Upload
francesca-cara
View
246
Download
0
Embed Size (px)
Citation preview
La gestione dei documentinella
Pubblica Amministrazione
ing. Luigi Barella
INTEGRA Sistemi srl
Luigi Barella - La gestione dei documenti nella PA 2
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 3
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 4
Gestione dei documenti nella PA
Il documento rappresenta il supporto fondamentale per lo svolgimento delle attività amministrative nelle Pubbliche Amministrazioni
Ottimizzarne la gestione è diventata una necessità.
L’opportunità di un cambiamento radicale viene dalle nuove tecnologie dell’ICT.
Luigi Barella - La gestione dei documenti nella PA 5
L’adozione delle nuove tecnologie
Sfruttare appieno le nuove tecnologie significa introdurre:
nuovi strumenti nuove metodologie operative profondi cambiamenti organizzativi
Redazione di un nuovo impianto normativo che regoli tutte le fasi del ciclo di vita di un documento:
formazione spedizione archiviazione
Luigi Barella - La gestione dei documenti nella PA 6
Tipi di documenti
Delibera AIPA 42 del 13 dicembre 2001: documento analogico: utilizza una grandezza fisica
continua (tracce su carta, immagini su film, …) documento digitale: utilizza una grandezza fisica
discreta (valori binari) documento informatico: documento digitale sottoscritto
con firma digitale
Luigi Barella - La gestione dei documenti nella PA 7
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 8
Principi ispiratori
Poche ma fondamentali regole per: la corretta tenuta del registro informatico di
protocollo predisporre all'interoperabilità tra sistemi di
protocollo indipendenti integrare il protocollo informatico con la firma
digitale e la posta elettronica
Completa libertà alle amministrazioni sulle scelte organizzative interne
Luigi Barella - La gestione dei documenti nella PA 9
Linee guida
Aggiornamento della normativa esistente (Regio Decreto n.35 del 1900) facendo salvi i principi generali e cogliendo le opportunità che le vengono offerte dalle nuove tecnologie della ICT (documento elettronico, DBMS, reti, …)
Esplicita indicazione di migliorare l’efficienza dei processi di gestione documentale attraverso l’eliminazione della frammentazione dei sistemi di protocollo
Collegare il sistema di protocollo alla gestione dei flussi documentali
Luigi Barella - La gestione dei documenti nella PA 10
Legge 59/1997
Legge sulla "Riforma della pubblica amministrazione e per la semplificazione amministrativa" n. 59 del 15 marzo 1997.
Art 15: "Gli atti, i dati e i documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge; i criteri di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti ...".
Luigi Barella - La gestione dei documenti nella PA 11
DPR 513/1997
Decreto del Presidente della Repubblica n. 513 del 10 novembre 1997: "Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici".
Introduce la firma digitale e disciplina la funzione dei certificatori
(confluito nel DPR 445/2000)
Luigi Barella - La gestione dei documenti nella PA 12
DPCM 8 febbraio 1999
Decreto del Presidente del Consiglio dei Ministri del 8 febbraio 1999: "Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici …“
Definizione degli algoritmi di generazione e verifica delle firme digitali
Gestione delle chiavi e dei certificati Definizione delle attività dei certificatori Molta attenzione agli aspetti tecnologici e alla sicurezza
Luigi Barella - La gestione dei documenti nella PA 13
DPR 428/1998
Decreto del Presidente della Repubblica n. 428 del 20 ottobre 1998: "Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche".
Tenuta del registro di protocollo
(confluito nel DPR 445/2000)
Luigi Barella - La gestione dei documenti nella PA 14
Circolari e delibere AIPA
Circolare 16 febbraio 2001, n. AIPA/CR/27: Utilizzo della firma digitale nelle Pubbliche Amministrazioni
Circolare 7 maggio 2001, n. AIPA/CR/28: Standard, modalità di trasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e associate ai documenti protocollati (Interoperabilità XML)
Deliberazione AIPA n. 42/2001: Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali
Luigi Barella - La gestione dei documenti nella PA 15
DPCM 31 ottobre 2000
Decreto del Presidente del Consiglio dei Ministri del 31 ottobre 2000: "Regole tecniche per il protocollo informatico …“
Norme tecniche di utilizzo dello strumento informatico
Luigi Barella - La gestione dei documenti nella PA 16
DPR 445/2000
Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445: “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”
Raccoglie le disposizioni precedenti in un quadro normativo omogeneo
Luigi Barella - La gestione dei documenti nella PA 17
Direttiva 99/93/CE
Direttiva 99/93/CE del 13 dicembre 1999: relativa ad un quadro di riferimento comunitario per le firme elettroniche.
Adotta un approccio molto generale: considera soprattutto le esigenze del commercio elettronico.
Ottica molto più liberista, profondamente diversa da quella adottata nella normativa italiana.
Ignorati i problemi relativi alla sicurezza
Luigi Barella - La gestione dei documenti nella PA 18
Recepimento
Recepimento
DPR 445/2000 Direttiva 99/93/CE
DLgs. 10/2002 Regolamento 137/03
Luigi Barella - La gestione dei documenti nella PA 19
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 20
Peculiarità della protocollazione
La protocollazione certifica la provenienza e la data di acquisizione di un documento.
E’ una attività fondamentale, alla base di tutto il processo di gestione dei documenti nella Pubblica Amministrazione.
Luigi Barella - La gestione dei documenti nella PA 21
Obiettivi del progetto “Protocollo Informatico”
Il progetto si propone due obiettivi:• migliorare l'efficienza interna delle
amministrazioni attraverso l'eliminazione dei registri cartacei, la diminuzione degli uffici di protocollo, e la razionalizzazione dei flussi documentali
• migliorare la trasparenza dell'azione amministrativa attraverso degli strumenti che consentano un effettivo esercizio del diritto di accesso allo stato dei procedimenti ed i relativi documenti da parte dei soggetti interessati (cittadini ed imprese)
Luigi Barella - La gestione dei documenti nella PA 22
Le “Aree Organizzative Omogenee”
DPR 445/2000, Art 50. Ciascuna amministrazione individua, nell'ambito del proprio ordinamento, gli uffici da considerare ai fini della gestione unica o coordinata dei documenti per grandi aree organizzative omogenee, assicurando criteri uniformi di classificazione e archiviazione, nonché di comunicazione interna tra le aree stesse.
prima… …dopo
Luigi Barella - La gestione dei documenti nella PA 23
Sostituzione del tracciamento interno dei documenti
Modalità tradizionaleMolti registri: rudimentale tracciamento del flusso dei documenti all’interno della struttura
Modalità protocollo unicoIl tracciamento del flusso dei documenti all’interno della struttura va ottenuto con altre tecnologie
Luigi Barella - La gestione dei documenti nella PA 24
Registrazione e segnatura di protocollo
FirmaFirma
data,progressivooggettomittente/destinatarioimpronta
Numero Oggetto Data122412251226
data,progressivoIndicazione AOO
Segnatura
Registrazione
Luigi Barella - La gestione dei documenti nella PA 25
Il sistema di protocollo informatico
Le funzioni obbligatorie sono le funzioni del “nucleo minimo”:
• registrazione• segnatura• classificazione
Requisiti di sicurezza:• le registrazioni devono essere non
modificabili • sistemi operativi adeguati• log di sistema• “history” delle modifiche effettuate sui
singoli campi
Il nucleo minimo può essere esteso con funzioni aggiuntive non ridondanti definite dall’amministrazione.
Entro il01-01-2004
!
Luigi Barella - La gestione dei documenti nella PA 26
Obiettivi di adeguamento
l'individuazione delle aree organizzative omogenee;
la nomina del responsabile del servizio;
l'adozione del manuale di gestione; la definizione, su indicazione del
responsabile del servizio, dei tempi, delle modalità e delle misure organizzative e tecniche finalizzate alla eliminazione dei protocolli di settore e di reparto.
Luigi Barella - La gestione dei documenti nella PA 27
Il manuale di gestione
Riconoscimento della piena autonomia delle amministrazioni nella definizione dei propri criteri organizzativi e regolamentari.Elementi del manuale
• flusso in entrata/uscita/interno• regole per la registrazione dei documenti • tipi di documenti soggetti a registrazione particolare• tipi di documenti non soggetti alla registrazione di
protocollo• regole per l’uso degli strumenti informatici• direttive per la classificazione• regole sulla movimentazione dei documenti cartacei • regole sull’accesso ai documenti informatici• regole per il registro di emergenza
Luigi Barella - La gestione dei documenti nella PA 28
Il manuale di gestione
Il manuale è anche uno strumento di trasparenza:“Il manuale di gestione è reso pubblico dalle pubbliche amministrazioni di cui al decreto n. 29/1993 secondo le modalità previste dai singoli ordinamenti. Esso può altresì essere reso accessibile al pubblico per via telematica ovvero su supporto informatico o cartaceo.” (DPCM 31-10-2000, Art 5)
Luigi Barella - La gestione dei documenti nella PA 29
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 30
Firma di un documento
Firma: meccanismo che garantisce al supporto fisico:
autenticità integrità non ripudio
La natura della firma è strettamente legata al supporto fisico.
Luigi Barella - La gestione dei documenti nella PA 31
Firma di documenti cartacei
Per documenti su supporto cartaceo si adotta il meccanismo della firma autografa:
universalmente accettato applicabile attraverso l’utilizzo di strumenti molto
semplici e accessibili (“comoda” da utilizzare) livello di sicurezza sufficiente nei contesti più comuni di
utilizzo
Luigi Barella - La gestione dei documenti nella PA 32
E con le nuove tecnologie?
Per utilizzare appieno le nuove tecnologie, è necessario individuare un meccanismo di firma da utilizzare per i documenti memorizzati sui nuovi tipi di supporto fisico.
La soluzione a questo problema è stata individuata nella
firma digitale
Luigi Barella - La gestione dei documenti nella PA 33
Firma digitale
DPR 445 / 2000: firma digitale: il risultato della procedura
informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
Luigi Barella - La gestione dei documenti nella PA 34
Gli altri tipi di firma
Regolamento 137/03: FIRMA ELETTRONICA: l’insieme dei dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
FIRMA ELETTRONICA AVANZATA: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
FIRMA ELETTRONICA QUALIFICATA: la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;
Luigi Barella - La gestione dei documenti nella PA 35
Certificato
DPR 445 / 2000: certificato: il documento rilasciato da una amministrazione
pubblica avente funzione di ricognizione, riproduzione e partecipazione a terzi di stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche
Regolamento 137 / 03: certificati elettronici: (…) gli attestati elettronici che collegano i
dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità dei titolari stessi
certificati qualificati: (…) i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva n. 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva
Luigi Barella - La gestione dei documenti nella PA 36
Certificatore
Regolamento 137 / 03: CERTIFICATORE ai sensi dell'articolo 2, comma 1,
lettera b), del decreto legislativo 23 gennaio 2002, n. 10, il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime;
Luigi Barella - La gestione dei documenti nella PA 37
Chiavi
DPR 445 / 2000: chiavi asimmetriche: la coppia di chiavi crittografiche, una privata
ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici
chiave privata: l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica
chiave pubblica: l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi
Luigi Barella - La gestione dei documenti nella PA 38
Cosa NON è la firma digitale
La firma digitale non deve essere confusa, nel modo più assoluto, con la digitalizzazione della firma autografa, ovvero la rappresentazione digitale di un'immagine corrispondente alla firma autografa.
Luigi Barella - La gestione dei documenti nella PA 39
Crittografia
La crittografia è una tecnica (un procedimento matematico) dalle origini antiche, impiegata storicamente per garantire la riservatezza delle informazioni trasmesse a distanza.In ambito informatico, essa può trasformare un file di dati in un insieme di simboli incomprensibili e inutilizzabili per chiunque non possieda lo strumento per decifrarli.
Luigi Barella - La gestione dei documenti nella PA 40
Crittografia
Esistono due tipi fondamentali di crittografia:
a chiave unica (o simmetrica) a doppia chiave (o asimmetrica)
Luigi Barella - La gestione dei documenti nella PA 41
Gli algoritmi di crittografia simmetrica
La stessa chiave serve per cifrare e per decifrare
Una chiave non può decifrare un file cifrato con un’altra chiave
La chiave è posseduta dal mittente e dal destinatario
FILE1
AAA..
FILE2
ZZZ..
Luigi Barella - La gestione dei documenti nella PA 42
Gli algoritmi di crittografia simmetrica
Vantaggi: Efficienza
Svantaggi: Necessità di prevedere una chiave per ogni coppia
di interlocutori (ogni soggetto è costretto a possedere molte chiavi)
Problemi di sicurezza in fase di distribuzione della chiave
Luigi Barella - La gestione dei documenti nella PA 43
Gli algoritmi di crittografia asimmetrica
Un documento cifrato con una chiave può essere decifrato con l’altra e viceversa
Ogni chiave può cifrare o decifrare
La chiave che cifra non può decifrare lo stesso file
Una chiave è posseduta dal mittente (chiave privata) ed è segreta; l’altra chiave (chiave pubblica) è accessibile a tutti i destinatari
FILE1
AAA..
FILE2
ZZZ..
Le chiavi vengono generate in coppia da uno speciale algoritmo ed è impossibile ottenere una chiave a partire dall’altra.
Luigi Barella - La gestione dei documenti nella PA 44
Gli algoritmi di crittografia asimmetrica
Vantaggi: Sicurezza (non bisogna distribuire la chiave privata) Fruibilità: la stessa coppia di chiavi viene utilizzata
da tutti gli utenti
Svantaggi: Complessità algoritmica elevati tempi di calcolo
Luigi Barella - La gestione dei documenti nella PA 45
Gli algoritmi di hashing sicuro
Permettono di creare da una sequenza di bit qualsiasi e di qualsiasi lunghezza (tipicamente, un file) una sequenza di bit a lunghezza fissa correlata in modo molto stretto alla sequenza di partenza.
Questo tipo di compressione garantisce (a meno di probabilità trascurabili) che il file compresso sia univocamente determinato dal file originario; il file compresso che si ottiene viene chiamato “impronta” (o “digest”) del file.
Luigi Barella - La gestione dei documenti nella PA 46
Gli algoritmi utilizzati
Hashing sicuro: algoritmo SHA (Secure Hash Algorithm)
Crittografia asimmetrica: algoritmo RSA, proposto da Rivest, Shamir e Adleman
Luigi Barella - La gestione dei documenti nella PA 47
Gli algoritmi di crittografia asimmetrica: complessità
La complessità degli algoritmi di crittografia asimmetrica è direttamente proporzionale alla dimensione del file da cifrare e alla lunghezza della chiave
Si comprime il file in input con un algoritmo di hashing sicuro.
L’algoritmo di crittografia asimmetrica viene applicato all’impronta ottenuta.
Luigi Barella - La gestione dei documenti nella PA 48
L’algoritmo di firma
Algoritmo di compressione (SHA) impronta univoca
DOC1
SHA
IMP1
135..
RSA
FIRMA1
XYZ..
Algoritmo di crittografia (RSA) firma
Luigi Barella - La gestione dei documenti nella PA 49
L’algoritmo di verifica
DOC1
SHA
IMP2
135..
FIRMA1
XYZ..
RSA
IMP1
135..
Impronta del documentonella versione corrente
Impronta del documentoal momento della firma =
Verifica fallitaVerifica riuscita
Luigi Barella - La gestione dei documenti nella PA 50
Esito
Verifica riuscita: la firma è valida Verifica fallita: la firma è falsa, oppure la firma è autentica ma è stata apposta su un documento diverso da quello allegato.
Luigi Barella - La gestione dei documenti nella PA 51
Mancata verifica – caso 1
DOC1
FIRMA1
XYZ..
DOC2FIRMA1
XYZ..
RSA SHA
IMP2
678..
IMP1
135..
!‡
Luigi Barella - La gestione dei documenti nella PA 52
Mancata verifica – caso 2
DOC1FIRMA2
XYZ..
DOC1
FIRMA2
XYZ..
RSA SHA
IMP1
135..
IMP2
246..
!‡
Luigi Barella - La gestione dei documenti nella PA 53
Certificato
Nome: MarioCognome: RossiCF: RSSMRINNXNNXNNNX
Luigi Barella - La gestione dei documenti nella PA 54
Certificato
Il Certificato include: Il nome dell'Autorità di Certificazione La data di emissione del certificato La data di scadenza del certificato Il nominativo del soggetto La chiave pubblica del soggetto
Luigi Barella - La gestione dei documenti nella PA 55
Il processo di firma
Nome: MarioCognome: RossiCF: RSSMRINNXNNXNNNX
DOC1
FIRMA1
XYZ..
Firma
DOC1FIRMA1
XYZ..Nome: MarioCognome: RossiCF: RSSMRINNXNNXNNNX
Busta PKCS#7
Luigi Barella - La gestione dei documenti nella PA 56
Il processo completo
DOC1 PKCS#7E-
DOC1
Verifica
FIRMA1
XYZ..
Risposta
Luigi Barella - La gestione dei documenti nella PA 57
Lunghezza e validità delle chiavi
1.024 bit 1.536 bit 2.048 bit
2 anni 3 anni 5 anni
Luigi Barella - La gestione dei documenti nella PA 58
Infrastruttura a chiave pubblica
Il termine infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) è utilizzato per descrivere l’insieme di software, di attori e di criteri organizzativi che consente di gestire i certificati e le chiavi pubbliche e private
Luigi Barella - La gestione dei documenti nella PA 59
Autorità di Certificazione
L’Autorità di Certificazione (CA, Certification Authority) è una terza parte, considerata attendibile da tutti gli attori, che emette e gestisce i certificati
Luigi Barella - La gestione dei documenti nella PA 60
Autorità di Certificazione
Principali attività:• Riceve le richieste di certificazione• Genera e sottoscrive i certificati• Riceve e gestisce richieste di sospensione e revoca• Mantiene aggiornata la CRL e la CSL (liste di
revoca e sospensione)• Mantiene aggiornata la lista dei certificati emessi• Garantisce l'unicità dei certificati
Luigi Barella - La gestione dei documenti nella PA 61
Autorità di Registrazione
Principali attività:• Verifica l’identità del richiedente• Eventualmente genera la coppia di chiavi per il
richiedente• Genera la richiesta di certificazione e la invia alla
CA• Eventualmente fornisce il dispositivo di firma
Luigi Barella - La gestione dei documenti nella PA 62
Rilascio di un certificato
Il rilascio di un certificato si concretizza:• Prenotazione presso una CA• Riconoscimento fisico del richiedente• Rilascio del certificato (e del sw di firma)
Luigi Barella - La gestione dei documenti nella PA 63
Revoca e sospensione di un certificato
Revoca del certificato elettronico:l'operazione con cui il certificatore annulla la validità del certificato da un dato momento, non retroattivo, in poi
Sospensione del certificato elettronico:l'operazione con cui il certificatore sospende la validità del certificato per un determinato periodo di tempo
I certificati revocati e sospesi sono inseriti nell’elenco di revoche di certificati (CRL: Certificate Revocation List)
Luigi Barella - La gestione dei documenti nella PA 64
Dispositivi di firma
La normativa italiana prevede che il processo di firma sia eseguito internamente ad un dispositivo caratterizzato da elevati livelli di sicurezza e di protezione della chiave privata.In pratica questo requisito si traduce nell’uso di speciali smart card certificate ITSEC 4
Luigi Barella - La gestione dei documenti nella PA 65
Dispositivi di firma
Le normali card contengono un chip non duplicabile in grado di memorizzare in modo inalterabile informazioni di interesse per l’utente e/o necessarie per l’utilizzo di specifiche applicazioni.La card dialoga con la stazione di lavoro attraverso un apposito lettore, ed software applicativo può interrogarla per ottenere le informazioni in essa memorizzate.La card fornisce le informazioni memorizzate solo se riceve dalla applicazione (e quindi dall’utente) un PIN (Personal Identification Number) segreto.In definitiva l’accesso alle applicazioni é subordinato sia alla conoscenza del PIN, sia al possesso fisico della card
Luigi Barella - La gestione dei documenti nella PA 66
Dispositivi sicuri di firma (smart card)
Memorizzano in modo inalterabile la chiave privata dell’utente e, inoltre, dispongono di firmware, micro-processore e memoria con caratteristiche sufficienti a eseguire on-board:
• un algoritmo di inizializzazione in grado di generare e memorizzare stabilmente una coppia di chiavipubblica/privata (quest’ultima in una zona di memoria inaccessibile dall’esterno);
• un algoritmo di cifratura asimmetrica in grado di cifrare i dati in ingresso con la chiave privata memorizzata internamente
Non richiedono il trasferimento della chiave privata dell’utente sulla stazione di lavoro. La chiave viene creata dalla smart-card e rimane sempre stabilmente memorizzata nella sua memoria interna
Luigi Barella - La gestione dei documenti nella PA 67
Firma digitale e sicurezza
La sicurezza nell’utilizzo della firma digitale dipende da diversi aspetti:
• Tecnologici• Sistema operativo• Software di firma• Dispositivi di firma
• Infrastrutturali• Autorità di Certificazione
• Organizzativi• Modalità di utilizzo degli strumenti a disposizione• Attenzione nella conservazione e nell’utilizzo della
smart-card
Luigi Barella - La gestione dei documenti nella PA 68
Firma digitale e sicurezza
Gli aspetti più critici sono sicuramente quelli legati al contesto, all’organizzazione e alle modalità di applicazione della firma digitale, piuttosto che a quelli puramente tecnologici o infrastrutturali
Luigi Barella - La gestione dei documenti nella PA 69
Sommario
Introduzione Quadro normativo Il Protocollo Informatico La firma digitale La posta elettronica certificata
Luigi Barella - La gestione dei documenti nella PA 70
La posta certificata
La Posta Elettronica Certificata (PEC) è un servizio di messaggistica, basato sugli standard della posta elettronica, che consente la trasmissione di documenti prodotti mediante strumenti informatici nel rispetto dell’articolo 14 del decreto del Presidente della Repubblica 28 dicembre 2000 n. 445, quindi in grado di fornire attestazioni di recapito con garanzia di identificazione del mittente e del destinatario.Il servizio prevede anche funzionalità accessorie per garantire:
• la confidenzialità• l’integrità• il non ripudio • la tracciabilità e la storicizzazione del flusso dei
messaggi.
Luigi Barella - La gestione dei documenti nella PA 71
La posta certificata nel Testo Unico
DPR 445 / 2000, art. 14 - Trasmissione del documento informatico
1. Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all'indirizzo elettronico da questi dichiarato.
2. La data e l'ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità alle disposizioni del presente testo unico e alle regole tecniche di cui agli articoli 8, comma 2 e 9, comma 4, sono opponibili ai terzi.
3. La trasmissione del documento informatico per via telematica, con modalità che assicurino l'avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.
Luigi Barella - La gestione dei documenti nella PA 72
Attori
• Mittente: è l’utente iniziale che si avvale del servizio di posta elettronica certificata per la trasmissione di documenti prodotti mediante strumenti informatici;
• Destinatario: è l’utente finale che si avvale del servizio di posta elettronica certificata per la ricezione di documenti prodotti mediante strumenti informatici;
• Gestore del servizio: è il soggetto, pubblico o privato che eroga il servizio di posta elettronica certificata e che gestisce uno o più domini di posta certificata. Il generico gestore del servizio è presente in un registro informatico dedicato, denominato indice dei gestori di posta certificata. I gestori del servizio di posta elettronica certificata devono garantire l’utilizzo di metodi per la verifica che il messaggio sia trasportato dal mittente al destinatario integro nelle sue parti.
Luigi Barella - La gestione dei documenti nella PA 73
Compiti del gestore
Il gestore del servizio di posta certificata deve:• mantenere traccia delle operazioni svolte su un
apposito registro; i dati contenuti nel suddetto registro devono essere conservati per un periodo di almeno due anni e devono essere disponibili ed accessibili per la consultazione a fini ispettivi
• adottare le soluzioni tecniche e organizzative che garantiscano la riservatezza e la sicurezza (autenticità ed inalterabilità nel tempo) delle informazioni in esso contenute.
Luigi Barella - La gestione dei documenti nella PA 74
Tipi di ricevuta
• Ricevuta di accettazione: attesta l’invio di un messaggio; è generata dal gestore di riferimento del mittente
• Ricevuta di avvenuta consegna: attesta il recapito di un messaggio presso la casella di posta certificata del destinatario; è generata dal gestore di riferimento del destinatario e contiene anche la copia completa del messaggio recapitato; indica al mittente che il suo messaggio è effettivamente pervenuto al destinatario, indipendentemente dall’avvenuta lettura
• Ricevuta di presa in carico: quando la trasmissione del documento avviene tra due diversi gestori, il gestore del destinatario rilascia al gestore del mittente la ricevuta che attesta l’avvenuta presa in carico del messaggio
• Ricevuta di errore di consegna: quando il messaggio non risulta consegnabile il gestore del ricevente fornisce ricevuta di errore di consegna al mittente.
Luigi Barella - La gestione dei documenti nella PA 75
Indice delle PA
E’ l’Anagrafe, gestita da un sistema informatico accessibile tramite un sito internet, presso la quale una Amministrazione che intenda trasmettere documenti informatici soggetti alla registrazione di protocollo si deve accreditare, fornendo almeno le seguenti informazioni identificative relative alla amministrazione:
• denominazione della amministrazione;• codice identificativo proposto per la amministrazione• indirizzo della sede principale della amministrazione• elenco delle proprie aree organizzative omogenee