2. Formazione dei documenti informatici

firma digitale: particolare tipo di firma elettronica avanzata basata su un certificato qualificato

All’interno del Comune di Trento si è sviluppato un confronto tra le Strutture sull’impossibilità di far coincidere la data della sottoscrizione con quella della protocollazione, in quanto a volte il dirigente firma la sera e la segreteria protocolla il giorno seguente.

Si è concluso per la necessità che la firma sia temporalmente e contestualmente “cristallizzata” in un unico momento. Operativamente questa coincidenza può accadere solamente mediante l’apposizione di una marca temporale perché essa avviene, per vincoli tecnologici, contestualmente all’apposizione delle firma digitale/qualificata corrispondente.
Inoltre si avrebbe il vantaggio di disporre, successivamente alla firma di un documento interamente consistente che - agli occhi del destinatario - riporterebbe anche data certa.

Non sembra ci sia traccia nelle Linee Guida su tale tema, lo propongo come contributo.

Al paragrafo “2.2 Copie per immagine su supporto informatico di documenti analogici” quando si parla di attestazione di conformità del pubblico ufficiale penso sia necessario limitare l’apposizione alla sola firma elettronica qualificata o digitale in quanto vanno rispettate le disposizioni in materia di atto pubblico informatico redatto dal notaio di cui al D.Lgs. n. 110 del 2 luglio 2010, peraltro correttamente richiamato dall’art. 21 comma 2-ter del CAD.
Stessa considerazione a mio avviso vale per il paragrafo “2.3 Duplicati, copie ed estratti informatici di documenti informatici” per quanto concerne la firma sull’attestazione di conformità da parte del notaio o del pubblico ufficiale a ciò autorizzato.

Grazie per l’attenzione

Mi permetto di segnalare un caso pratico in cui sciogliere il nodo di chi sia il “pubblico ufficiale autorizzato” o il “funzionario delegato” sarebbe di gran sollievo nell’operatività quotidiana.
Tutta la produzione documentaria di una pubblica amministrazione deve essere dematerializzata/digitalizzata. In un comune si deve dematerializzare anche il contratto di concessione dei loculi e degli spazi cimiteriali in genere. Spesso il firmatario del contratto è un anziano/a divenuto/a vedovo/a da pochissimo tempo. Una banale tensione di “orientamento all’utenza” in questi casi dovrebbe portare a non far ricadere sull’utenza dubbi o incertezze sulla strada della digitalizzazione.

Mi permetto di sottoporre due quesiti. Perché la firma digitale non viene più considerata uno strumento adatto ad assicurare l’immodificabilità e l’integrità del documento informatico nonostante essa garantisca la paternità del documento informatico, la sua integrità e il non ripudio della firma apposta, qualora il dispositivo di firma sia gestito correttamente come previsto dall’art. 32 del Codice dell’amministrazione digitale? Un altro quesito strettamente correlato è il seguente: perché all’art. 21 del CAD, una norma di rango superiore alle Linee Guida, si prevede la nullità della scrittura privata di cui all’art. 1350 primo comma, numeri da 1 a 12, se non sottoscritta con firma digitale o firma elettronica qualificata, attribuendo dunque a questi due strumenti il massimo della rilevanza giuridica e nelle Linee Guida la firma digitale è prevista solo nel contesto delle copie su supporto informatico dei documenti analogici (amministrativi e non), in quello dei duplicati, delle copie e degli estratti informatici di documenti informatici e nel processo di conservazione? Consiglierei pertanto di modificare il punto 2.1.1. aggiungendo “di una firma digitale” come di seguito: “l’immodificabilità e l’integrità sono garantite da una o più delle seguenti operazioni:

• apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata”

Grazie per l’attenzione

PARAGRAFO 2.1.1

Anche a mio avviso sarebbero utili degli esempi pratici per rendere più chiari i punti c) (in particolare cosa si intende per “transazioni o processi informatici”) e d) (in particolare a cosa si intende per “dati o registrazioni appartenenti a più soggetti interoperanti”) che descrivono 2 delle 4 modalità di formazione del documento informatico.

PARAGRAFO 2.2

A mio avviso non chiaro se è sempre necessaria l’attestazione di conformità per garantire la conformità della copia al documento originale o se è sufficiente la firma digitale, da parte di chi crea la copia, sulla copia stessa.

In particolare:

• Il penultimo capoverso segnala che la conformità viene garantita mediante l’apposizione della firma digitale (o di altra tipologia di FEQ, o FEA, o SEQ o SEA) da parte di chi effettua il raffronto, e fin qui non viene introdotto il concetto di “attestazione di conformità”. Sembra quindi che una volta generata la copia, la sola apposizione di una firma digitale da parte di chi effettua il confronto (che potrebbe essere direttamente il pubblico ufficiale stesso) garantisca la conformità della copia stessa all’originale. Si dà per scontato che la firma digitale a cui si fa riferimento nella formulazione del capoverso venga apposta sulla copia stessa oggetto della frase, ma questo aspetto non è esplicitato.

• L’ultimo capoverso però introduce il concetto di “attestazione di conformità”, dando invece per scontato, a mio avviso, che ci debba sempre e comunque essere, se si vuole creare una copia con la garanzia di conformità all’originale (in questo caso la firma digitale prevista sull’attestazione deve essere per forza di un notaio o di un pubblico ufficiale e non genericamente “di chi effettua il raffronto”). Ma se ci deve sempre essere non capisco il senso del capoverso precedente.

Io specificherei meglio i due capoversi, anche possibilmente con qualche esempio pratico, per far capire esattamente cosa si intende nelle varie casistiche senza il rischio che si possa generare qualche ambiguità.

Una possibilità, a mio avviso, potrebbe essere quella di inserire all’inizio dell’ultimo capoverso del PARAGRAFO 2.2 la frase “Laddove richiesta dalla natura dell’attività”, come avviene già nell’ultimo capoverso del PARAGRAFO 2.3, e, indipendentemente da questo possibile inserimento, sarebbe utile far capire i motivi del perché per come è scritto oggi il PARAGRAFO in questo caso non sarebbe possibile specificare il “Laddove possibile”, mentre nella casistica di copia del PARAGRAFO 2.3 sì.

Ulteriori motivi che mi spingono a questo commento

Già facendo riferimento al solo art. 18 del DPR 445/2000 dedicato alla Copie autentiche, alle volte anche tra addetti ai lavori non è così raro che venga fatta un po’ di confusione, o peggio ci siano interpretazioni leggermente diverse, parlando di copie conformi (autentiche o semplici), e proprio per questo motivo semplificherei, anche con esempi pratici scritti direttamente nel testo delle Linee guida o eventualmente nelle note a margine, cosa si intende nelle varie casistiche di copia.

PARAGRAFO 2.2

Sempre in relazione all’art. 18 del DPR 445/2000 (in particolare all’ultima frase del comma 2 relativa alle copie di atti e documenti informatici, che rimanda alle disposizioni contenute in un articolo sempre del DPR 445/2000 che però è stato abrogato dalla prima versione del CAD stesso), facendo riferimento all’art. 23 del CAD (articolo citato nel PARAGRAFO 1.3 delle presenti Linee guida e che rimanda appunto alle Regole tecniche), io inserirei nelle Linee guida anche un PARAGRAFO che approfondisca la casistica delle “Copie analogiche di documenti informatici”, PARAGRAFO ad oggi assente anche nel DPCM 13/11/2014. Ci sono infatti degli ambiti (per fare un esempio pratico, l’elettorale per i Comuni) dove la necessità di stampare su carta alcuni documenti seppur nati in digitale penso ci sarà sempre e avere come riferimento un PARAGRAFO dove venga spiegato cosa è necessario fare per attestare la conformità (possibilmente semplificando le procedure il più possibile e non prevedendo, per esempio, firme anacronistiche da apporre a mano su tutte le pagine o cose analoghe), senza lasciare questi aspetti alla libera interpretazione dei singoli, seppur guidata da tutto il contorno di norme (CAD, Regole tecniche, DPR 445/2000 stesso, …) che sfiorano la casistica, ma senza mai a mio avviso toccarla del tutto, sarebbe utilissimo nei processi di digitalizzazione in atto.

sono d’accordo con @Manolo_Micozzi.

Mi sorge una riflessione:
è necessario fare differenze tra documento amministrativo informatico e documento informatico?
Se è necessario sarebbe utile per tutti capire il perchè di questa distinzione.
Se si può fare a meno di questa distinzione, rendiamo la vita più facile a tutti nella PA

2.1: certezza dell’autore:Per “sottoscrizione” si intende l’apposizione della propria firma olografa e/o digitale al documento o l’azione prevista per la produzione del documento informatico? In questo caso si dovrebbe parlare di eventuale firmatario. Occorre specificare la differenza tra titolare del documento, produttore del documento, sottoscrittore e firmatario. In un processo di produzione documentale i 4 soggetti potrebbero anche non coincidere. Inoltre, come viene identificato l’autore qualora non ci sia “sottoscrizione” e la produzione del documento informatico non preveda l’apposizione della firma elettronica (in tutte le declinazioni accettate dalle LG)?

Credo che, a tutela anche dei soggetti privati obbligati alla conservazioned igitale, sia necessario mantenere una netta distinzione tra documento informatico e documento amminsitrativo informatico, dato che quest’ultimo, identificato come documento in ambito PA, ha indubbiamente esigenze di formazione, gestione e archiviazione diverse rispetto ad un classico processo aziendale privato

non sempre “riferimento temporale” è identificabile con “marca temporale”; sono entrambi riferimenti di tempo ma hanno indubbiamente peso specifico diverso. Nel processo di firma digitale, ad esmepio, deve necessariamente essere presente il riferimento temporale ovvero l’indicazione di data e ora del momento di firma, recuperati dallo strumento utilizzato per la firma, ma questo non si identifica con la funzione di marcatura temporale, erogata invece da una CA e avente valore probatorio verso terzi

Par. 2.1.1

Il documento informatico deve essere identificato in modo univoco e persistente.

Non sono stati confermati i concetti espressi nell’art. 3 c.3 del DPCM 13.11.2014 sulla specifica possibilità di affidare a terzi la tenuta del sistema di gestione o di conservazione. Ritengo che questa previsione sia un concetto utile da mantenere.

apposizione di una firma elettronica qualificata o di un sigillo elettronico qualificato o firma elettronica avanzata

Con l’aggiunta dei riferimenti alla FEA nascono delle preoccupazioni relative all’utilizzo della stessa sia per quanto riguarda il momento della formazione del documento (non si ha il controllo sui sistemi/processi di FEA implementati) sia nella fase di conservazione per garantire l’immodificabilità del documento. Preferiremmo che venissero eliminati i riferimenti alla FEA in questo ambito. In generale, nelle sezioni dove è citata la FEA è necessario inserire a quale normativa si fa riferimento. Si parla di quella italiana del DPCM 22.2.2013 o è un’apertura a quella europea (eIDAS/ETSI)? Come noto la FEA italiana ed europea, seppur condividano una definizione simile, sono profondamente diverse in termini tecnici e di applicazione e questo può essere oggetto di equivoco se non puntualmente normato.

DPCM 13.11.2014 Art. 4.c.3 Nel caso di documento informatico formato ai sensi del comma 1, lettera a) , le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle seguenti operazioni: […] c) il trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa […]

Non si comprendono le ragioni che hanno portato all’eliminazione dei riferimenti previsti nel DPCM all’art. 3 c. 4 lett. c), ossia il trasferimento del documento a soggetti terzi con PEC con ricevuta completa. Dal momento che è un sistema sicuro ed affidabile per garantire l’immodificabilità del documento, capace di dare sicurezza e garanzia al mercato, utilizzato ormai da anni, ritengo che sia opportuno che venga previsto, anche nelle linee guida, quanto era già previsto precedentemente nel DPCM.

La certezza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto il documento stesso

Se ne richiede la riformulazione in una forma più chiara. Non troviamo opportuno questo inserimento all’interno di questo testo e non si capisce cosa dovrebbe aggiungere rispetto agli elementi già normati per le firme nelle loro varie forme.

Par. 2.4.1

Al documento amministrativo informatico si applicano le stesse regole valide per il documento informatico, salvo quanto specificato nel presente paragrafo

Sarebbe utile aggiungere alle definizioni il concetto di documento amministrativo informatico e disciplinare con maggior chiarezza le differenze rispetto al documento informatico.

Aggiungo, come punto di vista di azienda privata: Credo sia utile specificare la non obbligatorietà della certificazione di processo, limitandola si soli casi di contestazione. Si pensi sia ai provider che offrono servizi di scansione dei documenti sia alle aziende private che si occupano della dematerializzazione dei propri documenti e che inviano al responsabile del servizio di conservazione il risultato di queste scansioni: "Nei casi di contestazione, o dove la natura dell’attività lo richieda, sarà possibile attestare la conformità della copia per immagine di un documento analogico tramite -, previo raffronto dei documenti o, nel caso di esigenze di dematerializzazione massiva di documenti analogici, attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia. (inserire eventuale riferimento obbligatorio ai processi riguardanti i documenti originali unici).

Torno sul paragrafo 2.1.1 Formazione del documento informatico

Come già osservato si è aggiunta la possibilità per documenti prodotti con i metodi di cui alle lettere c) e d) di garantire integrità e immodificabilità agli stessi tramite apposizione di firma o sigillo elettronico (avanzati o qualificati).
A ben vedere, tuttavia, tale strumento è riconducibile al caso piu’ generale previsto dalla modalita di formazione di cui alla lettera a): produrre tramite un software in un formato previsto dall’allegato 2.
Infatti, poco cambia se il software è un word processor che gira su un computer isolato dal mondo o un sofisticato meccanismo di integrazione e aggregazione di dati in tempo reale fra banche dati di soggetti distinti.

Si suggerisce, quindi, di rimuovere l’esplicitazione di questa modalità di garanzia di immodificabilità e integrità per quanto prodotto in conformità alle lettere c) e d), perché, di fatto:

• questo porrebbe un freno definitivo all’elaborazione di tecniche efficaci di formazione massiva di documenti;
• fossilizzerebbe tutta la produzione documentaria sulla firma qualificata o avanzata che, ha, per suoi connaturati motivi tecnici e normativi, un orizzonte di validità temporale limitato, oltre il quale si dovrà comunque fare riferimento ad altre forme di garanzia, che quindi potrebbero essere introdotte già in fase di formazione.

Ciò non toglie, ovviamente, che si debba spiegare meglio come realizzare le due tradizionali modalità di garanzia di integrità e immodificabilità (registrazione dell’esito…, applicazione di misure…, estrazione statica con trasferimento in conservazione…).
Credo, e concludo, che la sfida sia trovare dei modi di rendere credibile un documento prodotto con modalità c) e d) (quasi necessariamente in modo automatico e non presidiato) anche al di fuori del sistema che lo produce o che lo rende disponibile per la fruizione in un ambiente autorevole. Risolvere con l’apposizione della firma digitale (o avanzata, o qualificata, o sigillo…) a mio avviso ci porterebbe ad abbandonare la sfida.

Proposta di modifica di parte del contenuto del punto 2.1.1

La parte che propongo di modificare è la seguente

“Il documento informatico deve essere identificato in modo univoco e persistente. Nel caso della Pubblica Amministrazione 1, l’identificazione dei documenti oggetto di registrazione di protocollo è rappresentata dalla segnatura di protocollo univocamente accoppiata al documento. L’identificazione dei documenti non protocollati è affidata alle funzioni del sistema di gestione documentale. In alternativa l’identificazione univoca può essere realizzata mediante associazione al documento di una sua impronta crittografica basata su funzioni di hash che siano ritenute crittograficamente sicure”.

Motivazioni

Premesso che

1. La mia personale interpretazione di quanto da voi previsto al paragrafo 3.5, con riferimento alle informazioni che devono essere contenute nel Manuale di gestione relativamente al protocollo informatico e alle registrazioni particolari, alla lett. d), è che di fatto i documenti informatici che non sono protocollati debbano essere necessariamente oggetto di registrazione particolare (in conformità con quanto previsto dall’art. 53, comma 5, del TUDA).

2. al paragrafo 3.5, con riferimento alle informazioni che devono essere contenute nel Manuale di gestione relativamente al protocollo informatico e alle registrazioni particolari, alla lett. e), si prevede che tra i metadati minimi dei documenti soggetti a registrazione particolare ci sia “un riferimento univoco del documento”.

3. L’identificazione dei documenti oggetto di registrazione di protocollo avviene per mezzo della relativa segnatura.

Si ritiene che

Non essendo prevista la “segnatura” per i documenti non protocollati, ma essendo comunque prevista la loro registrazione particolare, si ritiene sufficiente, per la loro identificazione, la registrazione sul registro particolare previsto e dichiarato nel manuale di gestione, nel quale sarà appunto riportato anche il valore del metadato che contiene il “riferimento univoco del documento”. Eviterei di inserire all’interno di linee guida l’affermazione “L’identificazione dei documenti non protocollati è affidata alle funzioni del sistema di gestione documentale”, che non fornisce alle amministrazioni un’indicazione chiara su come gestire questa attività e che in sostanza si ritiene possa autorizzare soluzioni alternative alla registrazione particolare dei documenti informatici non protocollati che non rientrano tra le tipologie di cui all’art. 53, c. 5 del TUDA.

Inoltre, approfitto di questo mio intervento per osservare che personalmente ritengo auspicabile che le Linee guida dedichino maggiore attenzione alle caratteristiche che dovrebbero avere i registri particolari, visto che in molti contesti (vedi ad es. quello sanitario) per le pubbliche amministrazioni la registrazione al protocollo di molte tipologie documentali rappresenta una oggettiva criticità, essendo queste prodotte e gestite all’interno di sistemi che, per motivi diversi, non possono colloquiare in alcun modo con il sistema di protocollo. Ritengo quindi opportuno che siano fornite indicazioni analoghe a quelle già previste da AgID per il registro giornaliero di protocollo nel documento “Produzione e conservazione del registro di protocollo”.

Grazie

Matteo Sisti

Capitolo 2.1.1
Formazione del documento informatico

• Con riferimento alla certezza dell’autore potrebbe essere opportuno specificare la differenza tra titolare del documento, produttore del documento, sottoscrittore e firmatario. In un processo di produzione documentale i 4 soggetti potrebbero anche non coincidere. Qualora, infatti, non ci sia “sottoscrizione” e la produzione del documento informatico non preveda l’apposizione della firma elettronica potrebbe risultare difficoltoso identificare l’autore del documento.
• Si chiede di conservare la specifica sulla possibilità di affidare a terzi la tenuta del sistema di gestione o di conservazione come già previsto all’art. 3 c. 3 del DPCM 13.11.2014 .
• Considerato che l’insieme minimo dei metadati, come definiti nell’allegato 5 “Metadati” alle presenti linee guida, è costituito da:

1. l’identificativo alfanumerico univoco e persistente;
2. il riferimento temporale;
3. l’oggetto;
4. il soggetto che ha formato il documento;
5. il destinatario, se presente;
   ….e l’impronta crittografica del documento informatico (eventualmente contenuta in una firma, sigillo o marcatura
   temporale elettronica e qualora non già coincidente con l’identificativo univoco), non è chiara la relazione tra l’elenco dei metadati minimi obbligatori e l’elenco dei metadati associati al documento informatico. Per idDoc è prevista la sola impronta HASH.
   L’allegato cita le modalità di formazione come elemento obbligatorio ma queste non rientrano nei metadati minimi.
   Sembra mancare riferimento all’allegato che specifica gli algoritmi di HASH da adottare.
   Le LLGG citano il riferimento temporale ma l’allegato no (a meno che non si intenda il valore “data di registrazione”). D’altro canto, i dati di registrazione NON sono compresi nell’elenco dei metadati minimi.
   Si consiglia di rivedere la relazione tra metadati minimi previsti nelle Linee Guida con definizioni e obbligatorietà previsti nell’allegato 5

• Con l’aggiunta dei riferimenti alla FEA nascono delle preoccupazioni relative all’utilizzo della stessa sia per quanto riguarda il momento della formazione del documento (non si ha il controllo sui sistemi/processi di FEA implementati) sia nella fase di conservazione per garantire l’immodificabilità del documento. Preferiremmo che venissero eliminati i riferimenti alla FEA in questo ambito. In generale, nelle sezioni dove è citata la FEA è necessario inserire a quale normativa si fa riferimento. Si parla di quella italiana del DPCM 22.2.2013 o è un’apertura a quella europea (eIDAS/ETSI)? La FEA italiana ed europea, seppur condividano una definizione simile, sono profondamente diverse in termini tecnici e di applicazione e che questo può essere oggetto di equivoco se non puntualmente normato.
• non si capiscono le ragioni che hanno portato all’eliminazione dei riferimenti previsti nel DPCM all’art. 3 c. 4 lett. c), ossia il trasferimento a soggetti terzi con PEC con ricevuta completa. Chiediamo che venga prevista nuovamente questa modalità per garantire l’immodificabilità del documento.
• La certezza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto il documento stesso. Se ne richiede la riformulazione in una forma più chiara. Non troviamo opportuno questo inserimento all’interno di questo testo e non si capisce cosa dovrebbe aggiungere rispetto agli elementi già normati per le firme nelle loro varie forme.

Capitolo 2.1.1
Formazione del documento informatico

• Con riferimento alla certezza dell’autore potrebbe essere opportuno specificare la differenza tra titolare del documento, produttore del documento, sottoscrittore e firmatario. In un processo di produzione documentale i 4 soggetti potrebbero anche non coincidere. Qualora, infatti, non ci sia “sottoscrizione” e la produzione del documento informatico non preveda l’apposizione della firma elettronica potrebbe risultare difficoltoso identificare l’autore del documento.
  . Si chiede di conservare la specifica sulla possibilità di affidare a terzi la tenuta del sistema di gestione o di conservazione come già previsto all’art. 3 c. 3 del DPCM 13.11.2014
• Considerato che l’insieme minimo dei metadati, come definiti nell’allegato 5 “Metadati” alle presenti linee guida, è costituito da:

1. l’identificativo alfanumerico univoco e persistente;
2. il riferimento temporale;
3. l’oggetto;
4. il soggetto che ha formato il documento;
5. il destinatario, se presente;
   ….e l’impronta crittografica del documento informatico (eventualmente contenuta in una firma, sigillo o marcatura temporale elettronica e qualora non già coincidente con l’identificativo univoco), non è chiara la relazione tra l’elenco dei metadati minimi obbligatori e l’elenco dei metadati associati al documento informatico. Per idDoc è prevista la sola impronta HASH.
   L’allegato cita le modalità di formazione come elemento obbligatorio ma queste non rientrano nei metadati minimi.
   Sembra mancare riferimento all’allegato che specifica gli algoritmi di HASH da adottare.
   Le LLGG citano il riferimento temporale ma l’allegato no (a meno che non si intenda il valore “data di registrazione”). D’altro canto, i dati di registrazione NON sono compresi nell’elenco dei metadati minimi.
   Si consiglia di rivedere la relazione tra metadati minimi previsti nelle Linee Guida con definizioni e obbligatorietà previsti nell’allegato 5
   Con l’aggiunta dei riferimenti alla FEA nascono delle preoccupazioni relative all’utilizzo della stessa sia per quanto riguarda il momento della formazione del documento (non si ha il controllo sui sistemi/processi di FEA implementati) sia nella fase di conservazione per garantire l’immodificabilità del documento. Preferiremmo che venissero eliminati i riferimenti alla FEA in questo ambito. In generale, nelle sezioni dove è citata la FEA è necessario inserire a quale normativa si fa riferimento. Si parla di quella italiana del DPCM 22.2.2013 o è un’apertura a quella europea (eIDAS/ETSI)? La FEA italiana ed europea, seppur condividano una definizione simile, sono profondamente diverse in termini tecnici e di applicazione e che questo può essere oggetto di equivoco se non puntualmente normato.
   non si capiscono le ragioni che hanno portato all’eliminazione dei riferimenti previsti nel DPCM all’art. 3 c. 4 lett. c), ossia il trasferimento a soggetti terzi con PEC con ricevuta completa. Chiediamo che venga prevista nuovamente questa modalità per garantire l’immodificabilità del documento.La certezza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto il documento stesso. Se ne richiede la riformulazione in una forma più chiara. Non troviamo opportuno questo inserimento all’interno di questo testo e non si capisce cosa dovrebbe aggiungere rispetto agli elementi già normati per le firme nelle loro varie forme.

Capitolo 2.2
Potrebbe essere utile specificare la non obbligatorietà della certificazione di processo, limitandola ai soli casi di contestazione. Si pensi sia ai provider che offrono servizi di scansione dei documenti sia alle aziende private che si occupano della dematerializzazione dei propri documenti e che inviano al responsabile del servizio di conservazione il risultato di queste scansioni.
Qualora si prenda in considerazione questa attività nell’ambito della pubblica amministrazione rimane da chiarire se il protocollista che effettua la scansione e verifica la corrispondenza dell’originale sia o no un pubblico ufficiale ovvero se possa firmare esso stesso l’attestazione di dematerializzazione.
Pensare che sia un soggetto terzo a intervenire ulteriormente sul processo produrrebbe un dispendioso aggravio di risorse.
Con riferimento alle copie per immagine su supporto informatico di documenti analogici, sarebbe opportuno evidenziare che, in accordo con la previsione di cui all’art. 22, comma 4 del CAD, la distruzione degli originali analogici sottoscritti sia effettuata solo dopo aver posto in conservazione i documenti informatici.
Nei casi di contestazione, o dove la natura dell’attività lo richieda, sarà possibile attestare la conformità della copia per immagine di un documento analogico tramite raffronto dei documenti o, nel caso di esigenze di dematerializzazione massiva di documenti analogici, attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.

• Con riferimento alla garanzia di immodificabilità e integrità dei documenti formati secondo la lettera b) (acquisizione di copia per immagine), la firma digitale non compare come strumento idoneo alla garanzia dei suddetti requisiti. Fermo restando che la FD è un particolare tipo di firma elettronica avanzata basata su certificati qualificati, o la si considera come opzione sempre possibile oppure potrebbe essere fuorviante citarla a fasi alterne. Si consiglia di inserire un riferimento esplicito alla firma digitale in tutte le sezioni ove è prevista la possibilità di utilizzare una firma elettronica qualificata.