










Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
La disciplina della dematerializzazione e i tipi di firma elettronica definiti dal codice dell'amministrazione digitale. Viene discusso il livello di attendibilità tecnica di ogni tipo di firma elettronica, dalla semplice alla qualificata, e le loro caratteristiche. Il testo illustra la differenza tra una firma elettronica e una digitale, e la necessità di utilizzo di personale specializzato nella generazione di firme elettroniche.
Tipologia: Appunti
1 / 18
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!











Il DPR n.445 del 2000, denominato anche testo unico sulla documentazione amministrativa, riunisce in un unico testo sia le disposizioni amministrative che le disposizioni regolamentari inerenti la documentazione amministrativa. Dunque il DPR 445 ha disciplinato in maniera organica e circostanziata il documento informatico nei suoi veri aspetti, riproducendo le disposizioni di diversi provvedimenti normativi precedenti; in seguito poi si sono succedute alcune direttive europee recepite in Italia con dei decreti legislativi che sono andati a disciplinare le FIRME ELETTRONICHE. Ma ora la legge che disciplina la firma digitale è il decreto legislativo 7 marzo 2005 n.82, denominato codice dell’amministrazione digitale , questo codice sintetizza in un unico testo le impostazioni giuridiche elaborate nelle precedenti disposizioni normative; regolando in modo organico la materia e gettando le basi per la dematerializzazione dei documenti e qui dobbiamo precisare che per dematerializzazione si intende quel processo attraverso il quale un documento viene creato e conservato utilizzando dei supporti di natura informatica. L’obiettivo del legislatore è stato quello di conferire validità giuridica all’attività amministrativa e contrattuale svolta con l’aiuto di strumenti informatici, quindi il documento dematerializzato conforme alla disciplina dettata dal codice dell’amministrazione digitale ha esattamente lo stesso valore giuridico del documento cartaceo e questo è permesso dall’art.20 del codice dell’amministrazione digitale, che realizza una sorta di finzione giuridica e consiste nel considerare come atto scritto a tutti gli effetti il documento informatico; sempre che questo risulti conforme alla disciplina dettata dal codice dell’amministrazione digitale. La disciplina sulla dematerializzazione si riferisce sia ai documenti creati direttamente in formato elettronico sia a quei documenti creati in formato cartaceo e successivamente trasformati in documenti elettronici, attraverso un processo di conversione analogico digitale, quindi, il documento elettronico viene definito dal codice dell’amministrazione digitale come la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti , e come si comprende costituisce un elemento indispensabile per la dematerializzazione dell’attività amministrativa. Per quanto riguarda le tipologie di firma elettronica il codice per l’amministrazione digitale prevede 4 tipi di firma, che differiscono fra loro
per il livello di attendibilità tecnica dell’identificazione del loro possessore.
piena prova fino al ricorso di falso della provenienza delle dichiarazioni di tutto ciò che sta scritto nel documento informatico da parte di chi lo ha sottoscritto; quindi questa firma garantisce l’assoluta riconducibilità del documento informatico al titolare della firma che viene posta attraverso il dispositivo di autenticazione personale, salvo che non sia data prova contraria. La firma elettronica qualificata conferisce piena efficacia ai documenti informatici e alle loro copie, ma questo vero a condizione che il documento si mantenga sempre su supporto informatico. Il documento deve mantenersi e memorizzato sempre su un supporto informatico; mentre un discorso diverso vale per le copie del documento informatico memorizzato su supporto analogico, perché la conformità all’originale deve essere attestata da un pubblico ufficiale autorizzato (questo stabilisce l’art.23 del codice per l’amministrazione digitale). Ora la firma digitale costituisce un particolare tipo di firma elettronica qualificata, anche qui abbiamo l’utilizzo di un certificato qualificato ma l’impiego in più è che presuppone l’utilizzo di un sistema di chiavi criptografiche. Una chiave viene detta chiave pubblica ed è contenuta nel certificato qualificato, l’altra chiave è chiamata chiave privata è custodita dal suo proprietario cioè dal sottoscrittore. Queste chiavi sono collegate fra di loro in modo tale che consente al titolare (tramite la chiave privata) e al destinatario (con la chiave pubblica) di manifestare, per quanto riguarda il titolare della chiave privato; il destinatario potrà invece verificare (attraverso la chiave pubblica) la provenienza e l’integrità del documento informatico o di un insieme di documenti informatici sottoscritti con la firma digitale. Quindi la firma digitale consente al titolare (tramite la chiave privata) e al destinatario del documento informatico (tramite la chiave pubblica) di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. Le due espressioni che spesso vengono utilizzate come sinonimi, cioè firma elettronica e digitale, in realtà non esprimono affatto lo stesso concetto perché la firma elettronica detta così facendo intendere forse alla firma elettronica semplice ma non è così; mentre il discorso sulla firma digitale è un discorso specifico che fa riferimento a un tipo ben determinato di tecnologia e di autenticazione elettronica e cioè quella della criptografia con l’utilizzo delle due chiavi a-simmetriche. La firma digitale consente al titolare (tramite la chiave privata) e al destinatario (attraverso la chiave pubblica) di rendere manifesta e di verificare la provenienza e l’integrità di
un documento informatico. Per essere utilizzata validamente deve: -essere riservata
requisiti. La terza tipologia di qualificatore è data dalle pubbliche amministrazioni e questi vengono definite anche come certificatori pubblica amministrazioni accreditati, che trovano riscontro nell'art.29 del cad. anche in questo caso spetta all’AGID riconoscere che l’ente pubblico è conforme ai requisiti di qualità e sicurezza di livello superiore e oltre che ovviamente, di solidità finanziaria e di abilità come abbiamo visto per le precedenti tipologie di certificatori. Le principali attività che deve svolgere sono quelle di verificare e attestare l’identità e la qualità professionali del richiedente, in secondo luogo dovrà stabilire un termine di scadenza dei certificati qualificati così come delle chiavi informatiche utilizzate per l’applicazione della firma e questo avverrà considerando la loro robustezza cioè la loro sicurezza e capacità di offrire un’adeguata garanzia sotto il profilo informatico ma anche giuridico e comunque sin da subito il certificato qualificato possiede un termine di scadenza che non sarà mai superiore ai 3 anni. Ancora è di pertinenza del certificatore emettere e pubblicare online l’elenco dei certificati e le chiavi pubbliche, questo andrà fatto in un apposito archivio pubblico gestito dal certificatore; da ultimo il certificatore può revocare così come sospendere i certificati qualificati. Il certificatore ha un ruolo estremamente delicato che adotta specifiche misure di sicurezza ed è in relazione a delle responsabilità ben precise e che vengono elencate dall’art.30 del decreto legislativo 82 del 2005, inoltre il codice penale all’art.640 punisce con la reclusione fino a 3 anni e con una multa da 51 a 1032euro il soggetto certificatore che violi gli obblighi previsti dalla legge per il rilascio del certificato qualificato al fine di procurare a se o ad altri un ingiusto profitto, ovvero, di recare ad altri un danno; siamo nell’ambito del reato di frode informatica del soggetto che presta servizi di certificazione di firma elettronica. L’art.28 del nuovo codice dell’amministrazione digitale, nel disciplinare la struttura del certificato qualificato, prevede che il certificato debba contenere almeno le seguenti informazioni: · l’indicazione che il certificato elettronico rilasciato sia qualificato; · un numero di serie o un altro codice identificativo de certificato; · il nome o lo pseudonimo, il codice fiscale del titolare del certificato qualificato; · i dati per la verifica della firma, ad esempio l’indicazione della chiave
pubblica; · il periodo della validità del certificato, che non può essere superiore ai 3 anni; · la firma elettronica del certificatore che ha rilasciato il certificato, proprio come ulteriore garanzia e sicurezza. L’art.28 al terzo comma prevede che il certificato di firma elettronica qualificata possa contenere ove richiesto dal titolare o da terzo interessato, le seguenti informazioni: · qualifiche specifiche del titolare come l’appartenenza ad ordini professionali, a collegi professionali, la qualifica di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali nonché poteri di rappresentanza e questo è molto importante, dicevamo, l’inserimento della qualifica dove uno stesso soggetto più firme digitali o elettroniche qualificate da spendere in diversi ambiti della propria attività; magari tizio potrebbe avere una firma come amministratore di condominio ed essere dotato di una firma elettronica avanzata in quanto appartenente ad un ordine professionale o ad un collegio professionale o magari come insegnante, ecco diversi sono i settori nei quali lo stesso individuo può esplicare la propria attività e quindi ben precisate devono essere le qualifiche specifiche del titolare che gli consentono di usare una determinata firma elettronica e non un’altra. · Un’altra indicazione è data dai limiti di uso del certificato, cioè andare a precisare quali sono i limiti giuridicamente validi entro i quali quel certificato qualificato, e di conseguenza la firma elettronica che gli corrisponde, può essere lecitamente utilizzato. · Da ultimo abbiamo anche i limiti di valore, cioè andare a specificare se quel certificato qualificato può essere validamente utilizzato per esempio per negozi giuridici che non superino un certo limite di valore e questo appunto è valido per gli atti unilaterali o per i contratti nei quali il certificato può essere utilizzato. L’attività di certificazione viene affidata a soggetti certificatori che rilasciano i certificati qualificati, cioè, degli attestati elettronici che collegano i dati di verifica di una firma a una persona quindi stabiliscono proprio questa
scadenza. Naturalmente la revoca del certificato è una condizione definiva, la sospensione è una condizione transitoria che potrà evolvere o in una revoca vera e propria o nell’annullamento della sospensione; bisogna ricordare che le firme digitali generate sulla base di un certificato scaduto, arrivato quindi al suo naturale termine di esistenza, revocato o sospeso non producono alcun effetto giuridico essendo equiparate ala mancata sottoscrizione. La revoca e la sospensione possono avvenire in diversi casi, facciamo qualche esempio: nel caso di sottrazione o di smarrimento del dispositivo di firma oppure quando le informazione contenute nel certificato non risultano più corrette, per esempio tizio risulta dal certificato qualificato come amministratore unico di una società , ma se lascia la società stessa è il certificato qualificato corrispondente a quella firma elettronica dovrà essere revocato. Quindi è possibile che possano nascere delle problematiche legate alla necessità di fluire di un documento informatico sottoscritto da una firma digitale, in un momento temporale successivo a quello in cui la firma è stata prodotta, cioè in altri termini potrebbe essere necessario riuscire a collocare nel tempo e in modo opponibile a terzi l’esistenza della firma nel documento informatico, in modo tale da poter dimostrare che quella firma elettronica è stata prodotta e apposta in un momento in cui il certificato qualificato era ancora valido. Per fare questo si può utilizzare, ad esempio, il servizio di marcatura temporale; un servizio che deve essere reso disponibile proprio come stabilito dalla legge a tutti i titolare dai certificatori di riferimento. Secondo quanto stabilisce l’art.41 del cad la marcatura temporale costituisce un riferimento temporale opponibile a terzi, che colloca la generazione della firma in un momento precedente all’eventuale scadenza, sospensione o revoca del certificato qualificato. La marcatura temporale contiene la data e l’ora nella quale è stata emessa, il nome dell’emittente della marca e l’impronta del documento a cui la marca temporale si riferisce; dunque l’impronta del documento in realtà viene generata con lo stesso sistema utilizzato per la generazione delle chiavi asimmetriche che costituiscono tutto il fulcro del procedimento di firma digitale, per cui chiunque può verificare la data e l’ora di apposizione della firma utilizzando la chiave pubblica che in questo caso sarà abbinata alla chiave privata del certificatore che aveva apposto la marcatura (la differenza sostanzialmente sta proprio in questo aspetto! Che la chiave privata ora appartiene al certificatore che appone la marcatura temporale che fornisce il servizio),
quindi noi potremmo avere anche un documento informatico contenente ben due firme: una firma potrebbe essere la sottoscrizione digitale dell’autore del documento; e l’altra firma la sottoscrizione digitale del certificatore, cioè, la marca temporale. Venendo meno la validità del certificato viene meno l’efficacia probatoria del documento così come la marca temporale, per evitare questo è possibile prima della scadenza del certificato prolungarne la validità facendovi apporre una nuova marca temporale; è importante che questo procedimento di inserire una nuova marcatura temporale venga fatto prima della scadenza della validità del certificato, perché altrimenti non avrà alcun valore e l’operazione che stiamo esaminando deve essere rinnovata ad ogni scadenza altrimenti succede che quel documento informatico è come se sia stato firmato con una firma elettronica semplice e debole; ovvero sarà liberamente valutabile dal giudice in un eventuale giudizio considerando le peculiari caratteristiche di sicurezza, di integrità, di garanzia e tutti gli altri aspetti che vengono regolati dal codice dell’amministrazione digitale. Quindi mentre la sottoscrizione autografa cioè quella che andiamo a fare di nostro pugno, una volta posta al documento non necessità di ulteriori attività oltre alla necessaria conservazione del supporto cartaceo; viceversa il documento informatico ha un efficacia provvisoria che è subordinata alla condizione del verificarsi in futuro di determinati eventi. LA POSTA ELETTRONICA La posta elettronica è un servizio di internet grazie al quale ogni utente abilitato può inviare o ricevere messaggi, utilizzando il computer o qualsiasi altro dispositivo elettronico come ad esempio un palmare, un cellulare (sempre che questo dispositivo sia connesso alla rete attraverso un account posta da registrare verso un provider del servizio). La nascita della posta elettronica risale al 1971 quando Ray" Tomlinson installo su arpanet un sistema in grado di scambiare messaggi tra le varie università, ma comunque la posta elettronica rappresenta la controparte digitale ed elettronica della posta ordinaria e cartacea; a differenza di quest’ultima il ritardo con cui la posta elettronica arriva al mittente è normalmente di pochi secondi o minuti anche se ci possono essere delle eccezioni che ritardano il servizio di recezione fino a qualche ora e per questa comodità del servizio la posta elettronica rappresenta una rivoluzione per quello che riguarda inviare o ricevere posta con la possibilità di allegare qualsiasi tipo
essere stato, senza sua colpa, nell’impossibilità di avere avuto notizia; a questo punto una volta che la pec arriva a destinatario il mittente ha esaurito tutto ciò che è nella sua sfera di adempimento e l’onere della prova si trasferirà al soggetto destinatario che dovrà approvare di essere stato, senza sua colpa, di non avere avuto notizia del contenuto. I soggetti coinvolti nel servizio di posta elettronica certificata sono sempre il mittente, il destinatario e il gestore del servizio! Il gestore del servizio è un soggetto che può essere sia pubblico che privato, iscritto a un apposito elenco che a sua volta è tenuto dal centro nazionale per l’informatica della pubblica amministrazione, cioè dal CLIPA, ora divenuto DIGIT PA ed è quel servizio che eroga il servizio di posta elettronica certificata. L’adesione del servizio di posta elettronica certificata avviene attraverso un meccanismo che consiste nel fatto che il mittente dopo aver predisposto il messaggio pec, lo sottopone al proprio gestore e quest’ultimo riconoscerà il mittente solo dopo la sua autenticazione e questo potrebbe avvenire attraverso l’inserimento di una password o username. A questo punto il gestore del mittente verifica la correttezza formale del messaggio pec e nel caso in cui questo abbia avuto un esito positivo restituisce al mittente la ricevuta di accettazione come riconoscimento dell’invio del messaggio, la ricevuta è firmata dal gestore dle servizio e garantisce l’integrità del messaggio e dei suoi allegati ( verifica che i messaggi non sono stati modificati dopo l’invio). Dopo aver firmato digitalmente la ricevuta il gestore del mittente invia il messaggio al gestore del destinatario, riferendolo in una busta di trasporto (anche questa firmata con una firma digitale) per permettere al destinatario di verificare l’inalterabilità del messaggio durante il trasporto. La firma contiene il messaggio e gli allegati che sono protetti dalla firma elettronica del gestore del servizio. Il gestore del destinatario dopo aver depositato il messaggio pec nella casella del destinatario firmerà al mittente una ricevuta di avvenuta consegna, con l’indicazione di venuta temporale nel quale la consegna è avvenuta. Questo può essere che entrambe le caselle di posta elettronica certificata abbiano lo stesso gestore, e a questo punto è chiaro che il meccanismo è semplificato, ma potrebbe darsi che i gestori siano diversi; se i gestori di pec sono diversi il gestore del destinatario invia al gestore del mittente una ricevuta di presa in carico (quini abbiamo una ricevuta ulteriore) chiamata
ricevuta di presa in carico e a questo punto è proprio il gestore del destinatario che dovrà procedere a tutti i controlli riguardanti la posta elettronica certificata, ad esempio, concernenti la provenienza- l’integrità del messaggio e la sicurezza del messaggio inviato. Qualora il messaggio del destinatario riscontri la presenza di virus informatici e di atre anomalie indicate dal decreto ministeriale 2 novembre 2005, in questo caso è obbligato a non accettare il messaggio di posta elettronica certificata e deve informare il mittente dell’impossibilità di dar corso alla trasmissione del messaggio; il mittente deve anche essere informato, sempre dal gestore del destinatario ( qualora sia diverso dal proprio gestore di posta elettronica certificata), lo stesso mittente deve essere informato anche nel caso in cui il messaggio non possa essere consegnato al destinatario entro le 24 dall’invio. Infine in caso di smarrimento di una delle ricevute presenti nel sistema di posta elettronica certificata, caso difficile ma che potrebbe verificarsi, è sempre possibile disporre presso il gestore del servizio di una traccia informatica di tutte le fasi della trasmissione e di fatti tutte le fasi della trasmissione vengono memorizzate e registrate in appositi archivi; questi archivi sono chiamati log e hanno lo stesso valore legale in termini di invio e di recezione per un periodo di 30 mesi, secondo quanto previsto dalla normativa. Cercando di sintetizzare la posta elettronica certificata ci dà una certezza giuridica in riferimento alla provenienza della posta elettronica e abbiamo una paternità certa, viene da quel determinato indirizzo di posta elettronica e quindi da quel determinato utente; ma la posta elettronica certificata a differenza di una raccomandata ricevuta di ritorno cartacea, garantisce anche sotto il profilo dell’integrità del documento! Cosa che in una raccomandata cartacea non riesce a garantire che il messaggio non è stato in alcun modo modificato ed è stato quindi depositato così come è stato scritto e depositato e inviato. Inoltre la posta elettronica certificata offre garanzie giuridiche anche concernenti la sicurezza del messaggio postale elettronico, ovvero che questo sia privo di virus e di altre anomalie informatiche. EPCM / PEC / MARCA POSTALE l'EPCM (Electronic Postal Certification Mark) è una tecnica di trasmissione telematica certificata creata dall’organizzazione mondiale degli operatori postali in collaborazione con microsoft. Può essere apposta solo dagli uffici postali e permette di verificare l’integrità del contenuto di un messaggio,
Un problema primario concerne l’email standard, la classica email inviata attraverso posta elettronica standard e ci si rimanda se quest’ultima viene considerata come un documento informatico sottoscritto o meno, con una firma elettronica semplice. In dottrina e in giurisprudenza si hanno dei pensieri sovrapposti, da un lato c’è chi ritiene l’email semplice sia da considerarsi come un documento informatico privo di firma e questo perché l’email in questione non offrirebbe alcuna garanzia che consenta di attribuire alla stessa una paternità certa e questo anche perché si ritiene possa essere rilevante il dispositivo di riconoscimento tramite l’username e la password che andiamo ad attualizzare quando eseguiamo l’acceso alla posta elettronica. L’accesso alla posta elettronica, in altri termini, effettuato attraverso l’utilizzo delle username e della password sembra privo della necessaria semi logica con i dati elettronici che costituiscono il messaggio di posta elettronica; per questo motivo il valoro probatorio dell’email in quanto documento “privo di firma” sarebbe da riverirsi nell’art. 2712 del codice civile secondo cui le produzioni informatiche fanno piena prova dei fatti e delle cose rappresentate solo se con lui contro il quale sono prodotte non ne contesta tempestivamente, disconoscendone la conformità a fatti o alle cose medesime; e questa è la prima linea di pensiero. Dall’altro lato si sostiene, secondo un’altra corrente di pensiero, che l’email è a tutti gli effetti un documento informatico sottoscritto con firma elettronica semplice, quindi non un documento privo di firma ma un documento informatico sottoscritto con firma elettronica semplice e come tale liberamente valutabile dal giudice tenuto conto delle caratteristiche oggettive, di qualità, di sicurezza, integrità e di edificabilità dato che l’username e la password, che andiamo ad utilizzare per accedere alla casella di posta elettronica, sono veri e propri mezzi di identificazione informatica e come tali rientrano nella definizione di firma elettronica data dal legislatore; cioè non rientrano direttamente ma sicuramente in modo indiretto. Il documento informatico inviato con una semplice email che reca una firma può essere equiparato a tutti gli effetti al documento sottoscritto con firma elettronica semplice, questo è l’indirizzo prevalente in dottrina anche perché l’username e password sono dei mezzi di identificazione informatica; del resto utilizzando una semplice email non possiamo comunque dedurre da essa l’identificazione dell’utente che la sta inviando, anche se non in modo assistito dalle particolari garanzie che abbiamo
riscontrato per la pec ma comunque sappiamo l’indirizzo elettronico del mittente, l’ora, la data, l’oggetto e perfino il tragitto informatico che l’email ha effettuato per arrivare a destinazione. Quindi anche se la semplice email non è sostenuta dalle garanzie che invece avvolgono la pec e la marca postale elettronica comunque riguarda tutta una serie di elementi che la rendono diversa dagli altri. In considerazione delle profonde differenze che esistono tra la pec, la posta elettronica certificata e la posta elettronica standard il legislatore ha previsto che solo i documenti sottoscritti con firma elettronica avanzata, qualificata o digitale abbiamo l’efficacia di scrittura provata che è prevista dall’art. 2701 de codice civile, quindi, solo nel caso di cui l’email sia sottoscritta con firma elettronica avanzata, qualificata o digitale e in questo caso l’email avrà l’efficacia di scrittura privata prevista dall’art. 2702. Mentre per quanto riguarda il messaggio di posta elettronica semplice, come abbiamo visto dovrà ritenersi che sia demandato al giudice il compito di valutare nel caso concreto, quindi caso per caso, se l’email che venga prodotta in giudizio possa considerarsi attendibile o meno e questo sarà da valutare ponendola in relazione anche agli latri elementi probatori acquisiti. In conclusione il legislatore avviò, nel corso degli anni, tutta una serie di riforme di tipo organizzativo che prevedono l’adozione degli strumenti informatici, e questo è avvenuto attraverso vari interventi normativi ai quali possiamo solo accennare ai principali. Per esempio potremmo ricordare l’art. 6 del decreto legislativo n.82 del 2005 attraverso il quale la pec viene menzionata e utilizzata come modo di comunicazione per ogni tipo di scambio di documenti e di informazioni tra le pubbliche amministrazioni e ai soggetti interessati come i cittadini che ne fanno richiesta e che hanno dato, preventivamente, il proprio indirizzo di pec. Successivamente possiamo sempre ricordare che attraverso gli art.16-16 bis del decreto legislativo 29 novembre 2008 n. 185, che poi è stato convertito nella legge n.2 del 2009 e quindi è stato stabilito l’obbligo per le aziende e per i professionisti iscritti in albi e in elenchi istituiti per legge, di dotarsi di indirizzo di posta elettronica qualificata e si è anche deciso di attribuire ai cittadini che ne facciano richiesta una casella di posta elettronica certificata il cui utilizzo abbia assolutamente effetto equivalente alla notificazione a mezzo posta. Inserire la legge che è intervenuta nel processo chiamato di