La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il Mandato Informatico

PubblicatoDonato Colombo Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Il Mandato Informatico"— Transcript della presentazione:

1 Il Mandato Informatico
Avv. Alessandra Giusti

2 Nozione In termini giuridici il Mandato Informatico è un messaggio elettronico, composto da dati utente e da codici universali, che viene validamente impiegato a fini probatori, amministrativi e contabili (Regole tecniche - Deliberazione AIPA 9 novembre 1995 ). In pratica si tratta di una mail che, autenticata per mezzo della firma digitale, autorizza lo svolgimento dell'iter della pratica di pagamento, eliminando la necessità della forma cartacea, prima unico veicolo per la firma con valore probatorio.

3 Il Commercio elettronico
Le nuove tecnologie applicate al commercio permettono oggi di acquistare in rete ogni tipo di bene o servizio, senza alcun limite territoriale. L’ordinamento riconosce la validità della stipulazione dei contratti con strumenti informatici o per via telematica mediante l'uso della firma digitale, nonché la possibilità di effettuare pagamenti elettronici mediante l’adozione di misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all’uso di chiavi biometriche.

4 Direttiva 2002/65/CE La Direttiva 2002/65/CE del Parlamento europeo e del Consiglio la quale, dopo aver definito “contratto a distanza" qualunque contratto avente per oggetto servizi finanziari, concluso tra un fornitore e un consumatore nell'ambito di un sistema di vendita o di prestazione di servizi a distanza organizzato dal fornitore che, per tale contratto, impieghi esclusivamente una o più tecniche di comunicazione a distanza fino alla conclusione del contratto (compresa la conclusione del contratto stesso), introduce all’articolo 8 l’ipotesi relativa alla transazione con carta di pagamento, per la realizzazione della quale debbono essere accertate l’esistenza di misure adeguate affinché il consumatore possa chiedere l'annullamento di un pagamento in caso di uso fraudolento della sua carta di pagamento nell'ambito di contratti a distanza e disponendo, in caso di tale uso fraudolento, che al consumatore sia riaccreditato o rimborsato l'importo versato.

5 I trasferimenti elettronici di fondi
Con l'espressione trasferimenti elettronici di fondi si intendono gli ordini di trasferire somme di danaro da una persona a un'altra, comunicati e eseguiti mediante sistemi elettronici. Lo spostamento di ricchezza o di fondi da un patrimonio all'altro avviene senza alcun movimento materiale di danaro o di titoli, ma soltanto attraverso istruzioni comunicate ed eseguite elettronicamente. Perché vi sia un effettivo trasferimento elettronico dei fondi é necessario, pertanto, non soltanto che l'ordine di trasferimento sia impartito elettronicamente, ma che tutto il processo di regolamento contabile sia svolto in forma elettronica. In altri termini l'elaboratore non dove limitarsi a trasmettere l'ordine di addebito o di accredito, ma deve effettuare anche l'addebito o l'accredito stesso.

6 L'incremento qualitativo e quantitativo dei trasferimenti elettronici dei fondi negli Stai Uniti e, sia pure in misura minore nell'Europa occidentale, ha indotto alcuni a prevedere l'imminente avvento di una cashless society, una società in cui la circolazione dei beni verrà effettuata esclusivamente mediante i nuovi mezzi elettronici che sostituiranno del tutto l'uso del danaro contante e dei titoli di credito. Peraltro, i nuovi mezzi elettronici di trasferimento delle ricchezza determinano il sorgere di numerosi problemi di natura bancaria, economica, politica e giuridica.

7 Inquadramento giuridico
I trasferimenti elettronici dei fondi costituiscono, e sempre più costituiranno in futuro, un modo di adempimento delle obbligazioni e, in senso ancora più vasto, un moderno modo di attribuzione patrimoniale. La disciplina giuridica di essi, pertanto, é quella stessa delle attribuzioni patrimoniali e, in particolare, dell'adempimento delle obbligazioni (artt c.c.). Occorre inoltre osservare che, pur se in linea di principio ciò non é strettamente necessario, i trasferimenti elettronici dei fondi avvengono normalmente nell'ambito bancario o ad opera di una banca per i propri clienti. La figura normale tipica di un trasferimento elettronico é, dunque, un rapporto trilaterale costituito da un ordinante, un ordinatario e un istituto di credito incaricato di effettuare il trasferimento dei fondi dall'ordinante all'ordinatario.

8 L'ordine di trasferimento elettronico, dunque, è un giroconto che si svolge, anziché attraverso un accreditamento contabile manuale, attraverso un accreditamento elettronico; ad esso devono dunque ritenersi applicabili le norme in tema di giroconto, ossia le norme in tema di delegazione e di conto corrente. Peraltro le particolari modalità con cui si svolge un trasferimento elettronico dei fondi sollevano una serie di problemi che possono riguardare sia il rapporto di provvista, sia il rapporto diretto e sia il rapporto di valuta.

9 La delegazione é regolata da poche norme di carattere per lo più dispositivo; e che nella pratica la disciplina é costituita soprattutto da norme private, convenzionali o di auto-organizzazione, come i regolamenti bancari e i rapporti contrattuali stipulati tra banche e clienti. Il contenuto di tali rapporti é determinato soprattutto dal potere contrattuale delle parti. Ora, in materia di trasferimenti elettronici dei fondi le categorie dei soggetti interessati sono tre: gli istituti di credito, la classe imprenditoriale ed i consumatori.

10 Vantaggi e criticità Per ciascuna categoria i trasferimenti elettronici dei fondi presentano particolari vantaggi: per le banche il minor lavoro manuale necessario rispetto alla gestione della moneta cartacea, degli assegni e delle carte di credito; per le imprese la possibilità di ricevere i pagamenti più rapidamente e con minor rischi di insolvenza; per i consumatori il minor costo dei servizi bancari e commerciali. Gli interessi di tali categorie, peraltro, non sempre coincidono, ma a volte sono in conflitto tra di loro. Da qui la necessità di una disciplina di carattere legislativo che concili gli opposti interessi dei consumatori, degli imprenditori e degli istituti di credito.

11 Le fasi del trasferimento elettronico di fondi
l'ordine di trasferimento; l'operazione di accreditamento a favore dell'ordinatario e di addebitamento a carico dell'ordinante.

12 1) L'ordine di trasferimento elettronico di fondi
Le fasi: l'ordinante emette l'ordine; l'ordinante comunica l'ordine alla banca; la banca riceve l'ordine. L'ordine di trasferimento presuppone normalmente un rapporto di conto corrente tra l'ordinante e istituto di credito ordinato e un particolare contratto, nuovo e atipico, che disciplina l'uso del mezzo elettronico e che potrebbe definirsi come contratto di ammissione a un servizio di trasferimenti elettronici. Il contratto di ammissione prevede normalmente il rilascio da parte dell'istituto di credito di una carta di credito magnetica o elettronica: questa viene utilizzata dall'ordinante per l'emanazione in forma elettronica degli ordini di trasferimento.

13 Le carte telematiche Lo sviluppo del commercio elettronico ha fatto nascere la necessità di disporre di mezzi di pagamento più veloci e adeguati allo strumento telematico e alle modalità operative del commercio elettronico. Attualmente le carte di credito si possono distinguere in carte telematiche e carte non telematiche ordinarie. Quest'ultime sono in genere, dotate di caratteri a rilievo, contenenti il nome del titolare ed altre informazioni, o di codici a barre idonei ad essere letti da appositi lettori ottici.

14 Le carte telematiche possono essere carte magnetiche o carte elettroniche. Le prime contengono sul retro una banda magnetica, ossia una striscia di materiale magnetizzabile costituito, generalmente, da resina e ossido di ferro; le seconde contengono nel loro interno uno o più microcircuiti con funzione di memorizzazione e di elaborazione dei dati. Infine le laser card, o carte a memoria ottica, contengono appunto memorie ottiche per la registrazione dei dati.

15 Le carte telematiche costituiscono lo strumento con cui normalmente i privati attivano e utilizzano un sistema di trasferimento elettronico di fondi; e nella pratica é invalsa l'abitudine di usare indistintamente i termini "carte di credito", "tessera bancaria" e "trasferimenti elettronici di fondi" quasi fossero espressioni sinonime. In realtà le tre espressioni non sempre coincidono. Infatti non tutte le carte di credito possono dar luogo ad un trasferimento elettronico di fondi ma soltanto quelle, come le carte a banda magnetica, a microprocessori o a memoria ottica in grado di comunicare con un sistema elettronico di trasmissione dati e che possiamo definire come carte telematiche.

16 Inconvenienti Il pagamento in rete attraverso la carta di credito genera alcuni inconvenienti: oltre al costo, esso può creare seri problemi per la tutela della privacy (per esempio, é possibile la creazione di profili commerciali del cliente). Inoltre, tenuto conto della struttura aperta della rete, il pagamento effettuato con carta di credito crea seri rischi legati alle varie forme di pirateria informatica. Si é avvertita quindi l'esigenza di creare sistemi di pagamento più sicuri, veloci e capaci di soddisfare cinque esigenze: - la segretezza dei dati; - l'anomimato del soggetto al fine di evitare la "tracciabilità" delle sue transazioni; - l 'integrità del messaggio; - l'autenticazione dei soggetti coinvolti nella transazione; - l'interoperativà dei sistemi di pagamento. Il ricorso alla crittografia ha permesso di rispondere in parte a queste esigenze.

17 Secure Elettronic Transaction (SET)
La Visa e la Master Card hanno recentemente messo a punto un sistema di pagamento noto come SET. Si tratta di una tecnologia progettata per autenticare le parti coinvolte in pagamenti mediante carte di credito e basata sul sistema di crittografia a chiave pubblica RSA. Il fattore chiave di questo sistema é rappresentato dal certificato virtuale che sostituisce nel "cyberspazio" la carta di credito. L'acquirente deve registrare on line la propria carta di credito con la banca. Egli pertanto deve compilare un formulario elettronico inserendo il proprio nome, numero di carta e data di scadenza. Le informazioni vengono poi criptate e inviate alla banca. La banca controlla l'autenticità del conto corrente e rilascia un certificato elettronico inserendo sullo stesso la propria firma elettronica che prova che la carta di credito è valida. L'acquirente memorizza il certificato nel suo computer per gli usi successivi. Anche il venditore deve registrarsi allo stesso modo per ottenere il certificato.

18 Meccanismo di pagamento
Una volta che le parti hanno ottenuto i certificati il meccanismo di pagamento avviene nel seguente modo: 1) Prima dell'acquisto, il venditore deve mostrare al proprio acquirente che possiede un certificato virtuale. La prova dell'esistenza viene fornita inviando copia del certificato via posta elettronica o mediante pubblicazione in Internet. 2) Una volta verificato che il venditore è munito del certificato, l'acquisto può essere eseguito. 3) L'ordine viene trasmesso e il venditore dovrà ottenere l'autorizzazione per la somma relativa all'acquisto. 4) Una volta che il circuito finanziario ha dato l'autorizzazione, l'ordine viene eseguito e confermato.

19 Nuovi sistemi di pagamento
l'itermediazione elettronica; la moneta virtuale. Il primo sistema consiste di un metodo che presuppone l'intervento di una terza parte che raccoglie e vaglia le richieste di pagamento dei propri clienti e le trasferisce in un momento successivo alle rispettive banche. Questo metodo non fa uso della crittografia. Le informazioni relative alla transazione vengono trasmesse via Internet, fatta eccezione per i dati confidenziali relativi alle carte di credito, che vengono trasmessi su un'altra linea dedicata e quindi più sicura. Riguardo la moneta elettronica, da un punto di vista operativo , essa non é altro che un insieme di numeri che viaggiano su reti telematiche da un computer all'altro. Come quasi tutti i mezzi di pagamento la moneta elettronica presuppone due diversi rapporti: uno tra compratore e venditore, l'altro tra queste parti e un'istituzione finanziaria presso cui viene aperto un conto corrente.

20 2) L'operazione di accreditamento a favore dell'ordinatario e di addebitamento a carico dell'ordinante. Le Fasi: la banca effettua l'annotazione contabile a debito dell'ordinante; la banca effettua l'annotazione contabile a credito dell'ordinatario. I due momenti, logicamente distinti, sono normalmente contestuali e nel giroconto tradizionale si sostanziano nell'unica compilazione dell'apposito modulo contabile, comprensivo del foglio di accreditamento e di addebitamento.

21 Attività ulteriore la banca comunica l'avvenuto accreditamento all'ordinatario; l'ordinatario riceve conoscenza dell'avvenuto accreditamento a suo favore; l'ordinatario comunica alla banca la propria accettazione; l'accettazione dell'ordinatario perviene alla banca.

22 Caratteristiche della transazione conclusa on line
la riconoscibilità delle parti che partecipano alla transazione; la riservatezza dei dati trasmessi. Questi ultimi dovranno essere conoscibili solo dai soggetti che interverranno nella transazione, ovvero da colui che dà l’ordine di trasferire il fondo, da colui che riceve il fondo in cambio del bene o servizio prestato o da prestare e da colui che esegue il trasferimento del fondo stesso.

23 Nella fase del cosiddetto pagamento elettronico, il problema centrale è pertanto garantire la sicurezza dei dati trasmessi durante la transazione, in particolare laddove questi consistano in codici specifici o numeri di carta di credito con relative scadenze.

24 Garanzie di sicurezza e autenticità delle informazioni in rete
Necessità irrinunciabili: la sicurezza sulla identità della persona che immette e/o corregge dati, firma documenti, autorizza transazioni; la garanzia di livelli differenziati di accesso alle informazioni che circolano in rete; la sicurezza che, fra l’emissione di un documento e la sua ricezione, questo subisca modifiche non autorizzate (integrità delle informazioni); la sicurezza che non si siano intercettate le informazioni che passano in rete.

25 Scopo principale che ci si attende dai sistemi di sicurezza è non tanto avere certezze sulla reale identità dei soggetti acquirenti, quanto piuttosto che le informazioni non vengano intercettate (in particolare il numero di una carta di credito) o che non vengano alterate (es. il contenuto dell’ordine). Tutto questo è garantito dal c.d. “canale sicuro”, che, di fatto, si serve di principi di crittografia analoghi a quelli della firma digitale, ma ha solo lo scopo che nessuno possa intercettare le informazioni che passano nella rete o alterarne il contenuto.

26 Ma cosa si intende per misure di sicurezza?
Secondo l’intento del legislatore, per misure di sicurezza si dovrebbero intendere tecniche atte ad eliminare, o quanto meno ridurre al minimo, il rischio di intercettazione dei dati trasmessi durante la transazione, nel momento in cui gli stessi sono comunicati da colui che effettua l’ordine a colui che lo riceve.

27 Misure minime di sicurezza
Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti per quella data operazione

28 Misure di sicurezza adeguate
Complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza necessarie e sufficienti a proteggere i dati della transazione da qualsiasi intrusione esterna.

29 La firma digitale Da un punto di vista pratico molti operatori hanno risolto il problema tramite l’adozione di tecniche di crittografia – ovvero mediante la codifica non comprensibile di cifre o numeri – e attraverso l’utilizzo della firma digitale. In relazione a quest’ultima si è creato un meccanismo di autenticazione delle parti coinvolte nei pagamenti mediante un sistema di crittografia a chiave pubblica garantito dall’autorità di certificazione alla quale si rivolge chi emette la carta utilizzata in rete.

30 Definizione di firma elettronica
Espressione generale per attribuire ad un messaggio digitale le funzioni proprie della sottoscrizione autografa. Art. 1 D.P.R. 445/00 co. 1 lett. cc, modificato dall’art. 2 D.Lgs. 10/02: ”insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo d’autenticazione informatica”.

31 Firma digitale Art. 1 D.P.R. 445/00 co. 1 lett. n, modificato dall’art. 2 del D.LGS. 10/02: ”è un particolare tipo di firma elettronica qualificata, basata su di un sistemi di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico …”

32 A differenza dalla firma autografa, che riconduce chi l'appone ad un documento fisico mediante un elemento identificativo quale la calligrafia (che necessita di un supporto fisico), la firma digitale è intrinsecamente legata al testo a cui è apposta. Per cui è sconsigliabile la sottoscrizione digitale di documenti contenenti elementi dinamicamente variabili. Si preferisce utilizzare formati il più possibile stabili (pdf, text, tiff, ecc…). Infatti gli elementi dinamici (macro, funzioni, campi variabili, script, ecc.), inseriti in formati come quelli .doc, .xls, ecc., possono provocare la visualizzazione di contenuti differenti al momento delle sottoscrizioni e della successiva verifica. Non garantisce la segretezza del documento, e perciò spesso si provvede a che un documento firmato elettronicamente venga anche crittografato prima di essere trasmesso.

33 Come si genera la firma digitale
L’impronta univoca del documento (digest) La prima operazione per generare una firma digitale è l’estrazione dal documento originario della c.d. “impronta digitale”, ossia: una stringa di 160 bit, ricavata crittografando con un opportuno algoritmo un file di lunghezza qualunque. Questa funzione matematica si chiama “hash” ed è irrevesibile (non è possibile a partire dall’impronta risalire al documento originario). Ha la caratteristica peculiare e fondamentale per la quale impronte prodotte da file diversi sono sempre diverse tra loro.

34 Le fasi del processo di firma
Viene prodotta l’impronta del documento da firmare, utilizzando la funzione di hash; Si genera la firma digitale cifrando, con la chiave privata del sottoscrittore, l’impronta precedentemente prodotta; Viene creata la “busta elettronica”, contenente il documento informatico, la firma digitale e il certificato della chiave pubblica; Il pacchetto così formato viene trasmesso al destinatario.

35 Le fasi del processo di verifica:
Verifica della firma Le fasi del processo di verifica: La decifratura della firma digitale con la chiave pubblica del mittente, contenuta nel certificato allegato; si ottiene così l’impronta precedentemente generata dal mittente del documento - l’esito positivo di questa fase assicura l’autenticità dell’origine dei dati; La creazione, a partire dal documento informatico ricevuto, dell’impronta univoca, utilizzando la stessa funzione di hash precedentemente utilizzata dal mittente; Il confronto tra le due impronte, quella ricevuta in maniera cifrata – e decifrata utilizzando la chiave pubblica – e quella calcolata utilizzando la funzione di hash, dà la garanzia che il documento non è stato alterato.

36 Per quanto concerne la p.a., in vista di una sempre crescente dematerializzazione dell’attività amministrativa, il legislatore italiano ha adottato, quale strumento di garanzia sulla integrità e paternità di un documento informatico, l’istituto della firma digitale. Un documento informatico firmato digitalmente è valido e rilevante a tutti gli effetti di legge. (DPR 513/97 e le regole tecniche stabilite con DPCM 8 febbraio 1999,…).

37 Certezze l’integrità dell’atto;
la paternità dell’atto (la corrispondenza tra chiave pubblica e chiave privata). La disciplina normativa di riferimento è pertanto quella attinente la firma digitale laddove il legislatore ha disciplinato l’ipotesi secondo cui il titolare di una coppia di chiavi asimmetriche ha l’obbligo di adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

38 Per stabilire un legame tra firma digitale e soggetto, si è ricorsi a una autorità certificatrice (al momento in Italia sono otto) che ha il compito di certificare la titolarità della coppia di chiavi in capo ad un determinato soggetto previamente identificato. Ma questo tuttavia, non assicura che sia stato il soggetto in persona (titolare della chiave) ad utilizzare il dispositivo di firma digitale.

39 I certificatori Centrale appare di conseguenza il ruolo del certificatore, ovvero del soggetto tenuto a riscontrare la veridicità ed attualità delle informazioni che seguono l’utilizzo della firma digitale. La direttiva comunitaria 1999/93/CE,recepita nel nostro Paese con il D.Lg. 10/02, ha attribuito al certificatore la responsabilità per danni provocati a entità o persone fisiche o giuridiche che facciano ragionevole affidamento su detto certificato, sia per quanto riguarda l'esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio e il fatto che esso contenga tutti i dati prescritti per un certificato qualificato, sia per la garanzia che, al momento del rilascio del certificato, il firmatario identificato nel certificato qualificato sia titolare dei dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; sia, infine, la garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in modo complementare, nei casi in cui il fornitore di servizi di certificazione generi entrambi.

40 Metodi per l’autenticazione degli utenti
L’utente conosce qualcosa (es. password) L’utente possiede qualcosa (es. smart card) L’utente è qualcosa (es. biometria)

41 La Smart Card La Smart Card è un sistema di pagamento complementare a quello on line. Con questo condivide l'obiettivo di eliminare la moneta cartacea e di aumentare la sicurezza nelle transazioni. Il più grosso vantaggio che offre la Smart Card è la sua poliedricità. La stessa, oltre a costituire un mezzo di pagamento, può costituire altresì un mezzo di identificazione in quanto è possibile memorizzare sulla carta i dati personali relativi al suo titolare. Nella Smart Card viene infatti introdotto un microprocessore che possiede capacità di elaborazione e una piccola memoria. Per questo motivo è possibile registrare sulla carta non solo denaro, ma anche dati e informazioni relativi al suo titolare.

42 Problemi connessi a password e smart card
La password può essere facilmente dimenticata, se per ricordarsela la si scrive in un luogo accessibile può essere utilizzata da persone non autorizzate, infine con un grado di difficoltà più o meno ampio, può essere scoperta; La smart card può essere perduta, sottratta e/o usata abusivamente.

43 La biometria La biometria nasce come soluzione ai problemi legati al riconoscimento dell’utente. Questi sistemi segnano una chiara evoluzione rispetto alle tradizionali password o alle smart card perché assicurano che chi sta effettuando l’operazione sia realmente la persona autorizzata e non qualcuno che la effettua abusivamente (aumento della sicurezza). L’utilizzo di dispositivi biometrici, dato che non richiedono parole chiave o smart card, può abbattere alcuni costi di gestione e rendere più semplice la vita dell’utente, se non deve produrre documenti giuridici, per i quali è indispensabile la firma digitale. I costi sono quelli relativi al personale tecnico di una società per scoprire password dimenticate o per riassegnare tesserini smarriti (diminuzione di alcuni costi di gestione).

44 Nozione Il legislatore italiano ha dato una definizione di “chiave biometrica” nel D.P.R. 513/97 all’art. 1 lettera g, ossia: la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente.

45 I sistemi di riconoscimento biometrici
I sistemi di riconoscimento biometrici sono utilizzati per verificare l’identità di una persona inserendo determinati tratti di alcune caratteristiche fisiologiche – comportamentali e comparando queste con quelle della stessa persona conservate in archivio o banca dati o, in prospettiva futura, in un tesserino intelligente che porta con sé la persona stessa.

46 Il sistema biometrico si basa su un fatto universalmente riconosciuto: certe caratteristiche biologiche o comportamentali distinguono una persona dall’altra. Le caratteristiche fisiologiche utilizzate sono le impronte digitali, la geometria della mano, i disegni delle vene nell’articolazione della mano, la retina dell’occhio, l’iride, i tratti somatici del viso, la geografia osseo-vascolare del volto (attualmente in sperimentazione in USA); quelle comportamentali sono: la traccia vocale, la scrittura, lo stile di battitura.

47 Inconvenienti dei dispositivi biometrici:
Alcuni fra gli strumenti biometrici sono molto costosi; Comportano, in misura maggiore o minore, problemi di privacy. Infatti, dall’utilizzo dei sistemi di riconoscimento biometrico discende la creazione di banche dati contenenti registrazioni di dati che potrebbero evidenziare anche aspetti sanitari, con tutte le conseguenze che questa sorta di “schedatura” potrebbe comportare, soprattutto in una fase ancora priva di regolamentazione legislativa.

48 Sia per i sistemi biometrici che per le firme digitali, si hanno problemi di sicurezza nel momento in cui si registrano le chiavi o si effettuano le scannerizzazioni biometriche. Si potrebbe ovviare a questi inconvenienti evitando la circolazione di tali informazioni in rete.

49 Come evitare che i dati trasmessi vengano intercettati in rete?
La criptazione con la chiave privata della firma digitale dovrà avvenire non in via telematica, ma localmente, ossia nel computer stazione di lavoro remota rispetto al server dell’amministrazione. A questo server perverrà solo il risultato dell’uso della chiave privata. E per la chiave biometrica? La risposta non sembra agevole, per una differenza fondamentale tra i due criteri di identificazione: mentre per la firma digitale al sistema informatico dell’amministrazione non serve la chiave privata, essendo sufficiente disporre di quella pubblica, per le chiavi biometriche, nell’uso più comune, è invece indispensabile possedere una banca dei dati biometrici con i quali raffrontare quelli di volta in volta inviati in occasione delle varie operazioni sottoposte a controllo biometrico. Vi è quindi un problema di custodia della banca dati ma, soprattutto, vi è un momento di raffronto tra i dati in possesso della P.A. e quelli trasmessi durante le operazioni.

50 E’ possibile realizzare un controllo biometrico facendo a meno della banca dei dati biometrici presso la P.A. e del riscontro a distanza dei dati? Ciò sarebbe possibile creando una smart card che contenga la chiave privata della firma digitale ed i dati biometrici in modo così indissolubile da essere a prova di alterazione fraudolenta. Ammesso, infatti, che la smart card fosse perduta o anche solo copiata, essa sarebbe inutilizzabile da parte di un estraneo, poiché sarebbe sempre necessario che il titolare mettesse a disposizione se stesso per farla funzionare. Il funzionamento avverrebbe allora tutto nel computer locale, dotato sia di un lettore della smart card sia di un lettore dei dati biometrici. Un apposito software, idoneo a funzionare solo con la smart card (o addirittura contenuto nella stessa) effettuerebbe il riscontro tra i dati della card e quelli della persona. Il documento prodotto avrebbe una firma digitale che indicherebbe anche l’avvenuto riscontro biometrico

51 Possibili soluzioni Si potrebbe ipotizzare la creazione di smart card con diversi gradi di complessità: Tipo “livello 1”, con la sola firma digitale, tutt’al più con aggiunta di PIN per l’attivazione; tipo “livello 2” con i dati biometrici, ad esempio, dell’iride; tipo “livello 3”, con ulteriori dati biometrici per più complesse identificazioni. Naturalmente dovrebbe essere previsto che le carte di livello superiore possano operare anche in situazioni nelle quali è sufficiente il livello inferiore.

52 Da quanto sopra esposto si evince che non esiste un sistema di riconoscimento astrattamente migliore di un altro. Caso per caso, si valuterà quello più adatto comparando i costi di installazione, i costi di manutenzione, e il livello di sicurezza desiderato. Nei casi più delicati, quali per es. l’accesso a zone riservate (militari, banche, ecc.) potrà valere l’uso combinato di smart card e dispositivi biometrici più o meno sofisticati. Se l’intercettazione dei dati biometrici restasse comunque il punto debole di queste metodiche, allora resta sempre valido il più tradizionale abbinamento alla firma digitale: la password o “PIN”. Questa dovrebbe tuttavia essere lunga, per rendere difficile scoprirla con sistemi automatici computerizzati; la lunghezza avrebbe il vantaggio di poter scegliere una frase, più facile da ricordare di sigle alfanumeriche brevi.

53 Il mandato di pagamento informatico e la P.A.
Un quadro normativo più definito, la maggiore diffusione delle tecnologie dell'informazione e della comunicazione, l'utilizzo di sistemi di protocollo informatico e di gestione documentale, una maggior consapevolezza delle possibilità offerte dalla tecnologia (si pensi ad esempio alla firma digitale e alla carta d'identità elettronica) nelle Pubbliche Amministrazioni rappresentano certamente un contesto nel quale anche il mandato di pagamento informatico può svolgere un ruolo molto importante, poiché garantirebbe la chiusura di interi cicli di gestione informatica di procedure molto complesse (quali ad esempio quelle legate alla gestione informatica delle contabilità di interi enti).

54 Normativa Semplificazione delle procedure di spesa - DPR 20 aprile 1994, n. 367 (in G.U. n. 136 del 13 giugno 1994), Regolamento recante semplificazione e accelerazione delle procedure di spesa e contabili. [.pdf 101Kb] Regole tecniche per il mandato informatico - La Deliberazione AIPA 19/95 del 9 novembre 1995 definisce le regole tecniche per il mandato informatico. [.pdf 13Kb] Unità previsionali di base - Decreto Legislativo 7 agosto 1997, n. 279 "Individuazione delle unità previsionali di base del bilancio dello Stato, riordino del sistema di tesoreria unica e ristrutturazione del rendiconto generale dello Stato". [.pdf 4Kb] Linee guida in materia di digitalizzazione della PA per l'anno Direttiva del Ministro per l'Innovazione e le Tecnologie del 21 dicembre 2001[.pdf 105Kb] Direttiva sulla Digitalizzazione della P.A. per il Direttiva del Ministro per l'Innovazione e le Tecnologie del 20 dicembre 2002 "Linee guida in materia di digitalizzazione dell'amministrazione"[.pdf 145Kb]

55 Al via anche per gli stipendi pubblici
Il Ministero dell'Economia ha ammesso, con proprio DM, l'utilizzo Dal 1° gennaio 2003 di modalità informatiche di pagamento anche per gli stipendi spettanti ai dipendenti pubblici, utilizzo già previsto dal D.P.R. 29 aprile 2002, n. 123 per il pagamento delle pensioni. Il Ministero comunica inoltre che, a partire dall’aprile 2003, le stesse procedure saranno estese anche alle pensioni di guerra e tabellari militari (circa 5 milioni di pensioni pagate ogni anno) rimasti a carico dello Stato.

56 DPR 20 aprile 1994, n Regolamento recante semplificazione e accelerazione delle procedure di spesa e contabili L'art. 2 stabilisce che "gli atti dai quali deriva un impegno a carico del bilancio dello Stato e la relativa documentazione, gli elenchi, epiloghi, riassunti, note descrittive, prospetti ed altri analoghi documenti contabili comunque denominati, i titoli di spesa e, in genere, gli atti e i documenti previsti dalla legge e dal regolamento sull'amministrazione del patrimonio e sulla contabilità generale dello Stato, [...] possono essere sostituiti a tutti gli effetti, anche ai fini della resa di conti amministrativi o giudiziali, da evidenze informatiche o da analoghi strumenti di rappresentazione e di trasmissione, compresi i supporti ottici."

57 Obiettivi del Decreto Introdurre le nuove tecnologie informatiche nelle procedure di spesa; Utilizzare le tecnologie per trasferire una considerevole quantità di atti dal supporto cartaceo ad un supporto informatico; Sfruttare le garanzie di sicurezza ottenibili dall'impiego della tecnologia (si pensi all'importanza della firma digitale in questo senso); Velocizzare le procedure di gestione delle pratiche; Favorire attività di controllo e di gestione dell'intero processo di spesa.

58 Esempio di utilizzo di smart card
Per quanto concerne la firma dei mandati, l’art. 3 del D. Lgs. 39/93 lascia ampie possibilità di scelta, pertanto, il sistema utilizzato dalle ragionerie per la sicurezza del SIRGS (Sistema Informativo Ragioneria Generale dello Stato) è stato quello di un tipo di firma digitale contenuta in una smart card protetta da un PIN. Alcune smart card hanno soltanto la funzione di identificare gli utenti che accedono al SIRGS, altre hanno una duplice funzione: oltre a identificare l’utente, lo abilitano alla firma dei mandati di pagamento. Nell’ambito della gerarchia delle funzioni, fra le smart card abilitate alla firma si distingue ulteriormente fra quelle abilitate anche alla revoca di firme effettuate da altri utenti e quelle abilitate alla revoca soltanto delle firme proprie. Ciascuna smart card, come si legge anche in “Note sulla sicurezza per gli utenti del SIRGS” a cura del Ministero del Tesoro, abilitata alla firma, contiene la chiave privata del suo titolare, mentre le corrispondenti chiavi pubbliche sono conservate centralmente dal SIRGS per la verifica della firma. Non si tratta, tuttavia, della firma digitale prevista dall’art. 15 della L. 59/97, e dei conseguenti D.P.R. 513/97 e DPCM 8 febbraio 1999, che rappresenta, fra i vari possibili, il tipo scelto dall’Italia cui le ragionerie dovranno presto adeguarsi.

59 Il D.P.R. 513/97 Regolamento contenente i criteri e le modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, all’art. 14, intitolato proprio pagamenti informatici stabilisce che : «Il trasferimento elettronico dei pagamenti fra privati, pubbliche amministrazioni e tra queste e soggetti privati è effettuato secondo le regole tecniche definite col decreto di cui all’art. 3» (del DPR 513/), ossia, entro 180 giorni dall'entrata in vigore del presente regolamento, sentita l'Autorità per l'informatica nella pubblica amministrazione sono fissate le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. Tale articolo 14 potrebbe essere restrittivamente riferito all’ultimissima fase della procedura, cioè (per quanto riguarda le pubbliche amministrazioni) al pagamento vero e proprio da parte delle tesorerie; oppure all’intera procedura del mandato informatico che pertanto non potrà fare eccezione al sistema anche in forza di una puntuale disciplina.

60 Le regole tecniche Il Decreto ha affidato all'AIPA la definizione delle regole tecniche e delle procedure utilizzabili per garantire la sicurezza, la riproducibilità e l'utilizzo dei documenti e degli atti in formato elettronico. Grazie a tali regole il mandato di pagamento informatico è utilizzato dal 1 gennaio 1999 dal Dipartimento della Ragioneria Generale dello Stato.

61 Vantaggi Aumento della velocità dell'iter della pratica;
Diminuzione della possibilità di deterioramento od errore; Possibilità di un monitoraggio più efficiente dei flussi di spesa, grazie alla possibilità di eseguire report in tempo reale; Snellimento delle procedure di protocollo e di archiviazione; Semplificazione dei rapporti con cittadini e imprese.

62 Le nuove procedure eliminano alcune criticità:
Investimento infrastrutturale; riorganizzazione logistica e normativa. Le nuove procedure eliminano alcune criticità: tempi e costi eccessivi per la stampa e l’invio di tutti i supporti cartacei; intervallo temporale tra emissione del titolo di spesa e data di riscossione; possibili disguidi nel recapito dei plichi contenenti gli ordini di pagamento.

63 Il mandato informatico nella p.a.c.
Nell'ambito delle attività per la messa in rete delle Amministrazioni dello Stato, ed in particolare per l'estensione dell’utilizzo del mandato informatico di pagamento, sono stati attuati due proggetti: il progetto S.I.P.A. e il progetto Si.Co.Ge.

64 Il progetto Si.Co.Ge(Sistema di Contabilità Gestionale Finanziaria)
La Ragioneria Generale dello Stato ha iniziato ad occuparsi di firma digitale e di informatizzazione dei mandati di pagamento a partire dal 1995 e dal 1999 tutti gli atti relativi ad uscite dal bilancio dello Stato vengono effettuate attraverso l’utilizzo del mandato informatico di pagamento. Il sistema permette di gestire in forma elettronica tutto l’iter amministrativo del Mandato di pagamento dal momento dell’arrivo da parte di un’altra amministrazione, sino al pagamento grazie al sistema di comunicazione con la Banca d’Italia. L’importanza del sistema è ben rappresentata anche dal volume di transazioni prodotte in modalità elettronica (certificate grazie all’utilizzo della firma digitale), infatti dal 1999 ad oggi sono stati processati in via informatica circa un milione e cinquecentomila mandati di pagamento.22

65 Il primo nucleo del sistema è stato realizzato dal Ministero degli Affari Esteri come applicativo per la gestione dei dati e delle informazioni interne al Ministero. All’inizio del 2000, grazie ad un accordo con il Ministero degli Affari Esteri, la Ragioneria Generale dello Stato ha ottenuto i codici sorgente dell’applicativo e ne ha iniziato lo sviluppo, realizzato dalla società Consip s.p.a. (la società del Ministero del Tesoro per lo sviluppo e l’innovazione tecnologica). Lo sviluppo dei codici sorgenti, oltre a migliorare il sistema, ha provveduto a “generalizzare” quelle caratteristiche che erano state predisposte in modo da rispondere a specifiche esigenze gestionali e di conformità al sistema informativo del Ministero degli Affari Esteri. L’applicativo è diventato così espandibile ed in grado di soddisfare non solo le esigenze gestionali del Ministero delle Finanze e dell’Economia, ma anche di altre amministrazioni che aderiscono (o aderiranno in un prossimo futuro) al sistema.

66 Il progetto S.I.P.A. (Sistema Informatizzato dei Pagamenti della P.A.)
I Soggetti: Comitato di Coordinamento con la partecipazione della Ragioneria Generale dello Stato (il gestore della spesa statale), della Corte dei Conti (che ha il compito di controllare la spesa statale), della Banca d’Italia (in qualità di ente tesoriere) e dell’Autorità per l’informatica nella Pubblica Amministrazione. Il predetto Comitato è regolato da uno specifico protocollo d’intesa ed è coordinato dall’Autorità per l’informatica nella Pubblica Amministrazione.

67 Obiettivi principali del SIPA
1. la messa in rete e la capacità di comunicare tra loro dei sistemi informativi delle Amministrazioni; 2. l’estensione dell’utilizzo del mandato informatico di pagamento sia alle amministrazioni che gestiscono la spesa ordinaria dello Stato sia alle Amministrazioni che operano in “contabilità speciale”, quali la Presidenza del Consiglio dei Ministri, la stessa AIPA ed i funzionari delegati che operano sul territorio (fra i quali i Prefetti, alcune sedi e ragionerie della Difesa ed altri soggetti).

68 Conseguenze Rendere autonome le amministrazioni aderenti per quanto riguarda la gestione della propria contabilità finanziaria; Eliminare alla fonte, e quindi da tutto l’iter amministrativo, la produzione ed il trasferimento cartaceo dei mandati di pagamento; Sviluppare ed incentivare l’utilizzo della R.U.P.A. attraverso transazioni certificate dall’utilizzo della firma digitale; Accelerare l’iter amministrativo degli ordini di pagamento; assicurare un efficiente controllo di gestione e monitoraggio della spesa; Ridurre i costi (sia in termini di tempo, che monetari) relativi alla gestione dei pagamenti.

69 … L’architettura organizzativa e tecnologica del
S.I.P.A. prevede la cooperazione tra due grandi infrastrutture tecnologiche: la Rete Unitaria della Pubblica Amministrazione alla quale aderiscono le Amministrazioni Centrali dello Stato; la Rete Nazionale Interbancaria che collega la Banca d’Italia con tutte la banche operanti sul territorio e con le Poste.

70 … I principali requisiti necessari per l’adesione: adesione alle RUPA;
possesso ed utilizzo della firma digitale (che può essere ottenuta dal Centro Tecnico contestualmente all’adesione alla RUPA stessa); utilizzo di un sistema informativo gestionale in grado di interoperare con i servizi del SIPA. Per aiutare le Amministrazioni a soddisfare il terzo requisito previsto, la Ragioneria Generale dello Stato ha provveduto alla realizzazione di un apposito applicativo in grado di gestire la gestione dei flussi informativi relativi ai mandati di pagamento: il Si.Co.Ge (Sistema di Contabilità Gestionale Finanziaria).

71 Nuova versione del sistema
la capacità di operare in modalità web server, in modo da permettere una più agevole estensione ed adozione del sistema ad altri soggetti e centri di spesa diffusi sul territorio; la conformità e la predisposizione di tutte le funzioni al recepimento dell’Euro come valuta di riferimento; l’utilizzo della firma digitale in ogni fase del procedimento.

72 Risultati attesi L’implementazione della modalità di funzionamento “web server” consentirà di effettuare mandati informatici e la gestione del loro iter indipendentemente dalla collocazione fisica sia del soggetto che lo esegue sia dei server che provvedono alla gestione dei rispettivi sistemi informativi. Oltre allo snellimento delle procedure, l’adesione al sistema da parte di numerose amministrazioni permetterà di realizzare un migliore controllo di gestione e la verifica immediata (on line) della situazione dei mandati informatici e del loro stato di avanzamento, compresa la verifica del pagamento eseguito correttamente.

73 Questo servizio è già disponibile, per quanto riguarda i mandati transitati attraverso la Ragioneria Generale dello Stato. Infatti ogni singolo atto di spesa che arriva alla Ragioneria Generale viene memorizzato in un archivio ottico non riscrivibile in modo da fissarne in maniera indelebile i dati. Lo stesso tipo di memorizzazione su supporto elettronico non riscrivibile avviene quando il mandato viene trasmesso, dopo le opportune verifiche di legalità della spesa, per il pagamento alla Banca d’Italia. In questo modo è sempre possibile tracciare in modo automatico il percorso seguito dal mandato e verificare la congruenza dei dati ricevuti e trasmessi da ogni amministrazione che ha preso in carico il mandato, permettendo una migliore gestione dei flussi informativi e notevoli risparmi nei tempi e nei costi per effettuare eventuali controlli.

74 Esperienze degli Enti locali
VALLE D'AOSTA-UNICREDIT Dal primo giugno 2005 la Regione autonoma Valle d'Aosta è la prima ad aver introdotto nel suo sistema amministrativo i mandati di pagamento elettronici. Il "Mandato informatico" si sviluppa con un software della Uni It Srl (gruppo UniCredit) che consente l'interscambio via web tra l'Amministrazione regionale ed il Tesoriere UniCredit degli ordinativi di pagamento garantiti da firma digitale.

75 Mandato Informatico a Reggio Emilia
Mandato Informatico a Reggio Emilia Il progetto di Mandato Informatico del Comune di Reggio Emilia è stato avviato nel mese di aprile 2003 con uno studio di fattibilità, che aveva come obiettivo quello di verificare la possibilità concreta di sostituire i tradizionali mandati di pagamento cartacei emessi dalla tesoreria comunale, in flussi documentali elettronici. Allo studio di fattibilità è seguito poi un periodo di analisi per l'individuazione del percorso ottimale, e delle specifiche tecniche più adeguate alle esigenze delle strutture coinvolte, che ha portato all'individuazione della firma digitale basata sul sistema della smart card a doppia chiave, come lo strumento più idoneo. In pratica si tratta di una coppia di chiavi una privata, posseduta dal soggetto titolare della carta che appone la propria firma sul documento, e una pubblica, attraverso cui il tesoriere può verificare l'autenticità della firma e quindi autorizzare l'iter di pagamento. In questo modo un documento elettronico firmato digitalmente acquisisce la stessa validità di una firma apposta su una documentazione cartacea.

76 … Il mandato informatico "entra" in Provincia di Trento
Il sistema consente di:  individuare preliminarmente i mandati prodotti dal sistema contabile che saranno oggetto di esame da parte del dirigente; visualizzare il dettaglio di ogni mandato; decidere, in base a questa evidenza, se includere il documento nel pacchetto dei mandati che verranno firmati, piuttosto che sospenderlo temporaneamente o bloccarlo e restituirlo al sistema contabile (con l’inserimento di note a corredo); richiedere report e listati di controllo.

77 GRAZIE PER L’ATTENZIONE
AVV. ALESSANDRA GIUSTI

Scaricare ppt "Il Mandato Informatico"

Presentazioni simili

Il servizio di prenotazione anagrafica

Il servizio di prenotazione anagrafica
Renzo Marin – CRC Veneto Progetto CRC-CNIPA

Renzo Marin – CRC Veneto Progetto CRC-CNIPA
Pratiche edilizie on-line

Pratiche edilizie on-line
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
La conservazione dei documenti nell’attuale scenario normativo

La conservazione dei documenti nell’attuale scenario normativo
Piattaforma Telematica Integrata Firma Digitale

Piattaforma Telematica Integrata Firma Digitale
Palermo, 1° marzo 2005 Evoluzione dei servizi bancari telematici per la Pubblica Amministrazione Locale Alessandra DI IORIO Settore Sistemi di Pagamento.

Palermo, 1° marzo 2005 Evoluzione dei servizi bancari telematici per la Pubblica Amministrazione Locale Alessandra DI IORIO Settore Sistemi di Pagamento.
Comune di REGGIO EMILIA SERVIZIO FINANZIARIO 1 L ORDINATIVO INFORMATICO.

Comune di REGGIO EMILIA SERVIZIO FINANZIARIO 1 L ORDINATIVO INFORMATICO.
Per crittografia si intende la protezione

Per crittografia si intende la protezione
Introduzione alla firma elettronica

Introduzione alla firma elettronica
Progetto Certificazione GDL: POLO di Calimera Forum del 26.2.2004 PROGETTO DI DECERTIFICAZIONE DEL SISTEMA Agenzia di Assistenza Tecnica agli Enti Locali.

Progetto Certificazione GDL: POLO di Calimera Forum del PROGETTO DI DECERTIFICAZIONE DEL SISTEMA Agenzia di Assistenza Tecnica agli Enti Locali.
LA NORMATIVA DI RIFERIMENTO

LA NORMATIVA DI RIFERIMENTO
Atti rilevanti nellambito dei servizi pubblici 1. Atti che definiscono le prestazioni 2. Atti di assunzione del servizio 3. Contratti di servizio 3bis.

Atti rilevanti nellambito dei servizi pubblici 1. Atti che definiscono le prestazioni 2. Atti di assunzione del servizio 3. Contratti di servizio 3bis.
La tutela dei dati personali

La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.

Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile 2006 1 Aspetti.

S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile Aspetti.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi www.infocamere.it.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
DIREZIONE CENTRALE FINANZA, BILANCIO, TRIBUTI E PARTECIPATE ORDINATIVO ELETTRONICO 10 SETTEMBRE 2007 DIREZIONE CENTRALE FINANZA, BILANCIO, TRIBUTI E PARTECIPATE.

DIREZIONE CENTRALE FINANZA, BILANCIO, TRIBUTI E PARTECIPATE ORDINATIVO ELETTRONICO 10 SETTEMBRE 2007 DIREZIONE CENTRALE FINANZA, BILANCIO, TRIBUTI E PARTECIPATE.
La Posta Certificata per la trasmissione dei documenti informatici renzo ullucci.

La Posta Certificata per la trasmissione dei documenti informatici renzo ullucci.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.

1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.

Presentazioni simili

Annunci Google