Il documento informatico
La natura del documento informatico In linea di principio, esso dovrebbe essere la traslazione su base digitale del documento cartaceo tradizionale, Le caratteristiche intrinseche degli oggetti digitali e l’esigenza di soddisfare i requisiti che sono alla base della teoria giuridica del documento in un contesto tecnologico in continua evoluzione, fanno assumere ai processi di produzione, gestione e conservazione dei documenti informatici una loro specifica connotazione, sostanzialmente diversa da quella dei processi analoghi applicati ai documenti cartacei.
Documento informatico Rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti Documento digitale sottoscritto con firma digitale ai sensi dell'articolo 8 del Testo unico approvato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 e successive modificazioni.
Requisiti del documento: gli elementi identificativi Affidabilità/Reliability = Capacità del documento di rappresentare i fatti cui si riferisce al momento della creazione. Un documento è affidabile se la persona che lo produce è affidabile e identificabile nel suo ruolo Autenticità/Authenticity = Credibilità del documento in riferimento al responsabile della sua produzione e alla integrità del documento stesso Accessibilità/Usability = Usabilità costante: il documento deve essere reperibile, leggibile, intelligibile a breve e lungo periodo Integrità/Integrity = Certezza di conservazione non manipolata o contraffatta
La natura del documento digitale Un documento digitale è un documento idoneo ad essere manipolato, trasmesso ed elaborato attraverso un computer.
Registrazione e simboli Il contenuto di un documento tradizionale è registrato su un supporto (carta…) attraverso il significato di simboli (alfabeti, figure) che possono essere direttamente compresi (letti) da un essere umano. Il contenuto di un documento digitale invece è registrato in una maniera e su un supporto che non possono essere direttamente compresi (letti) da un essere umano ed è rappresentato da simboli (numeri binari) che devono essere decodificati.
Esigenza di conservare le modalità per l’accesso Dal momento che l'uomo non può leggere il documento elettronico nella sua forma originale, è fondamentale che la trasformazione in un formato leggibile dall'uomo segua le stesse specifiche che furono adottate nel primo passaggio. Per ottenere ciò occorre non solo preservare i documenti, ma anche accedere agli strumenti (hardware e software) necessari a leggere i documenti ed operare le corrette trasformazioni e i controlli necessari ad assicurare che si possa vedere ciò che è stato registrato.
Connessione tra contenuto e supporto Il contenuto di un documento tradizionale è registrato su un supporto (uno strumento di registrazione come può essere un foglio di carta) e non può essere separato dal proprio supporto. Il contenuto di un documento elettronico è registrato su un supporto ma, con il passare del tempo, viene separato dal dispositivo originario e trasferito ad altri e spesso differenti tipi di strumenti archiviazione.
Casi di separazione tra contenuto e supporto Ciò accade ogni volta che esso viene recuperato o quando l'obsolescenza tecnologica lo rende necessario. Diversamente dai documenti tradizionali, un documento elettronico non è perciò collegato in maniera permanente ad uno specifico supporto o strumento di archiviazione e, per questo motivo, aumentano le possibilità di alterazione del documento stesso. Ciò determina ulteriori problemi in direzione della garanzia del mantenimento dell'autenticità e dell'attendibilità del documento.
La firma digitale Elemento qualificante per la validità giuridica del documento informatico
La firma digitale è il risultato di una procedura informatica (validazione) che consente al sottoscrittore di rendere manifesta l’ autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono: Autenticità: con un documento firmato digitalmente si può essere certi dell’ identità del sottoscrittore; Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione; Non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore
Certificatori I certificatori sono i soggetti che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi a queste ultime
L’Autorità di certificazione Garanzia dell’affidabilità del sistema Soggetto imparziale rispetto agli utenti Certifica l’autenticità delle chiavi e la corrispondenza della chiave pubblica con il suo titolare. Ai sensi dell’art. 9, c. 2, D.P.R. 445/2000, – ha il compito di identificare con certezza i titolari delle coppie di chiavi; – pubblicare e tenere aggiornato l’elenco delle chiavi pubbliche rilasciate; – provvedere tempestivamente alla revoca o sospensione delle chiavi nei casi previsti dal regolamento.
Il certificato (CNIPA) Il certificato è un documento elettronico, contenente informazioni relative al titolare e la chiave pubblica di firma del Titolare. E’ il risultato di una apposita procedura di certificazione che garantisce la corrispondenza biunivoca tra una chiave pubblica ed il soggetto a cui essa appartiene.
Come si ottiene il certificato (CNIPA) Per la legge italiana il Certificatore deve provvedere a verificare l’ identità del soggetto che richiede il certificato attraverso procedure appositamente definite. Il richiedente deve fornire all’Ente di Certificazione la documentazione utile per accertare la sua identità; Il Certificatore, a sua volta, fornisce al richiedente un codice identificativo univoco; A seguito della generazione delle chiavi asimmetriche, quella privata da mantenere segreta e quella pubblica da rendere disponibile per la verifica, quest’ultima chiave viene inviata al Certificatore per l’emissione del certificato; Il Certificatore, infine, genera e pubblica il certificato che contiene i dati del Titolare e la sua chiave pubblica che i destinatari utilizzano per la verifica della firma.
Come funziona la firma digitale Per generare una firma digitale è necessario utilizzare una coppia di chiavi digitali asimmetriche, attribuite in maniera univoca ad un soggetto detto Titolare della coppia di chiavi. La prima, chiave privata destinata ad essere conosciuta solo dal Titolare, è utilizzata per la generazione della firma digitale da apporre al documento, la seconda, chiave da rendere pubblica, viene utilizzata per verificare l’autenticità della firma. Caratteristica di tale metodo, detto crittografia a doppia chiave, è che, firmato il documento con la chiave privata, la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostruire la chiave privata (segreta) a partire da quella pubblica, anche se le due chiavi sono univocamente collegate.(CNIPA)
Generazione della firma digitale
Verifica della firma digitale
Limiti della firma digitale la firma digitale permette di accertare l’integrità di un documento informatico e di identificare il sottoscrittore, attribuendogli le dichiarazioni contenute nel documento. Queste potenzialità, però, le sono riconosciute per un periodo di tempo relativamente breve dalla data di sottoscrizione, in quanto successivamente intervengono altri fattori che la rendono La firma è soggetta ad obsolescenza tecnologica come qualsiasi altro contenuto digitale. Questo pone problemi in ordine alla conservazione di lungo periodo e trasferisce responsabilità sui soggetti conservatori Il ruolo della marca temporale come “certificazione” della validità della firma al momento dell’apposizione
Tipologie di documenti informatici Documento informatico non sottoscritto digitalmente Documento informatico sottoscritto con firma elettronica Documento informatico sottoscritto con firma elettronica qualificata o firma digitale (Conservazione sostitutiva)
Documento informatico non sottoscritto digitalmente Un documento informatico può essere digitato su computer con l’ausilio di un software di office automation, oppure può essere ottenuto con un processo di digitalizzazione applicato a un documento analogico (ad esempio la scansione di un documento cartaceo), o generato automaticamente da un apparato hardware e software opportunamente programmato. In ogni caso, senza l’adozione di particolari accorgimenti tecnici e la protezione di un sistema di archiviazione digitale, un documento informatico può essere modificato in qualsiasi momento, anche dopo la sua produzione e anche senza la volontà esplicita dell’autore. Pertanto, ai documenti informatici non sottoscritti digitalmente è riconosciuta la forza giuridica delle riproduzioni meccaniche, che è specificata nell’articolo 2712 del Codice Civile: “Le riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”
Documento informatico sottoscritto con firma elettronica A una firma elettronica si riconosce un livello di sicurezza e di affidabilità variabile in funzione degli strumenti tecnologici utilizzati per la sua generazione e delle procedure seguite per il rilascio ai titolari dei codici personali. Di conseguenza, ai sensi dell’art. 21, c. 1, del Codice dell’Amministrazione Digitale, “il documento informatico cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”. In altri termini, in caso di contenzioso, il giudice può liberamente stabilire la validità di un documento sottoscritto con una firma elettronica, valutando il grado di sicurezza e di affidabilità che le può essere riconosciuto.
Documento informatico sottoscritto con firma elettronica qualificata o firma digitale In considerazione delle più ampie garanzie di sicurezza fornite da una firma elettronica qualificata, l’art. 21, c. 2, del D.Lgs. N. 82/2005, riconosce al “documento informatico sottoscritto con una firma digitale, o un altro tipo di firma elettronica qualificata, l’efficacia prevista dall’art del Codice Civile”, affermando che “l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”. Al documento informatico sottoscritto con firma digitale, quindi, è attribuito un valore giuridico equivalente a una scrittura privata, con in più l’onere, per chi non riconosce come propria una firma digitale che il processo di verifica gli attribuisce, di dover fornire egli stesso la prova dell’esistenza di una qualche manomissione o anomalia.
Conservazione sostitutiva La dematerializzazione dei documenti genera nuovi oggetti digitali frutto di una migrazione da originali analogici a copie autentiche digitali che ne assumono la stessa valenza quando il processo di dematerializzazione sia correttamente eseguito e certificato
Principi della conservazione La delibera 11/2004 (in via di ridefinizione)
Supporti la conservazione di documenti digitali avviene mediante memorizzazione su supporti basati su sistemi di registrazione con tecnologia laser (Worm, CD-R, magneto-ottici, DVD), anche se è oggi consentito l’uso di supporti diversi purché idonei a garantire la conformità dei documenti agli originali
Integrità la garanzia dell’integrità è assicurata mediante l’apposizione, sull’insieme dei documenti registrati, del riferimento temporale e della firma digitale del responsabile della conservazione che attesta il corretto svolgimento del processo e/o (in caso di riproduzione sostitutiva e in base alla tipologia dei documenti) del pubblico ufficiale che attesti la conformità all’originale
Deleghe a terzi del processo di conservazione è consentita con limiti precisi la delega a terzi dell’esercizio di responsabilità in materia di conservazione digitale
Delega 1 il responsabile del procedimento di conservazione digitale può delegare in tutto o in parte lo svolgimento delle proprie attività a una o più persone che per competenza ed esperienza garantiscano la corretta esecuzione delle operazioni delegate
Esternalizzazione il procedimento di conservazione digitale può essere affidato in tutto o in parte ad altri soggetti pubblici o privati i quali sono tenuti ad osservare le disposizioni in vigore
La certificazione Nelle PP.AA. il ruolo di pubblico ufficiale è comunque svolto dal dirigente dell’ufficio responsabile della conservazione dei documenti o da altri dallo stesso formalmente designati
Responsabilità e soggetti produttori la delega di esercizio non implica la delega delle responsabilità a fini giuridici che restano sempre in carico al soggetto produttore dei documenti
Distruzione di documenti analogici originali La distruzione dei documenti analogici è consentita dopo il completamento della procedura di conservazione digitale, fatti salvi “i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle amministrazioni pubbliche e sugli archivi dei privati dichiarati di notevole interesse storico”.
La circolare della Direzione generale per gli archivi Un caso interessante…
La prima venne scritta nel 1971 tra due computer collocati nella stessa stanza Oggi le rappresentano la forma di comunicazione scritta più diffusa con più di 100 miliardi di mail spediti ogni giorno che diventeranno 300 nel 2010
Centralità della posta elettronica Nell’ultimo decennio progressivamente la posta elettronica è divenuto lo strumento cruciale nello sviluppo di attività politiche, commerciali e private Le non sono solo “veicoli di altri documenti” ma contenitori di informazioni Si registra un interesse crescente nei confronti della gestione e della conservazione delle e - mail
La circolazione dei documenti informatici La trasmissione e la ricezione di documenti informatici avvengono di solito tramite il servizio di posta elettronica convenzionale Nella sua configurazione standard, questo servizio espone il mittente e il destinatario a rischi rappresentati da: – virus informatici; – lettura dei messaggi da parte di sconosciuti, con conseguente – violazione della privacy; – modifica dei messaggi da parte di “malintenzionati”, con conseguente abbattimento delle certezze relative alla provenienza, alla data di spedizione, all’integrità del testo e degli allegati; – deviazione o annullamento dei messaggi con conseguente incertezza sulla data di consegna.
Il caso italiano Nella Direttiva del Ministro per l’innovazione del 27 novembre 2003 sull’utilizzo dei sistemi di posta elettronica si stabilisce l’obbligo dell’adozione di non meglio specificati metodi di conservazione dei messaggi pervenuti in relazione alle tipologie documentarie e ai tempi di tenuta. Sull’argomento dei documenti prodotti nell’ambito di sistemi di posta elettronica, il legislatore è intervenuto ripetutamente, anche in considerazione della diffusione dello strumento in questione. In particolare il D.P.R. 11 febbraio 2005, n. 68 disciplina un uso particolare della posta elettronica (presente solo in Italia, per il momento), la cosiddetta posta elettronica certificata (PEC).
PEC La posta elettronica certificata prevista dal legislatore italiano non solo nei rapporti con la pubblica amministrazione, ma anche tra privati cittadini, garantisce l’autenticazione del mittente, garanzie della riservatezza e dell’integrità dei messaggi, il blocco delle comunicazioni che contengono virus informatici, la data certa di spedizione e di consegna dei messaggi, l’avviso di mancato recapito, i log (ovvero il tracciamento retroattivo) dei messaggi, la compatibilità con la posta elettronica ordinaria. Delle funzioni indicate e dei dettagli tecnici contenuti nel provvedimento merita ricordare – in relazione ai nodi della conservazione – il fatto che i gestori dei sistemi di posta elettronica debbano conservare traccia delle operazioni per trenta mesi e siano tenuti a verificare l’eventuale presenza di virus nelle ed informare in caso positivo il mittente, bloccandone la trasmissione.
PEC l’utilizzo di posta elettronica e anche di posta elettronica certificata non costituisce di per sé uno strumento capace di garantire livelli qualificati di conservazione dei materiali documentari trattati, a meno che le applicazioni in futuro non siano in grado di integrarsi pienamente con i sistemi di gestione documentale e in particolare con il cosiddetto sistema di protocollo informatico Rimane centrale la gestione archivistica
La posta elettronica certificata La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici. "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.(CNIPA)
In sintesi PEC è l’acronimo di Posta Elettronica Certificata. E’ un sistema di "trasporto" di documenti informatici che presenta delle forti similitudini con il servizio di posta elettronica "tradizionale", cui però sono state aggiunte delle caratteristiche tali da fornire agli utenti la certezza, a valore legale, dell’invio e della consegna (o meno) dei messaggi al destinatario
Dalla raccomandata alla PEC Il servizio di PEC consente di effettuare l’invio di documenti informatici avendo la garanzia di "certificazione" dell’invio e dell’avvenuta (o mancata) consegna. Il servizio ha, pertanto, tutti i requisiti della raccomandata con A/R cui si aggiungono notevoli vantaggi sia in termini di tempo che di costi. In particolare, nella PEC si riscontra: – semplicità ed economicità di trasmissione, inoltro e riproduzione; – semplicità ed economicità di archiviazione e ricerca; – facilità di invio multiplo, cioè a più destinatari contemporaneamente, con costi estremamente più bassi rispetto a quelli dei mezzi tradizionali; – velocità della comunicazione ed inoltre non è necessaria la presenza del destinatario per completare la consegna; – possibilità di consultazione ed uso anche da postazioni diverse da quella del proprio ufficio o abitazione (basta un qualsiasi PC connesso ad Internet e un normale browser web), ed in qualunque momento grazie alla persistenza del messaggio nella casella di posta elettronica; – che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale.
Erogatori del servizio Il servizio di posta elettronica certificata può essere erogato solo dai gestori che possiedono i requisiti di cui all’art. 14 del D.P.R. n. 68/2005 e sono inseriti in un elenco gestito dal Centro nazionale per l’informatica nella pubblica amministrazione (DigitPA). Fanno eccezione le pubbliche amministrazioni alle quali è riconosciuta la facoltà di attivare autonomamente un servizio di PEC, rispettando le regole tecniche e di sicurezza previste dalla normativa vigente.
La PEC: come funziona (DigitPa) Digit PA PEC Come funziona la PEC La PEC al cittadino Elenco gestori