Il documento informatico
La natura del documento informatico
• In linea di principio, esso dovrebbe essere la
traslazione su base digitale del documento cartaceo
tradizionale, ma non è così semplice.
• Le caratteristiche intrinseche degli oggetti digitali e
l’esigenza di soddisfare i requisiti che sono alla base
della teoria giuridica del documento in un contesto
tecnologico in continua evoluzione, fanno assumere ai
processi di produzione, gestione e conservazione dei
documenti informatici una loro specifica
connotazione, sostanzialmente diversa da quella dei
processi analoghi applicati ai documenti cartacei.
Documento informatico
• Rappresentazione informatica di atti, fatti o
dati giuridicamente rilevanti
• Documento digitale sottoscritto con firma
digitale ai sensi dell'articolo 8 del Testo unico
approvato con decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445 e del
decreto del Presidente del Consiglio dei
Ministri 8 febbraio 1999 e successive
modificazioni.
Requisiti del documento: gli
elementi identificativi
Affidabilità/Reliability = Capacità del documento di
rappresentare i fatti cui si riferisce al momento della
creazione. Un documento è affidabile se la persona
che lo produce è affidabile e identificabile nel suo
ruolo
Autenticità/Authenticity = Credibilità del documento in
riferimento al responsabile della sua produzione e
alla integrità del documento stesso
Accessibilità/Usability = Usabilità costante: il documento
deve essere reperibile, leggibile, intelligibile a breve e
lungo periodo
Integrità/Integrity = Certezza di conservazione non
manipolata o contraffatta
La natura del documento digitale
• Un documento digitale è un documento
idoneo ad essere manipolato, trasmesso ed
elaborato attraverso un computer.
Registrazione e simboli
• Il contenuto di un documento tradizionale è
registrato su un supporto (carta…) attraverso il
significato di simboli (alfabeti, figure) che possono
essere direttamente compresi (letti) da un essere
umano.
• Il contenuto di un documento digitale invece è
registrato in una maniera e su un supporto che
non possono essere direttamente compresi (letti)
da un essere umano ed è rappresentato da
simboli (numeri binari) che devono essere
decodificati.
Esigenza di conservare le modalità per
l’accesso
• Dal momento che l'uomo non può leggere il
documento elettronico nella sua forma originale, è
fondamentale che la trasformazione in un formato
leggibile dall'uomo segua le stesse specifiche che
furono adottate nel primo passaggio. Per ottenere
ciò occorre non solo preservare i documenti, ma
anche accedere agli strumenti (hardware e software)
necessari a leggere i documenti ed operare le
corrette trasformazioni e i controlli necessari ad
assicurare che si possa vedere ciò che è stato
registrato.
Connessione tra contenuto e supporto
• Il contenuto di un documento tradizionale è
registrato su un supporto (uno strumento di
registrazione come può essere un foglio di carta) e
non può essere separato dal proprio supporto.
• Il contenuto di un documento elettronico è registrato
su un supporto ma, con il passare del tempo, viene
separato dal dispositivo originario e trasferito ad altri
e spesso differenti tipi di strumenti archiviazione.
Casi di separazione tra contenuto e
supporto
• Ciò accade ogni volta che esso viene recuperato o
quando l'obsolescenza tecnologica lo rende
necessario.
• Diversamente dai documenti tradizionali, un
documento elettronico non è perciò collegato in
maniera permanente ad uno specifico supporto o
strumento di archiviazione e, per questo motivo,
aumentano le possibilità di alterazione del
documento stesso. Ciò determina ulteriori problemi
in direzione della garanzia del mantenimento
dell'autenticità e dell'attendibilità del documento.
La firma digitale
• Elemento qualificante per la validità giuridica
del documento informatico
Firma elettronica o “debole”
• L’art. 1, c. 1, lett. q), del CAD definisce firma elettronica i “dati in
forma elettronica allegati oppure connessi tramite associazione
logica ad altri dati elettronici ed utilizzati come metodo di
identificazione informatica”.
• Essa può essere generata con un qualsiasi dispositivo, un software
configurato o un hardware, che permetta di applicare i dati per la
creazione di una firma a un contenuto informativo elettronico.
• Poiché non sono richiesti particolari requisiti tecnici per il
dispositivo né sono previste misure specifiche per garantire la
connessione univoca tra un soggetto e i dati per la creazione della
firma elettronica, questa può essere caratterizzata da un livello
basso di sicurezza e affidabilità.
• In questo caso si parla di “firma debole”
Da debole a forte
• Può verificarsi il caso che, pur non rispettando tutti i requisiti
previsti per le firme elettroniche qualificate descritte nel successivo
paragrafo, gli strumenti tecnologici utilizzati e le procedure di
rilascio dei dati personali siano tali da garantire un sufficiente grado
di attendibilità delle firme elettroniche generate in rapporto alla
tipologia dei documenti siglati.
• In considerazione della variabilità del grado di certezza attribuibile a
una firma elettronica, il legislatore europeo, con la Direttiva
• n. 1999/93/CE, precisamente l’art. 5, c. 2, ha imposto agli Stati
membri di non considerarla “legalmente inefficace o inammissibile
come prova in giudizio unicamente a causa del fatto che è in forma
elettronica o non basata su un certificato qualificato
Firma elettronica qualificata
• L’art. 1, c. 1, lett. r), del Codice dell’Amministrazione
Digitale, definisce firma elettronica qualificata “la firma
elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al
firmatario, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai
quali si riferisce in modo da consentire di rilevare se i
dati stessi siano stati successivamente modificati, che
sia basata su un certificato qualificato e realizzata
mediante un dispositivo sicuro per la creazione della
firma”.
• Si tratta di una firma elettronica caratterizzata dal più
alto grado di sicurezza e affidabilità.
In altri termini
• La firma digitale è il risultato di una procedura informatica
(validazione) che consente al sottoscrittore di rendere
manifesta l’ autenticità del documento informatico ed al
destinatario di verificarne la provenienza e l’integrità. In
sostanza i requisiti assolti sono:
• Autenticità: con un documento firmato digitalmente si può
essere certi dell’ identità del sottoscrittore;
• Integrità: sicurezza che il documento informatico non è
stato modificato dopo la sua sottoscrizione;
• Non ripudio: il documento informatico sottoscritto con
firma digitale, ha piena validità legale e non può essere
ripudiato dal sottoscrittore
Certificatori
• I certificatori sono i soggetti che prestano
servizi di certificazione delle firme
elettroniche o che forniscono altri servizi
connessi a queste ultime
L’Autorità di certificazione
• Garanzia dell’affidabilità del sistema
• Soggetto imparziale rispetto agli utenti
• Certifica l’autenticità delle chiavi e la
corrispondenza della chiave pubblica con il suo
titolare.
• Ai sensi dell’art. 9, c. 2, D.P.R. 445/2000,
– ha il compito di identificare con certezza i titolari delle
coppie di chiavi;
– pubblicare e tenere aggiornato l’elenco delle chiavi
pubbliche rilasciate;
– provvedere
tempestivamente
alla
revoca
o
sospensione delle chiavi nei casi previsti dal
regolamento.
Certificatori accreditati(dati CNIPA)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Actalis S.p.A. (dal 28/03/2002)
Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007)
Banca d’Italia (dal 24/01/2008)
Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004)
Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della Cedacrinord S.p.A.)
CNDCEC (dal 10/07/2008)
Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006)
Consiglio Nazionale del Notariato (dal 12/09/2002)
Consiglio Nazionale Forense (dal 11/12/2003)
I.T. Telecom S.r.l. (dal 13/01/2005)
In.Te.S.A. S.p.A. (dal 22/03/2001)
Infocert S.p.A. (dal 19/07/2007)
Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per incorporazione del Sanpaolo
IMI in Banca Intesa e conseguente cambio di denominazione sociale)
Lombardia Integrata S.p.A. (dal 17/08/2004)
Namirial S.p.A. (dal 3/11/2010)
Postecom S.p.A. (dal 20/04/2000)
SOGEI S.p.A. (dal 26/02/2004)
Il certificato (CNIPA)
• Il certificato è un documento elettronico,
contenente informazioni relative al titolare e
la chiave pubblica di firma del Titolare. E’ il
risultato di una apposita procedura di
certificazione che garantisce la corrispondenza
biunivoca tra una chiave pubblica ed il
soggetto a cui essa appartiene.
Come si ottiene il certificato (CNIPA)
• Per la legge italiana il Certificatore deve provvedere a verificare l’
identità del soggetto che richiede il certificato attraverso procedure
appositamente definite.
• Il richiedente deve fornire all’Ente di Certificazione la
documentazione utile per accertare la sua identità;
• Il Certificatore, a sua volta, fornisce al richiedente un codice
identificativo univoco;
• A seguito della generazione delle chiavi asimmetriche, quella
privata da mantenere segreta e quella pubblica da rendere
disponibile per la verifica, quest’ultima chiave viene inviata al
Certificatore per l’emissione del certificato;
• Il Certificatore, infine, genera e pubblica il certificato che contiene i
dati del Titolare e la sua chiave pubblica che i destinatari utilizzano
per la verifica della firma.
Come funziona la firma digitale
• Per generare una firma digitale è necessario utilizzare una
coppia di chiavi digitali asimmetriche, attribuite in maniera
univoca ad un soggetto detto Titolare della coppia di chiavi.
La prima, chiave privata destinata ad essere conosciuta solo
dal Titolare, è utilizzata per la generazione della firma
digitale da apporre al documento, la seconda, chiave da
rendere pubblica, viene utilizzata per verificare l’autenticità
della firma. Caratteristica di tale metodo, detto crittografia
a doppia chiave, è che, firmato il documento con la chiave
privata, la firma può essere verificata con successo
esclusivamente con la corrispondente chiave pubblica. La
sicurezza è garantita dalla impossibilità di ricostruire la
chiave privata (segreta) a partire da quella pubblica, anche
se le due chiavi sono univocamente collegate.(CNIPA)
Generazione della firma digitale
Verifica della firma digitale
Limiti della firma digitale
• la firma digitale permette di accertare l’integrità di un documento
informatico e di identificare il sottoscrittore, attribuendogli le
dichiarazioni contenute nel documento.
• Queste potenzialità, però, le sono riconosciute per un periodo di
tempo relativamente breve dalla data di sottoscrizione, in quanto
successivamente intervengono altri fattori che la rendono
• La firma è soggetta ad obsolescenza tecnologica come qualsiasi
altro contenuto digitale.
• Questo pone problemi in ordine alla conservazione di lungo periodo
e trasferisce responsabilità sui soggetti conservatori
• Il ruolo della marca temporale come “certificazione” della validità
della firma al momento dell’apposizione
Tipologie di documenti informatici
• Documento informatico non sottoscritto
digitalmente
• Documento informatico sottoscritto con firma
elettronica
• Documento informatico sottoscritto con firma
elettronica qualificata o firma digitale
• (Conservazione sostitutiva)
• E-mail
Documento informatico non sottoscritto digitalmente
• Un documento informatico può essere digitato su computer con l’ausilio di
un software di office automation, oppure può essere ottenuto con un
processo di digitalizzazione applicato a un documento analogico (ad
esempio la scansione di un documento cartaceo), o generato
automaticamente da un apparato hardware e software opportunamente
programmato.
• In ogni caso, senza l’adozione di particolari accorgimenti tecnici e la
protezione di un sistema di archiviazione digitale, un documento
informatico può essere modificato in qualsiasi momento, anche dopo la
sua produzione e anche senza la volontà esplicita dell’autore.
• Pertanto, ai documenti informatici non sottoscritti digitalmente è
riconosciuta la forza giuridica delle riproduzioni meccaniche, che è
specificata nell’articolo 2712 del Codice Civile: “Le riproduzioni
fotografiche o cinematografiche, le registrazioni fonografiche e, in genere,
ogni altra rappresentazione meccanica di fatti e di cose formano piena
prova dei fatti e delle cose rappresentate, se colui contro il quale sono
prodotte non ne disconosce la conformità ai fatti o alle cose medesime”
Documento informatico sottoscritto con firma
elettronica
• A una firma elettronica si riconosce un livello di sicurezza e di
affidabilità variabile in funzione degli strumenti tecnologici utilizzati
per la sua generazione e delle procedure seguite per il rilascio ai
titolari dei codici personali.
• Di conseguenza, ai sensi dell’art. 21, c. 1, del Codice
dell’Amministrazione Digitale, “il documento informatico cui è
apposta una firma elettronica, sul piano probatorio è liberamente
valutabile in giudizio, tenuto conto delle sue caratteristiche
oggettive di qualità, sicurezza, integrità e immodificabilità”.
• In altri termini, in caso di contenzioso, il giudice può liberamente
stabilire la validità di un documento sottoscritto con una firma
elettronica, valutando il grado di sicurezza e di affidabilità che le
può essere riconosciuto.
Documento informatico sottoscritto con firma elettronica
qualificata o
firma digitale
• In considerazione delle più ampie garanzie di sicurezza
fornite da una firma elettronica qualificata, l’art. 21, c. 2,
del D.Lgs. N. 82/2005, riconosce al “documento informatico
sottoscritto con una firma digitale, o un altro tipo di firma
elettronica qualificata, l’efficacia prevista dall’art. 2702 del
Codice Civile”, affermando che “l’utilizzo del dispositivo di
firma si presume riconducibile al titolare, salvo che questi
dia prova contraria”.
• Al documento informatico sottoscritto con firma digitale,
quindi, è attribuito un valore giuridico equivalente a una
scrittura privata, con in più l’onere, per chi non riconosce
come propria una firma digitale che il processo di verifica
gli attribuisce, di dover fornire egli stesso la prova
dell’esistenza di una qualche manomissione o anomalia.
Conservazione sostitutiva
• La dematerializzazione dei documenti genera
nuovi oggetti digitali frutto di una migrazione
da originali analogici a copie autentiche
digitali che ne assumono la stessa valenza
quando il processo di dematerializzazione sia
correttamente eseguito e certificato
Principi della conservazione
• La delibera 11/2004 (in via di ridefinizione)
Supporti
• la conservazione di documenti digitali avviene
mediante memorizzazione su supporti basati
su sistemi di registrazione con tecnologia laser
(Worm, CD-R, magneto-ottici, DVD), anche se
è oggi consentito l’uso di supporti diversi
purché idonei a garantire la conformità dei
documenti agli originali
Integrità
• la garanzia dell’integrità è assicurata mediante
l’apposizione, sull’insieme dei documenti registrati,
del riferimento temporale e della firma digitale del
responsabile della conservazione che attesta il
corretto svolgimento del processo e/o (in caso di
riproduzione sostitutiva e in base alla tipologia dei
• documenti) del pubblico ufficiale che attesti la
conformità all’originale
Deleghe a terzi del processo di
conservazione
• è consentita con limiti precisi la delega a terzi
dell’esercizio di responsabilità in materia di
conservazione digitale
Delega 1
• il responsabile del procedimento di
conservazione digitale può delegare in tutto o
in parte lo svolgimento delle proprie attività a
una o più persone che per competenza ed
esperienza garantiscano la corretta esecuzione
delle operazioni delegate
Esternalizzazione
• il procedimento di conservazione digitale può
essere affidato in tutto o in parte ad altri
soggetti pubblici o privati i quali sono tenuti
ad osservare le disposizioni in vigore
La certificazione
• Nelle PP.AA. il ruolo di pubblico ufficiale è
comunque svolto dal dirigente dell’ufficio
responsabile della conservazione dei
documenti o da altri dallo stesso formalmente
designati
Responsabilità e soggetti produttori
• la delega di esercizio non implica la delega
delle responsabilità a fini giuridici che restano
sempre in carico al soggetto produttore dei
documenti
Distruzione di documenti analogici
originali
• La distruzione dei documenti analogici è
consentita dopo il completamento della
procedura di conservazione digitale, fatti salvi
“i poteri di controllo del Ministero per i beni e
le attività culturali sugli archivi delle
amministrazioni pubbliche e sugli archivi dei
privati dichiarati di notevole interesse storico”.
La circolare della Direzione generale
per gli archivi
• Un caso interessante…
E-Mail
• La prima e-mail venne scritta nel 1971 tra due
computer collocati nella stessa stanza
• Oggi le e-mail rappresentano la forma di
comunicazione scritta più diffusa con più di
100 miliardi di mail spediti ogni giorno che
diventeranno 300 nel 2010
Centralità della posta elettronica
• Nell’ultimo decennio progressivamente la
posta elettronica è divenuto lo strumento
cruciale nello sviluppo di attività politiche,
commerciali e private
• Le e-mail non sono solo “veicoli di altri
documenti” ma contenitori di informazioni
• Si registra un interesse crescente nei confronti
della gestione e della conservazione delle e mail
La circolazione dei documenti
informatici
• La trasmissione e la ricezione di documenti informatici avvengono
di solito tramite il servizio di posta elettronica convenzionale
• Nella sua configurazione standard, questo servizio espone il
mittente e il destinatario a rischi rappresentati da:
–
–
–
–
virus informatici;
lettura dei messaggi da parte di sconosciuti, con conseguente
violazione della privacy;
modifica dei messaggi da parte di “malintenzionati”, con
conseguente abbattimento delle certezze relative alla provenienza,
alla data di spedizione, all’integrità del testo e degli allegati;
– deviazione o annullamento dei messaggi con conseguente incertezza
sulla data di consegna.
Il caso italiano
• Nella Direttiva del Ministro per l’innovazione del 27 novembre
2003 sull’utilizzo dei sistemi di posta elettronica si stabilisce
l’obbligo dell’adozione di non meglio specificati metodi di
conservazione dei messaggi pervenuti in relazione alle
tipologie documentarie e ai tempi di tenuta.
• Sull’argomento dei documenti prodotti nell’ambito di sistemi
di posta elettronica, il legislatore è intervenuto ripetutamente,
anche in considerazione della diffusione dello strumento in
questione. In particolare il D.P.R. 11 febbraio 2005, n. 68
disciplina un uso particolare della posta elettronica (presente
solo in Italia, per il momento), la cosiddetta posta elettronica
certificata (PEC).
PEC
• La posta elettronica certificata prevista dal legislatore italiano non solo nei
rapporti con la pubblica amministrazione, ma anche tra privati cittadini,
garantisce l’autenticazione del mittente, garanzie della riservatezza e
dell’integrità dei messaggi, il blocco delle comunicazioni che contengono
virus informatici, la data certa di spedizione e di consegna dei messaggi,
l’avviso di mancato recapito, i log (ovvero il tracciamento retroattivo) dei
messaggi, la compatibilità con la posta elettronica ordinaria.
• Delle funzioni indicate e dei dettagli tecnici contenuti nel provvedimento
merita ricordare – in relazione ai nodi della conservazione – il fatto che i
gestori dei sistemi di posta elettronica debbano conservare traccia delle
operazioni per trenta mesi e siano tenuti a verificare l’eventuale presenza
di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone
la trasmissione.
PEC
• l’utilizzo di posta elettronica e anche di posta
elettronica certificata non costituisce di per sé uno
strumento capace di garantire livelli qualificati di
conservazione dei materiali documentari trattati, a
meno che le applicazioni in futuro non siano in grado
di integrarsi pienamente con i sistemi di gestione
documentale e in particolare con il cosiddetto
sistema di protocollo informatico
• Rimane centrale la gestione archivistica
La posta elettronica certificata
• La Posta Elettronica Certificata (PEC) è un sistema di posta
elettronica nel quale è fornita al mittente documentazione
elettronica, con valenza legale, attestante l'invio e la consegna di
documenti informatici. "Certificare" l'invio e la ricezione - i due
momenti fondamentali nella trasmissione dei documenti informatici
- significa fornire al mittente, dal proprio gestore di posta, una
ricevuta che costituisce prova legale dell’avvenuta spedizione del
messaggio e dell’eventuale allegata documentazione. Allo stesso
modo, quando il messaggio perviene al destinatario, il gestore invia
al mittente la ricevuta di avvenuta (o mancata) consegna con
precisa indicazione temporale. Nel caso in cui il mittente smarrisca
le ricevute, la traccia informatica delle operazioni svolte, conservata
per legge per un periodo di 30 mesi, consente la riproduzione,
con lo stesso valore giuridico, delle ricevute stesse.(CNIPA)
In sintesi
• PEC è l’acronimo di Posta Elettronica
Certificata. E’ un sistema di "trasporto" di
documenti informatici che presenta delle forti
similitudini con il servizio di posta elettronica
"tradizionale", cui però sono state aggiunte
delle caratteristiche tali da fornire agli utenti la
certezza, a valore legale, dell’invio e della
consegna (o meno) dei messaggi e-mail al
destinatario
Dalla raccomandata alla PEC
• Il servizio di PEC consente di effettuare l’invio di documenti informatici
avendo la garanzia di "certificazione" dell’invio e dell’avvenuta (o mancata)
consegna. Il servizio ha, pertanto, tutti i requisiti della raccomandata con
A/R cui si aggiungono notevoli vantaggi sia in termini di tempo che di costi.
In particolare, nella PEC si riscontra:
– semplicità ed economicità di trasmissione, inoltro e riproduzione;
– semplicità ed economicità di archiviazione e ricerca;
– facilità di invio multiplo, cioè a più destinatari contemporaneamente, con costi
estremamente più bassi rispetto a quelli dei mezzi tradizionali;
– velocità della comunicazione ed inoltre non è necessaria la presenza del
destinatario per completare la consegna;
– possibilità di consultazione ed uso anche da postazioni diverse da quella del
proprio ufficio o abitazione (basta un qualsiasi PC connesso ad Internet e un
normale browser web), ed in qualunque momento grazie alla persistenza del
messaggio nella casella di posta elettronica;
– che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna
sono presenti anche i contenuti del messaggio originale.
Erogatori del servizio
• Il servizio di posta elettronica certificata può essere
erogato solo dai gestori che possiedono i requisiti di
cui all’art. 14 del D.P.R. n. 68/2005 e sono inseriti in
un elenco gestito dal Centro nazionale per
l’informatica nella pubblica amministrazione
(DigitPA).
• Fanno eccezione le pubbliche amministrazioni alle
quali è riconosciuta la facoltà di attivare
autonomamente un servizio di PEC, rispettando le
regole tecniche e di sicurezza previste dalla
normativa vigente.
La PEC: come funziona (DigitPa)
•
•
•
•
•
Digit PA
PEC
Come funziona la PEC
La PEC al cittadino
Elenco gestori