Che materia stai cercando?

Anteprima

ESTRATTO DOCUMENTO

LA MEMORIA DIGITALE DELLE AMMINISTRAZIONI PUBBLICHE

INTRODUZIONE

Lo sviluppo e la diffusione delle tecnologie dell’informazione e della comunicazione (ICT) stanno

velocemente cambiando i caratteri della nostra società. L’innovazione tecnologica è un obbiettivo sia della

pubblica amministrazione che delle imprese, in quanto necessitano di servizi pubblici efficienti e facilmente

accessibili. Queste nuove tecnologie hanno portato alla creazione di nuove aree applicative conosciute con i

nomi di e-Government, e-Procurement e e-Commerce.

e-Government si intende l’utilizzo delle ICT nelle pubbliche amministrazioni, in modo da migliorare i

Per e-Government

servizi pubblici e rafforzare i processi delle politiche pubbliche. Il piano d’azione per l’e-Government

elaborato dallo Stato italiano nel 2000 prevede:

 Accesso telematico per cittadini ed imprese ai servizi di pubblica utilità;

 Evitare che i cittadini siano costretti a trasmettere più volte i propri dati ai vari uffici;

 Fare in modo che le varie amministrazioni si passino i documenti richiesti di volta in volta;

 Promozione dell’integrazione tra amministrazioni diverse.

Per quanto riguarda l’interazione on-line tra utenti e pubblica amministrazione, questa può variare da un

livello minimo (informazioni sui procedimenti amministrativi) ad un livello massimo (completo svolgimento

di tali procedimenti); l’obbiettivo è appunto quello di svolgere tutti i procedimenti di maggior interesse per

via telematica.

e-Procurement

L’e-Procurement può essere definito come l’insieme delle tecnologie, delle procedure e delle modalità che

consentono ad un soggetto economico di acquistare beni e servizi in modalità on-line. Le direttive in merito

si sono occupate in particolar modo delle gare on-line; esse affermano che:

 Le amministrazioni possono far uso delle tecniche di acquisto elettronico in quanto aumentano la

concorrenza;

 Occorre prevedere norme adeguate al corretto svolgimento di tali gare;

 È opportuno porre sullo stesso piano i mezzi elettronici e quelli classici.

La diffusione dei sistemi informatici di e-Procurement rende ancora più urgente la ricerca di soluzioni

efficaci che consentano di conservare la memoria digitale in un unico archivio, onde evitare disguidi legati

alla sua frammentazione.

e-Commerce

Per e-Commerce si intende un sistema di transazioni commerciali compiute per via telematica, che coinvolge

un numero potenzialmente illimitato di utenti. L’e-Commerce può essere classificato in base ai soggetti

coinvolti nelle transazioni:

 Business to Business (B2B, tra aziende),

 Business to Consumer (B2C, tra azienda e consumatore)

 Business to Administration (B2A, tra aziende e pubbliche amministrazioni).

Lo Stato italiano ha consentito, nell’ambito del commercio elettronico, l’emissione di fatture elettroniche.

I vantaggi di tale commercio sono indiscutibili: riduzione dei tempi tra l’acquisizione di un ordine e

la sua evasione; automazione totale dei processi di gestione degli ordini e delle fatture; partecipazione al

mercato elettronico; riduzione significativa dei costi. - 1 -

CAPITOLO 1.

PROBLEMATICHE CONNESSE ALLA PRODUZIONE, ARCHIVIAZIONE E CONSERVAZIONE

DEI DOCUMENTI INFORMATICI.

Lo studio delle problematiche connesse alla produzione, archiviazione e conservazione dei documenti

informatici richiede una breve panoramica sui documenti in generale, in modo da chiarire quali siano le sue

caratteristiche e quali di queste lo rendano degno di fede; inoltre, si potrà così verificare se e come queste

caratteristiche possano applicarsi ai documenti informatici.

1.1 Il documento: definizione ed elementi costitutivi.

La parola documento presenta diversi significati:

Ogni mezzo che consente di tramandare la memoria di un fatto, provandone l’esattezza e le modalità.

- Soprattutto: l’atto giuridico che si concretizza in una scrittura.

Testimonianza di qualunque genere (può essere uno scritto, un’opera, etc.) che, appartenendo a un

- dato ambiente o periodo o civiltà, ne è espressione e in qualche modo lo rappresenta e consente di

conoscerlo.

- Qualunque oggetto materiale che può essere usato (in originale o in riproduzione) come strumento di

studio, di consultazione o di indagine.

- Prova, dimostrazione, testimonianza, attestazione. Ovvero oggetto che serve a provare, dimostrare o

attestare qualcosa.

Tutte queste definizioni hanno in comune la concezione del documento come una cosa materiale (res) sulla

quale sono impressi dei segni (res signata) che rappresentano un atto o un fatto, di cui si vuole serbare

memoria. Il documento si forma sempre in presenza del fatto da rappresentare: la sua natura è di cosa

rappresentativa; il suo valore, però, non è determinato dalla consistenza della res in sé (a parte i casi in cui si

tratta di un documento storico di pregio) ma dalla sua capacità di rappresentare un determinato atto o fatto.

E’ quindi un bene di valore strumentale, perché fonte di conoscenza della realtà che in esso è rappresentata,

in quanto la sua formazione può essere utile alla validità dell’atto documentato.

ed ha carattere accessorio,

Poiché l’utilità di un documento consiste nel fatto che tramite esso un soggetto può dimostrare di essere il

proprietario o di avere il diritto di godere di un determinato bene, è ovvio che ne venga assicurata la

conservazione nel tempo. Pertanto, i segni che rappresentano l’atto o il fatto devono essere impressi sulla res

in modo stabile. Il requisito di stabilità si applica sia al supporto che al contenuto del documento; il primo

deve essere tale da rimanere integro per un arco temporale sufficientemente ampio mentre il secondo non

deve potersi modificare in alcun modo.

Poiché un documento viene prodotto per avere memoria di determinati atti o fatti, è implicito che esso debba

poter essere manifestato ai destinatari, ovvero a chiunque ne abbia interesse, e che questi debbono avere la

capacità di leggerlo e comprenderlo. Il documento, quindi, deve possedere le caratteristiche di accessibilità,

riproducibilità, trasferibilità e leggibilità.

prodotta dall’uomo, che può coinvolgere più soggetti. In merito,

Il documento è una cosa artificiale occorre

distinguere l’autore, cioè il responsabile del contenuto intellettuale del documento; lo scrittore, ossia colui

che materialmente redige il testo ed è responsabile della forma grafica; ed il sottoscrittore, ossia la persona

la paternità, eventualmente rappresentando un organo pubblico, un’impresa o un’altra

fisica che ne assume

persona giuridica. Per certi tipi di documento questi tre soggetti sono la stessa persona, per altri coincidono

soltanto l’autore e il sottoscrittore, per altri ancora sono tutte entità distinte.

La condizione essenziale affinché un soggetto possa essere considerato l’autore o il sottoscrittore di un

di produrlo. Ciò implica, tra l’altro, l’assoluta padronanza

documento è che questi abbia avuto la volontà

per rappresentare l’atto o il fatto e per fissare tale rappresentazione sul supporto in

degli strumenti utilizzati

forma stabile. Ad esempio, con riferimento a un documento cartaceo, l’autore deve conoscere il mezzo

scrittorio ed essere sicuro che con esso sia possibile fissare su carta dei segni che rimarranno tali nel tempo;

solo così potrà essere consapevole del testo che sottoscrive e pronto ad assumersi le relative responsabilità.

Un documento si definisce autentico quando è integro e riconducibile con certezza al suo autore;

l’assunzione di paternità di un documento avviene con l’apposizione, normalmente in fondo al testo, di una o

più firme. - 2 -

La firma è un gesto grafico autochiro che ha due funzioni:

- indicativa, che permette di individuare ed identificare il sottoscrittore del documento;

che consiste nell’assunzione della paternità delle dichiarazioni contenute nel

- dichiarativa,

documento da parte del sottoscrittore stesso.

Il ricorso alla firma si fonda su alcuni presupposti:

a) che la firma di una persona sia stabile nel tempo, cioè che non vari dal punto di vista grafologico;

b) che essa sia il sostituto più plausibile di quella persona;

c) che essa sia il sigillo (cioè la conferma) della sua volontà.

Una sottoscrizione può essere autenticata da un notaio o da un altro pubblico ufficiale a ciò autorizzato;

l’autenticazione consiste nell’attestazione da parte del pubblico ufficiale che la firma è stata apposta in sua

presenza dopo che egli ha accertato l’identità del sottoscrittore o dei sottoscrittori.

Un documento è inoltre localizzato, cioè prodotto in un determinato luogo e in una certa data. Questi due

elementi, luogo e data di formazione, andrebbero sempre esplicati nel documento per rendere possibile la

riferibilità dello stesso ad un determinato periodo temporale e quindi la sua collocazione in un certo contesto

giuridico e istituzionale. Inoltre, la presenza di queste due informazioni facilita il lavoro dell’operatore

archivistico che lo deve ricollegare ai suoi precedenti e susseguenti, inserendolo correttamente nel fascicolo

relativo all’affare o al procedimento a cui si riferisce. L’originale è la prima stesura

Infine, un documento può presentarsi nello stato di originale o di copia. dell’originale sarà

definitiva del documento. Una copia, invece, è una riproduzione. Ovviamente la funzione

più elevata rispetto alla copia, della quale tra l’altro non si conosce il grado di attendibilità.

1.2 Il documento giuridico.

Il documento giuridico è definito come una cosa (res) che porta con sé la rappresentazione di un fatto

avente rilevanza giuridica. In questo caso, rispetto a un normale documento, si aggiunge la condizione di

rilevanza giuridica dell’atto o del fatto rappresentato. Tuttavia, si rileva che un qualsiasi documento formato

per rappresentare un atto o un fatto di natura privata, o comunque sia non giuridica, in determinate

circostanze, non previste al momento della redazione, può svolgere una funzione giuridica.

Per un atto giuridico la forma scritta può essere richiesta ad substantiam o ad probationem; nel primo caso

essa è necessaria per la validità dell’atto stesso mentre, nel secondo caso, è richiesta solo a fini probatori.

Tra i documenti giuridici rivestono particolare importanza gli atti pubblici e le scritture private. L’art. 2699

l’atto come “il documento redatto, con le richieste formalità, da un notaio o da

del c.c. definisce pubblico

altro pubblico ufficiale autorizzato ad attribuirgli pubblica fede nel luogo dove l’atto è formato”. L’atto

pubblico esprime il massimo grado di certezza accordabile ad un mezzo di prova. Si tratta, infatti, di un

documento dotato di fede privilegiata ed è considerato prova legale (a meno che non si sia esperita, con esito

favorevole, una querela di falso).

Tutte queste capacità sono riconosciute ad un atto pubblico a condizione che:

a) la sua redazione sia effettuata da un pubblico ufficiale autorizzato ad attribuirgli pubblica fede;

b) il pubblico ufficiale abbia la competenza territoriale e non si trovi in una condizione di

incompatibilità;

c) siano rispettate le formalità previste dalla legge.

Qualora venga meno uno di questi requisiti, viene meno la forza giuridica di atto pubblico di fede

privilegiata, ma rimane valido l’accordo siglato tra le parti in presenza del notaio e il documento mantiene

un’efficacia probatoria equivalente ad una scrittura privata.

Per scrittura privata si intende, invece, un documento redatto liberamente e sottoscritto da privati che si

assumono la paternità delle dichiarazioni in esso contenute. Una scrittura privata può essere autenticata da un

notaio o da un atro pubblico ufficiale autorizzato. - 3 -

1.3 Il documento amministrativo.

Il documento amministrativo è definito nell’art. 1 del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico

delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, come

“rappresentazione del contenuto di atti, anche interni, delle pubbliche amministrazioni, o comunque utilizzati

ai fini dell’attività amministrativa”. Rientrano, pertanto, nella categoria dei documenti amministrativi anche

gli atti di diritto privato, formati anche da soggetti privati, purché il loro contenuto sia espressione di attività

finalizzate alla cura di interessi amministrativi.

si identifica “qualunque manifestazione unilaterale

Con il termine atto amministrativo di volontà, di giudizio

e di conoscenza di una pubblica amministrazione, avente capacità di produrre effetti giuridici nei confronti di

terzi”. L’atto amministrativo per eccellenza è il provvedimento che realizza la tutela di un interesse pubblico.

Gli elementi costitutivi di un atto amministrativo si distinguono in essenziali e accidentali. I primi sono

necessari giuridicamente per dar vita all’atto, i secondi sono componenti eventuali, che non necessariamente

devono essere contenuti in ciascun atto.

Tra gli elementi essenziali di un atto amministrativo figurano:

l’autore, che deve essere un soggetto competente e legittimato all’emissione dell’atto;

- che è l’organo pubblico o il soggetto privato nei cui confronti si producono gli effetti

- il destinatario, La mancanza di questo elemento comporta la nullità dell’atto;

del provvedimento.

- la volontà, in quanto nessun atto è tale se non è stato consapevolmente voluto;

l’oggetto,

- ogni atto deve avere un oggetto, cioè una situazione, un bene, una persona nei cui

confronti prevede determinati effetti giuridici;

indica i presupposti che giustificano l’emanazione dell’atto;

- il preambolo,

- le motivazioni, specificano le ragioni che sono il fondamento della decisione;

ovvero lo scopo dell’atto;

- le finalità, è la parte precettiva dell’atto che, come l’oggetto, deve essere possibile e lecito;

- il dispositivo,

è il modo con cui l’atto viene emesso.

- la forma

Tra gli elementi accidentali, invece, ricordiamo:

indica il momento di inizio e fine dell’efficacia dell’atto;

- il termine che subordina l’inizio o la cessazione dell’efficacia dell’atto al verificarsi di un evento

- la condizione,

futuro e incerto;

l’onere,

- può essere apposto ad atti che determinano un ampliamento della sfera giuridica dei

destinatari;

- le riserve, sono atti con cui la pubblica amministrazione si riserva di adottare provvedimenti futuri in

relazione allo steso oggetto.

1.4 Il documento archivistico.

Il documento archivistico può essere definito come il documento prodotto da una persona fisica o giuridica

durante l’esercizio delle sue funzioni. Esso viene prodotto in modo naturale, in quanto deriva da necessità

pratiche; essendo di natura pratica, sarà strettamente legato ai documenti precedenti e successivi e al suo

produttore.

L’insieme delle relazioni logiche e formali che intercorrono tra i documenti prende il nome di vincolo o

nesso archivistico; questo è caratterizzato dalla naturalezza (nasce spontaneamente) e dalla necessarietà

(non può non esserci). L’elemento costitutivo di un archivio è proprio il vincolo archivistico; il vincolo

archivistico si divide in:

 Vincolo archivistico interno (tra documentazione realizzata e conservata dall’ente produttore);

 Vincolo archivistico esterno (tra ente produttore, unità referenti ed archivio prodotto);

 Vincolo istituzionale esterno (tra ente produttore e realtà istituzionale nella quale opera);

 Vincolo istituzionale interno (tra ente produttore e realtà sociali che si collegano con esso).

L’esigenza di evidenziare e preservare il vincolo archivistico spinge alla formazione di fascicoli, che sono

unità archivistiche contenenti i documenti relativi ad un determinato procedimento amministrativo: un

fascicolo può articolarsi in sottofascicoli ed in inserti; la formazione dei fascicoli è guidata dal titolario di

- 4 -

classificazione, un insieme di partizioni astratte (categorie, classi e sottoclassi) gerarchicamente ordinate che

rispecchiano le necessità del produttore. Un titolario di classificazione deve essere dettagliato, ma non deve

perdere la sua visione d’insieme; i documenti saranno ordinati in base all’oggetto.

Le operazioni che permettono di identificare un documento archivistico ed esplicitare le relazioni che lo

legano ai suoi contigui sono:

 (fissa il momento dell’ingresso di

la registrazione di protocollo un documento nella memoria

dell’ente) che contiene un numero di informazioni minime quali numero di protocollo, data di

registrazione, dati del mittente e del destinatario, oggetto;

 la classificazione (associazione di un documento ad una data categoria del titolario);

 (inserimento nell’unità archivistica che contiene i suoi precedenti).

la fascicolazione

In base a questi tre passaggi il documento si arricchisce di nuove informazioni: numero di protocollo, indice

di classificazione e numero di fascicolo.

documento acquisito dall’ente inizialmente di dispone nell’archivio

Il corrente insieme agli altri documenti

relativi agli affari in corso; esauritisi gli affari, passa nell’archivio di deposito; infine, dopo un periodo di

all’archivio L’operazione di

circa 40 anni, il documento passa, previe operazioni di scarto, storico.

spostamento dei fondi archivistici nell’archivio storico prende il nome di versamento (se i due soggetti

hanno la stessa natura giuridica), di deposito (se hanno natura differente), di donazione o alienazione(se tra

due soggetti di natura diversa il produttore cede a titolo gratuito o oneroso). Per quanto riguarda lo scarto,

appare sempre difficile trovare dei criteri in base ai quali decidere quali documenti mandare al macero;

tuttavia, vista la tendenza dei documenti a tipizzarsi, la compilazione dei massimari di scarto serve a questo

scopo. Un massimario di scarto è una sorta di titolario nel quale per ogni categoria sono indicati i tempi

minimi di conservazione.

si dispongono solitamente secondo l’ordine dato dal produttore (ordine

I documenti archivistici originario);

qualora questo non sia possibile si ricorre al metodo di provenienza, o metodo storico, grazie al quale si

ricostruisce l’ordine originario ricostruendo il contesto dell’archivio.

1.5 Il documento informatico

Il documento informatico è definito nell’art. 1, c. 1, lett. b), del D.P.R. 28 dicembre 2000, n. 445, recante il

testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, come

“la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. Tale definizione esalta la

capacità del documento informatico di rappresentare una realtà con un linguaggio digitale interpretabile dal

computer. Un documento informatico è sempre costituito da un insieme di valori binari registrati su un

supporto di memorizzazione che, attraverso un processo di lettura e decodifica, eseguito in un determinato

ambiente tecnologico composto da hardware, software applicativo e software di base, diventa

rappresentativo di atti, fatti o dati giuridicamente rilevanti. Tra le caratteristiche dei documenti informatici

ricordiamo:

 la firma elettronica;

 l’attribuzione di una data certa;

 l’immodificabilità del contenuto e della forma;

 la volontà dell’autore;

 i supporti di memorizzazione;

 la riproducibilità;

 l’accessibilità;

 la trasferibilità;

 la sicurezza informatica;

1.5.1 Firma elettronica l’insieme dei dati in forma elettronica utilizzati come metodo di

La firma elettronica è definita come

autenticazione informatica. Essa è sostanzialmente diversa dalla firma autografa, ma, se generata nel

rispetto delle regole tecniche e procedurali previste dalla normativa vigente, possiede una forza giuridica

equivalente. - 5 -

europea, dopo aver rilevato la necessità dell’introduzione di

Il Parlamento europeo e il Consiglio dell’Unione

firme elettroniche e dei servizi ad esse relativi per lo sviluppo del commercio elettronico, con la direttiva 13

dicembre 1999, n. 93/CE, ha stabilito un insieme minimo di regole e di requisiti tecnici che tutti gli Stati

membri devono rispettare. Inoltre, l’art. 9, c. 1, della direttiva citata, ha istituito un comitato per la firma

elettronica con il compito di fissare le norme generalmente riconosciute per i prodotti e i servizi di firma

elettronica. L’Italia, come gli altri Stati membri dell’Unione europea, ha recepito le direttive contenute in

questa direttiva e ha dato origine ad un complesso di norme a tal proposito.

La firma autografa La firma elettronica

cartaceo, divenendo un tutt’uno con

- Si fissa sul supporto - Può essere trasferita da un supporto ad un altro senza per

il documento a cui si riferisce questo perdere di validità

E’ un segno grafico tracciato di proprio pugno dal E’ una sequenza binaria

- - generata con un algoritmo

sottoscrittore crittografico

E’ leggibile e valutabile dall’uomo in modo diretto E’ verificabile solo attraverso il computer

- -

E’ un segno che si ripete con le stesse caratteristiche in una sequenza binaria che, pur essendo generata da

- - E’

ogni documento sottoscritto dallo stesso soggetto uno stesso soggetto, è diversa per ogni documento

- Mantiene le sue caratteristiche nel tempo - Ha una vita relativamente breve

Sotto il profilo tecnico, la firma elettronica diffusa in Italia è una firma digitale, ossia il risultato di un

a chiavi asimmetriche applicato all’impronta digitale del file contenente la

algoritmo di crittografia

rappresentazione del documento.

►CRITTOGRAFIA

Il termine crittografia indica la scienza che studia i sistemi segreti di scrittura, ovvero i metodi per rendere un

testo comprensibile solo a chi conosce un determinato codice o chiave. Con riferimento ai documenti

informatici, la finalità principale di un processo crittografico è quella di garantire la loro riservatezza in ogni

operazione di trattamento. La crittografia comprende una fase di codifica e una fase di decodifica. La prima

consiste nell’applicare al file, contenente la rappresentazione digitale del documento, una funzione

matematica che, utilizzando un codice Kc denominato chiave di codifica, produce una configurazione

binaria tale da non permettere a chiunque e con qualunque software la visualizzazione o la stampa del

documento. La seconda, invece, consiste nell’applicare al file crittografato un’altra funzione matematica che,

utilizzando il codice Kd denominato chiave di decodifica, riproduce la configurazione binaria di partenza

(VEDI SCHEMA 1.3 - PAG. 40).

Si parla di crittografia simmetrica quando la chiave di codifica Kc è uguale alla chiave di decodifica Kd,

ovvero si utilizza lo stesso codice per codificare e decodificare il documento. Il Triplo-DES (3-DES, che

utilizza chiavi a 128 bit) è sicuramente il più noto e diffuso algoritmo di crittografia simmetrica.

Se la chiave di decodifica Kc è diversa da quella di decodifica Kd si parla di crittografia a chiavi

asimmetriche. Ogni soggetto che utilizza un algoritmo di questo tipo, deve dotarsi di una coppia di chiavi,

una pubblica K ed una segreta K . La prima deve essere resa nota a tutti, mentre la seconda deve essere

p s L’algoritmo assicura che:

conosciuta solo dal titolare della coppia.

da una chiave della coppia non è possibile risalire all’altra chiave della stessa coppia;

- se la codifica di un documento è eseguita con una chiave di una coppia, l’operazione

- inversa di

decodifica può essere effettuata solo con l’altra chiave della stessa coppia.

Da ciò consegue che per trasmettere un messaggio ad un destinatario in modo riservato, utilizzando un

algoritmo di crittografia asimmetrica, è sufficiente codificarlo con la chiave pubblica del destinatario. Così

facendo, infatti, il messaggio potrà essere decodificato solo da chi possiede la chiave segreta del destinatario

(l’altra chiave della stessa coppia) che per definizione solo lui può conoscere. L’algoritmo di crittografia a

chiavi asimmetriche più noto è l’algoritmo RSA (dalle iniziali dei nomi degli inventori Rivest, Shamir e

Adelman), che è stato introdotto nel 1978 e ancora oggi appare sicuro (VEDI SCHEMA 1.4 - PAG. 43).

Un algoritmo crittografico asimmetrico presenta lo svantaggio di essere più lento rispetto ad uno simmetrico

ma garantisce un grado di riservatezza più elevato. - 6 -

►HASH CRITTOGRAFICO

Il processo di generazione di una firma elettronica comprende l’applicazione di una funzione di HASH al

file contenente la rappresentazione digitale del documento. Si tratta di una funzione matematica che permette

di generare un’impronta digitale del file (o message digest), garantendo:

l’unidirezionalità, cioè l’impossibilità di risalire al documento informatico

- partendo dalla sua

impronta digitale; cioè l’impossibilità di generare una stessa impronta digitale a partire da

- la resistenza alle collisioni,

due file diversi (l’impronta digitale è univoca per ogni documento e questa è una cosa

la firma elettronica si crea applicando una funzione all’impronta).

importantissima perché

La resistenza alle collisioni è un requisito indispensabile, essendo la firma elettronica il risultato di un

processo crittografico applicato all’impronta digitale del documento informatico, se due documenti diversi

dessero origine alla stessa impronta, la firma generata a partire da questa potrebbe essere riferita

indifferentemente all’uno o all’altro documento con conseguente perdita della certezza giuridica.

più conosciuti sono l’MD5 che produce impronte digitali di 128 bit, l’SHA-1

Gli algoritmi di HASH e il

RIPEMD-160 che producono impronte a 160 bit.

►CERTIFICATORI

Una persona che intende munirsi degli strumenti necessari per la generazione delle firme elettroniche deve

rivolgersi ai cosiddetti certificatori, ovvero ai soggetti che prestano servizi di certificazione delle firme

elettroniche e altri servizi ad esse connessi. Il loro ruolo è fondamentale in quanto collegano i dati anagrafici

della persona alla chiave pubblica corrispondente a quella segreta che sarà utilizzata per firmare, garantendo

il trattamento riservato e sicuro di queste informazioni. Per questo motivo, l’art. 26, c. 1, del d.lgs. 7 marzo

2005, n. 82, recante il codice dell’amministrazione digitale, impone ai certificatori “il possesso dei requisiti

di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le

banche”.

Un certificatore si dice qualificato se, oltre a possedere i requisiti citati:

dimostra l’affidabilità

- organizzativa, tecnica e finanziaria necessaria per svolgere attività di

certificazione;

impiega personale dotato delle conoscenza specifiche, dell’esperienza e delle competenza necessarie

- per i servizi forniti;

- utilizza sistemi affidabili e prodotti di firma che garantiscano la sicurezza tecnica e crittografica dei

procedimenti;

- adotta adeguate misure contro la contraffazione dei certificati.

Un certificatore si dice accreditato se:

- è qualificato;

- ottiene dal CNIPA, su apposita richiesta, il riconoscimento del possesso dei requisiti del livello più

elevato, in termini di qualità e sicurezza;

- è una società di capitali con capitale sociale non inferiore a quello necessario ai fini

dell’autorizzazione all’attività bancaria.

L’elenco dei certificatori accreditati è tenuto dal CNIPA ed è consultabile per via telematica.

►CERTIFICATI ELETTRONICI

I certificatori emettono una serie di certificati elettronici, ossia degli attestati elettronici che servono per

attestare l’identità informatica dei titolari. Un certificato elettronico è caratterizzato da una data di scadenza,

che è specificata nel certificato stesso e stabilita dal certificatore in funzione della robustezza delle chiavi e

dei servizi a cui esse sono destinate. Prima di tale scadenza, il titolare si dovrà procurare una nuova coppia di

chiavi e quindi un nuovo certificato; tuttavia può anche accadere che il titolare ritenga compromessa la

segretezza delle sue chiavi o del dispositivo di firma, ad esempio per smarrimento, furto o distruzione

accidentale. In tal caso, egli potrà richiedere al certificatore la revoca o la sospensione del relativo certificato

elettronico che avverrà mediante la pubblicazione del codice identificativo dello stesso nelle apposite liste

pubbliche dei certificati revocati o sospesi (CRL e CSL). - 7 -

Il certificatore è obbligato a tenere registrazione, anche elettronica di tutte le informazioni relative ad un

certificato qualificato per un periodo non inferiore a 10 anni dalla data di scadenza o revoca, al fine di fornire

prova in eventuali procedimento giudiziari.

Un certificato elettronico qualificato deve essere sottoscritto digitalmente dal certificatore che lo emette, sia

per permettere a chiunque di identificare il soggetto responsabile dell’esattezza e della completezza delle

informazioni in esso contenute e sia per impedire qualsiasi modifica a questo insieme di dati successiva alla

sua emissione.

►GENERAZIONE DELLA COPPIA DI CHIAVI

per la sottoscrizione digitale deve avvenire all’interno del

La generazione di una coppia di chiavi

dispositivo di firma (smart card) rilasciato o indicato dal certificatore. Questo per garantire la segretezza

chiave di sottoscrizione, che sarà calcolata e memorizzata all’interno della smart card dove

assoluta della

rimarrà per l’intero periodo di validità. Oltre alla chiave di sottoscrizione, nel dispositivo di firma verrà

memorizzato anche, con un’apposita procedura, il relativo certificato elettronico. E’ evidente l’importanza di

utilizzare un dispositivo di firma sicuro che garantisca la segretezza della chiave di sottoscrizione e permetta

al titolare di proteggerla con un codice identificativo personale (PIN) o un sistema biometrico (basato sul

riconoscimento della sua impronta digitale oppure sulla scansione dell’iride). –

Riassumendo, il soggetto che intende munirsi di un prodotto di firma elettronica di seguito denominato

titolare - deve rivolgersi ad un certificatore. Il certificatore, dopo averlo identificato ed essersi accertato

dall’autenticità della richiesta, gli fornisce un dispositivo di firma sicuro insieme al software e all’hardware

necessari per lo svolgimento di tutte le operazioni connesse alla firma elettronica. Il titolare esegue il

processo di generazione delle chiavi di sottoscrizione, che avviene all’interno del dispositivo di firma, e poi

comunica al certificatore, attraverso un canale riservato, la chiave pubblica generata. Il certificatore, dopo

aver verificato il possesso della chiave segreta da parte del titolare e la bontà della coppia di chiavi generata,

emette il certificato elettronico, che collega i dati anagrafici del titolare alla chiave pubblica da questi

di controllo con la specificazione della data e dell’ora di emissione. Il

trasmessa, e lo registra in un giornale con un’apposita

certificato elettronico viene anche memorizzato nel dispositivo di firma del titolare

procedura di personalizzazione, abilitandolo alla generazione di firme elettroniche.

►GENERAZIONE E VERIFICA DI UNA FIRMA ELETTRONICA

Il processo di generazione di una firma elettronica comprende 4 fasi:

a) applicazione di una funzione di HASH al file contenente la rappresentazione del documento che si

vuole firmare, con conseguente generazione della sua impronta digitale a 160 bit. Questa operazione

avviene sulla stazione di lavoro (PC) del sottoscrittore;

introduzione, nell’apposito lettore, del dispositivo di firma (smart card) del sottoscrittore il quale è

b) all’operazione;

invitato a digitare il PIN per abilitarlo

invio dell’impronta digitale del file all’interno del dispositivo di firma e applicazione alla stessa di

c) un algoritmo crittografico asimmetrico (RSA) che utilizza la chiave segreta del sottoscrittore (di non

lunghezza non inferiore a 1024 bit) presente nella smart card. La firma elettronica è il risultato di

questo algoritmo crittografico ed è generata all’interno del dispositivo di firma. Questo assicura un

elevato livello di sicurezza informatica in quanto la chiave segreta non deve transitare sulla stazione

di lavoro del titolare dove potrebbero esserci dei software che, all’insaputa dell’utente, ne producono

una copia e la inviano a soggetti “malintenzionati”. Per lo stesso motivo, l’algoritmo crittografico

perché rimane protetto all’interno della smart card;

non può essere manomesso

d) invio del file che include la firma elettronica generata e il certificato elettronico del sottoscrittore. A

questo proposito, occorre citare l’art. 36 del d.P.C.M. 13 gennaio 2004 il quale specifica, infatti, che

“alla firma digitale deve essere allegato il certificato qualificato corrispondente alla chiave pubblica

da utilizzare per la verifica”. (VEDI SCHEMA 1.5 - PAG. 52) e si compone anch’esso di

La verifica di una firma elettronica è il processo inverso a quello di generazione

quattro fasi:

a) applicazione della funzione di HASH alla rappresentazione digitale del documento che si trova

all’interno del file firmato, con conseguente generazione della sua impronta digitale a 160 bit. - 8 -

b) decodifica della firma elettronica utilizzando la chiave pubblica che si trova nel certificato incluso

nel file firmato. Il risultato è l’impronta digitale di 160 bit che è all’origine della firma oggetto di

verifica.

L’impronta di cui alla fase a) viene confrontata con l’impronta

c) di cui alla fase b) e se coincidono:

- si ha la certezza che la firma elettronica corrisponde alla rappresentazione digitale del

documento, ovvero che questo non è stato modificato dopo la sottoscrizione (garanzia

dell’integrità);

- si presume che il sottoscrittore sia il titolare del certificato elettronico dal quale è stata

prelevata la chiave pubblica utilizzata per la decodifica della firma. Per definizione,

infatti, solo lui possiede l’altra chiave della coppia, quella segreta, memorizzata nella sua

smart card, che ha prodotto la firma verificata (funzione indicativa e dichiarativa). Da

notare che se il titolare consegna la sua smart card ad un’altra persona e gli comunica

anche il PIN questa può generare esattamente la sua firma.

d) Il testo del documento viene visualizzato a video insieme ai dati del sottoscrittore prelevati dal

certificato elettronico allegato alla firma, a dimostrazione dell’esito favorevole del test di cui alla

fase c). (VEDI SCHEMA 1.6 - PAG. 54).

L’esito favorevole del test di cui alla fase c) del processo di verifica non è sufficiente per affermare che una

firma elettronica è valida, ma occorre accertarsi che al momento della sottoscrizione il certificato elettronico

non era scaduto, revocato o sospeso. L’art. 21, c. 3,

corrispondente alla chiave utilizzata per la sottoscrizione

del codice dell’amministrazione digitale dichiara, infatti, che “l’apposizione ad un documento informatico di

una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico

revocato, scaduto o sospeso equivale a mancata sottoscrizione”.

Per sapere se al momento della sottoscrizione il certificato era revocato o sospeso, è necessario accedere alle

liste dei certificati revocati e sospesi (CRL e CSL) che, per disposizioni di legge, sono predisposte,

aggiornate e pubblicate con tempestività dal certificatore.

1.5.2 Attribuzione di una data certa

Dal punto di vista archivistico e giuridico, è fondamentale conoscere la data del documento, ossia la data in

formato l’originale. Passando dal documento cartaceo al documento informatico questa esigenza

cui viene

aumenta in misura esponenziale perché per verificare la validità di una firma elettronica ad esso associata,

occorre risalire alla data della sua generazione e accertare che, a quel periodo, il certificato elettronico

relativo alla chiave di sottoscrizione non era scaduto, revocato o sospeso. Pertanto, non solo è opportuno che

il documento sia localizzato, specificando nel testo la data e il luogo di formazione, ma occorre anche che

questi dati siano autenticati da un soggetto terzo in grado di conferirgli il valore di certezza giuridica.

Per assegnare una data certa ad un documento si può ricorrere alla generazione di una marca temporale, che

viene prodotta da un sistema denominato notaio elettronico, in grado di:

 mantenere la data e l’ora in modo che non si discostino per più di un minuto secondo dalla scala di

Tempo Universale Coordinato (UTC);

 generare una struttura dati comprendente:

l’identificativo dell’emittente;

-

- il numero di serie della marca temporale;

la data e l’ora di generazione della marca;

- il valore dell’impronta digitale del documento;

- l’algoritmo di sottoscrizione della marca temporale;

- l’identificativo del certificato relativo

- alla chiave di verifica della marca;

 sottoscrivere digitalmente la struttura dati citata;

 garantire un tempo di risposta non superiore a un minuto;

 soddisfare i requisiti di sicurezza e robustezza di più alto livello, internazionalmente riconosciuti.

Il processo di generazione di una marca temporale si articola in 4 fasi:

a) applicazione di una funzione di HASH al documento informatico a cui si vuole associare una marca

temporale, con conseguente creazione della sua impronta digitale a 160 bit; - 9 -

dell’impronta digitale così calcolata al

b) trasmissione notaio elettronico, secondo le procedure stabilite

dal gestore del servizio di marcatura temporale;

c) generazione e sottoscrizione digitale della struttura dati sopra descritta e trasmissione della marca

così ottenuta al soggetto che l’ha richiesta;

temporale

d) associazione della marca temporale al documento informatico a cui si riferisce. –

(VEDI SCHEMA 1.7 PAG.

60)

L’art. 50 del D.P.C.M. 13 gennaio 2004 stabilisce che tutte le marche temporali generate da un notaio

elettronico devono essere conservate in un apposito archivio digitale, non modificabile, per un periodo non

inferiore a 5 anni, prolungabile su richiesta dell’interessato. L’opzione relativa al prolungamento del periodo

di conservazione è particolarmente utile qualora si voglia (o si debba) utilizzare le marche temporali per

estendere la validità dei documenti informatici oltre la data di scadenza delle chiavi di sottoscrizione.

La presenza di una marca temporale valida associata a un documento informatico permette di eseguire il

definito come “il risultato della procedura informatica con cui si

processo di validazione temporale

attribuisce, a uno o più documenti informatici, un riferimento temporale opponibile a terzi”, dove per

si intende un’informazione contenente la data e l’ora di esistenza del documento.

riferimento temporale

Tuttavia esistono altri metodi per attribuire una data certa al documento:

 il riferimento temporale della segnatura di protocollo;

 il riferimento temporale ottenuto attraverso la procedura di conservazione;

 il riferimento temporale ottenuto dall’utilizzo di posta elettronica certificata.

1.5.3 Immodificabilità del contenuto e della forma

Il contenuto di un documento che è stato perfezionato in ogni sua parte non deve poter essere modificato e

tantomeno modificato senza che ve ne rimanga traccia. Nel caso dei documenti informatici non è affatto

semplice soddisfare questa condizione e il problema si pone sia in fase di produzione che nel successivo

periodo di conservazione. Infatti, con i più comuni Word processing è possibile scrivere un testo,

modificarlo, cambiare la forma grafica e l’impaginazione, cancellare alcune parole o interi paragrafi, ecc.

ovvero è possibile modificare forma e contenuto di un testo. Da ciò ne deriva che il testo digitale è altamente

instabile.

Per rendere immodificabile il contenuto di un documento informatico sono necessari strumenti aggiuntivi.

Uno di questi è la firma elettronica che garantisce l’integrità del documento, nel senso che se viene

modificato dopo la sottoscrizione il processo di verifica della firma permette di rilevare le variazioni. Un

altro metodo per assicurare l’immodificabilità dei documenti informatici consiste nell’utilizzare supporti di

memorizzazione fisicamente non riscrivibili (di tipo WORM), che non permettono la variazione delle

informazioni in essi registrate in quanto il processo di scrittura modifica in modo permanente e irreversibile

le loro caratteristiche fisiche.

Alcuni formati (insieme di codici binari e regole che ci consentono di vedere un documento così come lo ha

redatto l’autore), infatti, tra cui il famosissimo .doc della Microsoft, permettono di inserire nel testo del

documento dei campi dinamici, ovvero delle sequenze di istruzioni (macroistruzioni) che il software esegue

automaticamente in fase di lettura, inserendo i risultati nella rappresentazione del documento come se fossero

stati digitati insieme a tutti gli altri caratteri. Questi formati quindi sarebbero modificabili anche dopo

l’apposizione della firma elettronica. Proprio per questo è opportuna una regolamentazione che si applichi

anche al momento della produzione del documento e che preveda la definizione dei contenuti minimi

obbligatori e dei formati idonei.

La difficoltà di garantire l’immodificabilità dei documenti informatici si manifesta anche quando si affronta

il tema della conservazione a lungo termine. Infatti, il costante aggiornamento tecnologico potrebbe minare

la conservazione di documenti non più visualizzabili correttamente dalle eventuali nuove versioni. Per

assicurare l’accessibilità e la leggibilità dei documenti informatici nel tempo, sono state elaborate diverse

soluzioni. Le strategie ritenute più efficaci per conseguire questi obiettivi sono l’emulazione, cioè la

riproduzione dei contesti tecnologici in cui il documento fu originariamente prodotto e la migrazione,

ovvero il periodico riversamento dei documenti informatici da vecchie a nuove piattaforme tecnologiche.

- 10 -


ACQUISTATO

2 volte

PAGINE

24

PESO

370.87 KB

AUTORE

Exxodus

PUBBLICATO

+1 anno fa


DESCRIZIONE APPUNTO

Riassunto per l'esame di Archivistica, basato su appunti personali e studio autonomo del testo consigliato dal docente Memoria Digitale delle Amministrazioni Pubbliche, Pigliapoco. Nello specifico gli argomenti trattati sono i seguenti: la diffusione delle tecnologie dell'informazione e della comunicazione (ICT), la differenza tra e-Government, e-Procurement e e-Commerce.


DETTAGLI
Esame: Archivistica
Corso di laurea: Corso di laurea magistrale in scienze dello spettacolo e della produzione multimediale
SSD:
Università: Padova - Unipd
A.A.: 2010-2011

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher Exxodus di informazioni apprese con la frequenza delle lezioni di Archivistica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Padova - Unipd o del prof Bonfiglio Dosio Giorgetta.

Acquista con carta o conto PayPal

Scarica il file tutte le volte che vuoi

Paga con un conto PayPal per usufruire della garanzia Soddisfatto o rimborsato

Recensioni
Ti è piaciuto questo appunto? Valutalo!