Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on gennaio 28, 2016

PA telematica

1 comment

Digital-Signature-blueIl 20 gennaio 2016 il Consiglio dei Ministri ha approvato, in esame preliminare, uno schema di decreto legislativo sulle norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifiche e integrazioni al CAD.

La riforma del CAD comprenderà disposizioni sul domicilio digitale della persona fisica e la sede legale delle imprese, mantenendo lo SPID quale strumento privilegiato di accesso in rete ai servizi delle pubbliche amministrazioni. Sarà compito delle PA provvedere a garantire l’accesso digitale ai propri servizi tramite il “pin unico” entro dicembre 2017. Per una maggiore trasparenza le amministrazioni saranno obbligate a inserire nei propri siti Internet informazioni esaustive per ciò che concerne appalti, tempi medi di attesa nella sanità, tempestività dei pagamenti nei confronti delle imprese creditrici, risultati di valutazione e piani per la prevenzione della corruzione.

Compito fondamentale delle modifiche sarà quello provvedere alla progressiva eliminazione dei supporti cartacei, per una maggiore efficienza e un significativo risparmio di risorse anche sotto il profilo ambientale. Con l’estinzione del cartaceo, cambierà il valore probatorio del documento informatico.

Ogni atto pubblico formato su documento informatico non sottoscritto da un pubblico ufficiale con firma qualificata o digitale sarà dichiarato nullo. Sembra che le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, siano state abrogate dal nuovo CAD rinviando a quelle del Regolamento eIDAS, la firma digitale non apparterrà al novero delle firme elettroniche avanzate, bensì a quello delle firme elettroniche qualificate.

Poiché i documenti informatici saranno conservati per legge dalla pubblica amministrazione, cesserà l’obbligo di conservazione a carico dei cittadini e delle imprese, che potranno richiedere di avervi accesso in qualunque momento. Il Foia (Freedom of Information Act), sarà lo strumento che permetterà al cittadino di fare richiesta di dati alle amministrazioni senza obbligo di motivazioni, ad eccezione dei casi di segreto di divieto di divulgazione.

Il nuovo CAD entrerà in vigore il primo luglio del 2016.

posted by Giusella Finocchiaro on dicembre 1, 2015

identità digitale

(No comments)

L’8 settembre 2015 sono stati emanati quattro atti normativi che danno esecuzione, introducendo alcune necessarie specifiche tecniche, al regolamento (UE) 910/2014, del Parlamento europeo e del Consiglio, del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche (anche conosciuto come Regolamento e-IDAS). Quest’ultimo ha lo scopo di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma. Queste le principali novità a seguito dell’emanazione della normativa di attuazione.

1. Quadro di interoperabilità

Il regolamento e-IDAS prevede l’istituzione di un quadro unitario che permetta l’interoperabilità dei regimi nazionali di identificazione elettronica notificati alla Commissione. Ai fini della concreta attuazione del quadro di interoperabilità, il regolamento di esecuzione (UE) 2015/1501 ne stabilisce i requisiti tecnici e operativi. In particolare il regolamento si focalizza sull’importanza dei “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura informatica di identificazione degli Stati membri. Essi intervengono nei processi di autenticazione transfrontaliera delle persone e sono in grado di scambiare informazioni tra loro. In questo modo, l’infrastruttura di identificazione elettronica nazionale di uno Stato membro può comunicare ed essere connessa alle infrastrutture di identificazione elettronica nazionale di altri Stati membri.

Trattandosi tuttavia di strumenti che trasmettono e ricevono dati personali, saranno applicabili le norme in materia di protezione dei dati personali di cui alla direttiva 95/46/CE. Nel caso di specie, i dati personali trasmessi tra i nodi vengono conservati al solo fine di ricostruire, nel caso di incidente, la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell’incidente.

2. Livelli di garanzia dei mezzi di identificazione

Il regolamento e-IDAS prevede che il regime di identificazione personale di uno Stato membro debba essere notificato alla Commissione specificando i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione rilasciati. Il regolamento (UE) 2015/1502 è stato adottato allo scopo di assicurare che nei vari Stati membri ci sia un’interpretazione uniforme dei livelli di garanzia permettendo di inquadrare i livelli di garanzia secondo criteri e procedure comuni.

3. Elenchi di fiducia

Ai sensi dell’art. 22 del regolamento e-IDAS, tutti gli Stati devono istituire e mantenere degli elenchi di fiducia, che includano le informazioni relative ai prestatori di servizi fiduciari e ai servizi fiduciari da questi erogati. Gli elenchi di fiducia sono un elemento essenziale per instaurare la fiducia tra gli operatori di mercato in quanto permettono di distinguere, in maniera chiara, i prestatori qualificati da quelli che non lo sono. Essenziale è dunque la decisione (UE) 2015/1505, con la quale la Commissione fornisce le specifiche tecniche che permettano la creazione e successiva notificazione, alla Commissione stessa, di detti elenchi.

4. Formati riconoscibili di firma elettronica e sigillo elettronico

Il regolamento e-IDAS prevede che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, debbano riconoscere le firme e i sigilli aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento. Al fine di individuare in maniera omogenea i formati riconoscibili dagli Stati, soprattutto in luce del principio del riconoscimento reciproco, è stata emanata la decisione (UE) 2015/1506. Nel caso la firma o il sigillo abbiano un formato diverso da quelli specificamente elencati in decisione, lo Stato membro è comunque tenuto a riconoscerli, a condizione che sia prevista una procedura di convalida che permetta allo Stato membro di confermare la validità della firma o del sigillo emesso in un altro Stato membro.

ITWorking ha vinto il ricorso contro il provvedimento che era stato notificato a seguito della campagna pubblicitaria su Il Sole 24 Ore nel 2012, nella quale affermavamo che “Con SmartSign si può dire addio alla carta”.

Il 18 luglio 2015 con sentenza n. 10354, il TAR del Lazio ha accolto il ricorso di ITWorking, società del Gruppo Bluenext, annullando il provvedimento per pratica commerciale ingannevole e scorretta.

Nel 2012 ITWorking era stata sanzionata dall’Autorità Garante della Concorrenza e del Mercato, da DigitPA (ora Agenzia per l’Italia Digitale) e dall’Autorità per le Garanzie nelle Comunicazioni per una campagna pubblicitaria apparsa su Il Sole 24 Ore in cui veniva presentata la propria soluzione di firma elettronica avanzata affermando con lo slogan “si può dire addio alla carta” che potesse essere un valido sostituto all’uso della firma tradizionale.

Alla società era stata commissionata una multa di Euro 17.723 per pubblicità ingannevole.

La società aveva prontamente avviato procedura di ricorso al TAR che si è conclusa con l’annullamento il provvedimento contro ITWorking e con la condanna di AGCM, DigitPA diventata AgID e AGCOM al rimborso totale della sanzione e al pagamento delle spese processuali.

La sentenza è disponibile QUI.

Regolamento sulla conservazione, Regolamento IVASS e Regolamento eIDAS in materia di identificazione online e servizi fiduciari. In questo video, Giusella Finocchiaro illustra le ultime novità in materia di digitalizzazione.



ICT5ExecutiveA maggio sono state pubblicate le norme che disciplinano l’uso della firma elettronica e ad aprile le attesissime regole tecniche per la gestione dei processi di fatturazione elettronica nei confronti delle Pubbliche Amministrazioni, che fissano l’obbligo al 6 giugno. In un’intervista al magazine ICT4Executive, Giusella Finocchiaro spiega che, anche se non sempre semplice da comprendere, il quadro normativo italiano è ormai completo. Vi proponiamo qui parte dell’articolo, la cui versione completa è disponibile sul sito di ICT4Executives.

Professoressa Finocchiaro, quali sono le novità normative più significative nell’ambito della firma elettronica, della fatturazione elettronica e della dematerializzazione dei documenti?

Sul tema della firma elettronica si è in attesa della definitiva approvazione da parte della Commissione Europea della Proposta di Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. Al Regolamento, che una volta adottato abrogherà la Direttiva Europea 1999/93/CE, si guarda con estremo interesse. Evidente, infatti, l’obiettivo di realizzare un vero mercato unico per il digitale, eliminando le barriere dettate dalle normative nazionali, puntando sull’interoperabilità giuridica e tecnica fra i Paesi dell’Unione degli strumenti elettronici di identificazione, autenticazione e firma.

Con particolare riguardo alla cosiddetta “firma grafometrica” (la firma digitale su tablet – ndr), strumento in crescente diffusione in diversi settori economici, si è in attesa del provvedimento generale dell’Autorità Garante sul trattamento dei dati biometrici utilizzati in questa innovativa modalità di sottoscrizione. Diversi sono stati i provvedimenti dell’Autorità Garante che, nonostante non rivestano carattere generale, hanno offerto ai potenziali soggetti erogatori di soluzioni di firma “grafometrica” specifiche istruzioni operative1.

Con riguardo alla dematerializzazione dei documenti, si segnala che sono in attesa di pubblicazione in Gazzetta Ufficiale le regole tecniche di attuazione del Codice dell’Amministrazione Digitale in materia di conservazione dei documenti e in materia di protocollo informatico.

Recente, inoltre, l’entrata in vigore delle Linee Guida predisposte dall’AGID per l’effettuazione dei pagamenti elettronici a favore delle pubbliche amministrazioni e dei gestori di pubblici servizi2.

Fondamentale, infine, la disciplina sulla fatturazione elettronica. Con il decreto ministeriale n. 55 del 3 aprile 2013 sono state individuate le regole tecniche per la gestione dei processi di fatturazione elettronica nei confronti delle pubbliche amministrazioni. Il decreto riveste un rilievo evidente dando attuazione agli obblighi, previsti dalla Legge Finanziaria del 2008, di fatturazione elettronica nei confronti delle pubbliche amministrazioni. A partire dal prossimo 6 giugno, Ministeri, Agenzie Fiscali ed Enti Nazionali di previdenza e assistenza sociale non potranno accettare fatture in formato cartaceo. Successivamente l’obbligo si estenderà anche alle altre pubbliche amministrazioni.

[continua su ICT4Executive]

OptimeLa dematerializzazione dei contratti tra imprese e consumatori, tra imprese private e tra imprese e PA sono al centro di due giornate di studi organizzate da Oprime il 3 e 4 marzo 2014 a Milano.

Il convegno vuole essere l’occasione per approfondire le nuove disposizioni in materia di firme elettroniche, le opportunità connesse alla dematerializzazione dei contratti, le modalita? di attuazione del processo, gli adempimenti in materia di privacy e la conservazione dei contratti.

La Prof. Giusella Finocchiaro, coordinatore scientifico dell’iniziativa e moderatrice dei lavori, aprirà il convegno con una sintesi del quadro normativo di riferimento e un’analisi delle princiali criticità operative, i problemi aperti e i possibili sviluppi.

Nelle due giornate di studio, i docenti coinvolti, provenienti sia dall’ambito istituzionale (Agenzia per l’Italia Digitale, Ministro per la Pubblica Amministrazione e la Semplificazione) che operativo, illustreranno in dettaglio gli aspetti principali del processo di dematerializzazione e le problematiche specifiche dei contratti.

L’incontro offrirà anche la possibilità di venire a conoscenza delle esperienze di rilevanti realtà aziendali, tra cui Eni, e delle soluzioni adottate rispetto alle questioni più controverse e problematiche.

L’evento formativo è rivolto ai responsabili della compliance e del servizio legale, ai responsabili dei sistemi informativi di imprese private e pubbliche amministrazioni, avvocati e consulenti.

Il convegno si terrà presso Il Carlton Hotel di Milano il 3 e 4 marzo 2014. Il programma dell’evento è disponibile QUI. Per maggiori informazioni e per le iscrizioni si rimanda al sito di Optime.

Il provvedimento del Garante per la protezione dei dati personali sulla firma grafometrica non è ancora il provvedimento generale atteso dal mercato. Questa precisazione pare necessaria considerate alcune voci infondate che si sono diffuse e, come sempre, cerchiamo di fare chiarezza.

Il provvedimento del Garante è ancora un provvedimento di natura individuale: cioè un provvedimento concernente una richiesta specifica: quella di Fineco, basata su una soluzione specifica di grafometrica di Namirial e di gestione documentale di In.TE.SA.
Il provvedimento generale del Garante privacy, ovviamente, non potrà fare riferimento a soluzioni specifiche.
L’importanza di questo provvedimento è comunque evidente.
È il primo provvedimento del Garante sulla firma grafometrica come firma elettronica avanzata per la sottoscrizione di contratti ambito bancario. Negli altri due provvedimenti del Garante del 31 gennaio scorso (Unicredit e Cariparma) la firma grafometrica era meccanismo di autenticazione. L’identificazione resta, ovviamente, de visu.
Si conferma che la “firma grafometrica” possa essere una “firma elettronica avanzata”.
Si conferma una procedura molto diffusa nel mercato e l’attenzione massima sulla sicurezza del processo. E da questo provvedimento si possono trarre molte indicazioni al riguardo.
Si conferma, infine, l’attuabilità della firma grafometrica in mobilità.

Il Garante per la protezione dei dati personali torna con un recente provvedimento ad occuparsi delle soluzioni di firma elettronica avanzata implementate nel settore bancario ed in particolare delle misure di sicurezza da adottare per un corretto trattamento dei dati, eventualmente anche di natura biometrica, la cui raccolta è strumentale alla fornitura delle soluzioni.

Il provvedimento denominato “Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca” del 12 settembre scorso offre diversi spunti di riflessione.

Senza entrare eccessivamente nel merito della descrizione delle caratteristiche tecnologiche della soluzione adottata nel caso sottoposto all’attenzione del Garante, occorre evidenziare in primo luogo che il Garante, riferendosi espressamente alle Regole tecniche in materia di firme elettroniche, pone l’accento sulla strumentalità dei dati personali, anche di natura biometrica, ai fini della generazione della firma elettronica avanzata e conseguentemente sul rispetto del principio di necessità del trattamento di cui al combinato disposto degli artt. 3 ed 11 del Codice.

Il Garante, inoltre, pur rilevando la necessità di richiedere ai firmatari il consenso previa adeguata e completa informativa, evidenzia come il trattamento dei dati strumentale alla fornitura di soluzioni di firma elettronica avanzata può costituire un efficace strumento probatorio, a tutela dell’interessato, in caso di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta. Si legge, infatti, nel provvedimento: “(…) l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti”.

Ed ancora, dopo aver richiamato espressamente gli articoli di legge che impongono la forma scritta per i contratti bancari e quindi ribadita, sia pure implicitamente, l’idoneità della firma elettronica avanzata a soddisfare il requisito della forma scritta ad substantiam, compie un’importante affermazione di politica economica del diritto, sostenendo che: la firma cosiddetta grafometrica “asseconda legittime esigenze organizzative della società”.

Infine, il provvedimento richiama l’attenzione sulle necessarie misure di sicurezza da adottare al fine di ridurre, fra l’altro, i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi adottati, nonché sulla necessità di adottare policy per la gestione degli incidenti di sicurezza e sulla necessità, nel caso in cui il titolare del trattamento si avvalga di soggetti esterni per l’adozione delle misure di sicurezza, di ottenere dall’installatore una descrizione scritta degli interventi effettuati che ne attesti la conformità alla normativa vigente.

Vi proponiamo qui l’articolo apparso oggi sul Sole 24Ore a firma di Giusella Finocchiaro.

Lo scorso 5 giugno è entrato in vigore il d.p.c.m. 22 febbraio 2013 con le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”, pubblicato sulla Gazzetta Ufficiale n.117, il 21 maggio 2013.

Il decreto ha aggiunto un importante tassello al quadro normativo italiano sul documento informatico e costituisce un passo importante verso la dematerializzazione. Considerando che il giorno dopo è stato pubblicato il decreto sulla fatturazione elettronica, atteso da anni, si è trattato di un balzo in avanti nella dematerializzazione. Si attendono, peraltro, altre regole tecniche, come ad esempio, quelle sulla conservazione.

Le regole tecniche sulle firme riguardano la firma digitale, la firma elettronica qualificata e la firma elettronica avanzata. È su quest’ultima, tuttavia, in questo momento, che si registra la maggior attenzione del mercato. La firma elettronica avanzata è una firma tecnologicamente neutra che quindi non fa riferimento alla tecnologia utilizzata.

La firma elettronica avanzata oggi più diffusa è la firma su tablet, o firma grafometrica, apposta su un particolare tablet con una speciale pen drive e idonea a memorizzare alcune caratteristiche biometriche: velocità della firma, pressione, accelerazione, ecc. Questa tipologia di firma elettronica riscuote oggi un notevole interesse perché viene avvertita come un gesto naturale da parte del firmatario, che altro non fa che replicare il consueto gesto della sottoscrizione. È stata applicata con grande successo nel settore bancario, che per primo ha cominciato a sperimentare. Ma può ugualmente essere applicata nel commercio elettronico, in sanità, nella pubblica amministrazione, da parte dei professionisti, e in generale in ogni settore.

Occorre sempre ricordare, però, che la firma elettronica avanzata non è un prodotto, ma un processo. Dunque assumono grande rilevanza gli elementi del processo, non solo tecnologici. E proprio questi sono disciplinati in dettaglio dalle regole tecniche. Fra i requisiti del processo di firma elettronica avanzata vi sono: l’identificazione del firmatario, la sottoscrizione delle condizioni di adesione al servizio di firma elettronica avanzata, il soddisfacimento di obblighi informativi e di trasparenza, l’assicurazione dei rischi.

Pubblica amministrazione e sanità risultano avvantaggiate, dal momento che la dichiarazione di accettazione del servizio può esser formulata anche oralmente e poi verbalizzata dal funzionario pubblico o dall’esercente la professione sanitaria che la raccoglie.

Sotto il profilo giuridico, il documento cui è apposta una firma elettronica avanzata, ha l’efficacia probatoria della scrittura privata.

Il documento con firma elettronica avanzata integra, inoltre, il requisito della forma scritta, ove prevista dalla legge.

—–

Per un approfondimento su tutte le novità e le regole riguardanti la firma digitale e la firma elettronica avanzata, sul sito del Sole 24 Ore è disponibile il DOSSIER. Il contenuto è riservato agli abbonati, è possibile tuttavia effettuare l’acquisto singolo del dossier.

posted by admin on giugno 10, 2013

Miscellanee, firma grafometrica

(No comments)

La recente pubblicazione in Gazzetta delle Regole tecniche in materia di firme elettroniche avanzate, qualificate e digitali, offre l’occasione per presentare un approfondimento di Giusella Finocchiaro sul tema della firma grafometrica, la nuova tecnologia di firma che consiste in una sottoscrizione autografa su tablet effettuata attraverso una speciale penna digitale.

Secondo il Codice dell’Amministrazione Digitale attualmente in vigore, la firma grafometrica possiede alcune caratteristiche tecniche secondo le quali può essere considerata sia come una firma elettronica sia come una firma elettronica avanzata.

Tuttavia, a differenza delle altre firme informatiche, la firma grafometrica si effettua attraverso lo stesso movimento della mano impiegato nella sottoscrizione autografa tradizionale. La sola differenza risiede nel fatto che il gesto viene effettuato su un tablet invece che su materiale cartaceo. Se la firma grafometrica non è oggi considerata come una sottoscrizione autografa a tutti gli effetti ciò può essere dovuto solo ad una resistenza culturale e non a un effettivo ostacolo nella coerenza giuridica.

Questa considerazione muove Giusella Finocchiaro lungo un percorso logico che, partendo dall’analisi della tecnica della metafora utilizzata dal legislatore per richiamare in materia di firme informatiche l’esperienza giuridica della sottoscrizione autografa, arriva a dimostrare che nel caso della firma grafometrica tale metafora non solo risulta irrilevante, ma è foriera di interpretazioni erronee e deve essere evitata.

L’articolo, pubblicato sul fascicolo n.1 del 2013 della rivista “Il Diritto dell’Informazione e dell’informatica” è disponibile per il download cliccando QUI.