate per via telematica((, ivi comprese le domande per la
partecipazione a selezioni e concorsi per l'assunzione, a qualsiasi titolo, in tutte le
pubbliche amministrazioni, o per l'iscrizione in albi, registri o elenchi tenuti presso le
pubbliche amministrazioni,)) sono valide se effettuate secondo quanto previsto
dall'articolo 65 del decreto legislativo 7 marzo 2005, n. 82.
3. Le istanze e le dichiarazioni sostitutive di atto di notorieta' da produrre agli organi della
amministrazione pubblica o ai gestori o esercenti di pubblici servizi sono sottoscritte
dall'interessato in presenza del dipendente addetto ovvero sottoscritte e presentate
unitamente a copia fotostatica non autenticata di un documento di identita' del
sottoscrittore. La copia fotostatica del documento e' inserita nel fascicolo. ((La copia
dell'istanza sottoscritta dall'interessato e la copia del)) documento di identita' possono
essere inviate per via telematica; nei procedimenti di aggiudicazione di contratti pubblici,
detta facolta' e' consentita nei limiti stabiliti dal regolamento di cui all'articolo 15, comma 2
della legge 15 marzo 1997, n. 59. (L)
((3-bis. Il potere di rappresentanza per la formazione e la presentazione di istanze,
progetti, dichiarazioni e altre attestazioni nonche' per il ritiro di atti e documenti
presso le pubbliche amministrazioni e i gestori o esercenti di pubblici servizi puo'
essere validamente-conferito ad altro soggetto con le modalita' di cui al presente
articolo))

165. Carte elettroniche (art. 66)
1.- Carta nazionale dei servizi
2.- Carta di identità elettronica

166. Approfondimento
• Cfr. relazione allegata alla presentazione
• Cfr. da ultimo il provvedimento del
Garante per la protezione dei dati
personali n. 1693904 del 21 gennaio
2010 su tessera sanitaria (TS)* e CNS
(*) FSE e dossier informatico

167. Norme di riferimento
• D.p.r. 117/2004
• Decreto 9 dicembre 2004
• Direttiva 4 gennaio 2005

168. PCT in dettaglio

169. Punto di Accesso
• È la struttura tecnologica che fornisce ai
soggetti abilitati esterni al dominio
giustizia i servizi di connessione al portale
dei servizi telematici

170. Portale dei servizi telematici
art. 6 regolamento + art. 5 regole tecniche
• È accessibile all’indirizzo
www.processotelematico.giustizia.it
• Si compone di due aree
1. Area pubblica (Servizi online Uffici Giudiziari)
• Vi sono tutte le pagine accessibili senza identificazione
informatica
– Informazioni e documentazione sui servizi
– Raccolte giurisprudenziali

171. Portale dei servizi telematici
art. 6 regolamento + art. 5 regole tecniche
– Informazioni essenziali sullo stato dei procedimenti in forma
anonima
» Queste ultime comunque transitano su di un canale di
comunicazione cifrato (HTTPS)
2. Area riservata
• Vi sono tutte le pagine accessibili previa
identificazione informatica
– Informazioni, dati e provvedimenti giudiziari
– Servizi di pagamento telematico
– Richiesta di copie

172. Identificazione informatica
art. 6 regolamento + art. 6 regole tecniche
• Può avvenire:
1. Sul portale dei servizi telematici
• Mediante CIE (Carta Identità Elettronica)
• Mediante CNS (Carta Nazionale Servizi)
2. Sul punto di accesso
• Mediante un dispositivo sicuro (ad esempio una
smart card o un token usb) che rispetti i requisiti
fissati dalle regole tecniche

173. Registro generale degli indirizzi
art. 7 regolamento + art. 8 regole tecniche
• Le comunicazioni fra i diversi interlocutori
transitano ora via PEC
• Ne consegue che i diversi soggetti devono avere
uno strumento che consenta il reperimento
dell’indirizzo elettronico del destinatario del futuro
messaggio
• Il registro generale è gestito dal Ministero della
Giustizia (ReGIndE)
• Contiene i dati identificativi e l’indirizzo di PEC dei
soggetti abilitati esterni e degli utenti privati

174. Registro generale degli indirizzi
art. 7 regolamento + art. 8 regole tecniche
• Il registro è accessibile
– Dai soggetti abilitati esterni:
• Tramite il punto di accesso
• Tramite il portale dei servizi telematici (area
riservata)
– Dai soggetti abilitati interni:
• Direttamente mediante i sistemi interni del dominio
giustizia attraverso un apposito web service

175. Fascicolo informatico
art. 9 regolamento + art. 11 regole tecniche
• Il Ministero della Giustizia gestisce i
procedimenti utilizzando le tecnologie
dell’informazione e della comunicazione,
raccogliendo in un fascicolo informatico gli
atti, i documenti, gli allegati, le ricevute di
posta elettronica certificata e i dati del
procedimento medesimo da chiunque
formati, ovvero le copie informatiche dei
medesimi atti quando siano stati depositati su
supporto cartaceo.

176. Fascicolo informatico
art. 9 regolamento + art. 11 regole tecniche
• Il fascicolo reca l’indicazione:
– Dell’ufficio titolare del procedimento, che cura la
costituzione e la gestione del fascicolo
– Dell’oggetto del procedimento
– Dell’elenco dei documenti contenuti
• Il fascicolo informatico è formato in modo da
garantire la facile reperibilità ed il collegamento
agli atti ivi contenuti in relazione alla data di
deposito, al loro contenuto ed alle finalità dei
singoli documenti

177. Fascicolo informatico
art. 9 regolamento + art. 11 regole tecniche
• Le operazioni di accesso al fascicolo
informatico sono registrate in un apposito file
di log che contiene le seguenti informazioni:
– Il codice fiscale del soggetto che ha effettuato
l’accesso
– Il riferimento al documento prelevato o consultato
– La data e l’ora dell’accesso
• Il file di log è conservato per cinque anni

178. Michele Martoni
Lawyer
Contract Professor at the University of Bologna
Ph.D. In IT Law
+39 348 4900232 | michele.martoni@unibo.it
www.unibo.it | www.michelemartoni.it