Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
1. Aspetti giuridici della
firma digitale
della PEC e della CNS
Ravenna, Facoltà di Giurisprudenza, 11 aprile 2013
Avv. Ph.D. Michele Martoni
Firma digitale
Parte 1
2. firme elettroniche e identità
Constatazione: Rete “reale” non virtuale
– Popolazione mondiale
7 miliardi
(Istituto francese di studi demografici, novembre 2012)
– Utenti Internet nel mondo
2 miliardi 100 milioni
(Internet World Stats, marzo 2011)
– Utenti Facebook
800 milioni (350 milioni by mobile)
(Facebook, dicembre 2011)
firme elettroniche e identità
Quesito 1)
Come posso attestare la mia identità in
rete? E verificare quella del mio
interlocutore?
Quesito 2)
Come posso tutelare la segretezza e
l’integrità delle mie comunicazioni
elettroniche?
3. • Steganografia
– Occultamento fisico del messaggio
• Il messaggio è “invisibile”
• Intercettazione: forte rischio di pregiudizio
un’epoca un sistema
un’epoca un sistema
• Crittografia
– Occultamento semantico del contenuto del
messaggio
• Il messaggio è “visibile” ma non “comprensibile”
• Key management
4. crittografia simmetrica
crittografia asimmetrica
• La crittografia simmetrica, nota
anche come crittografia a chiave
privata o a chiave segreta, è quella
particolare tecnica crittografica che
prevede l'utilizzo di un’unica chiave
sia per l'operazione di cifratura sia
per quella di decifratura
lucchetto di Diffie ed
Hellman
• http://www.youtube.com/watch?v=Ex_Ob
HVftDg
• http://www.youtube.com/watch?v=U62S8S
chxX4&feature=PlayList&p=ED3A07961E
012AF5&playnext=1&playnext_from=PL&i
ndex=11
5. crittografia simmetrica
crittografia asimmetrica
• La crittografia asimmetrica (crittografia a
doppia chiave o crittografia a chiave
pubblica) contempla invece l’impiego di una
coppia di chiavi, una chiave pubblica ed una
chiave privata. Il principio sotteso a questa
particolare tecnica prevede che quanto viene
cifrato con una chiave potrà essere decifrato
esclusivamente con l’altra chiave della coppia
Una chiave (KPRIV) per cifrare
Un’altra chiave (KPUB) per decifrare
Due chiave diverse ma correlate (KPRIV KPUB)
1. Chiave privata (KPRIV) conosciuta solo dal titolare
2. Chiave pubblica (KPUB) conosciuta da tutti
Crittografia asimmetrica
6. Una funzione matematica che genera, a partire
da una generica sequenza di simboli binari (bit),
una impronta in modo tale che risulti di fatto
impossibile, a partire da questa, determinare una
sequenza di simboli binari (bit) per le quali la
funzione generi impronte uguali ...
(cfr. d.p.c.m. 30 marzo 2009)
hash function
dalla crittografia
alle firme elettroniche
• in principio era “solo” la Firma digitale 1997
• poi giunsero le Firme elettroniche 1999-2000
7. dalla crittografia
alle firme elettroniche
• La firma digitale altro non è che l’applicazione
di un sistema di cifratura a chiave asimmetrica
• Oltre al piano software vi è un livello
organizzativo che unisce allo strumento di firma
l’elemento della certificazione della identità
della persona titolare dello strumento.
Attività di certificazione
• Certificatore
– Semplice
– Qualificato
– Accreditato
• Certificato
– Semplice
– Qualificato
8. Certificatore
(art. 1, lett. g, CAD)
• Per Certificatore si intende il soggetto
che presta servizi di certificazione delle
firme elettroniche o che fornisce altri
servizi connessi con queste ultime.
Attività di certificazione
(art. 26 CAD)
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione
europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o,
se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti
all'amministrazione, qualora emettano certificati qualificati devono possedere i
requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi
in materia bancaria e creditizia, di cui al decreto legislativo 385/1993, e successive
modificazioni. (cfr. DM 161/1998)
2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di cui al
comma 1 comporta il divieto di prosecuzione dell'attività intrapresa.
3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri
Stati membri dell'Unione europea non si applicano le norme del presente codice e le
relative norme tecniche di cui all'articolo 71 e si applicano le rispettive norme di
recepimento della direttiva 1999/93/CE.
9. Tipologie di Certificati
1.- Certificato elettronico “semplice”
2.- Certificato qualificato
Definizione di certificato
(art. 1, CAD)
• Per certificati elettronici si intendono gli attestati
elettronici che collegano all’identità del titolare i
dati utilizzati per verificare le firme elettroniche.
• Per certificato qualificato si intende il certificato
elettronico conforme ai requisiti di cui all’allegato
I della direttiva 1999/93/CE, rilasciati da
certificatori che rispondono ai requisiti di cui
all’allegato II della medesima direttiva.
10. Certificati qualificati
(allegato I, dir. 1999/93/CE)
I certificati qualificati devono includere:
a) l'indicazione che il certificato rilasciato è un certificato qualificato;
b) l'identificazione e lo Stato nel quale è stabilito il prestatore di servizi di
certificazione;
c) il nome del firmatario del certificato o uno pseudonimo identificato come tale;
d) l'indicazione di un attributo specifico del firmatario, da includere se pertinente, a
seconda dello scopo per cui il certificato è richiesto;
e) i dati per la verifica della firma corrispondenti ai dati per la creazione della firma
sotto il controllo del firmatario;
f) un'indicazione dell'inizio e del termine del periodo di validità del certificato;
g) il codice d'identificazione del certificato;
h) la firma elettronica avanzata del prestatore di servizi di certificazione che ha
rilasciato il certificato;
i) i limiti d'uso del certificato, ove applicabili; e
j) i limiti del valore dei negozi per i quali il certificato può essere usato, ove applicabili.
Tipologie di Certificatori
1.- Certificatore semplice (cfr. supra art. 26)
2.- Certificatore qualificato
3.- Certificatore accreditato
11. Certificatori qualificati
(art. 27, CAD)
Requisiti:
1. ex art. 26 (onorabilità)
2. specializzazione del personale
3. procedure e metodi di gestione
4. utilizzo di sistemi affidabili
5. adozione di misure contro la contraffazione
Procedimento:
1. comunicazione DIA
2. controlli del CNIPA
Certificatori accreditati
(art. 29, CAD)
• Elenco pubblico: www.cnipa.gov.it
• Riconoscimento del possesso dei requisiti del livello più elevato, in
termini di qualità e sicurezza
• Silenzio-assenso: 90 giorni
• Il richiedente deve possedere:
– Requisiti di cui all’articolo 27
– Se soggetto privato deve altresì possedere:
• Forma giuridica di S.p.A.
• Capitale sociale minimo
• Caratteristiche del personale impiegato oltre che dei legali rappresentanti
12. Regole speciali per le P.A.
articolo 34 C.A.D.
• 1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di
rilevanza esterna, le pubbliche amministrazioni:
– a) possono svolgere direttamente l'attività di rilascio dei certificati qualificati
avendo a tale fine l'obbligo di accreditarsi ai sensi dell'articolo 29; tale attività può
essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché di
categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di
categorie di terzi possono essere utilizzati soltanto nei rapporti con
l'Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto ad
esclusione di quelli rilasciati da collegi e ordini professionali e relativi organi agli
iscritti nei rispettivi albi e registri; con decreto del Presidente del Consiglio dei
Ministri, su proposta dei Ministri per la funzione pubblica e per l'innovazione e le
tecnologie e dei Ministri interessati, di concerto con il Ministro dell'economia e
delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati
qualificati;
– b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in
materia di contratti pubblici.
• 2. Per la formazione, gestione e sottoscrizione di documenti informatici
aventi rilevanza esclusivamente interna ciascuna amministrazione può
adottare, nella propria autonomia organizzativa, regole diverse da quelle
contenute nelle regole tecniche di cui all'articolo 71. […]
Responsabilità
del Certificatore
• Art. 30
14. Revoca e sospensione
dei certificati qualificati
• Art. 36
Cessazione dell’attività
di certificazione
• Art. 37
15. Tipologie di firme
Firma elettronica
Firma elettronica avanzata
Firma elettronica qualificata
Firma
digitale
firma elettronica
• l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite
associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione
informatica
16. firma elettronica
avanzata – FEA
• insieme di dati in forma elettronica allegati
oppure connessi a un documento informatico
che consentono l’identificazione del firmatario
del documento e garantiscono la connessione
univoca al firmatario, creati con mezzi sui quali il
firmatario può conservare un controllo esclusivo,
collegati ai dati ai quali detta firma si riferisce in
modo da consentire di rilevare se i dati stessi
siano stati successivamente modificati
firma elettronica
qualificata
• un particolare tipo di firma elettronica
avanzata che sia basata su un certificato
qualificato e realizzata mediante un
dispositivo sicuro per la creazione della
firma
17. firma digitale
• un particolare tipo di firma elettronica avanzata
basata su un certificato qualificato e su un
sistema di chiavi crittografiche, una pubblica e
una privata, correlate tra loro, che consente al
titolare tramite la chiave privata e al destinatario
tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza
e l'integrità di un documento informatico o di un
insieme di documenti informatici
• Documento informatico: la
rappresentazione informatica di atti, fatti o
dati giuridicamente rilevanti
documento informatico
18. • Documento analogico: la
rappresentazione non informatica di atti,
fatti o dati giuridicamente rilevanti
documento analogico
• copia informatica di documento
analogico: il documento informatico
avente contenuto identico a quello del
documento analogico da cui è tratto
• copia per immagine su supporto
informatico di documento analogico: il
documento informatico avente contenuto e
forma identici a quelli del documento
analogico da cui è tratto
copie
19. • copia informatica di documento informatico:
il documento informatico avente contenuto
identico a quello del documento da cui è tratto
su supporto informatico con diversa sequenza di
valori binari;
• duplicato informatico: il documento
informatico ottenuto mediante la
memorizzazione, sullo stesso dispositivo o su
dispositivi diversi, della medesima sequenza di
valori binari del documento originario;
copia e duplicato
Efficacia del
documento informatico
Art. 20, c.1.bis
• L'idoneità del documento informatico a
soddisfare il requisito della forma scritta e
il suo valore probatorio sono liberamente
valutabili in giudizio, tenuto conto delle
sue caratteristiche oggettive di qualità,
sicurezza, integrità ed immodificabilità,
fermo restando quanto disposto
dall’articolo 21.
20. Efficacia del documento
informatico sottoscritto
Art. 21, c.1
• Il documento informatico, cui è apposta
una firma elettronica, sul piano
probatorio è liberamente valutabile in
giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità,
sicurezza, integrità e immodificabilità.
... segue
Art. 21, c.2
• Il documento informatico sottoscritto con firma elettronica avanzata,
qualificata o digitale, formato nel rispetto delle regole tecniche di cui
all'articolo 20, comma 3, che garantiscano l'identificabilità
dell'autore, l'integrità e l'immodificabilità del documento, ha
l'efficacia prevista dall'articolo 2702 C.c. L'utilizzo del dispositivo
di firma si presume riconducibile al titolare, salvo che questi dia
prova contraria.
Art. 21, c.2.bis
• Salvo quanto previsto dall’articolo 25, le scritture private di cui
all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile,
se fatte con documento informatico, sono sottoscritte, a pena di
nullità, con firma elettronica qualificata o con firma digitale.
21. ... segue
Art. 21, c.3
• L’apposizione ad un documento informatico di una firma
digitale o di un altro tipo di firma elettronica qualificata
basata su un certificato elettronico revocato, scaduto o
sospeso equivale a mancata sottoscrizione. La revoca
o la sospensione, comunque motivate, hanno effetto dal
momento della pubblicazione, salvo che il revocante, o
chi richiede la sospensione, non dimostri che essa era
già a conoscenza di tutte le parti interessate.
Documenti amministrativi
informatici
Art. 23.ter, c.1 e c.2
• Gli atti formati dalle pubbliche amministrazioni con
strumenti informatici, nonché i dati e i documenti
informatici detenuti dalle stesse, costituiscono
informazione primaria ed originale da cui è possibile
effettuare, su diversi o identici tipi di supporto,
duplicazioni e copie per gli usi consentiti dalla legge.
• I documenti costituenti atti amministrativi con rilevanza
interna al procedimento amministrativo sottoscritti
con firma elettronica avanzata hanno l’efficacia prevista
dall’art. 2702 del codice civile.
22. ... segue … le copie
Art. 23.ter, c.1 e c.2
• Le copie su supporto informatico di documenti formati dalla
pubblica amministrazione in origine su supporto analogico
ovvero da essa detenuti, hanno il medesimo valore giuridico, ad
ogni effetto di legge, degli originali da cui sono tratte, se la loro
conformità all'originale è assicurata dal funzionario a ciò delegato
nell‘ambito dell'ordinamento proprio dell'amministrazione di
appartenenza, mediante l'utilizzo della firma digitale o di altra
firma elettronica qualificata e nel rispetto delle regole tecniche
stabilite ai sensi dell'articolo 71; in tale caso l’obbligo di
conservazione dell’originale del documento è soddisfatto con la
conservazione della copia su supporto informatico.
Art. 23.ter, c.5
Sulle copie analogiche di documenti amministrativi informatici
può essere apposto a stampa un contrassegno, sulla base dei
criteri definiti con linee guida dell'Agenzia per l'Italia digitale,
tramite il quale è possibile ottenere il documento informatico,
ovvero verificare la corrispondenza allo stesso della copia
analogica. Il contrassegno apposto ai sensi del primo periodo
sostituisce a tutti gli effetti di legge la sottoscrizione autografa
e non può essere richiesta la produzione di altra copia
analogica con sottoscrizione autografa del medesimo
documento informatico. I programmi software eventualmente
necessari alla verifica sono di libera e gratuita disponibilità.
... segue … il contrassegno
23. Validazione temporale
Art. 1: il risultato della procedura informatica
con cui si attribuiscono, ad uno o più
documenti informatici, una data ed un
orario opponibili ai terzi
Art. 20: la data e l'ora di formazione del
documento informatico sono opponibili ai
terzi se apposte in conformità alle regole
tecniche sulla validazione temporale.
24. Firma autenticata
art. 25
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la
firma elettronica o qualsiasi altro tipo di firma avanzata autenticata dal
notaio o da altro pubblico ufficiale a ciò autorizzato.
2. L'autenticazione della firma elettronica, anche mediante
l’acquisizione digitale della sottoscrizione autografa, o di qualsiasi
altro tipo di firma elettronica avanzata consiste nell'attestazione, da
parte del pubblico ufficiale, che la firma è stata apposta in sua
presenza dal titolare, previo accertamento della sua identità
personale, della validità dell’eventuale certificato elettronico utilizzato
e del fatto che il documento sottoscritto non è in contrasto con
l'ordinamento giuridico.
3. L'apposizione della firma digitale da parte del pubblico ufficiale ha
l'efficacia di cui all'articolo 24, comma 2.
4. Se al documento informatico autenticato deve essere allegato altro
documento formato in originale su altro tipo di supporto, il pubblico
ufficiale può allegare copia informatica autenticata dell'originale,
secondo le disposizioni dell'articolo 23, comma 5.
Firme automatiche
Art. 35, c.2 e c.3
• I dispositivi sicuri e le procedure di cui al comma 1 devono
garantire l'integrità dei documenti informatici a cui la firma
si riferisce. I documenti informatici devono essere
presentati al titolare, prima dell'apposizione della firma,
chiaramente e senza ambiguità, e si deve richiedere
conferma della volontà di generare la firma secondo
quanto previsto dalle regole tecniche di cui all'articolo 71.
• Il secondo periodo del comma 2 non si applica alle firme
apposte con procedura automatica. La firma con
procedura automatica è valida se apposta previo
consenso del titolare all’adozione della procedura
medesima.
25. Macroistruzioni
Art. 3, comma 3, regole tecniche
3. Il documento informatico, sottoscritto
con firma digitale o altro tipo di firma
elettronica qualificata, non produce gli
effetti di cui all'art. 21, comma 2, del
codice, se contiene macroistruzioni o
codici eseguibili, tali da attivare
funzionalità che possano modificare gli
atti, i fatti o i dati nello stesso
rappresentati.
nuova dimensione
• L’impiego di questi strumenti produce
effetti giuridici
• L’approccio deve pertanto essere diverso
rispetto all’impiego di altri device … non
sono una fidelity card !
• La rilevanza di tali strumenti dal profilo
giuridico li rende ancora più appetitosi per
i terzi malintenzionati
• Per questo, e ancora di più, l’approccio
deve essere consapevole
26. vulnerabilità e limiti
• Normativa
• Dispositivo di firma
• Certificatore
• Apparecchiatura del firmatario
• Software di apposizione della firma
• Fattore “U”
OpenSourceINTelligence
• è l'attività di raccolta di informazioni
mediante la consultazione di fonti di
pubblico accesso. Nell'ambito di
operazioni di intelligence il termine
"Open Source" si riferisce a fonti
pubbliche, liberamente accessibili, in
contrapposizione a fonti segrete o
coperte.
27. dall’identità in rete
al furto di identità
Art. 494 C.p. – Sostituzione di persona
Chiunque, al fine di procurare a sé o ad altri un
vantaggio o di recare ad altri un danno, induce
taluno in errore, sostituendo illegittimamente la
propria all’altrui persona, o attribuendo a sé o ad
altri un falso nome, o un falso stato, ovvero una
qualità a cui la legge attribuisce effetti giuridici, è
punito, se il fatto non costituisce un altro delitto
contro la fede pubblica, con la reclusione fino a
un anno.
Furto di firma digitale
28. riflessioni
• L’identità in rete è un fatto!
• I dati che costituiscono e che sanciscono la
propria identità in rete sono informazioni
strategiche da preservare
• La normativa e la tecnica ci sono!
• Occorre consapevolezza e formazione anche
sugli strumenti impiegati e sulle caratteristiche e
i limiti di funzionamento
• E questo non solo nell’impiego ma anche nella
impostazione delle strategie di innovazione
• Approccio consapevole e interdisciplinare
Posta Elettronica Certificata “PEC”
Parte 2
29. La trasmissione del
documento informatico
• Trasmissione da chiunque ad una
pubblica amministrazione (art. 45)
• Trasmissione fra pubbliche
amministrazioni (art. 47)
• Trasmissione che necessita di una
ricevuta (art. 48)
• Istanza del cittadino alla pubblica
amministrazione (artt. 64 e ss.)
Valore giuridico della trasmissione
art. 45, CAD
1. I documenti trasmessi da chiunque ad una pubblica
amministrazione con qualsiasi mezzo telematico o
informatico, ivi compreso il fax, idoneo ad accertarne la
fonte di provenienza, soddisfano il requisito della forma
scritta e la loro trasmissione non deve essere seguita da
quella del documento originale.
2. Il documento informatico trasmesso per via telematica si
intende spedito dal mittente se inviato al proprio gestore,
e si intende consegnato al destinatario se reso
disponibile all'indirizzo elettronico da questi dichiarato,
nella casella di posta elettronica del destinatario messa
a disposizione dal gestore.
30. Dati particolari e privacy
art. 46, CAD
1. Al fine di garantire la riservatezza dei dati
sensibili o giudiziari di cui all'articolo 4, comma
1, lettere d) ed e), del decreto legislativo 30
giugno 2003, n. 196, i documenti informatici
trasmessi ad altre pubbliche amministrazioni
per via telematica possono contenere soltanto le
informazioni relative a stati, fatti e qualità
personali previste da legge o da regolamento
e indispensabili per il perseguimento delle
finalità per le quali sono acquisite.
Trasmissione fra P.A.
art. 47, CAD
1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo
della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento
amministrativo una volta che ne sia verificata la provenienza.
2. Ai fini della verifica della provenienza le comunicazioni sono valide se:
a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445;
c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto
dalla normativa vigente o dalle regole tecniche di cui all'articolo 71;
d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del
Presidente della Repubblica 11 febbraio 2005, n. 68.
[...] Le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, provvedono ad
istituire e pubblicare nell’Indice PA almeno una casella di posta elettronica certificata per
ciascun registro di protocollo.
[...] La pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propri
dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle
norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al
grado di riservatezza degli strumenti utilizzati.
31. Posta elettronica certificata
art. 48, CAD
1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta
di invio e di una ricevuta di consegna avviene mediante la posta elettronica
certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, o mediante altre soluzioni tecnologiche individuate con decreto
del Presidente del Consiglio dei Ministri, sentito DigitPA.
2. La trasmissione del documento informatico per via telematica, effettuata ai
sensi del comma 1, equivale, salvo che la legge disponga diversamente,
alla notificazione per mezzo della posta.
3. La data e l'ora di trasmissione e di ricezione di un documento informatico
trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle
disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, ed alle relative regole tecniche, ovvero conformi al decreto del
Presidente del Consiglio dei Ministri di cui al comma 1.
Segretezza della corrispondenza
art. 49, CAD
1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e
documenti formati con strumenti informatici non possono prendere
cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo
o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per
estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o
messaggi trasmessi per via telematica, salvo che si tratti di informazioni per
loro natura o per espressa indicazione del mittente destinate ad essere rese
pubbliche.
2. Agli effetti del presente codice, gli atti, i dati e i documenti trasmessi per via
telematica si considerano, nei confronti del gestore del sistema di trasporto
delle informazioni, di proprietà del mittente sino a che non sia avvenuta la
consegna al destinatario.
32. Caratteristiche della PEC
La posta elettronica certificata (PEC) è un
sistema di posta elettronica in grado di superare
le “debolezze” della posta elettronica e di poter
essere utilizzata in qualsiasi contesto nel quale
sia necessario avere prova opponibile
dell’invio e della consegna di un documento
elettronico.
(cfr. Supplemento al n. 1/2007 del periodico
Innovazione, CNIPA, p. 5)
[... segue]
A tale precipuo fine, la normativa ha
stabilito il formato delle c.d. ricevute e le
caratteristiche tecniche di
funzionamento.
La stessa ha inoltre introdotto e
disciplinato, nell’ordinamento italiano, la
figura del Gestore di servizio di PEC.
33. D.P.R. 68/2005
art. 1 - Oggetto
• Il presente regolamento stabilisce le
caratteristiche e le modalità per
l’erogazione e la fruizione di servizi di
trasmissione di documenti informatici
mediante posta elettronica certificata.
[segue]
• La PEC è un sistema di trasporto e in
quanto tale non entra nel merito di ciò che
è oggetto di trasferimento dal mittente al
destinatario
34. ... la email (semplice)
– È un sistema “non normato” di trasmissione dati
– Non c’è garanzia dei momenti di invio e ricezione
(salvo conferme meramente volontarie e con
riferimento temporale non opponibile a terzi)
– Non garantisce la paternità del messaggio
– Non garantisce l’integrità del messaggio
– Non garantisce la segretezza del messaggio
– Chiunque può gestire il servizio di posta elettronica
Valore aggiunto
È plausibile creare un parallelo fra PEC e RACCOMANDATA ...
ancorché - in realtà - la prima fornisca alcuni ulteriori valori aggiunti:
1) conoscibilità certa del mittente e quindi del titolare della casella di posta;
2) legame fra la trasmissione ed il documento trasmesso;
3) archiviazione da parte del gestore di tutti gli eventi certificati per un
periodo di trenta mesi;
4) semplicità di trasmissione (così come la email);
5) economicità di trasmissione;
6) possibilità di invio multiplo;
7) velocità della consegna;
8) elevate caratteristiche di sicurezza e di qualità del soggetto che eroga il
servizio.
35. Svantaggi
• Presunzione di conoscenza del messaggio
in luogo della effettiva conoscenza
• La PEC non è uno standard internazionale
• Digital divide
Descrizione funzionale
Componenti da considerare:
1) Utente mittente: colui il quale ha l’esigenza di inviare un
documento informatico;
2) Utente destinatario: il soggetto al quale sarà destinato
l’invio;
3) Gestore del mittente: il soggetto con il quale il mittente
mantiene un rapporto finalizzato alla disponibilità del servizio
PEC;
4) Rete di comunicazione: tipicamente può essere considerata
Internet;
5) Documento informatico: oggetto dell’invio verso il
destinatario.
36. [segue]
Modalità della trasmissione ed
interoperabilità (art. 5)
1. Il messaggio di posta elettronica certificata inviato dal
mittente al proprio gestore di posta elettronica certificata
viene da quest'ultimo trasmesso al destinatario
direttamente o trasferito al gestore di posta elettronica
certificata di cui si avvale il destinatario stesso;
quest'ultimo gestore provvede alla consegna nella
casella di posta elettronica certificata del destinatario.
2. Nel caso in cui la trasmissione del messaggio di posta
elettronica certificata avviene tra diversi gestori, essi
assicurano l'interoperabilità dei servizi offerti, secondo
quanto previsto dalle regole tecniche di cui all'articolo
17.
37. Utilizzo della PEC
art. 4, d.p.r.68/2005
• Comma 6: La validità della trasmissione e
ricezione del messaggio di posta
elettronica certificata è attestata
rispettivamente dalla ricevuta di
accettazione e dalla ricevuta di
avvenuta consegna di cui all’art.6
Ricevuta di accettazione e di
avvenuta consegna (art. 6)
1. Il gestore di posta elettronica certificata utilizzato dal MITTENTE fornisce al
mittente stesso la ricevuta di accettazione nella quale sono contenuti i dati
di certificazione che costituiscono prova dell'avvenuta spedizione di un
messaggio di posta elettronica certificata.
2. Il gestore di posta elettronica certificata utilizzato dal DESTINATARIO
fornisce al mittente, all'indirizzo elettronico del mittente, la ricevuta di
avvenuta consegna.
3. La ricevuta di avvenuta consegna fornisce al mittente prova che il suo
messaggio di posta elettronica certificata è effettivamente pervenuto
all'indirizzo elettronico dichiarato dal destinatario e certifica il momento della
consegna tramite un testo, leggibile dal mittente, contenente i dati di
certificazione.
4. La ricevuta di avvenuta consegna può contenere anche la copia completa
del messaggio di posta elettronica certificata consegnato secondo quanto
specificato dalle regole tecniche di cui all'articolo 17.
5. La ricevuta di avvenuta consegna è rilasciata contestualmente alla
consegna del messaggio di posta elettronica certificata nella casella di
posta elettronica messa a disposizione del destinatario dal gestore,
indipendentemente dall'avvenuta lettura da parte del soggetto destinatario.
38. Ricevuta di presa in carico (art. 7)
1.Quando la trasmissione del messaggio di
posta elettronica certificata avviene
tramite più gestori il gestore del
destinatario rilascia al gestore del mittente
la ricevuta che attesta l'avvenuta presa
in carico del messaggio.
Avviso di mancata consegna
(art. 8)
1.Quando il messaggio di posta elettronica
certificata non risulta consegnabile il
gestore comunica al mittente, entro le
ventiquattro ore successive all'invio, la
mancata consegna tramite un avviso
secondo le modalità previste dalle regole
tecniche di cui all'articolo 17.
39. Il Gestore
http://www.digitpa.gov.it/pec_elenco_gestori
Elenco dei gestori
art. 14, DPR 68/2005
Possono presentare domanda al DigitPA di essere inseriti nell’apposito elenco le PA
o i PRIVATI
– I privati devono avere natura di società di capitali e capitale interamente versato non inferiore
a 1 milione di euro
– I legali rappresentanti e i soggetti preposti alla amministrazione devono possedere i requisiti
di onorabilità richiesti in materia bancaria e creditizia per i medesimi ruoli (cfr. anche i
certificatori accreditati di FD)
– Il richiedente deve inoltre dimostrare affidabilità organizzativa e tecnica per lo svolgimento
dell’attività de qua
– Impiegare personale qualificato
– Rispettare le norme in materia – ivi comprese le regole tecniche (decreto 2/11/2005)
– Applicare procedure e metodi adeguati (cfr. comma 6)
– Adottare adeguate procedure di sicurezza e di garanzia dell’integrità
– Prevedere sistemi di emergenza che garantiscano comunque la trasmissione
– Essere certificati ISO 9000
– Fornire copia di una copertura assicurativa per i rischi dell’attività ed i danni
verso terzi
40. Iscrizione del registro
• Vale il principio del silenzio / assenso se entro
90 giorni dall’istanza il DigitPA non ha
comunicato all’interessato il provvedimento di
diniego.
• Il termine può essere interrotto una sola volta
esclusivamente per la motivata richiesta di
documenti che integrino o completino la
documentazione presentata e che non siano già
nella disponibilità del DigitPA o che questo non
possa acquisire autonomamente
Gestori stabiliti in altri paesi
dell’Unione Europea
Art. 15, d.p.r. 68/2005
• Possono esercitare a condizione che
soddisfino – conformemente alla
normativa di stabilimento – requisiti
analoghi a quelli italiani
• Il DigitPA verifica l’equivalenza ai requisiti
ed alle formalità prescritte.
41. Pubbliche amministrazioni
• Le pubbliche amministrazioni possono
svolgere autonomamente l’attività
rispettando le regole tecniche e di
sicurezza previste
• Le caselle rilasciate ai privati sono
valide e rilevanti ai sensi di legge solo
per le comunicazioni fra questi e le
stesse amministrazioni
Autonomia del
processo telematico (?)
Art. 16, c.4, d.p.r. 68/2005
Le disposizioni di cui al presente regolamento
non si applicano all’uso degli strumenti
informatici e telematici nel processo civile, nel
processo penale, nel processo amministrativo,
nel processo tributario e nel processo dinanzi
alle sezioni giurisdizionali della Corte dei conti,
per i quali restano ferme le specifiche
disposizioni normative (c.d. CPEPT).
42. La PEC nel PCT
DL 193/2009, art. 4
1. Con uno o più decreti del Ministro della giustizia, di concerto con il
Ministro per la pubblica amministrazione e l'innovazione, sentito il
Centro nazionale per l'informatica nella pubblica amministrazione e
il Garante per la protezione dei dati personali, adottati, ai sensi
dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, entro
sessanta giorni dalla data di entrata in vigore della legge di
conversione del presente decreto, sono individuate le regole
tecniche per l'adozione nel processo civile e nel processo
penale delle tecnologie dell'informazione e della
comunicazione, in attuazione dei principi previsti dal decreto
legislativo 7 marzo 2005, n. 82, e successive modificazioni. Le
vigenti regole tecniche del processo civile telematico continuano ad
applicarsi fino alla data di entrata in vigore dei decreti di cui ai
commi 1 e 2.
(segue)
2. Nel processo civile e nel processo penale, tutte le
comunicazioni e notificazioni per via telematica si
effettuano mediante posta elettronica certificata, ai
sensi del decreto legislativo 7 marzo 2005, n. 82, e
successive modificazioni, del decreto del Presidente
della Repubblica 11 febbraio 2005, n. 68, e delle regole
tecniche stabilite con i decreti previsti dal comma 1. Fino
alla data di entrata in vigore dei predetti decreti, le
notificazioni e le comunicazioni sono effettuate nei modi
e nelle forme previste dalle disposizioni vigenti alla data
di entrata in vigore del presente decreto.
43. PEC e Albo
3-bis. Il secondo comma dell’ articolo 16 del regio decreto-legge 27
novembre 1933, n. 1578, convertito, con modificazioni, dalla legge
22 gennaio 1934, n. 36, introdotto dal comma 5 dell’ articolo 51 del
decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni,
dalla legge 6 agosto 2008, n. 133, è sostituito dal seguente:
«Nell’albo è indicato, oltre al codice fiscale, l’indirizzo di posta
elettronica certificata comunicato ai sensi dell’ articolo 16,
comma 7, del decreto-legge 29 novembre 2008, n. 185,
convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2. Gli
indirizzi di posta elettronica certificata e i codici fiscali, aggiornati
con cadenza giornaliera, sono resi disponibili per via telematica
al Consiglio nazionale forense e al Ministero della giustizia nelle
forme previste dalle regole tecniche per l’adozione nel processo
civile e nel processo penale delle tecnologie dell’informazione e
della comunicazione».
D.L. 112/2008
• Art. 51, comma 5
– Conferma la necessaria indicazione nell’Albo
dell’indirizzo di PEC
– Impone la messa a disposizione con cadenza
giornaliera dei dati (PEC e CF) al Consiglio
nazionale forense ed al Ministero della
Giustizia
44. DL 185/2008
• Articolo 16, comma 6
– PEC alle imprese
• Articolo 16, comma 7
– PEC ai professionisti
• Articolo 16, comma 8
– PEC alla pubblica amministrazione
• Articolo 16, comma 9
– Non serve la dichiarazione di disponibilità ed
accettazione
Art. 16, c.6 - Imprese
• Le imprese costituite in forma societaria sono
tenute ad indicare il proprio indirizzo di posta
elettronica certificata [o analogo indirizzo di
posta elettronica che certifichi data e ora
dell’invio e della ricezione delle comunicazioni e
integrità del contenuto] nella domanda di
iscrizione al registro delle imprese
• Le imprese già registrate dovranno provvedere
entro 3 anni
45. (segue)
• La consultazione per via telematica dei singoli
indirizzi di posta elettronica certificata [o
analoghi …] nel registro delle imprese o negli
albi o elenchi costituiti ai sensi del presente
articolo [n.d.r. deroga professionisti sub c.7]
avviene liberamente e senza oneri.
• L’estrazione di elenchi di indirizzi è consentita
alle sole pubbliche amministrazioni per le
comunicazioni relative agli adempimenti
amministrativi di loro competenza.
Art. 16, c.7 - Professionisti
• I professionisti iscritti in albi ed elenchi
comunicano ai rispettivi ordini il proprio indirizzo
di posta elettronica certificata [o analogo …]
entro un anno dalla data di entrata in vigore del
decreto [29 novembre 2009]
• Gli ordini pubblicano in un elenco riservato,
consultabile telematicamente esclusivamente
dalle pubbliche amministrazioni, i dati
identificativi degli iscritti con il relativo indirizzo di
posta certificata
46. Art. 16, c.8 - PA
• Le amministrazioni pubbliche – qualora non
abbiano provveduto ai sensi dell’art. 47, c.3, lett.
a), del CAD – istituiscono una casella di posta
certificata [o analogo …] per ciascun registro
di protocollo e ne danno comunicazione al
CNIPA che provvede alla pubblicazione in un
elenco consultabile telematicamente
art. 16 bis - Cittadini
Ai cittadini che ne fanno richiesta è
attribuita una casella di posta certificata o
analogo indirizzo di posta elettronica
basato su tecnologie che certifichino data
e ora dell’invio e della ricezione delle
comunicazioni e l’integrità del contenuto
delle stesse, garantendo l’interoperabilità
con analoghi sistemi internazionali.
[v. meglio infra]
47. (segue)
• Le comunicazioni fra PROFESSIONISTI,
IMPRESE e PA … possono essere
inviate attraverso la posta elettronica
certificata [o analogo …] senza che il
destinatario debba dichiarare la propria
disponibilità ad accettare l’utilizzo
art. 16 bis - Cittadini
Ai cittadini che ne fanno richiesta è attribuita una
casella di posta elettronica certificata o
analogo indirizzo di posta elettronica basato su
tecnologie che certifichino data e ora dell’invio e
della ricezione delle comunicazioni e l’integrità
del contenuto delle stesse, garantendo
l’interoperabilità con analoghi sistemi
internazionali.
48. (segue)
• L’utilizzo della posta elettronica
certificata avviene ai sensi degli articoli 6
e 48 del CAD, con effetto equivalente,
ove necessario, alla notificazione per
mezzo della posta.
CEC-PAC
Comunicazione
Elettronica
Certificata fra
Pubblica
Amministrazione e
Cittadino
49. segue
• Il Dipartimento per la Digitalizzazione della pubblica
amministrazione e l’Innovazione tecnologica (DDI)
comunica che oggi si è conclusa la fase di selezione
delle offerte per la concessione del servizio di Posta
elettronica certificata (PEC) gratuita per i cittadini.
Il raggruppamento temporaneo di impresa costituito
da Poste Italiane, Postecom e Telecom Italia è
risultato primo in graduatoria.
Dopo i significativi risultati in termini di diffusione ottenuti
grazie alla sperimentazione avviata con INPS e ACI a
settembre scorso, la PEC gratuita sta diventando una
realtà per tutti.
DPCM 6 maggio 2009
Disposizioni in materia di rilascio e di uso
della casella di posta elettronica certificata
assegnata ai cittadini
(G.U. 119 del 25 maggio 2009)
50. Dove si applica
Osservazioni
• Esclusi i “non” cittadini
• Art. 3, c. 2: “Per i cittadini che utilizzano il servizio di
PEC, l'indirizzo valido ad ogni effetto giuridico, ai fini
dei rapporti con le pubbliche amministrazioni, è quello
espressamente rilasciato ai sensi dell'art. 2, comma 1”.
Non è prevista la possibilità per chi ha ottenuto la CEC-
PAC di indicare un diverso domicilio elettronico … salvo
recedere dal contratto. Questo si scontra con la libertà di
domicilio.
51. Accettazione dell’invio
art. 3, c. 4
4. La volontà del cittadino espressa ai sensi
dell'art. 2, comma 1, rappresenta la
esplicita accettazione dell'invio, tramite
PEC, da parte delle pubbliche
amministrazioni di tutti i provvedimenti e
gli atti che lo riguardano.
Uso della PEC e istanze
art. 4, c. 4
4. Le pubbliche amministrazioni accettano le
istanze dei cittadini inviate tramite PEC nel
rispetto dell'art. 65, comma 1, lettera c), del
decreto legislativo n. 82 del 2005. L'invio tramite
PEC costituisce sottoscrizione elettronica ai
sensi dell'art. 21, comma 1, del decreto
legislativo n. 82 del 2005; le pubbliche
amministrazioni richiedono la sottoscrizione
mediante firma digitale ai sensi dell'art. 65,
comma 2, del citato decreto legislativo.
52. Accesso agli indirizzi
art. 7
1. L'affidatario del servizio di PEC ai cittadini di cui
all'art. 6, comma 1, rende consultabili alle
pubbliche amministrazioni, in via telematica,
gli indirizzi di PEC di cui al presente decreto, nel
rispetto dei criteri di qualità e sicurezza ed
interoperabilità definiti dal CNIPA e nel rispetto
della disciplina in materia di tutela dei dati
personali di cui al decreto legislativo 30 giugno
2003, n. 196.
Comunicazioni PA e dipendenti
art. 9
1. I pubblici dipendenti, all'atto
dell'assegnazione di una casella di PEC
da parte dell'amministrazione di
appartenenza, possono optare per
l'utilizzo della stessa ai fini di cui all'art.
16-bis, comma 6, del decreto-legge 29
novembre 2008, n. 185.
53. Carta Nazionale Servizi “CNS”
Parte 3
Servizi on line (artt. 63 e ss.)
1.- modalità di accesso ai servizi
2.- istanze e dichiarazioni telematiche
54. Organizzazione e finalità
dei servizi in rete (art. 63)
Modalità di accesso ai servizi erogati
in rete dalle PA (art. 64)
55. Carte elettroniche (art. 66)
1.- Carta nazionale dei servizi
2.- Carta di identità elettronica
CNS
56. Approfondimento
• Cfr. relazione allegata alla presentazione
• Cfr. da ultimo il provvedimento del
Garante per la protezione dei dati
personali n. 1693904 del 21 gennaio
2010 su tessera sanitaria (TS)* e CNS
(*) FSE e dossier informatico
Norme di riferimento
• D.p.r. 117/2004
• Decreto 9 dicembre 2004
• Direttiva 4 gennaio 2005
57. Alcuni principi
(art. 66, CAD)
• d) le pubbliche amministrazioni che erogano servizi in
rete devono consentirne l'accesso ai titolari della carta
nazionale dei servizi indipendentemente dall'ente di
emissione, che è responsabile del suo rilascio;
• e) la carta nazionale dei servizi può essere utilizzata
anche per i pagamenti informatici tra soggetti privati e
pubbliche amministrazioni, secondo quanto previsto
dalla normativa vigente (cfr. Bankpass Web). […]
• 8-bis. Fino al 31 dicembre 2011, la carta nazionale dei
servizi e le altre carte elettroniche ad essa conformi
possono essere rilasciate anche ai titolari di carta di
identità elettronica.
Progetto CNS
• www.progettocns.it
58. Un esempio
• CRS-SISS Regione Lombardia
www.crs.lombardia.it
Contratto-quadro
• Il CNIPA ha concluso un contratto quadro
della durata di 6 anni per l’emissione di tre
milioni di CNS in favore delle PA
• Il contratto è stato concluso con un
raggruppamento temporaneo d’imprese
composto da ACTALIS (certificatore FD),
FINSIEL, Oberthur Card Systems Italia,
SIA e Trust Italia