PEC e CEC-PAC, ecco la differenza

Qual è la differenza tra PEC e CEC-PAC? Sono entrambi strumenti relativamente nuovi, forniti dalla tecnologia e dalla normativa per le comunicazioni sicure tra privati e tra privati e PA. L’obiettivo, in entrambi i casi, è quello di semplificare i rapporti formali tra cittadini e Pubblica amministrazione e abbattere i costi della burocrazia.

Per comprendere le differenze tra PEC e CEC-PAC bisognerà partire dal comprendere cosa significano i due acronimi.

PEC sta per Posta Elettronica Certificata, mentre CEC-PAC, per esteso, si legge Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino (anche nota come Postacertificat@ e caratterizzata dal dominio @postacertificata.gov.it).

La PEC è una soluzione di posta elettronica di valore legale, dato che rilascia una certificazione comprovante l’invio e la ricezione di comunicazioni e documenti e tutti i dati relativi a tale corrispondenza (nome certo del mittente e del destinatario, data certa di invio e ricezione, etc.). Un vero e proprio sostituto delle comunicazioni tramite raccomandata con ricevuta di ritorno.

La CEC-PAC è una tipologia di posta elettronica certificata introdotta con Decreto legge 29 novembre 2008, n° 185 che dà la possibilità a ogni cittadino di scambiare comunicazioni esclusivamente con la PA. La differenza principale tra questa PEC gratuita fornita dallo Stato al cittadino e le altre tipologie di PEC è che la CEC-PAC non può essere impiegata per la corrispondenza tra privati.

Il Ministero dello sviluppo economico, nella nota n° 6391 del 15/01/2014, ha voluto fare chiarezza sull’impiego della CEC-PAC da parte di professionisti iscritti agli ordini e ai collegi professionali: l’utilizzo della posta elettronica gratuita non può essere utilizzata quale recapito di imprese e professionisti per la formazione dell’indice nazionale, ribadendo la sostanziale differenza tra la CEC-PAC e le altre tipologie di PEC, vale a dire l’impossibilità di usufruirne per le comunicazioni tra aziende e professionisti.

Certificazione di sicurezza delle firme digitali

Il 19 luglio 2012, con Decreto del Presidente del Consiglio dei Ministri (GU n° 237 del 10 ottobre 2012) venne fissata la data di un appuntamento importante per la dematerializzazione e la sicurezza delle firme digitali: il 25 luglio 2014 tutte le firme generate da dispositivi server dovranno ottenere il certificato. È il certificato che attesta il superamento, da parte dei dispositivi di firma digitale, di una verifica di sicurezza in conformità agli standard introdotti da una direttiva europea.

Un appuntamento importante per due motivi:

  • Armonizzazione degli standard europei di dematerializzazione;
  • Diffusione dello strumento della firma digitale sicura in Italia e nei rapporti transnazionali.

La diffusione di tale strumento porta già con sé una serie di vantaggi in termini di risparmi (nel pubblico e nel privato) in consumabili d’ufficio e in tempi.

Si pensi, ad esempio, al processo che segue un documento nativo digitale che debba essere sottoscritto da più soggetti: il documento digitale viene stampato (in una o più copie), viene sottoposto ai sottoscrittori che, uno per volta, apporranno la loro firma autografa; il documento firmato da tutti verrà nuovamente acquisito otticamente.

Una spesa in termini di risorse e tempo che può assumere dimensioni rilevanti.

L’appuntamento del 19 luglio 2014 con il certificato di sicurezza dei dispositivi server di firma digitale avvicina l’Italia al futuro della digitalizzazione. Non vi sarà più timore d’impiego di questo strumento nei rapporti tra privati: l’unica firma digitale ammessa sarà quella sicura.

Firma elettronica: le regole tecniche per decreto

Il 22 febbraio 2013, con decreto del Presidente del Consiglio dei Ministri, sono state emanate le regole tecniche sulla firma elettronica. Nello specifico si tratta dei requisiti tecnici in materia di generazione, apposizione e verifica per ciò che riguarda le firme elettroniche avanzate, qualificate e digitali.

Il decreto è divenuto legge con la pubblicazione nella Gazzetta Ufficiale n° 117 del 21 maggio 2013.

La novità principale della normativa tecnica sulla firma elettronica riguarda l’introduzione di specifiche relative all’argomento caldo del 2013 in fatto di autenticazione digitale dei documenti: la firma grafometrica.

Le regole tecniche si soffermano sull’utilizzo della coppia di chiavi per la creazione e la verifica della firma elettronica qualificata e digitale stabilendo per norma che ciascuna coppia di chiavi debba essere associata a una sola procedura e a un solo dispositivo sicuro di apposizione della sottoscrizione elettronica.

Con l’entrata a regime delle regole tecniche sulla firma elettronica (5 giugno 2013), si apre una nuova stagione dedicata alla semplificazione e alla dematerializzazione dei rapporti tra Pubblica Amministrazione, cittadini e imprese.

Il Garante della privacy apre nei confronti della firma grafometrica

Il provvedimento del 12 settembre 2013 n° 396 del Garante della privacy apre in modo deciso nei confronti dell’impiego dei dati biometrici quali parametri d’autenticazione di una firma digitale avanzata. Vale a dire: sulla firma grafometrica. La diffusione dei tablet device per l’apposizione di firma autografa in ambito bancario ha posto con pressante urgenza una presa di posizione da parte del Garante sul ricorso a banche di dati biometrici a supporto dell’autenticazione delle firme elettronica autografa.

Quest’ultimo ok da parte del Garante della privacy viene rilasciato sull’impiego dei dati biometrici comportamentali quali parte integrante del processo identificativo e non come mero sistema di controllo per l’accesso a un certificato di firma remota.

Secondo la procedura sottoposta alla valutazione del Garante della privacy da parte di un istituto di credito, il titolare della firma, a seguito del rilascio del consenso all’impiego dei dati personali, sottoscrive il contratto digitale di servizio. Nell’ambito di tale sottoscrizione effettuata tramite tablet, il sistema raccoglie i dati biometrici come pressione, velocità e movimento che diventano la chiave di autenticazione dell’utente. Il sistema sottoposto all’attenzione del Garante della privacy è strutturato in modo che i dati biometrici, ritenuti particolarmente sensibili, non siano accessibili in chiaro.

Il via libera da parte del Garante è stato rilasciato a seguito dell’accertamento che il sistema di firma grafometrica prospettato risulti sicuro e non improntato per il passaggio di informazioni relative alla salute del titolare o ne leda in altro modo la privacy.

Linee guida dell’Agenzia sul contrassegno elettronico

La gestione documentale digitale fa un passo avanti con la Circolare n° 62/2013 emanata dall’Agenzia per l’Italia Digitale. Con tale documento sono state rese pubbliche le linee guida per il contrassegno elettronico, strumento previsto dall’art 23-ter, comma 5 del CAD al fine di dotare la gestione documentale digitale di un nuovo strumento che avesse la stessa valenza di legge della firma autografa.

Il contrassegno digitale è stato pensato anche per rispondere alle esigenze che nascono dal particolare momento in cui ci troviamo: periodo di transizione dal regime documentale cartaceo a quello digitale.

Questo speciale strumento al servizio della gestione dei documenti digitali consiste in una sequenza codificata di bit che rappresentano un documento amministrativo, una parte di esso, una copia, un duplicato o i dati che lo identificano. Grazie al contrassegno elettronico può essere verificata l’effettiva corrispondenza di un documento in formato cartaceo al documento originale digitale o digitalizzato.

Attualmente, il contrassegno elettronico viene impiegato principalmente nei rapporti tra cittadini e PA per ciò che riguarda la produzione di certificati da utilizzare nei rapporti tra privati.

Le linee guida emanate dall’Agenzia per l’Italia Digitale serviranno a fornire uno standard vincolante affinché il contrassegno elettronico possa diffondersi anche in altri ambiti.

La firma elettronica avanzata del futuro: la firma grafometrica

La firma siamo noi: è questo il concetto al quale si tornerà nel prossimo futuro. Dopo una parabola che ci ha portato a legarci a complessi dispositivi e iter di autenticazione, la tecnologia ci viene incontro per tornare alla logica della firma autografa analogica.

Nei sistemi di firma grafometrica, l’autenticità della sottoscrizione sarà impressa (è proprio il caso di dirlo) nel segno stesso dell’autografo. La raccolta dei parametri biometrici e calligrafici che intervengono a caratterizzare la firma autografa permette il raffronto con i dati depositati dal titolare della firma. Il riconoscimento forte sul quale si baserebbe il sistema, farebbe della firma grafometrica, una firma digitale.

Anche qualora si acquisisse la sola firma e i soli dati calligrafici e biometrici, senza successivo confronto, darebbe comunque luogo a una firma elettronica avanzata (FEA). Per arrivare a ciò, ad ogni modo, il sistema di sigla dovrebbe fornire la garanzia di legame indissolubile tra sottoscrizione e relativo documento nella sua forma integrale.

Ad ogni modo, sussistono ancora alcuni limiti tecnici la cui rigidità non agevola la verifica della firma o, comunque, la raccolta dei parametri biologici e calligrafici. Statisticamente, infatti si è riscontrato un tasso di accettazione delle firme false per vere (False Acceptance Rate, FAR) e di scarto delle vere perché riconosciute false (False Rejection Rate, FRR).

Inoltre, i vari fornitori delle certificazioni di questa tipologia di firma (utilizzata come firma digitale) dovrebbero uniformare gli algoritmi di firma a normative tecniche nazionali e internazionali. Per finire, la raccolta di dati biometrici in banche dati online, pone seri allarmi dal punto di vista della privacy.

Risolte tutte le questioni sopra citate, la firma grafometrica potrà entrare nel nostro quotidiano per essere impiegata nei più vari ambiti di utilizzo e farci riappropriare della penna (o del pennino) per l’affermazione della nostra identità.

Documento digitale sottoscritto con firma elettronica: il valore probatorio

L’articolo 21 del CAD tocca una tematica di primario interesse per la diffusione della dematerializzazione: il valore probatorio dei documenti digitali sottoscritti con firma elettronica.

Per ciò che riguarda il documento digitale sottoscritto, il suo valore probatorio varia a seconda del tipo di firma elettronica impiegata per siglarlo.

Firma elettronica semplice: la valutazione del documento è discrezionale, ma dovrà tener conto delle caratteristiche tecniche di qualità, sicurezza, integrità e immodificabilità.

Firma digitale o altra firma elettronica qualificata: il documento elettronico assume il valore probatorio assegnato al documento di scrittura privata dall’art. 2702 C.C.

Firma elettronica qualificata con certificato revocato, scaduto o sospeso: il documento, in questo caso, si ritiene non sottoscritto.

L’efficacia in termini legali di un documento elettronico privo di firma e quindi non sottorcritto  è definita dall’articolo 23 del CAD che opera una modifica sull’ articolo 2712 C.C.

A seguito della modifica le riproduzioni informatiche di un documento non sottoscritto da idonea firma ottengono la stessa forza giuridica delle riproduzioni fotografiche: piena prova dei fatti e delle cose rappresentate, salvo disconoscimento di conformità.

Marca temporale: a cosa serve e come funziona

Cos’è, a cosa serve e come funziona la marca temporale?

Chi si approccia per la prima volta ai processi di conservazione sostitutiva documentale, dovrà confrontarsi con una serie di termini tecnici e procedure che potrebbero risultare, a prima vista astrusi e di difficile comprensione.

Prima di analizzare le modalità di applicazione della marca temporale, capiamo cos’è per scoprirne la funzione. Assieme alla firma digitale questo strumento permette di “fotografare” il documento da avviare a conservazione sostitutiva nella sua forma e nei suoi contenuti in un determinato momento.

Fornire a chi fruisce di un documento la certezza della data di produzione: è questo, dunque, lo scopo della marca temporale.

Per capire come funziona dal punto di vista operativo, bisogna parlare del servizio fornito dai certificatori. Un soggetto terzo, il certificatore, appone sul documento una firma digitale alla quale è associata un’informazione immodificabile sulla data e l’ora di marcatura.

La marca temporale è dunque un servizio, offerto da un Ente Certificatore, che permette di associare date e ora certe e legalmente valide a un documento informaticoconsentendo quindi di associare una validazione temporale opponibile a terzi. (cfr. Art. 20, comma 3 Codice dell’Amministrazione Digitale Dlgs 82/2005).

Il sog­get­to che ero­ga la mar­ca temporale è anche det­to Time-Stam­ping Autho­ri­ty (TSA) ed è disciplinato dal D.P.C.M. 30 marzo 2009 – “Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici”.

Grazie alla marcatura temporale e alla sua funzione specifica si perfeziona il processo di conservazione documentale dematerializzata a norma di legge.