ROMA. E’ stato pubblicato sulla Gazzetta Ufficiale n. 98 del 27 aprile 2004il DPCM datato 13 gennaio 2004 che approva le nuove “Regole tecniche per laformazione, la trasmissione, la conservazione, la duplicazione, lariproduzione e la validazione, anche temporale, dei documenti informatici”che entreranno in vigore il 12 maggio sostituendo il DPCM dell’ 8 febbraio1999. Il provvedimento e’ suddiviso in cinque titoli: il primo (artt.1-2)detta delle disposizioni di carattere generale, il secondo (artt. 3-39)fissa le regole tecniche di base, il terzo (artt. 40-43) detta ulterioriregole per i certificatori accreditati, il quarto (artt. 44-52) determina leregole per la validazione temporale e per la protezione dei documentiinformatici ed infine il quinto titolo (artt. 53-54) riporta le disposizionifinali e transitorie.Le disposizioni di questo provvedimento costituiscono le regole tecnichegenerali per il documento informatico con piena validita’ sia nei rapportifra privati che nell’ambito della pubblica amministrazione.Le nuove regole si applicano naturalmente solo alle firme digitali basatesulla tecnologia della doppia chiave di crittografia asimmetrica cherappresentano, di fatto, l’unica categoria di firma elettronica qualificata(non dimentichiamo che alla luce dell’art. 13 del D.P.R. n. 137/2003 lafirma qualificata con certificato rilasciato da certificatore accreditatosarebbe in effetti la firma digitale) distribuita nel nostro paese su largascala. Difatti come piu’ volte annunciato dallo stesso Ministro perl’Innovazione e le Tecnologie Lucio Stanca oltre un milione di firmedigitali sono state rilasciate attraverso le Camere di Commercio, per lagestione del Registro telematico delle imprese, che dal novembre scorsoimpone l’utilizzo della firma digitale per la trasmissione on-line degliatti societari.Tra le disposizioni di maggiore rilevanza si annoverano le regole cui devonoattenersi i certificatori qualificati (artt. 14-39). Il decreto disponeanche per i certificatori “accreditati” (artt. 40-41), unici soggetti ingrado di erogare servizi di firma digitale utilizzabile ad ogni effetto dilegge, sia nei rapporti fra privati, ma anche per la sottoscrizione diistanze e documenti da depositare presso una pubblica amministrazione.In merito alla validita’ del documento informatico e’ fondamentale laprevisione dell’art. 52 del DPCM il quale sancisce che “la validita’ di undocumento informatico, i cui effetti si protraggano nel tempo oltre illimite della validita’ della chiave di sottoscrizione, puo’ essere estesamediante l’associazione di una marca temporale”.A proposito di firma digitale si ricorda che sulla stessa Gazzetta Ufficialedel 27 aprile 2003 e’ stato anche pubblicato il DPCM del 30 ottobre 2003 cheapprova lo schema nazionale per la valutazione e la certificazione dellasicurezza nel settore della tecnologia dell’informazione. Lo schemastabilisce le procedure di valutazione e certificazione della sicurezza deisistemi e dei prodotti nel settore delle tecnologie dell’informazione. Persicurezza in questo settore si intende la protezione della riservatezza,dell’integrita’ e della disponibilita’ delle informazioni, con la finalita’di impedire l’accesso, l’utilizzo, la divulgazione e la modifica delleinformazioni da parte di soggetti non autorizzati.L’approvazione dello schema e’ prevista dalla normativa in materia di firmeelettroniche e, in particolare, dall’art. 10 del d.lgs. n. 10/2002.

Scritto da

Entreranno in vigore il 12 maggio le nuove Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici: è stato difatti pubblicato sulla Gazzetta Ufficiale n. 98, del 27 aprile 2004, il DPCM datato 13 gennaio 2004 che approva il provvedimento che sostituisce il DPCM dell’ 8 febbraio 1999.
Il provvedimento e’ suddiviso in cinque titoli: il primo (artt.1-2) detta delle disposizioni di carattere generale, il secondo (artt. 3-39) fissa le regole tecniche di base, il terzo (artt. 40-43) detta ulteriori regole per i certificatori accreditati, il quarto (artt. 44-52) determina le regole per la validazione temporale e per la protezione dei documenti informatici ed infine il quinto titolo (artt. 53-54) riporta le disposizioni finali e transitorie.
Le disposizioni di questo provvedimento costituiscono le regole tecniche generali per il documento informatico con piena validita’ sia nei rapporti fra privati che nell’ambito della pubblica amministrazione.

Le nuove regole si applicano naturalmente solo alle firme digitali basate sulla tecnologia della doppia chiave di crittografia asimmetrica che rappresentano, di fatto, l’unica categoria di firma elettronica qualificata (non dimentichiamo che alla luce dell’art. 13 del D.P.R. n. 137/2003 la firma qualificata con certificato rilasciato da certificatore accreditato sarebbe in effetti la firma digitale) distribuita nel nostro paese su larga scala.
Difatti come piu’ volte annunciato dallo stesso Ministro per l’Innovazione e le Tecnologie Lucio Stanca oltre un milione di firme digitali sono state rilasciate attraverso le Camere di Commercio, per la gestione del Registro telematico delle imprese, che dal novembre scorso impone l’utilizzo della firma digitale per la trasmissione on-line degli atti societari.
Tra le disposizioni di maggiore rilevanza si annoverano le regole cui devono attenersi i certificatori qualificati (artt. 14-39).
Il decreto dispone anche per i certificatori “accreditati” (artt. 40-41), unici soggetti in grado di erogare servizi di firma digitale utilizzabile ad ogni effetto di legge, sia nei rapporti fra privati, ma anche per la sottoscrizione di istanze e documenti da depositare presso una pubblica amministrazione.
Le nuove disposizioni, pur essendo estremamente tecniche, in alcuni casi intervengono anche da un punto di vista sostanziale nella disciplina del documento informatico. Il decreto, infatti, prevede all’art. 3 che l’efficacia piu’ ampia di una firma qualificata, equivalente agli effetti probatori ad una firma autenticata da un pubblico ufficiale, non possa essere riconosciuta nel caso in cui il documento contenga “… macroistruzioni o codici eseguibili, tali da attivare funzionalita’ che possano modificare gli atti, i fatti o i dati nello stesso rappresentati”.

In effetti i formati di file piu’ conosciuti (si pensi ai file .doc) non garantiscono l’assenza di macroistruzioni. Sembrano, invece, rispettare la nuova disposizione solo i file di puro testo (.txt) e i file di tipo immagine (ad esempio .tiff o anche .pdf qualora convertiti).
E’ evidente che, alla luce di tale disposizione, i produttori di software dovranno creare strumenti in grado di certificare l’assenza di “macro” o “codici eseguibili” per assicurare la massima efficacia probatoria del documento informatico.
Particolarmente rilevante e’ anche l’obbligo di custodia posto a carico dei possessori di firma digitale che devono conservare la smart card (in cui e’ custodita la chiave privata) con la “massima diligenza” conservando il codice di accesso (PIN) in modalita’ separata.
In merito alla validita’ del documento informatico e’ fondamentale la previsione dell’art. 52 del DPCM il quale sancisce che “la validita’ di un documento informatico, i cui effetti si protraggano nel tempo oltre il limite della validita’ della chiave di sottoscrizione, puo’ essere estesa mediante l’associazione di una marca temporale”.
In questo modo si garantisce l’efficacia probatoria del documento informatico sottoscritto con firma digitale. L’apposizione della marcatura temporale avverra’, di regola, tramite servizi automatizzati garantiti dai certificatori. Le pubbliche amministrazioni possono utilizzare diversi sistemi di validazione temporale, tra cui lo stesso protocollo informatico obbligatorio dal 1° gennaio scorso.

A proposito di firma digitale si ricorda che sulla stessa Gazzetta Ufficiale del 27 aprile 2003 e’ stato anche pubblicato il DPCM del 30 ottobre 2003 che approva lo schema nazionale  per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione. Lo schema stabilisce le procedure di valutazione e certificazione della sicurezza dei sistemi e dei prodotti nel settore delle tecnologie dell’informazione.
Per sicurezza in questo settore si intende la protezione della riservatezza, dell’integrita’ e della disponibilita’ delle informazioni, con la finalita’ di impedire l’accesso, l’utilizzo, la divulgazione e la modifica delle informazioni da parte di soggetti non autorizzati.
L’approvazione dello schema e’ prevista dalla normativa in materia di firme elettroniche e, in particolare, dall’art. 10 del d.lgs. n. 10/2002. La norma dispone, infatti, che la conformita’ dei dispositivi sicuri per la creazione di una firma ai requisiti previsti dall’allegato III della direttiva europea deve essere accertata in base allo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione.
Lo schema in argomento dispone inoltre che l’organismo di certificazione e’ l’Istituto superiore delle comunicazioni e delle tecnologie del Ministero delle Comunicazioni.
L’Istituto emette, tra l’altro, certificati di sicurezza, definisce ed aggiorna liste di prodotti, sistemi e profili di protezione certificati. Il provvedimento precisa che l’organismo di certificazione puo’ servirsi di laboratori per la valutazione della sicurezza, organismi abilitati ad effettuare valutazioni e a fornire assistenza, che dovranno accreditarsi presso il Ministero delle Comunicazioni.
Con riguardo alle firme elettroniche e’ previsto un periodo transitorio di nove mesi in cui i certificatori di firma elettronica continueranno ad attestare la conformita’ dei propri prodotti o dispositivi di firma alla normativa in vigore mediante autodichiarazione.

Scritto da