Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


INFORMATICA DIGITALE - Tesi - Archivistica, Tesi di laurea di Archivistica

Esempio di Tesi di Archivistica sull'INFORMATICA DIGITALE

Tipologia: Tesi di laurea

2010/2011

Caricato il 01/12/2011

milena123
milena123 🇮🇹

4.2

(6)

2 documenti

1 / 28

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
INTRODUZIONE
I computer e i documenti informatici sono entrati nella vita di tutti i giorni, nel modo di vivere e,
quindi, anche nell’attività bancaria. Essi svolgono, nella società dell’informazione, un ruolo
importante ed oramai insostituibile per il raggiungimento dell’efficienza operativa.
La crescente consapevolezza delle potenzialità dello strumento informatico e la pressione del
mercato, contribuiscono alla crescente diffusione delle applicazioni nel Web.
Molte conoscenze tecniche, una volta riservate agli addetti ai lavori, sono oggi di uso corrente ed il
personal computer ha di fatto messo l’utente in contatto diretto con la banca, senza
l’intermediazione degli esperti.
È quindi necessario per tutti acquisire le competenze specifiche, che facciano diventare gli utenti
“qualificati”; capaci cioè di sfruttare efficacemente, oltre che di apprezzare, le potenzialità del
sistema informatico e della rete e di comprendere il valore legale di ciò che si firma o si invia
attraverso internet.
In tale contesto, si inserisce la “firma digitale” (speciale firma elettronica nata in Italia nel 1997),
che è cardine e pilastro del flusso documentale – convalore legale – sviluppatosi ormai tra la banca
e la “sua” utenza.
Il lavoro di tesi,si propone di fornire le “argomentazioni” e gli “spunti” che consentono di
comprendere il funzionamento, la struttura, gli effetti giuridici ed il rilievo dell’utilizzo della firma
digitale nell’attività bancaria, che ormai sempre più influenzano le scelte economico-sociali e buona
parte del futuro della società stessa.
La redazione del presente testo è stata operata utilizzando un linguaggio semplice ed il più possibile
comprensibile anche “per i non esperti” del settore bancario ed informatico.
Pertanto, è stato ridotto al minimo il ricorso a termini tecnici o anglosassoni, purtroppo molto
diffusi nel settore (tanto da far nascere il linguaggio “informatichese” o da far utilizzare termini
come“internet-banking”).
La rilevanza della firma digitale nella società – non solo bancaria – 1ha ispirato lo studio e la
stesura della presente “tesi”, con uno sguardo attento alla rilevanza giuridica, alle caratteristiche di
sicurezza e di certezza ben assicurate dalla corretta applicazione della vigente normativa (fin dalla
pubblicazione del DPR 513/97), evolutasi nel tempo ed innovata sino ad oggi con la recente
pubblicazione del D.Lgs. 159/2006.
II PARTE PRIMAFirma digitale e Banca
1.1. Introduzione alla firma digitale.
Innanzi tutto: firma elettronica oppure firma digitale? Non si tratta di sinonimi: il testonormativo
originario2 faceva riferimento a un unico tipo di firma, quella digitale, con particolari caratteristiche
di sicurezza. Successivamente, per effetto della Direttiva europea (1999/93 CE) è stato introdotto
nel nostro sistema giuridico la firma elettronica, che presenta caratteristiche meno stringenti della
firma digitale e viene a coincidere con questa solo al massimo livello di sicurezza.
La firma elettronica può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione
della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di
autenticazione a dati elettronici. Quando è di tipo avanzato o più sofisticato, invece, tale firma
consente di identificare in modo univoco il firmatario garantendo anche l’evidenza di modifiche
all’oggetto firmato, apportate dopo la sottoscrizione.
La firma digitale è, invece, un particolare tipo di firma elettronica qualificata basata su un sistema
di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la
chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e
di verificare la provenienza e l’integrità di un documento informatico o di un insieme di
documenti informatici.
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c

Anteprima parziale del testo

Scarica INFORMATICA DIGITALE - Tesi - Archivistica e più Tesi di laurea in PDF di Archivistica solo su Docsity!

INTRODUZIONE

I computer e i documenti informatici sono entrati nella vita di tutti i giorni, nel modo di vivere e, quindi, anche nell’attività bancaria. Essi svolgono, nella società dell’informazione, un ruolo importante ed oramai insostituibile per il raggiungimento dell’efficienza operativa. La crescente consapevolezza delle potenzialità dello strumento informatico e la pressione del mercato, contribuiscono alla crescente diffusione delle applicazioni nel Web. Molte conoscenze tecniche, una volta riservate agli addetti ai lavori, sono oggi di uso corrente ed il personal computer ha di fatto messo l’utente in contatto diretto con la banca, senza l’intermediazione degli esperti. È quindi necessario per tutti acquisire le competenze specifiche, che facciano diventare gli utenti “qualificati”; capaci cioè di sfruttare efficacemente, oltre che di apprezzare, le potenzialità del sistema informatico e della rete e di comprendere il valore legale di ciò che si firma o si invia attraverso internet. In tale contesto, si inserisce la “firma digitale” (speciale firma elettronica nata in Italia nel 1997), che è cardine e pilastro del flusso documentale – convalore legale – sviluppatosi ormai tra la banca e la “sua” utenza. Il lavoro di tesi,si propone di fornire le “argomentazioni” e gli “spunti” che consentono di comprendere il funzionamento, la struttura, gli effetti giuridici ed il rilievo dell’utilizzo della firma digitale nell’attività bancaria, che ormai sempre più influenzano le scelte economico-sociali e buona parte del futuro della società stessa. La redazione del presente testo è stata operata utilizzando un linguaggio semplice ed il più possibile comprensibile anche “per i non esperti” del settore bancario ed informatico. Pertanto, è stato ridotto al minimo il ricorso a termini tecnici o anglosassoni, purtroppo molto diffusi nel settore (tanto da far nascere il linguaggio “informatichese” o da far utilizzare termini come“internet-banking”). La rilevanza della firma digitale nella società – non solo bancaria – 1ha ispirato lo studio e la stesura della presente “ tesi ”, con uno sguardo attento alla rilevanza giuridica, alle caratteristiche di sicurezza e di certezza ben assicurate dalla corretta applicazione della vigente normativa (fin dalla pubblicazione del DPR 513/97) , evolutasi nel tempo ed innovata sino ad oggi con la recente pubblicazione del D.Lgs. 159/2006.

II PARTE PRIMA – Firma digitale e Banca

1.1. Introduzione alla firma digitale. Innanzi tutto: firma elettronica oppure firma digitale? Non si tratta di sinonimi: il testonormativo originario2 faceva riferimento a un unico tipo di firma, quella digitale, con particolari caratteristiche di sicurezza. Successivamente, per effetto della Direttiva europea (1999/93 CE) è stato introdotto nel nostro sistema giuridico la firma elettronica, che presenta caratteristiche meno stringenti della firma digitale e viene a coincidere con questa solo al massimo livello di sicurezza. La firma elettronica può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici. Quando è di tipo avanzato o più sofisticato, invece, tale firma consente di identificare in modo univoco il firmatario garantendo anche l’evidenza di modifiche all’oggetto firmato, apportate dopo la sottoscrizione. La firma digitale è, invece, un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata , che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

La firma digitale, in particolare, presenta queste caratteristiche:

  • è basata su un sistema a chiavi asimmetriche;
  • è generata con chiavi certificate;
  • è riconducibile a un sistema di chiavi provenienti da un certificatore;
  • è generata utilizzando un dispositivo sicuro.

Si può pertanto dire che la firma elettronica è un concetto di tipo generale e che, nell'ambito della firma elettronica, quella che il sistema giuridico italiano chiama firma digitale (D.Lgs. 82/2005, art.

  1. costituisce un caso particolare, ma molto importante.

Un valido ausilio per ben discernere le differenze tra firma elettronica e firma digitale, è stato dato dal Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA), nelle “Linee guida per l'utilizzo della firma digitale, versione 1.1 di maggio del 2004”3.

Gli aspetti tecnici ed applicativi della firma digitale, basati su processi crittografici alquanto complessi, garantiscono, sotto certe condizioni, un’adeguata sicurezza. In sintesi, il Titolare della firma digitale possiede due chiavi crittografiche: una, segreta , che viene utilizzata per firmare il documento destinato a essere spedito per via telematica; l’altra, pubblica , che serve al destinatario della comunicazione per decifrare la firma apposta al documento informatico.

Il destinatario può avere la sicurezza che il documento ricevuto non è stato alterato e che è stato effettivamente spedito da chi lo ha firmato, basandosi sulla garanzia offerta dai certificatori (D.Lgs. 82/2005, art. 26), i quali sono in grado di fornirgli la chiave pubblica di firma e di assicurargli la corrispondenza tra questa chiave e il mittente.

Alla base della sicurezza del sistema vi è la correlazione tra le due chiavi e l’impossibilità dall’una di risalire all’altra.

La descrizione della tecnologia su cui si basa la firma digitale può darel’impressione che si tratti di qualche cosa di estremamente complicato. Anche se ciò è certamente vero, in realtà tale impressione dipende dall’approccio e dall’esperienza dell’utente. Anche il personal computer e il telefono cellulare appaiono come oggetti complicati, ma il loro uso èstato reso semplice da opportune interfacce, cioè da tecnologie software che si prendono cura di gestire i tecnicismi per conto dell'utente e riducono al minimo le difficoltà d’uso. Considerazioni analoghe si possono fare per la firma digitale: una volta predisposta la procedura, l’apposizione di una firma digitale ad un documento informatico richiede al Titolare solo la pressione di un tasto. A compiere tutte le operazioni necessarie penserà poi il PC (ad esempio: prelevare il documento, codificarlo, generare la firma con l'indicazione dell’organismo di certificazione alla quale il destinatario dovrà fare riferimento, confezionare il tutto con data, provenienza, ecc. e spedirlo).

Apparescontato che l’uso della firma digitale sia, in realtà, molto semplicecome fare una telefonata o spedire un fax. Ciò che non è facile cogliere, invece, è come utilizzare tale firma nei processi amministrativi e nei rapporti a rilevanza giuridica con terzi.

La firma digitale, allegata al documento informatico4, nel vasto panorama delle attività bancarie e finanziarie, occupa indubbiamente uno spazio di assoluta centralità, perché offre un “servizio” destinato a quell' ampia fascia di potenziali utenti della rete che non dispongono delle risorse economico-finanziarie per esser parte di un costoso circuito protetto. È anche centralità, o meglio, cerniera fra il mondo della tecnica informatica e quello del diritto e, nel caso specifico, dell’economia finanziaria.

Il sistema dei pagamenti che si esplicano in rete oscilla fra il mondo della carta di credito e quello dei circuiti chiusi e protetti , di solito interbancari.

La prima fascia – utilizzatrice della carta – si caratterizza per un basso livello di sicurezza, che trova la propria giustificazione nell’immenso numero di transazioni che vengono concluse, ciascuna caratterizzata da importi non rilevanti, per cui il gestore del servizio può assumersi il rischio delle operazioni, in rete, non andate a buon fine.

La firma digitale è un processo matematico che permette di cifrare una rappresentazione univoca del file, detta ‘impronta’, e di inserirla nel file stesso trasformandolo in un nuovo tipo di file: il risultato del processo di firma digitale di un file è, dunque, un altro file di formato diverso.

Ad esempio il file in formato Microsoft Word ‘Documento.doc’, al termine del processo di firma diventa il file ‘Documento.doc.p7m’. L’estensione ‘p7m’ indica che il file non è più un documento Microsoft Word e quindi non può più essere aperto da questo programma. Per poterlo leggere è necessario l’uso di un nuovo programma, facilmente reperibile su internet , prodotto da vari autori. Questo programma ha lo scopo di estrarre nuovamente il file originale e di confermare l’autenticità dell’autore del documento.

Quindi, il file firmato digitalmente non può essere letto con i sistemi oggi comunemente diffusi; se, ad esempio, si decide di adottare il formato Portable Document Format (PDF) per pubblicare ed inviare i nostri documenti è perché si tratta di un formato ormai capillarmente diffuso che garantisce la leggibilità del documento presso il destinatario. In altre parole, data la diffusione del programma di “lettura”,non dobbiamo preoccuparci di accordarci con lui per essere certi che sarà in grado di leggere il nostro file. Ma il file, dopo aver apposto la firma digitale, non è più in formato PDF, è in formato ‘p7m’ : uno standard in effetti, ma ancora poco diffuso ovvero poco conosciuto da chi ancora non applica il software di gestione dei files sottoscritti digitalmente.

In base a quanto sopra esposto, molti (poco alfabetizzati per ciò che è in argomento) destinatari del documento sottoscritto con firma digitale non sapranno come aprire il file e dovranno procurarsi un prodotto che sia in grado di farlo. Per coloro che iniziano ad utilizzare tali procedure, che si riveleranno di grande facilità e praticità pertutti, va detto che lo scopo di questa trasformazione non è nascondere il contenuto del file, tutt’altro: chiunque potrà aprire ed estrarre il file originale – con un software dedicato facilmente e gratuitamente scaricabile da internet, ovvero fornito dai certificatori di firma – ed infine consultarlo; ma il nuovo formato è una necessaria trasformazione per aggiungere una serie di informazioni atte a garantire l’originalità del file e la sua provenienza.

La firma digitale è un processo matematico che può essere così sintetizzato:

  1. creazione dell’impronta del documento. Attraverso un algoritmo detto ‘algoritmo di Hash’ (Secure Hash Algoritm) è possibile estrarre un numero di lunghezza fissa che ha la caratteristica di rappresentare univocamente il documento. Se si cambia una sola virgola al documento anche il numero che lo rappresenta cambierà. Questo numero è detto ‘impronta’ del file. Le due caratteristiche importanti dell’impronta sono: rappresenta il file (se il file cambia l’impronta cambia), è costituita da un numero.

In pratica il testo da firmare viene "compresso" in una sorta di "riassunto", che viene spesso descritto come "impronta", mediante l’applicazione della funzione di hash apposta in modo assicurare l’unicità di tale stringa, nel senso che a due testi diversi non corrisponde la medesima impronta.

La dimensione del riassunto è fissa ed è molto più piccola di quella del messaggio originale; infatti è dell’ordine del centinaio di bit, ciò rende la generazione della firma, effettuata a partire dall’impronta anziché dal testo, estremamente più rapida.

La funzione di hash appositamente studiata, produce una stringa binaria di lunghezza costante e piccola, normalmente 128 bit.

L’utilità dell’uso dell’impronta è duplice, in primo luogo consente di evitare che per la generazione della firma sia necessario applicare l’algoritmo di cifratura, che è intrinsecamente inefficiente, all’intero testo che può essere molto lungo. Inoltre consente l’autenticazione della sottoscrizione di un documento senza che si possa venire a conoscenza del suo contenuto.

In realtà l’operazione di cifratura viene effettuata, anziché sulla sola impronta, su una struttura di dati che la contiene (insieme con altre informazioni utili, quali ad esempio l’indicazione della funzione hash usata per la sua generazione). Sebbene tali informazioni possano essere fornite

separatamente rispetto alla firma, la loro inclusione nell’operazione di codifica ne garantisce l’autenticità7.

  1. firma dell’impronta. Un altro algoritmo matematico permette di criptare l’impronta con un altro numero, la chiave privata. Questa operazione è molto semplice da effettuare, ma è computazionalmente molto difficile procedere all’operazione inversa, cioè ricavare la chiave privata. L’impronta così criptata è sicura e non può essere alterata. La chiave privata viene creata sempre in coppia con un altro numero, che costituisce la chiave pubblica. Quest’ultima permette di estrarre l’impronta criptata, ma non di criptarla;

  2. creazione del nuovo formato di file. Questa operazione può essere immaginata come la creazione di una sorta di busta all’interno della quale trovano posto: il file originale, l’impronta firmata, la chiave pubblica e il certificato dell’autore. Quest’ultimo è una vera e propria carta d’identità elettronica e viene rilasciato dal certificatore qualificato che può anche accreditarsi presso il CNIPA8.

La procedura che il destinatario del documento elettronicamente firmato deve adottare (in modo automatizzato), per sapere sé il file è originale o se è stato manomesso è la seguente: si procede ad estrarre il file originale e creare una nuova impronta che poi si confronta con quella criptata contenuta nella busta;se le due impronte coincidono il file è intatto e da considerare non alterato.

In sintesi:

a. estrazione del file originale dalla busta;

b. creazione di una impronta attraverso l’applicazione dell’algoritmo;

c. estrazione dell’impronta criptata con la chiave pubblica, anch’essa contenuta nella busta (da controllarne la validità su apposita lista tenuta a cura del certificatore);

d. confronto delle due impronte.

Una dimostrazione pratica9 di utilizzo della firma digitale (in video – MPEG 6) è stata data da Stefano Arbia - ufficio standard, architetture e metodologie del CNIPA.

Mediante l’utilizzo del programma dedicato, avendo in visione il documento, si clicca su ‘Firma’: il sistema reagisce verificando che il dispositivo10 di firma digitale (la smart card), sia collegato al computer. La smart card si collega al computer attraverso un lettore di smart card, che a sua volta è collegato al computer attraverso una sua porta USB. Se la smart card non è collegata il sistema di gestione documentale avvisa l’utente chiedendogli di inserire la smart card nel lettore.

Il passo successivo è la richiesta del PIN, un codice numerico che viene rilasciato dall’ente certificatore all’atto della richiesta del dispositivo per la firma digitale. Una volta digitato il PIN il programma conferma la riuscita dell’operazione: il file è firmato e disponibile per il suo scopo.

Ricapitolando: 1) cercare il file; 2) visualizzarlo; 3) cliccare su ‘Firma’; 4) inserire la smart card nel lettore; 5) digitare il PIN.

Come innanzi descritto, il file che rappresenta il documento cambia la sua natura diventando un file ‘p7m’. Per visualizzarlo, salvarlo, inviarlo o stamparlo è sufficiente cercarlo con l’ambiente di consultazione. Il sistema di gestione documentale, dunque, si comporta come un filtro attraverso cui l’utente vede i documenti.

Per ottenere la validazione (o marca) temporale - D.Lgs. 82/2005, art. 1 - è necessario avere una connessione ad internet, perché questa viene rilasciata da un ente certificatore abilitato. La procedura pratica per marcare temporalmente un documento non è diversa da quella per la firma: una volta identificato e visualizzato il documento, la finestra mostrerà un apposito pulsante denominato “Marca temporale”.Cliccando su quest’ultimo il programma effettuerà il download della marca temporale dal sito dell’ente certificatore in maniera del tutto trasparente all’utente.

Tanto la firma digitale quanto la marca temporale sono evidenze informatiche – ovvero files – che devono essere mantenute accluse al documento originale. A queste operazioni provvede ancora una volta il sistema di gestione documentale(software di gestione).

Sintetizzando, si può affermare che il fulcro del sistema è che la firma digitale si basa su certificati elettronici rilasciati dai soggetti sopraindicati, definiti "certificatori", i quali hanno il compito e la responsabilità di:

  • garantire l’associazione firma digitale – titolare;
  • pubblicare sul proprio sito l’elenco dei certificati delle chiavi pubbliche dei titolari che si sono avvalsi dei loro servizi di certificazione;
  • mantenere aggiornato l’elenco pubblico dei certificati sospesi o revocati.

La certezza dell’identità del soggetto che chiede il certificato delle chiavi è il passaggio-base della procedura di certificazione, il primo elemento da cui dipende l’attendibilità del certificato e quindi della firma digitale. Questo è uno dei motivi che ha spinto il legislatore a prevedere - preliminarmente alla richiesta di certificazione - una richiesta di registrazione redatta per iscritto da parte del titolare, da effettuarsi presso il certificatore, che ha l’onere di definire, pubblicandole nel manuale operativo, le modalità del primo riconoscimento.

In questa fase, compito del certificatore è: informare espressamente il richiedente la registrazione circa gli obblighi da quest’ultimo assunti in merito alla protezione della segretezza della chiave privata ed alla conservazione ed all’uso dei dispositivi di firma; informare il titolare in ordine agli accordi di certificazione; attribuire a ciascun titolare registrato un codice identificativo di cui garantisce l’univocità nell’ambito dei propri utenti. Più codici identificativi possono essere attribuiti al medesimo soggetto distinti per ciascuno dei ruoli per i quali egli può firmare.

Una volta generata la firma digitale ad essa deve essere allegato il certificato corrispondente alla chiave pubblica da utilizzare per la verifica.

Il certificato è un documento informatico, firmato digitalmente dal certificatore , che deve essere preparato e pubblicato, a cura dello stesso, nel rispetto di una lunga e dettagliata serie di norme.

Prima di tutte quella relativa al formato, secondo la quale i certificati e le relative liste di revoca debbono essere conformi alla norma13 ISO/IEC 9594-8:1995 con le estensioni definite nella Variante 1, ovvero alla specifica pubblica PKCS#6 e PKCS#9.

Inoltre il certificato deve fornire tutte quelle informazioni che consentano di identificare con certezza la persona del titolare, e di desumere in modo inequivocabile la tipologia delle chiavi. A tal fine i certificati debbono contenere:

  • numero di serie del certificato;
  • ragione o denominazione sociale del certificatore;
  • codice identificativo del titolare presso il certificatore;
  • nome cognome e data di nascita ovvero ragione o denominazione sociale del titolare;
  • valore della chiave pubblica;
  • algoritmi di generazione e verifica utilizzabili;
  • inizio e fine del periodo di validità delle chiavi;
  • algoritmo di sottoscrizione del certificato.

Se il certificato è relativo poi ad una coppia di chiavi di sottoscrizione, in aggiunta alle predette informazioni possono essere indicati sia eventuali limitazioni nell’uso della coppia di chiavi, sia eventuali poteri di rappresentanza e abilitazioni professionali.

Se invece il certificato è relativo ad una coppia di chiavi di certificazione, deve essere altresì indicato l’uso delle chiavi per la certificazione; mentre se è relativo ad una coppia di chiavi di marcatura temporale, debbono essere indicati l’uso delle chiavi per la marcatura temporale, e l’identificativo del sistema di marcatura temporale che utilizza le chiavi.

Il sistema di generazione dei certificati deve essere situato in locali protetti, e destinato esclusivamente a tale attività. L’accesso ai suddetti locali deve essere controllato ed annotato sul giornale di controllo insieme all’inizio ed alla fine di ogni sessione di lavoro.

Sono previste ipotesi di sospensione e revoca dei certificati:

  • su iniziativa del certificatore, che salvo casi di urgenza ha l’obbligo di informare il titolare della sospensione o della revoca comunicandogli i motivi e la data a partire dalla quale il certificato non è più valido o è sospeso;
  • su iniziativa del titolare, ed in questo caso deve essere redatta per iscritto specificando la motivazione della revoca o sospensione e la sua decorrenza ed inoltrata di norma attraverso il sistema di comunicazione sicuro;
  • su richiesta del terzo interessato, che deve redigerla per iscritto e corredarla della documentazione giustificativa. In questo caso il certificatore deve notificare la richiesta al titolare.

La validità di un certificato può, quindi, essere interrotta o sospesa e viene effettuata dallo stesso mediante il suo inserimento in una delle liste di certificati revocati (CRL) o sospesi (CSL) da lui gestite. In entrambe i casi è annotata nel giornale di controllo, ed è efficace a partire dal momento della pubblicazione della lista che la contiene.

Il momento di pubblicazione della lista deve essere asseverato mediante l’apposizione di una marca temporale, e se la revoca o la sospensione avvengono a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere immediatamente alla pubblicazione dell’aggiornamento della lista.

1.3.Effetti giuridici: firma e documento informatico.

La validità e gli effetti giuridici del documento informatico, tenuto conto delle caratteristiche e degli effetti conseguenti all’apposizione della firma digitale, sono state ben individuate e stigmatizzate dal legislatore 14.

Nella considerazione che la firma digitale si pone anche come cerniera fra il mondo della tecnica e quello del diritto, poiché non vi è dubbio che le sue caratteristiche matematiche e tecniche le consentono di adempiere alla sua funzione, è vero che, senza un riconoscimento legislativo finalizzato all’introduzione della stessa a pieno titolo nell' ordinamento, essa sarebbe rimasta una curiosità a disposizione degli appassionati dell’informatica, senza alcuna seria rilevanza o incidenza nel mondo dell’economia.

La rilevanza giuridica della firma digitale e la sua attinenza al diritto necessitano del riconoscimento legislativo, avvenuto con diverse norme nel tempo: dal DPR 513/97 al D.Lgs. 82/2005, come modificato dal D.Lgs. 159/2006.

Il documento, come indicato dal nome, ha la funzione del registrare; cioè per riferire, insegnare, quindi, in ordine a fatti o avvenimenti del passato; nella sua accezione giuridica dunque, il documento, adempie alla funzione di provare ciò che è avvenuto e che è stato scritto o detto.

Tanto vero che il Regolamento (DPR n. 513/1997) ha posto a fondamento dell'introduzione della firma digitale nell'ordinamento italiano l'equiparazione del documento informatico a quello cartaceo. La sua trasmissione e archiviazione con mezzi informatici hanno piena validità, purché siano conformi alle disposizioni dettate oggi dal Codice dell’amministrazione digitale che dà al documento informatico valore rilevante a tutti gli effetti di legge.

Nella sua apparente semplicità, l'art. 20 del Codice dell’amministrazione digitale, costituisce la norma cardine dell'intero impianto legale, quella che compie la rivoluzione, consentendo l'abbandono o, comunque, l’alternativa al supporto cartaceo o agli altri supporti materiali cui la tradizione ci ha abituati.Esso implica, infatti, il riconoscimento della validità, in tutti i sensi, del documento informatico; redatto in assenza di linguaggio naturale alfabetico e registratosu un supporto magnetico. È tanta importante questa semplice norma che la regolamentazione sul

caso di utilizzo del documento informatico.Infatti, l’apposizione della firma digitale può garantire anche che il titolare possa fare riferimento alla funzione dichiarativa del documento, cioè che a lui vadano ascritte le conseguenze economico-giuridiche dell’atto stesso e la rilevanza giuridica della scrittura digitale certificata.

1.4.Identificazione con firma digitale e riconoscimento nella legge di tutela antiriciclaggio.

Lo svolgimento delle attività bancarie e comunque finanziarie on-line, eraostacolato in Italia, in una certa misura, dalla presenza di alcuni vincoli normativi. In particolare ci si riferisce alla normativa antiriciclaggio20, la quale richiedeva l’identificazione fisica del cliente da parte dell'intermediario all’atto dell’apertura di un rapporto continuativo.

È evidente come la necessità di rispettare tale obbligo imponeva, quantomeno nella fase costitutiva del rapporto, che il cliente si recasse personalmente nella sede dell'intermediario. La normativa di attuazione prevedeva comunque che l'identificazione potesse essere realizzata in via indiretta con l'acquisizione dei dati identificativi per il tramite di altro ”intermediario abilitato”.

È di tutta evidenza che le problematiche in esame, che sono state sollevate in particolare per quanto riguarda la sottoscrizione di fondi comuni di investimento, potevano ben essere risolte alla radice con il ricorso alla “firma digitale”.

Infatti, l’identificazione effettuata dal certificatore al momento del rilascio della firma digitale può essere “equiparata” all’identificazione effettuata dall'intermediario bancario al momento dell' apertura del rapporto.

Pertanto, l’Ufficio Italiano dei Cambi ha tenuto conto dei lavori in sede comunitaria per la modifica della direttiva n. 91/308/CEE in materia di antiriciclaggio, elaborando modalità alternative per una valida identificazione del cliente senza la sua contestuale presenza fisica.

L'utilizzo di mezzi informatici o telematici per il collocamento di prodotti bancari e finanziari ha rilevanza sotto il profilo dell'adempimento degli obblighi in tema di identificazione della clientela e registrazione dei dati nell’Archivio Unico Informatico21 (AUI).

Un primo profilo riguarda la c.d. identificazione a distanza. La normativa bancaria in materia di antiriciclaggio prevedeva che in caso di apertura di conti, depositi e altri rapporti continuativi i dati identificativi “dovevano essere acquisiti in presenza del titolare del rapporto o del suo mandatario”, veniva comunque specificato che la presenza del titolare del rapporto non era necessaria “allorquando i dati risultino acquisiti in relazione all'adempimento attuato per il tramite di altro intermediario abilitato e ciò sia comprovato da idonea attestazione da questi rilasciata”.

L’identificazione a distanza eraquindi possibile quando un altro intermediario acquisiva i dati identificativi in presenza del cliente e li trasmetteva all'intermediario titolare del rapporto continuativo, che provvedeva alla registrazione nel proprio AUI.

Il rispetto di tali modalità non risultava agevole per alcuni intermediari, recentemente entrati sul mercato, che intendevano svolgere la propria attività per corrispondenza ovvero mediante Internet, soprattutto perché gli in termediari, per motivi concorrenziali, non erano disponibili a “passare” i dati identificativi della propria clientela.

Finora alcune modalità alternative non sono risultate in linea con i requisiti minimi previsti dalla vigente legislazione in materia. Era ritenuto necessario che, in sede di apertura del rapporto, l'identificazione del cliente fosseeffettuata alla presenza dello stesso. In prospettiva occorreva affrontare le problematiche connesse con la possibilità di instaurare rapporti a distanza con la clientela mediante l’utilizzo della firma digitale; si poneva 1’esigenza di definire il sistema più idoneo per coordinare gli adempimenti richiesti in materia di identificazione con i nuovi sviluppi operativi su Internet.

L'evoluzione tecnologica opera in favore anche di strumenti a carattere innovativo utilizzabili fuori dai casi che impongono l'identificazione a distanza e, quindi, in forma anonima. Ciò ha postulato la previsione di meccanismi alternativi atti a impedire fenomeni di riciclaggio (come bassi limiti di spesa e divieto di trasferimento delle somme da carta a carta).

Il rischio del possibile utilizzo di Internet per operazioni di ricic1aggio ha sollecitato l’individuazione, nell'ambito dei lavori per la revisione del “decalogo” antiriciclaggio, di cautele idonee a preservare le banche dal coinvolgimento in fenomeni della specie. L’art. 2 comma 1 della legge antiriciclaggio prevede per alcune categorie di operatori (uffici della pubblica amministrazione, compresi gli uffici postali, banche, enti creditizi, imprese ed enti assicurativi, SIM eccetera - chiamati “intermediari”), l’obbligo di identificare i soggetti che eseguono operazioni di importo superiore ad Euro 12.500,00o che accendono conti, depositi o altri rapporti continuativi. La possibilità di identificazione anche senza la presenza fisica del titolare del rapporto era inizialmente prevista soltanto qualora l’interessato fosse già titolare di altri rapporti presso lo stesso intermediario. Una vera e propria svolta, rispetto a questa sorta di empasse normativa ed operativa, è venuta con l’utilizzo della firma digitale. Peraltro, come risulta evidente, anche tale passaggio è attivato dal rapporto sinergico tra la normativa sul documento informatico e la legge antiriciclaggio. Non c’è dubbio, sul fatto, che le finalità perseguite dalle due discipline siano del tutto diverse: l’una, intesa a regolamentare l’identificazione dell’utente nelsettore finanziario-creditizio, l’altra, diretta a creare uno strumento che consenta di ritenere “validi e rilevanti” i documenti sottoscritti con firma digitale. Un’attenta analisi, però, lascia emergere dei decisivi punti di contatto: infatti, secondo quanto già previsto dall’art. 1 lett. h) del DPR 513/97 (come adesso sostituito dal Dlgs. 82/200522), per certificazione deve intendersi il risultato della procedura informatica mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest’ultimo e si attesta il periodo di validità di detta chiave.

L’ente certificatore, pertanto, nel certificare la firma digitale, è tenuto a compiere una fondamentale operazione preliminare, consistente appunto nell’ identificare con certezza la persona che fa richiesta della certificazione, affinché la firma digitale, una volta apposta, consenta di rilevare con certezza gli elementi identificativi del soggetto titolare della stessa.

Dato che tutto ciò è vero, cioè che il soggetto certificatore di fatto identifica il titolare della firma digitale, la domanda che si poneva l’agente bancario era la seguente: potrà considerarsi esaustiva detta identificazione, anche ai fini del rispetto della legge antiriciclaggio? Facendo un esempio: la banca che offre all’utente la possibilità di sottoscrivere on line un contratto per l’apertura di un conto corrente, può o no legittimamente accontentarsi dell’apposizione della firma digitale e, quindi, del fatto che il soggetto sia stato previamente identificato dall’ente certificatore?

A stretto rigore formale, la categoria degli enti certificatori - sopra individuata - non coincide con quella degli “altri intermediari” che secondo la legge antiriciclaggio possono attestare l’identità del soggetto, con la conseguenza che, anche in presenza della firma digitale, nell’esempio fatto , la banca... non si potrebbe accontentare.

Dall’altro lato, però, spostando il ragionamento sul piano sostanziale, è stato dato il giusto valore al fatto che i requisiti che devono possedere gli enti certificatori per poter essere abilitati a svolgere il servizio di validazione della firma digitale siano, in parte, perfettamente sovrapponibili con quelli richiesti dal D.Lgs. 385/93 per l’esercizio dell’attività bancaria e creditizia.

Tale meccanismo, così come l’iscrizione all’elenco dei certificatori tenuto dal CNIPA, da piena garanzia, in questo senso , anche ai fini della tutela dell’interesse pubblico che anima la legge antiriciclaggio.

Porre dunque un problema di attendibilità dell’ente certificatore, assumeva i caratteri di una vera e propria aberrazione.

Il certificatore, ad oggi, non deve far altro che identificare con certezza la persona che richieda la validazione della propria firma digitale (art. 32 del Dlgs. 82 /2005, come modificato dal Dlgs. 159/2006).

È facile prevedere che la diffusione - già avviata - di strumenti di questo tipo, anche grazie al “Codice dell’amministrazione digitale” e alla sicurezza data dalla firma digitale, contribuirà all'ulteriore espansione dei servizi di Internet banking da parte degli istituti di credito.

Come appare chiaro è l'intero settore bancario e finanziario in genere a essere interessato dai cambiamenti introdotti dalle autostrade dell'informazione. Uno dei cambiamenti di maggior portata è indubbiamente rappresentato dalla possibilità di effettuare non solo operazioni bancarie ma veri e propri investimenti attraverso la rete. Già adesso sono disponibili su Internet diversi servizi di trading on-line , ovvero di acquisto, gestione e vendita on-line di azioni e partecipazioni finanziarie. Servizi impegnati in una vera e propria guerra - combattuta dalle banche in termini di ribasso dei costi di gestione e delle soglie minime di investimento - per aggiudicarsi posizioni di vantaggio in un settore che è evidentemente percepito come strategico.

È significativo che l’espansione rapidissima di questi servizi negli ultimi mesi - accompagnata da innumerevoli iniziative editoriali e pubblicitarie - abbia coinciso non già con una fase di euforia dei mercati finanziari, ma semmai con un periodo di assestamento e ripiegamento: sintomo evidente che la finanza on-line non è solo una moda transitoria legata a una fase di esuberanza borsistica, ma un fenomeno destinato a ulteriore espansione e rapido radicamento.

In una situazione in cui operazioni finanziarie di questo tipo possono essere condotte da ciascuno, da casa, a costi per transazione estremamente bassi, e in cui la possibilità stessa di seguire le fluttuazioni di mercato è garantita in tempo reale dalla rete, sembrano prevedibili alcune conseguenze di un certo rilievo.

Innanzitutto, la velocità e soprattutto la durata degli investimenti e dei disinvestimenti si è ridotta drasticamente. Si può cercare di sfruttare le fluttuazioni di mercato comprando ad esempio azioni IBM per venti minuti, per poi rivenderle e investire magari in azioni Microsoft.

In secondo luogo, l'ammontare degli investimenti può essere anche assai basso: si investe senza troppi problemi cinquanta o cento euro. Tutte le procedure di acquisto sono infatti svolte direttamente via computer, anche e soprattutto grazie all’uso della firma digitale. In tale contesto, quindi, non serve pagare - a caro prezzo - intermediari “umani”, ma basta l’economico utilizzo dell’appropriata tecnologia valida agli effetti giuridici.

Per effetto della globalizzazione dei mercati finanziari anche a livello di singoli investitori, ciascuno può investire indifferentemente, a costi analoghi e seguendo le stesse procedure, sulla borsa di New York come su quella di Tokyo, a Milano come a Francoforte.Data l’apertura diretta dei mercati ai singoli investitori e senza mediazioni, ciascuno di noi può decidere come e quanto investire, potrà ad esempio speculare sul cambio delle valute - autonomamente da casa.

Si parla spesso di “gioco di borsa” in quanto i punti di contatto, fra investimenti finanziari di questo tipo e il “vero e proprio gioco d'azzardo”, sono effettivamente notevoli.

Queste prospettive non vanno considerate in termini di mero progresso tecnico, al contrario, pongono moltissimi problemi, di estremo rilievo e di non facile soluzione. Problemi che tuttavia vanno in qualche modo affrontati.Proprio la velocità degli scambi e l’accesso senza restrizioni dei singoli individui al mercato bancario e finanziario potrebbe mettere in crisi il ruolo delle grandi istituzioni nazionali e internazionali, che avevano tradizionalmente la funzione di controllare ed “equilibrare” i mercati. Può essere infatti molto più difficile controllare una grande quantità di piccoli investitori del tutto liberi nelle loro scelte (ma sicuramente influenzati da singoli avvenimenti, voci, mode del momento) di quanto non lo sia nel caso di pochi e più esperti grandi investitori “ufficiali”.Si tratta di temi che non possono certo essere affrontati più diffusamente in questa sede, ma che danno l’idea dell'interesse e della portata delle sfide collegate al settore dell'economia e della finanza on-line, che si avvale di documenti informatici con valore, da un punto di vista tecnicolegale, di maggiore “certezza” e “sicurezza” rispetto ai tradizionali documenti manualmente sottoscritti. Punto cruciale è la corretta osservanza delle procedure di identificazione, demandata ai certificatori qualificati e accreditati.

L’uso della firma digitale è, giustamente - date le caratteristiche tecniche ed i componenti - applicabile ai casi in cui l' identificazione deve essere certa e pubblica; ovvero non limitata ai rapporti fra i diretti interlocutori, ma altresì opponibile a terzi, nei casi in cui sono consigliabili standard di sicurezza più elevati.Si applica, per fini di certezza legale del mandato, nella vasta gamma di servizi finanziari e borsistici che il sistema è già in grado di offrire. Nei rapporti fra cittadini e banche, nonché per fini di interesse della pubblica amministrazione, l'individuazione certa, opponibile a terzi, di mittente e destinatario è, nella maggior parte dei casi, assolutamente irrinunciabile, soprattutto sé si osserva il valore economico dell’oggetto della comunicazione intercorsa tra le parti. In massima parte le comunicazioni intercorrenti tra la banca e il “cliente” debbono rispondere ai requisiti della certezza della data e della sottoscrizione del documento , rendendolo, così, candidato ideale alla migrazione dal mondo della carta a quello dell'informatica e, precisamente, della firma digitale. La stessa legge che costituisce il fondamento normativo26 della delega al Governo per l’emissione del regolamento su documento elettronico e firma digitale in Italia, è legge primariamente rivolta ai processi che semplificano gli iter burocratici e documentali con rilevanza anche di diritto pubblico .Questa caratteristica, in larga misura, ha rappresentato l'elemento di maggior novità rispetto alle legislazioni già approvate in varie parti del mondo, che, sulla scia delle leggi statunitensi, hanno costantemente privilegiato l'aspetto dei rapporti commerciali fra privati e con taglio prettamente di diritto privato.

La peculiarità pubblicistica attiene, oltre che alle caratteristiche tecnico-informatiche, anche a quelle giuridiche della firma digitale.

L’utilizzo del documento informatico nei sistemi di telebanking è da ben valutare, anche perché è difficile calcolarequale possa essere il valore intrinseco di una singola transazione.Infatti, tale entità è effettivamente incalcolabile a priori, così come il valore dell’accertamento dell' identità di colui che sottoscrive la transazione con la banca è basilare. Tali aspetti costituiscono il “terreno” ideale per l’efficaceapplicazione del documento informatico con firma digitale.

L’informazione e la comunicazione tecnologica (ICT) ha un ruolo centrale nella trasformazione dei sistemi bancari e finanziari. L'attività bancaria, infatti, si fonda sul l’acquisizione, elaborazione e disseminazione di informazioni; come tale, essa costituisce un terreno privilegiato per le applicazioni dell’ITC, la cui funzione principale è quella di ridurre drasticamente i tempi, annullare gli spazi e abbattere i costi dello scambio informativo.

In ogni stadio dello sviluppo tecnologico, i sistemi finanziari hanno tratto beneficio dalle tecnologie informatiche: quando il trattamento automatico dei dati ha interessato esclusivamente gli uffici centrali delle banche, sono stati automatizzati i processi amministrativi e contabili; quando le tecniche di trasmissione dati hanno consentito di collegare le filiali con il centro, sono stati decentrati compiti e responsabilità sul territorio; quando l’evoluzione delle telecomunicazioni ha reso convenienti e più sicuri i collegamenti telematici, sono stati avviati circuiti finanziari su rete, sviluppate applicazioni interbancarie, promosse relazioni on-line con il cliente.

Oggi è la rete (Internet), strumento di eccezionale accelerazione del cambiamento , che sta trasformando profondamente le attività produttive e commerciali, l’offerta di servizi, i canali di distribuzione; si parla ormai di Internet economy o di new economy. Il mondo delle banche e della finanza partecipa attivamente a questo processo di forte innovazione. Cresce il numero di siti bancari che offrono servizi di Internet banking; si affermano, con il trading on-line, nuove modalità di accesso ai mercati finanziari.

Le relazioni tra banca e informatica riflettono una storia ormai quarantennale, lungo un percorso che ha visto accrescersi il ruolo delle tecnologie dell'informazione e della comunicazione dai processi interni alle relazioni con la clientela.

lavorazione, non necessariamente limitate alla variabile informatico-tecnologica - con la finalità di realizzare crescenti economie di costo. Assume rilievo in tale ambito la separazione, fra soggetti diversi, della fase di produzione dei servizi da quella di commercializzazione degli stessi. L’adozione di strategie di mercato centrate sulla distribuzione “multicanale”, sulla segmentazione della clientela secondo gli effettivi o potenziali modelli di acquisto e sullo sviluppo di servizi e prodotti, sono modellate sulle caratteristiche ed esigenze della fascia di clientela prescelta. Tali strategie sono spesso motivate dalla necessità di contrastare la pressione competitiva proveniente da operatori non bancari, in particolare da quelli della distribuzione o delle telecomunicazioni che hanno iniziato a estendere la propria offerta a prodotti di tipo bancario (incassi e pagamenti, prestiti al consumo e attività di investimento).

L’integrazione, attraverso formule organizzative, vanno dalla costituzione di gruppi di aziende all'attivazione di “portali finanziari”; trattasi di un’ampia gamma di servizi, sia finanziari (factoring, merchant banking, credito al consumo, commercial banking, vendita di prodotti assicurativi, servizi di pagamento, trading on-line ecc.) sia di altra natura (ad esempio: supporto al commercio elettronico con locazione di negozi virtuali).

La possibilità di rivolgersi a mercati più ampi, potenzialmente globali, superando i vincoli connessi con l’articolazione e l'estensione della rete territoriale potrebbe, addirittura e per assurdo, essere assente (come per le banche nate e sviluppatesi nella dimensione virtuale dei canali telefonici e/o telematici).

Lo sviluppo delle telecomunicazioni (in termini di sicurezza, capacità trasmissiva ed economicità) ha favorito 1’affermarsi di mercati finanziari altamente informatizzati, più efficienti dei tradizionali mercati “alle grida” o dei mercati “telefonici”; la diffusione delle informazioni “di mercato”, l'incontro tra domanda e offerta di titoli, il collegamento automatico con i sistemi di regolamento delle transazioni sono affidati in misura crescente a procedure telematiche. Queste consentono di estendere gli orari di funzionamento dei mercati al di là di limiti difficilmente superabili con la contrattazione “alle grida”.

Grazie alla flessibilità delle piattaforme disponibili, le società italiane di gestione dei mercati hanno potuto adeguare 1'offerta di servizi al mutato contesto internazionale. È stato consentito 1'accesso a intermediari esteri, anche in via remota, sono state rese possibili la quotazione e la liquidazione di nuovi strumenti finanziari ed è stato sviluppato un capitale tecnico di rilievo.

Il Mercato dei Titoli di Stato (MTS) rappresenta un significativo esempio dell'evoluzione dei mercati verso la configurazione telematica. Inizialmente le contrattazioni su di esso avvenivano telefonicamente sulla base di quotazioni esposte dai primari dealer su un circuito informativo; successivamente il mercato è “passato” alla negoziazione mediante circuito telematico. Le maggiori potenzialità offerte dalla negoziazione informatica si sono riflesse in un crescente volume degli scambi e l’evoluzione delle strutture complessive del mercato ha quindi condotto all'integrazione del circuito di negoziazione con il sistema di regolamento.

Nel Mercato Interbancario dei Depositi (MID) sono oggi consentiti l'accesso “remoto” al circuito di negoziazione e il trasferimento dei fondi avvalendosi del sistema europeo Target. La disponibilità in tempo reale delle quotazioni conferisce agli scambi sul MID maggiore trasparenza rispetto ai mercati esteri di tipo telefonico, spesso basati sui broker.

La borsa italiana ha avviato, fin dal 2000, un nuovo comparto, che utilizza la stessa piattaforma del MTS (EuroMot), dedicato alla negoziazione al dettaglio di euro-obbligazioni e di nuove tipologie di strumenti finanziari.

In tale consapevolezza, la telematizzazione dei processi di regolamento ha sovente preceduto l’informatizzazione delle modalità di contrattazione. In Italia, il sistema di liquidazione delle operazioni in titoli è stato reso telematico dal 1993, prima che il mercato azionario abbandonasse completamente la contrattazione “alle grida”. Successivamente il grado di telematizzazione dei processi di liquidazione è andato crescendo, stimolato dalla riduzione dei tempi di liquidazione delle operazioni e dall'informatizzazione dei sistemi di pagamento. La progressiva

dematerializzazione dei titoli ha favorito la movimentazione con scritture contabili. Il ricorso a sistemi elettronici di riscontro delle transazioni e l’integrazione dei processi di negoziazione e regolamento hanno ridotto i tempi di esposizione al rischio, accrescendo la sicurezza dei mercati.

Questi sono ora impegnati nella completa automazione di tutte le attività che compongono l'intero “ciclo di prodotto”: trasmissione dell'ordine; negoziazione sul mercato; scambio dei titoli e del relativo controvalore; contabilizzazione dei movimenti nei conti della clientela; avvalendosi del “nuovo” metodo di identificazione digitale.

In Europa il settore sta registrando una rapida trasformazione; la crescente concorrenza indotta dall’eliminazione delle segmentazioni valutarie spinge verso la ricerca di economie di scala e di scopo. I più importanti depositari centrali stanno sviluppando ipotesi di integrazione e collegamento delle proprie strutture. Ne beneficeranno i mercati e gli investitori, che potranno effettuare operazioni transfrontaliere in titoli con i medesimi livelli di sicurezza ed efficienza garantiti dai sistemi domestici.

Il progressivo estendersi del cosiddetto accesso remoto, che consente a ciascun intermediariobancario di operare nei diversi territori pur in assenza dell'insediamento fisico, costituisce un ulteriore stimolo allo sviluppo competitivo delle singole piazze finanziarie. In tale contesto, il sistema italiano per sostenere il confronto con gli altri paesi si sta orientando verso il superamento dell’attuale frammentazione dell’offerta dei servizi di regolamento mediante l’integrazione delle strutture preposte ai singoli comparti. Allo stesso tempo è in via di completamento il quadro generale di riferimento normativo secondario volto a consentire alle società-mercato, introdotte dal Testo Unico 27 sull'intermediazione finanziaria, di operare con criteri imprenditoriali.

Allo sviluppo delle opportunità si accompagna una sensibile evoluzione dei profili di rischio,con riguardo agli intermediari bancari, ai mercati e al sistema dei pagamenti, che richiede un attento monitoraggio da parte delle autorità di supervisione.

Tra le problematiche legali figurano quelle discendenti dalla difficoltà di stabilire nelle operazioni transfrontaliere la legge applicabile e il giudice competente. Da queste spesso dipendono la validità dei negoziati posti in essere o la qualità delle prove richieste. Accanto a tali questioni, che attengono alla certezza dei rapporti giuridici, vengono all'attenzione esigenze di tutela della privacy, di difesa del consumatore, di responsabilità dei service provider, nonché di prevenzione avverso la possibilità di frodi, di riciclaggio, di abusivismo.

Nel sistema dei pagamenti, le innovazioni nei servizi offerti agli utenti finali e quelle relative ai circuiti interbancari di compensazione e regolamento, su cui poggia il funzionamento dei mercati finanziari, pongono nuovi problemi.Si accresce la richiesta di continuità di servizio da parte di infrastrutture tecnologiche sempre più complesse; viene sollecitata la ricerca di standard che favoriscano l'interoperabilità; si ampliano le possibilità di utilizzo illecito di prodotti e servizi innovativi. Il collegamento dei sistemi nazionali e l'integrazione delle infrastrutture rendono sempre più interdipendenti stabilità ed efficienza dei sistemi stessi.

L’evoluzione complessiva dei sistemi finanziari e il nuovo quadro dei profili critici che ne deriva, impegna le autorità di controllo (nello svolgimento dei compiti di vigilanza sulle banche, supervisione sui mercati, sorveglianza sul sistema dei pagamenti) ad adeguare le norme, le metodologie di analisi, gli schemi di controllo senza ostacolare, anzi incoraggiando la ricerca di soluzioni innovative da parte degli operatori.

La varietà e l’estensione dei problemi richiedono risposte coerenti, attente al quadro internazionale, al fine di assicurare parità di condizioni concorrenziali fra gli operatori nazionali ed esteri e ridurre la possibilità di arbitraggi normativi volti a eludere i controlli.

Nell’area dell'Unione Europea, comitati e altre sedi di contatto multi e bilaterali determinano una fitta rete di relazioni tra le autorità degli Stati membri, assecondando l'attività di controllo e la messa a punto delle direttive comunitarie che regolano il mercato unico europeo.

Gli interventi si caratterizzano per l'ampiezza del campo applicativo e dei destinatari. Rileva l'esplicitazione di requisiti generali di accesso ai circuiti di scambio e di regolamento, volti ad assicurarne l'integrazione e l'interoperabilità, nonché l'individuazione di standard di sicurezza e di efficienza degli stessi. Un'attenzione particolare è rivolta alle infrastrutture che svolgono un ruolo essenziale nel funzionamento del sistema, la cui attività deve assicurare i massimi livelli di affidabilità tecnico-operativa. Quanto ai circuiti di pagamento , si sviluppa una costante azione di monitoraggio, volta a promuovere adeguate forme di trasparenza nei confronti della clientela e la piena traslazione a essa delle economie procedurali realizzate nei meccanismi interbancari. Nei segmenti più innovativi, l'azione è tesa ad assicurare il rispetto dei necessari presidi in termini di trasparenza e di sicurezza, dei circuiti e fra gli operatori.

Le banche sono in grado di offrire la gestione dei flussi telematici inerenti i documenti del servizio di Tesoreria e Cassa sottoscritti con Firma Digitale, offrono, spesso gratuitamente, agli enti pubblici un “servizio globale” per l’apposizione della firma digitale, proponendolo come funzionalità aggiuntiva del servizio di Internet Banking. Tale servizio, generalmente, consente di visualizzare, firmare e spedire ordinativi di tesoreria (mandati e reversali) e di ricevere i flussi di ritorno dalla Banca (anche firmati).

Nell'apposizione della firma l’utente può scegliere se apporre una firma su ogni ordinativo o semplicemente "segnare" gli ordinativi da firmare e, di fatto, firmarli tutti assieme con un'unica firma. Il certificato di firma da utilizzare può essere emesso da una qualsiasi Certification Autority (CA) tra quelle accreditate nell’albo del CNIPA.

Alcune banche sono certificatori accreditati e possono, quindi, esse stesse, emettere certificati di firma autorizzati per lo scambio di documenti, oltre che con soggetti privati anche con la Pubblica Amministrazione.

Per quanto riguarda gli aspetti strettamente tecnologici i formati adottati dalle banche,per la trasmissione dei flussi, posseggono i seguenti requisiti:

  • nei diversi ambiti di applicazione - per le diverse tipologie di trattazione - consentono l’archiviazione, la leggibilità, l’interoperabilità e l'interscambio dei "flussi";
  • non alterabilità dei "flussi" durante le fasi di accesso e conservazione;
  • possibilità di effettuare operazioni di ricerca tramite indici di classificazione o di archiviazione;
  • immutabilità del contenuto e della sua struttura. A tale fine i "flussi" non contengono macroistruzioni o codice eseguibile , tali da attivare funzionalità che possano modificarne nel tempo la struttura o il contenuto.

Al fine di garantire il rispetto del requisito di interoperabilità, è prevista una rappresentazione in formato XML, o in altro formato che garantisce tale requisito, del flusso contenente gli ordinativi informatici e dei messaggi di ritorno. Sono definite strutture che consentono la validazione sia presso il cliente (all'atto della generazione) e sia presso la Banca (all'atto della verifica formale) e viceversa.

Le strutture rappresentano lo standard minimo a cui il soggetto cliente e la Banca devono attenersi; il rigoroso rispetto dello standard minimo è indispensabile per garantire l'interoperabilità.

Le banche in rete (internet) colloquiano tramite Firma Digitale soprattutto con Enti pubblici (tra cui le Regioni) e molte sono le fasi di parallelo in atto con altri Enti locali (Comuni, Province) e Istituzioni Universitarie. Le applicazioni si rivolgono a tutta la clientela che opera mediante mandati e reversali.

Gli standard tecnici e di interoperabilità consentono di effettuare, in totale sicurezza ,operazioni dispositive e ottenere informazioni a valere sui rapporti di conto; al fine di ottimizzare la gestione dei flussi finanziari aziendali della clientela.

Un grande punto di forza di tali servizi bancari e sistemi è dato dai requisiti di sicurezza: infatti l'utilizzo di certificati digitali e l’adozione della firma digitale secondo gli standard di legge garantiscono l'identificazione e l'operatività dei soggetti abilitati.

Le banche puntano molto sull’aspetto delle caratteristiche della sicurezza. Per tale ragione l’identificazione dei soggetti abilitati all’utilizzo del servizio bancario in rete viene effettuata esclusivamente mediante certificati digitali, modalità che sostituisce il tradizionale sistema di Codice di Accesso e Password.

In particolare, ogni firmatario, è dotato di certificato di firma digitale e lo utilizza per l’invio delle disposizioni con la firma digitale, secondo gli standard di legge.

Il sistema bancario di sicurezza viene mantenuto sempre attivo; in particolare:

  • in fase di connessione: per verificare e garantire la certezza dell’identità di chi si collega, per accedere al servizio bancario a mezzo Web. È necessario utilizzare il certificato digitale seguito dalla propria password; in questo modo viene automaticamente eseguito il controllo di validità del certificato utilizzato e dei dati identificativi di chi si collega;
  • in fase operativa: tramite l’utilizzo della smart card (dispositivo di firma) e della password, le istruzioni impartite vengono firmate digitalmente, per cui la banca controlla e verifica costantemente la firma digitale apposta.

Le architetture di sicurezza presenti nelle banche comprendono anche l'utilizzo dei più sofisticati sistemi di crittografia dei dati scambiati (protocollo SSL a 128 bit) e, quindi, garantiscono:

  • riservatezza: i dati scambiati con il sito non possono essere letti da persone non autorizzate;
  • integrità: i dati scambiati con la banca non possono essere alterati;
  • autenticità delle parti: certezza dell'identità delle due parti in collegamento fra loro (l’utente e la banca);
  • non ripudio del mittente: certezza di possedere informazioni che possono garantire l’origine del documento.

Grazie all’utilizzo della firma digitale, le banche in rete offrono una grande flessibilità funzionale e operativa, erogando servizi distinti e complementari, pensati e realizzati nell'ottica del soddisfacimento delle molteplici esigenze operative dei clienti.

Tali servizi bancari contengono funzionalità che consentono elevati livelli di operatività e valore aggiunto in tema di incassi e pagamenti, servizi finanziari evoluti e di risk management, quali:

  • Saldi e Movimenti: visualizzazione delle informazioni registrate nei propri rapporti di Conto Corrente con la stessa frequenza temporale di aggiornamento delle procedure bancarie e con possibilità di ricerche storiche di dati;
  • Causale Analitica Estesa: visualizzazione della Causale Analitica Estesa sui movimenti di Conto Corrente registrati in tempo reale;
  • Download dei Movimenti di Conto Corrente, con il dettaglio della Causale Analitica Estesa;
  • Saldo Disponibile sul Conto Corrente e Saldo Liquido per Valuta;
  • Bonifico di Importo Rilevante e Bonifico Urgente in Tempo Reale. Questa funzionalità permette di trasferire fondi in tempo reale da un Conto Corrente presso la banca ad un qualsiasi altro conto corrente, anche presso uno qualsiasi di altri istituti bancari italiani;
  • Bonifico e Giroconto in Tempo Reale con esecuzione immediata;
  • Dettaglio Bonifici (Italia ed Estero), con le evidenze complete sintetiche ed analitiche su tutti i Bonifici ricevuti e/o disposti, con possibilità di effettuare ricerche e download del set completo dei dati;
  • F24: pagamento della delega unificata F24 sia con esecuzione immediata (Tempo Reale) che alla prima scadenza utile;