Firma digitale, validità legale marca temporale e formato PDF/A

Firma digitale : come funziona ?
Firma Digitale: come funziona ?
Dott. Ing. Matteo Gentile
gentile.matteo@gmail.com
https://it.linkedin.com/in/gentilematteo
Consigliere dell’Ordine degli Ingegneri di Genova
16 Novembre 2017

Presentazione
La firma digitale, come suggerisce il nome, è uno strumento grazie al quale
cittadini, professionisti e imprese possono firmare i documenti elettronici
donando a questi ultimi un valore legale.
Tutti noi ne abbiamo sentito parlare, però per alcuni ci sono ancora dei dubbi,
come ad esempio come funziona sotto il profilo informatico, qual è la validità
legale della firma digitale, come creare un file in formato PDF/A e che
differenze ci sono con i normali PDF, la differenza con la firma elettronica e
quanti tipi di firma elettronica esistono, le marche temporali, ecc.
Questo evento si pone come obiettivo il chiarire alcuni dubbi riguardo a
questo importante strumento che abbiamo a disposizione.
Poiché la firma digitale è uno strumento sempre più diffuso per il deposito di
progetti e scambio di file il seminario avrà validità per il conseguimento crediti
formativi in materia di deontologia.
2

Agenda
• Introduzione
• Tipi di firma e formati
• Il formato PDF/A
• Validità legale
• La marca temporale
• La conservazione digitale dei
documenti
3

Digitale vs Carta
"Questo cd-rom può contenere più informazioni di tutta questa carta sotto di me" - Bill Gates 1994.
4

Cos’è la Firma Digitale
La firma digitale è uno strumento grazie al quale cittadini, professionisti
e imprese possono firmare i documenti elettronici garantendo al
destinatario che il mittente sia chi dice di essere (autenticità) e che
esso non può negare di averlo inviato (non ripudio), e che il
messaggio non sia modificato (integrità), attribuendo quindi ai
documenti un valore legale.
5

Cosa non è la Firma Digitale
La firma digitale non è l’immagine digitalizzata della propria firma
autografa posizionata alla fine di un documento.
La firma digitale non è uno strumento di crittografia dei documenti
elettronici.
Un documento firmato digitalmente può non avere alcuna "firma"
visibile.
6

Firma Digitale e PEC
Non bisogna confondere la firma digitale o la firma elettronica con la
PEC, che è uno strumento grazie al quale si assegna valore legale ai
messaggi di posta elettronica e non ai singoli documenti allegati
firmati (eventualmente) da una persona.
7

La firma di un documento
Per firmare un documento elettronico occorre un software rilasciato da
un’autorità di certificazione;
La firma viene generata seguendo questi passi:
– generazione dell’impronta a partire dal documento elettronico;
– generazione della firma mediante cifratura dell’impronta;
– apposizione della firma al documento elettronico e generazione della busta
crittografica.
8

Generazione dell’impronta
Al documento da firmare viene applicata una particolare funzione (funzione di
hash) che produce una sequenza binaria di lunghezza costante chiamata
impronta;
• la funzione garantisce che a testi diversi non corrisponde la stessa impronta;
• dall’impronta è impossibile risalire al documento originale.
9

Generazione e apposizione della firma
Con la chiave privata del sottoscrittore, contenuta ad es. nella SmartCard e
segreta a chiunque, l’impronta viene cifrata, ottenendo così una sequenza
binaria che corrisponde alla firma digitale.
La firma digitale viene aggiunta alla fine del documento elettronico.
Insieme con la firma viene allegato anche il certificato del sottoscrittore.
Il certificato contiene la chiave pubblica necessaria per la verifica
dell’autenticità e dell’integrità del documento.
10

Apposizione della firma
11

L’impronta
12

Verifica della firma
13

Il destinatario verifica l’autenticità
14

L’intermediario – Il Certificatore
15

A cosa serve la Firma Digitale
Permette di snellire significativamente i rapporti tra Pubbliche Amministrazioni, i cittadini o le
imprese, riducendo drasticamente la gestione in forma cartacea dei documenti, proprio come
indicato nelle Linee Guida per l’utilizzo della Firma Digitale, emanate dal CNIPA nel 2009:
• Esempi tipici dell’utilizzo della firma digitale possono essere ricercati in tutti gli adempimenti
da effettuarsi verso le amministrazioni che richiedono la sottoscrizione di una volontà:
denunce, dichiarazioni di cambi di residenza, di domicilio, richieste di contributi, di esenzioni
a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, ecc.
• Fra privati può trovare un interessante impiego nella sottoscrizione di contratti, verbali di
riunioni, ordini di acquisto, risposte a bandi di gara, ecc.
• La firma digitale trova già da tempo applicazione nel protocollo informatico, nella procedura
di archiviazione documentale, nel mandato informatico di pagamento, nei servizi camerali,
nelle procedure telematiche d’acquisto, ecc.
• Come indicato dall’art. 2 Capo II - Sezione II del Codice delle Amministrazioni Digitali,
“l’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri,
contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente”.
16

Quali documenti posso firmare digitalmente
È possibile sottoscrivere digitalmente qualsiasi documento elettronico.
17
documento di bilancio
contratto
ordine di acquisto
Procedure, bandi, …

Chi può usufruirne
Possono dotarsi di firma digitale tutte le persone fisiche:
• cittadini
• amministratori e dipendenti di società
• pubbliche amministrazioni.
Per dotarsi di firma digitale è possibile rivolgersi ai certificatori
accreditati autorizzati da AgID, che garantiscono l’identità dei soggetti
che utilizzano la firma digitale.
AgID svolge attività di vigilanza sui certificatori.
18

Come usufruirne
Per usufruire della firma digitale bisogna acquistare un apposito kit, che
come vedremo a breve può essere composto da vari dispositivi, e
bisogna attivarlo provvedendo alla verifica della propria identità.
Esistono diverse società che forniscono il servizio come Aruba, Poste
Italiane e InfoCert.
Sul sito dell’AgID (http://www.agid.gov.it/identita
-digitali/firme-elettroniche/certificatori-attivi) c’è l’elenco completo.
L'Ordine degli Ingegneri di Genova, tramite il Consiglio Nazionale degli
Ingegneri, ha sottoscritto con ArubaPEC S.p.A. una convenzione per
la fornitura del servizio di firma digitale.
La fornitura è strettamente riservata agli iscritti che possono
effettuare la richiesta dei kit per firma digitale accedendo al carrello
convenzioni di ArubaPEC https://www.pec.it/Convenzioni.aspx
inserendo il codice convenzione FDING1793.
19

Firma digitale Aruba – come ottenerla
Dopo avere selezionato l’Ordine di appartenenza e la tipologia di kit richiesta sarà
necessario:
• registrarsi come utente Aruba
• compilare il form "Dati titolare" (i dati relativi al Titolo di Ingegnere e all’indirizzo di
spedizione del kit di firma digitale sono precompilati e non modificabili)
• compilare il form "Dati fatturazione"
• accettare le clausole contrattuali del servizio
• concludere la procedura d'ordine selezionando la modalità di pagamento (carta di
credito o bonifico bancario)
I kit verranno spediti all’Ordine che li consegnerà ai richiedenti
• previo riconoscimento de-visu da parte del personale competente (il kit può
essere consegnato solo ed esclusivamente al titolare che si presenti per il ritiro
munito di documento di identità)
• a seguito della controfirma dei moduli di richiesta certificato pre-compilati che verranno
archiviati dall’Ordine e trasmessi ad ArubaPEC.
20

Firma digitale Aruba – come ottenerla
Ad avvenuta ricezione del kit presso la propria sede l’Ordine
comunicherà al titolare - tramite e-mail di Posta Elettronica Certificata
- orari e date utili al ritiro.
Costo dei Kit di firma digitale in Convenzione:
• Kit di firma Digitale formato standard € 17,50 + IVA
• Kit di firma Digitale formato “Token” € 19,50 + IVA
• ArubaKEY € 38,50 + IVA
Il Kit è comprensivo del certificato di firma digitale che ha validità
triennale. Contributo per le spese di spedizione pari a € 3,00 + IVA.
Per la guida all’utilizzo
https://guide.pec.it/soluzioni-firma-digitale/firma-digitale.aspx
21

Soluzioni di Firma Digitale
• Key USB : si tratta di chiavette USB che al loro interno hanno una smart card con il certificato di firma
digitale, i software per firmare i documenti e, in alcuni casi, il certificato per la Carta Nazionale dei
Servizi. Non necessitano d'installazione e hanno al loro interno tutto quello che serve per firmare e
verificare i documenti elettronici. All'occorrenza, possono essere trasformati in dispositivi CCID (cioè in
semplici lettori di smart card) per importare la firma digitale sul PC e firmare i documenti usando
applicazioni diverse da quelle incluse nella chiavetta.
• Token USB – si tratta di chiavette USB che al loro interno contengono una smart card, il certificato per
la firma digitale e, in alcuni casi, il certificato per la Carta Nazionale dei Servizi. Prevede l'installazione
di driver e il download separato dei software per firmare i documenti.
22

Soluzioni di Firma Digitale
• Smart card : lettori di smart card abbinati alle smart card con i certificati di firma
digitale e, in alcuni casi, CNS. Prevedono l'installazione di driver e software per la
firma separatamente. Sono più economici dei token ma sono scarsamente
trasportabili, quindi vale la pena prenderli in considerazione solo se si deve utilizzare
la firma elettronica da una postazione fissa (es. un singolo PC desktop).
• Kit di firma digitale remota – si tratta di kit, alternativi a quelli menzionati in
precedenza, che permettono di apporre la firma digitale sui documenti usando una
smart card virtuale, una password OTP (cioè una password usa-e-getta ricevuta
tramite SMS o generata da chiavette simili a quelle fornite dalle banche) e un software
di firma e verifica. In pratica permettono di applicare la firma digitale ai documenti
senza usare chiavette o altri dispositivi fisici (si fa tutto da remoto). Sono più costosi
dei kit "fisici" menzionati in precedenza.
23

I tipi di Firma Elettronica
• Firma elettronica semplice : assume un valore legale certo solo se è un
giudice a certificarla. In poche parole non prevede l'uso di misure di
sicurezza particolari, non permette di essere sicuri dell'integrità del
documento e quindi non ha un valore legale certo come quello di altre firme
elettroniche.
• Firma elettronica avanzata : ha un valore legale certo (tranne che per i
contratti immobiliari) in quanto prevede la firma dei documenti con mezzi che
consentono di dimostrare l'integrità del documento e sui quali il firmatario
conserva un controllo esclusivo (es. un tablet di sua proprietà).
• Firma elettronica qualificata : viene applicata ai documenti tramite mezzi
qualificati (es. i kit di firma digitale)
• Firma digitale : abbina le caratteristiche della firma elettronica avanzata con
l'utilizzo di sistemi di crittografia asimmetrica (quelli in cui si adopera una
coppia di chiavi crittografiche, una pubblica e una privata, per verificare
l'integrità e l'originalità dei documenti)
24

I tipi di Firma Elettronica
La firma elettronica qualificata e la firma elettronica digitale
consentono di verificare con certezza l'identità di chi ha firmato un
documento, costituiscono una garanzia assoluta per l'originalità e
l'integrità del documento e, pertanto, hanno un valore legale certo.
Il certificato CNS (Carta Nazionale dei Servizi), che è incluso in
diversi kit per la firma digitale, permette di autenticarsi sui servizi della
Pubblica Amministrazione. Il certificato CNS può consentire anche la
firma elettronica dei documenti, ma con valore legale variabile: ci sono
alcuni tipi di CNS che supportano al firma elettronica avanzata e altri
tipi che supportano solo la firma elettronica semplice.
25

Differenza tra Firma Autografa ed Elettronica
26
Firma autografa Firma elettronica
Creazione manuale mediante algoritmo di creazione
Apposizione
sul documento: la firma è parte
integrante del documento
fuori dal documento, ad esempio in una
firma elettronica semplice
l'autenticazione attraverso user id o
password o come allegato: in tal caso il
documento firmato è costituito dalla
coppia (documento, firma)
Verifica
confronto con una firma autenticata:
metodo insicuro basato su perizia
calligrafica
uso di valutazioni tecniche (metodo
insicuro) o mediante algoritmo di
verifica pubblicamente noto e
certificazione (metodo sicuro)
Documento copia distinguibile indistinguibile
Validità temporale illimitata limitata
Automazione dei processi non possibile possibile
https://it.wikipedia.org/wiki/Firma_digitale

La diffusione
La seguente tabella (di AgID) riporta il numero di certificati qualificati per la
firma digitale in corso di validità e il numero delle marche temporali emesse nei
periodi di riferimento dichiarati dai certificatori accreditati.
27

Il Kit per la Firma Digitale
Firmare un documento elettronico è un’attività semplice e veloce; per
eseguirla è necessario essere dotati di un Kit per Firma Digitale
composto da:
• dispositivo sicuro di generazione delle firme (smart-card)
• lettore di smart-card
• software di firma e verifica
28

Il Kit per la Firma Digitale
Installato il Kit sul proprio computer, attraverso il software di firma sarà possibile selezionare il
documento elettronico da sottoporre a firma digitale e, previa attivazione di un account, alla
marcatura temporale.
Al momento della firma del documento, il software chiederà l’inserimento del codice di protezione
del dispositivo (PIN) e, se correttamente inserito, procederà con la verifica della firma e con la
creazione del file firmato digitalmente.
29

La verifica della Firma Digitale
In fase di verifica della Firma da parte del destinatario del documento
firmato verrà accertato che:
• il documento non sia stato modificato dopo la Firma;
• il Certificato del sottoscrittore sia garantito da una Autorità di
Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori;
• il Certificato del sottoscrittore non sia scaduto;
• il Certificato del sottoscrittore non sia stato sospeso o revocato.
Se tutte le verifiche daranno esito positivo, il documento sottoscritto
digitalmente potrà essere considerato valido a tutti gli effetti di legge.
30

L’applicazione europea “Digital Signature Service” (DSS) è utilizzabile per
verificare firme digitali basate su certificati emessi da certificatori italiani o
stabiliti in altri Stati membri.
La verifica della firma digitale e la successiva estrazione degli oggetti firmati
può essere effettuata con qualsiasi software in grado di elaborare file firmati in
modo conforme alla Deliberazione CNIPA 21 maggio 2009, n. 45.
L’applicazione “Digital Signature Service” (DSS), liberamente scaricabile , per
poter essere utilizzata deve essere installata su un server web.
Al fine di agevolarne l’utilizzo, l’Ente la rende disponibile sul proprio sito.
Per tutte le informazioni fate riferimento al sito AgID :
http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche/softw
31

Il DSS non è l’unico sistema di verifica. Ecco qui un elenco completo.
32
Fornitore Software
Commissione Europea - Joinup Digital Signature Service
Comped DigitalSign
Postecom Firma OK!gold
Intesi Group PkNet Express
Infocert DIKE
Namirial Firma Certa
Primeur Security Service DSTK
AndXor View2Sign
Mainline MnlSignVerifier
Tali applicazioni sono disponibili gratuitamente per uso personale.
Per maggiori informazioni cliccare qui.

Per chi ha Aruba Key lo può fare dal programma, selezionando Verifica e poi il
file da verificare.
33

Acquisti in rete PA
Se si vuole partecipare ad una gara tramite il portale
https://www.acquistinretepa.it , su tutti i documenti per i quali è richiesta
obbligatoriamente la Firma Digitale, il Sistema verifica una serie di
parametri:
• l'apposizione della firma digitale
• la legittimità dell'Ente Certificatore che ha rilasciato la firma digitale
• la data di scadenza della firma digitale
• la completezza delle informazioni anagrafiche associate alla firma
digitale
• la corrispondenza tra il codice fiscale del Legale Rappresentante
dell'impresa e il codice fiscale presente all’interno del certificato di firma
• la presenza del titolare della firma nelle Liste di Revoca (lista
contenente l'elenco delle firme revocate e non più autorizzate)
34

Agenda
• Introduzione
documenti
35

Come funziona la Firma Digitale
Senza entrare in dettagli tecnici, la firma digitale consiste nella creazione di un file,
definito “busta crittografica”, che racchiude al suo interno il documento originale,
l’evidenza informatica della firma e la chiave per la verifica della stessa, che, a sua volta,
è contenuta nel certificato emesso a nome del sottoscrittore.
L’autenticità del certificato è garantita da un’Autorità di certificazione, in Italia, dai
certificatori accreditati ai sensi dell’articolo 29 del CAD (D.Lgs. n. 82/2005).
36
Gli standard europei prevedono tre tipi di sottoscrizione digitale,
identificati dagli acronimi CAdES, PAdES e XAdES, modalità di
sottoscrizione adottate anche in Italia.

La Firma CAdES
La busta CAdES (Cryptographic Message Syntax Advanced
Electronic Signature) è un file con estensione .p7m, il cui contenuto è
visualizzabile solo attraverso idonei software in grado di “sbustare” il
documento sottoscritto. Tale formato permette di firmare qualsiasi tipo
di file, ma presenta lo svantaggio di non consentire di visualizzare il
documento oggetto della sottoscrizione in modo agevole. Infatti, è
necessario utilizzare un’applicazione specifica.
Il CAdES appartiene alla famiglia di formati di firme digitali AdES,
improntata sugli standard ETSI (European Telecommunications
Standards Institute).
37

Come apporre due o più firme con CAdES - 1
Apporre più di una firma si può ottenere re-imbustando in una nuova busta CAdES la
busta generata dalla sottoscrizione precedente (c.d. controfirma o “firma matrioska”).
Ogni firma afferisce al documento e alle firme precedenti.
38

Come apporre due o più firme con CAdES - 2
Un altro metodo è quello di aggiungere nella busta ulteriori firme, accompagnate dai relativi certificati (c.d. firme congiunte).
Ogni firma afferisce solo al documento.
39

Limiti del formato CAdES
Nel caso di documenti sottoscritti in formato CAdES non è possibile
gestire diverse versioni di uno stesso documento all’interno della
busta crittografica, pertanto, nell’ipotesi in cui si voglia riportare sul
documento delle annotazioni successive alla sottoscrizione (ad
esempio i dati della segnatura di protocollo), sarà necessario esportare
il documento nel formato originario, ossia non firmato, per apportarvi le
annotazioni. Tali modifiche, infatti, sarebbero apportate nell’unica
versione del documento presente all’interno della busta CAdES,
operazione questa che renderebbe le firme invalide.
E’ evidente il limite di questa tipologia di firma. Nell’esempio fatto, si
avrebbero due documenti: uno con la firma digitale del sottoscrittore
del documento, l’altro con la segnatura di protocollo ma privo della
firma digitale del sottoscrittore.
40

Come aprire o visualizzare file firmati CAdES
I file .p7m possono essere aperti e visualizzati con uno dei software
visti prima per la Verifica della Firma Digitale.
Tali software sono gratuiti, di pubblico accesso e rispondono a
requisiti normativi specifici, così come individuati dalla Deliberazione
CNIPA n° 45 del 21/05/2009. Il Titolo VIII del documento è
espressamente dedicato alle applicazioni (software) atte a verificare
la firma digitale.
Una soluzione alternativa che vi evita l’installazione di un programma
sul vostro computer è quella di fruire del servizio online offerto da
Poste Italiane, all’indirizzo web http://postecert.poste.it/verificatore/.
41

La Firma PAdES
La firma digitale in formato PAdES (PDF Advanced Electronic Signature) è
un file con estensione .pdf, leggibile con i comuni reader disponibili per questo
formato.
Questa tipologia di firma, nota come “firma PDF”, prevede diverse modalità
per l’apposizione della firma, a seconda che il documento sia stato predisposto
o meno ad accogliere le firme previste ed eventuali ulteriori informazioni, rende
il documento più facilmente accessibile, ma consente di firmare solo
documenti di tipo PDF.
Il formato PDF consente inoltre di gestire diverse versioni dello stesso
documento senza invalidare le firme digitale apposte.
Il documento può essere predisposto, attraverso la gestione dei “moduli”
(disponibile con la versione professional di Acrobat e di altri prodotti conformi),
alla firma digitale da parte di utenti che dispongono di un prodotto conforme allo
standard PDF (ISO 32000), fra questi Acrobat Reader.
42

Il formato PDF e la firma digitale
In riferimento alla Deliberazione CNIPA n.45/2009, il formato PDF (ISO/IEC 32000) è
stato riconosciuto pienamente valido per la firma digitale ai sensi dell'Art. 21, comma
15. Sono riconosciuti il formato di busta crittografica e di firma sviluppati in conformità
alle specifiche ETSI TS 102 778 (PAdES).
L'add-on per la firma digitale è uno strumento aggiuntivo gratuito per Adobe Acrobat e
Adobe Reader offerto da Adobe Systems Italia. Semplifica la messa a punto delle
funzioni di firma digitale e rende più immediate le operazioni di verifica, nel rispetto dei
requisiti della normativa vigente in Italia e nell’Unione Europea. Installa l'Elenco
Pubblico dei Certificatori Accreditati a DigitPA e permette di mantenerlo aggiornato nel
tempo. Compatibile con Adobe Acrobat e Adobe Reader versioni X, 9 e 8.
Fornisce informazioni sull’algoritmo di hash della firma e sulla conformità al formato
PAdES (ETSI TS 102778).
Qui trovate l'add-on per la firma digitale con Adobe Acrobat e Adobe Reader.
43

Acrobat Add-on
44

File PDF firmati digitalmente
Un File firmato digitalmente in formato .pdf assume
l'estensione "signed.pdf".
In caso di firma multipla evitare il la doppia estensione ".signed".
E' possibile scegliere tra due tipologie di firme:
• Firma PDF Basic (PADES), tradizionale Firma PDF, conforme alla
Normativa Europea, compatibile con tutti i comuni reader disponibili
per questo formato;
• Firma Pades BES, particolare tipo di Firma PDF "avanzata" in linea
con la Normativa Europea, viene riconosciuta correttamente solo
dalla versione 10 del software Adobe.
La modalità di apposizione della Firma è la stessa in entrambi i casi.
45

Firma XML (XAdES)
La Firma XML (XAdES, XML Advanced Electronic Signature) rappresenta
un nuovo standard di firma digitale basato su file XML, e crea un nuovo file in
formato P7M. È applicabile a tutti i tipi di documenti.
Come per i PDF, questo formato non necessita della fase di
imbustamento/sbustamento per poter essere interpretato, ma a questa
caratteristica aggiunge il fatto che è possibile accedere ai “metadati” contenuti
all’interno del documento stesso (informazioni contenute nei tag xml); il formato
xml è infatti il supporto digitate ideale per documenti che consentano l’accesso
alle informazioni contenute da parte di un elaboratore (Machine Readable
From).
Un’altra caratteristica dello XAdES è la possibilità di firmare singole parti del
documento, cosa di particolare importanza nei caso di documenti scritti da più
persone, in cui ognuno deve firmare la sua parte.
46

Documento Firme multiple e campi di testo
L’AgID il 7 Aprile 2014 ha pubblicato il documento "Firme multiple e
campi testo" per chiarire alcuni aspetti generali sui formati di firma
CAdES (file con estensione .p7m) e PAdES (file con estensione .pdf) e
la loro attitudine a ospitare più firme e informazioni disponibili solo
dopo la generazione della firma digitale quali, per esempio, la
segnatura di protocollo prevista dall’articolo 55 del D.P.R. 28 dicembre
2000, n. 445.
http://www.agid.gov.it/sites/default/files/linee_guida/firme_multiple.pdf
47

Le Firme Automatiche
Le procedure automatiche di firma sono disciplinate dall'art. 35 del CAD e dal DPCM 30
marzo 2009, che ne specificano anche alcuni requisiti e impongono la garanzia di
determinati livelli di sicurezza.
Il comma 3 dell’art. 35 del CAD stabilisce, infatti, che la firma con procedura
automatica è valida se apposta previo consenso del titolare all'adozione della
procedura medesima, poiché non si applica la disposizione di cui al secondo periodo
del comma 2 dello stesso articolo, in base alla quale i documenti informatici devono
essere presentati al titolare prima dell’apposizione della firma e occorre
obbligatoriamente richiedere allo stesso la conferma della volontà di generare la firma.
Il nuovo DPCM 22 febbraio 2013, diversamente dalle precedenti regole tecniche, fornisce
una definizione precisa di firma automatica quale «particolare procedura informatica di
firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del
sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in
assenza di presidio puntuale e continuo da parte di questo» (art. 1 lett. r).
48

Le Firme Automatiche
Sempre in tema di firme realizzate con procedure automatiche, le nuove regole tecniche,
ai commi 2 e 3 dell'art. 5, prevedono che la coppia di chiavi utilizzata sia destinata
esclusivamente a tale scopo (con espressa indicazione nel certificato) e sia diversa da
tutte le altre coppie di chiavi in possesso del titolare.
Inoltre, se tale procedura fa uso di un insieme di dispositivi sicuri per la generazione della
firma elettronica qualificata o firma digitale del medesimo soggetto, deve essere utilizzata
una coppia di chiavi diversa per ciascun dispositivo utilizzato dalla procedura automatica.
Con particolare riferimento all’effettivo funzionamento delle firme automatiche, occorre
precisare che queste non vengono realizzate mediante l’utilizzo dei comuni dispositivi
forniti dai certificatori (token usb o smart card), ma si ricorre a strumenti
tecnologicamente più avanzati e in grado di gestire più velocemente una maggiore
quantità di dati.
Al fine di garantire i livelli di sicurezza individuati dall’art. 35 del CAD, solitamente si
ricorre all'utilizzo di sistemi particolarmente sicuri quali gli HSM (Hardware Security
Module - insieme di hardware e software che realizza dispositivi sicuri per la generazione
delle firme in grado di gestire in sicurezza una o più coppie di chiavi crittografiche).
49

La Firma Digitale Remota
La firma digitale remota è una tipologia di firma digitale, accessibile via rete
(Intranet e/o Internet), nel quale la chiave privata del firmatario viene conservata
assieme al certificato di firma, all'interno di un server remoto sicuro (basato su un
HSM - Hardware Security Module) da parte di un certificatore accreditato.
Il firmatario viene identificato dal servizio e autorizza l'apposizione della firma tramite un
meccanismo di sicurezza (il Titolare mantiene in modo esclusivo la conoscenza o la
disponibilità di almeno uno dei dati per la creazione della firma). fra i quali:
• PIN (spesso anche una userid);
• Token OTP;
• Riconoscimento grafometrico della firma autografa;
• Telefono Cellulare (come OTP) seguito da PIN Firma.
La soluzione di firma remota ha il valore aggiunto di essere sotto il controllo del
certificatore che custodisce il dispositivo HSM. Il certificatore quindi sa quando un
determinato soggetto genera una firma digitale (la segretezza dell’oggetto della firma è
comunque garantito). Questo consente di poter realizzare un servizio di particolare
interesse: avere un avviso ogni volta che una firma digitale remota è generata.
Per maggiori informazioni (e l’elenco dei certificatori abilitati) visitate
http://archivio.digitpa.gov.it/firma-elettronica/firma-remota .
50

La Firma Digitale Remota
Il certificatore dovrà sempre essere in grado, dato un certificato qualificato, di individuare
agevolmente il dispositivo afferente la corrispondente chiave privata.
Inoltre, nel caso in cui l'HSM non sia sotto la custodia diretta del certificatore, quest'ultimo dovrà:
a) indicare al soggetto che custodisce il dispositivo le procedure operative, gestionali e le misure
di sicurezza fisica e logica che tale soggetto è obbligato ad applicare;
b) effettuare verifiche periodiche sulla corretta applicazione delle indicazioni di cui alla lettera a),
che il soggetto che custodisce il dispositivo ha l'obbligo di consentire e agevolare;
c) redigere i verbali dell'attività di verifica che potranno essere richiesti in copia dall'Agenzia per
l'Italia Digitale ai fini dell'attività di vigilanza prevista all'art. 31 del CAD;
d) comunicare all'AgID il luogo in cui i medesimi dispositivi sono custoditi;
e) effettuare ulteriori verifiche su richiesta dell'AgID consentendo la partecipazione anche a
incaricati dello stesso ente;
f) assicurare che il soggetto che custodisce il dispositivo si impegni a consentire le verifiche sia
da parte del certificatore che dell'AgID.
Il certificatore, inoltre, nel caso in cui venga a conoscenza dell'inosservanza di quanto previsto
dalle regole tecniche, dovrà procedere alla revoca dei certificati afferenti alle chiavi private
custodite sui dispositivi oggetto dell'inadempienza.
51

La Firma Biometrica e la Firma Grafometrica
Con la locuzione “autenticazione biometrica” si fa riferimento all’identificazione o alla verifica
automatica dell’identità attraverso strumenti di valutazione di caratteristiche fisiche o comportamentali
(Linee Guida CNIPA 2004). Con questa definizione, sin dal 2004, l’ordinamento italiano ha preso in
considerazione l'utilizzo di dati biometrici per la corretta identificazione personale.
Tutti i sistemi biometrici sono caratterizzati da un processo che consiste nel confronto tra dati fisici o
comportamentali propri di un determinato soggetto con un campione degli stessi dati
precedentemente acquisiti: l’intero processo inizia con una fase di registrazione dei dati biometrici per
mezzo di un dispositivo di acquisizione, i quali vengono elaborati per estrapolarne il c.d. template,
ossia una rappresentazione matematica dei dati biometrici stessi.
Questa sequenza di numeri che rappresenta i dati biometrici acquisiti viene poi registrata in un
database o su una smartcard.
In seguito, durante tutti i successivi processi di verifica, vengono nuovamente acquisiti i dati
biometrici e ricavata la relativa stringa numerica, la quale viene confrontata con quella
precedentemente ottenuta in fase di registrazione.
Oltre che per la corretta identificazione, il template così formato può essere utilizzato come “dato per
la creazione della firma” (si veda la Direttiva 1999/93/CE), al fine di soddisfare tutti i requisiti
necessari per una firma elettronica avanzata, cifrando, ad esempio, l’impronta del documento
mediante l’utilizzo dello stesso template biometrico.
52

La Firma Grafometrica
Tra le varie firme che è possibile ottenere utilizzando dati biometrici, particolare
attenzione meritano le firme grafometriche. Tali firme, infatti, realizzate mediante la
memorizzazione dei dati comportamentali dell’utente legati all’apposizione
materiale della firma hanno l'indubbio vantaggio di rendere possibile
un'implementazione elettronica della sottoscrizione di un documento, permettendo
allo stesso utente di firmare nello stesso modo in cui ha sempre fatto sulla carta.
Le firme grafometriche non sono semplici firme acquisite con un tablet !
Questo perché in tale procedimento non viene acquisito alcun dato biometrico.
Per tale motivo, questo tipo di firma può essere facilmente disconosciuta, in quanto
rimane priva degli ulteriori elementi grafometrici tipici della “sottoscrizione su carta” e non
possiede, quindi, elementi concretamente utilizzabili in un processo di verifica: la sua
efficacia giuridica rimane dunque quella prevista dagli artt. 271212 e 271913 del Codice
Civile.
53

Nei sistemi in cui, invece, l’acquisizione di dati dal tablet o dalla tavoletta grafica non si limiti alla mera
immagine della firma, ma riguardi anche i dati grafometrici caratterizzanti il comportamento :
• il ritmo
• velocità di scrittura
• pressione esercitata
• l’angolo d’inclinazione della penna
• l’accelerazione del movimento
• il numero di volte che la penna viene sollevata dalla carta
…
Tale processo di firma grafometrica può essere utilizzato sia come modello di sottoscrizione digitale,
assicurando in questo modo un accesso in remoto al proprio certificato di firma (custodito ad esempio
in un HSM), sia come credenziale forte di autenticazione per garantire un accesso riservato di
transazione.
L’utilizzo della firma grafometrica come modello di sottoscrizione digitale, che consente un accesso in
remoto al relativo certificato, rende però indispensabile la creazione di una banca dati delle firme
biometriche che ne permetta il relativo riscontro, con le conseguenti ripercussioni in tema di privacy
e trattamento dei dati.
54

I dati riguardanti la firma grafometrica, immediatamente dopo la loro acquisizione, vengono
cifrati (mediante l'utilizzo di una Master Key pubblica di un Ente) e fusi con il documento
informatico che si intende sottoscrivere.
Il processo di sottoscrizione, infine, si conclude con la memorizzazione di tutti i dati così
elaborati su di un supporto in grado di preservarne la leggibilità nel tempo.
Qualora fosse necessario procedere alla verifica della firma (ad esempio a seguito di un
disconoscimento della sottoscrizione avvenuto in giudizio) sarà possibile decriptare i dati
biometrici e confrontarli con quelli raccolti in giudizio dal perito grafico incaricato, che
effettuerà le proprie comparazioni secondo regole non dissimili a quelle utilizzate negli
attuali processi di verifica di sottoscrizioni su carta.
55
La chiave necessaria per decifrare
correttamente i dati biometrici dovrà essere
affidata ad una terza parte fidata (ad esempio,
un ente certificatore o un notaio) che sia in
grado di garantirne la corretta custodia.

La Firma Grafometrica in giudizio
Se il cittadino contesta: NON è la mia firma quella !!!
Il software ha una funzione che permette o di comparare l'algoritmo con uno
"SPECIMEN" precedente …O il CTU del Giudice disporrà una prova su Tablet e
l'algoritmo così generato verrà confrontato sempre dal software con quello
della firma contestata…
(per aprire il file serve la chiave privata conservata dal "gestore")
56

Validità Firma Grafometrica
Non è uno strumento "certificato" a priori dallo Stato (come le firme DIGITALI)
Ma: può essere creato, programmato, venduto da chiunque.
Però la validità legale si ha solo se è conforme al DM 22/02/2014 (quindi
attenzione !!!)
57

La Firma digitale Georeferenziata
Infocert, società del gruppo Tecnoinvestimenti, ha realizzato in esclusiva un sistema che permette di
aggiungere la certificazione del luogo in cui il documento digitale è stato firmato oltre agli altri
livelli di sicurezza e certificazione costituiti dalla identità di chi sottoscrive un documento, (grazie alla
Firma Digitale) di quando l’operazione viene compiuta, (grazie alla Marca temporale) e del contenuto
del documento sottoscritto e spedito grazie a Firma Digitale e PEC.
La soluzione si basa su un’app che può essere scaricata e installata dall’utente sul proprio
smartphone o tablet.
I dati relativi al segnale GPS prodotti dalle app più diffuse come ad esempio quelle che vengono
utilizzate per i viaggi non sono in grado di garantire una reale immodificabilità.
A differenza di queste soluzioni InfoCert, è invece in grado di calcolare il corretto riferimento
geografico ed è in grado di inserirlo tra gli attributi della firma in modo da avere una geolocalizzazione
sicura.
Il documento digitale, così firmato e geolocalizzato, garantisce la immodificabilità e leggibilità nel
tempo.
Il dato geografico viene prelevato in modo criptato alla fonte e l’operazione di geolocalizzazione
avviene localmente all'interno del device, senza la necessità di collegamenti internet che potrebbero
alterare la lettura delle coordinate. Inoltre, il dato rilevato viene ulteriormente verificato incrociandolo
con l’angolo di triangolazione delle celle GSM.
58

Alcuni Use Cases di Firma di un documento
1. Firma unica
2. Firma stesso soggetto in più punti del documento (es. clausole vessatorie,
art. Cod.Civ.1341 – condizioni generali di contratto e art. 1342 – contratto
concluso mediante moduli e formulari)
3. Firme abbinate (es. responsabile di un procedimento e diretto superiore,
presidente e segretario)
4. Più firme abbinate (es. accordo firmato da più soggetti)
5. Punto 2 e punto 3 insieme (es. contratto cliente / fornitore)
59

Tribunale di Catanzaro – 30 / 4/ 2012
• Clausole Generali del Contratto : è sufficiente l’espressione di una volontà
(consenso) attraverso la Firma Elettronica
• Clausole Vessatorie : è necessaria la Firma Digitale
60

Procedure Batch di Firma Digitale
Il CAD all’art 24 dice "La firma digitale deve riferirsi in maniera univoca ad un solo
soggetto ed al documento o all’insieme dei documenti cui è apposta o associata".
Molti software presenti sul mercato offrono la possibilità di apporre la firma anche su
insieme (lotti) di file tramite una procedura automatica.
Alcuni software chiedono di assegnare un nome al lotto di file che si presta a firmare, e i
vari file avranno anche data e ora .
61

Modalità di firma con Aruba Key
62
https://guide.pec.it/soluzioni-firma-digitale/firma-digitale/aruba-key/aruba-key-windows/modalita-firma-documenti-con-aruba-key-pc.aspx

63

Agenda
• Introduzione
documenti
64

Il formato PDF/A
Il PDF/A è uno standard ISO per l uso del formato PDF perʼ
l archiviazione a lungo termine dei documenti elettroniciʼ .
È stato pubblicato il 1/10/2005 come “ISO 19005-1: Document
management - Electronic document file format for long-term
preservation - Part 1: Use of PDF 1.4 (PDF/A-1).” [“ISO 19005-1:
Gestione del documento - formato di file per la conservazione a lungo
termine del documento elettronico - parte 1: uso del PDF 1.4 (PDF/A-
1)”].
Un file PDF/A contiene tutto ciò che serve per riprodurlo e non contiene
nulla che potrebbe comprometterne o alterarne la riproduzione.
65

Il formato PDF/A
Lo standard PDF/A è il risultato di più di 3 anni di lavoro congiunto di un
comitato di rappresentanti di aziende e membri di diverse associazioni
da tutto il mondo.
L ISO 19005-1 definisce “un formato di file basato sul PDF, conosciutoʼ
come PDF/A, che fornisce/prevede un meccanismo per
rappresentare i documenti elettronici in modo da preservare il loro
aspetto visivo nel tempo, indipendentemente dagli strumenti e
sistemi utilizzati per creare, immagazzinare o tradurre i file.”
Lo standard non stabilisce né una strategia di archiviazione, né gli
obiettivi di un sistema di archiviazione. Identifica un “profilo” per i
documenti elettronici che assicura che questi possano essere riprodotti
negli anni a venire.
66

Il formato PDF/A
Esistono due diverse versioni di PDF/A-1:
• ISO 19005-1 Il livello di conformità B (PDF/ A-1b) garantisce la riproduzione affidabile
dell'aspetto visivo del documento nel lungo periodo. PDF/A-1b fa sì che il documento
conservi lo stesso aspetto anche quando verrà visualizzato o stampato in futuro.
• ISO 19005-1 Il livello di conformità A (PDF/ A-1a) si basa sul livello B, ma prevede delle
importanti funzionalità per i "Tagged PDF" : per mantenere la struttura logica e l'ordine
naturale di lettura del documento sono necessarie delle informazioni sulla struttura e una
semantica affidabile del testo. In altre parole, PDF/A-1a non preserva soltanto l'aspetto del
PDF nel lungo termine, ma interpreta anche il suo contenuto (semantica) rendendolo
accessibile a tutti gli utenti.
Il Comune di Genova e la Città Metropolitana accettano il formato PDF/A-1a come
«preferito» ad esempio per la redazione degli elaborati strutturali in formato digitale, o in
qualunque altra procedura che richieda di allegare documenti.
67

Il formato PDF/A
PDF/A richiede delle determinate funzionalità PDF e ne proibisce delle
altre. Ad esempio, per assicurare una riproduzione precisa del testo,
tutti i font utilizzati nel testo devono essere incorporati (embedded); per
poter garantire la corretta riproduzione dei colori è necessario che tutti i
colori vengano specificati in un formato indipendente dal sistema. I
metadati devono essere integrati in formato XMP; la crittografia non
deve essere utilizzata.
E attualmente in sviluppo l ISO 19005-1 Part-2 (PDF/ A-2) presso ilʼ ʼ
Comitato Tecnico. PDF/A includerà le nuove caratteristiche introdotte
dalle versioni 1.5,1.6 e 1.7 dello standard PDF e sarà retro-compatibile.
68

Codice dell’Amministrazione Digitale
Il Codice dell Amministrazione Digitale, che traccia il quadro legislativo generale entro cui può e deveʼ
attuarsi la digitalizzazione dell azione amministrativa italiana prevede che:ʼ
• art. 42: “le pubbliche amministrazioni valutano in termini di rapporto tra costi e benefici il recupero su
supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la
conservazione e provvedono predisposizione dei conseguenti piani di sostituzione degli archivi
cartacei con archivi informatici, nel rispetto delle regole tecniche adottate ai sensi dell'articolo 71”
• art. 44: “Il sistema di conservazione dei documenti informatici garantisce:
●
l identificazione certa del soggetto che ha formato il documento eʼ
dell amministrazione o dell area organizzativa omogenea diʼ ʼ
riferimento di cui all articolo 50, comma 4, del decreto del Presidenteʼ
della Repubblica 28 dicembre 2000, n. 445;
●
l integrità del documento;ʼ
●
la leggibilità e l agevole reperibilità dei documenti e delle informazioniʼ
identificative, inclusi i dati di registrazione e di classificazione originari;
●
il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del
decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico
pubblicato in allegato B a tale decreto.”
69

Aree di applicazione del PDF/A
• Posta in Arrivo : Email e allegati devono essere convertiti per archiviazione. Un'infrastruttura
uniforme può essere realizzata al meglio utilizzando il PDF/A.
• Posta in Uscita : Anche questa deve essere archiviata. Ad oggi sono disponibili sul mercato
numerosi convertitori di flussi di stampa che supportano il formato PDF/A.
• Disegno Tecnico (CAD) : I disegni tecnici spesso necessitano di un software proprietario per essere
visualizzati. La conversione a PDF/A permette di visualizzare i disegni con un software standard e
fornisce la sicurezza che i disegni possano essere visualizzati e stampati anche dopo molti anni.
PDF/X e PDF/A sono perfettamente compatibili.
• Lavoro scientifico : Alcune università richiedono le tesi in formato PDF/A.
• Migrazione dell archivio :ʼ TIFF-G4, che è una variante in bianco e nero del TIFF, non è affidabile
per l archiviazione in quanto i documenti scansiti vengono gestiti come immagini e digitalizzati pixelʼ
per pixel: l'aspetto visivo del file viene mantenuto, in quanto font ed elementi grafici sono inclusi
come immagini, ma la dimensione del file è spesso ingestibile. I testi poi se acquisiti senza OCR
(riconoscimento dei caratteri) non sono ricercabili e quindi inefficaci per l'archiviazione e la
consultazione semantica. Inoltre, le disposizioni di legge attuali stanno formulando nuovi requisiti per
i documenti archiviati. Molte aziende hanno già iniziato la migrazione dei loro archivi eterogenei
nell'unico formato PDF/A.
70

Creazione di file PDF/A
La creazione di un file PDF/A può essere effettuata con:
• PDFCreator (da qualsiasi programma)
• Microsoft Office (ver. 2007 o successive)
• LibreOffice
• OpenOffice
71

Come faccio a sapere se un PDF è un PDF/A
Basta aprirlo con Acrobat Reader ed in alto comparirà l’avviso.
72

La firma digitale e file PDF/A
Il file in formato PDF supporta firme interne (embedded).
Lo standard PDF/A consente l'utilizzo della firma digitale con un
numero minimo di requisiti.
I documenti in formato PDF/A possono essere quindi firmati in modo
affidabile conservando al contempo la compatibilità con lo
standard e tutti i vantaggi offerti dalla firma digitale. Questo
supporto è inoltre estendibile alle nuove tecnologie nel campo delle
firme che saranno introdotte in futuro.
73

Agenda
• Introduzione
documenti
74

Un po’ di storia
La prima normativa a livello europeo sulle firme elettroniche fu emanata con la Direttiva 1999/93/CE,
attraverso la quale furono introdotti i concetti di firma elettronica c.d. semplice e firma elettronica
avanzata.
Purtroppo, tale definizione di firma elettronica avanzata, così come contemplata dal Legislatore
europeo, mal si combinava alla nostra firma digitale, già definita nel D.P.R. n. 513/1997.
Perciò, dopo un primo formale recepimento della Direttiva (con il D. Lgs. n° 10/2002) nei termini in
cui era stata emanata, nel 2003 in Italia sono stati disciplinati due ulteriori tipi di firma elettronica
rispetto a quelli indicati dalle norme comunitarie, ossia quella qualificata e nuovamente quella digitale
(D.P.R. n.
137/2003).
Nel 2005, con l'approvazione del Codice dell'Amministrazione digitale (D.lgs. n. 82/2005), il
legislatore italiano ha inteso nuovamente ribadire la particolare valenza della firma digitale, a scapito
delle firme elettroniche avanzate e diversamente da quanto disposto dalla citata direttiva comunitaria.
In tal modo, dalle 4 tipologie di firma elettronica del 2003 si è passati alle 3 della normativa del
2005, perdendo, però, proprio la nozione di firma elettronica avanzata menzionata nella Direttiva
europea dell'ormai lontano 1999.
All’estromissione della firma elettronica avanzata dall’ordinamento italiano si è assistito fino al 2010
(D.lgs. n. 235/2010), quando il nostro Legislatore da un lato ha riconosciuto l'avanzamento
tecnologico in quello specifico settore e, dall'altro, ha inteso uniformarsi a quanto dettato dalle norme
comunitarie in tema di firme elettroniche.
75

Codice dell’ Amministrazione Digitale
Il Codice dell’ Amministrazione Digitale è il Decreto Legislativo 7
marzo 2005, n. 82, che ha subito nel corso del tempo varie modifiche
(da ultimo a opera del d.l. 18 ottobre 2012 n. 179 nel testo integrato
dalla legge di conversione 17 dicembre 2012 n. 221).
All’interno del
Capo II - Documento informatico e firme elettroniche; Trasferimenti, libri e scr
è presente la Sezione II - Firme elettroniche e certificatori , all’interno
del quale è presente l’ Art. 24. - Firma digitale .
76

L’ Articolo 24
1. La firma digitale deve riferirsi in maniera univoca ad un solo
soggetto ed al documento o all'insieme di documenti cui è apposta
o associata.
2. L'apposizione di firma digitale integra e sostituisce l'apposizione
di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi
genere ad ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un
certificato qualificato che, al momento della sottoscrizione, non
risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le
regole tecniche stabilite ai sensi dell'articolo 71, la validità del
certificato stesso, nonché gli elementi identificativi del titolare e del
certificatore e gli eventuali limiti d'uso.
77

Il paradosso
Con le modifiche al CAD intervenute con il D.lgs. n. 235/2010 si è giunti al punto di
parificare formalmente la firma elettronica avanzata a quella digitale, poiché
entrambe risultano avere lo stesso valore giuridico e probatorio, ovvero quello previsto
per le scritture private dal nostro codice civile, senza dare al contempo opportuno risalto
ai differenti livelli di garanzia sulla provenienza e l’integrità offerti dai due sistemi di firma.
Alla firma digitale sono comunque riconosciute superiori caratteristiche di sicurezza e
per questo, in alcuni casi, è richiesta obbligatoriamente per fornire maggiori garanzie.
La regolamentazione vera delle firme elettroniche avanzate è arrivata con la
pubblicazione in Gazzetta Ufficiale, Serie Generale n.117 del 21-5-2013, del DPCM 22
febbraio 2013 recante Regole tecniche in materia di generazione, apposizione e
verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli
20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36,
comma 2, e 71.
78

Validità legale
In base a quanto stabilito dall’art. 15 della legge 59/97, per il quale
“gli atti, dati e documenti formati dalla Pubblica amministrazione e dai
privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme, nonché la loro archiviazione e trasmissione con
strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”.
Inoltre, l’attuale Codice delle Amministrazioni digitali stabilisce che :
“Il documento informatico, sottoscritto con firma digitale o con un
altro tipo di firma elettronica qualificata, ha l'efficacia prevista
dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si
presume riconducibile al titolare, salvo che questi dia prova
contraria.”
79

A livello giuridico
Sotto il profilo probatorio è stata ribadita dal dlg. 82/2005 nel testo vigente la potenziale
idoneità del documento informatico, anche non sottoscritto, a integrare la forma
scritta: "L'idoneità del documento informatico a soddisfare il requisito della forma scritta
e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità, fermo restando
quanto disposto dall'articolo 21" (comma 1 bis art. 20).
Inoltre il documento informatico, cui è apposta una firma elettronica, sul piano probatorio
è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di
qualità, sicurezza, integrità e immodificabilità (comma 1 art. 21).
L'efficacia automatica di scrittura privata e la presunzione semplice che il dispositivo di
firma sia riconducibile al titolare, in precedenza appannaggio della sola firma elettronica
qualificata, sono attribuite anche alla firma elettronica avanzata: "Il documento
informatico sottoscritto con firma elettronica avanzata, qualificata o digitale,
formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano
l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia
prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si
presume riconducibile al titolare, salvo che questi dia prova contraria" (comma 2 art. 21).
80

A livello giuridico
Contrariamente al passato è stata riservata alla sola firma elettronica qualificata la
possibilità di sottoscrizione dei seguenti atti:
• contratti che, in relazione a beni immobili, ne trasferiscano la proprietà, costituiscano,
modifichino o trasferiscano l'usufrutto, il diritto di superficie, il diritto del concedente o
dell'enfiteuta, la comunione su tali diritti, le servitù prediali, il diritto di uso, il diritto di
abitazione, atti di rinuncia dei diritti precedenti
• contratti di affrancazione del fondo enfiteutico
• contratti di anticresi
• contratti di locazione per una durata superiore a nove anni
• contratti di società o di assicurazione con i quali si conferisce il godimento di beni
immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un
tempo determinato;
• gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle
rendite di Stato;
• gli atti di divisione di beni immobili e di altri diritti reali immobiliari;
• le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra.
81

A livello giuridico
Il nuovo comma 2 bis dell'art. 21 infatti prevede che "Salvo quanto previsto dall'articolo
25, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del
codice civile, se fatte con documento informatico, sono sottoscritte, a pena di
nullità, con firma elettronica qualificata o con firma digitale".
Inoltre lo stesso comma prevede che "Gli atti di cui all'articolo 1350, numero 13, del
codice civile soddisfano comunque il requisito della forma scritta se sottoscritti
con firma elettronica avanzata, qualificata o digitale".
82

Le ultime modifiche legislative
Le modifiche apportate al CAD dal d.lgs. 30 dicembre 2010, n. 235, prevedono l'emanazione di nuove regole
tecniche che regolano la materia firma digitale, firma elettronica qualificata e firma elettronica avanzata. Il 14
maggio 2012 si è ultimata la procedura di notifica alla Commissione Europea e agli altri Stati Membri. L'iter
previsto per la loro emanazione, a cura dell'Ufficio Legislativo del Ministro proponente, è quindi ripreso.
La Determinazione Commissariale 28 luglio 2010, che modifica la Deliberazione CNIPA n. 45/2009 -
Testo consolidato, introduce nuovi e più robusti algoritmi crittografici di firma digitale e nuovi formati di firma. In
particolare, è interessante notare che i nuovi formati di firma rientrano nel novero dei formati che tutti gli Stati
membri dell’Unione Europea si accingono ad introdurre. Questo è uno dei passi necessari per giungere al
riconoscimento dei documenti sottoscritti con firma digitale a livello europeo e, conseguentemente, al libero
scambio di documenti informatici giuridicamente rilevanti.
Le modifiche di interesse generale sono:
• I certificatori rendono disponibili nuove applicazioni che implementano i nuovi formati di firma digitale
(con anche il più robusto algoritmo SHA-256);
• L'utente che, nonostante la disponibilità delle nuove applicazioni, non abbia proceduto all'aggiornamento
continuerà a generare firme conformi alle precedenti regole tecniche. La Determinazione sancisce la
conformità alle regole tecniche di dette firme se generate entro il 30 giugno 2011.
83

Riconoscimento Europeo
Da qualche tempo, nei rapporti di verifica delle firme PAdES, eseguita con Acrobat DC, appaiono due
diverse tipologie di messaggi:
- “Firma elettronica qualificata conforme alla direttiva europea 1999/93/C”;
- “Firma elettronica qualificata conforme al Regolamento europeo 910/2014”.
Ciò accade anche per le firme apposte successivamente al 1° luglio 2016, data in cui la direttiva
europea 1999/93 è stata abrogata per mano proprio del Regolamento 910/2014.
Che cosa vuol dire tutto ciò?
Se la firma è apposta successivamente all’abrogazione della direttiva 1999/93, essa è valida
ancora come firma digitale?
In realtà, con l’entrata in vigore del Regolamento eIDAS, dallo scorso 1° luglio 2016 sono intervenute
rilevanti modifiche che riguardano la disciplina, anche tecnica, delle firme elettroniche.
84
https://www.agendadigitale.eu/documenti/firme-digitali-ecco-cosa-cambia-con-eidas/

Riconoscimento Europeo - eIDAS
Il Regolamento eIDAS (electronic IDentification Authentication and Signature) -
Regolamento (UE) n. 910/2014 - ha sancito il mutuo riconoscimento delle firme digitali
europee.
Il Regolamento all’ articolo 25, comma 3, sancisce che:
"Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno
Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati
membri".
A decorrere dal 1° luglio 2016 con la piena efficacia del Regolamento eIDAS (n. 910/2014)
diviene obbligatorio per tutte le pubbliche amministrazioni che accettano firme digitali (o
qualificate) accettare tutti i formati definiti nella Decisione di esecuzione (UE) 2015/1506
della Commissione dell'8 settembre 2015, fra quelli previsti, anche il formato PDF.
Per maggiori informazioni
http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/il-regolamento-ue-ndeg-9102014-eidas
85

La prima grande differenza tra l’attuale Codice dell’Amministrazione Digitale e il Regolamento
eIDAS è che in quest’ultimo sono disciplinate solamente tre delle tipologie di firma elettronica
individuate dal CAD (firma elettronica, avanzata e qualificata) insieme a tre sigilli elettronici (ripartiti
allo stesso modo).
La firma digitale resta dunque una peculiarità della normativa italiana.
La firma elettronica qualificata, definita come una "una firma elettronica avanzata creata da un
dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato
per firme elettroniche", corrisponde circa alla firma digitale italiana. Il certificato qualificato dovrà
essere rilasciato da un prestatore di servizi fiduciari qualificati (firma digitale) presente nella lista di
fiducia pubblicata dallo Stato membro in cui è stabilito.
Parzialmente diverso è anche il modo in cui la firma elettronica viene definita nel Regolamento
europeo. Questa viene infatti descritta come “dati in forma elettronica, acclusi oppure connessi
tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. Se nel CAD
viene messa in risalto la funzione identificativa della firma (individuare e distinguere il soggetto cui
la firma appartiene), qui a risaltare è invece la sua funzione dichiarativa: la firma elettronica è usata
dal firmatario “per firmare” e quindi per esprimere la propria adesione al contenuto del documento
informatico firmato.
86

Un’ultima novità rispetto al panorama normativo italiano è data dai sigilli
elettronici (elettronico, avanzato e qualificato), definiti dal Regolamento eIDAS come:
“dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati
in forma elettronica per garantire l’origine e l’integrità di questi ultimi”.
Il certificato qualificato di sigillo elettronico dovrà possedere gli stessi requisiti del
certificato di firma elettronica qualificata, ma anziché ad una persona fisica sarà riferito
ad una persona giuridica.
Possiamo quindi pensare al sigillo elettronico come a un timbro virtuale utile ad
assicurare l’integrità e la correttezza dell’origine dei dati del documento informatico su
cui è apposto.
87

L’efficacia giuridica delle firme elettroniche
http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/il-regolamento-ue-ndeg-9102014-eidas/firma-digi
88
Firma elettronica
Firma elettronica avanzata,
qualificata o digitale
CAD
Il documento informatico, cui è apposta
una firma elettronica, sul piano probatorio è
liberamente valutabile in giudizio, tenuto
conto delle sue caratteristiche oggettive di
qualità, sicurezza, integrità e
immodificabilità (art.21)
Garantisce l’identità dell’autore, l’integrità e
l’immodificabilità del documento, ha
l’efficacia prevista dall’art. 2702 del codice
civile. L’utilizzo del dispositivo di firma
qualificata o digitale si presume riconducibile
al titolare, salvo che questi dia prova
contraria. (art.21)
eIDAS
Non sono negati effetti giuridici per via
della sua forma elettronica. Spetta al diritto
nazionale dei singoli Paesi europei definire
gli effetti giuridici delle firme elettroniche
(art. 25)
Ha un effetto giuridico equivalente a quello di
una firma autografa.
Una firma elettronica qualificata basata su un
certificato qualificato rilasciato in uno Stato
membro è riconosciuta quale firma
elettronica qualificata in tutti gli altri Stati
membri (mutuo riconoscimento).

Tutto il quadro giuridico
1. L. 15 marzo 1997, n. 59 ( Bassanini )
2. D.P.R. n. 513/1997 – Regolamento recante criteri e modalità per la formazione, l’archiviazione e la
trasmissione di documenti con strumenti informatici e telematici a norma
dell’art. 15 comma 2, della L. 15 marzo 1997, n. 59
3. D.P.C.M 8 febbraio 1999 – Regole tecniche per la formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi
dell’art. 3, comma 1, del D.P.R. 10 Novembre 1997, n. 513.
4. Circ. AIPA 19 giugno 2000 n. CR/24 – Linee guida per l’interoperabilità tra i certificatori iscritti
nell’elenco pubblico di cui all’art. 8, comma 3, del D.P.R. n. 513/1997
5. D.P.R. 28 dicembre 2000, n. 445 – Testo Unico delle disposizioni legislative e regolamentari in
materia di documentazione amministrativa
6. Direttiva n. 93/1999/CE relativa ad un quadro comunitario per le firme elettroniche
7. D.L.vo 23 gennaio 2002 n. 10 – Attuazione della direttiva 1999/93/CE relativa ad un quadro
comunitario per le firme elettroniche
8. D.P.R. 7 aprile 2003, n. 137 – Regolamento recante disposizioni di coordinamento in materia di
firme elettroniche a norma dell’art. 13 del D.L.vo n. 10/2002
89

9. Decisione Commissione CE 14 luglio 2003.
– a. CWA 14167-1 (March 2003): security requirements for trustworthy system
managing certificates for electronic signatures -- Part 1: System Security
Requirements
– b. CWA 14167-2 (March 2002): security requirements for trustworthy system managing
certificates for electronic signatures -- Part 2: cryptographic module for CSP signing
operations –Protection Profile (MCSO-PP)
– c. CWA 14169 (March 2002): secure signature-creation devices.
10. D.P.C.M. 30 ottobre 2003 – Approvazione dello schema nazionale per la valutazione e la certificazione
della sicurezza nel settore della tecnologia dell’informazione, ai sensi
dell’art. n. 10, comma 1, del D.L.vo n. 10/2002
11. D.P.C.M. 13 gennaio 2004 – Regole tecniche per la formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche
temporale, dei documenti informatici
12. D.P.C.M 2 luglio 2004 – Competenza di materia di certificatori di firma elettronica
13. Deliberazione 4/2005, 17 febbraio 2005 – regole per il riconoscimento e la verifica del documento
informatico. (G.U. 3 marzo 2005, n. 51)
14. Decreto legislativo del 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale
90

15. Circolare CNIPA/CR/48, 6 settembre 2005 – Modalità per presentare la domanda di iscrizione
nell’elenco pubblico dei certificatori di cui all’art. 28, comma 1, del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445 (G.U. 13 settembre 2005, n. 213)
16. Deliberazione CNIPA 25/2005, 15 settembre 2005 – Istituzione dell’elenco dei valutatori di cui
all’articolo 3, comma 1, del decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e
definizione delle modalità tecniche per la tenuta. (G.U. 21 settembre 2005, n. 220)
17. Deliberazione 3 novembre 2005 – Rettifica alla deliberazione 15 settembre 2005, recante:
Istituzione dell’elenco dei valutatori di cui all’articolo 3, comma 1, del
decreto del Presidente della Repubblica 1° marzo 2005, n. 75, e definizione delle modalità tecniche
per la tenuta. (G.U. 11 novembre 2005, n. 263)
18. DL testo coordinato 179/2012 convertito con L 221/2012 – Decreto Crescita 2.0
19. Regole tecniche FIRME ELETTRONICHE D.P.C.M. 22.02.2013 in G.U. 21.05.2013
19. Decreto Legislativo 26 agosto 2016, n. 179 - Modifiche ed integrazioni al Codice
dell‘amministrazione digitale – in particolare art. 24
20) Regole tecniche Conservazione sostitutiva (al posto della Del. CNIPA 11/04)
21) Regole tecniche Protocollo Informatico (al posto del DPCM 31/10/ 2000)
91

Le ultimissime novità
L’8 Settembre 2017 è uscito lo Schema di decreto legislativo recante disposizioni
integrative e correttive al decreto legislativo 26 agosto 2016, n. 179, recante “Modifiche e
integrazioni al Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo
2005, n 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di
riorganizzazione delle amministrazioni pubbliche”.
Il testo uscito dal Consiglio dei Ministri, con il Correttivo lo potete trovare qui in anteprima.
https://www.agendadigitale.eu/documenti/il-testo-del-nuovo-cad-versione-sei-dopo-il-correttivo/
Il comunicato stampa del governo è disponibile qui:
http://www.governo.it/articolo/comunicato-stampa-del-consiglio-dei-ministri-n-43/8047
L’iter è disponibile qui:
http://www.infoparlamento.it/atti-governo/atto-n-452-modifiche-integrazioni-al-codice-dellamminis
92

Le ultimissime novità
In particolare l’art. 18 modifica l’articolo 20 del decreto legislativo 7 marzo 2005, n. 82 in
questo modo:
"Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia
prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale,
altro tipo di firma elettronica qualificata o una firma elettronica avanzata o,
comunque, è formato, previa identificazione del suo autore, attraverso un processo
avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la
sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e
inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento
informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche di qualità, sicurezza,
integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono
opponibili ai terzi se apposte in conformità alle linee guida di cui all’articolo 71.”.
93

SPID
Sempre nel nuovo schema legislativo viene introdotto un nuovo processo di firma, quello realizzato
“previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai
sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del
documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.
Si rinvia alle regole tecniche, ma si intuisce che il legislatore vuole valorizzare SPID, che appunto è
un sistema di identificazione.
In generale, lo schema di decreto attribuisce un ruolo di primo piano a SPID, come è confermato nel
nuovo art. 64 che dispone: “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che
richiedono identificazione informatica avviene tramite SPID” . E ancora, nel novellato art. 65 si
dispone che istanze e dichiarazioni possono essere trasmesse alla pubblica amministrazione in una
delle forme di cui all’art. 20, dunque anche con il nuovo processo di firma elettronica avanzata che
prevede l’utilizzo di SPID.
I documenti che verranno così formati avranno direttamente e l’efficacia probatoria della scrittura
privata, senza spazio per la valutazione del giudice.
Al giudice, invece, come accade oggi, è rimessa la valutazione sul documento informatico con firma
elettronica semplice o senza firma elettronica: questi deve valutare l’idoneità del documento
informatico a soddisfare il requisito della forma scritta e il suo valore probatorio, in relazione alle
caratteristiche di qualità, sicurezza, integrità e immodificabilità. È il caso, per esempio, dell’email
prodotta in giudizio.
94
https://www.agendadigitale.eu/documenti/nuovo-cad-che-cambia-per-le-firme-e-il-domicilio-digitale/

Domicilio digitale
Il nuovo schema legislativo modifica la definizione di “domicilio digitale” che diviene: “un indirizzo
elettronico, eletto in conformità a quanto previsto dal presente Codice, valido ai fini delle
comunicazioni elettroniche aventi valore legale”. Può trattarsi di un indirizzo PEC, ma non soltanto,
dal momento che “le persone fisiche possono altresì eleggere il domicilio digitale avvalendosi del
servizio di cui all’articolo 64-bis”.
Il domicilio digitale è obbligatorio per i soggetti di cui all’articolo 2, comma 2, i professionisti
tenuti all’iscrizione in albi ed elenchi e i soggetti tenuti all’iscrizione nel registro delle imprese. Il
nuovo art. 2, comma 2, annovera:
- le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n.
165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le
autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e
regolazione;
- i gestori di servizi pubblici in relazione ai servizi di pubblico interesse;
- le società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse
le società quotate, nonché le società da esse partecipate, salvo che queste ultime siano, non per il
tramite di società quotate, controllate o partecipate da amministrazioni pubbliche.
95
https://www.agendadigitale.eu/documenti/nuovo-cad-che-cambia-per-le-firme-e-il-domicilio-digitale/

Domicilio digitale
Le comunicazioni trasmesse al domicilio digitale producono gli stessi effetti delle
raccomandate con ricevuta di ritorno e delle notifiche.
Le comunicazioni si intendono spedite se inviate al proprio gestore e consegnate se rese
disponibili al domicilio digitale del destinatario, salva la prova cha la mancata consegna
sia dovuta a fatto non imputabile al destinatario.
Sarà il destinatario a dovere provare di non avere ricevuto a causa, per esempio, di
malfunzionamento del sistema.
96

Agenda
• Introduzione
documenti
97

La Marca Temporale
La marca temporale è il risultato di una procedura informatica – detta servizio di
marcatura temporale – grazie alla quale si attribuisce a un documento
informatico un riferimento temporale opponibile a terzi (la data sul documento
può essere dimostrata anche a terze parti e non è valida soltanto per le parti
contraenti).
Il servizio di marcatura temporale si basa sull’uso delle funzioni di hashing.
L’hash è una sorta di impronta digitale che consente di identificare univocamente
il documento.
Nel caso di documenti su cui sia stata apposta una firma digitale, la presenza di
una marca temporale consente di attestare che il documento aveva quella
specifica forma in quel preciso momento temporale, pertanto, se anche il
certificato qualificato scadesse o fosse revocato dal titolare, si potrebbe sempre
dimostrare che la firma digitale è stata apposta durante il periodo di validità dello
stesso.
98

La Marca Temporale
Il servizio di Marcatura Temporale può essere utilizzato anche su file non firmati
digitalmente, garantendone una collocazione temporale certa e legalmente valida.
99
Sui documenti informatici sui quali è stata apposta una Firma Digitale, la Marca Temporale
attesta il preciso momento in cui il documento è stato creato, trasmesso o archiviato.
Apporre una Marca Temporale ad un documento firmato digitalmente pertanto fa sì che la
Firma Digitale risulti sempre e comunque valida anche nel caso in cui il relativo Certificato
risulti scaduto, sospeso o revocato, purché la Marca sia stata apposta in un momento
precedente alla scadenza, revoca o sospensione del Certificato di Firma stessa.
Come sancito dall'articolo 49 del Dpcm del 30/03/2009, le Marche Temporali emesse
devono essere conservate in appositi archivi per un periodo non inferiore a 20 anni.
L'apposizione di una Marca Temporale a un documento firmato digitalmente, quindi, ne
garantisce la validità nel tempo.

La Marca Temporale
La validità temporale di un documento informatico firmato digitalmente,
è pari alla validità temporale del certificato utilizzato dal sottoscrittore.
Molti documenti informatici, tuttavia, hanno una validità temporale che
si protrae oltre la scadenza del certificato di sottoscrizione.
Per attribuire a questi documenti una ulteriore validità temporale si
utilizza la marca temporale, la quale consente di rendere opponibile a
terzi il riferimento temporale associato al documento.
Per informazioni sul servizio di Marca Temporale di Aruba vedere
https://www.pec.it/acquista-marche-temporali.aspx .
100

Vantaggi
101

Le marche temporali verso eIDAS
L’ eIDAS (electronic IDentification Authentication and Signature) all’interno del Regolamento UE n° 910/2014
sull’identità digitale introduce due definizioni per le marche temporali:
• validazione temporale elettronica : dati in forma elettronica che collegano altri dati in forma elettronica a
una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;
• validazione temporale elettronica qualificata : una validazione temporale elettronica che soddisfa i
requisiti di cui all’articolo 42 del Regolamento eIDAS
La validazione temporale elettronica dà luogo a una presunzione legale relativa alla certezza della data e
dell’ora.
La marcatura temporale è normata dagli articoli 41 e 42 del Regolamento eIDAS.
Alla data del 1 luglio 2016, in assenza del Conformity Assessment Report (Art. 21.1 del Regolamento) da
inviare all’organismo di vigilanza (AgID), i servizi attuali di marcatura temporale non potranno essere ritenuti
servizi qualificati in ambito del Regolamento 910/2014 - eIDAS.
Stante le norme in vigore al mese di aprile 2016, le marche temporali continueranno ad avere il valore e gli
effetti previsti dalla normativa nazionale ma solo in tale ambito.
http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/il-regolamento-ue-ndeg-9102014-eidas/marca-temporal
102

Agenda
• Introduzione
documenti
103

La conservazione digitale dei documenti
Affinché il documento informatico mantenga nel tempo il medesimo valore probatorio, è
indispensabile un corretto processo di conservazione digitale.
In tal senso, il comma 2 dell’art. 3 della Bozza di Regole tecniche per il documento
informatico, dispone infatti espressamente che “il documento informatico assume la
caratteristica di immodificabilità se formato in modo che forma e contenuto non
siano alterabili durante le fasi di tenuta e accesso e ne sia garantita la staticità
nella fase di conservazione”.
In particolare, al successivo comma 4 dello stesso articolo, si elencano le operazioni
idonee a garantire le caratteristiche di immodificabilità e di integrità nel caso in cui i
documenti informatici siano formati tramite l’apposito utilizzo di strumenti software.
104

Le operazioni in particolare sono:
a) la sottoscrizione con firma digitale ovvero con firma elettronica qualificata;
b) l’apposizione di una validazione temporale;
c) il trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa;
d) la memorizzazione su sistemi di gestione documentale che adottino politiche di sicurezza;
e) il riversamento in un sistema di conservazione.
Per quanto concerne la correttezza dei processi di conservazione dei documenti informatici, il
Codice dell’Amministrazione Digitale stabilisce che tutti i documenti, che per legge o
regolamento devono essere conservati, possono essere riprodotti e conservati su
supporto informatico e sono validi a tutti gli effetti di legge.
La loro riproduzione e relativa conservazione, infatti, devono essere effettuate in modo da
garantire la conformità dei documenti agli originali e la loro conservazione nel tempo.
Inoltre, qualora i documenti siano prodotti originariamente in modalità informatica, è
obbligatorio che la loro conservazione permanente avvenga con modalità digitali (art.
43, comma 3, CAD).
105

Ovviamente, occorrerà sviluppare un processo che rispetti gli attuali parametri tecnici
fissati dal DPCM 3 dicembre 2013.
In base a tali norme, infatti, la conservazione digitale dei documenti informatici, a
prescindere dalla loro natura di documenti nativamente informatici o di documenti
analogici digitalizzati, deve avvenire mediante il loro versamento in un sistema di
conservazione e la predisposizione e la successiva gestione di un pacchetto di
archiviazione sottoscritto con firma digitale del responsabile della conservazione.
Il Responsabile della conservazione digitale deve, inoltre, garantire la tracciabilità di
tutte le operazioni effettuate durante l’intero processo; la tracciabilità consente, infatti, di
facilitare le operazioni di controllo e verifica effettuate dagli organi preposti e di mappare
più facilmente l’iter che il documento ha percorso, permettendo, altresì, di risalire ai vari
soggetti che si sono interfacciati al sistema informatico dell’azienda.
106

Requisiti minimi per la conservazione
Nello specifico, all’art. 44 del CAD sono elencati i requisiti minimi necessari per la
conservazione dei documenti informatici, ossia:
a) l’identificazione certa del soggetto che ha formato il documento e
dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo
50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) l’integrità del documento;
c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni
identificative, inclusi i dati di registrazione e di classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto
legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a
tale decreto.
107

Requisiti minimi per la conservazione
Inoltre, il comma 1 bis dell’art. 44 stabilisce che il sistema di conservazione deve essere
gestito da un Responsabile della conservazione che lavori d’intesa con il Responsabile
del trattamento dei dati personali, di cui all’art. 29 del D. Lgs. 196/2003 e, ove si tratti di
documenti di una Pubblica Amministrazione, anche con il Responsabile del servizio per
la tenuta del protocollo informatico, della gestione dei flussi documentali e degli
archivi.
Con particolare riguardo alle PA, l’art. 50 bis, inserito dall’art. 34, comma 2, del CAD,
impone che le stesse adottino piani di continuità operativa e di disaster recovery, in modo
da garantire, anche in situazioni di emergenza, “la continuità delle operazioni
indispensabili per il servizio e il ritorno alla normale operatività”.
In ogni caso, il successivo art. 51, comma 2, del CAD dispone che i documenti
informatici delle pubbliche amministrazioni siano custoditi e controllati con
modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non
autorizzato o non consentito o non conforme alle finalità della raccolta.
108

Conservazione digitale (e a norma) delle ricevute delle PEC
Per imprese e professionisti, è caldamente consigliata la Conservazione Digitale a norma dei
messaggi e delle ricevute PEC.
A confermare questa necessità sono anzitutto due articoli del codice civile.
Il primo, art. 2214, impone alle imprese di “conservare ordinatamente per ciascun affare gli originali delle
lettere, dei telegrammi e delle fatture ricevute, nonché le copie delle lettere, dei telegrammi e delle fatture
spedite.”
Il secondo, art. 2220, afferma che “le scritture devono essere conservate per dieci anni dalla data
dell’ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi
ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti.”
Di fatto, passando a una gestione digitale delle attività lavorative, la categoria della “corrispondenza
rilevante per il business” si è estesa ai messaggi PEC. Questi ultimi, essendo documenti informatici,
devono essere mantenuti in un sistema di conservazione elettronica documentale per un tempo
stabilito dalla legge e secondo procedure ben precise (regole tecniche ex art 71 del CAD).
Infine, in relazione al Processo Civile Telematico, la conservazione dei messaggi e delle ricevute PEC
trova riscontro nel Decreto 21 febbraio 2011 n.44, che all’art. 20 comma 3 afferma:
“Il soggetto abilitato esterno è tenuto a conservare, con ogni mezzo idoneo, le ricevute di avvenuta
consegna dei messaggi trasmessi al dominio giustizia.”
109

Valutazione Qualità Percepita
110

111
“Fine”
Sta a te decidere se leggerlo
in inglese, oppure in italiano

112
grazieper l’attenzionee lacollaborazione
!!!

Firma digitale, validità legale marca temporale e formato PDF/A

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Firma digitale, validità legale marca temporale e formato PDF/A

Ähnlich wie Firma digitale, validità legale marca temporale e formato PDF/A (20)

Firma digitale, validità legale marca temporale e formato PDF/A