Normative per la gestione elettronica dei flussi documentali nella Pubblica Amministrazione

Normative e regolamenti

Le principali normative che hanno messo in moto il processo evolutivo nella gestione documentale sono rappresentate essenzialmente da:

la legge 15 marzo 1997, n. 59 :

con essa viene iniziato il processo di riforma della PA e, in particolare con l'art. 15, incarica l'AIPA di coordinare l'attività di realizzazione della RUPA e pone le prime basi sulla gestione dei documenti con strumenti informatici e telematici;

il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 :

fornisce un primo regolamento sulle modalità con cui applicare l'art.15 della legge del 15 marzo 1997, n. 59, relativamente alla manipolazione elettronica dei documenti (creazione, archiviazione, trasmissione,...), ivi compresa la firma digitale;

il decreto del Presidente della Repubblica 20 ottobre 1998, n. 428:

riguarda la regolamentazione della tenuta del protocollo informatico nella PA;

il decreto del Presidente del Consiglio dei Ministri, 8 febbraio 1999 :

fornisce, in riferimento all'art.3 del decreto del Presidente della Repubblica del 10 novembre 1997, le regole tecniche per effettuare correttamente le varie operazioni possibili sui documenti informatici.

Il DPR 513/97 e 428/98 sono entrambi confluiti nel Testo Unico per la Documentazionee Amministrativa (DPR 445/2000).

Articoli dei regolamenti

DPR 10 novembre 1997 n° 513

Gli articoli del decreto del Presidente della Repubblica 10 novembre 1997 n° 513 sono suddivisi in tre gruppi:

1) gli articoli relativi ai principi generali che comprendono

le definizioni fondamentali, tra cui quelle di documento informatico, firma digitale, sistema di validazione;
i requisiti per la validità dei documenti informatici e per la conformità alle regole tecniche per la loro creazione, trasmissione, conservazione;
il processo di certificazione per la firma elettronica e gli obblighi e le responsabilità degli attori coinvolti;

2) gli articoli relativi alla firma digitale riguardano invece

l'efficacia e la validità dei contratti informatici o telematici e la trasmissione dei documenti informatici;
le problematiche di sicurezza e riservatezza dell'informazione memorizzata e trasmessa,
i pagamenti elettronici, i registri obbligatori e l'autenticazione della firma elettronica nell'ambito della Pubblica Amministrazione;

gli articoli relativi alle norme di attuazione, infine, forniscono indicazioni sull'attuazione dei regolamenti e delle regole tecniche indicate nel contesto dei sistemi informativi della Pubblica Amministrazione.
Di seguito viene fornito l'elenco di tutti gli articoli relativi al DPR, 10 novembre 1997, n° 513.

Capo I - Principi generali:
- definizioni
- documento informatico
- requisiti del documento informatico
- forma scritta
- efficacia probatoria del documento informatico
- copie di atti e documenti
- deposito della chiave privata
- certificazione
- obblighi dell'utente e del certificatore
Capo II - Firma digitale:
- firma digitale
- contratti stipulati con strumenti informatici o per via telematica
- trasmissione del documento
- segretezza della corrispondenza trasmessa per via telematica
- pagamenti informatici
- libri e scritture
- firma digitale autenticata
- chiavi di cifratura della PA
- documenti informatici della PA
- sottoscrizione dei documenti informatici della PA
Capo III - Norme di attuazione:
- sviluppo dei sistemi informativi delle PA
- gestione informatica del flusso documentale
- formulari, moduli e questionari

DPR 20 ottobre 1998, n° 428

Il decreto del Presidente della Repubblica 20 ottobre 1998, n° 428 riguarda le norme per la gestione del Protocollo informatico nella Pubblica Amministrazione, è articolato in 6 sezioni:

disposizioni sul protocollo informatico
accesso alle informazioni
archiviazione e conservazione delle registrazioni
disposizioni sulla gestione dei flussi documentali
disposizioni sugli archivi
attuazione e aggiornamento dei sistemi

L'attività di protocollazione, e con essa la gestione e l'archiviazione dei documenti, sarà organizzata e uniformata per aree omogenee, determinando così una considerevole diminuzione di protocolli e archivi non comunicanti tra loro.

Con l'informatizzazione dei protocolli delle pubbliche amministrazioni sarà possibile migliorare la gestione dei procedimenti amministrativi. Questi potranno infatti essere largamente informatizzati e strettamente collegati al protocollo e all'archivio, creando un sistema completo per l'informazione sullo stato delle pratiche. Al sistema potranno accedere, in alcuni casi, anche utenti esterni alla pubblica amministrazione. Il cittadino potrà conoscere così lo stato di avanzamento della propria pratica, i tempi di definizione e il responsabile del procedimento.

La gestione automatizzata dei flussi documentali contribuisce infine a migliorare il controllo di gestione, grazie alla puntuale verifica dei tempi di attuazione dei progetti e dei programmi delle amministrazioni.

DPCM 8 febbraio 1999

Il decreto del Presidente del Consiglio dei Ministri, 8 febbraio 1999, è strutturato in 3 articoli preliminari più l'allegato tecnico che riporta le varie regole.

Il primo articolo in pratica riassume l'essenza del decreto.

Il secondo articolo descrive la classificazione in titoli delle regole dell'allegato tecnico.

Il terzo articolo , invece, stabilisce la conformità delle regole tecniche del DPCM rispetto alla precedente normativa sulla certificazione delle firme digitali e nei confronti delle regolamentazioni vigenti negli altri Stati, sia a livello di Unione Europea che esterni ad essa, in particolare mette in evidenza che:

le firme digitali, certificate ai sensi dell'art. 8, comma 4, del DPR 10 novembre 1997, n° 513, sono considerate equivalenti a quelle generate in conformità con le presenti regole tecniche;
i prodotti, sviluppati e commercializzati nell'ambito dell'Unione Europea, sono ritenuti conformi alle presenti regole tecniche se i regolamenti ivi adottati assicurano livelli equivalenti di funzionalità e sicurezza;
i commi precedenti si applicano anche agli altri Stati con i quali siano stati stipulati specifici accordi di riconoscimento reciproco.

Di seguito viene riportato l'elenco delle regole contenute all'interno dell'allegato tecnico:

regole tecniche di base;
regole tecniche per la certificazione delle chiavi;
regole tecniche sulla validazione temporale e per la protezione dei documenti informatici;
regole tecniche per le pubbliche amministrazioni;
disposizioni finali.

Firma digitale

La firma digitale è uno strumento fondamentale per la gestione informatica dei flussi documentali, è un'informazione che viene aggiunta ad un documento informatico al fine di garantirne integrità e provenienza; è necessario, quindi, approfondire questo aspetto anche per comprendere meglio il significato delle normative e delle regole tecniche che vi fanno riferimento.

La procedura per la firma digitale si basa su algoritmi crittografici asimmetrici, che utilizzano 2 chiavi: una chiave segreta (o privata) ed una pubblica.
La prima viene utilizzata per firmare, mentre la seconda serve per verificare la provenienza del documento.

Il processo di firma digitale richiede, quindi, che l'utente effettui una serie di azioni preliminari per ottenere una coppia di chiavi opportunamente certificate e registrate.

La chiave segreta viene accuratamente conservata dall'utente, mentre quella pubblica deve essere certificata e registrata per renderla disponibile a chiunque voglia avvalersene.
La certificazione della chiave pubblica ha un periodo preciso di validità, dopo il quale occorre effettuare un rinnovo. Tale periodo può essere interrotto esplicitamente dal proprietario della chiave, qualora questi ritenga che la segretezza della sua chiave privata sia stata compromessa.

A tutti gli effetti di legge, sono validi e rilevanti:

il documento informatico da chiunque formato;
l'archiviazione su supporto informatico;
la trasmissione con strumenti telematici, se conformi alle disposizioni del regolamento.

Conformità dei documenti alle regole tecniche, individuate con DPCM su parere conforme dell'AIPA, nelle fasi di:

formazione;
trasmissione;
conservazione;
duplicazione;
riproduzione.

Regole tecniche, forma scritta ed efficacia del documento informativo

Aggiornamento almeno biennale di:

regole tecniche sulla validazione, anche temporale, del documento informatico ;
misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la confidenzialità delle informazioni contenute nel documento informatico anche con riferimento all'eventuale uso delle chiavi biometriche.

Forma scritta:

il documento informatico rispondente ai requisiti previsti dal regolamento soddisfa il requisito legale della forma scritta;
gli obblighi fiscali connessi a documenti informatici è disciplinato da modalità definite con decreto del Ministero delle finanze, sentita l'AIPA.

Il documento informatico rispondente ai requisiti regolamentari:

ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile;
soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.

Copie di atti

L'articolo del regolamento asserisce che:

duplicati, copie ed estratti del documento informatico, pur se riprodotti su diversi tipi di supporto, sono validi e rilevanti se conformi al regolamento;

i documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata la firma digitale di colui che li spedisce o rilascia;

le copie su supporto informatico di documenti, formati in origine su supporto cartaceo o comunque non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte, se la loro conformità all'originale è autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato;

la spedizione o il rilascio di copie di atti e documenti con firma digitale esonera dalla produzione e dall'esibizione dell'originale formato su supporto cartaceo quando richiesta ad ogni effetto di legge;

gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge, se le procedure utilizzate sono conformi alle regole tecniche.

Cifratura

Il titolare della coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata con le modalità e nelle forme di cui all'articolo 605 del codice civile.

Chi intende utilizzare un sistema di chiavi asimmetriche di cifratura:

deve munirsi di una idonea coppia di chiavi;
rendere pubblica una di esse mediante la procedura di certificazione .

Le chiavi pubbliche di cifratura:

sono custodite per un periodo non inferiore a dieci anni a cura del soggetto, pubblico o privato, che le ha certificate;
dal momento iniziale della loro validità sono consultabili in forma telematica.

Responsabilità civile

Chi cagiona danno ad altri in seguito all'uso di un sistema di chiavi asimmetriche o della firma digitale, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee ad evitare il danno.

Il risarcimento è dovuto anche dal depositario della chiave pubblica che omette o ritarda la pubblicazione della revoca o della sospensione della coppia di chiavi asimmeriche.

Firma digitale

A ciascun documento informatico o duplicato o copia di esso, può essere apposta o associata una firma digitale.

Tale operazione equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo.

Il documento informatico, sottoscritto con firma digitale, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.

La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento cui è apposto o associato.

Per generare la firma digitale va usata una chiave privata, la cui corrispondente chiave pubblica non risulti:

revocata;
scaduta di validità;
sospesa ad opera del soggetto, pubblico o privato, certificatore che equivale a mancata sottoscrizione.

La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

Generazione della firma digitale

L'apposizione di firma digitale su un documento avviene mediante una sequenza di 3 operazioni:

la generazione dell’impronta del documento da firmare, consistente in una sua codifica tramite una funzione hash prestabilita;

generazione della firma digitale, tramite cifratura dell’impronta effettuata con la chiave privata;

apposizione della firma generata in una posizione predefinita del documento (di solito alla fine). Insieme alla firma, viene anche allegato il valore dell’impronta ed eventualmente anche il certificato da cui è possibile recuperare il valore della chiave pubblica.

La firma digitale, dunque, varia al variare del documento su cui viene apposta. Ciò garantisce la non riproducibilità della stessa da parte di altri.

Ovviamente, per effettuare tutto ciò l’utente potrà disporre di un’opportuna procedura automatica o, più verosimilmente, di un apparato personalizzato in cui la chiave è già integrata secondo adeguati criteri di sicurezza.

Registrazione dell'utente

La registrazione dell'utente presso un'Autorità di Certificazione (AC) implica i seguenti passi:

l'utente richiede all'AC la registrazione, fornendo la documentazione richiesta per accertare l'identità del richiedente

l’AC verifica la validità della richiesta e attribuisce all’utente un identificatore di cui essa garantisce l’univocità

l'AC inserisce l'utente, con l'identificatore associato, nei cataloghi degli utenti registrati che essa gestisce

l'AC fornisce, attraverso un canale sicuro, la chiave crittografica che l'utente dovrà utilizzare per le richieste di certificazione delle chiavi.

A questo punto l’utente, mediante un programma adatto al sistema crittografico adottato, genera la coppia di chiavi K_s e K_p.

Certificazione della chiave pubblica

Il processo di certificazione della chiave pubblica prevede i seguenti passi:

l'utente invia all'AC la richiesta di certificazione per la chiave K_p generata, autenticandola tramite la chiave ricevuta dall'AC all'atto della registrazione

l'AC genera il certificato e lo sottoscrive per garantirne la provenienza che potrà essere accertata da chiunque utilizzando la chiave pubblica di AC

il certificato viene inviato al richiedente.

La registrazione della chiave pubblica consiste nel fatto che il certificato emesso può essere reso disponibile in uno o più cataloghi, ai quali può accedere chiunque abbia bisogno di accertare la validità di una sottoscrizione digitale. Tale operazione viene di norma effettuata sempre dall’AC.

Verifica della firma digitale

L'operazione di verifica della firma digitale avviene rigenerando, con la stessa funzione hash usata nella fase di sottoscrizione, il valore dell'impronta e controllando che il valore così ottenuto coincida con quello generato per decodifica della firma digitale stessa, tramite la chiave pubblica.

Il fatto di avere l'impronta allegata al documento semplifica l'operazione di verifica.

Allo stesso modo, il fatto di allegare il certificato facilita, tramite l'uso dell'identificatore assoluto dell'utente, la ricerca all'interno dei cataloghi.

L'impronta di un documento informatico è una stringa binaria univoca di lunghezza costante e piccola (128 o 160 bit). Essa è utile perché consente:

di evitare che per la generazione della firma sia necessario applicare l’algoritmo di cifratura, intrinsecamente inefficiente, all’intero documento, che può essere anche molto lungo;

l'autenticazione, da parte di una terza parte fidata, della sottoscrizione di un documento, dalla sola impronta, senza che questa venga a conoscenza del suo contenuto. Ciò torna utile per la marcatura temporale.

Marcatura temporale

La marcatura temporale serve per attribuire ad un documento certezza circa il momento in cui questo è stato redatto ed è quindi divenuto valido.

La marcatura temporale consiste nella generazione da parte di una terza parte fidata (di solito un AC) di una ulteriore firma digitale per il documento marcato.

La procedura è la seguente:

l'impronta del documento viene inviata al servizio di marcatura temporale

il servizio di marcatura aggiunge, all'impronta ricevuta, la data e l'ora, ottenendo così una impronta marcata

l'impronta marcata viene cifrata con la chiave segreta del servizio, ottenendo la marca temporale da cui è possibile recuperare, mediante la chiave pubblica del servizio, l'impronta del documento e la data e l'ora della sua generazione

la marca temporale viene inviata al richiedente, il quale la allega al documento.

La marcatura temporale, in qualche modo, costituisce un'autentica del documento per garantire che chi lo emette non lo possa sostituire in un secondo momento.

[ Editoriali ] [ Notizie ] [ Presentazioni ASMTEL ] [ Schede ] [ Libro ] [ ASMTEL Informa ]

Contatore visite

Per informazioni e commenti: asm@asm-settimo.it - Note sul copyright

statistiche accessi al sito (dal 2 luglio 2003)

Statistiche complessive con il sito Centro di Competenza sul SUAP (dal 5/6/1999)