La gestione conforme alla legge della marcatura CE dei prodotti da costruzione presenta problematiche non banali da risolvere a seconda dei casi.

Prendiamo in esame la situazione più complessa, ovvero quella dell’Impresa di costruzioni che acquista prodotti soggetti a marcatura da posare in opera nei propri cantieri. Supponiamo poi che l’impresa riceva il materiale talvolta direttamente in cantiere ed a volte in un magazzino presso la sede che poi smisterà il materiale nei vari cantieri.

Tale impresa dovrà gestire la verifica della marcatura CE sotto diversi aspetti:

1.       L’ufficio acquisti dovrà formulare ordini di acquisto e contratti con i subappaltatori (che forniscono anche il materiale) che disciplinino tale aspetto, ovvero che comprendano clausole circa la fornitura di prodotti conformi alla direttiva CPD, laddove applicabile. In tal caso una dicitura generica (“il fornitore si impegna a fornire prodotti provvisti di marcatura CE dove applicabile ed in vigore al momento della consegna del prodotto”) può esonerare l’ufficio acquisti dalla gestione dei corposi elenchi di prodotti per cui si applica la direttiva con relativi tempi di entrata in vigore dell’obbligo di marcatura, ma non risolve problemi legati al fatto che per alcuni prodotti possono coesistere più di un sistema di attestazione a seconda dell’utilizzo del prodotto (che deve essere comunque stabilito dall’impresa esecutrice). Poi la funzione Acquisti solitamente riceve la fattura e la documentazione di accompagnamento del materiale consegnato, per cui dovrà comunque verificare se il prodotto fornito è corredato di idoneo certificato di conformità CE per rivalersi eventualmente sul fornitore. Potrebbe però essere troppo tardi perché il prodotto probabilmente è già stato installato/posato in opera. Infine per alcuni prodotti il fornitore mette a disposizione sul sito internet i certificati di conformità da scaricare a cura del cliente e tale compito ricadrà facilmente sull’ufficio Acquisti.

2.       In cantiere il personale deve essere un minimo edotto sull’argomento per controllare, ed eventualmente rifiutare, il materiale ricevuto. Come già detto però il materiale potrebbe essere sprovvisto di attestazione di conformità CE perché viene inviata direttamente presso la sede (all’ufficio Acquisti o all’Amministrazione). Il capo cantiere o chi per lui dovrà essere costantemente aggiornato con l’elenco dei prodotti soggetti a marcatura ed il relativo sistema di attestazione per effettuare un minimo di controllo sul certificato CE, solitamente allegato al documento di trasporto. Non sempre però all’atto della consegna del materiale in cantiere è presente il capo cantiere o altra persona dell’impresa edotta sull’argomento ed in grado di poter rifiutare eventuale materiale non conforme alla legge, spesso anzi sono presenti solo ditte subappaltatrici incaricate di svolgere il lavoro con materiale dell’Impresa e quindi anche tali personaggi devono impegnarsi a mettere in opera solo prodotti conformi alla direttiva.

3.       In magazzino il responsabile deve conoscere le modalità di trasmissione dei certificati di conformità CE (con il materiale o presso gli uffici della sede) e deve essere in grado, ovviamente, di riconoscere l’obbligo di marcatura sui prodotti ed i sistemi di attestazione previsti. Poi, al momento dell’invio del materiale in cantiere dovrà gestirsi i certificati CE che devono in qualche modo essere abbinati correttamente al cantiere dove è stato utilizzato il materiale; eventuali rimanenze che tornano in magazzino dovrebbero essere accompagnate dal relativo certificato di conformità. Dunque anche il magazziniere deve gestirsi la rintracciabilità di tutto il materiale soggetto a marcatura un po’ come avviene (dovrebbe avvenire) per il ferro.

Come si vede le procedure devono essere ben progettate ed il personale deve essere adeguatamente erudito per ottenere un’organizzazione efficiente ed efficace nel garantire la conformità alla direttiva; non basta scaricare da internet un elenco di prodotti soggetti a marcatura CE per aver assolto a tutti gli obblighi!

Le aziende certificate ISO 9001 saranno sottoposte al controllo costante degli organismi di certificazione, che forse non sono sufficientemente rigidi su questo aspetto cogente. Tra l’altro è responsabilità dell’impresa (e della direzione lavori) fornire al committente un’opera conforme sotto tutti gli aspetti ed eventuali carenze in tal senso possono portare a conseguenze legali abbastanza pesanti in caso di eventi particolari.

Una delle cause della bassa competitività di alcune aziende italiane è la scarsa propensione a misurare le prestazioni dei processi da parte del management. Questo per svariati motivi: interessi personali o di parte, ignoranza, incapacità, mancanza di tempo,…

Molti imprenditori e manager italiani non conoscono alcuni semplici indicatori di performance della propria azienda, se non i principali indici economico-finanziari. Perché accontentarsi di sapere come è andata la gestione quest’anno senza cercare di capire quali potranno essere i risultati futuri?

Se vogliamo però sapere se la nostra organizzazione è realmente efficace nel soddisfare le esigenze del mercato, efficiente nell’utilizzo delle risorse, se il personale che vi opera è adeguato a svolgere il proprio ruolo, se è motivato per dare il massimo, se i sistemi informatici sono utilizzati nel modo giusto… allora dobbiamo misurare i nostri prodotti, i nostri processi, le nostre prestazioni attraverso un sistema di indicatori adeguato alla realtà in cui opera l’organizzazione.

Il controllo della bontà della gestione non può prescindere dal monitoraggio di indicatori che – in modo omogeneo nel tempo – sono in grado di valutare le prestazioni e di confrontare quelle di oggi con quelle di ieri, valutare gli scostamenti fra risultati ottenuti e risultati pianificati e, se possibile, paragonare i nostri risultati con quelle dei nostri concorrenti.

Anche la piccola media impresa non può più essere gestita “navigando a vista”, non possono e non devono essere rilevanti solo i dati relativi ai volumi di fatturato. L’imprenditore deve essere pienamente consapevole dei costi e dei ricavi di tutto il ciclo produttivo, dei piani di sviluppo, per mantenere ed accrescere la sua posizione nel mercato di riferimento e la sua credibilità.

Disporre di un patrimonio informativo e condividerlo con interlocutori terzi che direttamente o indirettamente sono coinvolti nella sopravvivenza e nello sviluppo dell’impresa è un elemento di forza: Basilea 2 premierà le imprese con una solida struttura economico-patrimoniale-finanziaria che potranno accedere al mercato del credito con minori ostacoli e costi più contenuti.

L’identificazione di quelli che sono gli indicatori più opportuni per monitorare l’andamento aziendale non può essere imposta dall’esterno, deve essere un processo di analisi interna dell’organizzazione, a partire dalla visione per processi, supportata da professionisti che ben conoscono le dinamiche delle imprese.

Nella definizione degli obiettivi aziendali dovrebbero essere individuati e considerati i fattori chiave di successo dell’organizzazione, ossia quegli aspetti attraverso cui l’azienda deve competere sul mercato. Gli obiettivi dell’organizzazione dovranno essere trasformati in indicatori misurabili e monitorati costantemente.

Gli indicatori chiave di rendimento, noti ormai semplicemente con il loro acronimo «KPI» (Key Performance Indicators), sono utilizzati dalle varie organizzazioni per ottenere una misura dell’esito delle azioni intraprese in relazione ai cosiddetti «fattori critici di successo» (CSF – Critical Success Factors) che, definiti in sede di pianificazione strategica, rappresentano macro- obiettivi ed obiettivi veri e propri che l’azienda si è posta di raggiungere entro un termine prefissato. I KPI sono utilizzati quindi, nella sostanza, per misurare quantitativamente l’aderenza delle azioni dell’organizzazione a tali fattori, senza dimenticare che a differenti attività imprenditoriali corrisponde  una differente individuazione dei criteri di determinazione degli indicatori chiave da utilizzare. Ma i KPI da soli non bastano a risolvere il problema, ovvero la frenetica ricerca del controllo dei costi, delle risorse, dell’azienda nel suo complesso. Gli indicatori di sintesi, per funzionare, devono essere integrati in un sistema strutturato di information delivery in grado di gestire l’analisi dei dati in chiave strategica.

Solo un’attenta e competente analisi dell’azienda, dei suoi prodotti o servizi, del mercato e degli obiettivi del management può portare alla progettazione di un sistema informatico di raccolta dati integrato con gli applicativi esistenti, ottimizzato per il calcolo, in tempo reale o quasi, di quegli indicatori fondamentali che andranno a costituire la cosiddetta «dashboard» (o “cruscotto”), struttura informativa che permette di tenere sotto controllo l’andamento attuale delle attività, pur non consentendo una facile interpretazione del futuro.

Essa viene istituita ai diversi livelli aziendali per monitorare determinati indicatori che risultano fondamentali per consuntivare l’effetto delle scelte di gestione.

Fondamentalmente la dashboard è quindi un sistema di rilevazioni per indici spesso mantenuto attraverso strumenti informativi che agevolano la visione d’insieme tramite indicatori sintetici che consentono di focalizzare l’analisi di trend e tendenze e di effettuare simulazioni.

La dashboard consente principalmente di instaurare relazioni, anche se semplici, tra i diversi indicatori adottati, permettendo di esprimere semplici ipotesi di scenari futuri.

È evidente che si tratta ancora di relazioni semplificate e di una visione parziale degli scenari di simulazione, tuttavia può essere utile alle decisioni di ambito strategico. In sintesi si tratta di uno strumento di analisi operativa ad uso del management di medio ed alto livello e deve essere incluso tra gli strumenti di information delivery. Dalla dashboard alla più articolata metodologia di gestione denominata «Balanced Scorecard» il passo è breve, a condizione di disporre di un sistema informatico flessibile, commisurato alle esigenze dell’impresa, dotato di strumenti di business intelligence per effettuare analisi di dettaglio.

Le Balanced Scorecard non costituiscono solo uno strumento di controllo che consente alle organizzazioni di monitorare l’andamento delle proprie performance nel tempo, ma rappresentano una metodologia di controllo strategico utilizzata in un’azienda per documentare, comunicare, attuare e gestire la strategia di tutta l’organizzazione, allo scopo di tradurre missioni e strategie in un insieme completo e bilanciato di indicatori di misura delle prestazioni. Si tratta di un nuovo sistema di gestione dell’azienda, finalizzato a misurare l’effettivo raggiungimento della strategia dell’organizzazione e degli obiettivi da essa derivanti. Questa metodologia permette di impostare un insieme di indicatori di misura intorno ai quali implementare un sistema di controllo direzionale veramente efficace.

L’idea nasce dal fatto che gli indicatori economici e finanziari sono indicatori ex post che forniscono informazioni relative ad azioni che sono state già realizzate. Occorre pertanto identificare un insieme di indicatori che permetta di monitorare l’organizzazione da diverse prospettive, ma soprattutto che scaturisca dalla strategia definita dal management e dagli obiettivi che ne derivano.

Il “bilanciamento” degli indicatori nasce per evitare che i buoni risultati di un settore di attività, di una divisione o di una funzione possano trasformarsi in danni per altri settori/divisioni/funzioni.

Il processo che porta l’azienda a definire obiettivi ed indicatori, implementare dashboard e sistemi di controllo di gestione ispirati alle Balanced Scorecard deve però essere guidato da professionisti competenti e capaci, che sappiano orientarsi sia fra gli aspetti puramente informatici, sia fra i sistemi di gestione aziendale più moderni.

Gli impatti del Codice sulla protezione dei dati personali sui sistemi di gestione per la qualità

Il D. Lgs 196/2003 richiede una serie di adempimenti, formali e sostanziali, che dovrebbero essere presi in considerazione nell'ambito del sistema di gestione per la qualità, per quelle organizzazioni che hanno adottato tale sistema (certificate ISO 9001 o meno).

Il responsabile del trattamento dati

La figura di responsabile del trattamento dei dati personali, introdotta facoltativamente, ma di fatto ricoperta dal titolare del trattamento nei casi nei quali tale figura non viene nominata, deve avere "esperienza, capacità ed affidabilità per fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza". Dunque il suo profilo deve essere identificato nell'ambito del processo di gestione delle risorse.

Inoltre i suoi compiti e responsabilità dovrebbero essere definiti nel documento che stabilisce tali aspetti (ad es. mansionario), anche per congruenza con la nomina scritta che deve obbligatoriamente ricevere dalla direzione. In particolare dovrebbe essere compito del responsabile (o dei responsabili) del trattamento dati redigere il documento programmatico sulla sicurezza e provvedere all'attuazione delle disposizioni stabilite dal vertice aziendale in materia di sicurezza delle informazioni e dalle misure di sicurezza definite nel D.P.S..

Documentazione delle istruzioni per il trattamento dati

Il Codice in materia di protezione dei dati personali richiede che siano fornite al personale istruzioni in merito a determinate attività relative al trattamento di dati personali ed alla gestione dei sistemi informatici. In particolare vengono citate le seguenti:

• “Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato” (allegato B – comma 4).

• “Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento” (allegato B – comma 9).

• “Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale” (allegato B – comma 18).

• “Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti” (allegato B – comma 21).

• “Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione” (allegato B – comma 27).

È dunque necessario predisporre delle istruzioni operative scritte (o documenti equivalenti) al riguardo da integrare nel sistema qualità aziendale. Le istruzioni citate sono da distribuire agli incaricati al trattamento nella forma stabilita nella procedura di controllo della documentazione.

Processo commerciale

I rapporti con i clienti dovrebbero essere gestiti in conformità ai requisiti di legge in merito alle informative sul trattamento dati ed alle richieste di consenso al trattamento, nei casi previsti dalla legge. Dunque perché non definire in procedura precise responsabilità per garantire che i dati dei clienti vengano acquisiti in conformità al codice della privacy?

Processo di approvvigionamento

I rapporti con i fornitori devono essere analogamente gestiti nel rispetto del Codice relativamente all'acquisizione dei dati personali degli stessi.

Inoltre il Codice della Privacy stabilisce precisi obblighi per le attività - di trattamento dati o di gestione degli strumenti elettronici che li conservano e li elaborano - che vengono appaltate a società esterne e potrebbero influire sulle misure di sicurezza previste.

Ci si riferisce sia all'outsourcing di alcune attività di trattamento, sia agli interventi di assistenza tecnica hardware o sistemistica svolti da fornitori specializzati. Ad essi dovrebbe essere richiesta specifica dichiarazione di conformità al D.Lgs 196/2003.

Questi aspetti dovrebbero essere inseriti nella procedura di gestione degli approvvigionamenti, con le relative responsabilità primarie per:

• la qualifica di fornitori che abbiano un impatto sul trattamento dei dati personali e sulle misure di sicurezza dei sistemi informativi

• la gestione dei relativi contratti di acquisto.

Introduzione

Grazie alle nuove normative pubblicate negli ultimi anni in relazione all'archiviazione ottica documentale ed alla firma digitale:

• Decreto Legislativo n. 52/2004 - Regolamento fattura elettronica
• Decreto Legislativo n. 10/2002 - Firma digitale
• Codice Amministrazione Digitale (DLgs 07/03/2005, vedi scheda del MIT)

scaricabili alla sezione Download Documenti e link è possibile, per tutte le organizzazioni, gestire qualsiasi tipo di documento interno che abbia valore legale (documenti contabili, elaborati progettuali, contratti, offerte, ecc.) solamente su supporto elettronico. Questo significa che il documento avente valore legale è quello informatico, eventuali stampe prodotte da esso possono essere cestinate quando non servono più!

Le soluzioni, per le aziende che vogliono avvalersi di questa opportunità per ridurre gli spazi ed i costi per l'archiviazione su supporto cartaceo, sono estremamente ampie. Si parte dalla piccola organizzazione che - disponendo di firma digitale qualificata con marca temporale per il Legale Rappresentante e per tutti i responsabili che hanno potere di firmare ed approvare documenti (ad es. Responsabile Amministrativo, Responsabile Commerciale,...) - si auto-gestisce  l'archiviazione elettronica documentale firmando digitalmente i documenti emessi e quelli ricevuti, dopo averli scannerizzati, in formato PDF. E si finisce alla grande azienda che si serve di un fornitore esterno che - in outsourcing e via internet - gli gestisce l'intero archivio di documenti elettronici.

Il documento informatico

Ma cos'è il documento informatico? La legge n. 59 del 1997 - articolo 15 – stabilisce che "gli atti, dati e documenti, formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge". Il DPR 445 del 28 dicembre 2000 ha fissato i requisiti che il documento informatico inteso come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti" deve rispettare per avere pieno valore legale.

Con il termine documento cartaceo si intende invece sia il supporto, sia il contenuto che in esso viene rappresentato; tramite la sottoscrizione autografa viene identificata la persona che ne assume la paternità, se ne sancisce l’autenticità ed il sottoscrittore stesso fa propri i contenuti rappresentati nel documento. Un documento informatico può essere invece modificato o riprodotto infinite volte, ottenendo copie assolutamente identiche all’originale. Il contenuto è svincolato dal supporto. Per restituire al documento informatico gli stessi requisiti assolti dalla sottoscrizione autografa di un documento cartaceo occorre, quindi, un tipo di autenticazione come la firma digitale, che attribuisca al contenuto del documento informatico piena validità legale.

La firma digitale garantisce, nei confronti dei documenti informatici, la presenza degli stessi requisiti che la firma autografa garantisce nei confronti dei documenti cartacei. Grazie alla tecnologia della firma digitale e per mezzo del sistema a "chiavi pubbliche", il destinatario del documento ha la garanzia di disporre di un testo integro e proveniente da una fonte ben precisa. La sequenza di simboli che chiamiamo firma digitale, generata da algoritmi matematici, si riferisce univocamente ad i contenuti di un preciso documento, la modifica anche di un solo carattere sarebbe immediatamente rilevata al momento della verifica.

Altre definizioni importanti sono le seguenti (D.P.C.M. 13/1/2004 (G.U. nr 98 del 27/4/2004):

Riferimento temporale = “Informazione, contenente la data e l’ora, che viene associata ad uno o più documenti informatici”

Marca temporale = “Evidenza informatica che consente la validazione temporale”

Validazione temporale = “Il risultato della procedura informatica, con cui si attribuisce, ad uno o più documenti informatici , un riferimento temporale opponibile a terzi”.

Per fornire adeguata fiducia - anche dal punto di vista legale - i documenti informatici devono essere non modificabili e devono essere emessi garantendo l’attestazione temporale (marca temporale), l’integrità e l’autenticità (tramite sottoscrizione elettronica con firma digitale qualificata).

Dunque la firma digitale, associata alla marca temporale, è in grado di attestare la completa validità di un documento informatico e, quindi, permette di poter rinunciare al supporto cartaceo.

L'archiviazione ottica sostitutiva dei documenti si occupa proprio di questo: dare valenza ai documenti informatici aventi determinate caratteristiche al fine di sostituire pienamente la copia cartacea, eliminandola fisicamente dagli archivi.

I documenti - a valenza fiscale - che si possono smaterializzare sono i seguenti:

• Fatture , lettere e telegrammi ricevuti (Art. 2220 codice civile)
• Copie delle fatture , delle lettere e dei telegrammi spediti (Art. 2220 codice civile)
• Libro giornale e libro degli inventari(Art. 2215 codice civile e Art. 14 comma 1, lettera a, D.P.R. 600/1973
• Registri prescritti ai fini dell’IVA (Art. 14 comma 1, lettera b, D.P.R. 600/1973)
• Scritture ausiliarie nelle quali devono essere registrati gli elementi patrimoniali e reddituali, raggruppati in categorie omogenee, in modo da consentire di desumerne chiaramente e distintamente i componenti positivi e negativi che concorrono alla determinazione del reddito (Art. 14 comma 1 , lettera c , D.P.R. 600/1973)
• Scritture ausiliarie di magazzino (Art. 14 comma 1, lettera d, D.P.R. 600/1973)
• Registro dei beni ammortizzabili (Art. 16 , D.P.R. 600/1973)
• Libro dei soci
• Libro delle obbligazioni
• Libro delle adunanze e delle deliberazioni delle assemblee
• Libro delle adunanze e delle deliberazioni del consiglio di amministrazione o del consiglio di gestione
• Libro delle adunanze e delle deliberazioni del collegio sindacale ovvero del consiglio di sorveglianza o del comitato per il controllo sulla gestione
• Libri sociali obbligatori (art.2421 c.c.)
• Libro delle adunanze e delle deliberazioni del comitato esecutivo
• Libro delle adunanze e delle deliberazioni delle assemblee degli obbligazionisti
• Libro degli strumenti finanziari emessi ai sensi dell’art.2447-sexies
• Bilancio di esercizio (art.2423 c.c.)
• Stato patrimoniale (art.2424 c.c.)
• Conto economico (art.2425 c.c.)
• Nota integrativa (art.2427 c.c.)
• Relazione sulla gestione(art.2428 c.c.)
• Relazione dei sindaci (art.2429 c.c.)
• Relazione dei revisori contabili (D.Lgs. n.58 del 1998)
• Dichiarazione dei redditi, Irap, Iva e sostituti (DPR n.322 del 22 luglio 1998)
• Documento di trasporto (DPR n. 472 del 14 agosto 1996)
• Giornale di fondo elettronico degli scontrini fiscali (D.M. 23 marzo 1983)Libro matricola e libro paga (art.21 DPR 600/73)

Naturalmente, oltre ai documenti a carattere amministrativo, può essere utile gestire in formato elettronico anche altri documenti che vengono conservati, quali offerte, ordini, contratti, elaborati progettuali, rapporti, ecc..

La firma digitale e la marca temporale

Ma come avviene l'archiviazione ottica sostitutiva? Come funzionano la firma digitale e la marca temporale?

La Firma Digitale è il risultato di una procedura informatica che garantisce l’autenticità e l’integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari di quanto svolto dalla firma autografa per i documenti tradizionali. La differenza tra firma autografa e firma digitale è che la prima è legata alla caratteristica fisica della persona che appone la firma, vale a dire la grafia, mentre la seconda al possesso di uno strumento informatico e di un PIN di abilitazione, da parte del firmatario

La firma digitale consente al sottoscrittore di rendere manifesta l’autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono:

• Autenticità: con un documento firmato digitalmente si può essere certi dell’ identità del sottoscrittore;
• Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione;
• Non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore.

Per generare una firma digitale è necessario utilizzare una coppia di chiavi digitali asimmetriche, attribuite in maniera univoca ad un soggetto detto Titolare della coppia di chiavi. La prima, chiave privata destinata ad essere conosciuta solo dal Titolare, è utilizzata per la generazione della firma digitale da apporre al documento, la seconda, chiave da rendere pubblica, viene utilizzata per verificare l’autenticità della firma. Caratteristica di tale metodo, detto crittografia a doppia chiave, è che, firmato il documento con la chiave privata, la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostruire la chiave privata (segreta) a partire da quella pubblica, anche se le due chiavi sono univocamente collegate.

La procedura di marcatura temporale serve ad attestare l’esistenza di un documento informatico rispetto ad una data certa; è inoltre essenziale per evitare che documenti redatti utilizzando certificati revocati o scaduti vengano utilizzati a scopi fraudolenti.

Tale procedura prevede la generazione di una marca temporale, da parte di un sistema dedicato, che indica l’ora e il giorno certi in per cui il documento informatico è stata emessa la marca che ne attesta l’ esistenza.

L’infrastruttura a chiave pubblica è un insieme di apparati, regole di sicurezza, procedure operative e servizi che rendono possibile la gestione affidabile ed efficiente di applicazioni per la firma digitale, l’autenticazione, la protezione della riservatezza e la marcatura temporale dei documenti informatici. Si basa sulla crittografia asimmetrica a chiave pubblica e svolge le seguenti funzioni principali.

- generazione e distribuzione di coppie di chiavi digitali;

- verifica dell’identità dei richiedenti i certificati;

- emissione e pubblicazione dei certificati;

- gestione del ciclo di vita dei certificati (sospensione, revoca, rinnovo).

La chiave privata utilizzata per la firma dei documenti informatici deve essere conservata in maniera sicura e segreta dal Titolare che ne è responsabile, per tale ragione le smart card crittografiche, opportunamente protette da PIN di accesso, sono state individuate come un valido supporto, in quanto oltre a permettere la generazione delle chiavi al loro interno e l’ applicazione della firma digitale, dispongono di sistemi di sicurezza che impediscono l’esportazione e la copia della chiave privata, fuori dalla smart card in cui è stata generata.

La diffusione della chiave pubblica, invece, consente a tutti i possibili destinatari dei documenti informatici di disporre della chiave necessaria per la verifica dei documenti. Per individuare in maniera sicura il sottoscrittore del documento, deve essere legata in maniera certa al titolare della corrispondente chiave privata.

Dispositivo di firma

Per la normativa italiana con dispositivo di firma si intende "un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto la chiave privata e generare al suo interno le firme digitali."

Uno degli strumenti che è possibile utilizzare come dispositivo di firma è la smart card crittografica. Anche altri dispositivi, quali token USB possono fungere da dispositivo di firma con i medesimi requisiti legali, ma con maggiore praticità (non necessitano di lettore apposito come per le smart card in quanto sono direttamente collegabili al PC).

Il certificato digitale

Il certificato è il mezzo di cui dispone il destinatario per avere la garanzia sull’identità del suo interlocutore e per venire in possesso della chiave pubblica di quest’ultimo.

Per tale ragione il certificato contiene, oltre la chiave pubblica per la verifica della firma, anche i dati del titolare; è garantito e firmato da una "terza parte fidata": il certificatore.

Per la normativa italiane deve contenere almeno le seguenti informazioni:

• numero di serie del certificato
• ragione e denominazione sociale del certificatore
• codice identificativo del titolare presso il certificatore
• nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolare
• valore della chiave pubblica
• algoritmi di generazione e verifica utilizzabili
• inizio e fine del periodo di validità delle chiavi
• algoritmo di sottoscrizione del certificato

Il certificato in formato X.509, contiene in uno standard riconosciuto, una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.

La Posta Elettronica Certificata (PEC)

L'e-mail è ormai lo strumento di comunicazione elettronica più utilizzato per lo scambio di comunicazioni. La posta elettronica o e-mail è un mezzo di comunicazione in forma scritta via Internet. Il principale vantaggio dell'e-mail è l'immediatezza. I messaggi possono includere testo, immagini, audio, video o qualsiasi tipo di file.

La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici. "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte venga conservata per un periodo di tempo definito a cura dei gestori, con lo stesso valore giuridico delle ricevute.

Il DPR 11 febbraio 2005, n. 68 (G.U. 28 aprile 2005, n. 97) disciplina le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la PA, ma anche tra privati cittadini. In sintesi le novità contenute nel provvedimento:

• nella catena di trasmissione potranno scambiarsi le e-mail certificate sia i privati, sia le PA. Saranno i gestori del servizio (art. 14), iscritti in apposito elenco tenuto dal Cnipa (che verificherà i requisiti soggettivi ed oggettivi inerenti ad esempio alla capacità ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza, alla certificazione ISO9000 del processo), a fare da garanti dell'avvenuta consegna. per iscriversi nell'elenco dovranno possedere un capitale sociale minimo non inferiore a un milione di euro e presentare una polizza assicurativa contro i rischi derivanti dall'attività di gestore;
• i messaggi verranno sottoscritti con la firma digitale avanzata che dovrà essere apposta sia sulla busta, sia sulle ricevute rilasciate dai gestori per assicurare l'integrità e l'autenticità del messaggio;
• i tempi di conservazione: i gestori dovranno conservare traccia delle operazioni per 30 mesi;
• i virus: i gestori sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12);
• le imprese, nei rapporti intercorrenti, potranno dichiarare l'esplicita volontà di accettare l'invio di PEC mediante indicazione nell'atto di iscrizione delle imprese.

Le modalità operative per la gestione della PEC possono essere approfondite nei seguenti documenti:

1. Il Decreto Ministeriale contenente le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata" (tutti i requisiti tecnico-funzionali che devono essere rispettati dalle piattaforme utilizzate per erogare il servizio) è stato pubblicato nella G.U. del 15 novembre 2005, n. 266. Il Cnipa effettuerà le attività di vigilanza e controllo assegnategli dalla norma e, con un apposito Centro di competenza, supporterà le PA ai fini dell'introduzione della PEC nei procedimenti amministrativi.
2. La Circolare Cnipa del 24 novembre 2005 n.49, pubblicata nella G.U. del 5 dicembre 2005, n. 283, recante le modalità per presentare domanda di accreditamento nell’elenco pubblico dei Gestori di PEC da parte dei soggetti pubblici e privati che intendono esercitare tale servizio.

In conclusione le novità introdotte dalla legislazione permetteranno di velocizzare notevolmente le attività delle organizzazioni di ogni tipo e di ridurre gli spazi dedicati all'archiviazione cartacea e - quindi - di ridurre i costi.

Il tutto ruota attorno agli strumenti sopra descritti: firma digitale (per assicurare l'autenticazione di un documento), la marca temporale (per attestare la data e l'ora di emissione/approvazione di un documento) e la posta elettronica certificata, che unisce gli strumenti precedenti all'e-mail per garantire la spedizione di una lettera.

Le organizzazioni che meglio potranno beneficiare di questi strumenti sono quelle che hanno un elevato valore e know-how aziendale gestito attraverso documenti prodotti informaticamente e che devono attestare la validità degli stessi documenti anche per soddisfare requisiti di legge e garantire nel tempo le registrazioni sull'attività svolta. Tra esse possiamo indicare, a titolo d'esempio, gli studi professionali (commercialisti, avvocati, notai), le società di ingegneria, le banche, le assicurazioni, le imprese di costruzione e tutte le realtà che operano nel settore degli appalti pubblici, soprattutto perché l'invio di documentazione per partecipare a gare pubbliche può essere effettuato via e-mail.

Nel seguito è riportato l'allegato B del Codice della Privacy con i commenti in corsivo sulle azioni da intraprendere.

Trattamenti con strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

è necessario che tutti gli incaricati al trattamento siano dotati di un codice utente e di una parola chiave per accedere ai dati memorizzati su supporto informatico. Ogni incaricato che accede a sistemi informatici contenenti dati personali deve avere un codice identificativo utente (user name) abbinato ad una password di accesso; quest'ultima deve essere segreta e conosciuta soltanto dall'incaricato. Alternativamente il codice identificativo può essere sostituito da un badge o una smartcard, mentre le veci della parola chiave possono essere fatte da un'impronta digitale o altra caratteristica biometrica che consenta di individuare univocamente l'individuo.

Ogni incaricato può avere anche più di una coppia di username - password per effettuare accessi con profili diversi.

Non è possibile derogare alla coppia user name - password, solamente chi gestisce autonomamente dati personali registrati su un unico PC stand alone (non collegato in rete con altri) può accontentarsi della sola password del BIOS! E comunque in caso di furto del PC e dei relativi dati contenuti dovrà dimostrare di aver intrapreso misure di sicurezza adeguate.

Windows 98 è un sistema operativo non adeguato se i dati personali vengono registrati su disco fisso in quanto è possibile superare la procedura di autenticazione lasciando il campo password vuoto. Viceversa tale sistema operativo può essere utilizzato su un client che accede ad un server con sistema operativo di rete adeguato (WIndows NT o superiore) ove sono contenuti i dati personali. In tal caso, infatti, è necessario fornire la password per accedere ai dati sul server. Naturalmente sul disco fisso del client non possono essere memorizzati dati personali.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

è necessario istruire  gli incaricati al trattamento - fornendo istruzioni scritte ed una adeguata formazione - circa la gestione delle password e di eventuali dispositivi per l'autenticazione (smartcard, ecc.).

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

Le parole chiavi (password) devono essere di almeno 8 caratteri alfanumerici e non devono essere riconducibili facilmente alla persona (ad es. data di nascita, nome della moglie/marito, del figlio, ecc.). Esse devono essere modificate dall'incaricato al primo accesso al sistema e quindi almeno ogni 6 mesi (3 mesi se sono trattati dati sensibili o giudiziari).

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

Lo stesso nome utente non può essere successivamente assegnato ad altre persone a seguito di dimissioni o disattivazioni dell'utente originario.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

Se un incaricato si assenta per oltre 6 mesi, nome utente e password devono essere disattivati e modificati.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

Stesso discorso se un incaricato si dimette oppure la sua password viene resa nota ad altri.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

Devono essere fornite istruzioni scritte ed adeguata formazione agli incaricati per evitare che essi lascino incustodito il proprio PC/Terminale con la sessione aperta. Si suggerisce di disconnettere i terminali durante le pause e di utilizzare screen-saver con password.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

è necessario predisporre istruzioni scritte per assicurare la disponibilità di dati personali il cui accesso è riservato ad un incaricato il quale potrebbe assentarsi per un periodo prolungato (sicuramente per più di 7 giorni). Ad esempio potrebbero essere mantenute in cassaforte le credenziali di autenticazione di particolari utenti oppure si potrebbe consentire l'accesso a qualsiasi tipo di dato agli utenti di tipo amministratore di sistema. In caso di accesso ai dati utilizzando la password riservata dell'operatore da parte di altri soggetti autorizzati è necessario avvertire l'incaricato che, quindi, provvederà a cambiare la propria password.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Tutte le regole dei punti 1 ÷ 10 non si applicano se i dati gestiti sono destinati alla diffusione (comunicazione a soggetti indiscriminati).

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

Il sistema di autorizzazione è necessario quando gli incaricati possono avere diversi profili di autorizzazione per l'accesso a diverse tipologie di dati. Questo significa che se alcuni incaricati hanno accesso alle anagrafiche del personale, ma non ai dati relativi alla contabilità del personale (paghe, malattie, ecc.) a cui sono autorizzati solo gli incaricati dell'ufficio personale, occorre predisporre un sistema di autorizzazione configurato in modo tale che ogni utente - dotato di proprio nome utente e password - possa accedere a determinati dati ma non ad altri.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

I profili utente devono essere configurati ed attivati, ovviamente prima di iniziare un determinato trattamento dati, in modo tale da consentire ad ogni utente - o gruppo di utenti con le medesime autorizzazioni - di accedere solo ai dati di cui necessita per espletare la propria attività e non a dati personali, sensibili o giudiziari aggiuntivi. Questa regola, interpretata alla lettera, è molto impegnativa da rispettare e coinvolge direttamente gli sviluppatori di sistemi informatici, in quanto oggi molti programmi software consentono la consultazione di dati di tipo personale in modo molto meno selettivo.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

La verifica della congruenza dei profili di autorizzazione deve essere fatta almeno annualmente, ma questa è solo la misura minima! Una misura idonea deve comprendere una procedura che preveda la verifica delle autorizzazioni ogniqualvolta un utente del sistema informatico cambia incarico o lascia l'organizzazione.

Altre misure di sicurezza

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Almeno una volta all'anno bisogna rivedere i profili di autorizzazione, ovvero "chi" ha accesso a "quali" dati, compresi i profili di System Administrator per coloro che sono addetti alla manutenzione dei sistemi informatici.

La lista degli incaricati - che dovrebbe essere documentata su supporto cartaceo o elettronico - può comprendere anche classi omogenee di incaricati - ad esempio Ufficio Personale, Ufficio Commerciale o altro - senza dettagliare i nominativi degli appartenenti all'ufficio/reparto, anche se tali nominativi dovrebbero comparire in qualche altro documento aziendale aggiornato (organigramma o lettere di incarico).

Questi aspetti vanno gestiti non solo a livello di sistema operativo di rete, ma anche per ogni singolo programma software (gestionale o applicativi specifici) che gestisce profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

L'Art. 615-quinquies del C.P:P: - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico) cita: "Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni. "

Dunque bisogna proteggersi da qualunque programma software che potrebbe danneggiare il nostro sistema informatico, ovvero dobbiamo dotarci di tutti i programmi anti-malware (dove malware è l'acronimo di "malicious software") che sono ritenuti necessari ed idonei. In questa categoria di programmi sono compresi non solo gli antivirus, ma anche i firewall ed i programmi che rilevano ed eliminano altre forme di codice dannoso od in grado di alterare il corretto funzionamento dei sistemi informatici, quali worm, trojans, spyware, data miner, ecc..

Siccome molti di coloro che non sono esperti di informatica diranno che ne sanno quanto prima fornisco alcune definizioni al riguardo.

Firewall: è un prodotto hardware e software in grado di controllare lo scambio di comunicazioni tra una rete ad esso esterna, la zona non protetta, ed una rete ad esso interna, la zona protetta, in ambiente Internet. Può svolgere funzioni di gateway e di proxy.

Malware: termine denigrativo applicato al software che produce effetti nocivi, sia per dolo che per colpa dell’autore.

Spyware: applicativo utilizzato per tenere sotto controllo le attività informatiche svolte dagli utenti del sistema informatico, in particolare via Internet.

In altre parole è possibile scaricare da internet - spesso involontariamente o, meglio, incoscientemente - codice software che ha lo scopo di raccogliere alcuni dati presenti sul nostro PC (numeri di carta di credito, altri dati personali, indirizzi di posta elettronica, siti consultati) per finalità spesso poco lecite, che vanno dalla vera e propria truffa all'invio di documenti a carattere pubblicitario "personalizzati" in base ai nostri gusti personali.

In altri casi tale codice software potrebbe giungere su nostro disco fisso a seguito di un vero e proprio attacco da parte di hacker che hanno sfruttato alcune vulnerabilità presenti nel nostro sistema.

Per evitare, o per lo meno limitare, ciò occorre installare ed utilizzare costantemente apposti programmi anti spyware e firewall (hardware o software). Mentre a mio giudizio la legge non obbliga l'utilizzo di programmi anti-spamming, vista anche l'efficacia, spesso non ottimale, di tali programmi; piuttosto è necessario avere comportamenti prudenti nell'attività legata ad internet (navigazione siti web e posta elettronica).

Ma se da un lato esistono applicativi freeware o shareware che soddisfano discretamente la maggior parte delle esigenze, è altresì vero che tali programmi, se mal configurati, non ci proteggono da eventuali attacchi. Dunque è opportuno che vengano installati e configurati da personale esperto in materia.

Attenzione poi alla gestione dei cosiddetti "cookie" (piccole stringhe di testo che vengono scaricate sul PC e permettono al sito web di riconoscerci nelle navigazioni successive): molti di essi possono essere dannose per la privacy, ma altri invece sono necessari per usufruire di servizi utili presso alcuni siti web (ad es. internet/home banking). Sia i principali browser (Internet Explorer ed altri), sia appositi programmi di terze parti sono in grado di gestire lo scaricamento e la presenza dei cookie sul nostro PC, ma anche in questo caso occorre un briciolo di conoscenza della materia per impostare un livello di sicurezza adeguato alle nostre necessità e soprattutto efficiente ed efficace.

Alcuni dei prodotti shareware o freeware delle suddette tipologie sono i seguenti:
Firewall:
1) Zone Alarm si scarica da http://www.zonelabs.com/: firewall prodotto da Zone Labs, protegge il Pc dagli attacchi via Internet e blocca gli script in formato Vbs contenuti nei messaggi di posta elettronica (uno dei metodi più usati per diffondere i virus).
2) Agnitum Outpost si scarica dal sito http://www.agnitum.com/: firewall pensato per l’utenza domestica e i piccoli uffici, che può essere un’interessante alternativa a Zone Alarm. Outpost Free è in lingua inglese ed è utilizzabile su tutte le versioni di Windows, a partire dalla 98.
Non può considerarsi completamente efficace il Windows Internet Firewall installato con Windows XP (anche la versione del Service Pack 2) poiché non permette di controllare adeguatamente le connessioni in uscita dal PC, ma solo quelle in ingresso.
Anti Adware/Spyware:
1) Ad-aware si scarica da http://www.lavasoftusa.com/: utility in grado di riconoscere ed eliminare le routine adware e spyware a volte presenti in molti programmi. La nuova versione 6 dispone di motori di scansione più potenti e completamente personalizzabili per l'analisi della memoria, del Registro di Windows e delle unità disco.
2) Spybot - Search & Destroy si scarica da http://www.safer-networking.org/: un'alternativa complementare al più noto Ad-aware che sta riscuotendo successo grazie all'efficacia delle sue routine di ricerca. Il programma è completamente gratuito e dispone di un'interfaccia in lingua italiana.

Riguardo all'aggiornamento di software antivirus ed anti-malware, la frequenza prevista dalla misura minima di sicurezza prevista dalla legge è da considerarsi non idonea alla maggior parte degli utenti professionali. In caso di danni provocati a terzi l'aggiornamento solo semestrale dell'antivirus non potrà salvarci in Tribunale a fronte di una perizia tecnica ben eseguita. Il consiglio è comunque quello di aggiornare settimanalmente gli antivirus e quando vengono rilasciati gli aggiornamenti degli antispyware e dei firewall provvedere senza ulteriori indugi ad installarli.

La cadenza fissata dalla legge comunque riguarda essenzialmente l'aggiornamento delle definizioni dei virus e dell'elenco di altri codici software dannosi, non necessariamente l'upgrade alla release superiore del programma.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

Il suddetto comma parrebbe una ripetizione di quanto detto al comma 16, in realtà ci si riferisce agli aggiornamenti del sistema operativo e dell'altro software di base finalizzati ad eliminare le nuove vulnerabilità scoperte ed in generale a correggere bachi nel funzionamento del software di base.

Anche qui non ci si riferisce all'aggiornamento delle versioni del sistema operativo (in realtà PC con Windows 98 sono ammissibili, con le limitazioni esposte in precedenza relativamente alle procedure di autenticazione), ma solo alle cosiddette "patch" rilasciate dal produttore per migliorare la sicurezza del sistema. Nel caso di Windows e di Microsoft è necessario usufruire del servizio di Windows Update ed installare tutti gli aggiornamenti critici per la sicurezza del sistema entro sei mesi dal rilascio (un anno se non si trattano dati sensibili o giudiziari). Questo significa che il recente Service Pack 2 di Windows XP va scaricato (o ordinato alla Microsoft per chi non possiede la banda larga) e installato entro i prossimi sei mesi.

Anche in questo caso le "misure minime" sono ben lungi da essere quelle "idonee" in quanto nel lasso di tempo previsto dalla legge possiamo prenderci virus come Sasser, devastanti in termini di blocco dell'attività lavorativa, con una certa facilità. Questo poiché l'antivirus non sempre è sufficiente a proteggerci da programmi dannosi e spesso se ci siamo presi l'infezione occorre curarla con "terapie" diverse da quelle utili per prevenirla.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Le istruzioni per il backup dei dati - da effettuarsi almeno settimanalmente, ma a seconda dei casi è opportuno abbassare questa frequenza all'intervallo minimo che ci permette di salvaguardare adeguatamente le attività lavorative svolte - devono essere descritte in una apposita istruzione scritta.

Consideriamo anche che non sempre il backup vecchio di una settimana ci consente di perdere solo una settimana di lavoro per rientrare nella piena operatività nella stessa situazione in cui eravamo 5 minuti prima del system crash. Infatti spesso tali situazioni comportano una notevole perdita di tempo nella ricostruzione logica dello stato di fatto (non siamo sicuri di quali archivi abbiamo perso e non ricordiamo quali dati sono stati aggiornati). Questo per dire che la legge ci impone anche di rispondere ad eventuali richieste dell'interessato circa i suoi dati personali entro 7 giorni (si veda comma 23): se contemporaneamente abbiamo perso i suoi dati a causa di un guasto hardware questo potrebbe essere non facile.

A parte il caso estremo sopra esposto, magari abbastanza improbabile, è opportuno valutare attentamente modalità, tecniche e frequenze di backup per non subire lunghi tempi di blocco delle attività, con conseguenti costi e disservizi nei confronti dei clienti.

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Il documento programmatico per la sicurezza, ormai comunemente denominato D.P.S. deve contenere - nel corpo dello stesso o nei suoi allegati - tutti gli argomenti sopra esposti. Il Garante ha reso disponibile sul suo sito una Guida per la stesura del D.P.S., specialmente in realtà di piccole dimensioni.

Il suggerimento che qui si può dare è quello di strutturare il documento rendendone anche agevole il successivo aggiornamento (obbligatorio entro marzo di ogni anno), ad esempio demandando ad appositi allegati le parti più frequentemente soggette a revisioni (ad es. l'elenco dei trattamenti di dati e la configurazioni dei sistemi informatici).

Occorre diffidare di facsimile di D.P.S "preconfezionati", esso non è solo un modulo da compilare con alcune informazioni, è un documento da costruire essendo ben consci della realtà in cui ci si trova. Esso deve contenere un'analisi dei rischi che sia non solo utile internamente all'organizzazione, ma anche che ci cauteli adeguatamente di fronte alla legge e nei confronti di chi eventualmente ci ha denunciato per presunti danni subiti.

Un D.P.S. che non sia stato redatto essendo ben consci di questi aspetti è facilmente attaccabile e sgretolabile da un buon Avvocato della controparte supportato da un bravo perito informatico.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.

Art. 615-ter C.P.P. - Accesso abusivo a un sistema informatico o telematico: «Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in essi contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici d'interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.»

Per chi non lo avesse capito si parla esplicitamente di hacker.

Per i dati sensibili o giudiziari in particolare è necessario provvedere a dotare gli strumenti elettronici di adeguati sistemi di protezione. La presenza di firewall ben configurati potrebbe non essere sufficiente a garantire l'idoneità delle misure di sicurezza previste: un test di vulnerabilità eseguito e certificato secondo standard internazionali riconosciuti potrebbe fornirci la prova evidente che i dati sensibili e giudiziari sono adeguatamente protetti, soprattutto se l'organizzazione del titolare svolge attività critiche su grandi moli di dati sensibili o giudiziari, mi riferisco in particolare al settore della sanità ed a categorie di professionisti quali Avvocati, Commercialisti e Notai.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

Occorre predisporre istruzioni scritte - ed illustrarle agli addetti al trattamento - circa l'utilizzo e la conservazione dei supporti rimovibili quali hard-disk esterni, CD-R/RW, DVD, Floppy Disk, chiavi USB, ecc..

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Per i supporti rimovibili che hanno contenuto dati sensibili o giudiziari, se sono passati ad incaricati che non hanno le autorizzazioni all'accesso a tali dati occorre prevedere procedure di cancellazioni sicure attraverso appositi programmi (un discreto programma freeware per le cancellazioni definitive di file è Eraser che si scarica dal sito http://www.tolvanen.com/eraser: è una piccola utility per cancellare in modo sicuro i file ed eliminare le tracce lasciate dai documenti nello spazio libero del disco rigido). Infatti non è sufficiente cancellare  i file attraverso il sistema operativo per renderli irrecuperabili.

23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

A seguito di guasti del sistema, entro 7 giorni devo essere in grado di accedere ai dati personali. Sarebbe opportuno predisporre un buon piano di emergenza che descriva non solo "cosa" fare in caso di guasti, ma anche "come" farlo, ovvero con quale sequenza.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Per le organizzazioni che operano nel campo della sanità sono prescritte misure più restrittive per la protezione fisica e logica di dati sanitari, tra cui l'utilizzo di sistemi di crittografia in caso di trasferimento dati in formato elettronico.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

Le organizzazioni che adottano misure minime di sicurezza con il supporto di consulenti esterni (informatici e non solo) devono pretendere dal fornitore una dichiarazione di conformità alle disposizioni previste dal Codice per la protezione dei dati personali prima di attuare tali misure.

Sono comprese sia le attività di installazione e configurazione di software per la sicurezza (antivirus, firewall, ecc.) e hardware (sistemi di backup/recovery, firewall hardware, reti, ecc.), sia le consulenze organizzative sull'argomento.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

La legge richiede che la redazione o l'aggiornamento del D.P.S. sia citata nella relazione che accompagna il bilancio di esercizio, ad ulteriore testimonianza dell'attività svolta ed assunzione di responsabilità da parte degli Amministratori della Società sull'argomento.

Anche se di semplice attuazione, il comma 26, rischia di essere spesso dimenticato se la privacy non viene gestita con consapevolezza in tutte le aree aziendali di competenza.

Circa il primo bilancio di riferimento in cui citare il D.P.S., dopo le ultime proroghe, è chiaramente quello del 2004 la cui approvazione è avvenuta nel 2005.

Trattamenti senza l'ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Per il trattamento dati su supporto non elettronico devono essere predisposte istruzioni scritte da distribuire agli incaricati riguardo al controllo ed alla custodia dei documenti contenenti dati personali.

Con frequenza annuale va revisionata la lista degli incaricati al trattamento e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

è necessario evitare che personale diverso dagli incaricati autorizzati acceda a documenti contenenti dati personali sensibili o giudiziari attraverso una diligente custodia dei medesimi documenti da parte degli incaricati.

29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Gli archivi contenenti dati sensibili o giudiziari devono essere ad accesso controllato, ovvero devono essere chiusi a chiave o comunque protetti da personale incaricato della loro vigilanza. Le persone che vi accedono devono essere preventivamente autorizzate dal responsabile della custodia dell'archivio e gli accessi devono essere registrati.

La Firma Digitale è il risultato di una procedura informatica che garantisce l’autenticità e l’integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari di quanto svolto dalla firma autografa per i documenti tradizionali. La differenza tra firma autografa e firma digitale è che la prima è legata alla caratteristica fisica della persona che appone la firma, vale a dire la grafia, mentre la seconda al possesso di uno strumento informatico e di un PIN di abilitazione, da parte del firmatario.

La firma digitale è ottenuta attraverso una procedura di validazione che consente al sottoscrittore di rendere manifesta l’autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono:

- Autenticità: con un documento firmato digitalmente si può essere certi dell’identità del sottoscrittore;

- Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione;

- Non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore (la firma autografa può essere disconosciuta dal presunto sottoscrittore dimostrando che si tratta di un falso).

Per generare una firma digitale è necessario utilizzare una coppia di chiavi digitali asimmetriche, attribuite in maniera univoca ad un soggetto detto Titolare della coppia di chiavi. La prima, chiave privata destinata ad essere conosciuta solo dal Titolare, è utilizzata per la generazione della firma digitale da apporre al documento, la seconda, chiave da rendere pubblica, viene utilizzata per verificare l’autenticità della firma. Caratteristica di tale metodo, detto crittografia a doppia chiave, è che, firmato il documento con la chiave privata, la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostruire la chiave privata (segreta) a partire da quella pubblica, anche se le due chiavi sono univocamente collegate.

Autorità di Certificazione (CA): Ente che gestisce il rilascio e la revoca delle chiavi per la firma digitale e i certificati digitali contenenti informazioni sul depositario della firma. Una CA può offrire ulteriori servizi, quali ad esempio certificati che attestano la data di un evento o un’avvenuta transazione o elenchi dei nominativi e delle chiavi pubbliche di tutti i suoi iscritti.

Certificati elettronici: gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità dei titolari stessi.

Certificati qualificati: i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti fissati dall'allegato II della medesima direttiva.

Certificato digitale: documento informatico siglato da un’Autorità di Certificazione, che può contenere la chiave pubblica di un individuo e informazioni sulla sua identità o su altre caratteristiche (poteri di rappresentanza, titoli, abilitazione ad accedere a determinati sistemi software, ecc.) o che può attestare una transazione avvenuta o la data di un evento.

Certificatori accreditati: i certificatori accreditati in Italia ovvero in altri Stati membri dell'Unione europea, ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.

Certificatori: coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche.

Crittografia: insieme di tecniche e procedure per rendere segreto il testo di un documento e viceversa per rendere leggibile un testo cifrato.

Firma digitale: elemento di crittografia basato su una coppia di chiavi asimmetriche che, apposto a un documento digitale, lo correla in modo univoco a chi lo ha redatto e codifica il documento stesso, rendendone inalterabile il contenuto. Il documento crittografato con la chiave privata (ossia siglato dal suo autore), può essere letto unicamente con la chiave pubblica corrispondente. Viceversa, un documento crittografato con la chiave pubblica (indirizzato cioè a una determinata persona) può essere letto unicamente da chi detiene la chiave privata (ossia dal destinatario). Se inoltre un messaggio è siglato contemporaneamente con le due firme del mittente e del destinatario (chiave privata del primo e chiave pubblica del secondo), il messaggio sarà illeggibile da terzi.

Firma elettronica avanzata: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

X.509: standard per i certificati digitali di identificazione assunto dall’International Telecommunications Union (ITU) e universalmente accettato. Definisce il formato ed assegna ad ogni individuo - o meglio ad un nome specifico (Distinguished Name) di persona o di ente - una stringa di codice di identificazione.

Si veda il documento Glossario CNIPA dei termini informatici nella normativa italiana emesso dal CNIPA per tutte le definizioni dei termini informatici.

È un insieme di apparati, regole di sicurezza, procedure operative e servizi che rendono possibile la gestione affidabile ed efficiente di applicazioni per la firma digitale, l’autenticazione, la protezione della riservatezza e la marcatura temporale dei documenti informatici. Si basa sulla crittografia asimmetrica a chiave pubblica e svolge le seguenti funzioni principali.

· generazione e distribuzione di coppie di chiavi digitali;

· verifica dell’identità dei richiedenti i certificati;

· emissione e pubblicazione dei certificati;

· gestione del ciclo di vita dei certificati (sospensione, revoca, rinnovo).

La chiave privata utilizzata per la firma dei documenti informatici deve essere conservata in maniera sicura e segreta dal Titolare, che ne è responsabile; per tale ragione le smartcard crittografiche, opportunamente protette da PIN di accesso, sono state inizialmente individuate come un valido supporto, in quanto oltre a permettere la generazione delle chiavi al loro interno e l’applicazione della firma digitale, dispongono di sistemi di sicurezza che impediscono l’esportazione e la copia della chiave privata, fuori dalla smartcard in cui è stata generata. Attualmente alle smartcard – che necessitano di apposito lettore – si stanno affiancando dispositivi USB (eToken), più versatili nell’utilizzo.

La diffusione della chiave pubblica, invece, consente a tutti i possibili destinatari dei documenti informatici di disporre della chiave necessaria per la verifica dei documenti. Per individuare in maniera sicura il sottoscrittore del documento, deve essere legata in maniera certa al titolare della corrispondente chiave privata.

Per la normativa italiana con dispositivo di firma si intende “un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto la chiave privata e generare al suo interno le firme digitali.”

Uno degli strumenti che è possibile utilizzare come dispositivo di firma è la smartcard crittografica, che è simile, per forma e dimensioni, ad una tradizionale carta di credito. A differenza di quest’ultima, incorpora un processore in grado di memorizzare dati ed informazioni, a cui è possibile accedere tramite un codice di sicurezza riservato e personale (PIN).

È perciò uno strumento di memorizzazione molto sicuro, oltre che facilmente portabile e legato al Titolare. Con le smartcard dotate di processore crittografico, possono essere sviluppate applicazioni in ambiti diversi; nel campo della firma digitale svolge le principali funzioni sono le seguenti:

· generazione e memorizzazione al suo interno della chiave privata di firma;

· apposizione della firma digitale a documenti informatici.

La smartcard si collega con il computer mediante un apposito lettore ed il relativo software di interfaccia.

Con l’evolversi della tecnologia si sono successivamente sviluppati differenti tipi di dispositivi di firma, comunque conformi ai requisiti di legge, che sopperiscono alle carenze – in termini di praticità d’uso – della smartcard, il cui lettore (di costo non insignificante rispetto al valore della firma digitale stessa) deve comunque essere collegato al PC per poter operare con la firma digitale e, dunque, dovrebbe essere sempre portato con sé, unitamente alla smartcard, dal possessore del certificato che voglia utilizzare la firma digitale anche su altri PC.

Sono quindi stati prodotti ed immessi in commercio a costi contenuti i cosiddetti “token USB”, a tutti gli effetti chiavette collegabili alla porta USB di qualsiasi PC nei quali vengono contenuti, in area protetta da scrittura, i certificati digitali. Tra essi sono stati sviluppati dispositivi attivabili solo tramite il riconoscimento dell’impronta digitale del possessore, aumentando così il livello di sicurezza.

Rispetto all’utilizzo del certificato memorizzato semplicemente su PC e trasmesso via internet, a fronte dei vantaggi dal punto di vista della sicurezza che presentano smartcard e token USB, ci sono degli indubbi svantaggi, dovuti al fatto di dover avere sempre disponibile il dispositivo per poter firmare digitalmente un documento. Inoltre la “trasportabilità” della firma è talvolta limitata dalla necessità di dover comunque installare appositi driver e specifici software di gestione della firma per poter utilizzare il dispositivo, oltre alla non completa compatibilità con i più diffusi ambienti operativi sul mercato.

Il certificato è il mezzo di cui dispone il destinatario per avere la garanzia sull’identità del suo interlocutore e per venire in possesso della chiave pubblica di quest’ultimo.

Per tale ragione il certificato – essenzialmente un file - contiene, oltre la chiave pubblica per la verifica della firma, anche i dati del titolare; è garantito e firmato da una “terza parte fidata”: il certificatore.

Per la normativa italiane deve contenere almeno le seguenti informazioni:

· numero di serie del certificato;

· ragione e denominazione sociale del certificatore;

· codice identificativo del titolare presso il certificatore;

· nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolare;

· valore della chiave pubblica;

· algoritmi di generazione e verifica utilizzabili;

· inizio e fine del periodo di validità delle chiavi;

· algoritmo di sottoscrizione del certificato.

Il certificato in formato X.509, contiene in uno standard riconosciuto, una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.

La legge n. 59 del 1997 - articolo 15 – ha stabilito che “gli atti, dati e documenti, formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”.

Il D.P.R. 445 del 28 dicembre 2000 (successivamente modificato ed integrato dal Codice Amministrazione Digitale, D.Lgs n. 82 del 07/03/2005) ha fissato i requisiti che il documento informatico inteso come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” deve rispettare per avere pieno valore legale.

Con il termine documento cartaceo si intende sia il supporto che il contenuto che in esso viene rappresentato; tramite la sottoscrizione autografa viene identificata la persona che ne assume la paternità, se ne sancisce l’autenticità ed il sottoscrittore stesso fa propri i contenuti rappresentati nel documento. Un documento informatico può essere invece modificato o riprodotto infinite volte, ottenendo copie assolutamente identiche all’originale. Il contenuto è svincolato dal supporto. Per restituire al documento informatico gli stessi requisiti assolti dalla sottoscrizione autografa di un documento cartaceo occorre, quindi, un tipo di autenticazione come la firma digitale, che attribuisca al contenuto del documento informatico piena validità legale.

La firma digitale garantisce, nei confronti dei documenti informatici, la presenza degli stessi requisiti che la firma autografa assicura nei confronti dei documenti cartacei. Grazie alla tecnologia della firma digitale e per mezzo del sistema a “chiavi pubbliche”, il destinatario del documento ha la garanzia di disporre di un testo integro e proveniente da una fonte ben precisa. La sequenza di simboli che chiamiamo firma digitale, generata da algoritmi matematici, si riferisce univocamente a i contenuti di un preciso documento, la modifica anche di un solo carattere sarebbe immediatamente rilevata al momento della verifica.

Per quanto riguarda l’attività di rilascio di certificati qualificati, essa è libera e l’accreditamento è volontario, infatti il D.Lgs n. 10 del 23/01/2002 - Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche, agli artt. 3, 4 e 5 cita:

«Art.3

1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva.

2. La Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, di seguito denominato: "Dipartimento", svolge funzioni di vigilanza e controllo nel settore, anche avvalendosi dell'Autorità per l'informatica nella pubblica amministrazione e di altre strutture pubbliche individuate con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri interessati.

Art. 4

1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento.

2. I controlli volti ad accertare se il certificatore che emette al pubblico certificati qualificati soddisfa i requisiti tecnici ed organizzativi previsti dal regolamento di cui all'articolo 13 sono demandati al Dipartimento, che all'uopo può avvalersi degli organismi indicati nell'articolo 3, comma 2. 3. I controlli di cui al comma 2 sono effettuati d'ufficio ovvero su segnalazione motivata di soggetti pubblici o privati.

Art. 5

1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati. ».

Gli aspetti sopra esposti vengono ripresi dal nuovo Codice per l’Amministrazione Digitale. Relativamente ai requisiti relativi alla CA cita:

«     Art. 26. Certificatori

1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni. 2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell'attività intrapresa. 3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell'Unione europea non si applicano le norme del presente codice e le relative norme tecniche di cui all'articolo 71 e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.

Art. 27. Certificatori qualificati

1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall'articolo 26.

2. I certificatori di cui al comma 1, devono inoltre:

a. dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;

b. utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all'articolo 71;

c. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;

d. utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 35, comma 5;

e. adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.

3. I certificatori di cui al comma 1, devono comunicare, prima dell'inizio dell'attività, anche in via telematica, una dichiarazione di inizio di attività al CNIPA, attestante l'esistenza dei presupposti e dei requisiti previsti dal presente codice.

4. Il CNIPA procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente codice e dispone, se del caso, con provvedimento motivato da notificare all'interessato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l'interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall'amministrazione stessa.

Art. 29. Accreditamento

1. I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono di essere accreditati presso il CNIPA.

2. Il richiedente deve rispondere ai requisiti di cui all'articolo 27, ed allegare alla domanda oltre ai documenti indicati nel medesimo articolo il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché l'impegno al rispetto delle regole tecniche.

3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:

a. avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;

b. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1° settembre 1993, n. 385.

4. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.

5. Il termine di cui al comma 4, può essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del CNIPA o che questo non possa acquisire autonomamente. In tale caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa.

6. A seguito dell'accoglimento della domanda, il CNIPA dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal CNIPA stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione.

7. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.

8. Sono equiparati ai certificatori accreditati ai sensi del presente articolo i certificatori accreditati in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.