IL DOCUMENTO INFORMATICO E LE NUOVE DISPOSIZIONI IN MATERIA DI FIRME ELETTRONICHE Le procedure di registrazione e di rilascio della smart-card e della CNS di Claudio Venturi Sommario: - 1. Premessa. - 2. Il documento informatico e la sua sottoscrizione. - 2.1. La normativa di riferimento. - 2.2. Concetti generali - 2.3. La firma digitale - 2.4. La certificazione delle chiavi. - 3. Le novità dettate dalla Direttiva della CE 1999/93 recepite dal D. Lgs. n. 10 del 2002. – 3.1. Premessa. – 3.2. Le novità apportate dal D. Lgs. n. 10 del 2002. - 4. I certificatori e le novità introdotte dal D.P.R. n. 137 del 2003. – 4.1. Sulle nuove definizioni in generale. 4.2. L’attività dei certificatori. – 4.3. I certificatori qualificati. – 4.4. Dichiarazione di inizio attività. – 4.5. I certificati qualificati – 4.6. Accreditamento – 4.7. Gli obblighi del titolare e del certificatore. 4.8. Gli enti certificatori attualmente iscritti all’AIPA. - 5. La procedura di registrazione e il rilascio del dispositivo di firma. - 5.1. Gli uffici di registrazione. – 5.2. Le caratteristiche della Smart Card. - 5.3. Soggetti interessati. - 5.4. La procedura di rilascio della Smart Card. – 5.5. Il PIN segreto. – 5.6. Diritti. – 6. La Carta Nazionale dei Servizi (CNS). – 6.1. Le regole tecniche. – 6.2. Le finalità della CNS. – 6.3. La CNS rilasciata dalle Camere di Commercio. 1. Premessa Con l’entrata in vigore della legge 24 novembre 2000, n. 340 (legge di semplificazione 1999) molte sono state le novità che hanno interessato il Registro delle imprese. Una di queste è quella dettata all’articolo 31, comma 2, dove si prevede che dal 9 dicembre 2001 1 le denunce, le domande di iscrizione nonché quelle di deposito degli atti relativi alle imprese costituite in forma societaria dovranno essere obbligatoriamente presentate all’Ufficio del Registro delle imprese per via informatica o telematica. Tale disposizione è confermativa e sostitutiva dell’analoga previsione di cui all’articolo 4, comma 1, del D.P.R. 14 dicembre 1999, n. 558 2, riguardante più 1 Si ricorda che, con disposto di cui al comma 13 dell’articolo 3, della legge 28 dicembre 2001, n. 448 (legge finanziaria 2002), tale termine è stato posticipato al 9 dicembre 2002. Successivamente, in sede di conversione del D.L. 25 ottobre 2002, n. 236, per effetto della legge 27 dicembre 2002, n. 284, è stato inserito l’art. 13-ter, che ha, a sua volta, aggiunto i commi 2-bis e 2-ter all’articolo 31 della legge n. 340/2000, nei quali si è prevista una seconda proroga al 30 giugno 2003. Infine, In sede di conversione del D.L. 24 giugno 2003, n. 145, concernente “Proroga di termini e disposizioni urgenti ordinamentali” , per effetto della L. 1 agosto 2003, n. 200 (pubblicata nella G.U. n. 178 del 2 agosto 2003), all’articolo 8-bis si è disposta la terza proroga al 31 ottobre 2003. 2 Regolamento recante norme per la semplificazione della disciplina in materia di registro delle imprese, nonché per la semplificazione dei procedimenti relativi alla denuncia di inizio di attività e per la domanda di iscrizione all'albo ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 1/22 specificamente la semplificazione in materia di procedimenti nei confronti del Registro delle imprese. La disposizione, per ora, non riguarda le imprese individuali ed i soggetti iscritti al solo REA (Repertorio Economico Amministrativo). Per questi soggetti sarà un apposito decreto a definire i tempi e i modi per la loro assoggettabilità alle procedure informatiche. Tutto ciò sta a significare che tutte le società, ai fini dell’inoltro di qualsiasi forma di documentazione al Registro delle imprese, non potranno più utilizzare il supporto cartaceo (per denunce e domande: l’attuale modulistica), ma dovranno in ogni caso o consegnare un supporto informatico contenente i dati oggetto della pratica presso gli sportelli camerali, o spedire i dati medesimi via internet. Quanto previsto dalla legge di semplificazione rappresenta, indubbiamente, un progetto di assoluta rilevanza che segnerà una svolta epocale nei rapporti con le imprese. E’ anche vero che, per raggiungere l’obiettivo che il legislatore si è proposto, è necessario definire con tempismo e chiarezza tutte le implicazioni che tale legge comporta e le conseguenze che da essa ne derivano. Da questo punto di vista, la questione “zero” e’, sicuramente, quella riguardante le modalità operative ammesse, ovvero quali sono, tra le innumerevoli opzioni offerti dalla tecnologia attuale, le forme di software, le tipologie dei supporti hardware ed i protocolli di trasmissione telematica dei quali la norma consente l’utilizzo. Per rispondere a tale quesito, e’ utile ripercorrere la cronistoria dei lineamenti giuridici sull’argomento, per individuarvi i punti e le tracce che possono agevolare a dirimere la questione. Il fondamento giuridico, che riveste il ruolo di norma-quadro sulla materia, e’ l’articolo 15, comma 2, della Legge 15 marzo 1997, n. 59 3 (Bassanini-1), che recita: “Gli atti, i dati e i documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, nonchè la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge”. Come sempre accade per le leggi-quadro, tale articolo si e’ limitato a dare un generico invito ad andare in una certa direzione, dovendo attendere per le specifiche più analitiche (ivi comprese quelle tecniche) il relativo Regolamento di attuazione. Quando quest’ultimo e’ stato emanato, tramite il D.P.R. 10 novembre 1997, n. 513 4, si sono chiarite in maniera netta tutte le questioni. Relativamente alla spedizione telematica, è stata prevista l’obbligatorietà dell’utilizzo di un sistema di trasmissione sicura, basato su modalità assicuranti l’avvenuta consegna. Riguardo la formazione del documento, invece, si e’ definita come ammissibile esclusivamente quella in cui il documento stesso è asseverato delle imprese artigiane o al registro delle imprese per particolari categorie di attività soggette alla verifica di determinati requisiti tecnici (numeri 94-97-98 dell'allegato 1 della legge 15 marzo 1997, n. 59). 3 Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa. 4 Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della L. 15 marzo 1997, n. 59. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 2/22 dalla cosiddetta firma digitale, dallo stesso D.P.R. chiaramente definita: questo sia nel caso degli atti, sia nel caso delle domande e denunce. Il D.P.R. 513/97 è stato in seguito abrogato dal D.P.R. 28 dicembre 2000, n. 445 5, anche se tale abrogazione esiste solo nominalmente, in quanto il contenuto di tutti gli articoli del primo e’ migrato integralmente nel secondo. In tale nuovo decreto, ferma restando la possibilità di usare la firma digitale per atti, domande e denunce, si è ampliata la gamma di modalità di presentazione per tutte e tre queste categorie di documenti. Segnatamente: - per gli atti, si sono aggiunte le seguenti possibilità: • invio tramite fax (art. 43, c.6); • altro mezzo informatico o telematico idoneo ad accertare la fonte di provenienza (art. 43, c.6). - per le denunce e le domande, invece, si sono aggiunte le ulteriori opzioni: • invio tramite fax (art. 38, c.1); • identificazione del sottoscrittore tramite la carta di identità elettronica (art. 38, c.2); • invio in via telematica della copia fotostatica (informatica) recante la firma autografa del sottoscrittore o dei sottoscrittori e firmata digitalmente dal presentante6, unitamente alla copia fotostatica (informatica) non autenticata di un documento di identità del sottoscrittore (art. 38, c.3). Questo in linea generale. Venendo poi al Registro delle imprese, va detto che: - il mezzo fax, non si presta ne’ all’inoltro degli atti, ne’ delle domande o delle denunce, stante la mancanza di direttive sulle modalità di assolvimento degli obblighi fiscali e dell’esazione dei diritti di segreteria; - il mezzo carta di identità elettronica, alla data, e’ ancora lungi da venire; - le restanti modalità sono utilizzabili via Telemaco, ma sicuramente sono tutte meno garantiste della modalità Firma Digitale, che resta l’unico mezzo che da’ certezze di sufficiente rilevanza relativamente all’identificazione sicura sia del mittente, sia dell’autore dei documenti. Alla diffusione della cultura sulla Firma Digitale e, quindi, ad un suo capillare utilizzo fa’ però da ostacolo la convinzione generalizzata che si tratta di un argomento di difficile comprensione: al riguardo, come per ogni cosa, siamo invece convinti che e’ solo questione di utilizzare le argomentazioni didattiche giuste. In questa breve nota, cercheremo di sintetizzare quelli che sono i concetti fondamentali della nuova materia, di evidenziare i principi generali che la regolano, infine di schematizzare quelli che sono i “nuovi” adempimenti a cui sono tenute le imprese costituite in forma societaria nei confronti del Registro delle imprese. 5 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. La firma digitale apposta ai documenti da un intermediario professionale ha lo scopo accertare la fonte di provenienza del documento trasmesso e di garantirne la genuinità (integrità) del contenuto, così da giustificare sul piano sostanziale il soddisfacimento della forma scritta. 6 ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 3/22 2. Il documento informatico e la sua sottoscrizione 2.1. La normativa di riferimento I documenti fondamentali che regolano la materia sono i seguenti: • Il D.P.C.M. 8 febbraio 1999 7 regola gli spetti tecnici ed organizzativi di chi usufruisce ed opera con i documenti informatici e la firma digitale; • La Circolare AIPA, n. AIPA/CR/22 del 26 luglio 1999 8 ha dettato norme per l’iscrizione nell’elenco pubblico dei certificatori 9; • Il D.P.R. 28 dicembre 2000, n. 445 (Suppl. Ord. n. 30 alla G.U. n. 42 del 20 febbraio 2001), concernente “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”, il quale dedica le prime cinque Sezioni del Capo II, negli articoli dal 6 al 29, al documento informatico e alla firma digitale. • D. Lgs. 23 gennaio 2002, n. 10 (G.U. n. 39 del 15 febbraio 2002): Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. • D.P.R. 7 aprile 2003, n. 137, portante il regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. • Presidenza del Consiglio dei Ministri – Dipartimento per l’innovazione e le tecnologie – Decreto 2 luglio 2004: Competenza in materia di certificatori di firma elettronica (G.U. n. 199 del 25 agosto 2004). 2.2. Concetti generali All’articolo 1, lett. b), del D.P.R. n. 445/2000 il “documento informatico” vene definito come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. La norma sancisce l’ufficialità del contenuto della realizzazione informatica, a prescindere sia dai programmi necessari a generarla, sia dai supporti che temporaneamente la contengono. Sempre secondo il medesimo decreto, il documento informatico sottoscritto con firma digitale, se redatto in base alle disposizioni tecniche prefissate, soddisfa il requisito della forma scritta e ha efficacia probatoria, ai sensi dell’articolo 2702 del Codice Civile (art. 10, D.P.R. n. 445/2000). Se l’apposizione della firma digitale al documento è autenticata (digitalmente) da un notaio o altro pubblico ufficiale autorizzato, la firma è considerata riconosciuta ed autenticata, ai sensi dell’articolo 2703 del Codice civile (art. 24, comma 1, D.P.R. n. 445/2000.). 7 D.P.C.M. 8 febbraio 1999 (1G.U. n. 87 del 14 aprile 1999) - Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'art. 3, comma 1, del D.P.R. 10 novembre 1997, n. 513. 8 Circolare AIPA 26 luglio 1999, n. AIPA/CR/22 (G.U. n. 19 del 2 agosto 1999) - Art. 16, comma 1, dell'allegato tecnico al D.P.C.M. 8 febbraio 1999. Modalità per presentare domanda di iscrizione nell'elenco pubblico dei certificatori di cui all'art. 8, comma 3, del D.P.R. 10 novembre 1997, n. 513. 9 Per effetto del disposto di cui all’art. 176 del D. Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) l’Autorità per l’informazione nella pubblica amministrazione (AIPA) si è trasformata, a decorrere dal 30 luglio 2003, in “Centro nazionale per l’informatica nella pubblica amministrazione” (CNIPA). ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 4/22 Con questo non si vuole assolutamente dire che la firma digitale non autenticata non sia valida (anche se, ovviamente, con diversa efficacia giuridica). Per la legislazione italiana, la firma digitale ha lo stesso valore della firma autografa, nel senso che la prima svolge, rispetto al contenuto del documento informatico a cui è apposta o associata, le stesse funzioni svolte dalla seconda rispetto al contenuto della dichiarazione sul documento cartaceo 10. 2.3. La firma digitale La firma digitale, basata sulla crittografia asimmetrica a chiave pubblica, nonché su quella detta “a funzione hashing”, si è ormai affermata come principale strumento in grado, allo stato attuale della tecnologia, di assicurare l'integrità e la provenienza dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa. La “firma digitale” viene definita dal D.P.R. n. 445/2000, all’art. 1, lett. n), così come sostituito dall’art. 1 del D.P.R. n. 137/2003, come “un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici”. L firma digitale costituisce, dunque, il criterio legale di imputazione del documento informatico ed è il risultato dell’applicazione combinata di due processi distinti, la crittografia asimmetrica (la provenienza) la funzione hashing (l’integrità). La firma digitale non è solo indicazione della provenienza del file, per la quale basterebbe la cifratura del file stesso con una semplice chiave di autenticazione, ma anche e soprattutto attribuzione della paternità giuridica del contenuto del file al firmatario; da qui il nome di “chiave di sottoscrizione”, distinta dalle altre per imposizione normativa 11. Ma che cosa è in sostanza la firma digitale e qual è la sua funzione? All’articolo 23 del D.P.R. n. 445/2000, così come sostituito dall’art. 9 del D.P.R. n. 137/2003, vengono fissati i seguenti cinque principi fondamentali: 1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. 2. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica sia stata oggetto dell'emissione di un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso. 10 L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo (art. 23, comma 2, D.P.R. n. 445/2000). 11 Si riporta il comma 4, dell’articolo 4, del D.P.C.M. 8 febbraio 1999: 4. Ai fini del presente decreto, le chiavi ed i correlati servizi, si distinguono secondo le seguenti tipologie: a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti; b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati ed alle loro liste di revoca (CRL) o sospensione (CSL); c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 5/22 3. L'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. 4. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere. 5. Attraverso il certificato elettronico si devono rilevare, secondo le regole tecniche definite con decreto del Presidente del Consiglio dei Ministri, la validità del certificato elettronico stesso, nonchè gli elementi identificativi del titolare e del certificatore. 2.4. La certificazione delle chiavi Chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura, per la sottoscrizione di documenti informatici, deve munirsi di una idonea coppia di chiavi e rendere pubblica una di esse mediante la procedura di certificazione. Il “certificato digitale” è un documento elettronico che lega una chiave pubblica ad un soggetto (il titolare della chiave) di cui è definita l’identità. L’affidabilità del legame è garantita dall’apposizione al documento della firma digitale dell’Ente di certificazione. Il “certificato digitale” è, dunque, un insieme di informazioni atte a definire con certezza la corrispondenza tra il soggetto certificato e la sua chiave pubblica 12. Il certificato consiste in un documento informatico che attesta che ad un determinato e ben identificato soggetto corrisponde una chiave pubblica di cui si prescrive il periodo di validità. Esso contiene: • i dati anagrafici identificativi del soggetto, • la chiave pubblica assegnata al soggetto, • la sua durata temporale, • gli estremi identificativi dell’Ente di certificazione, • gli algoritmi di generazione e di verifica utilizzabili. Il certificato digitale può essere di vari tipi, ad esempio: • Certificato di sottoscrizione: certificato che consente all’utente che ne è titolare di firmare digitalmente un documento. • Certificato di autenticazione: certificato che consente all’utente che ne è titolare di essere riconosciuto e abilitato a servizi offerti su reti Internet / Intranet, oppure di firmare un messaggio di posta elettronica. Per ottenere questo certificato è necessario avere un indirizzo di posta elettronica. • Certificato di crittografia: certificato che consente all’utente che ne è titolare di crittografare un documento, rendendolo intelligibile solo per i suoi destinatari. 12 All’articolo 22, comma 1, lett. f), del D.P.R. n. 445/2000, viene definita certificazione “il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni”. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 6/22 L’attuale procedura consente di rilasciare certificati di sottoscrizione e di autenticazione. Novità di assoluto rilievo sono state introdotte dal D.P.R. n. 137/2003 in materia di validità dei certificati. Mentre la precedente versione del TU sulla documentazione amministrativa prevedeva che la validità del certificato non superasse i tre anni (art. 22, comma 1, lett. f), mentre le regole tecniche approvate con D.P.C.M. 8 febbraio 1999 prescrivevano all’art. 60 che si dovessero apporre periodicamente le marche temporali per assicurare la validità del documento dopo il termine di scadenza; nella nuova versione del TU la norma è stata eliminata. Bisogna, tuttavia, aspettare le nuove regole tecniche per sapere come il legislatore ha risolto il problema, legato alla possibilità che l'aumento di potenza dei sistemi di elaborazione renda vulnerabili in poco tempo le chiavi di cifratura. 3. Le novità dettate dalla Direttiva della CE 1999/93 recepite dal D. Lgs. n. 10 del 2002 3.1. Premessa In materia di firme elettroniche si sono susseguiti due decreti di fondamentale importanza, che hanno modificato ed integrato il D.P.R. n. 445/2000: 1) il D. Lgs. 23 gennaio 2002, n. 10, che ha dato attuazione alla direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche; 2) il D.P.R. 7 aprile 2003, n. 137, portante il regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. 3.2. Le novità introdotte dal D. Lgs. n. 10 del 2002 Sulla Gazzetta Ufficiale n. 39 del 15 febbraio 2002 è stato pubblicato il D. Lgs. 23 gennaio 2002, n. 10, di attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Il Decreto, accanto alla firma digitale “forte”, introduce: a) il concetto generale di “firma elettronica” e di “firma elettronica avanzata”; b) l’uso della firma digitale “debole” o “leggera”. La firma “debole” o “leggera” è quella che assicura solo la provenienza del documento senza eccepire sull’integrità del contenuto; mentre la firma digitale “forte” è quella che assicura contemporaneamente la provenienza del documento e l’integrità del contenuto. Quest’ultima è la firma riconosciuta dall’AIPA. Le firme apposte con mezzi informatici ora sono, pertanto, tre. La prima è la “firma elettronica”, definita, all’articolo 2, comma 1, lett. a), come “l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica”. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 7/22 Tale firma, prevista dalla Direttiva ed introdotta dal D. Lgs n. 10/2002, viene comunemente detta anche “firma leggera” o “firma debole”. La seconda è la “firma elettronica avanzata” (anch’essa prevista dalla Direttiva ed introdotta dal Decreto in commento), la quale viene definita, all’articolo 2, comma 1, lett. g), come “la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. La terza, infine, è la “firma digitale”, originariamente scelta dal legislatore italiano, detta anche “firma pesante” o “firma forte” o anche “firma AIPA”, che si basa sulla particolare tecnica del sistema di crittografia a chiavi asimmetriche, ed è ora disciplinata dal D.P.R. n. 445/2000. La nostra firma digitale è una firma elettronica avanzata, basata su un certificato qualificato e creata tramite un dispositivo di firma sicuro, e si colloca al livello massimo quanto a sicurezza, qualità ed efficacia probatoria. La Direttiva europea lascia liberi gli Stati di assoggettare l’uso delle firme elettroniche nel settore pubblico ad eventuali requisiti supplementari. La posizione del nostro legislatore è quella espressa all’articolo 9 13, il quale, innovando in parte l’articolo 38 del D.P.R. n. 445/2000, stabilisce in sostanza che per la Pubblica amministrazione è valida “erga omnes” solo l’attuale firma digitale e non anche le altre firme elettroniche avanzate. 4. I certificatori e le novità introdotte dal D.P.R. n. 137 del 2003 In attuazione dell’art. 13 del D. Lgs. n. 10 del 2002, sulla Gazzetta Ufficiale n. 138 del 17 giugno 2003 il regolamento recante disposizioni di coordinamento in materia di firme elettroniche 14. Tale decreto è stato, infatti, emanato ai fini del coordinamento delle disposizioni del testo unico emanato con il D.P.R. n. 445/2000 con quelle recate dal D. Lgs. n. 10 del 2002 e dalla Direttiva 1999/93/CE, nonché della fissazione dei requisiti necessari per lo svolgimento dell'attività dei certificatori. Il provvedimento adegua il quadro normativo italiano delle disposizioni sulla firma elettronica al dettato comunitario, modificando alcune parti del testo unico in materia di documentazione amministrativa (D.P.R. n. 445/2000) e detta una compiuta disciplina in materia di firme elettroniche, di attività dei certificatori e loro accreditamento, al fine di ottenere il riconoscimento dei requisiti più elevati di qualità e di sicurezza. Il regolamento è entrato in vigore il 2 luglio 2003. 13 Si riporta l’articolo 9 del D. Lgs. n. 10/2002: “1. All'articolo 38 del testo unico emanato con il decreto del Presidente della Repubblica n. 445 del 2000, il comma 2 e' sostituito dal seguente: "2. Le istanze e le dichiarazioni inviate per via telematica sono valide: a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura; b) ovvero quando l'autore e' identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi.". 14 D.P.R. 7 aprile 2003, n. 137 (G.U. n. 138 del 17 giugno 2003): Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 8/22 Riassumiamo brevemente quelli che sono i principali concetti introdotti dal nuovo decreto. 4.1. Sulle nuove definizioni in generale Il D.P.R. n. 137/2003 introduce una nuova definizione di firma elettronica qualificata, intesa come “la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma”. Come si è già detto, la Direttiva 1999/93/CE e il successivo D.Lgs. n. 10/2002, prevedono in via definitiva due tipi di firma elettronica (in aggiunta alla firma digitale già presente nell’ordinamento nazionale): la firma elettronica cosiddetta “semplice” e quella “avanzata”. Per capire il senso di una nuova definizione (quella della firma elettronica qualificata) è necessario far riferimento agli effetti giuridici connessi alla validità legale e all’efficacia probatoria delle firme. Infatti la Direttiva 1999/93/CE e il successivo D. Lgs. n. 10/2002 prendono in considerazione, per il riconoscimento del più altro livello di validità ed efficacia probatoria, non la firma elettronica avanzata tout court, ma la firma elettronica avanzata avente determinate concorrenti caratteristiche: a) l’essere basata su un certificato qualificato; b) l’essere generata mediante un dispositivo per la creazione di una firma sicura. Solo in presenza di tali caratteristiche alla firma elettronica avanzata viene riconosciuta dalla Direttiva 1999/93/CE l’equivalenza giuridica tra tale tipo di firma elettronica e la firma autografa su supporto cartaceo. Alla luce di tali elementi, il regolamento in esame non sembra che aggiunga alla disciplina preesistente qualcosa di nuovo. Si tratta di una innovazione semplicemente lessicale o terminologica diretta a semplificare la lettura del testo attraverso l’utilizzo di una più sintetica espressione (“firma elettronica qualificata”) in luogo di quella più articolata di “firma elettronica avanzata basata su un certificato qualificato e creata mediante un dispositivo sicura per la creazione della firma”. Questo sforzo di razionalizzazione del sistema si avverte anche nella nuova definizione di “firma digitale”. Essa viene ora definita come un “particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Come si può notare, i contenuti fondamentali rimangono alterati; l’innovazione si sostanzia nell’equiparazione formale della “firma digitale” alla “firma elettronica qualificata”. 4.2. L’attività dei Certificatori (art. 26, D.P.R. n. 445/2000) In ossequio a quanto previsto dall’art. 13 del D. Lgs. n. 10/2002, il D.P.R. n. 137/2003 prevede una serie di disposizioni concernenti la fissazione dei requisiti necessari per lo svolgimento dell’attività dei certificatori. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 9/22 Tali certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono inoltre possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche. L'accertamento successivo dell'assenza o del venir meno dei requisiti comporta il divieto di prosecuzione dell'attività intrapresa. Accanto alle figure di “certificatore” e “certificatore accreditato”, il D.P.R. n. 137/2003 introduce, rispetto al D. Lgs. n. 10/2002 e alla Direttiva 1999/93/CE una nuova definizione, quella di “certificatori qualificati”, riferita ai “certificatori che rilasciano al pubblico certificati elettronici conformi ai requisiti indicati nel presente testo unico e nelle regole tecniche di cui all’art. 8, comma 2”. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell'Unione europea si applicano le norme di recepimento della direttiva 1999/93/CE. 4.3. I certificatori qualificati (art. 27, D.P.R. n. 445/2000) Gli articoli 27 e 28 del D.P.R. n. 445/2000, come modificati dagli articoli 11 e 13 del D.P.R. n. 137/2003, prevedono, rispettivamente, per i “certificatori qualificati” (definiti all’art. 27 “certificatori che rilasciano al pubblico certificati qualificati”) e per i “certificatori accreditati”, requisiti concernenti l’affidabilità organizzativa, tecnica e finanziaria. I certificatori che rilasciano al pubblico certificati qualificati devono: • dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione; • impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti; applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate; • utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale; • adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi, nei casi in cui il certificatore generi tali chiavi. 4.4. Dichiarazione di inizio di attività (art. 27, commi 3 e 4, D.P.R. n. 445/2000) I certificatori devono comunicare, prima dell'inizio dell'attività, anche in via telematica, una dichiarazione di inizio di attività al Dipartimento dell'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri, attestante l'esistenza dei presupposti e dei requisiti previsti dal testo unico. Il Dipartimento procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti eventualmente notificando all'interessato, con provvedimento motivato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti. Laddove ciò sia possibile, l'interessato conformerà alla normativa l'attività ed i suoi effetti entro il termine prefissatogli dall'amministrazione stessa. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 10/22 4.5. I certificati qualificati (art. 27-bis, D.P.R. n. 445/2000) Tra i certificati elettronici vengono definiti come “certificati qualificati” quelli che presentano particolari caratteristiche quanto a garanzie in termini di sicurezza e di affidabilità della firma sia in riferimento all’oggetto della certificazione, sia con riferimento al prestatore del servizio di certificazione. I “certificati qualificati” devono contenere almeno le seguenti informazioni: • indicazione che il certificato elettronico rilasciato è un certificato qualificato; numero di serie o altro codice identificativo del certificato; nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito; • nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale; • dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare; • indicazione del termine iniziale e finale del periodo di validità del certificato; • firma elettronica avanzata del certificatore che ha rilasciato il certificato. 4. 6. Accreditamento (art. 28, D.P.R. n. 445/2000) I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati presso la Presidenza del Consiglio dei Ministri Dipartimento per l'innovazione e le tecnologie, che a tali fini può avvalersi delle strutture pubbliche. Il richiedente deve rispondere ai requisiti ed allegare alla domanda il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonchè l'impegno al rispetto delle regole di tecniche. Richiedente soggetto privato Il richiedente, se soggetto privato, deve inoltre: • avere natura giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria; • garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti il collegio sindacale, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa. Tale termine può essere interrotto una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del Dipartimento per l'innovazione e le tecnologie o che questo non possa acquisire autonomamente. In tal caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa. Iscrizione ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 11/22 A seguito dell'accoglimento della domanda, il Dipartimento per l'innovazione e le tecnologie dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal Dipartimento stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni. Con Decreto del Dipartimento per l’innovazione e le tecnologie presso la Presidenza del Consiglio dei Ministri del 2 luglio 2004 è stato disposto che il CNIPA provvede alla tenuta dell’elenco pubblico dei certificatori curandone gli adempimenti connessi, ivi compresi quelli relativi all’accreditamento. 4.7. Obblighi del titolare e del certificatore (art. 29-bis, D.P.R. n. 445/2000) Il titolare ed il certificatore sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. Il certificatore che rilascia certificati qualificati è tenuto inoltre a: • identificare con certezza la persona che fa richiesta della certificazione; • rilasciare e rendere pubblico il certificato elettronico; • specificare i poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite; • attenersi alle regole tecniche; • informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione; • adottare le misure di sicurezza per il trattamento dei dati personali; • non rendersi depositario di dati per la creazione della firma del titolare; • procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni; • garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonchè garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo; • assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici; • tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari; • non copiare, nè conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione; • predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione; • utilizzare sistemi affidabili per la gestione del registro dei certificati. 4.8. Gli Enti Certificatori attualmente iscritti al CNIPA (ex AIPA) ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 12/22 L’articolo 16 (Disposizioni transitorie), del D.P.R. 7 aprile 2003, n. 137 (entrato in vigore il 2 luglio 2003) stabilisce quanto segue: “1. I certificati emessi alla data di entrata in vigore del presente decreto dai soggetti che risultano iscritti nell'elenco pubblico dei certificatori tenuto dall'Autorità per l'informatica nella pubblica amministrazione sono considerati certificati qualificati. 2. Fino alla completa operatività dell'elenco di cui all'articolo 28, comma 6, del testo unico coloro che intendono accreditarsi presso la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, effettuano gli adempimenti previsti dagli articoli 27 e 28 del medesimo testo unico presso l'Autorità per l'informatica nella pubblica amministrazione”. L’elenco pubblico dei certificatori, previsto dall’articolo 28 comma 6 del DPR 28 dicembre 2000 n. 445 e specificato nel DPCM 8 febbraio 1999, viene mantenuto dal Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) e viene reso disponibile per via telematica attraverso la rete Internet. CERTIFICATORI ISCRITTI NELL’ELENCO: 1. S.I.A. S.p.A. (dal 27/01/2000) (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) 2. SSB S.p.A. (dal 24/02/2000) (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) 3. BNL Multiservizi S.p.A. (dal 30/03/2000) (cessata attività dal 30/11/2003 - certificatore sostitutivo Actalis) 4. Infocamere SC.p.A. (dal 06/04/2000) 5. Finital S.p.A. (dal 13/04/2000) (cessata attività dal 31/12/2003 - certificatore sostitutivo: nessuno) 6. Saritel S.p.A. (dal 20/04/2000) (società fusa per incorporazione nella I.T. Telecom S.p.A.) 7. Postecom S.p.A. (dal 20/04/2000) 8. Seceti S.p.A. (dal 06/07/2000) (cessata attività dal 31/07/2003 - certificatore sostitutivo Actalis) 9. Centro Tecnico per la RUPA (dal 15/03/2001) 10. In.Te.S.A. S.p.A. (dal 22/03/2001) 11. ENEL.IT S.p.A. (dal 17/05/2001) 12. Trust Italia S.p.A. (dal 07/06/2001) 13. Cedacrinord S.p.A. (dal 15/11/2001 - Società soggetta a cambio di denominazione sociale; ora Cedacri S.p.A.) 14. Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della Cedacrinord S.p.A.) 15. Actalis S.p.A. (dal 28/03/2002) 16. Consiglio Nazionale del Notariato (dal 12/09/2002) 17. I.T. Telecom S.p.A. (dal 06/02/2003 - già Saritel S.p.A.) 18. Comando C4 - IEW (dal 10/04/2003) 19. Consiglio Nazionale Forense (dal 11/12/2003) 20. SOGEI S.p.A. (dal 26/02/2004) 21. Sanpaolo IMI S.p.A. (dal 08/04/2004) 22. Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004) 23. Lombardia Integrata S.p.A. (dal 17/08/2004) 24. Banca Intesa S.p.A. (dal 09/09/2004) 25. Banca di Roma S.p.A. (dal 09/09/2004) 26. CNIPA (dal 15/03/2001) ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 13/22 27. I.T. Telecom S.r.l. (dal 13/01/2005) 28. Comando Trasmissioni e Informazioni Esercito (dal 10/04/2003 - già Comando C4 - IEW) 29. Consorzio Certicomm (dal 23/06/2005) 30. Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006) 31. Infocert S.p.A. (dal 19/07/2007) 32. Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per incorporazione del Sanpaolo IMI in Banca Intesa e conseguente cambio di denominazione sociale) 33. Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007) 34. Banca d'Italia (dal 24/01/2008) 35. CNDCEC (dal 10/07/2008). L’elenco degli enti certificatori iscritti è consultabile al seguente indirizzo Internet: http://www.cnipa.gov.it/site/itIT/Attivit%c3%a0/Certificatori_accreditati/Elenco_certificatori_di_firma_digital e/ 5. La procedura di registrazione e il rilascio del dispositivo di firma 5.1. Gli Uffici di registrazione Tra i compiti principali degli enti certificatori c’è quello del rilascio del dispositivo di firma digitale. Per tale rilascio l’ente certificatore si avvale, come abbiamo detto, degli Uffici di registrazione. Il Certificatore si avvale sul territorio di Uffici di registrazione per svolgere principalmente le funzioni di: identificazione e registrazione degli utenti titolari; validazione della richiesta del certificato; distribuzione ed inizializzazione del dispositivo di firma; attivazione della procedura di certificazione della chiave pubblica del titolare; supporto al titolare e al Certificatore nel rinnovo/revoca dei certificati. Gli Uffici di registrazione sono strutture ubicate nel territorio che hanno il compito principale della distribuzione delle smart-card. Gli Uffici di registrazione eseguono le operazioni di identificazione, raccolta e conservazione dei dati relativi ai richiedenti i certificati. Gli Uffici di registrazione svolgono, in sostanza, tutte le attività di interfaccia tra il Certificatore e l’utente titolare della firma. L’operatore dell’Ufficio di registrazione viene chiamato RAO. 5.2. Le caratteristiche della Smart Card Gli Uffici di registrazione, come abbiamo visto, hanno il compito principale della distribuzione delle Smart Card. La Smart Card (carta intelligente) è il dispositivo di firma digitale, cioè l’apparato elettronico che, oltre conservare in luogo protetto la chiave privata, serve anche per generare la firma digitale. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 14/22 Si tratta di una carta simile ad una carta di credito, dotata però di un microprocessore, nel quale vengono scritti una serie di dati significativi. La smart card custodisce e rende inaccessibile dall’esterno la chiave privata. Rispetto ad una carta di credito, che è dotata di una semplice banda magnetica, la smart-card memorizza una grande quantità di dati ed è in grado di svolgere all’interno del chip delle elaborazioni. Su un lato della smart card è riportato un numero di serie chiamato “identificativo della smart-card” 15. 5.3. Soggetti interessati al ritiro della smart card Le Smart Card verranno rilasciate a tutte quelle persone fisiche che, a titolo personale o per conto di una impresa (amministratori, soci, sindaci), si presentano presso un Ufficio di registrazione. 5.4. La procedura di rilascio della smart card Per ottenere il dispositivo di firma è necessario rivolgersi, esibendo un valido documento di identità o di riconoscimento: a) direttamente ad uno qualsiasi degli Uffici di registrazione istituiti presso le Camere di Commercio; oppure b) ad un Ufficio di registrazione esterno alla Camera di commercio, situato presso un professionista / società di consulenza / Agenzia, ecc, che si servano, al riguardo, di una delle Convenzioni stipulate tra InfoCamere e gli Ordini professionali o Associazioni di categoria; oppure c) ad un incaricato della sola Registrazione per conto dell’Ufficio di registrazione della Camera di commercio (Studio notarile, Commercialista, Associazione di categoria, Agenzia, ecc.) che abbia sottoscritto un apposito mandato con la Camera di commercio. In tutti e tre i casi, la richiesta di registrazione e certificazione va compilata per iscritto, debitamente sottoscritta dal richiedente, e consegnata per la relativa archiviazione prevista per legge. 15 Si ricorda che le smart card a 32K hanno il numero seriale che inizia per 1202… e successive.; mentre le smart card a 16K hanno il numero seriale che inizia per 1201….. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 15/22 I documenti di identità o di riconoscimento che vengono accettati per il rilascio del dispositivo di firma digitale sono tutti quelli indicati all’articolo 35 del D.P.R. n. 445/2000, che si riporta in nota 16. Al termine della richiesta viene stampato un modulo di registrazione, che l’utente dovrà sottoscrivere. Il modulo viene stampato almeno in tre copie, di cui una copia rimane all’Ufficio di registrazione, una copia viene spedita all’Ente di certificazione da parte dell’Ufficio di registrazione e una viene consegnata all’utente. Attualmente sono possibili due procedure di rilascio delle smart card: a) con modalità ready-card, b) con modalità post-card. La prima modalità si riscontra quando l’utente si presenta direttamente ad uno sportello di registrazione per richiedere personalmente la smart-card; la seconda modalità si ha, invece, quando un terza persona (in genere un professionista: commercialista, notaio, agenzia, ecc.), previa sottoscrizione di un apposito mandato con la Camera di Commercio, richiede i dispositivi di firma per i propri clienti, compilando, per ognuno, un’apposita scheda di registrazione. 5.5. Il PIN segreto Le attuali Smart Card a 32K sono protette da un PIN (Personal Identification Number) segreto dell’utente, che dovrà essere rigorosamente NUMERICO e di lunghezza tra i 6 e gli 8 caratteri. Il PIN è fondamentale per la sicurezza della propria chiave privata; va gestito, conservato e custodito esattamente come quello del proprio Bancomat. Insieme alla Smart Card viene consegnata una busta contenente “l’Identificativo del codice di revoca”. All’interno della busta è contenuto un codice segreto, conosciuto esclusivamente dal proprietario del dispositivo di firma. Nel caso il rilascio della smart card avvenga con procedura post-card, il PIN dell’utente sarà costituito dalle ultime 5 (cinque) cifre del codice di revoca, contenuto all’interno della busta. Una volta che il titolare è entrato in possesso della smart-card, la prima operazione che dovrà compiere sarà il cambio del PIN, portandolo ad almeno SEI cifre. Il cambio del PIN potrà essere effettuato attraverso il programma Di.Ke (strumenti / cambio PIN). Si ricorda, infine, che nel caso non si ricordi il proprio PIN, il numero massimo dei tentativi errati possibili sono SETTE (per le smart-card il cui numero 16 “Articolo 35 - Documenti di identità e di riconoscimento 1. In tutti i casi in cui nel presente testo unico viene richiesto un documento di identità, esso può sempre essere sostituito dal documento di riconoscimento equipollente ai sensi del comma 2. 2. Sono equipollenti alla carta di identità il passaporto, la patente di guida, la patente nautica, il libretto di pensione, il patentino di abilitazione alla conduzione di impianti termici, il porto d’armi, le tessere di riconoscimento, purché munite di fotografia e di timbro o di altra segnatura equivalente, rilasciate da un’amministrazione dello Stato. 3. Nei documenti d’identità e di riconoscimento non è necessaria l’indicazione o l’attestazione dello stato civile, salvo specifica istanza del richiedente”. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 16/22 seriale inizia con 1201….; TRE (per le smart-card il cui numero seriale inizia con 1202…. e successive). 5.6. Diritti Il rilascio della prima Smart Card alle imprese, da parte della Camera di Commercio, è gratuito. Per ogni rilascio successivo di smart-card, ad altri soggetti interni alla società o a persone diverse, l’Ente certificatore camerale ha fissato – a decorrere dal 15 febbraio 2004 - il seguente listino prezzi: PRODOTTI KIT: cartellina, smart-card, certificati di sottoscrizione e di autenticazione (durata biennale) KIT: cartellina, smart-card con solo certificato di sottoscrizione (durata biennale) KIT: cartellina, smart-card con solo certificato di autenticazione (durata biennale) RINNOVO certificato di sottoscrizione 18 PREZZO DI VENDITA 17 38.40 33.60 26.40 12.00 RINNOVO certificato di autenticazione 6.00 Rilascio del certificato di autenticazione in aggiunta di quello di sottoscrizione Lettore di smart card (senza software) 8.40 32.40 A fronte del pagamento da parte dell’utente dell’importo previsto, l’addetto all’Ufficio di registrazione rilascerà sempre e in ogni caso una regolare fattura. 6. La Carta Nazionale dei Servizi (CNS) 6.1. Le regole tecniche Le caratteristiche tecniche ed organizzative della CNS sono state definite con il D.P.R. 2 marzo 2004, n. 117 recante "Regolamento concernente la diffusione della CNS". Il Decreto è stato pubblicato nella G.U. n. 105 del 6 maggio 2004 ed è entrato in vigore il 21 maggio 2004. 17 I prezzi indicati sono da considerare IVA compresa. Si avverte, inoltre, che i prezzi indicati possono variare da Camera a Camera. 18 Se fatto direttamente dall’utente, tramite carta di credito, il costo è di 6.50 euro (+ IVA 20%). ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 17/22 Con il Decreto Interministeriale 9 dicembre 2004, emanato dal Ministro dell'Interno, dal Ministro per l'Innovazione e le Tecnologie e dal Ministro dell'Economia e delle Finanze, sono state definite le regole tecniche e di sicurezza per l'emissione e l'utilizzo della Carta Nazionale dei Servizi (CNS). Con questo decreto, così come previsto dal DPR n. 445/2000, si chiude infatti il quadro normativo relativo alle modalità di produzione della CNS sul territorio. Le Amministrazioni che emetteranno la CNS (potenzialmente tutte) dovranno attenersi alle regole di produzione e sicurezza indicate dal presente decreto. L'Ente emettitore dovrà individuare i servizi da rendere disponibili in rete mediante CNS e, stipulando accordi con le Regioni, potrà stabilire la predisposizione di carte con le funzionalità di tessera sanitaria consentendo, in questo modo, ai cittadini di collegarsi in rete con le strutture sanitarie del territorio per accedere ai servizi offerti. Ogni CNS emessa contiene un certificato di autenticazione che, in combinazione con il PIN fornito dall'Ente emettitore consente l'autenticazione in rete, può tuttavia contenere anche il certificato di firma digitale conforme al DPR n. 445/2000 e successive modificazioni. Il decreto stabilisce che la CNS potrà essere utilizzata anche per i pagamenti online alla P.A. utilizzando il software reso disponibile dalle banche e le poste. 6.2. Le finalità della CNS La Carta Nazionale dei Servizi (CNS), insieme alla Carta d’Identità Elettronica (CIE), è uno degli strumenti che consentono l’identificazione certa in rete e la possibilità di usufruire, per il cittadino, dei servizi on line offerti dalla pubblica amministrazione. Originariamente, la Carta Nazionale dei Servizi è stata ideata per consentire la fruizione di parte dei servizi previsti la Carta di Identità Elettronica, assai più complessa da realizzare perché anche documento di identificazione e momentaneamente sostituita. Ora tale tessera è sicuramente passata in primo piano tra le urgenze della pubbliche amministrazioni. La Carta Nazionale dei Servizi può assolvere alle stesse funzioni della Carta d’Identità Elettronica, ad eccezione dell’identificazione ''a vista'', ma implica caratteristiche informatiche e di sicurezza più adeguate alla realtà di fatto della maggior parte delle amministrazioni italiane. In sostanza, la Carta Nazionale dei Servizi (CNS) rappresenta lo strumento ideale per la fruizione dei servizi in rete erogati dalla Pubblica Amministrazione. Si tratta di una carta a microprocessore che contiene un certificato di autenticazione che identifica il titolare e assicura l'autenticità delle informazioni. La CNS contiene i dati identificativi del titolare, il codice numerico di identificazione della carta, le date del suo rilascio e della sua scadenza (ha validità non superiore a sei anni). Grazie alla CNS i cittadini potranno dialogare on line con la Pubblica Amministrazione per ottenere documenti, servizi ed informazioni (certificazioni anagrafiche, accesso ai servizi sanitari, ecc..). ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 18/22 6.3. La CNS rilasciata dalle Camere di Commercio Le Camere di Commercio rilasciano, dall'inizio del 2005, ai “cittadini” la CNS, contenente al proprio interno anche il certificato di sottoscrizione per la firma digitale a valore legale di atti e documenti. Come ottenere la CNS L'interessato deve recarsi, dopo aver fissato telefonicamente un appuntamento, presso l'Ufficio di Registrazione della Camera di Commercio munito della seguente documentazione: • documento d'identità in corso di validità (carta di identità, passaporto, patente di guida o nautica, porto d'armi, abilitazione impianti termici e altre tessere di riconoscimento ai sensi dell'art. 35, comma 2, del D.P.R. 28 dicembre 2000 n. 445); • indirizzo di posta elettronica personale. La CNS non può essere rilasciata a chi sia già in possesso di carta di identità elettronica (CIE). In questo caso, potrà essere chiesta l'emissione di una Smart Card. Al momento del rilascio della CNS viene consegnato anche il Manuela operativo 19. Quanto costa Il rilascio della Carta Nazionale Servizi è assoggettato al pagamento di € 25,00 per diritti di segreteria. Le società di persone (escluse le società semplici) e le società di capitali cui non è stata ancora rilasciata la Smart Card, hanno diritto a ottenere gratuitamente una CNS per uno dei legali rappresentanti. Per l'utilizzo della CNS è necessario un apposito lettore che viene fornito al costo stabilito dalla Camera di Commercio. Nei casi in cui si sia già in possesso di altro lettore, come ad esempio, quello utilizzato per la Smart Card, sarà necessario aggiornare i driver già installati sulla postazione di lavoro. Per effettuare tali aggiornamenti seguire le istruzioni presenti nel sito http://www.card.infocamere.it , alla sezione "Hardware". Quali servizi si possono ottenere con la CNS Dopo aver stipulato il contratto Telemaco ogni impresa potrà ottenere gratuitamente, utilizzando la CNS, i seguenti servizi legati esclusivamente alla propria posizione: • visura ordinaria, visura storica, visura artigiana, scheda società; • modello di dichiarazione sostitutiva del certificato del Registro Imprese; • copie di statuti, atti e bilanci depositati; • stato dei pagamenti del diritto annuale; • stato delle pratiche presso il Registro Imprese. Ogni CNS permette di consultare gratuitamente fino ad un massimo di 3 posizioni (3 numeri REA). 19 Il Manuale operativo è anche scaricabile dal sito di ogni Camera di Commercio. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 19/22 E' possibile consultare, a pagamento, altre posizione del Registro Imprese. Ovviamente l'accesso alla banca dati del Registro Imprese di tutte le Camere di commercio italiane per posizioni diverse dalla propria, non è gratuito: il costo da sostenere è specificato nel listino prezzi di Telemaco. Con la CNS è inoltre possibile: • accedere, in modalità sicura, al servizio Bank Pass Web, nuovo sistema di pagamento promosso dall'ABI per le transazioni su Internet; • accedere al Portale per le imprese della Pubblica Amministrazione (http://www.impresa.gov.it), con molti dei servizi che le Pubbliche Amministrazioni forniscono via Internet; • apporre la Firma Digitale ai documenti informatici; • autenticarsi in sistemi ad elevata sicurezza. Come accedere con la CNS ai servizi della Camera di Commercio Per accedere con la CNS ai servizi della Camera di commercio, o per firmare un documento con la firma digitale o per effettuare la trasmissione telematica delle pratiche al Registro Imprese occorre: • una carta CNS già attivata; • un lettore di smart card; • un programma informatico apposito, scaricabile gratuitamente dal sito https://telemaco.infocamere.it; • il contratto Telemaco stipulato direttamente con InfoCamere tramite Camera di Commercio oppure tramite altre organizzazioni (Aristeia, Dialogo, Nortatel, ecc.) che offrono ai propri iscritti il servizio di accesso alle banche dati del Sistema Camerale. Il titolare di una CNS accede ai servizi gratuiti sopra elencati attraverso il sito https://telemaco.infocamere.it, all'interno del quale trova un'apposita area definita "Servizi CNS". Che fine fa la Smart Card La Smart Card non cessa di funzionare e può essere mantenuta sino alla sua scadenza. La Smart Card non è abilitata ad accedere ai servizi specifici della CNS. In ogni caso, alla scadenza del periodo di validità della Smart Card sarà possibile, per i soggetti non titolari di carta di identità elettronica, acquistare una CNS al posto della Smart Card. Periodo di validità della CNS La CNS ha una validità di 6 anni e deve essere rinnovata ogni 3 anni, perciò è consentito un solo rinnovo. Alla scadenza dei 6 anni sarà necessario chiedere il rilascio di una nuova CNS. Come attivare la CNS Per l’attivazione della CNS è necessario aver installato la versione di Di.Ke. 3.1.1 o successive 20. 20 Attualmente è disponibile la versione 3.2.3. ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 20/22 Terminata l’installazione appare sul desktop la seguente icona: Iccns.lnk Cliccare sull’icona e aprire “Utility”. Comparirà la maschera che segue: Cliccare su “Attivazione PIN” ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 21/22 Nel campo PUK vanno inserite le ultime 8 cifre del codice di revoca (composto da 10 cifre e contenuto nella busta sigillata che viene consegnata insieme al Manuale operativo). Ripetere lo stesso numero nel campo PIN. A questo punto la CNS è attiva. Se si vuole cambiare il PIN è necessario utilizzare il programma Di.Ke. (Strumenti – Cambio PIN) ______________________________________________________________________________________ Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 22/22