IL DOCUMENTO INFORMATICO E
LE NUOVE DISPOSIZIONI IN MATERIA DI
FIRME ELETTRONICHE
Le procedure di registrazione e di rilascio della
smart-card e della CNS
di Claudio Venturi
Sommario: - 1. Premessa. - 2. Il documento informatico e la sua sottoscrizione. -
2.1. La normativa di riferimento. - 2.2. Concetti generali - 2.3. La firma digitale - 2.4. La
certificazione delle chiavi. - 3. Le novità dettate dalla Direttiva della CE 1999/93
recepite dal D. Lgs. n. 10 del 2002. – 3.1. Premessa. – 3.2. Le novità apportate dal D.
Lgs. n. 10 del 2002. - 4. I certificatori e le novità introdotte dal D.P.R. n. 137 del 2003.
– 4.1. Sulle nuove definizioni in generale. 4.2. L’attività dei certificatori. – 4.3. I
certificatori qualificati. – 4.4. Dichiarazione di inizio attività. – 4.5. I certificati qualificati –
4.6. Accreditamento – 4.7. Gli obblighi del titolare e del certificatore. 4.8. Gli enti
certificatori attualmente iscritti all’AIPA. - 5. La procedura di registrazione e il rilascio
del dispositivo di firma. - 5.1. Gli uffici di registrazione. – 5.2. Le caratteristiche della
Smart Card. - 5.3. Soggetti interessati. - 5.4. La procedura di rilascio della Smart Card. –
5.5. Il PIN segreto. – 5.6. Diritti. – 6. La Carta Nazionale dei Servizi (CNS). – 6.1. Le
regole tecniche. – 6.2. Le finalità della CNS. – 6.3. La CNS rilasciata dalle Camere di
Commercio.
1. Premessa
Con l’entrata in vigore della legge 24 novembre 2000, n. 340 (legge di
semplificazione 1999) molte sono state le novità che hanno interessato il
Registro delle imprese. Una di queste è quella dettata all’articolo 31, comma 2,
dove si prevede che dal 9 dicembre 2001 1 le denunce, le domande di
iscrizione nonché quelle di deposito degli atti relativi alle imprese
costituite in forma societaria dovranno essere obbligatoriamente
presentate all’Ufficio del Registro delle imprese per via informatica o
telematica.
Tale disposizione è confermativa e sostitutiva dell’analoga previsione di cui
all’articolo 4, comma 1, del D.P.R. 14 dicembre 1999, n. 558 2, riguardante più
1
Si ricorda che, con disposto di cui al comma 13 dell’articolo 3, della legge 28 dicembre 2001, n. 448 (legge
finanziaria 2002), tale termine è stato posticipato al 9 dicembre 2002. Successivamente, in sede di conversione del
D.L. 25 ottobre 2002, n. 236, per effetto della legge 27 dicembre 2002, n. 284, è stato inserito l’art. 13-ter, che ha, a
sua volta, aggiunto i commi 2-bis e 2-ter all’articolo 31 della legge n. 340/2000, nei quali si è prevista una seconda
proroga al 30 giugno 2003. Infine, In sede di conversione del D.L. 24 giugno 2003, n. 145, concernente “Proroga di
termini e disposizioni urgenti ordinamentali” , per effetto della L. 1 agosto 2003, n. 200 (pubblicata nella G.U. n. 178
del 2 agosto 2003), all’articolo 8-bis si è disposta la terza proroga al 31 ottobre 2003.
2
Regolamento recante norme per la semplificazione della disciplina in materia di registro delle imprese, nonché per
la semplificazione dei procedimenti relativi alla denuncia di inizio di attività e per la domanda di iscrizione all'albo
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 1/22
specificamente la semplificazione in materia di procedimenti nei confronti del
Registro delle imprese.
La disposizione, per ora, non riguarda le imprese individuali ed i soggetti
iscritti al solo REA (Repertorio Economico Amministrativo). Per questi
soggetti sarà un apposito decreto a definire i tempi e i modi per la loro
assoggettabilità alle procedure informatiche.
Tutto ciò sta a significare che tutte le società, ai fini dell’inoltro di qualsiasi
forma di documentazione al Registro delle imprese, non potranno più utilizzare
il supporto cartaceo (per denunce e domande: l’attuale modulistica), ma
dovranno in ogni caso o consegnare un supporto informatico contenente i
dati oggetto della pratica presso gli sportelli camerali, o spedire i dati
medesimi via internet.
Quanto previsto dalla legge di semplificazione rappresenta, indubbiamente, un
progetto di assoluta rilevanza che segnerà una svolta epocale nei rapporti con
le imprese. E’ anche vero che, per raggiungere l’obiettivo che il legislatore si è
proposto, è necessario definire con tempismo e chiarezza tutte le implicazioni
che tale legge comporta e le conseguenze che da essa ne derivano.
Da questo punto di vista, la questione “zero” e’, sicuramente, quella
riguardante le modalità operative ammesse, ovvero quali sono, tra le
innumerevoli opzioni offerti dalla tecnologia attuale, le forme di software, le
tipologie dei supporti hardware ed i protocolli di trasmissione telematica dei
quali la norma consente l’utilizzo. Per rispondere a tale quesito, e’ utile
ripercorrere la cronistoria dei lineamenti giuridici sull’argomento,
per
individuarvi i punti e le tracce che possono agevolare a dirimere la questione.
Il fondamento giuridico, che riveste il ruolo di norma-quadro sulla materia, e’
l’articolo 15, comma 2, della Legge 15 marzo 1997, n. 59 3 (Bassanini-1),
che recita: “Gli atti, i dati e i documenti formati dalla pubblica amministrazione
e dai privati con strumenti informatici o telematici, nonchè la loro archiviazione e
trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di
legge”.
Come sempre accade per le leggi-quadro, tale articolo si e’ limitato a dare un
generico invito ad andare in una certa direzione, dovendo attendere per le
specifiche più analitiche (ivi comprese quelle tecniche) il relativo Regolamento
di attuazione.
Quando quest’ultimo e’ stato emanato, tramite il D.P.R. 10 novembre 1997,
n. 513 4, si sono chiarite in maniera netta tutte le questioni. Relativamente
alla spedizione telematica, è stata prevista l’obbligatorietà dell’utilizzo di un
sistema di trasmissione sicura, basato su modalità assicuranti l’avvenuta
consegna. Riguardo la formazione del documento, invece, si e’ definita come
ammissibile esclusivamente quella in cui il documento stesso è asseverato
delle imprese artigiane o al registro delle imprese per particolari categorie di attività soggette alla verifica di
determinati requisiti tecnici (numeri 94-97-98 dell'allegato 1 della legge 15 marzo 1997, n. 59).
3
Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica
Amministrazione e per la semplificazione amministrativa.
4
Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con
strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della L. 15 marzo 1997, n. 59.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 2/22
dalla cosiddetta firma digitale, dallo stesso D.P.R. chiaramente definita:
questo sia nel caso degli atti, sia nel caso delle domande e denunce.
Il D.P.R. 513/97 è stato in seguito abrogato dal D.P.R. 28 dicembre 2000, n.
445 5, anche se tale abrogazione esiste solo nominalmente, in quanto il
contenuto di tutti gli articoli del primo e’ migrato integralmente nel secondo.
In tale nuovo decreto, ferma restando la possibilità di usare la firma digitale
per atti, domande e denunce, si è ampliata la gamma di modalità di
presentazione per tutte e tre queste categorie di documenti.
Segnatamente:
- per gli atti, si sono aggiunte le seguenti possibilità:
• invio tramite fax (art. 43, c.6);
• altro mezzo informatico o telematico idoneo ad accertare la fonte di
provenienza (art. 43, c.6).
- per le denunce e le domande, invece, si sono aggiunte le ulteriori opzioni:
• invio tramite fax (art. 38, c.1);
• identificazione del sottoscrittore tramite la carta di identità elettronica
(art. 38, c.2);
• invio in via telematica della copia fotostatica (informatica) recante la
firma autografa del sottoscrittore o dei sottoscrittori e firmata
digitalmente dal presentante6, unitamente alla copia fotostatica
(informatica) non autenticata di un documento di identità del
sottoscrittore (art. 38, c.3).
Questo in linea generale. Venendo poi al Registro delle imprese, va detto che:
- il mezzo fax, non si presta ne’ all’inoltro degli atti, ne’ delle domande o delle
denunce, stante la mancanza di direttive sulle modalità di assolvimento degli
obblighi fiscali e dell’esazione dei diritti di segreteria;
- il mezzo carta di identità elettronica, alla data, e’ ancora lungi da venire;
- le restanti modalità sono utilizzabili via Telemaco, ma sicuramente sono tutte
meno garantiste della modalità Firma Digitale, che resta l’unico mezzo che da’
certezze di sufficiente rilevanza relativamente all’identificazione sicura sia del
mittente, sia dell’autore dei documenti.
Alla diffusione della cultura sulla Firma Digitale e, quindi, ad un suo capillare
utilizzo fa’ però da ostacolo la convinzione generalizzata che si tratta di un
argomento di difficile comprensione: al riguardo, come per ogni cosa, siamo
invece convinti che e’ solo questione di utilizzare le argomentazioni didattiche
giuste.
In questa breve nota, cercheremo di sintetizzare quelli che sono i concetti
fondamentali della nuova materia, di evidenziare i principi generali che la
regolano, infine di schematizzare quelli che sono i “nuovi” adempimenti a cui
sono tenute le imprese costituite in forma societaria nei confronti del Registro
delle imprese.
5
Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa.
La firma digitale apposta ai documenti da un intermediario professionale ha lo scopo accertare la fonte di
provenienza del documento trasmesso e di garantirne la genuinità (integrità) del contenuto, così da giustificare sul
piano sostanziale il soddisfacimento della forma scritta.
6
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 3/22
2. Il documento informatico e la sua sottoscrizione
2.1. La normativa di riferimento
I documenti fondamentali che regolano la materia sono i seguenti:
• Il D.P.C.M. 8 febbraio 1999 7 regola gli spetti tecnici ed organizzativi di chi
usufruisce ed opera con i documenti informatici e la firma digitale;
• La Circolare AIPA, n. AIPA/CR/22 del 26 luglio 1999 8 ha dettato norme
per l’iscrizione nell’elenco pubblico dei certificatori 9;
• Il D.P.R. 28 dicembre 2000, n. 445 (Suppl. Ord. n. 30 alla G.U. n. 42 del
20 febbraio 2001), concernente “Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa”, il quale dedica
le prime cinque Sezioni del Capo II, negli articoli dal 6 al 29, al
documento informatico e alla firma digitale.
• D. Lgs. 23 gennaio 2002, n. 10 (G.U. n. 39 del 15 febbraio 2002):
Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario
per le firme elettroniche.
• D.P.R. 7 aprile 2003, n. 137, portante il regolamento recante disposizioni
di coordinamento in materia di firme elettroniche a norma dell'articolo 13
del decreto legislativo 23 gennaio 2002, n. 10.
• Presidenza del Consiglio dei Ministri – Dipartimento per l’innovazione
e le tecnologie – Decreto 2 luglio 2004: Competenza in materia di
certificatori di firma elettronica (G.U. n. 199 del 25 agosto 2004).
2.2. Concetti generali
All’articolo 1, lett. b), del D.P.R. n. 445/2000 il “documento informatico”
vene definito come “la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti”.
La norma sancisce l’ufficialità del contenuto della realizzazione informatica, a
prescindere sia dai programmi necessari a generarla, sia dai supporti che
temporaneamente la contengono.
Sempre secondo il medesimo decreto, il documento informatico sottoscritto
con firma digitale, se redatto in base alle disposizioni tecniche prefissate,
soddisfa il requisito della forma scritta e ha efficacia probatoria, ai sensi
dell’articolo 2702 del Codice Civile (art. 10, D.P.R. n. 445/2000).
Se l’apposizione della firma digitale al documento è autenticata (digitalmente)
da un notaio o altro pubblico ufficiale autorizzato, la firma è considerata
riconosciuta ed autenticata, ai sensi dell’articolo 2703 del Codice civile (art.
24, comma 1, D.P.R. n. 445/2000.).
7
D.P.C.M. 8 febbraio 1999 (1G.U. n. 87 del 14 aprile 1999) - Regole tecniche per la formazione, la trasmissione, la
conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi
dell'art. 3, comma 1, del D.P.R. 10 novembre 1997, n. 513.
8
Circolare AIPA 26 luglio 1999, n. AIPA/CR/22 (G.U. n. 19 del 2 agosto 1999) - Art. 16, comma 1, dell'allegato
tecnico al D.P.C.M. 8 febbraio 1999. Modalità per presentare domanda di iscrizione nell'elenco pubblico dei
certificatori di cui all'art. 8, comma 3, del D.P.R. 10 novembre 1997, n. 513.
9
Per effetto del disposto di cui all’art. 176 del D. Lgs. 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali) l’Autorità per l’informazione nella pubblica amministrazione (AIPA) si è
trasformata, a decorrere dal 30 luglio 2003, in “Centro nazionale per l’informatica nella pubblica
amministrazione” (CNIPA).
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 4/22
Con questo non si vuole assolutamente dire che la firma digitale non
autenticata non sia valida (anche se, ovviamente, con diversa efficacia
giuridica). Per la legislazione italiana, la firma digitale ha lo stesso valore
della firma autografa, nel senso che la prima svolge, rispetto al contenuto del
documento informatico a cui è apposta o associata, le stesse funzioni svolte
dalla seconda rispetto al contenuto della dichiarazione sul documento cartaceo
10.
2.3. La firma digitale
La firma digitale, basata sulla crittografia asimmetrica a chiave pubblica,
nonché su quella detta “a funzione hashing”, si è ormai affermata come
principale strumento in grado, allo stato attuale della tecnologia, di assicurare
l'integrità e la provenienza dei documenti informatici, e quindi di svolgere
per questi la funzione che nei documenti tradizionali è assolta dalla firma
autografa.
La “firma digitale” viene definita dal D.P.R. n. 445/2000, all’art. 1, lett. n),
così come sostituito dall’art. 1 del D.P.R. n. 137/2003, come “un particolare
tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche
a coppia, una pubblica e una privata, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l'integrità di un documento informatico
o di un insieme di documenti informatici”.
L firma digitale costituisce, dunque, il criterio legale di imputazione del
documento informatico ed è il risultato dell’applicazione combinata di due
processi distinti, la crittografia asimmetrica (la provenienza) la funzione
hashing (l’integrità).
La firma digitale non è solo indicazione della provenienza del file, per la quale
basterebbe la cifratura del file stesso con una semplice chiave di
autenticazione, ma anche e soprattutto attribuzione della paternità
giuridica del contenuto del file al firmatario; da qui il nome di “chiave di
sottoscrizione”, distinta dalle altre per imposizione normativa 11.
Ma che cosa è in sostanza la firma digitale e qual è la sua funzione?
All’articolo 23 del D.P.R. n. 445/2000, così come sostituito dall’art. 9 del
D.P.R. n. 137/2003, vengono fissati i seguenti cinque principi fondamentali:
1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto
ed al documento o all'insieme di documenti cui è apposta o associata.
2. Per la generazione della firma digitale deve adoperarsi una chiave
privata la cui corrispondente chiave pubblica sia stata oggetto
dell'emissione di un certificato qualificato che, al momento della
sottoscrizione, non risulti scaduto di validità ovvero non risulti
revocato o sospeso.
10
L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista
per gli atti e documenti in forma scritta su supporto cartaceo (art. 23, comma 2, D.P.R. n. 445/2000).
11
Si riporta il comma 4, dell’articolo 4, del D.P.C.M. 8 febbraio 1999:
4. Ai fini del presente decreto, le chiavi ed i correlati servizi, si distinguono secondo le seguenti tipologie:
a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai
documenti;
b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati ed alle
loro liste di revoca (CRL) o sospensione (CSL);
c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 5/22
3. L'apposizione ad un documento informatico di una firma elettronica
basata su un certificato elettronico revocato, scaduto o sospeso
equivale a mancata sottoscrizione.
4. L'apposizione di firma digitale integra e sostituisce, ad ogni fine
previsto dalla normativa vigente, l'apposizione di sigilli, punzoni,
timbri, contrassegni e marchi di qualsiasi genere.
5. Attraverso il certificato elettronico si devono rilevare, secondo le
regole tecniche definite con decreto del Presidente del Consiglio dei
Ministri, la validità del certificato elettronico stesso, nonchè gli
elementi identificativi del titolare e del certificatore.
2.4. La certificazione delle chiavi
Chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura,
per la sottoscrizione di documenti informatici, deve munirsi di una idonea
coppia di chiavi e rendere pubblica una di esse mediante la procedura di
certificazione.
Il “certificato digitale” è un documento elettronico che lega una chiave
pubblica ad un soggetto (il titolare della chiave) di cui è definita l’identità.
L’affidabilità del legame è garantita dall’apposizione al documento della firma
digitale dell’Ente di certificazione.
Il “certificato digitale” è, dunque, un insieme di informazioni atte a definire
con certezza la corrispondenza tra il soggetto certificato e la sua chiave
pubblica 12.
Il certificato consiste in un documento informatico che attesta che ad un
determinato e ben identificato soggetto corrisponde una chiave pubblica di cui
si prescrive il periodo di validità.
Esso contiene:
• i dati anagrafici identificativi del soggetto,
• la chiave pubblica assegnata al soggetto,
• la sua durata temporale,
• gli estremi identificativi dell’Ente di certificazione,
• gli algoritmi di generazione e di verifica utilizzabili.
Il certificato digitale può essere di vari tipi, ad esempio:
• Certificato di sottoscrizione: certificato che consente all’utente che ne è
titolare di firmare digitalmente un documento.
• Certificato di autenticazione: certificato che consente all’utente che ne è
titolare di essere riconosciuto e abilitato a servizi offerti su reti Internet /
Intranet, oppure di firmare un messaggio di posta elettronica. Per ottenere
questo certificato è necessario avere un indirizzo di posta elettronica.
• Certificato di crittografia: certificato che consente all’utente che ne è
titolare di crittografare un documento, rendendolo intelligibile solo per i
suoi destinatari.
12
All’articolo 22, comma 1, lett. f), del D.P.R. n. 445/2000, viene definita certificazione “il risultato della procedura
informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la
corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si
attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non
superiore a tre anni”.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 6/22
L’attuale procedura consente di rilasciare certificati di sottoscrizione e di
autenticazione.
Novità di assoluto rilievo sono state introdotte dal D.P.R. n. 137/2003 in
materia di validità dei certificati.
Mentre la precedente versione del TU sulla documentazione amministrativa
prevedeva che la validità del certificato non superasse i tre anni (art. 22,
comma 1, lett. f), mentre le regole tecniche approvate con D.P.C.M. 8 febbraio
1999 prescrivevano all’art. 60 che si dovessero apporre periodicamente le
marche temporali per assicurare la validità del documento dopo il termine di
scadenza; nella nuova versione del TU la norma è stata eliminata.
Bisogna, tuttavia, aspettare le nuove regole tecniche per sapere come il
legislatore ha risolto il problema, legato alla possibilità che l'aumento di
potenza dei sistemi di elaborazione renda vulnerabili in poco tempo le chiavi di
cifratura.
3. Le novità dettate dalla Direttiva della CE 1999/93 recepite dal
D. Lgs. n. 10 del 2002
3.1. Premessa
In materia di firme elettroniche si sono susseguiti due decreti di fondamentale
importanza, che hanno modificato ed integrato il D.P.R. n. 445/2000:
1) il D. Lgs. 23 gennaio 2002, n. 10, che ha dato attuazione alla direttiva
1999/93/CE relativa ad un quadro comunitario per le firme elettroniche;
2) il D.P.R. 7 aprile 2003, n. 137, portante il regolamento recante
disposizioni di coordinamento in materia di firme elettroniche a norma
dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10.
3.2. Le novità introdotte dal D. Lgs. n. 10 del 2002
Sulla Gazzetta Ufficiale n. 39 del 15 febbraio 2002 è stato pubblicato il D. Lgs.
23 gennaio 2002, n. 10, di attuazione della direttiva 1999/93/CE relativa ad
un quadro comunitario per le firme elettroniche.
Il Decreto, accanto alla firma digitale “forte”, introduce:
a) il concetto generale di “firma elettronica” e di “firma elettronica avanzata”;
b) l’uso della firma digitale “debole” o “leggera”.
La firma “debole” o “leggera” è quella che assicura solo la provenienza del
documento senza eccepire sull’integrità del contenuto; mentre la firma
digitale “forte” è quella che assicura contemporaneamente la provenienza del
documento e l’integrità del contenuto. Quest’ultima è la firma riconosciuta
dall’AIPA.
Le firme apposte con mezzi informatici ora sono, pertanto, tre.
La prima è la “firma elettronica”, definita, all’articolo 2, comma 1, lett. a),
come “l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di
autenticazione informatica”.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 7/22
Tale firma, prevista dalla Direttiva ed introdotta dal D. Lgs n. 10/2002, viene
comunemente detta anche “firma leggera” o “firma debole”.
La seconda è la “firma elettronica avanzata” (anch’essa prevista dalla
Direttiva ed introdotta dal Decreto in commento), la quale viene definita,
all’articolo 2, comma 1, lett. g), come “la firma elettronica ottenuta attraverso
una procedura informatica che garantisce la connessione univoca al firmatario e
la sua univoca identificazione, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo
da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
La terza, infine, è la “firma digitale”, originariamente scelta dal legislatore
italiano, detta anche “firma pesante” o “firma forte” o anche “firma AIPA”,
che si basa sulla particolare tecnica del sistema di crittografia a chiavi
asimmetriche, ed è ora disciplinata dal D.P.R. n. 445/2000.
La nostra firma digitale è una firma elettronica avanzata, basata su un
certificato qualificato e creata tramite un dispositivo di firma sicuro, e si
colloca al livello massimo quanto a sicurezza, qualità ed efficacia probatoria.
La Direttiva europea lascia liberi gli Stati di assoggettare l’uso delle firme
elettroniche nel settore pubblico ad eventuali requisiti supplementari.
La posizione del nostro legislatore è quella espressa all’articolo 9 13, il quale,
innovando in parte l’articolo 38 del D.P.R. n. 445/2000, stabilisce in sostanza
che per la Pubblica amministrazione è valida “erga omnes” solo l’attuale firma
digitale e non anche le altre firme elettroniche avanzate.
4. I certificatori e le novità introdotte dal D.P.R. n. 137 del 2003
In attuazione dell’art. 13 del D. Lgs. n. 10 del 2002, sulla Gazzetta Ufficiale n.
138 del 17 giugno 2003 il regolamento recante disposizioni di coordinamento
in materia di firme elettroniche 14.
Tale decreto è stato, infatti, emanato ai fini del coordinamento delle
disposizioni del testo unico emanato con il D.P.R. n. 445/2000 con quelle
recate dal D. Lgs. n. 10 del 2002 e dalla Direttiva 1999/93/CE, nonché della
fissazione dei requisiti necessari per lo svolgimento dell'attività dei certificatori.
Il provvedimento adegua il quadro normativo italiano delle disposizioni sulla
firma elettronica al dettato comunitario, modificando alcune parti del testo
unico in materia di documentazione amministrativa (D.P.R. n. 445/2000) e
detta una compiuta disciplina in materia di firme elettroniche, di attività dei
certificatori e loro accreditamento, al fine di ottenere il riconoscimento dei
requisiti più elevati di qualità e di sicurezza.
Il regolamento è entrato in vigore il 2 luglio 2003.
13
Si riporta l’articolo 9 del D. Lgs. n. 10/2002:
“1. All'articolo 38 del testo unico emanato con il decreto del Presidente della Repubblica n. 445 del 2000, il comma
2 e' sostituito dal seguente:
"2. Le istanze e le dichiarazioni inviate per via telematica sono valide:
a) se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore
accreditato, e generata mediante un dispositivo per la creazione di una firma sicura;
b) ovvero quando l'autore e' identificato dal sistema informatico con l'uso della carta d'identità elettronica o della
carta nazionale dei servizi.".
14
D.P.R. 7 aprile 2003, n. 137 (G.U. n. 138 del 17 giugno 2003): Regolamento recante disposizioni di coordinamento
in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 8/22
Riassumiamo brevemente quelli che sono i principali concetti introdotti dal
nuovo decreto.
4.1. Sulle nuove definizioni in generale
Il D.P.R. n. 137/2003 introduce una nuova definizione di firma elettronica
qualificata, intesa come “la firma elettronica avanzata che sia basata su un
certificato qualificato e creata mediante un dispositivo sicuro per la creazione
della firma”.
Come si è già detto, la Direttiva 1999/93/CE e il successivo D.Lgs. n.
10/2002, prevedono in via definitiva due tipi di firma elettronica (in aggiunta
alla firma digitale già presente nell’ordinamento nazionale): la firma elettronica
cosiddetta “semplice” e quella “avanzata”.
Per capire il senso di una nuova definizione (quella della firma elettronica
qualificata) è necessario far riferimento agli effetti giuridici connessi alla
validità legale e all’efficacia probatoria delle firme. Infatti la Direttiva
1999/93/CE e il successivo D. Lgs. n. 10/2002 prendono in considerazione,
per il riconoscimento del più altro livello di validità ed efficacia probatoria, non
la firma elettronica avanzata tout court, ma la firma elettronica avanzata
avente determinate concorrenti caratteristiche:
a) l’essere basata su un certificato qualificato;
b) l’essere generata mediante un dispositivo per la creazione di una firma
sicura.
Solo in presenza di tali caratteristiche alla firma elettronica avanzata viene
riconosciuta dalla Direttiva 1999/93/CE l’equivalenza giuridica tra tale tipo di
firma elettronica e la firma autografa su supporto cartaceo.
Alla luce di tali elementi, il regolamento in esame non sembra che aggiunga
alla disciplina preesistente qualcosa di nuovo. Si tratta di una innovazione
semplicemente lessicale o terminologica diretta a semplificare la lettura del
testo attraverso l’utilizzo di una più sintetica espressione (“firma elettronica
qualificata”) in luogo di quella più articolata di “firma elettronica avanzata
basata su un certificato qualificato e creata mediante un dispositivo sicura per
la creazione della firma”.
Questo sforzo di razionalizzazione del sistema si avverte anche nella nuova
definizione di “firma digitale”. Essa viene ora definita come un “particolare tipo
di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a
coppia, una pubblica e una privata, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l’integrità di un documento informatico
o di un insieme di documenti informatici”.
Come si può notare, i contenuti fondamentali rimangono alterati; l’innovazione
si sostanzia nell’equiparazione formale della “firma digitale” alla “firma
elettronica qualificata”.
4.2. L’attività dei Certificatori (art. 26, D.P.R. n. 445/2000)
In ossequio a quanto previsto dall’art. 13 del D. Lgs. n. 10/2002, il D.P.R. n.
137/2003 prevede una serie di disposizioni concernenti la fissazione dei
requisiti necessari per lo svolgimento dell’attività dei certificatori.
L'attività dei certificatori stabiliti in Italia o in un altro Stato membro
dell'Unione europea è libera e non necessita di autorizzazione preventiva.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 9/22
Tali certificatori o, se persone giuridiche, i loro legali rappresentanti ed i
soggetti preposti all'amministrazione, devono inoltre possedere i requisiti di
onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione e controllo presso le banche.
L'accertamento successivo dell'assenza o del venir meno dei requisiti comporta
il divieto di prosecuzione dell'attività intrapresa.
Accanto alle figure di “certificatore” e “certificatore accreditato”, il D.P.R. n.
137/2003 introduce, rispetto al D. Lgs. n. 10/2002 e alla Direttiva
1999/93/CE una nuova definizione, quella di “certificatori qualificati”,
riferita ai “certificatori che rilasciano al pubblico certificati elettronici conformi
ai requisiti indicati nel presente testo unico e nelle regole tecniche di cui
all’art. 8, comma 2”.
Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in
altri Stati membri dell'Unione europea si applicano le norme di recepimento
della direttiva 1999/93/CE.
4.3. I certificatori qualificati (art. 27, D.P.R. n. 445/2000)
Gli articoli 27 e 28 del D.P.R. n. 445/2000, come modificati dagli articoli 11 e
13 del D.P.R. n. 137/2003, prevedono, rispettivamente, per i “certificatori
qualificati” (definiti all’art. 27 “certificatori che rilasciano al pubblico
certificati qualificati”) e per i “certificatori accreditati”, requisiti concernenti
l’affidabilità organizzativa, tecnica e finanziaria.
I certificatori che rilasciano al pubblico certificati qualificati devono:
• dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria
per svolgere attività di certificazione;
• impiegare personale dotato delle conoscenze specifiche, dell'esperienza e
delle competenze necessarie per i servizi forniti; applicare procedure e
metodi amministrativi e di gestione adeguati e tecniche consolidate;
• utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che
garantiscano la sicurezza tecnica e crittografica dei procedimenti, in
conformità a criteri di sicurezza riconosciuti in ambito europeo e
internazionale;
• adottare adeguate misure contro la contraffazione dei certificati, idonee
anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione
delle chiavi, nei casi in cui il certificatore generi tali chiavi.
4.4. Dichiarazione di inizio di attività (art. 27, commi 3 e 4, D.P.R. n.
445/2000)
I certificatori devono comunicare, prima dell'inizio dell'attività, anche in via
telematica, una dichiarazione di inizio di attività al Dipartimento
dell'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri,
attestante l'esistenza dei presupposti e dei requisiti previsti dal testo unico.
Il Dipartimento procede, d'ufficio o su segnalazione motivata di soggetti
pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e
dei requisiti eventualmente notificando all'interessato, con provvedimento
motivato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti.
Laddove ciò sia possibile, l'interessato conformerà alla normativa l'attività ed i
suoi effetti entro il termine prefissatogli dall'amministrazione stessa.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 10/22
4.5. I certificati qualificati (art. 27-bis, D.P.R. n. 445/2000)
Tra i certificati elettronici vengono definiti come “certificati qualificati” quelli
che presentano particolari caratteristiche quanto a garanzie in termini di
sicurezza e di affidabilità della firma sia in riferimento all’oggetto della
certificazione, sia con riferimento al prestatore del servizio di certificazione.
I “certificati qualificati” devono contenere almeno le seguenti informazioni:
• indicazione che il certificato elettronico rilasciato è un certificato
qualificato; numero di serie o altro codice identificativo del certificato;
nome, ragione o denominazione sociale del certificatore e lo Stato nel
quale è stabilito;
• nome, cognome e codice fiscale del titolare del certificato o uno
pseudonimo chiaramente identificato come tale;
• dati per la verifica della firma corrispondenti ai dati per la creazione della
stessa in possesso del titolare;
• indicazione del termine iniziale e finale del periodo di validità del
certificato;
• firma elettronica avanzata del certificatore che ha rilasciato il certificato.
4. 6. Accreditamento (art. 28, D.P.R. n. 445/2000)
I certificatori che intendono conseguire il riconoscimento del possesso dei
requisiti del livello più elevato, in termini di qualità e di sicurezza, possono
chiedere di essere accreditati presso la Presidenza del Consiglio dei Ministri Dipartimento per l'innovazione e le tecnologie, che a tali fini può avvalersi delle
strutture pubbliche.
Il richiedente deve rispondere ai requisiti ed allegare alla domanda il profilo
professionale del personale responsabile della generazione dei dati per la
creazione e per la verifica della firma, della emissione dei certificati e della
gestione del registro dei certificati nonchè l'impegno al rispetto delle regole
di tecniche.
Richiedente soggetto privato
Il richiedente, se soggetto privato, deve inoltre:
• avere natura giuridica di società di capitali e un capitale sociale non
inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria;
• garantire il possesso, oltre che da parte dei rappresentanti legali, anche da
parte dei soggetti preposti alla amministrazione e dei componenti il collegio
sindacale, dei requisiti di onorabilità richiesti ai soggetti che svolgono
funzioni di amministrazione, direzione e controllo presso banche.
La domanda di accreditamento si considera accolta qualora non venga
comunicato all'interessato il provvedimento di diniego entro novanta giorni
dalla data di presentazione della stessa.
Tale termine può essere interrotto una sola volta entro trenta giorni dalla
data di presentazione della domanda, esclusivamente per la motivata richiesta
di documenti che integrino o completino la documentazione presentata e che
non siano già nella disponibilità del Dipartimento per l'innovazione e le
tecnologie o che questo non possa acquisire autonomamente.
In tal caso, il termine riprende a decorrere dalla data di ricezione della
documentazione integrativa.
Iscrizione
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 11/22
A seguito dell'accoglimento della domanda, il Dipartimento per l'innovazione e
le tecnologie dispone l'iscrizione del richiedente in un apposito elenco
pubblico, tenuto dal Dipartimento stesso e consultabile anche in via
telematica, ai fini dell'applicazione della disciplina in questione. Il certificatore
accreditato può qualificarsi come tale nei rapporti commerciali e con le
pubbliche amministrazioni.
Con Decreto del Dipartimento per l’innovazione e le tecnologie presso la
Presidenza del Consiglio dei Ministri del 2 luglio 2004 è stato disposto che
il CNIPA provvede alla tenuta dell’elenco pubblico dei certificatori curandone
gli adempimenti connessi, ivi compresi quelli relativi all’accreditamento.
4.7. Obblighi del titolare e del certificatore (art. 29-bis, D.P.R. n.
445/2000)
Il titolare ed il certificatore sono tenuti ad adottare tutte le misure
organizzative e tecniche idonee ad evitare danno ad altri. Il certificatore che
rilascia certificati qualificati è tenuto inoltre a:
• identificare con certezza la persona che fa richiesta della certificazione;
• rilasciare e rendere pubblico il certificato elettronico;
• specificare i poteri di rappresentanza o di altri titoli relativi all'attività
professionale o a cariche rivestite;
• attenersi alle regole tecniche;
• informare i richiedenti in modo compiuto e chiaro, sulla procedura di
certificazione e sui necessari requisiti tecnici per accedervi e sulle
caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del
servizio di certificazione;
• adottare le misure di sicurezza per il trattamento dei dati personali;
• non rendersi depositario di dati per la creazione della firma del titolare;
• procedere alla pubblicazione della revoca e della sospensione del
certificato elettronico in caso di richiesta da parte del titolare o del terzo dal
quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave,
di provvedimento dell'autorità, di acquisizione della conoscenza di cause
limitative della capacità del titolare, di sospetti abusi o falsificazioni;
• garantire il funzionamento efficiente, puntuale e sicuro dei servizi di
elencazione, nonchè garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo;
• assicurare la precisa determinazione della data e dell'ora di rilascio, di
revoca e di sospensione dei certificati elettronici;
• tenere registrazione, anche elettronica, di tutte le informazioni relative al
certificato qualificato per dieci anni in particolare al fine di fornire prova
della certificazione in eventuali procedimenti giudiziari;
• non copiare, nè conservare le chiavi private di firma del soggetto cui il
certificatore ha fornito il servizio di certificazione;
• predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai
soggetti che richiedono il servizio di certificazione;
• utilizzare sistemi affidabili per la gestione del registro dei certificati.
4.8. Gli Enti Certificatori attualmente iscritti al CNIPA (ex AIPA)
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 12/22
L’articolo 16 (Disposizioni transitorie), del D.P.R. 7 aprile 2003, n. 137 (entrato
in vigore il 2 luglio 2003) stabilisce quanto segue:
“1. I certificati emessi alla data di entrata in vigore del presente decreto dai
soggetti che risultano iscritti nell'elenco pubblico dei certificatori tenuto
dall'Autorità per l'informatica nella pubblica amministrazione sono considerati
certificati qualificati.
2. Fino alla completa operatività dell'elenco di cui all'articolo 28, comma 6, del
testo unico coloro che intendono accreditarsi presso la Presidenza del Consiglio
dei Ministri - Dipartimento per l'innovazione e le tecnologie, effettuano gli
adempimenti previsti dagli articoli 27 e 28 del medesimo testo unico presso
l'Autorità per l'informatica nella pubblica amministrazione”.
L’elenco pubblico dei certificatori, previsto dall’articolo 28 comma 6 del DPR
28 dicembre 2000 n. 445 e specificato nel DPCM 8 febbraio 1999, viene
mantenuto dal Centro nazionale per l'informatica nella pubblica
amministrazione (CNIPA) e viene reso disponibile per via telematica attraverso
la rete Internet.
CERTIFICATORI ISCRITTI NELL’ELENCO:
1. S.I.A. S.p.A. (dal 27/01/2000)
(cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis)
2. SSB S.p.A. (dal 24/02/2000)
(cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis)
3. BNL Multiservizi S.p.A. (dal 30/03/2000)
(cessata attività dal 30/11/2003 - certificatore sostitutivo Actalis)
4. Infocamere SC.p.A. (dal 06/04/2000)
5. Finital S.p.A. (dal 13/04/2000)
(cessata attività dal 31/12/2003 - certificatore sostitutivo: nessuno)
6. Saritel S.p.A. (dal 20/04/2000)
(società fusa per incorporazione nella I.T. Telecom S.p.A.)
7. Postecom S.p.A. (dal 20/04/2000)
8. Seceti S.p.A. (dal 06/07/2000)
(cessata attività dal 31/07/2003 - certificatore sostitutivo Actalis)
9. Centro Tecnico per la RUPA (dal 15/03/2001)
10. In.Te.S.A. S.p.A. (dal 22/03/2001)
11. ENEL.IT S.p.A. (dal 17/05/2001)
12. Trust Italia S.p.A. (dal 07/06/2001)
13. Cedacrinord S.p.A. (dal 15/11/2001 - Società soggetta a cambio di
denominazione sociale; ora Cedacri S.p.A.)
14. Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della
Cedacrinord S.p.A.)
15. Actalis S.p.A. (dal 28/03/2002)
16. Consiglio Nazionale del Notariato (dal 12/09/2002)
17. I.T. Telecom S.p.A. (dal 06/02/2003 - già Saritel S.p.A.)
18. Comando C4 - IEW (dal 10/04/2003)
19. Consiglio Nazionale Forense (dal 11/12/2003)
20. SOGEI S.p.A. (dal 26/02/2004)
21. Sanpaolo IMI S.p.A. (dal 08/04/2004)
22. Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004)
23. Lombardia Integrata S.p.A. (dal 17/08/2004)
24. Banca Intesa S.p.A. (dal 09/09/2004)
25. Banca di Roma S.p.A. (dal 09/09/2004)
26. CNIPA (dal 15/03/2001)
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 13/22
27. I.T. Telecom S.r.l. (dal 13/01/2005)
28. Comando Trasmissioni e Informazioni Esercito (dal 10/04/2003 - già
Comando C4 - IEW)
29. Consorzio Certicomm (dal 23/06/2005)
30. Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006)
31. Infocert S.p.A. (dal 19/07/2007)
32. Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per
incorporazione del Sanpaolo IMI in Banca Intesa e conseguente cambio di
denominazione sociale)
33. Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007)
34. Banca d'Italia (dal 24/01/2008)
35. CNDCEC (dal 10/07/2008).
L’elenco degli enti certificatori iscritti è consultabile al seguente indirizzo
Internet:
http://www.cnipa.gov.it/site/itIT/Attivit%c3%a0/Certificatori_accreditati/Elenco_certificatori_di_firma_digital
e/
5. La procedura di registrazione e il rilascio del dispositivo di firma
5.1. Gli Uffici di registrazione
Tra i compiti principali degli enti certificatori c’è quello del rilascio del
dispositivo di firma digitale. Per tale rilascio l’ente certificatore si avvale, come
abbiamo detto, degli Uffici di registrazione.
Il Certificatore si avvale sul territorio di Uffici di registrazione per svolgere
principalmente le funzioni di:
™ identificazione e registrazione degli utenti titolari;
™ validazione della richiesta del certificato;
™ distribuzione ed inizializzazione del dispositivo di firma;
™ attivazione della procedura di certificazione della chiave pubblica del titolare;
™ supporto al titolare e al Certificatore nel rinnovo/revoca dei certificati.
Gli Uffici di registrazione sono strutture ubicate nel territorio che hanno il
compito principale della distribuzione delle smart-card.
Gli Uffici di registrazione eseguono le operazioni di identificazione, raccolta e
conservazione dei dati relativi ai richiedenti i certificati.
Gli Uffici di registrazione svolgono, in sostanza, tutte le attività di
interfaccia tra il Certificatore e l’utente titolare della firma.
L’operatore dell’Ufficio di registrazione viene chiamato RAO.
5.2. Le caratteristiche della Smart Card
Gli Uffici di registrazione, come abbiamo visto, hanno il compito principale
della distribuzione delle Smart Card.
La Smart Card (carta intelligente) è il dispositivo di firma digitale, cioè
l’apparato elettronico che, oltre conservare in luogo protetto la chiave privata,
serve anche per generare la firma digitale.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 14/22
Si tratta di una carta simile ad una carta di credito, dotata però di un
microprocessore, nel quale vengono scritti una serie di dati significativi.
La smart card custodisce e rende inaccessibile dall’esterno la chiave privata.
Rispetto ad una carta di credito, che è dotata di una semplice banda
magnetica, la smart-card memorizza una grande quantità di dati ed è in grado
di svolgere all’interno del chip delle elaborazioni.
Su un lato della smart card è riportato un numero di serie chiamato
“identificativo della smart-card” 15.
5.3. Soggetti interessati al ritiro della smart card
Le Smart Card verranno rilasciate a tutte quelle persone fisiche che, a
titolo personale o per conto di una impresa (amministratori, soci, sindaci), si
presentano presso un Ufficio di registrazione.
5.4. La procedura di rilascio della smart card
Per ottenere il dispositivo di firma è necessario rivolgersi, esibendo un valido
documento di identità o di riconoscimento:
a) direttamente ad uno qualsiasi degli Uffici di registrazione istituiti
presso le Camere di Commercio; oppure
b) ad un Ufficio di registrazione esterno alla Camera di commercio, situato
presso un professionista / società di consulenza / Agenzia, ecc, che si
servano, al riguardo, di una delle Convenzioni stipulate tra InfoCamere e
gli Ordini professionali o Associazioni di categoria; oppure
c) ad un incaricato della sola Registrazione per conto dell’Ufficio di
registrazione della Camera di commercio (Studio notarile,
Commercialista, Associazione di categoria, Agenzia, ecc.) che abbia
sottoscritto un apposito mandato con la Camera di commercio.
In tutti e tre i casi, la richiesta di registrazione e certificazione va
compilata per iscritto, debitamente sottoscritta dal richiedente, e
consegnata per la relativa archiviazione prevista per legge.
15
Si ricorda che le smart card a 32K hanno il numero seriale che inizia per 1202… e successive.; mentre
le smart card a 16K hanno il numero seriale che inizia per 1201…..
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 15/22
I documenti di identità o di riconoscimento che vengono accettati per il rilascio
del dispositivo di firma digitale sono tutti quelli indicati all’articolo 35 del
D.P.R. n. 445/2000, che si riporta in nota 16.
Al termine della richiesta viene stampato un modulo di registrazione, che
l’utente dovrà sottoscrivere.
Il modulo viene stampato almeno in tre copie, di cui una copia rimane
all’Ufficio di registrazione, una copia viene spedita all’Ente di certificazione da
parte dell’Ufficio di registrazione e una viene consegnata all’utente.
Attualmente sono possibili due procedure di rilascio delle smart card:
a) con modalità ready-card,
b) con modalità post-card.
La prima modalità si riscontra quando l’utente si presenta direttamente ad
uno sportello di registrazione per richiedere personalmente la smart-card; la
seconda modalità si ha, invece, quando un terza persona (in genere un
professionista: commercialista, notaio, agenzia, ecc.), previa sottoscrizione di
un apposito mandato con la Camera di Commercio, richiede i dispositivi di
firma per i propri clienti, compilando, per ognuno, un’apposita scheda di
registrazione.
5.5. Il PIN segreto
Le attuali Smart Card a 32K sono protette da un PIN (Personal Identification
Number) segreto dell’utente, che dovrà essere rigorosamente NUMERICO e
di lunghezza tra i 6 e gli 8 caratteri.
Il PIN è fondamentale per la sicurezza della propria chiave privata; va gestito,
conservato e custodito esattamente come quello del proprio Bancomat.
Insieme alla Smart Card viene consegnata una busta contenente
“l’Identificativo del codice di revoca”.
All’interno della busta
è contenuto un codice segreto, conosciuto
esclusivamente dal proprietario del dispositivo di firma.
Nel caso il rilascio della smart card avvenga con procedura post-card, il PIN
dell’utente sarà costituito dalle ultime 5 (cinque) cifre del codice di revoca,
contenuto all’interno della busta.
Una volta che il titolare è entrato in possesso della smart-card, la prima
operazione che dovrà compiere sarà il cambio del PIN, portandolo ad almeno
SEI cifre.
Il cambio del PIN potrà essere effettuato attraverso il programma Di.Ke
(strumenti / cambio PIN).
Si ricorda, infine, che nel caso non si ricordi il proprio PIN, il numero massimo
dei tentativi errati possibili sono SETTE (per le smart-card il cui numero
16
“Articolo 35 - Documenti di identità e di riconoscimento
1. In tutti i casi in cui nel presente testo unico viene richiesto un documento di identità, esso può sempre essere
sostituito dal documento di riconoscimento equipollente ai sensi del comma 2.
2. Sono equipollenti alla carta di identità il passaporto, la patente di guida, la patente nautica, il libretto di
pensione, il patentino di abilitazione alla conduzione di impianti termici, il porto d’armi, le tessere di
riconoscimento, purché munite di fotografia e di timbro o di altra segnatura equivalente, rilasciate da
un’amministrazione dello Stato.
3. Nei documenti d’identità e di riconoscimento non è necessaria l’indicazione o l’attestazione dello stato civile,
salvo specifica istanza del richiedente”.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 16/22
seriale inizia con 1201….; TRE (per le smart-card il cui numero seriale inizia
con 1202…. e successive).
5.6. Diritti
Il rilascio della prima Smart Card alle imprese, da parte della Camera di
Commercio, è gratuito.
Per ogni rilascio successivo di smart-card, ad altri soggetti interni alla società
o a persone diverse, l’Ente certificatore camerale ha fissato – a decorrere dal
15 febbraio 2004 - il seguente listino prezzi:
PRODOTTI
KIT: cartellina, smart-card, certificati di
sottoscrizione e di autenticazione (durata
biennale)
KIT: cartellina, smart-card con solo
certificato di sottoscrizione (durata
biennale)
KIT: cartellina, smart-card con solo
certificato di autenticazione (durata
biennale)
RINNOVO certificato di sottoscrizione 18
PREZZO DI VENDITA
17
38.40
33.60
26.40
12.00
RINNOVO certificato di autenticazione
6.00
Rilascio del certificato di autenticazione
in aggiunta di quello di sottoscrizione
Lettore di smart card
(senza software)
8.40
32.40
A fronte del pagamento da parte dell’utente dell’importo previsto, l’addetto
all’Ufficio di registrazione rilascerà sempre e in ogni caso una regolare
fattura.
6. La Carta Nazionale dei Servizi (CNS)
6.1. Le regole tecniche
Le caratteristiche tecniche ed organizzative della CNS sono state definite con il
D.P.R. 2 marzo 2004, n. 117 recante "Regolamento concernente la diffusione
della CNS".
Il Decreto è stato pubblicato nella G.U. n. 105 del 6 maggio 2004 ed è entrato
in vigore il 21 maggio 2004.
17
I prezzi indicati sono da considerare IVA compresa. Si avverte, inoltre, che i prezzi indicati possono
variare da Camera a Camera.
18
Se fatto direttamente dall’utente, tramite carta di credito, il costo è di 6.50 euro (+ IVA 20%).
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 17/22
Con il Decreto Interministeriale 9 dicembre 2004, emanato dal Ministro
dell'Interno, dal Ministro per l'Innovazione e le Tecnologie e dal Ministro
dell'Economia e delle Finanze, sono state definite le regole tecniche e di
sicurezza per l'emissione e l'utilizzo della Carta Nazionale dei Servizi (CNS).
Con questo decreto, così come previsto dal DPR n. 445/2000, si chiude infatti
il quadro normativo relativo alle modalità di produzione della CNS sul
territorio.
Le Amministrazioni che emetteranno la CNS (potenzialmente tutte) dovranno
attenersi alle regole di produzione e sicurezza indicate dal presente decreto.
L'Ente emettitore dovrà individuare i servizi da rendere disponibili in rete
mediante CNS e, stipulando accordi con le Regioni, potrà stabilire la
predisposizione di carte con le funzionalità di tessera sanitaria consentendo,
in questo modo, ai cittadini di collegarsi in rete con le strutture sanitarie del
territorio per accedere ai servizi offerti.
Ogni CNS emessa contiene un certificato di autenticazione che, in
combinazione con il PIN fornito dall'Ente emettitore consente l'autenticazione
in rete, può tuttavia contenere anche il certificato di firma digitale conforme
al DPR n. 445/2000 e successive modificazioni.
Il decreto stabilisce che la CNS potrà essere utilizzata anche per i pagamenti
online alla P.A. utilizzando il software reso disponibile dalle banche e le poste.
6.2. Le finalità della CNS
La Carta Nazionale dei Servizi (CNS), insieme alla Carta d’Identità Elettronica
(CIE), è uno degli strumenti che consentono l’identificazione certa in rete e la
possibilità di usufruire, per il cittadino, dei servizi on line offerti dalla pubblica
amministrazione.
Originariamente, la Carta Nazionale dei Servizi è stata ideata per consentire la
fruizione di parte dei servizi previsti la Carta di Identità Elettronica, assai più
complessa da realizzare perché anche documento di identificazione e
momentaneamente sostituita.
Ora tale tessera è sicuramente passata in primo piano tra le urgenze della
pubbliche amministrazioni.
La Carta Nazionale dei Servizi può assolvere alle stesse funzioni della Carta
d’Identità Elettronica, ad eccezione dell’identificazione ''a vista'', ma implica
caratteristiche informatiche e di sicurezza più adeguate alla realtà di fatto
della maggior parte delle amministrazioni italiane.
In sostanza, la Carta Nazionale dei Servizi (CNS) rappresenta lo strumento
ideale per la fruizione dei servizi in rete erogati dalla Pubblica
Amministrazione. Si tratta di una carta a microprocessore che contiene un
certificato di autenticazione che identifica il titolare e assicura l'autenticità
delle informazioni.
La CNS contiene i dati identificativi del titolare, il codice numerico di
identificazione della carta, le date del suo rilascio e della sua scadenza (ha
validità non superiore a sei anni).
Grazie alla CNS i cittadini potranno dialogare on line con la Pubblica
Amministrazione per ottenere documenti, servizi ed informazioni (certificazioni
anagrafiche, accesso ai servizi sanitari, ecc..).
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 18/22
6.3. La CNS rilasciata dalle Camere di Commercio
Le Camere di Commercio rilasciano, dall'inizio del 2005, ai “cittadini” la CNS,
contenente al proprio interno anche il certificato di sottoscrizione per la firma
digitale a valore legale di atti e documenti.
Come ottenere la CNS
L'interessato deve recarsi, dopo aver fissato telefonicamente un
appuntamento, presso l'Ufficio di Registrazione della Camera di Commercio
munito della seguente documentazione:
• documento d'identità in corso di validità (carta di identità, passaporto,
patente di guida o nautica, porto d'armi, abilitazione impianti termici e
altre tessere di riconoscimento ai sensi dell'art. 35, comma 2, del D.P.R. 28
dicembre 2000 n. 445);
• indirizzo di posta elettronica personale.
La CNS non può essere rilasciata a chi sia già in possesso di carta di
identità elettronica (CIE). In questo caso, potrà essere chiesta l'emissione di
una Smart Card.
Al momento del rilascio della CNS viene consegnato anche il Manuela
operativo 19.
Quanto costa
Il rilascio della Carta Nazionale Servizi è assoggettato al pagamento di € 25,00
per diritti di segreteria. Le società di persone (escluse le società semplici) e le
società di capitali cui non è stata ancora rilasciata la Smart Card, hanno
diritto a ottenere gratuitamente una CNS per uno dei legali rappresentanti.
Per l'utilizzo della CNS è necessario un apposito lettore che viene fornito al
costo stabilito dalla Camera di Commercio.
Nei casi in cui si sia già in possesso di altro lettore, come ad esempio, quello
utilizzato per la Smart Card, sarà necessario aggiornare i driver già installati
sulla postazione di lavoro. Per effettuare tali aggiornamenti seguire le
istruzioni presenti nel sito http://www.card.infocamere.it , alla sezione
"Hardware".
Quali servizi si possono ottenere con la CNS
Dopo aver stipulato il contratto Telemaco ogni impresa potrà ottenere
gratuitamente, utilizzando la CNS, i seguenti servizi legati esclusivamente alla
propria posizione:
• visura ordinaria, visura storica, visura artigiana, scheda società;
•
modello di dichiarazione sostitutiva del certificato del Registro Imprese;
• copie di statuti, atti e bilanci depositati;
• stato dei pagamenti del diritto annuale;
• stato delle pratiche presso il Registro Imprese.
Ogni CNS permette di consultare gratuitamente fino ad un massimo di 3
posizioni (3 numeri REA).
19
Il Manuale operativo è anche scaricabile dal sito di ogni Camera di Commercio.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 19/22
E' possibile consultare, a pagamento, altre posizione del Registro Imprese.
Ovviamente l'accesso alla banca dati del Registro Imprese di tutte le Camere di
commercio italiane per posizioni diverse dalla propria, non è gratuito: il costo
da sostenere è specificato nel listino prezzi di Telemaco.
Con la CNS è inoltre possibile:
• accedere, in modalità sicura, al servizio Bank Pass Web, nuovo sistema di
pagamento promosso dall'ABI per le transazioni su Internet;
• accedere al Portale per le imprese della Pubblica Amministrazione
(http://www.impresa.gov.it), con molti dei servizi che le Pubbliche
Amministrazioni forniscono via Internet;
• apporre la Firma Digitale ai documenti informatici;
• autenticarsi in sistemi ad elevata sicurezza.
Come accedere con la CNS ai servizi della Camera di Commercio
Per accedere con la CNS ai servizi della Camera di commercio, o per firmare
un documento con la firma digitale o per effettuare la trasmissione telematica
delle pratiche al Registro Imprese occorre:
• una carta CNS già attivata;
• un lettore di smart card;
• un programma informatico apposito, scaricabile gratuitamente dal sito
https://telemaco.infocamere.it;
• il contratto Telemaco stipulato direttamente con InfoCamere tramite
Camera di Commercio oppure tramite altre organizzazioni (Aristeia,
Dialogo, Nortatel, ecc.) che offrono ai propri iscritti il servizio di accesso alle
banche dati del Sistema Camerale.
Il titolare di una CNS accede ai servizi gratuiti sopra elencati attraverso il sito
https://telemaco.infocamere.it, all'interno del quale trova un'apposita area
definita "Servizi CNS".
Che fine fa la Smart Card
La Smart Card non cessa di funzionare e può essere mantenuta sino alla sua
scadenza.
La Smart Card non è abilitata ad accedere ai servizi specifici della CNS.
In ogni caso, alla scadenza del periodo di validità della Smart Card sarà
possibile, per i soggetti non titolari di carta di identità elettronica, acquistare
una CNS al posto della Smart Card.
Periodo di validità della CNS
La CNS ha una validità di 6 anni e deve essere rinnovata ogni 3 anni,
perciò è consentito un solo rinnovo.
Alla scadenza dei 6 anni sarà necessario chiedere il rilascio di una nuova CNS.
Come attivare la CNS
Per l’attivazione della CNS è necessario aver installato la versione di Di.Ke.
3.1.1 o successive 20.
20
Attualmente è disponibile la versione 3.2.3.
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 20/22
Terminata l’installazione appare sul desktop la seguente icona:
Iccns.lnk
Cliccare sull’icona e aprire “Utility”. Comparirà la maschera che segue:
Cliccare su “Attivazione PIN”
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 21/22
Nel campo PUK vanno inserite le ultime 8 cifre del codice di revoca (composto
da 10 cifre e contenuto nella busta sigillata che viene consegnata insieme al
Manuale operativo).
Ripetere lo stesso numero nel campo PIN.
A questo punto la CNS è attiva.
Se si vuole cambiare il PIN è necessario utilizzare il programma Di.Ke.
(Strumenti – Cambio PIN)
______________________________________________________________________________________
Tuttocamere – Documento informatico – Firma digitale - CNS – 25 Luglio 2008 - Pag. 22/22