Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

IL GLIFO TRA CAD, LINEE GUIDA E MONDO REALE (II PARTE)

di Marco Polsi

Decreto Legislativo n. 82 del 7 marzo 2005 (CAD) – Testo vigente dal 20 aprile 2013

Nel precedente numero: genesi legislativa legata al quinto comma dell’articolo 23 del CAD intitolato “Copie di atti e documenti informatici”. In questo numero si riporta una possibile risposta ai seguenti quesiti:

  • come mai non si è riusciti a scrivere in maniera più chiara il concetto, senza ulteriori rimandi ad altre Leggi;
  • chi deciderà quali lettere della Pubblica Amministrazione hanno valore certificativo;
  • necessità del Timbro Digitale tra i rapporti tra PA e Privati e non anche, in alcuni casi, tra la stessa PA.

pdf-icon

 

 

Il lavoro svolto dall’Agenzia per l’Italia Digitale, dal Gruppo di lavoro sul contrassegno elettronico e dalle aziende coinvolte nelle varie fasi dei lavori è stato veramente importante e, nello stesso tempo, è una delle poche occasioni in cui si è riusciti a dare voce a tutti gli attori coinvolti in questo particolare processo che porterà il nostro paese, almeno così dobbiamo augurarci, verso una completa digitalizzazione documentale, oggi uno degli argomenti centrali su cui si basano le speranze di risparmio, ma anche di riorganizzazione e razionalizzazione dei processi della Pubblica Amministrazione. Questo concetto è comunque altrettanto valido anche per il mondo privato. Proprio per questo motivo, la situazione descritta nella Circolare dell’Agenzia per l’Italia Digitale n. 62 del 30 aprile 2013, dal titolo “Linee guida per il contrassegno generato elettronicamente ai sensi dell’articolo 23-ter, comma 5 del CAD”, ha bisogno di più di un approfondimento.

Si premette che la generazione di un timbro digitale è necessaria per la generazione di un documento cartaceo sicuro e pienamente rispondente alle normative, con l’unico obbligo, che il controllo del documento stesso sia sempre effettuato riestraendo e riportando in digitale il contenuto del contrassegno, obbligo valido per qualsiasi documento digitale, anche se firmato in modo tradizionale. Questa precauzione consente di smascherare qualsiasi tipo di contraffazione tentata sui documenti che fanno uso di tecnologie di contrassegno elettronico, sia nel formato digitale (ad esempio il PDF a stampa generato dal sistema documentale) che in quello analogico (nel caso il PDF venga stampato). Purtroppo in Italia in tema di contraffazione si raggiungono livelli di eccellenza e risolvere il problema delle numerose falsificazioni documentali in Italia non è semplice (vedi “RC AUTO: IL CONTRASSEGNO ELETTRONICO PER PREVENIRE LE TRUFFE” di Marco Polsi su questa rivista n. III/MMXII). Infatti, non basta trincerarsi dietro le solite frasi di circostanza pronunciate spesso dagli “integralisti digitali”, che recitano “il problema delle contraffazioni si risolve solo con la digitalizzazione dei processi di generazione documentale, quello che succede fuori dal presidio digitale emittente non è un nostro problema”.
E’ necessario essere ben consci della natura dei documento emessi e, se questi documenti, hanno valore certificativo oppure no.
Per essere chiari, al momento di decidere la digitalizzazione di un qualsiasi processo documentale il Responsabile deve essere perfettamente a conoscenza di tutto il ciclo di vita del documento, anche al di fuori dell’ambiente digitale emittente e degli eventuali “rischi di stampa” al di fuori del circuito digitale. A questo punto preme fare l’esempio del DURC (Documento Unico di Regolarità Contributiva) che è emesso con il timbro digitale.

Il DURC è richiesto, tramite portale Internet, da una Stazione Appaltante e, entro 30 giorni la richiesta viene processata da INAIL, INPS e/o Cassa Edile di competenza, che lo generano ed inviano via PEC al richiedente ed all’azienda di competenza. Tutto il processo è digitale, il documento è firmato digitalmente, ma qualcuno si potrebbe domandare se il timbro digitale è necessario! La risposta è: il Timbro Digitale è necessario in quanto non sempre chi lo riceve lo “conserva” e lo “usa” in formato digitale. Ancora oggi molti, pur ricevendo il DURC via PEC, lo stampano e l’archiviano in cartaceo o lo stampano e lo consegnano in cartaceo all’utilizzatore finale. Il problema della stampa di un documento firmato digitalmente viene risolto dal Timbro Digitale, è proprio questo il famoso “trust digitale” Digitale/Cartaceo/Digitale. Infatti, è nel momento della stampa che si possono creare disallineamenti informativi, lasciando campo libero ai possibili contraffattori e/o truffatori.

Con questa premessa si vuole evidenziare, ancora una volta, che il Legislatore quando ha pensato e legiferato tramite il CAD sul tema, l’ha fatto non pensando a una marcia indietro riguardo alla digitalizzazione dei processi, ma ha trovato un modo per garantire a tutti i cittadini (nativi digitali e non) la comunicazione insita in tutti quei processi che non potranno essere totalmente digitalizzati (almeno per i prossimi 5 anni), ma lasciando comunque la possibilità alle Amministrazioni di non fermare il processo di digitalizzazione e razionalizzazione iniziato in questi anni.
Ed eccoci arrivati alle linee guida che fanno riferimento all’articolo 23-ter, comma 5 del CAD, ma soprattutto il riferimento da tenere a mente è quello relativo all’articolo 3-bis, commi 4-bis, 4-ter e 4-quater del CAD stesso.

In questi commi, è espressamente indicato che, se il cittadino non è in possesso dell’atteso domicilio digitale, le amministrazioni possono predisporre le comunicazioni come documenti amministrativi informatici sottoscritti con firma digitale o firma elettronica avanzata, che gli stessi possono essere conservati nei propri archivi, e che è possibile inviare il documento al cittadino tramite posta ordinaria o raccomandata con avviso di ricevimento, in questo caso, le copie analogiche di tali documenti amministrativi informatici sottoscritte con firma autografa possono essere sostituite a mezzo stampa. Tali copie analogiche devono contenere anche una specifica dicitura che avverta che i documenti amministrativi informatici originali sono stati predisposti e conservati presso l’amministrazione. Le suddette modalità soddisfano le condizioni previste per le copie analogiche su cui è apposto il contrassegno elettronico ai sensi dell’articolo 23-ter, comma 5, con specificatamente una prescrizione, e qui entra in gioco il timbro digitale: “ad esclusione dei casi in cui il documento amministrativo informatico originale sia una certificazione, rilasciata dall’amministrazione, da utilizzarsi nei rapporti tra privati”. Questo significa che tutti i documenti con valore certificativo (quindi che possono essere esposti a terzi) e che possono essere utilizzati nei rapporti tra privati (quindi non documenti di interscambio tra PA), per essere in linea con l’articolo 23-ter, comma 5 del CAD, devono essere emessi con sistemi che siano conformi con “Linee guida per il contrassegno generato elettronicamente”.

A questo punto è importante capire come le Linee Guida suddividano i possibili scenari di riferimento per l’apposizione del contrassegno elettronico, sulla base dei livelli di sicurezza che l’Amministrazione vuole riconoscere al documento stesso:

 

1. Contrassegno generato elettronicamente contenente i dati identificativi del documento amministrativo informatico

In particolare, in questo scenario d’uso, gli elementi minimi da trattare sono:
•    l’insieme minimo dei metadati di cui all’articolo 53 del D.P.R. 28 dicembre 2000, n. 445, fatti salvi i documenti soggetti a registrazione particolare che comunque possono contenere anch’essi il suddetto insieme minimo dei metadati;
•    il riferimento (URI – riferito ad un dominio registrato ed esposto su canale sicuro) che individua il documento amministrativo informatico originale, come definito nella specifica tecnica RFC 3986;
•    i dati che consentono di realizzare l’accesso controllato al documento amministrativo informatico originale.
In questo scenario, se il documento amministrativo informatico originale conservato dall’amministrazione che lo ha prodotto è sottoscritto con firma elettronica qualificata o firma digitale, si raccomanda di adottare tecniche (HMAC) che garantiscano l’integrità e l’autenticità del contenuto del contrassegno generato elettronicamente.

 

2. Contrassegno generato elettronicamente contenente l’estratto o la copia o il duplicato del documento amministrativo informatico

In particolare, in questo scenario d’uso, gli elementi minimi da trattare sono:
•    l’insieme minimo dei metadati di cui all’articolo 53 del D.P.R. 28 dicembre 2000, n. 445, fatti salvi i documenti soggetti a registrazione particolare che comunque possono contenere anche essi il suddetto insieme minimo dei metadati;
•    il riferimento (URI – riferito ad un dominio registrato ed esposto su canale sicuro) che individua il documento amministrativo informatico originale, come definito nella specifica tecnica RFC 3986;
•    i dati che consentono di realizzare l’accesso controllato al documento amministrativo informatico originale;
•     i dati dell’estratto o della copia o del duplicato del documento amministrativo informatico originale.
Anche in questo scenario, se il documento amministrativo informatico originale conservato dall’amministrazione che lo ha prodotto e` sottoscritto con firma elettronica qualificata o firma digitale, si raccomanda di adottare tecniche (HMAC) che garantiscano l’integrità` e l’autenticità` del contenuto del contrassegno generato elettronicamente. Di contro, se il documento amministrativo informatico conservato dall’amministrazione che lo ha prodotto non e` sottoscritto con firma elettronica qualificata o firma digitale, e` necessario sottoscrivere con firma elettronica qualificata o firma digitale il contenuto del contrassegno generato elettronicamente.

 

3. Contrassegno generato elettronicamente contenente il documento amministrativo informatico

In tale scenario gli elementi minimi da trattare sono:
•    l’insieme minimo dei metadati di cui all’articolo 53 del D.P.R. 28 dicembre 2000, n. 445, fatti salvi i documenti soggetti a registrazione particolare che comunque possono contenere anche essi il suddetto insieme minimo dei metadati;
•    il documento amministrativo informatico originale.
Anche in questo scenario, se il documento amministrativo informatico originale conservato dall’amministrazione che lo ha prodotto e` sottoscritto con firma elettronica qualificata o firma digitale, si raccomanda di adottare tecniche (HMAC) che garantiscano l’integrità` e l’autenticità` del contenuto del contrassegno generato elettronicamente. Di contro, se il documento amministrativo informatico conservato dall’amministrazione che lo ha prodotto non e` sottoscritto con firma elettronica qualificata o firma digitale, e` necessario sottoscrivere con firma elettronica qualificata o firma digitale il contenuto del contrassegno generato elettronicamente.

Con riferimento ai suddetti scenari è utile condividere una problematica che, probabilmente, non è stata sviscerata in modo chiaro ed inequivocabile: quella relativa alla presunzione di originalità del documento generato con il contrassegno elettronico.
Infatti, le linee guida aprono la strada ad emissioni poco sicure di documenti che facilmente possono essere contraffatti e che non utilizzano in alcun modo tecniche di firma digitale. Quindi, tutti i documenti che solo per il fatto di avere il contrassegno elettronico saranno considerati autentici, non contenendo al loro interno dati firmati digitalmente potranno essere facilmente modificabili, creando disallineamenti informativi molto importanti. Di fatto non saranno sicuri e non potranno essere considerati autentici.

Le Linee Guida sono state scritte sicuramente con l’obiettivo encomiabile di gestire il documento, renderlo facile nell’interpretazione, aderente alle normative ed ai dettami indicati nel 23-ter del CAD, tuttavia, in alcuni casi ha eliminato i livelli di sicurezza minimali raggiunti fino ad ora dalle tecnologie di Timbro Digitale.
Il livello di sicurezza raggiunto dal contrassegno elettronico fino ad ora è stato ed è il vanto delle aziende che hanno lavorato in questo settore, ma dare la possibilità di creare contrassegni poco sicuri può generare confusione tra gli attori convolti in questo settore.©

 


Altri articoli di LAND SRL

Durc DURC INTERNO: UN SEMAFORO PER SEGNALARE LO STATO DEL DOCUMENTO -
di Marco Polsi (N. II_MMXIV)
INPS - Messaggio n. 2889 del 27 febbraio 2014 e messaggio n. 4069 del 14 aprile 2014. Il 15 maggio 2014 è stata riavviata la procedura atta a rilevare eventuali inadempienze delle aziende in tema di regolarità contributiva, a cui sono subordinati i benefici normativi e contributivi previsti dalla finanziaria 2007 (legge 296/2006, articolo unico, comma 1175).
digital-document PRIME INDICAZIONI OPERATIVE SULLA REGOLARITÀ AMMINISTRATIVA E CONTABILE DEI DOCUMENTI INFORMATICI -
di Marco Polsi (N. I_MMXIV)
Ministero dell’Economia e delle Finanze (MEF) - Circolare del 20 gennaio 2014, n. 3. La Circolare del MEF “Controllo di regolarità amministrativa e contabile su documenti informatici. Prime indicazioni operative“ è stata preparata a seguito di numerosi quesiti pervenuti al Dipartimento Generale dello Stato inerenti alla possibilità di accettare, in sede di controllo di regolarità amministrativa e contabile di cui al decreto legislativo 30 giugno 2011, n.123, documenti in formato elettronico trasmessi a mezzo posta elettronica ordinaria, posta elettronica certificata, ovvero presentati su supporti quali CD-ROM o altri dispositivi di memorizzazione digitale.

 

Translate »