Upload
anorc-associazione-nazionale-per-operatori-e-responsabili-della-conservazione-digitale
View
137
Download
0
Embed Size (px)
Citation preview
Un po’ di noi…
Per vivere il nostro tempo è necessario adattarsi al digitale
Il digitale permea ogni ambito della nostra vita. La progressiva dematerializzazione di tutti i documenti che ci riguardano è una strada già intrapresa da cui sarà impossibile tornare indietro. Quello a cui dobbiamo puntare non è la digitalizzazione di singoli documenti, ma la digitalizzazione dell’intero flusso documentale.
Gestire correttamente i propri documenti, i propri dati e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, il corretto
trattamento, l’adeguata archiviazione e la conservazione nel tempo al proprio
patrimonio di dati digitali
Gestire correttamente i propri documenti, i propri dati e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, il corretto
trattamento, l’adeguata archiviazione e la conservazione nel tempo al proprio
patrimonio di dati digitali
- Efficienza - Trasparenza - Semplificazione
Document Management: stadi evolutivi
Firma digitale
Firma elettronica
Records management (RM), also known as Records information management or RIM, is the professional practice or discipline of controlling and governing what are considered to be the most important records of an organization throughout the records life-cycle, which includes from the time such records are conceived through to their eventual disposal. This work includes identifying, classifying, prioritizing, storing, securing, archiving, preserving, retrieving, tracking and destroying of records (def. ARMA International from "Glossary of Records and Information Management Terms, 3rd Edition").
Conservazione sostitutiva
E-mail e PEC Flusso di dati
Sistema Documentale Portale Documentale
Document Management: le tappe dello sviluppo
1990-2000 2001-2010 2011-…..
Documento fisico Documento digitale Informazione documentata?
Archiviazione ottica Conservazione digitale
Firma autografa e digitale Firma elettronica Identità digitali
Supporto cartaceo
ERP+Repository
Documento
Archiviazione
Firma
Distribuzione
Sistemi
con il «nuovo» CAD è cambiato qualcosa?
LEGGI NAZIONALI
STANDARD TECNICI E LINEE GUIDA
PROVVEDIMENTI GARANTE
Provvedimenti Ag. Italia Digitale
USI E PRASSI (ANCHE
GIURISPRUDENZIALI)
LEGISLAZIONE EUROPEA
E
INTERNAZIONALE
Le fonti giuridiche della digitalizzazione documentale:
PRINCIPALI FONTI NORMATIVE IN MATERIA DI FIRME ELETTRONICHE
Normativa europeaRegolamento europeo 910/2014 - in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
Normativa primariaCodice della Pubblica Amministrazione Digitale (D. Lgs. 82/2005)
Regole tecnicheDPCM 22 febbraio 2013 Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali (Pubblicato in GU 21 maggio 2013).
Deliberazione CNIPA del 21 maggio 2009 n. 45 (specifiche tecniche)
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO
EUROPEO E DEL CONSIGLIO
del 23 luglio 2014
Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni
elettroniche nel mercato interno
http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX%3A32014R0910&from=EN
Scopo del Regolamento
Consentire transazioni elettroniche sicure e omogenee fra imprese, cittadini e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati
Omogeneità e reciproco riconoscimento dei vari sub-sistemi nazionali
La precedente direttiva 1999/93/CEE si preoccupava solo di regolare l'uso delle firme elettroniche e non forniva un “quadro transfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego”.
Il regolamento Eidas
Oggetto del Regolamento
1) fissare le condizioni a cui gli stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche
2) stabilire le norme comuni relative ai servizi fiduciari
3) istituire un quadro giuridico comunitario per i seguenti servizi fiduciari: - le firme elettroniche - i sigilli elettronici - le validazioni temporali elettroniche - i documenti elettronici - i servizi elettronici di recapito certificato - i servizi relativi ai certificati di autenticazione di siti web
Il regolamento Eidas
Ambito di applicazione del Regolamento EiDAS
Si applica ai regimi di identificazione elettronica che sono stati notificati da uno Stato membro nonché ai prestatori di seervizi fiduciari che sono stabiliti nell'Unione.
Non si applica ai servizi fiduciari utilizzati esclusivamente nell'ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un'insieme definito di partecipanti.
Non pregiudica il diritto nazionale legato alla conclusione e alla validità di un contratto o di altri vincoli giuridici o procedurali relativi alla forma.
Il regolamento Eidas
Identificazione e autenticazione elettronica
- SPID -
Definizioni
Identificazione elettronica: il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;
Mezzi d'identificazione elettronica: un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online;
Autenticazione: un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica;
Identificazione e autenticazione - SPID
Identificazione Elettronica
Riconoscimento e accettazione reciproca dei mezzi di identificazione elettronica notificati alla Commissione
Gli organismi del settore pubblico utilizzano livelli di garanzia significativi o elevati per l'accesso ai propri servizi online.
Identificazione e autenticazione - SPID
Identificazione Elettronica
I mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica sono rilasciati:
1) dallo Stato membro notificante;
2) su incarico dello Stato membro notificante;
3) a titolo indipendente dallo Stato membro notificante e sono riconosciuti da tale Stato membro;
Identificazione e autenticazione - SPID
Identificazione Elettronica
Per ogni sistema notificato dev'essere specificato il livello di garanzia
a) livello di garanzia basso: scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità;
b) livello di garanzia significativo: scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;
c) livello di garanzia elevato: scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.
Identificazione e autenticazione - SPID
Responsabilità dello stato membro
Lo Stato membro notificante garantisce che i dati di identificazione personale siano attribuiti solo alla persona fisica che tali dati identificano o alla persona fisica che rappresenta la persona giuridica che tali dati identificano.
Lo stato membro notificante garantisce la disponibilità dell'autenticazione online.
Lo stato membro è responsabile dei danni causati , con dolo o per negligenza, a qualsiasi persona fisica o giuridica in caso di mancato rispetto delle predette garanzie.
Identificazione e autenticazione - SPID
Identificazione Elettronica
Regolamento esecutivo 1501/2015: stabilisce i requisiti tecnici e operativi necessari al fine di garantire l'interope rabilità dei regimi di identificazione elettronica che gli Stati membri notificano alla Commissione
Regolamento esecutivo 1502/2015: Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato
Identificazione e autenticazione - SPID
SPID: Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese
“Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro l'accesso ai servizi in rete..” (CAD-art. 64 comma 2-ter)
Identificazione e autenticazione - SPID
I servizi fiduciari
Servizi fiduciari
Servizio elettronico fornito normalmente dietro remunerazione e consistente nelle seguenti attività:
a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
b) creazione, verifica e convalida di certificati di autenticazione di siti web;
c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
Servizi fiduciari
Maggiore responsabilizzazione dei prestatori di servizi fiduciari qualificati e non qualificati
Riconoscimento e accettazione dei servizi fiduciari qualificati prestati da un prestatore stabilito in un paese terzo (accordo internazionale fra l’Unione europea e paesi terzi o organizzazioni internazionali)
Istituzione o potenziamento di organismi di vigilanza e meccanismo esplicito di mutua assistenza fra organismi di vigilanza negli Stati membri per facilitare la vigilanza transfrontaliera dei prestatori di servizi fiduciari.
I servizi fiduciari
Firme elettroniche avanzate e qualificate
Firme e Sigilli ElettroniciDati in forma elettronica allegati oppure connessi tramite
associazione logica ad altri dati elettronici
Per essere considerati avanzati devono soddisfare i requisiti di cui agli artt. 26 (firme) e 36 (sigilli).
Per essere definiti qualificati, oltre a soddisfare i requisiti di cui sopra devono anche essere creati con dispositivi sicuri qualificati e basati su certificati qualificati.
Gli Stati membri devono garantire l’accettazione transfrontaliera delle firme elettroniche qualificate e non devono introdurre obblighi aggiuntivi che potrebbero trasformarsi in barriere all’impiego di tali firme
Firme elettroniche
Effetti giuridici delle firme elettroniche
1. A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.
2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.
3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
Verificatore europeo firme elettroniche http://dss.agid.gov.it/home
Firme elettroniche
Firme elettroniche avanzate
Una firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario;b) è idonea a identificare il firmatario;c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Firme elettroniche
Firme elettroniche nel regolamento EiDAS
Servizi di Convalida
- Può essere prestato solo da un prestatore di servizi qualificato;- fornisce la convalida della firma;- consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.
Servizi di conservazione
- Può essere prestato solo da un prestatore di servizi qualificato;- dev'essere realizzato mediante procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica.
I Servizi fiduciari ancillari alle firme elettroniche
Sigilli elettronici e autenticazione web
Valore giuridico dei Sigilli elettronici
Presunzione legale di garanzia dell'origine e dell'integrità dei documenti elettronici cui sono associati
Sigilli e autenticazione web
Carnelutti: funzioni della sottoscrizione autografa Firme Sigilli
Funzione Indicativa: identificare il soggetto al quale lo strumento appartiene
SISI
Funzione Dichiarativa: esprimere un consenso SI NO
Funzione Probatoria: provare la provenienza di un documento
SI SI
Sigilli Elettronici
Sigilli e autenticazione web
I sigilli elettronici avanzati devono rispettare una delle seguenti specifiche tecniche ETSI, ad eccezione della clausola 9:
Profilo di base XAdES ––––→ ETSI TS 103171 v.2.1.1.
Profilo di base CAdES ––––→ ETSI TS 103173 v.2.2.1.
Profilo di base PAdES ––––→ ETSI TS 103172 v.2.2.2.
Profilo di base del contenitore con sigillo associato → ETSI TS 103174 v.2.2.1.
Certificati di autenticazione web
Sigilli e autenticazione web
Attraverso i servizi di certificazione dei siti web i visitatori del sito possono accertare l'identità della persona fisica o giuridica titolare del sito webI certificati qualificati di autenticazione di siti web contengono:a) un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;b) un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e il Nome o la ragione sociale (se pg);c) il nome della persona (o la ragione sociale, se pg) a cui è stato rilasciato il certificato, o uno pseudonimo. d) elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato;
Certificati di autenticazione web
Sigilli e autenticazione web
I certificati qualificati di autenticazione di siti web contengono:e) il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;f) l’indicazione dell’inizio e della fine del periodo di validità del certificato;g) il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;h) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;i) il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;j) l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.
Altri servizi qualificati
Validazione temporale elettronica: presunzione legale relativa alla certezza dell'ora e della data indicata e dell'integrità dei dati a cui è associata
Servizi elettronici di recapito: presunzione presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio elettronico di recapito certificato qualificato
Firme elettroniche nelCodice dell'Amministrazione
Digitale
D.Lgs 82/2005
La travagliata storia delle firme elettroniche
DPR 10 novembre 1997, n. 513 Regolamento contenente i criteri e le modalità per la formazione, l'archiviazione e la
trasmissione di documenti con strumenti informatici e telematici
Firma digitale: il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici; (art. 1, lett. b)
La travagliata storia delle firme elettroniche
Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999
Precedente quadro comunitario per le firme elettroniche
Firma elettronica : dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;
Firma elettronica avanzata :una firma elettronica che soddisfi i seguenti requisiti:- essere connessa in maniera unica al firmatario;- essere idonea ad identificare il firmatario;- essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;- essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;
La travagliata storia delle firme elettronicheDecreto Legislativo 7 marzo 2005, n. 82
Codice dell'Amministrazione DigitaleCome modificato dal Decreto legislativo 30 dicembre 2010, n. 235
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
Codice dell'Amministrazione Digitale(art. 1, come modificato dal D.Lgs. 179/2016)
Firma elettronica (lett. q) - L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica
Firma elettronica avanzata (lett. q-bis) - Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati
Firma elettronica qualificata (lett. r) - Un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma
Firma digitale (lett. s) - Un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici
Nuovo Art. 21 CADCosì come modificato dal D.Lgs 26 agosto 2016 n.179
1. Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, ha altresì l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico.
Nuovo Art. 21 CADCosì come modificato dal D.Lgs 26 agosto 2016 n.179
2-bis. Salvo quanto previsto dall' articolo 25 Salvo il caso di sottoscrizione autenticata, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile , se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all'articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale. redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.
2-ter. Fatto salvo quanto previsto dal decreto legislativo 2 luglio 2010, n. 110, ogni altro atto pubblico redatto su documento informatico e' sottoscritto dal pubblico ufficiale a pena di nullita' con firma qualificata o digitale. Le parti, i fidefacenti, l'interprete e i testimoni sottoscrivono personalmente l'atto, in presenza del pubblico ufficiale, con firma avanzata, qualificata o digitale ovvero con firma autografa acquisita digitalmente e allegata agli atti.
I commi 3 e 4 sono abrogati
Art. 24 – Firma digitaleCosì come modificato dal D.Lgs 26 agosto 2016 n.179
1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata.
2. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche di cui all'articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d'uso.
Art. 24 comma 4-bisL'apposizione a un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
ART. 62 DPCM 22 febbraio 2013 - Valore della firma digitale nel tempoLa firma digitale, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma digitale in un momento precedente alla sospensione, scadenza o revoca del suddetto certificato.
Art. 24 – Firma digitaleCosì come modificato dal D.Lgs 26 agosto 2016 n.179
Le altre firme basate su certificati qualificati
4-ter. Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni:
a) il certificatore possiede i requisiti previsti dal regolamento eIDAS ed è qualificato in uno Stato membro;
b) il certificato qualificato è garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui al medesimo regolamento;
c) il certificato qualificato, o il certificatore, è riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali.
Art. 25 – Firma autenticataCosì come modificato dal D.Lgs 26 agosto 2016 n.179
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma elettronica o qualsiasi altro tipo di firma elettronica avanzata autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato.
2. L'autenticazione della firma elettronica, anche mediante l'acquisizione digitale della sottoscrizione autografa, o di qualsiasi altro tipo di firma elettronica avanzata consiste nell'attestazione, da parte del pubblico ufficiale, che la firma e' stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità dell'eventuale certificato elettronico utilizzato e del fatto che il documento sottoscritto non e' in contrasto con l'ordinamento giuridico.
Art. 25 – Firma autenticataCosì come modificato dal D.Lgs 26 agosto 2016 n.179
3. L'apposizione della firma digitale da parte del pubblico ufficiale ha l'efficacia di cui all'articolo 24, comma 2.
4. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale, secondo le disposizioni dell'articolo 23.
Codice dell'amministrazione digitale. Art.1, lett. s) - Definizioni
FIRMA DIGITALE
Particolare tipo di firma elettronica qualificata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
Il dispositivo sicuro di firma torna nelle nuove regole tecniche (DPCM 22 febbraio 2013)
Le Chiavi asimmetriche
Può solo chiudere
ChiavepubblicaCertificata
Chiaveprivata
ds fsd fdsdfs
fddfdfdfsdfs df sfdf f f sdf sdfs
dfadf asd f sdfasdf dsfsfsdf
Può solo aprire e leggere
CERTIFICATORE
Generazione della coppia di chiavi
Processo di firma digitale
HASHCIFRATOAlgoritmo
Asimmetrico
Algoritmo di HASH
documento
T%*l)8khj HASH
T%*l)8khj
documento
Chiaveprivata
Certificatocon la chiave pubblica
Al destinatario
Verifica della firma digitale
Certificato T%*l)8khj
HASH Originale(Decifrato)
T%*l)8khj
HASHRicalcolato
COMPARAZIONE
Algoritmo di HASH
T%*l)8khj
documento
HASHCIFRATO
Algortmo Asimmetrico
Le informazioni facoltative dei certificati di firma(artt. 28 CAD)
Il certificato di firma elettronica qualificata può contenere, ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti e non eccedenti rispetto allo scopo per il quale il certificato è richiesto: a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;b) i limiti d'uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell'articolo 30, comma 3. c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili..
Limiti d’uso al certificato di firma?(artt. 28 e 30 CAD)
Il certificato qualificato può contenere limiti d'uso ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi e siano chiaramente evidenziati nel certificato (art. 30, comma 3).
DPCM 22 febbraio 2013Regole tecniche firme elettroniche
Art. 3
La firma digitale può essere generata solo con i seguenti dispositivi:
- dispositivi sicuri per la generazione della firma (mezzi sui quali il firmatario può conservare un controllo esclusivo e la cui conformità è accertata secondo quanto previsto dall'art. 35 del CAD)
- HSM (insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche)
Regole tecniche, Art. 1 lett r) - Firma automatica
Firma automatica : particolare procedura informatica di firma elettronica qualificata o digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo.
Regole tecniche, Art. 5 commi 2 e 3
2. Se il soggetto appone la sua firma digitale per mezzo di una procedura automatica ai sensi dell'art. 35 comma 3 del Codice, deve utilizzare una coppia di chiavi destinata a tale scopo, diversa da tutte le altre in suo possesso. L'utilizzo di tale procedura deve essere indicato esplicitamente nel certificato qualificato.
Se la procedura automatica fa uso di un insieme di dispositivi sicuri per la generazione della firma elettronica qualificata o firma digitale del medesimo soggetto, dev'essere utilizzata una coppia di chiavi diversa per ciascun dispositivo utilizzato dalla procedura automatica.
Regole tecniche, art. 1 lett. s) - firma remota
Firma remota : particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse.
Regole tecniche, Art. 3 comma 4
La firma remota è generata su un HSM custodito e gestito, sotto la responsabilità, dal certificatore accreditato ovvero dall'organizzazione di appartenenza dei titolari dei certificati che ha richiesto i certificati medesimi ovvero dall'organizzazione che richiede al certificatore di fornire certificati qualificati ad altri soggetti al fine di dematerializzare lo scambio documentale con gli stessi. Il certificatore deve essere in grado, dato un certificato qualificato, di individuare agevolmente il dispositivo afferente la corrispondente chiave privata.
Problemi nella formazione della firma digitale?
ART. 63 comma 3 DPCM 22 febbraio 2013
Eventuali difformità nella generazione delle firme digitali, delle firme elettroniche qualificate, dei certificati qualificati e delle marche temporali, alle regole tecnologiche di cui al Titolo II, che non ne mettano a rischio la sicurezza, non ne inficiano la validità. L'Agenzia valuta tali difformità e rende note le proprie decisioni sul proprio sito internet.
Servizio fiduciario di convalida delle firme!
Una Firma Elettronica Avanzata, non è un determinato software, né una determinata tecnologia, ma è un sistema
neutro, sicuro e affidabile che garantisca l’appartenenza di un documento informatico reso immodificabile ad una persona
fisica correttamente identificata
La realizzazione di soluzioni di FEA è libera e non è soggetta ad alcuna autorizzazione preventiva
Rispetto delle nuove regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali
(DPCM 22 febbraio 2013 Pubblicato in GU 21-5-2013)
La Firma Elettronica Avanzata
Gli attori della FEA
a) coloro che erogano soluzioni di FEA al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari, o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni offerte da terzi;
b) colore che, quale oggetto dell'attività d'impresa, realizzano soluzioni di FEA a favore di altri soggetti.
..c) coloro che utilizzano soluzioni di FEA dopo averne conosciuto ed accettato le condizioni di utilizzo
DPCM 22 febbraio 2013 Art. 56 Caratteristiche delle soluzioni di firma elettronica avanzata
Le soluzioni di firma elettronica avanzata devono garantire
a) l’identificazione del firmatario del documento; *
b) la connessione univoca della firma al firmatario; *
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma; *
d) la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito modifiche dopo l’apposizione della firma; *
Requisiti tecnici della FEA
Requisiti tecnici della FEA
DPCM 22 febbraio 2013 Art. 56 Caratteristiche delle soluzioni di firma elettronica avanzata
Le soluzioni di firma elettronica avanzata devono garantire
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;*
f) l’individuazione del soggetto che propone l'utilizzo della FEA;
g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;*
h) la connessione univoca della firma al documento sottoscritto.*
* La FEA generata in violazione di tali regole non soddisfa i requisiti previsti dagli artt. 20, comma 1 bis e 21 comma 2 del CAD
Art. 57Obblighi per i soggetti che erogano per proprio conto soluzioni di firma
elettronica avanzata
a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;
b) conservare per almeno venti anni copia del documento, la dichiarazione di cui al punto a) ed ogni altra informazione atta a dimostrare l’ottemperanza ai requisiti tecnici, garantendone la disponibilità, integrità, leggibilità e autenticità;
c + d) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo e pubblicare anche su internet le modalità con cui effettuare tale richiesta;
Requisiti organizzativi della FEA
Art. 57Obblighi per i soggetti che erogano per proprio conto soluzioni
di firma elettronica avanzata
e) rendere note le caratteristiche del sistema realizzato atte a garantire il rispetto dei requisiti tecnici dell'art. 56;
f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;
g) pubblicare le caratteristiche di cui alle lettere e) e f) sul proprio sito internet;
h) assicurare la disponibilità di un servizio di revoca relativo alla firma elettronica avanzata, ove applicabile, e un servizio di assistenza.
Requisiti organizzativi della FEA
Art. 57Obblighi per i soggetti che erogano per proprio conto soluzioni
di firma elettronica avanzata
Obbligo di copertura assicurativa
Obbligo di stipulare un'apposita polizza assicurativa per responsabilità civile per un ammontare non inferiore ai € 500.000 e pubblicazione su sito web del sistema di copertura
La copertura assicurativa non è richiesta per alle persone giuridiche pubbliche che erogano soluzioni di FEA per conto di amministrazioni pubbliche.
Requisiti organizzativi della FEA
Art. 57Obblighi per i soggetti che erogano per proprio conto soluzioni
di firma elettronica avanzata
La FEA in Ambito Sanitario (comma 5)
Nell'ambito delle PA e in quello sanitario, limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni di utilizzo della FEA può essere fornita oralmente dall'utente al funzionario pubblico o all'esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma digitale
Consenso all'utilizzo della FEA raccolto oralmente nelle strutture sanitarie pubbliche e private convenzionate!
Requisiti organizzativi della FEA
Art. 58 Obblighi per i soggetti che realizzano per terzi soluzioni di
firma elettronica avanzata
Certificazione obbligatorie per soluzione di firma elettronica avanzata realizzate per le amministrazioni pubbliche:- ISO/IEC 27001- ISO 9001
Non sono richieste per le persone giuridiche pubbliche che realizzino soluzioni di firma elettronica avanzata per altre amministrazioni pubbliche.
Non sono richieste per le persone giuridiche private possedute o controllate dall'amministrazione pubblica per la quale realizzano soluzioni di FEA
La rispondenza della propria soluzione di FEA alle regole tecniche può essere certificata secondo la norma ISO/IEC 15408, livello EAL 1 o superiore
Sicurezza delle soluzioni di FEA
Art. 59 Affidabilità delle soluzioni di firma elettronica avanzata
Anche il soggetto che propone l'utilizzo della FEA per regolare i propri rapporti con l'utente può, al fine di dare evidenza dell'affidabilità della soluzione proposta può:
- richiedere la certificazione di conformità del proprio sistema di gestione delle informazioni a supporto della FEA proposta alla norma ISO/IEC 27001
- richiedere la certificazione di conformità della FEA proposta alle regole tecniche certificando la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore
Sicurezza delle soluzioni di FEA
Art. 60 Limiti d’uso
La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che dispone l'utilizzo della firma elettronica avanzata
E nei confronti di altri soggetti?- valore probatorio forte-possibilità di superare tale limite (FEA di gruppo o Inter-associativa)
Limiti della FEA
Art. 61 Soluzioni di firma elettronica avanzata
Sostituiscono soluzioni di firma elettronica avanzata nei confronti delle Amministrazioni pubbliche:
- invio tramite Posta elettronica certificata, rilasciata previa identificazione personale del titolare ai sensi dell'art. 65 comma 1, lett c-bis del CAD
- Carta d'Identità Elettronica (CIE), Carta Nazionale dei Servizi (CNS), passaporto elettronico, documento d'identità dei pubblici dipendenti (Mod. Ate) o altri strumenti ad essi conformi (Es. Documento Digitale Unificato)
Per tali soluzioni sostitutive di FEA non si richiede il rispetto dei requisiti organizzativi di cui all'art. 57 commi 1 e 2.
AgID pubblicherà delle Linee guida al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.
Soluzioni di FEA
Le soluzioni di FEA sono variamente configurabili e, fermo restando il rispetto delle regole tecniche, possono essere realizzate con livelli di sicurezza più o meno elevati.
Tutti i requisiti della FEA possono essere soddisfatti in maniera più o meno costosa, più o meno sicura, più o meno usabile:
OrganizzazioneTecnologie
Misure di sicurezza fisiche e logicheDocumentazione di processo
Occorre valutare attentamente i fatti giuridici che si vanno a regolare mediante l'utilizzo della FEA al fine di individuare una soluzione che contemperi un buon livello di sicurezza a fronte di facilità di utilizzo (quantomeno per l'utente) e costi non eccessivi.
FEA - il giusto equilibrio
Le firme elettroniche basate sul riconoscimento biometrico e la
grafometria
Biometria e riconoscimento biometrico
Impronte digitali
Riconoscimento della geometria della mano
Riconoscimento dell'iride
Sistemi per il riconoscimento del volto
Sistemi per il riconoscimento della voce
Riconoscimento della retina
Sistemi per il riconoscimento della firma
RICONOSCIMENTO BIOMETRICO
Il perito grafico si occupa di distinguere ATTO GRAFICO dal GESTO GRAFICO
Mentre l'ATTO è riproducibile il GESTO è spontaneo e non riproducibile
Accanto alla comparazione di elementi classici (velocità, pressione, etc..) è possibile anche ripercorrere punto per punto il gesto grafico (compresi i tratti aerei!) e quindi valutarlo in maniera ancora più oggettiva rispetto a quanto possibile su carta.
Verifica più sicura con elementi di certezza oggettiva e comparabili
GRAFOMETRIA E FIRME ELETTRONICHE
La prima firma biometrica è la sottoscrizione cartacea!
Le firme biometriche
Acquisizione sul documento della sola immagine della sottoscrizione
Se non è verificabile il comportamento di chi firma, non è biometria e non crea problemi tecnici e di privacy, ma ha scarso valore giuridico
Le firme biometriche
Acquisizione evoluta sul documento di vari dati comportamentali di chi firma
È la versione elettronica della sottoscrizione cartacea. Può essere di volta in volta verificabile la sua autenticità e non c’è centralizzazione di dati biometrici
(necessità di notifica e interpello ai sensi dell’art. 17 Codice privacy e la sua
valenza probatoria può essere robusta)
Inserita in un più ampio processo può essere considerata una FEA
Le firme biometriche
Riconoscimento biometrico come credenziale forte di autenticazione
Può servire a garantire un accesso riservato di transazione, ma anche come modello di sottoscrizione digitale e, quindi, garantire un accesso in remoto al proprio certificato di firma custodito da un HSM
(necessità di notifica e interpello ai sensi dell’art. 17 Codice privacy )
I dati biometrici
DATI BIOMETRICI = DATI PERSONALI “semi-sensibili”
Il trattamento dei Dati Biometrici, in quanto dati personali, va correttamente predisposto. E' consentito solo in presenza di una verifica preliminare volta ad appurare la liceità e correttezza del trattamento e ad impartire misure ed accorgimenti a garanzia degli interessati. (Art. 17 D.Lgs. 196/2003)L'art. 37 prescrive la notifica al Garante del trattamento di dati biometrici.E' opportuno predisporre uno specifico Interpello presso il Garante Privacy al fine di ottenere una validazione preventiva del sistema di firma basato su dati biometrici. Sussistono, inoltre, problematiche relative alla corretta informativa da fornire all'interessato, acquisizione del consenso, adozione delle specifiche misure prescritte dal Garante ect...
La trasmissione del
documento informatico
e
La posta elettronica
Certificata - Pec
Art. 45. CAD Valore giuridico della trasmissione
1. I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale.
2. Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.
46. Dati particolari contenuti nei documenti trasmessi. (CAD)1. Al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite.
ART. 48 (Posta elettronica certificata)
1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con le regole tecniche adottate ai sensi dell'articolo 71.
2. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta.
3. La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche, ovvero conformi alle regole tecniche adottate ai sensi dell'articolo 71
ART. 1 comma 1-ter
Ove la legge consente l'utilizzo della posta elettronica certificata è ammesso anche l'utilizzo di altro servizio elettronico di recapito certificato.
Ma il servizio di recapito certificato non dovrebbe anche essere qualificato?
La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici. "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.
mittente Gestore PEC
Gestore PEC destinatari
o
(Ricevute)(Ricevuta)
Il DPR 11 febbraio 2005, n. 68 (G.U. 28 aprile 2005, n. 97) disciplina le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la PA, ma anche tra privati cittadini. In sintesi le novità contenute nel provvedimento:
- nella catena di trasmissione potranno scambiarsi le e-mail certificate sia i privati, sia le PA. Saranno i gestori del servizio (art. 14), iscritti in apposito elenco tenuto dal Cnipa (che verificherà i requisiti soggettivi ed oggettivi inerenti ad esempio alla capacità ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza, alla certificazione ISO9000 del processo), a fare da garanti dell'avvenuta consegna.
- per iscriversi nell'elenco dovranno possedere un capitale sociale minimo non inferiore a un milione di euro e presentare una polizza assicurativa contro i rischi derivanti dall'attività di gestore;
- i messaggi verranno sottoscritti con la firma digitale avanzata che dovrà essere apposta sia sulla busta, sia sulle ricevute rilasciate dai gestori per assicurare l'integrità e l'autenticità del messaggio;
- i tempi di conservazione: i gestori dovranno conservare traccia delle operazioni per 30 mesi;
- i virus: i gestori sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12);
- le imprese, nei rapporti intercorrenti, potranno dichiarare l'esplicita volontà di accettare l'invio di PEC mediante indicazione nell'atto di iscrizione delle imprese.
Art. 65 CAD (Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica)
c-bis) ovvero se trasmesse dall'istante o dal dichiarante mediante la propria casella di posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario.
PEC Id - DPCM del 27 settembre 2012
Il decreto del 27 settembre 2012 definisce, ai sensi dell'articolo 65, comma 1, lettera c-bis) del CAD, le regole tecniche mediante le quali il gestore della casella di posta elettronica certificata (PEC-ID) tramite la quale possono essere presentate, in via telematica, istanze e dichiarazioni alle pubbliche amministrazioni deve identificare il titolare della medesima casella.
L'identificazione del titolare potrà avvenire mediante la sottoscrizione del modulo di adesione al servizio ed esibizione al gestore, da parte del medesimo, di un valido documento d'identità e del codice fiscale ovvero mediante la sottoscrizione con firma digitale dello stesso modulo ovvero tramite la compilazione del modulo di adesione disponibile in rete, previa identificazione informatica tramite CIE o CNS.
L'identificazione per l'accesso al servizio PEC-ID avverrà, invece, tramite Certificato di autenticazione della CNS o della CIE ovvero tramite credenziali di accesso basate su identificativo - utente, parola d'ordine (password) e parola d'ordine temporanea (one time password) generata dal token crittografico rilasciato dal Gestore medesimo e trasmessa anche attraverso sistemi di telefonia mobile.
L. 2/2009 - Art. 16, c. 6,7,8, 9 e 10: PEC obbligatoria per professionisti, società e PA
Il dubbio:
Chi conserva la PEC?
ART. 43 CAD (Riproduzione e conservazione dei documenti)
3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali
• è un formato adatto?• chi garantisce la
fascicolazione?• chi garantisce
l’autenticità e l’integrità?
Dal Codice Civile:
Articolo 2220. Le scritture devono essere conservate per dieci anni dalla data dell’ultima registrazione (2312).
Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le co pie delle fatture, delle lettere e dei telegrammi spediti.
Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti (Comma aggiunto dall’Articolo 7 bis, Decr.Legge 10 giugno 1994, n. 357, convertito con modificazioni dalla Legge 8 agosto 1994, n. 489 )
La PEC non è forse corrispondenza?
Riferimento temporale
E
Validazione temporale
La validazione temporaleArt. 1 D.Lgs 82/2005 CAD
bb) validazione temporale: il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi.
DPCM 22 febbraio 2013Regole tecniche in materia di generazione, apposizione e verifica delle
firme elettroniche avanzate, qualificate e digitali
Art. 1 Definizioni
m) riferimento temporale: evidenza informatica, contenente la data e l'ora, che viene associata ad uno o più documenti informatici;
i) marca temporale: il riferimento temporale che consente la validazione temporale e che dimostra l'esistenza di un'evidenza informatica in un tempo certo;
Art. 41 del DPCM 22 febbraio 2013
Costituiscono inoltre validazione temporale:
a) il riferimento temporale contenuto nella segnatura di protocollo di cui all'art. 9 del decreto del Presidente del Consiglio dei Ministri, 3 dicembre 2013;
b) il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti, ad opera di un pubblico ufficiale o di una pubblica amministrazione;
c) il riferimento temporale ottenuto attraverso l'utilizzo di posta elettronica certificata ai sensi dell'art. 48 del Codice;
d) il riferimento temporale ottenuto attraverso l'utilizzo della marcatura postale elettronica ai sensi dell'art. 14, comma 1, punto 1.4 della Convenzione postale universale, come modificata dalle decisioni adottate dal XXIII Congresso dell'Unione postale universale, recepite dal Regolamento di esecuzione emanato con il decreto del Presidente della Repubblica 12 gennaio 2007, n. 18.