Digitalizzazione, due decreti in due giorni

di Avv. A. Lisi e Avv. L. Foglia (www.studiolegalelisi.it) - Ora si può parlare di firma elettronica avanzata, firma grafometrica e persino di fatturazione elettronica obbligatoria verso le PA in Italia

Roma - Deve essere davvero un periodo propizio questo per la digitalizzazione documentale. Nel giro di due giorni sono stati pubblicati ben due decreti che si attendevano da tanto tempo. Infatti, è stato finalmente pubblicato in Gazzetta Ufficiale (n. 117 del 21.05.2013) il d.p.c.m. del 22 febbraio 2013 riportante il testo definitivo delle nuove "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali". Ieri invece è stato pubblicato il secondo e ultimo decreto sulla fatturazione elettronica per le PA in Italia (Decreto 3 aprile 2013, n. 55 Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche ai sensi dell'articolo 1, commi da 209 a 213, della legge 24 dicembre 2007, n. 244 - GU n. 118 del 22.5.2013). Decreto, quest'ultimo, che entrerà in vigore a partire dal 6 giugno in maniera graduale verso le PA e che si attendeva da anni.

Ma concentriamoci adesso sulle nuove regole tecniche in materia di firme elettroniche! Infatti, da troppo tempo si era in speranzosa attesa della pubblicazione di questo importante provvedimento: essendo state apportate rilevanti modifiche alla disciplina delle firme elettroniche con il d.lgs. n. 235 del 2010, era parallelamente sorta, infatti, la necessità di sostituire le precedenti regole tecniche contenute nel d.p.c.m. del 30 marzo 2009.
Sul sito www.digitpa.gov.it era già disponibile da tempo una bozza delle regole tecniche, il cui testo, a conti fatti, non differisce in modo rilevante rispetto a quello definitivo pubblicato in Gazzetta Ufficiale. La pubblicazione delle regole era auspicata da tutti gli operatori del settore anche perché, in assenza di specifiche regole tecniche definitivamente approvate, numerosi progetti di firma elettronica avanzata sono andati incontro, nei mesi scorsi, a una forzata impasse. Inoltre, giusto pochi mesi fa si è verificato un altro caso increscioso, anch'esso legato all'incertezza generata dalla mancanza di regole tecniche definitive sulle firme: l'Autorità Garante della concorrenza e del mercato ha condannato una piccola società che offriva sul mercato soluzioni di firma elettronica pubblicizzandole come FEA (firma elettronica avanzata), "osando" perciò parlare di FEA prima della pubblicazione delle regole tecniche.

Ora che le nuove regole tecniche sono state ufficialmente pubblicate, saranno tante le implicazioni pratiche, sia per gli operatori del settore sia per i privati, sia per le imprese come per le pubbliche amministrazioni.
Tra le novità più rilevanti contenute in queste nuove regole tecniche sono da porre in risalto quelle relative alla FEA. A tal riguardo la definizione riportata nel CAD (art. 1, lettera q-bis), e introdotta dal d.lgs. n. 235/2010, qualifica la firma elettronica avanzata quale insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Le regole tecniche sulla FEA, dettate agli artt. 55 e ss. del d.p.c.m., stabiliscono ora che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. I soggetti che erogano sistemi di firma elettronica avanzata, quindi, non sono obbligati ad alcuna registrazione e questo dimostra la volontà di liberalizzare le tipologie di firma avanzata, non vincolandole a un certificato qualificato o ad un dispositivo sicuro, come invece richiesto per le firme elettroniche qualificate e per quelle digitali, entrambe species del genere firma elettronica avanzata.
Si tratta, quindi, di introdurre delle vere e proprie procedure che permetteranno di legare un soggetto ad un documento così come già avviene con le firme digitali e le firme qualificate, con la differenza, però, che la tecnologia utilizzabile potrà essere scelta liberamente dalla parte che dispone dell'utilizzo della firma. È utile ricordare in proposito che secondo la normativa italiana la firma elettronica avanzata non è legata ad un determinato software, né ad una determinata tecnologia, ma è un sistema neutro che, attraverso un modello organizzativo adeguato, viene reso sicuro e affidabile, e che garantisca così l'appartenenza di un documento informatico reso immodificabile ad un soggetto.
Libertà tecnologica, certo, ma a patto, quindi, che si garantisca comunque la qualità, la sicurezza, l'integrità, e l'immodificabilità del documento sottoscritto con FEA.
Probabilmente, proprio per controbilanciare questa "eccessiva libertà di mercato", il nostro legislatore ha pensato, in un'ottica di tutela del sottoscrittore, di vincolare maggiormente le soluzioni di FEA sia dal punto di vista organizzativo sia nell'efficacia giuridica che, infatti, è limitata ai soli rapporti intercorrenti tra il soggetto che dispone della FEA e il sottoscrittore che ne ha preventivamente accettato le condizioni di utilizzo. Tale stringente vincolo, però, non vale per la PA che, al contrario, potrà utilizzare la FEA sia nelle attività endoprocedimentali (così come già previsto dal secondo comma dell'art. 23 ter del CAD) che nei rapporti con i cittadini.

Al fine di garantire l'affidabilità delle soluzioni di firma elettronica avanzata è anche previsto, all'art. 59 delle nuove regole tecniche, che i soggetti proponenti soluzioni di firma possano richiedere la certificazione a una terza parte indipendente - autorizzata allo scopo secondo le norme vigenti in materia - per mettere in evidenza la conformità del proprio sistema di gestione per la sicurezza delle informazioni alla norma ISO/IEC 27001, a supporto della soluzione di firma elettronica avanzata proposta.

Via libera, quindi alle soluzioni di FEA, anche a quelle, espressamente previste dalla normativa, che utilizzano nei loro processi dati biometrici. Impossibile non pensare alle soluzioni di firma grafometrica che già da vari mesi si affacciano affannosamente sul mercato.

Le nuove regole tecniche non parlano, ovviamente, solo di FEA, ma si occupano anche di firma digitale, dei nuovi oneri a carico dei certificatori accreditati (che avranno 120 giorni di tempo per adeguarsi) e di validazione temporale.
Tra le novità più interessanti (non molte in verità) in tema di firma digitale si deve registrare una precisa regolamentazione delle firme automatiche e delle firme remote. Le nuove regole tecniche, infatti, stabiliscono che le firme remote possano, oggi più di prima, essere realizzate mediante l'utilizzo di HSM installati sia presso i certificatori sia presso terzi: questi ultimi, però, dovranno rispettare tutte le procedure operative e gestionali e tutte le prescrizioni in materia di sicurezza fisica e logica dei sistemi imposte dal certificatore che rilascerà i certificati di firma residenti negli HSM.

Andrea Lisi
Luigi Foglia

Digital&Law Department - Studio Legale Lisi
Notizie collegate
  • Diritto & InternetQuando la firma è biometriadi Avv.ti G. Garrisi, L. Foglia e A. Lisi (www.studiolegalelisi.it) - Dal Garante Privacy sì al trattamento dei dati biometrici, ma non ancora alla firma elettronica grafometrica
  • Diritto & InternetHSM, questione di interpretazionedi Avv.ti A. Lisi e L. Foglia (www.studiolegalelisi.it) - Dispositivi sicuri per la generazione di firme digitali: dubbi e incertezze sulla normativa in vigore, tra firma elettronica qualificata e firma elettronica avanzata
  • AttualitàCrescita 2.0, bene ma si può migliorareL'osservatorio sull'Agenda Digitale del Politecnico di Milano presenta i propri rilievi sul DL dedicato all'innovazione tecnologica. Tanti gli apprezzamenti, ma sostanziale bocciatura su eProcurement e fatturazione elettronica
15 Commenti alla Notizia Digitalizzazione, due decreti in due giorni
Ordina
  • Non è cambiato un piffero.
    In Italia purtroppo vengono scritte Leggi da persone che non capiscono la parola "semplificazione".

    Secondo loro mettendo mille rotture di maroni in tutte le procedure si daq credibilità e sicurezza alle stesse.

    Ma andate a studiare in Paesi in cui sono anni luce avanti e poi legiferate. CAPRE CAPRE CAPRE CAPRE CAPRE
    non+autenticato
  • L'umanità dev'essere in preda di qualche forma virale che danneggia il cervello: Una fattura cartacea può essere scritta anche sulla carta del formaggio, senza alcuna firma, spedita con la nomale posta o inviata con un fax qualsiasi, anche anonimo, o consegnata a mano anonimamente, e ha pieno valore legale.
    La fattura elettronica necessita invece di misure di sicurezza di livello militare!

    MA SIETE TUTTI FUORI DI TESTA? DICO A VOI, POLITICI E ADDETTI!!! VI FATE DI CRACK DALLA MATTINA ALLA SERA???!
    ruppolo
    33147
  • adesso mi viene da ridere , il decreto parla di controllo esclusivo sui vari dispositivi ; chi lo dice a quei commercialisti, consulenti del lavoro che da anni conservano i dispositivi di firma digitale con annessi pin dei loro clienti? Io credo che accertare la presenza di un solo dispositivo conservato in tale modo farà, tra le altre cose, di fatto decadere le firme apposte con tutte le gravissime conseguenze derivanti.
  • .. Chi lo dice ai clienti pigri che delegano tutto al proprio professionista?
    non+autenticato
  • - Scritto da: MarcusPisel lonius
    > .. Chi lo dice ai clienti pigri che delegano
    > tutto al proprio
    > professionista?

    Sono clienti paganti, non clienti pigri.

    La gente che non fa da se, paga e delega, e ci mancherebbe che non si potesse fare.
  • - Scritto da: panda rossa
    > - Scritto da: MarcusPisel lonius
    > > .. Chi lo dice ai clienti pigri che delegano
    > > tutto al proprio
    > > professionista?
    >
    > Sono clienti paganti, non clienti pigri.
    >
    > La gente che non fa da se, paga e delega, e ci
    > mancherebbe che non si potesse
    > fare.
    Non si può fare per legge.
    Che poi molti lo facciano è un altro paio di maniche.
    C'è un motivo se il nano raccoglie voti in Ita(g)lia.
    non+autenticato
  • Quindi se sono proprietario di una ditta di 2 persone devo aumentare il numer odi personale del 50% per assumere un impiegato esperto di contabilità... e si, così si che si va avanti
    non+autenticato
  • - Scritto da: rinolt
    > adesso mi viene da ridere , il decreto parla di
    > controllo esclusivo sui vari dispositivi ; chi lo
    > dice a quei commercialisti, consulenti del lavoro
    > che da anni conservano i dispositivi di firma
    > digitale con annessi pin dei loro clienti? Io
    > credo che accertare la presenza di un solo
    > dispositivo conservato in tale modo farà, tra le
    > altre cose, di fatto decadere le firme apposte
    > con tutte le gravissime conseguenze
    > derivanti.

    Vero, ma questo si aggira facilmente, si DELEGA il commercialista a firmare con la SUA firma digitale i docomenti a nome mio.
  • - Scritto da: exsinistro
    > - Scritto da: rinolt
    > > adesso mi viene da ridere , il decreto parla di
    > > controllo esclusivo sui vari dispositivi ; chi
    > lo
    > > dice a quei commercialisti, consulenti del
    > lavoro
    > > che da anni conservano i dispositivi di firma
    > > digitale con annessi pin dei loro clienti? Io
    > > credo che accertare la presenza di un solo
    > > dispositivo conservato in tale modo farà, tra le
    > > altre cose, di fatto decadere le firme apposte
    > > con tutte le gravissime conseguenze
    > > derivanti.
    >
    > Vero, ma questo si aggira facilmente, si DELEGA
    > il commercialista a firmare con la SUA firma
    > digitale i docomenti a nome
    > mio.
    Non lo puoi fare.
    anzi è esplicitamente vietato.
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: exsinistro
    > > - Scritto da: rinolt
    > > > adesso mi viene da ridere , il decreto
    > parla
    > di
    > > > controllo esclusivo sui vari
    > dispositivi ;
    > chi
    > > lo
    > > > dice a quei commercialisti, consulenti
    > del
    > > lavoro
    > > > che da anni conservano i dispositivi di
    > firma
    > > > digitale con annessi pin dei loro
    > clienti?
    > Io
    > > > credo che accertare la presenza di un
    > solo
    > > > dispositivo conservato in tale modo
    > farà, tra
    > le
    > > > altre cose, di fatto decadere le firme
    > apposte
    > > > con tutte le gravissime conseguenze
    > > > derivanti.
    > >
    > > Vero, ma questo si aggira facilmente, si
    > DELEGA
    > > il commercialista a firmare con la SUA firma
    > > digitale i docomenti a nome
    > > mio.
    > Non lo puoi fare.
    > anzi è esplicitamente vietato.

    Le leggi sono fatte per essere abrogate, modificate oppure violate, a seconda delle necessita'.
  • - Scritto da: panda rossa
    > - Scritto da: tucumcari
    > > - Scritto da: exsinistro
    > > > - Scritto da: rinolt
    > > > > adesso mi viene da ridere , il
    > decreto
    > > parla
    > > di
    > > > > controllo esclusivo sui vari
    > > dispositivi ;
    > > chi
    > > > lo
    > > > > dice a quei commercialisti,
    > consulenti
    > > del
    > > > lavoro
    > > > > che da anni conservano i
    > dispositivi
    > di
    > > firma
    > > > > digitale con annessi pin dei loro
    > > clienti?
    > > Io
    > > > > credo che accertare la presenza di
    > un
    > > solo
    > > > > dispositivo conservato in tale modo
    > > farà, tra
    > > le
    > > > > altre cose, di fatto decadere le
    > firme
    > > apposte
    > > > > con tutte le gravissime conseguenze
    > > > > derivanti.
    > > >
    > > > Vero, ma questo si aggira facilmente, si
    > > DELEGA
    > > > il commercialista a firmare con la SUA
    > firma
    > > > digitale i docomenti a nome
    > > > mio.
    > > Non lo puoi fare.
    > > anzi è esplicitamente vietato.
    >
    > Le leggi sono fatte per essere abrogate,
    > modificate oppure violate, a seconda delle
    > necessita'.
    Non in italia.
    In italia vige ancora la regola delle grida di manzoniana memoria e ovviamente con tanto di azzeccagarbugli e Renzo e relativi capponi.
    non+autenticato
  • Tradotto in parole povere:

    "Quindi credimi... prima di qualunque discussione è meglio se ti liberi del casino che hai in testa a proposito di democrazia e libertà ....
    Poi si vedrà..."

    Ecco dove sta la "perla":
    http://punto-informatico.it/b.aspx?i=3762433&m=376...
    non+autenticato
  • Ma non c'è il vincolo di un certo tipo di firma elettronica? Cioè le PA potrebbero anche usare GnuPG?
  • Per quanto ne so, per una firma elettronica avanzate o una digitale (che un sottoinsieme della prima) è necessario un certificatore accreditato che garantiscono i certificati di autenticazione e sottoscrizione. E per essere accreditato il certificatore deve avere certe caratteristiche corpose (in fatto di struttura societaria e $$$$, tra gli altri)
    non+autenticato
  • - Scritto da: MarcusPisel lonius
    > Per quanto ne so, per una firma elettronica
    > avanzate o una digitale (che un sottoinsieme
    > della prima) è necessario un certificatore
    > accreditato che garantiscono i certificati di
    > autenticazione e sottoscrizione. E per essere
    > accreditato il certificatore deve avere certe
    > caratteristiche corpose (in fatto di struttura
    > societaria e $$$$, tra gli
    > altri)

    1) Non per la firma elettronica avanzata
    2) se leggi bene (anche tra le righe) delle varie normative scopri che L'accreditamento è "volontario" (perchè altrimenti saremmo in violazione della direttiva europea in materia) da noi recepito (volenti o nolenti)
    http://www.digitpa.gov.it/amministrazione-digitale...
    qui invece la direttiva.
    http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?...
    cerca la parola accreditamento e lustrati gli occhi.
    Che poi in italia nessuno "osi sfidare" il "circolo degli amici" non è una novità.
    Ma nessuno vieterebbe di farlo.
    non+autenticato