Il contenuto del presente capitolo si applica, salvo ove diversamente specificato, ai soggetti di cui all’art. 2 commi 2 e 3 del CAD.
Il documento informatico è formato mediante una delle seguenti modalità:
a) creazione tramite l’utilizzo di strumenti software che assicurino la produzione di documenti nei formati previsti nell’allegato 2;
b) acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;
c) memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
2.4.1. Formazione del documento amministrativo informatico
Riportare una citazione del comma 5-bis dell’art. 23-ter del CAD secondo cui i documenti amministrativi informatici devono essere accessibili secondo le regole previste dall’art. 11 della legge n. 4/2004.
Formazione dei documenti informatici
2.1. Documento informatico
2.1.1. Formazione del documento informatico
…
Nel caso di documento informatico formato secondo la sopracitata lettera a)…
memorizzazione su sistemi di gestione documentale che adottino idonei criteri di sicurezza in accordo con quanto riportato al § 3.9;
…
Nel caso di documento informatico formato secondo la sopracitata lettera b)
…
memorizzazione su sistemi di gestione documentale che adottino idonee politiche di sicurezza in accordo con quanto riportato al § 3.9;
Con idonei criteri di sicurezza e idonee politiche di sicurezza credo che indichino la stessa cosa, quindi andrebbe utilizzata la stessa terminologia.
Sempre nella sezione 2.1.1. Formazione del documento informatico
quando vengono elencati i metadati minimi, credo che ci sia un errore di formattazione, infatti
Il punto elenco f) non è allineato con i precedenti.
Dalla lettura del testo a seguire, presente nel paragrafo 2.4.1. Formazione del documento amministrativo informatico:
Al documento amministrativo informatico si applicano le stesse regole valide > per il documento informatico, salvo quanto specificato nel presente paragrafo.
si deduce che il documento amministrativo informatico è diverso dal documento informatico, credo che sia poco chiaro quali siano le differenze, quali le similitudini e le relazioni.
Potrebbe essere utile aggiungere nel Glossario dei termini e degli acronimi o nel paragrafo stesso la definizione di Documento Amministrativo Informatico.
Cap. 2.2: La conformità della copia per immagine ad un documento analogico è garantita mediante l’apposizione della firma digitale o firma elettronica qualificata o firma elettronica avanzata, ovvero del sigillo elettronico qualificato o avanzato da parte di chi effettua il raffronto.
Al Cap. 2.1.1, garanzia di Immodificabilità e integrità dei documenti formati secondo la lettera b) (acquisizione di copia per immagine), la firma digitale non compare come strumento idoneo alla garanzia dei suddetti requisiti. Fermo restando che la FD è un particolare tipo di firma elettronica avanzata, e quindi prevista sempre, credo sia fuorviante citarla a fasi alterne.
Buonasera, colgo l’occasione del commento per un focus sul valore giuridico delle firme. In generale, le disposizioni che riguardano le firme elettroniche (e anche quelle contenute nelle emanande Linee Guida) sono poco chiare e non consentono di apprezzare la differenza del valore giuridico che intercorre tra la firma elettronica avanzata e quella digitale. In particolare, il lettore non riesce ad intuire agevolmente che la firma digitale costituisce species nell’ambito del genus firma elettronica qualificata (cioè non è un tipo di firma elettronica avanzata). La distinzione non è di poco conto se si considera che lo stesso CAD (art. 20, comma 1 ter) stabilisce che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria” (cioè inverte l’onere della prova, cosa che non vale per la firma elettronica avanzata). Detto questo, se esse si propongono, nel contempo, di essere user friendly (cioè più decodificabili degli ostici DPCM contenenti le regole tecniche) è da rilevare che nel ripercorrere le casistiche relative, ad esempio, al tema delle copie non raggiungono tale intento. In particolare, la formulazione di cui al punto 2.2 “L’attestazione di conformità delle copie per immagine su supporto informatico di un documento analogico può essere inserita nel documento informatico contenente la copia per immagine o essere prodotta come documento informatico separato contenente un riferimento temporale e l’impronta di ogni copia per immagine. Il documento informatico contenente l’attestazione è sottoscritto con firma digitale o firma elettronica qualificata o avanzata del notaio o del pubblico ufficiale a ciò autorizzato” risulta essere meno leggibile dello stesso comma 2, dell’art. 22 del CAD e non aiuta il lettore “comune” sul da farsi nel caso concreto. Sarebbe opportuno, quindi, corredare tale disposizione con piccoli esempi (come accade in altre disposizioni delle Linee Guida - vedi successivo 2.3) anche a margine, tenendo conto del fatto che la copia per immagine è quella che più ricorre nell’uso comune delle pubbliche amministrazioni.
2.2, paragrafo 4: l’attestazione di conformità è prevista come possibile “laddove richiesta dalla natura dell’attività” (cf. Regole tecniche 13 novembre 2014, art. 4, comma 3), esattamente come per Duplicati, copie ed estratti informatici di documenti informatici (2.3).
2.4.1, paragrafo 2: “manuale di gestione documentale del sistema di gestione informatica dei documenti”: è semplicemente il manuale di gestione documentale (refuso?)
Sono riproposte le quattro modalità di formazione del documento informatico delle vigenti regole tecniche, incluse le lettere c) e d) che, corrette dal punto di vista concettuale, sono piuttosto criptiche per i meno esperti.
Si suggerisce di inserire alcuni esempi, come avviene in altri passaggi delle linee guida (per es. a proposito del riversamento in altro formato).
Inoltre, anche la modalità b) non è del tutto chiara:
“b) acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;” –> con quanto evidenziato in grassetto si intende, per esempio, la ricezione di un documento via posta elettronica (certificata o no)? si intende anche la ricezione di un documento memorizzato su un cd-rom? si intende anche la ricezione di un documento (per esempio un PDF+XML) inviato tramite un servizio di modulistica reso disponibile all’utente, cosa che è contemplata anche nella modalità c)?
Proseguendo: “Il documento informatico deve essere identificato in modo univoco e persistente. […] In alternativa l’identificazione univoca può essere realizzata mediante associazione al documento di una sua impronta crittografica basata su funzioni di hash che siano ritenute crittograficamente sicure.”
Si segnala che la funziona di hash non è in grado di fornire, da sola, un’identificazione univoca. Su grandi numeri sono possibili conflitti/collisioni. Tali numeri sono raggiungibili probabilmente con progetti di poli di concentrazione documentale nazionali (mi pare che tempo fa si parlasse di un sistema nazionale in cui confluisseroi documenti di tutti i procedimenti amministrativi di tutte le p.a. italiane). A prescindere da considerazioni numeriche comunque si ritiene che, concettualmente, l’hash non è adatto. Di conseguenza nell’allegato 5 sui metadati sarebbe da rimuovere l’impronta come “sottocampo” dell’informazione “IdDoc” (EDIT: o comunque lasciarla, solo in associazione ad altri identificativi univoci, ai fini di verifica dell’integrità).
Per le operazioni che garantiscono integrità e immodificabiltà in relazione alle modalità di formazione c) e d), se ne aggiunge una e si mantengono sostanzialmente immutate le due delle regole tecniche, indubbiamente oscure:
apposizione di una firma elettronica qualificata o di un sigillo elettronico qualificato o firma elettronica avanzata –> novità delle linee guida
registrazione dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema; –> “registrazione” dove? nella banca dati stessa? –> "compresa"è meno chiaro del precedente “e” presente nelle regole tecniche
produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione. –> “dei dati”: di quali dati? dei dati estratti? di tutti i dati della banca dati? di tutti i dati di tutte le banche dati da cui si estrae?
Anche qui sarebbero utili esempi.
Si segnala infine che in una prima versione della bozza di linee guida erano elencati nel testo sei metadati che compongono l’insieme miinimo di metadati da associare al documento. E’ forse preferibile rimarcarli anche nel testo (o nell’introduzione dell’allegato).
Infatti, l’allegato è meno immediata nell’evidenziarli e inoltre, a una sua lettura sommaria, sembra che fra i metadati di documenti generici ci siano elementi tipici dei documenti amministrativi (es. n. di protocollo).
Paragrafi 2.2., 2.3, 2.5 (in tema di copie)
Si segnala che nel glossario manca la definizione di copia, in ogni sua tipologia. Le definizioni si trovano comunque nell’art. 1 del CAD.
Nei paragrafi 2.2 e 2.3 chi è il “pubblico ufficiale a ciò autorizzato” oltre a un notaio?
Nel paragrafo 2.2 si parla di “copie per immagine su supporto informatico”, nel paragrafo 2.5 si parla di “copie su supporto informatico”. Si tratta di tipi di copie diverse o di una dimenticanza?
Oppure si deve intendere, semplificando, che il “privato” può fare solo copie per immagini (contenuto e forma identiche) mentre il “pubblico” può permettersi di ricopiare solo il contenuto e dichiararlo comunque conforme?
Nel paragrafo 2.5 chi è il “funzionario delegato”? Delegato da chi? “Funzionario” fa riferimento all’inquadramento contrattuale o più in generale allo svolgimento di una pubblica funzione? Per esempio, in un comune, chi può sottoscrivere l’attestazione?
Una risposta chiara risolverebbe anche il dubbio su chi, in una pubblica amministrazione, sia in grado di autenticare firme elettroniche ai sensi dell’art. 25 del CAD.
[NOTA: chi opera nella p.a. ha bisogno di indicazioni di questo tipo e in delle linee guida ci si aspetta di trovarle, non di far paritre ulteriori processi interpretativi]
Nel glossario manca la definizione di documento amministrativo informatico.
Dalla lettura delle linee guida e anche delle vigenti regole tecniche sembra che per documento amministrativo si intenda quello prodotto (o ricevuto, o comunque detenuto) da una pubblica amministrazione.
A oggi il documento amministrativo è definito in piu’ posti:
nel DPR 445 (art. 1):
a) DOCUMENTO AMMINISTRATIVO ogni rappresentazione, comunque formata, del contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque, utilizzati ai fini dell’attività amministrativa. Le relative modalità di trasmissione sono quelle indicate al capo II, sezione III, del presente testo unico;
b) DOCUMENTO INFORMATICO la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
le vigenti regole tecniche (art. 9, c.3) recitano “Il documento amministrativo informatico, di cui
all’art 23 -ter del Codice” e rimandano quindi all’art. 23-ter del CAD
l’art 23-ter del CAD non contiene una definizione formale ma recita: “1. Gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonche’ i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui e’ possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge.” (di nuovuo sembra che amministrativo = detenuto dalla p.a.)
sempre per il CAD, articolo 1 (definizioni):
p) documento informatico: il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
p-bis) documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti.
punto 2.4.1 : “Il documento amministrativo informatico assume le caratteristiche di immodificabilità e di integrità, oltre che con le modalità di cui al paragrafo 2.1.1, anche con la sua registrazione nel registro di protocollo, negli ulteriori registri, nei repertori, negli albi, negli elenchi, negli archivi o nelle raccolte di dati contenute nel sistema di gestione informatica dei documenti con le modalità descritte nel manuale di gestione documentale.”
Come ricordato da Francesco Del Castillo manca la definizione di repertorio che, in questo contesto, è fondamentale per capire il senso della frase citata.
Rimane poi poco chiaro come repertori, albi ecc. possano essere sostitutivi al registro di protocollo; serve spiegare come, non basta, a mio avviso, riferirsi al manuale. Magari specificare che debbono essere tenuti con le stesse modalità del protocollo.
Se l’immodificabilità è garantita da questi, che dire del riferimento temporale? Andrebbe chiarito se sì o no o in quale condizioni.
Buongiorno, seguo anche in questo Sergio Sette: mi pare che nelle linee guida in consultazione non si tratti il tema della validazione temporale. Le regole tecniche vigenti dicono chiaramente, a memoria, “al documento deve essere associato un riferimento temporale”, qualunque sia la natura del documento. Per quanto ho letto fin qui c’e’ solo un accenno nell’allegato 5 sui metadati, dove si metadata una “Marcatura” (si immagina temporale) senza scendere nel dettaglio di quale sia un valido riferimento temporale.
Tornando a registri, repertori, albi ecc. , resta quindi valido quanto disposto dalle regole tecniche su firme e validazioni temporali (che sopravvivono alle linee guida:) l’unica registrazione in grado di validare il tempo è quella nel registro di protocollo, risultando opponibile a terzi il timestamp contenuto nella segnatura (art. 41). E, aggiungo, non per diavolerie tecnologie ma per l’autorevolezza (atto pubblico di fede privilegiata) che l’ordinamento conferisce al registro di protocollo.
Nel Capitolo 2 andrebbe aggiunto il paragrafo sulle “Copie analogiche di documenti informatici”, ex art. 23 del CAD, commi 2 e 2-bis, con particolare riguardo ai richiami normativi e alle disposizioni in materia di apposizione del contrassegno sui documenti.
Paragrafo 2.2: Per quanto riguarda le copie per immagine su supporto informatico di documenti analogici, sarebbe opportuno evidenziare che, in accordo con la previsione di cui all’art. 22, comma 4 del CAD, la distruzione degli originali analogici sottoscritti va effettuata solo dopo aver posto in conservazione i documenti informatici.
Il termine “funzionario delegato” nel campo amministrativo-contabile ha un significato chiarissimo e ben diverso dal generico “funzionario che ha ricevuto una delega”. E’ il soggetto che gestisce fondi assegnatigli dall’ufficio centrale e può impegnarli e spenderli (in genere con procedure informatiche via SICOGE). Concordo sul fatto che sia opportuno chiarire se si intende funzionario “delegato” in senso contabile o meno.
Nel parafrago “2.1.1 Formazione del documento informatico” consiglio di specificare le tipologie di algoritmi di hashing ammessi aggiungendo al copoverso “In alternativa l’identificazione univoca di un documento informatico può essere realizzata mediante associazione al documento di una sua impronta crittografica basata su funzioni di hash che siano ritenute crittograficamente sicure” quanto segue "e conformi alle tipologie di algoritmi previsti nell’allegato 6 delle linee guida nella tabella 1 del paragrafo 2.2 regole di processamento. "
Quanto predetto si ritiene necessario per essere anche coerenti con quanto previsto nell’allegato 5 per il metadato impronta da associare al documento informatico nella fase di formazione.
Purtroppo ancora capita nei sistemi di gestione e di conservazione di vedere algoritmi MD5 di hashing, pertanto si raccomanda la chiarezza in tal senso.
Perchè non si fa mai riferimento, riguardo all’immodificabilità del documento, al nuovo tipo di firma recentemente introdotto nell’art. 20 e che Agid deve definire con apposite linee guida ?
Paragrafo 2.1.1
“La certeza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto il documento stesso”.
Associare a cosa?
Si propone di riformulare in:
“La certezza dell’autore è la capacità di poter individuare[identificare] in maniera certa e permanente il soggetto che ha sottoscritto il documento stesso”
oppure, ma assume probabile significato diverso dal voluto:
“La certezza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto il documento al documento stesso”.
Si sottolinea come la frase introduca valutazioni sulla provenienza (autore) del documento, completando la verifica dei requisiti documentali individuati dalla diplomatica del documento contemporaneo.
(Non aggiunge grandi contenuti dispositivi: la formazione del documento deve garantire la certezza dell’autore? )