Oggi gestire correttamente i propri documenti e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al proprio patrimonio di dati digitali.
«La conservazione degli atti corrisponde ad un bisogno innato dell’umanità, bisogno che l’ignoranza potrà pur calpestare, ma sopprimere non mai»
(Eugenio Casanova, 1928)
Tutta la normativa nazionale, comunitaria e internazionale si è andata evolvendo verso un’articolata tutela del destinatario dei servizi della società dell’Informazione (cittadino/consumatore).
Chi intende sviluppare servizi in rete, oltre a confrontarsi con un ordinamento di natura “anazionale”, deve predisporre gli strumenti organizzativi, tecnici e legali che consentano:
- la riservatezza delle transazioni, – l’autenticità e l’identificabilità delle parti,
- la possibilità di dimostrare nel tempo la formazione di una volontà negoziale delle parti,
- una adeguata informazione e protezione per il destinatario del servizio;
- la sicurezza e l’integrità dei dati e dei documenti in un sistema di conservazione digitale.
Le pubbliche amministrazioni ed i privati hanno facoltà di sostituire, a tutti gli effetti, ai documenti dei propri archivi, alle scritture contabili, alla corrispondenza ed agli altri atti di cui per legge o regolamento è prescritta la conservazione, la corrispondente riproduzione fotografica, anche se costituita da fotogramma negativo: L. 4 gennaio 1968 n. 15 art. 25.
La firma elettronica nei documenti informatici
La Firma Elettronica Avanzata, è un sistema neutro, sicuro e affidabile che garantisca l’appartenenza di un documento informatico reso immodificabile ad un soggetto
Art. 56 Caratteristiche delle soluzioni di firma elettronica avanzata
- Le soluzioni di firma elettronica avanzata devono garantire:
a) l’identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma;
d) la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito modifiche dopo l’apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a);
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati.
La sua valenza formale e probatoria dipende dal sistema che si sviluppa.
Esempio di firma elettronica avanzata: strong authentication + sistema sicuro di transazione + sistema di conservazione dei log.
Obblighi per i soggetti che erogano per proprio conto soluzioni di firma elettronica avanzata
- I soggetti di cui all’art. 55, comma 2, lettera a) devono:
a) identificare in modo certo l’utente, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;
b) conservare per almeno venti anni la dichiarazione di cui al punto a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’art. 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità;
c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;
d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;
e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1, specificando le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto, pubblicandole anche sul proprio sito internet;
f) consentire l’uso della firma elettronica qualificata e della firma digitale, ove applicabile, in alternativa alla firma elettronica avanzata per i procedimenti per i quali è previsto l’uso della firma elettronica avanzata;
g) assicurare la disponibilità di un servizio di revoca relativo alla firma elettronica avanzata, ove applicabile, e un servizio di assistenza.
Limiti d’uso: La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’art. 55, comma 2, lettera a).
Le certificazione obbligatorie per soluzione di firma elettronica avanzata realizzate per le amministrazioni pubbliche devono avere questi requisiti ISO:
• ISO/IEC 27001
• ISO 9001 Non sono richieste per le persone giuridiche pubbliche e per le persone giuridiche private possedute o controllate dall’amministrazione pubblica che realizzino soluzioni di firma elettronica avanzata per altre amministrazioni pubbliche.
Soluzioni di firma elettronica avanzata
Costituiscono soluzioni di firma elettronica avanzata nei confronti delle Amministrazioni pubbliche:
- Posta elettronica certificata, rilasciata previa identificazione personale del titolare ai sensi dell’art. 65 comma 1, lett c-bis del CAD
- Carta d’Identità Elettronica (CIE) e Carta Nazionale dei Servizi (CNS) Digitpa pubblicherà delle Linee guida al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.
L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto
dall’articolo 21.
Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista
dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.
Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale.
Conclusioni
La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.
- L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
- Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
- Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell’articolo 71 , la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d’uso.