®
|
|
|
Reconocimiento del Valor Jurídico del Documento Digital en Italia: Breve Historia de una Ley.Mas que la historia de una ley en verdad se trata de una serie de leyes y reglamentos. Pero vayamos con orden. La globalizacion de la economía es una realidad tangible y el comercio electrónico la gran novedad del fin de siglo. Pero para hacer negocios se necesita crédito y crédito viene de credere, creer; esto es, para hacer negocios se necesita confianza.1 La confianza se basa en varios elementos uno de los cuales es la seguridad jurídica.. Dado que el comercio electrónico esta basado en el Electronic Data Interchange y que para que haya confianza jurídica es básico que los documentos digitales tengan los mismos atributos que los documentos de papel desde hace algún tiempo los juristas nos hemos abocado a este arduo problema. Obviamente el tema va visto no solo desde el ángulo jurídico pues seria reductivo. No es este el lugar para hacer tales reflexiones pero piénsese solo en las incalculables consecuencias que tuvo la tentativa del Ejecutivo norteamericano de querer imponer un decodificador universal legible por las autoridades federales.2 En Italia quienes más se destacaron en la comprensión de la urgencia de una ley en tal materia fueron las asociaciones de empresarios, en particular el EDIforum Italia3 En particular el Grupo normativo del Ediforum4 se ocupo primero de redactar un proyecto sobre formación, transmisión y conservación de las facturas electrónicas; luego un proyecto de ley sobre el reconocimiento de la validez jurídica del documento electrónico y finalmente un proyecto sobre la creación, archivo y conservación de los documentos electrónicos. Sobre la base de la recomendación del Consejo de Ministros del Consejo de Europa n° 20 del 11 de diciembre de 1981 un proyecto de Ley unificado sobre toda la materia5. No éramos los únicos y había ya bastante atención por parte de los políticos y de una Institución muy peculiar como es el AIPA.6 Si bien la reforma constitucional italiana no ha podido plasmarse, a pesar de la aprobación de las reformas de la comisión D'Alema, la actual coalición de gobierno llevo a cabo una notable reforma de la Administración publica a través de unas leyes que llevan el nombre de su proponente, el Ministro Bassanini, que, en la relación que tienen los ciudadanos con el poder publico y entre sí, son mucho más incisivas que cualquier reforma constitucional7 La Bassanini II, Ley n° 59 del 15 de marzo de 1997, introdujo so capa de simplificación administrativa, el reconocimiento del valor jurídico del documento electrónico. Y lo que es más importante, definía un recorrido institucional para el dictado de las necesarias normas complementarias de esta mera enunciación a través de lo que se llama en Italia una ley delegada, esto es un decreto emanado por el Presidente del Consejo de Ministros bajo la delegación del Parlamento y concertando esa disposición (ley delegada o decreto delegado) con dos comisiones de cada una de las Cámaras. Legge 15.3.1997, n° 59 "Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa". Il 15 Marzo 1997 è stata approvata la legge che prevede la possibilità di utilizzare la firma elettronica sui documenti. Si riporta di seguito un estratto dell'articolo 15 della sopramenzionata legge, nota anche come "Legge Bassanini". Estratto dal Supplemento ordinario alla "Gazzetta Ufficiale", n. 63 del 17 Marzo 1997 - Serie Generale. Articolo 15 1. ...omissis ... 2. Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonchè la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. I criteri e le modalità di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni dalla entrata in vigore della presente legge ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400. Gli schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l'acquisizione del parere delle competenti Commissioni. ... omissis ... Como puede advertirse del enunciado se preveen 180 dias, esto es en septiembre debia promulgarse la ley delegada. Pero el tema no fue facil. Una comision de eminentes juristas tomo nuestro proyecto como base pero la primera dificultad que aparecia era el hecho que nosotros habimos pensado una descarnada ley con 8 articulos. El primero conteniendo solo definiciones y los demas adaptando a cada situacion posible de los documentos electronicos las mismas soluciones que la legislacion italiana preve para los documentos de papel. Sobretodo modificando el art 2220 del Codigo Civil italiano que obliga a mantener durante 10 anos todos los registros y papeles de comercio a los empresarios. La comision coincidia con nuestra modo de encarar pero tratandose de un decreto, aunque fuese una ley o decreto delegado, valia la pena que contuviera ya algunas soluciones de tipo tecnico que nosotros habiamos descartado totalmente para una ley. Asi, con gran trabajo y muchas discusiones en diciembre de 1997 se promulga el esperado decreto delegado sobre el documento que se llamara "informatico" en vez de electronico o digital. Solo en el mes de noviembre fue promulgado el tan esperado decreto delegado n° 59 Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 (Gazz. Uff. n. 60 del 13 marzo 1998) Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59. IL PRESIDENTE DELLA REPUBBLICA Visto l'articolo 87 della Costituzione; Visto l'articolo 17, comma 2, della legge 23 agosto 1988 n. 400; Visto l'articolo 15, comma 2, della legge 15 marzo 1997 n. 59; Visto il decreto legislativo 12 febbraio 1993, n.39; Sentito il Garante per la protezione dei dati personali; Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 5 agosto 1997; Acquisiti i pareri delle commissioni permanenti della Camera dei deputati e del Senato della Repubblica; Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 20 ottobre 1997; Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 31 ottobre 1997; Sulla proposta del Presidente del Consiglio dei Ministri e del Ministro per la funzione pubblica e gli affari regionali, di concerto con il Ministro di grazia e giustizia; EMANA il seguente regolamento: Capo I - PRINCIPI GENERALI Art. 1. (Definizioni) 1. Ai fini del presente regolamento s'intende: a. per documento informatico, la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; b. per firma digitale, il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici; c. per sistema di validazione, il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità; d. per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici; e. per chiave privata, l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica. f. per chiave pubblica, l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi; g. per chiave biometrica, la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente; h. per certificazione, il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni; i. per validazione temporale, il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi; j. per indirizzo elettronico, l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici; k. per certificatore, il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati; l. per revoca del certificato, l'operazione con cui il certificatore annulla la validità del certificato da un dato momento, non retroattivo, in poi; m. per sospensione del certificato, l'operazione con cui il certificatore sospende la validità del certificato per un determinato periodo di tempo; n. per validità del certificato, l'efficacia, e l'opponibilità al titolare della chiave pubblica, dei dati in esso contenuti; o. per regole tecniche, le specifiche di carattere tecnico, ivi compresa ogni disposizione che ad esse si applichi. Art. 2. (Documento informatico) 1. Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento. Art. 3 (Requisiti del documento informatico) 1. Con decreto del Presidente del Consiglio dei Ministri, da emanare entro 180 giorni dall'entrata in vigore del presente regolamento, sentita l'Autorità per l'informatica nella pubblica amministrazione sono fissate le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. 2. Le regole tecniche indicate al comma 1 sono adeguate alle esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche, con decorrenza almeno biennale a decorrere dall'entrata in vigore del presente regolamento. 3. Con il decreto di cui al comma 1 sono altresì dettate le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all'eventuale uso di chiavi biometriche. 4. Resta fermo quanto previsto dall'articolo 15 della legge 31 dicembre 1996, n.675. Art. 4. (Forma scritta) 1. Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta. 2. Gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con decreto del Ministro delle finanze. Art. 5. (Efficacia probatoria del documento informatico) 1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile. 2. Il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile e soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare. Art.6. (Copie di atti e documenti) 1. I duplicati, le copie, gli estratti del documento informatico, anche se riprodotti su diversi tipi di supporto, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento. 2. I documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata la firma digitale di colui che li spedisce o rilascia, secondo le disposizioni del presente regolamento. 3. Le copie su supporto informatico di documenti, formati in origine su supporto cartaceo o, comunque, non informatico, sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata con le modalità indicate dal decreto di cui al comma 1 dell'articolo 3. 4. La spedizione o il rilascio di copie di atti e documenti di cui al comma 2 esonera dalla produzione e dalla esibizione dell'originale formato su supporto cartaceo quando richieste ad ogni effetto di legge. 5. Gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi dell'articolo 3. Art. 7 (Deposito della chiave privata) 1. Il titolare della coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata presso un notaio o altro pubblico depositario autorizzato. 2. La chiave privata di cui si richiede il deposito può essere registrata su qualsiasi tipo di supporto idoneo a cura del depositante e dev'essere consegnata racchiusa in un involucro sigillato in modo che le informazioni non possano essere lette, conosciute od estratte senza rotture od alterazioni. 3. Le modalità del deposito sono regolate dalle disposizioni dell'articolo 605 del codice civile, in quanto applicabili. Art.8. (Certificazione) 1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura con gli effetti di cui all'articolo 2 deve munirsi di una idonea coppia di chiavi e rendere pubblica una di esse mediante la procedura di certificazione. 2. Le chiavi pubbliche di cifratura sono custodite per un periodo non inferiore a dieci anni a cura del certificatore e, dal momento iniziale della loro validità, sono consultabili in forma telematica. 3. Salvo quanto previsto dall'articolo 17, le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione, e dotati dei seguenti requisiti, specificati nel decreto di cui all'articolo 3: a. forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati; b. possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche; c. affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attività di certificazione siano in grado di rispettare le norme del presente regolamento e le regole tecniche di cui all'articolo 3; d. qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale. 4. La procedura di certificazione di cui al comma 1 può essere svolta anche da un certificatore operante sulla base di licenza o autorizzazione rilasciata da altro Stato membro dell'Unione europea o dello Spazio economico europeo, sulla base di equivalenti requisiti. Art. 9. (Obblighi dell'utente e del certificatore) 1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. 2. Il certificatore è tenuto a : a. identificare con certezza la persona che fa richiesta della certificazione; b. rilasciare e rendere pubblico il certificato avente le caratteristiche fissate con il decreto di cui all'articolo 3; c. specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite; d. attenersi alle regole tecniche di cui all'articolo 3; e. informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi; f. attenersi alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675; g. non rendersi depositario di chiavi private; h. procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare , di sospetti abusi o falsificazioni; i. dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche; l. dare immediata comunicazione all'Autorità per l'informatica nella pubblica amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attività e e della conseguente rilevazione della documentazione da parte di altro certificatore o del suo annullamento. CAPO II FIRMA DIGITALE Art. 10 (Firma digitale) 1. A ciascun documento informatico, o a un gruppo di documenti informatici, nonché al duplicato o copia di essi, può essere apposta, o associata con separata evidenza informatica, una firma digitale. 2. L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo. 3. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. 4. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l'ha certificata. 5. L'uso della firma digitale apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate. 6. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere. 7. Attraverso la firma digitale devono potersi rilevare, nei modi e con le tecniche definiti con il decreto di cui all'articolo 3, gli elementi identificativi del soggetto titolare della firma, del soggetto che l'ha certificata e del registro su cui essa è pubblicata per la consultazione. Art. 11 (Contratti stipulati con strumenti informatici o per via telematica) 1. I contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge. 2. Ai contratti indicati al comma 1 si applicano le disposizioni previste dal decreto legislativo 15 gennaio 1992, n.50. Art. 12 (Trasmissione del documento) 1. Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario se trasmesso all'indirizzo elettronico da questi dichiarato. 2. La data e l'ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità alle disposizioni del presente regolamento e alle regole tecniche di cui all'articolo 3, sono opponibili ai terzi. 3. La trasmissione del documento informatico per via telematica, con modalità che assicurino l'avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge. ART. 13 (Segretezza della corrispondenza trasmessa per via telematica) 1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche. 2. Agli effetti del presente regolamento, gli atti, i dati e i documenti trasmessi per via telematica si considerano, nei confronti del gestore del sistema di trasporto delle informazioni, di proprietà del mittente sino a che non sia avvenuta la consegna al destinatario. ART. 14 (Pagamenti informatici) 1. Il trasferimento elettronico dei pagamenti tra privati, pubbliche amministrazioni e tra queste e soggetti privati è effettuato secondo le regole tecniche definite col decreto di cui all'articolo 3. Art.15 (Libri e scritture) 1. I libri, i repertori e le scritture, di cui sia obbligatoria la tenuta possono essere formati e conservati su supporti informatici in conformità alle disposizioni del presente regolamento e secondo le regole tecniche definite col decreto di cui all'articolo 3. Art.16 (Firma digitale autenticata) 1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato. 2. L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico ai sensi dell'articolo 28, numero 1, della legge 16 febbraio 1913, n. 89 . 3. L'apposizione della firma digitale da parte del pubblico ufficiale integra e sostituisce ad ogni fine di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti. 4. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale, secondo le disposizioni dell'articolo 6 del presente regolamento. 5. Ai fini e per gli effetti dell'articolo 3, comma 11, della legge 15 maggio 1997, n. 127, si considera apposta in presenza del dipendente addetto la firma digitale inserita nel documento informatico presentato o depositato presso pubbliche amministrazioni. 6. La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente regolamento. Art. 17 (Chiavi di cifratura della pubblica amministrazione) 1. Le pubbliche amministrazioni provvedono autonomamente, con riferimento al proprio ordinamento, alla generazione, alla conservazione, alla certificazione ed all'utilizzo delle chiavi pubbliche di competenza. 2. Col decreto di cui all'articolo 3 sono disciplinate le modalità di formazione, di pubblicità, di conservazione, certificazione e di utilizzo delle chiavi pubbliche delle pubbliche amministrazioni. 3. Le chiavi pubbliche dei pubblici ufficiali non appartenenti alla pubblica amministrazione sono certificate e pubblicate autonomamente, in conformità alle leggi ed ai regolamenti che definiscono l'uso delle firme autografe nell'ambito dei rispettivi ordinamenti giuridici. 4. Le chiavi pubbliche di Ordini ed Albi professionali legalmente riconosciuti e dei loro legali rappresentanti sono certificate e pubblicate a cura del Ministro di Grazia e Giustizia o suoi delegati. Art. 18 (Documenti informatici delle pubbliche amministrazioni) 1. Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge. 2. Nelle operazioni riguardanti le attività di produzione, immissione, archiviazione, riproduzione e trasmissione di dati, documenti ed atti amministrativi con sistemi informatici e telematici, ivi compresa l'emanazione degli atti con i medesimi sistemi, devono essere indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate sia il soggetto che ha effettuato l'operazione. 3. Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite dall'Autorità per l'informatica nella pubblica amministrazione d'intesa con l'amministrazione degli archivi di Stato. Art. 19 (Sottoscrizione dei documenti informatici delle pubbliche amministrazioni) 1. In tutti i documenti informatici delle pubbliche amministrazioni la firma autografa, o la sottoscrizione comunque prevista, è sostituita dalla firma digitale, in conformità alle norme del presente regolamento. 2. L'uso della firma digitale integra e sostituisce ad ogni fine di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti. CAPO III NORME DI ATTUAZIONE Art.20 (Sviluppo dei sistemi informativi delle pubbliche amministrazioni) 1. Entro il 31 marzo 1998 le pubbliche amministrazioni adottano un piano di sviluppo dei sistemi informativi automatizzati in attuazione delle disposizioni del presente regolamento e secondo le norme tecniche definite dall'Autorità per l'informatica nella pubblica amministrazione. 2. Le pubbliche amministrazioni provvedono, entro 5 anni, a partire dal 1 gennaio 1998, a realizzare o revisionare sistemi informativi finalizzati alla totale automazione delle fasi di produzione, gestione, diffusione ed utilizzazione dei propri dati, documenti, procedimenti ed atti in conformità alle disposizioni del presente regolamento ed alle disposizioni di cui alle leggi 31 dicembre 1996, nn. 675 e 676. 3. Entro il 31 dicembre 1998, le pubbliche amministrazioni valutano in termini di rapporto tra costi e benefici il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia opportuna od obbligatoria la conservazione e provvedono alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici. Art. 21 (Gestione informatica del flusso documentale) 1. Entro il 31 dicembre 1998 le pubbliche amministrazioni dispongono per la tenuta del protocollo amministrativo e per la gestione dei documenti con procedura informatica al fine di consentire il reperimento immediato, la disponibilità degli atti archiviati e l'accesso ai documenti amministrativi per via telematica tra pubbliche amministrazioni e tra queste ed i soggetti privati aventi diritto. ART. 22 (Formulari, moduli e questionari.) 1. Entro il 31 dicembre 1998 le pubbliche amministrazioni provvedono a definire e a rendere disponibili per via telematica moduli e formulari elettronici validi ad ogni effetto di legge per l'interscambio dei dati nell'ambito della rete unitaria e con i soggetti privati. Nótese que el decreto de promulgación el Presidente de la República lo firmo el 10 de noviembre de 197, mientras que la publicación en la Gazzetta Ufficiale es del 13 de marzo de 1998!!! Esto da una idea de las dificultades que se encontraban aun una vez publicado el decreto con el acuerdo de las dos Cámaras. El decreto respetaba sustancialmente la arquitectura de nuestro proyecto. El articulo 1 contiene como el nuestro las definiciones, solo que ahora son mas pues el decreto entra en elementos técnicos como el hecho de haber elegido las llaves asimétricas (publica y privada) para la firma digital, cosa que en nuestro proyecto de ley evitábamos. Llama "documento informático" al documento electrónico o digital con un termino que provoca algunas incertidumbres. Pero sustancialmente respeta la idea del Código Civil italiano en cuanto a la existencia de documentos distinguiéndolos en simples (que valen como principio de prueba) firmados, o "scrittura privata" (que son una prueba) y documentos con firma certificada (por un escribano o una autoridad publica), escrituras publicas, que para desconocer la firma es necesaria una acción de desconocimiento. Del decreto dimos un amplio informe en el volumen Nuovo regime giuridico del documento informatico8 al cual me remito. Faltaban tan solo las normas estrictamente técnicas para implementar la aplicabilidad y para ello hubo que esperar hasta el 8 de febrero de 1999 para que el Presidente del Consejo de Ministros emanara el respectivo decreto y hasta el mes de abril para que apareciera publicado en el boletín oficial. Todas estas pequeñas historias tienen el sentido de mostrar las dificultades que provoca una revolución tan importante desde el punto de vista legal. Con el tiempo serán una anécdota insignificante frente a la gran valentía y determinación de una clase política (gobierno y oposición) que tomaron de frente un problema y le dieron solución. No cabe dudas que el conjunto de estas disposiciones tendrá que ser revisado cuando comience a funcionar y se noten sus defectos. Por empezar toda la parte técnica deberá ser revisada completamente cada dos anos y seria mas que conveniente que una comisión formada por todas las partes interesadas se reunieran periódicamente sin esperar a que transcurran dos anos y tal vez que cambien los técnicos representantes de una u otra institución. Es importante rescatar que Italia tiene ahora una legislación completa en la materia que es la mas completa de Europa9 y que será seguida con suma atención por la Unión Europea para emanar la directiva general sobre el tema. No se han acallado las discusiones que el texto legal comporta pero existe y es completo y nada mejor que leerlo directamente: DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 FEBBRAIO 1999 Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'art. 3, comma 1, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513. Il PRESIDENTE DEL CONSIGLIO DEI MINISTRI Visto l'articolo 15, comma 2, della legge 15 marzo 1997, n. 59; Visto l'articolo 3 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513; Sentita l'Autorità per l'informatica nella pubblica amministrazione; Visto il decreto del Presidente del Consiglio dei Ministri del 30 ottobre 1998, con il quale sono state conferite al Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri, sen. prof. Franco Bassanini, le funzioni di coordinamento delle attività, anche di carattere normativo, inerenti all'attuazione delle leggi 15 marzo 1997, n. 59, 15 maggio 1997, n. 127 e 16 giugno 1998, n. 191, nonché i compiti inerenti alla disciplina dei sistemi informatici presso le pubbliche amministrazioni; DECRETA: Art. 1 1. Il presente decreto stabilisce le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici, di cui all'art. 3, comma 1, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513 e detta altresì le misure tecniche, organizzative e gestionali di cui all'art. 3, comma 3, dello stesso decreto del Presidente della Repubblica 10 novembre 1997, n. 513. Art. 2 1. Le regole tecniche, di cui all'art. 1, sono riportate nell'allegato tecnico del presente decreto, suddivise in cinque titoli recanti: Regole tecniche di base, regole tecniche per la certificazione delle chiavi, regole tecniche sulla validazione temporale e per la protezione dei documenti informatici, regole tecniche per le pubbliche amministrazioni e disposizioni finali. Art. 3 1. Le firme digitali certificate ai sensi dell'art. 8, comma 4, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, sono considerate equivalenti a quelle generate in conformità con le regole tecniche stabilite dal presente decreto. 2. I prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione Europea o dello Spazio economico europeo in conformità dei regolamenti vigenti, sono ritenuti conformi alle regole tecniche stabilite dal presente decreto se tali regolamenti assicurano livelli equivalenti di funzionalità e sicurezza. 3. I commi 1 e 2 del presente articolo si applicano anche agli Stati non appartenenti all'Unione Europea con i quali siano stati stipulati specifici accordi di riconoscimento reciproco. Roma, 8 febbraio 1999 p. il Presidente: Bassanini ALLEGATO TECNICO Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513. TITOLO I Regole tecniche di base Art. 1 Definizioni 1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute nell'art. 1 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513. S'intende, inoltre: a. per "titolare" di una coppia di chiavi asimmetriche, il soggetto a cui è attribuita la firma digitale generata con la chiave privata della coppia, ovvero il responsabile del servizio o della funzione che utilizza la firma mediante dispositivi automatici; b. per "impronta" di una sequenza di simboli binari, la sequenza di simboli binari di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash; c. per "funzione di hash", una funzione matematica che genera, a partire da una generica sequenza di simboli binari, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali. d. per "dispositivo di firma", un apparato elettronico programmabile solo all'origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali; e. per "evidenza informatica", una sequenza di simboli binari che può essere elaborata da una procedura informatica; f. per "marca temporale", un'evidenza informatica che consente la validazione temporale; Art. 2 Algoritmi di generazione e verifica delle firme digitali 1. Per la generazione e la verifica delle firme digitali possono essere utilizzati i seguenti algoritmi: a. RSA (Rivest-Shamir-Adleman algorithm). b. DSA (Digital Signature Algorithm). Art. 3 Algoritmi di hash 1. La generazione dell'impronta si effettua impiegando una delle seguenti funzioni di hash, definite nella norma ISO/IEC 10118-3:1998: a. Dedicated Hash-Function 1, corrispondente alla funzione RIPEMD-160; b. Dedicated Hash-Function 3, corrispondente alla funzione SHA-1. Art. 4 Caratteristiche generali delle chiavi 1. Una coppia di chiavi può essere attribuita ad un solo titolare. 2. Se la firma del titolare viene apposta per mezzo di una procedura automatica, deve essere utilizzata una chiave diversa da tutte le altre in possesso del sottoscrittore. 3. Se la procedura automatica fa uso di più dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una chiave diversa per ciascun dispositivo. 4. Ai fini del presente decreto, le chiavi ed i correlati servizi, si distinguono secondo le seguenti tipologie: a. chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti; b. chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati ed alle loro liste di revoca (CRL) o sospensione (CSL); c. chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali. 5. Non è consentito l'uso di una chiave per funzioni diverse da quelle previste dalla sua tipologia. 6. La lunghezza minima delle chiavi è stabilita in 1024 bit. 7. Il soggetto certificatore determina il termine di scadenza del certificato ed il periodo di validità delle chiavi in funzione degli algoritmi impiegati, della lunghezza delle chiavi e dei servizi cui esse sono destinate. Art. 5 Generazione delle chiavi 1. La generazione della coppia di chiavi deve essere effettuata mediante apparati e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata. 2. Il sistema di generazione delle chiavi deve comunque assicurare: a. la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati; b. l'equiprobabilità di generazione di tutte le coppie possibili; c. l'identificazione del soggetto che attiva la procedura di generazione. 3. La rispondenza dei dispositivi di generazione delle chiavi ai requisiti di sicurezza specificati nel presente articolo deve essere verificata secondo i criteri previsti dal livello di valutazione E3 e robustezza dei meccanismi HIGH dell'ITSEC o superiori. Art. 6 Modalità di generazione delle chiavi 1. La generazione delle chiavi di certificazione e marcatura temporale può essere effettuata esclusivamente dal responsabile del servizio che utilizzerà le chiavi. 2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore. 3. La generazione delle chiavi di sottoscrizione effettuata autonomamente dal titolare deve avvenire all'interno del dispositivo di firma. Art. 7 Generazione delle chiavi al di fuori del dispositivo di firma 1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all'uso della chiave privata, il sistema di generazione deve assicurare: a. l'impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura; b. il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata. 2. Il sistema di generazione deve essere isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto contro i rischi di interferenze ed intercettazioni. 3. L'accesso al sistema deve essere controllato e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve essere registrata nel giornale di controllo. 4. Prima della generazione di una nuova coppia di chiavi, l'intero sistema deve procedere alla verifica della propria configurazione, dell'autenticità ed integrità del software installato e dell'assenza di programmi non previsti dalla procedura. 5. La conformità del sistema ai requisiti di sicurezza specificati nel presente articolo deve essere verificata secondo i criteri previsti dal livello di valutazione E3 e robustezza dei meccanismi HIGH dell'ITSEC, o superiori. Art. 8 Conservazione delle chiavi 1. Le chiavi private sono conservate e custodite all'interno di un dispositivo di firma. È possibile utilizzare lo stesso dispositivo per conservare più chiavi. 2. È vietata la duplicazione della chiave privata o dei dispositivi che la contengono. 3. Per fini particolari di sicurezza, è consentita la suddivisione della chiave privata su più dispositivi di firma. 4. Il titolare delle chiavi deve: a. conservare con la massima diligenza la chiave privata e il dispositivo che la contiene al fine di garantirne l'integrità e la massima riservatezza; b. conservare le informazioni di abilitazione all'uso della chiave privata in luogo diverso dal dispositivo contenente la chiave; c. richiedere immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi. Art. 9 Formato della firma 1. Le firme generate secondo le regole contenute nel presente decreto debbono essere conformi a norme emanate da enti riconosciuti a livello nazionale od internazionale ovvero a specifiche pubbliche (Publicly Available Specification - PAS). 2. Alla firma digitale deve essere allegato il certificato corrispondente alla chiave pubblica da utilizzare per la verifica. Art. 10 Generazione e verifica delle firme 1. Gli strumenti e le procedure utilizzate per la generazione, l'apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce e richiedere conferma della volontà di generare la firma. 2. Il comma 1 non si applica alle firme apposte con procedura automatica, purché l'attivazione della procedura sia chiaramente riconducibile alla volontà del sottoscrittore. 3. La generazione della firma deve avvenire all'interno di un dispositivo di firma così che non sia possibile l'intercettazione del valore della chiave privata utilizzata. 4. Prima di procedere alla generazione della firma, il dispositivo di firma deve procedere all'identificazione del titolare. 5. La conformità degli strumenti utilizzati per la generazione delle firme ai requisiti di sicurezza imposti dal presente decreto deve essere verificata secondo i criteri previsti dal livello di valutazione E3 e robustezza dei meccanismi HIGH dell'ITSEC o superiori. 6. La conformità degli strumenti utilizzati per la verifica delle firme ai requisiti di sicurezza imposti dal presente decreto deve essere verificata secondo i criteri previsti dal livello di valutazione E2 e robustezza dei meccanismi HIGH dell'ITSEC o superiori. Art. 11 Informazioni contenute nei certificati 1. I certificati debbono contenere almeno le seguenti informazioni: a. numero di serie del certificato; b. ragione o denominazione sociale del certificatore; c. codice identificativo del titolare presso il certificatore; d. nome cognome e data di nascita ovvero ragione o denominazione sociale del titolare; e. valore della chiave pubblica; f. algoritmi di generazione e verifica utilizzabili; g. inizio e fine del periodo di validità delle chiavi; h. algoritmo di sottoscrizione del certificato. 2. Dal certificato deve potersi desumere in modo inequivocabile la tipologia delle chiavi. 3. Se il certificato è relativo ad una coppia di chiavi di sottoscrizione, in aggiunta alle informazioni prescritte dal comma 1, possono essere indicati: a. eventuali limitazioni nell'uso della coppia di chiavi; b. eventuali poteri di rappresentanza; c. eventuali abilitazioni professionali. 4. Se il certificato è relativo ad una coppia di chiavi di certificazione, in aggiunta alle informazioni prescritte dal comma 1, deve essere altresì indicato l'uso delle chiavi per la certificazione. 5. Se il certificato è relativo ad una coppia di chiavi di marcatura temporale, in aggiunta alle informazioni prescritte dal comma 1, debbono essere indicati: a. uso delle chiavi per la marcatura temporale; b. identificativo del sistema di marcatura temporale che utilizza le chiavi. Art. 12 Formato dei certificati 1. I certificati e le relative liste di revoca debbono essere conformi alla norma ISO/IEC 9594-8:1995 con le estensioni definite nella Variante 1, ovvero alla specifica pubblica PKCS#6 e PKCS#9 e successive modificazioni o integrazioni. Art. 13 Modalità di accesso al registro dei certificati 1. L'accesso al registro dei certificati mantenuto da ciascun certificatore avviene secondo una modalità compatibile con il protocollo LDAP definito nella specifica pubblica RFC 1777 e successive modificazioni o integrazioni. 2. Il certificatore ha facoltà di fornire modalità di accesso al registro dei certificati aggiuntive rispetto a quella prevista dal comma 1. 3. Ciascun certificatore deve pubblicare gli indirizzi elettronici e telefonici attraverso cui è possibile accedere al registro, attraverso l'elenco pubblico di cui all'articolo 8 comma 3 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513. TITOLO II Regole tecniche per la certificazione delle chiavi Art. 14 Chiavi dell'Autorità per l'informatica nella Pubblica Amministrazione 1. L'Autorità per l'informatica nella Pubblica Amministrazione può delegare la certificazione delle proprie chiavi al Centro Tecnico per l'assistenza ai soggetti che utilizzano la rete unitaria della pubblica amministrazione, istituito dall'articolo 17, comma 19, della legge 15 maggio 1997, n. 127. 2. Per ciascuna coppia di chiavi sono pubblicati sulla Gazzetta Ufficiale della Repubblica Italiana uno o più codici identificativi idonei per la verifica del valore della chiave pubblica. Art. 15 Elenco pubblico dei certificatori 1. L'elenco pubblico tenuto dall'Autorità ai sensi dell'articolo 8, comma 3 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, contiene per ogni certificatore le seguenti informazioni: a. Ragione o denominazione sociale, b. Sede legale, c. Rappresentante legale, d. Nome X.500, e. Indirizzo Internet, f. Elenco numeri telefonici di accesso, g. Lista dei certificati delle chiavi di certificazione, h. Manuale operativo, i. Data di cessazione e certificatore sostitutivo. 2. L'elenco pubblico è sottoscritto dall'Autorità per l'informatica nella Pubblica Amministrazione. Art. 16 Richiesta di iscrizione all'elenco pubblico dei certificatori 1. Chiunque intenda esercitare l'attività di certificatore deve inoltrare all'Autorità per l'informatica nella Pubblica Amministrazione, secondo le modalità da questa definite con apposita circolare, domanda di iscrizione nell'elenco pubblico di cui all'articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513. 2. Alla domanda debbono essere allegati: a. copia del manuale operativo; b. copia del piano per la sicurezza; c. profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi; d. copia della polizza assicurativa a copertura dei rischi dell'attività e dei danni causati a terzi. 3. L'Autorità ha facoltà di chiedere integrazioni della documentazione presentata. 4. Entro 60 giorni dalla presentazione la domanda di iscrizione nell'elenco pubblico è accettata ovvero respinta con provvedimento motivato. La richiesta di documentazione integrativa sospende il decorso dei termini. 5. Il Centro Tecnico per l'assistenza ai soggetti che utilizzano la rete unitaria della pubblica amministrazione è iscritto nell'elenco pubblico dei certificatori con riferimento ai compiti definiti dal decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 ed è tenuto all'osservanza delle disposizioni delle presenti regole tecniche. Art. 17 Iscrizione nell'elenco pubblico dei certificatori 1. Il certificatore, la cui domanda di iscrizione sia stata accettata, deve predisporre con l'Autorità per l'informatica nella Pubblica Amministrazione un sistema di comunicazione sicuro attraverso il quale scambiare le informazioni previste dal presente decreto. 2. Il certificatore deve fornire le informazioni di cui al comma 1 dell'articolo 15, nonché i certificati relativi alle proprie chiavi di certificazione, generati conformemente alle modalità previste dall'articolo 19. 3. Il certificatore deve generare un proprio certificato per ciascuna delle chiavi di firma dell'Autorità per l'informatica nella Pubblica Amministrazione e pubblicarlo nel proprio registro dei certificati. 4. Il certificatore deve mantenere copia della lista, sottoscritta dall'Autorità per l'informatica nella Pubblica Amministrazione, dei certificati relativi alle chiavi di certificazione di cui all'articolo 15, comma 1, lettera g), che deve rendere accessibile per via telematica. Art. 18 Verifica dei requisiti dei certificatori 1. Al verificarsi di ogni variazione dei requisiti di cui all'art. 16 o, comunque, allo scadere di un anno dalla data della precedente richiesta o comunicazione, il certificatore deve confermare per iscritto all'Autorità per l'informatica nella Pubblica Amministrazione la permanenza dei requisiti per l'esercizio dell'attività di certificazione. 2. Il venir meno di uno o più requisiti tra quelli indicati all'art. 16 è causa di cancellazione dall'elenco. 3. Le modalità di esecuzione delle disposizioni del presente articolo sono stabilite con circolare dell'Autorità per l'informatica nella Pubblica Amministrazione. 4. Per l'esercizio delle attività di verifica e controllo previste dalle presenti disposizioni, l'Autorità per l'informatica nella Pubblica Amministrazione può corrispondere con tutte le amministrazioni e chiedere ad esse notizie ed informazioni utili allo svolgimento dei propri compiti, ai sensi dell'articolo 7, comma 4, del decreto legislativo 12 febbraio 1993, n. 39. Art. 19 Generazione delle chiavi di certificazione 1. La generazione delle chiavi di certificazione deve avvenire in modo conforme a quanto previsto dagli articoli 5, 6 e 7. 2. Per ciascuna chiave di certificazione il certificatore deve generare un certificato sottoscritto con la chiave privata della coppia cui il certificato si riferisce. Art. 20 Cessazione dell'attività 1. Il certificatore che intende cessare l'attività è tenuto a comunicare all'Autorità per l'informatica nella Pubblica Amministrazione la data di cessazione con un anticipo di almeno 6 mesi, indicando il certificatore sostitutivo ovvero il depositario del registro dei certificati e della relativa documentazione. 2. L'Autorità per l'informatica nella Pubblica Amministrazione rende nota nell'elenco pubblico la data di cessazione con l'indicazione del certificatore sostitutivo ovvero del depositario del registro dei certificati e della relativa documentazione. 3. Con un anticipo di almeno 6 mesi rispetto alla cessazione dell'attività, il certificatore deve informare i possessori di certificati da esso emessi, specificando che tutti i certificati non scaduti al momento della cessazione debbono essere revocati. Art. 21 Certificazione tra certificatori 1. È consentito ai certificatori definire accordi di certificazione. 2. Con l'accordo di certificazione, un certificatore emette a favore dell'altro un certificato relativo a ciascuna chiave di certificazione che viene riconosciuta nel proprio ambito. 3. I certificati di cui al comma 2 debbono definire la corrispondenza tra le clausole dei rispettivi manuali operativi considerate equivalenti. Art. 22 Registrazione dei titolari 1. Per ottenere la certificazione di una chiave pubblica il titolare deve essere preventivamente registrato presso il certificatore. La richiesta di registrazione deve essere redatta per iscritto e deve essere conservata a cura del certificatore per almeno 10 anni. 2. Al momento della registrazione il certificatore deve verificare l'identità del richiedente. È data facoltà al certificatore di definire, pubblicandole nel manuale operativo, le modalità di identificazione degli utenti. 3. Il certificatore deve attribuire a ciascun titolare registrato un codice identificativo di cui garantisce l'univocità nell'ambito dei propri utenti. Al medesimo soggetto sono attribuiti codici identificativi distinti per ciascuno dei ruoli per i quali egli può firmare. Art. 23 Uso di pseudonimi 1. I dati di cui all'art. 11, comma 1, lettera d) possono essere sostituiti, nel certificato, da uno pseudonimo. 2. La presenza di uno pseudonimo in luogo dei dati anagrafici deve essere esplicitamente indicata nel certificato. 3. Il certificatore ha l'obbligo di conservare le informazioni relative alla reale identità del titolare per almeno 10 anni dopo la scadenza del certificato. Art. 24 Obbligo di informazione 1. Il certificatore deve informare espressamente il richiedente la registrazione riguardo agli obblighi da quest'ultimo assunti in merito alla protezione della segretezza della chiave privata ed alla conservazione ed all'uso dei dispositivi di firma. 2. Il certificatore deve informare espressamente il titolare in ordine agli accordi di certificazione stipulati con altri certificatori ai sensi dell'articolo 21. Art. 25 Comunicazione tra certificatore e titolare 1. Al momento della registrazione il certificatore può fornire al titolare gli strumenti necessari per realizzare un sistema di comunicazione sicuro che consenta, quando il titolare non disponga di ulteriori chiavi utilizzabili per la sua autenticazione, di effettuare per via telematica le seguenti operazioni: a. personalizzazione dei dispositivi di firma; b. richiesta della certificazione di chiavi generate al di fuori dell'ambiente del certificatore; c. richiesta di revoca immediata di un certificato. 2. In assenza del sistema di comunicazione sicuro le operazioni di cui al comma 1 debbono essere effettuate presso il certificatore. Art. 26 Personalizzazione del dispositivo di firma 1. La personalizzazione del dispositivo di firma consiste in: a. acquisizione da parte del certificatore dei dati identificativi del dispositivo di firma utilizzato e loro associazione al titolare; b. registrazione, nel dispositivo di firma, dei dati identificativi del titolare presso il certificatore; c. registrazione, nel dispositivo di firma, dei certificati relativi alle chiavi di certificazione del certificatore. 2. Durante la personalizzazione del dispositivo di firma il certificatore ne verifica il corretto funzionamento. 3. La personalizzazione del dispositivo di firma è registrata nel giornale di controllo. Art. 27 Richiesta di certificazione 1. Il titolare che intende ottenere la certificazione di una coppia di chiavi deve inoltrare la richiesta, attraverso il sistema di comunicazione di cui all'articolo 25, o con altro meccanismo previsto dal manuale operativo. 2. Nella richiesta debbono essere esplicitamente indicate le informazioni che il soggetto non desidera che siano inserite nel certificato. 3. La richiesta di certificazione deve essere conservata a cura del certificatore per un periodo non inferiore ai 10 anni. Art. 28 Generazione dei certificati 1. Prima di emettere il certificato il certificatore deve: a. accertarsi dell'autenticità della richiesta; b. verificare che la chiave pubblica di cui si richiede la certificazione non sia stata certificata da uno dei certificatori iscritti nell'elenco. c. richiedere la prova del possesso della chiave privata e verificare il corretto funzionamento della coppia di chiavi, eventualmente richiedendo la sottoscrizione di uno o più documenti di prova. 2. Qualora la verifica di cui alla lettera b) del comma 1 evidenzi la presenza di certificati relativi alla chiave di cui viene richiesta la certificazione rilasciati ad un titolare diverso dal richiedente, la richiesta di certificazione deve essere rigettata. L'evento deve essere registrato nel giornale di controllo e segnalato al titolare della chiave già certificata. Se è stata fornita la prova di possesso di cui al comma 1 lettera c), per la chiave già certificata deve essere avviata la procedura di revoca dei certificati secondo quanto previsto dall'articolo 30. 3. Il certificato deve essere generato con un sistema conforme a quanto previsto dall'articolo 42. 4. Il certificato deve essere pubblicato mediante inserimento nel registro dei certificati gestito dal certificatore. Il momento della pubblicazione deve essere attestato mediante generazione di una marca temporale, che deve essere conservata fino alla scadenza della validità della chiavi. 5. Il certificato emesso e la relativa marca temporale debbono essere inviati al titolare. 6. Per ciascun certificato emesso il certificatore deve fornire al titolare un codice riservato, da utilizzare in caso di emergenza per l'autenticazione della eventuale richiesta di revoca del certificato. 7. La generazione dei certificati è registrata nel giornale di controllo. Art. 29 Revoca dei certificati relativi a chiavi di sottoscrizione 1. La revoca di un certificato determina la cessazione anticipata della sua validità. 2. La revoca può avvenire su richiesta del titolare o del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, ovvero su iniziativa del certificatore. 3. La revoca del certificato viene effettuata dal certificatore mediante il suo inserimento in una delle liste di certificati revocati (CRL) da lui gestite. La revoca del certificato è efficace a partire dal momento della pubblicazione della lista che lo contiene ed è definitiva. 4. Il momento di pubblicazione della lista deve essere asseverato mediante l'apposizione di una marca temporale. 5. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere immediatamente alla pubblicazione dell'aggiornamento della lista di revoca. 6. La revoca dei certificati è annotata nel giornale di controllo. Art. 30 Revoca su iniziativa del certificatore 1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato deve darne comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale il certificato non è più valido. Art. 31 Revoca su richiesta del titolare 1. La richiesta di revoca deve essere redatta per iscritto dal titolare specificando la motivazione della revoca e la sua decorrenza. 2. La richiesta viene di norma inoltrata attraverso il sistema di comunicazione sicuro di cui all'articolo 25. 3. Modalità alternative di inoltro della richiesta debbono essere specificate dal certificatore nel manuale operativo. 4. Il certificatore deve verificare l'autenticità della richiesta e procedere alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con la modalità prevista dal comma 2. 5. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato. Art. 32 Revoca su richiesta del terzo interessato 1. La richiesta di revoca da parte del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, deve essere inoltrata per iscritto e corredata della documentazione giustificativa. 2. Il certificatore deve notificare la richiesta al titolare. Art. 33 Sospensione dei certificati 1. La validità di un certificato può essere sospesa su richiesta del titolare o del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, ovvero su iniziativa del certificatore. 2. La sospensione del certificato è effettuata dal certificatore attraverso l'inserimento in una delle liste dei certificati sospesi e diviene efficace dal momento della pubblicazione della lista che lo contiene. La data e l'ora di pubblicazione sono garantite dall'apposizione di una marca temporale. 3. La sospensione dei certificati è annotata nel giornale di controllo. Art. 34 Sospensione su iniziativa del certificatore 1. Il certificatore che intende sospendere un certificato deve darne preventiva comunicazione al titolare, specificando i motivi della sospensione e la sua durata. 2. L'avvenuta sospensione del certificato deve essere notificata al titolare specificando la data e l'ora a partire dalla quale il certificato risulta sospeso. 3. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione. Art. 35 Sospensione su richiesta del titolare 1. La richiesta di sospensione deve essere redatta per iscritto dal titolare, specificando la motivazione ed il periodo durante il quale la validità del certificato deve essere sospesa. 2. La richiesta viene di norma inoltrata attraverso il sistema di comunicazione sicuro di cui all'articolo 25. 3. Modalità alternative di inoltro della richiesta debbono essere specificate dal certificatore nel manuale operativo. 4. Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con la modalità prevista dal comma 2. 5. In caso di emergenza è possibile richiedere la sospensione immediata di un certificato utilizzando il codice previsto dal comma 6 dell'articolo 28. La richiesta deve essere successivamente confermata utilizzando una delle modalità previste dal certificatore. Art. 36 Sospensione su richiesta del terzo interessato 1. La richiesta di sospensione da parte del terzo interessato di cui all'articolo 9, comma 2, lettera c) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, deve essere inoltrata per iscritto e corredata della documentazione giustificativa. 2. Il certificatore deve notificare la richiesta al titolare. Art. 37 Sostituzione delle chiavi di certificazione 1. Almeno 90 giorni prima della scadenza del certificato relativo ad una chiave di certificazione il certificatore deve avviare la procedura di sostituzione, generando, con le modalità previste dall'articolo 19, una nuova coppia di chiavi. 2. In aggiunta al certificato previsto dal comma 1, il certificatore deve generare un certificato relativo alla nuova chiave pubblica sottoscritto con la chiave privata della vecchia coppia ed uno relativo alla vecchia chiave pubblica sottoscritto con la nuova chiave privata. 3. I certificati generati secondo quanto previsto dai commi 1 e 2 debbono essere forniti all'Autorità per l'informatica nella Pubblica Amministrazione, la quale provvede all'aggiornamento della lista di cui all'articolo 15, comma 1, lettera g) ed al suo inoltro ai certificatori per la pubblicazione ai sensi dell'articolo 17, comma 4. Art. 38 Revoca dei certificati relativi a chiavi di certificazione 1. La revoca del certificato relativo ad una coppia di chiavi di certificazione è consentita solo nei seguenti casi: a. compromissione della chiave segreta; b. guasto del dispositivo di firma; c. cessazione dell'attività. 2. La revoca deve essere notificata entro 24 ore all'Autorità per l'informatica nella Pubblica Amministrazione ed a tutti i possessori di certificati sottoscritti con la chiave segreta appartenente alla coppia revocata. 3. Il certificato revocato deve essere inserito in una lista di revoca aggiornata immediatamente. 4. I certificati per i quali risultino contemporaneamente compromesse sia la chiave di certificazione con cui sono stati sottoscritti, sia quella utilizzata per la generazione della marca temporale di cui al comma 4 dell'articolo 28 debbono essere revocati. 5. L'Autorità per l'informatica nella Pubblica Amministrazione provvede all'aggiornamento della lista di cui all'articolo 15, comma 1, lettera g) ed al suo inoltro ai certificatori per la pubblicazione ai sensi dell'articolo 17, comma 4. Art. 39 Sostituzione delle chiavi dell'Autorità 1. Almeno 90 giorni prima della scadenza della coppia di chiavi utilizzata per la sottoscrizione dell'elenco pubblico dei certificatori, l'Autorità per l'informatica nella Pubblica Amministrazione provvede alla generazione e certificazione di una nuova coppia di chiavi. 2. Copia degli elementi contenuti nell'elenco pubblico dei certificatori viene sottoscritta con la nuova coppia di chiavi. 3. La lista di cui all'articolo 15, comma 1, lettera g) è inviata ai certificatori per la pubblicazione ai sensi dell'articolo 17, comma 4. Art. 40 Revoca dei certificati relativi alle chiavi dell'Autorità 1. I certificati relativi alle chiavi dell'Autorità per l'informatica nella Pubblica Amministrazione possono essere revocati solo in caso di compromissione della chiave segreta ovvero di guasto del dispositivo di firma. 2. Nell'ipotesi di cui al comma 1, l'Autorità per l'informatica nella Pubblica Amministrazione richiede a ciascun certificatore la revoca immediata del certificato ad essa rilasciato ai sensi dell'art. 17 . 3. L'Autorità per l'informatica nella Pubblica Amministrazione provvede alla sostituzione della chiave revocata secondo quanto previsto dall'articolo 39. Art. 41 Requisiti di sicurezza dei sistemi operativi 1. Il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione per la generazione delle chiavi, la generazione dei certificati e la gestione del registro dei certificati, deve essere conforme almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC. 2. Il requisito di cui al comma 1 non si applica al sistema operativo dei dispositivi di firma. Art. 42 Caratteristiche del sistema di generazione dei certificati 1. La generazione dei certificati deve avvenire su un sistema utilizzato esclusivamente per tale funzione, situato in locali adeguatamente protetti. 2. L'entrata e l'uscita dai locali protetti deve essere registrata sul giornale di controllo. 3. L'accesso ai sistemi di elaborazione deve essere consentito, limitatamente alle funzioni assegnate, esclusivamente al personale autorizzato, identificato attraverso un'opportuna procedura di riconoscimento da parte del sistema al momento di apertura di ciascuna sessione. 4. L'inizio e la fine di ciascuna sessione sono registrate sul giornale di controllo. Art. 43 Registro dei certificati 1. Nel registro dei certificati debbono essere presenti i seguenti elementi: a. i certificati emessi dal certificatore; b. la lista dei certificati revocati; c. la lista dei certificati sospesi. 2. Il certificatore può suddividere le liste dei certificati revocati e sospesi in più liste distinte. 3. Il certificatore può replicare il registro dei certificati su più siti, purché sia garantita la consistenza e l'integrità delle copie. 4. Il registro dei certificati è accessibile a qualsiasi soggetto secondo le modalità previste dall'articolo 13. Art. 44 Requisiti del registro dei certificati 1. Il certificatore deve mantenere una copia di riferimento del registro dei certificati inaccessibile dall'esterno, allocata su un sistema sicuro istallato in locali protetti. 2. Il certificatore deve sistematicamente verificare la conformità tra la copia operativa e la copia di riferimento del registro dei certificati, qualsiasi discordanza deve essere immediatamente segnalata ed annotata nel registro operativo. 3. L'effettuazione delle operazioni che modificano il contenuto del registro dei certificati deve essere possibile solo per il personale espressamente autorizzato. 4. Tutte le operazioni che modificano il contenuto del registro debbono essere registrate sul giornale di controllo. 5. La data e l'ora di inizio e fine di ogni intervallo di tempo nel quale il registro dei certificati non risulta accessibile dall'esterno, nonché quelle relative a ogni intervallo di tempo nel quale una sua funzionalità interna non risulta disponibile debbono essere annotate sul giornale di controllo. 6. Almeno una copia di sicurezza della copia operativa e di quella di riferimento del registro dei certificati deve essere conservata in armadi di sicurezza distinti, situati in locali diversi. Art. 45 Manuale operativo 1. Il manuale operativo definisce le procedure applicate dal certificatore nello svolgimento della propria attività. 2. Il manuale operativo deve essere depositato presso l'Autorità per l'informatica nella Pubblica Amministrazione e pubblicato a cura del certificatore in modo da essere consultabile per via telematica. 3. Il manuale deve contenere almeno le seguenti informazioni: a. dati identificativi del certificatore; b. dati identificativi della versione del manuale operativo; c. responsabile del manuale operativo; d. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme; e. definizione delle responsabilità e delle eventuali limitazioni agli indennizzi; f. tariffe; g. modalità di identificazione e registrazione degli utenti; h. modalità di generazione delle chiavi; i. modalità di emissione dei certificati; l. modalità di sospensione e revoca dei certificati; m. modalità di sostituzione delle chiavi; n. modalità di gestione del registro dei certificati; o. modalità di accesso al registro dei certificati; p. modalità di protezione della riservatezza; q. procedure di gestione delle copie di sicurezza; r. procedure di gestione degli eventi catastrofici. Art. 46 Piano per la sicurezza 1. Il responsabile della sicurezza deve definire un piano per la sicurezza nel quale debbono essere contenuti almeno i seguenti elementi: a. struttura generale, modalità operativa e struttura logistica dell'organizzazione; b. descrizione dell'infrastruttura di sicurezza per ciascun immobile rilevante ai fini della sicurezza; c. allocazione dei servizi e degli uffici negli immobili dell'organizzazione; d. elenco del personale e sua allocazione negli uffici; e. attribuzione delle responsabilità; f. algoritmi crittografici utilizzati; g. descrizione delle procedure utilizzate nell'attività di certificazione; h. descrizione dei dispositivi istallati; i. descrizione dei flussi di dati; l. procedura di gestione delle copie di sicurezza dei dati; m. procedura di gestione dei disastri; n. analisi dei rischi; o. descrizione delle contromisure; p. specificazione dei controlli. 2. Il piano per la sicurezza deve essere conforme a quanto previsto dall'articolo 9, comma 2, lettera f) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, con riguardo alla sicurezza dei dati personali. Art. 47 Giornale di controllo 1. Il giornale di controllo è costituito dall'insieme delle registrazioni effettuate automaticamente dai dispositivi istallati presso il certificatore, allorché si verificano le condizioni previste dal presente decreto. 2. Le registrazioni possono essere effettuate indipendentemente anche su supporti distinti e di tipo diverso. 3. A ciascuna registrazione deve essere associata la data e l'ora in cui essa è stata effettuata. 4. Il giornale di controllo deve essere tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione con la necessaria accuratezza di tutti gli eventi rilevanti ai fini della sicurezza. 5. L'integrità del giornale di controllo deve essere verificata con frequenza almeno mensile. 6. Le registrazioni contenute nel giornale di controllo debbono essere archiviate con le modalità previste dal presente decreto e conservate per un periodo non inferiore a 10 anni. Art. 48 Sistema di qualità del certificatore 1. Entro un anno dall'avvio dell'attività di certificazione, il sistema di qualità del certificatore deve essere certificato secondo le norme ISO 9002. 2. Il manuale della qualità deve essere depositato presso l'Autorità per l'informatica nella Pubblica Amministrazione e disponibile presso il certificatore. Art. 49 Organizzazione del personale del certificatore 1. L'organizzazione del personale del certificatore deve prevedere almeno le seguenti funzioni: a. responsabile della sicurezza; b. responsabile della generazione e custodia delle chiavi; c. responsabile della personalizzazione dei dispositivi di firma; d. responsabile della generazione dei certificati; e. responsabile della gestione del registro dei certificati; f. responsabile della registrazione degli utenti; g. responsabile della sicurezza dei dati; h. responsabile della crittografia; i. responsabile dei servizi tecnici; l. responsabile dell'auditing. 2. È possibile attribuire al medesimo soggetto più funzioni tra quelle previste dal comma 1 purché tra loro compatibili. 3. Sono compatibili tra loro le funzioni specificate nei sottoindicati raggruppamenti: a. generazione e custodia delle chiavi, generazione dei certificati, personalizzazione dei dispositivi di firma, crittografia, sicurezza dei dati; b. registrazione degli utenti, gestione del registro dei certificati, crittografia, sicurezza dei dati. Art. 50 Requisiti di onorabilità del certificatore 1. I requisiti di onorabilità richiesti dall'art. 8, comma 3, lettera b) del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, sono quelli stabiliti con il decreto del Ministro del Tesoro, del Bilancio e della Programmazione economica 18 marzo 1998, n. 161. Art. 51 Requisiti di competenza ed esperienza del personale 1. Il personale cui sono attribuite le funzioni previste dall'articolo 49 deve aver maturato una esperienza almeno quinquennale nella analisi, progettazione e conduzione di sistemi informatici. 2. Per ogni aggiornamento apportato al sistema di certificazione deve essere previsto un apposito corso di addestramento. TITOLO III Regole per la validazione temporale e per la protezione dei documenti informatici Art. 52 Validazione temporale 1. Una evidenza informatica è sottoposta a validazione temporale con la generazione di una marca temporale che le si applichi. 2. Le marche temporali sono generate da un apposito sistema elettronico sicuro in grado di: a. mantenere la data e l'ora conformemente a quanto richiesto dal presente decreto; b. generare la struttura di dati contenente le informazioni specificate dall'articolo 53; c. sottoscrivere digitalmente la struttura di dati di cui alla lettera b). Art. 53 Informazioni contenute nella marca temporale 1. Una marca temporale deve contenere almeno le seguenti informazioni: a. identificativo dell'emittente; b. numero di serie della marca temporale; c. algoritmo di sottoscrizione della marca temporale; d. identificativo del certificato relativo alla chiave di verifica della marca; e. data ed ora di generazione della marca; f. identificatore dell'algoritmo di hash utilizzato per generare l'impronta dell'evidenza informatica sottoposta a validazione temporale; g. valore dell'impronta dell'evidenza informatica. 2. La marca temporale può inoltre contenere un identificatore dell'oggetto a cui appartiene l'impronta di cui alla lettera g) del comma 1. 3. La data e l'ora contenute nella marca temporale sono specificate con riferimento al Tempo Universale Coordinato UTC. Art. 54 Chiavi di marcatura temporale 1. Ogni coppia di chiavi utilizzata per la validazione temporale deve essere univocamente associata ad un sistema di validazione temporale. 2. Al fine di limitare il numero di marche temporali generate con la medesima coppia, le chiavi di marcatura temporale debbono essere sostituite dopo non più di un mese di utilizzazione, indipendentemente dalla durata del loro periodo di validità e senza revocare il corrispondente certificato. 3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale debbono essere utilizzate chiavi di certificazione diverse da quelle utilizzate per i certificati relativi alle normali chiavi di sottoscrizione. Art. 55 Precisione dei sistemi di validazione temporale 1. L'ora assegnata ad una marca temporale deve corrispondere, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al Decreto del Ministro dell'Industria, del Commercio e dell'Artigianato 30 novembre 1993, n. 591, al momento della sua generazione. Art. 56 Sicurezza dei sistemi di validazione temporale 1. Ogni sistema di validazione temporale deve produrre un registro operativo su di un supporto non riscrivibile nel quale sono automaticamente registrati gli eventi per i quali tale registrazione è richiesta dal presente decreto. 2. Qualsiasi anomalia o tentativo di manomissione che possa modificare il funzionamento dell'apparato in modo da renderlo incompatibile con i requisiti del presente decreto, ed in particolare con quello di cui al comma 1 dell'articolo 55, deve essere annotato sul registro operativo e causare il blocco del sistema. 3. Il blocco del sistema di validazione temporale può essere rimosso esclusivamente con l'intervento di personale espressamente autorizzato. 4. La conformità ai requisiti di sicurezza specificati nel presente articolo deve essere verificata secondo i criteri previsti dal livello di valutazione E2 e robustezza dei meccanismi HIGH dell'ITSEC o superiori. Per le componenti destinate alla sottoscrizione delle marche temporali si applicano in ogni caso le disposizioni dell'articolo 10. Art. 57 Registrazione delle marche generate 1. Tutte le marche temporali emesse da un sistema di validazione debbono essere conservate in un apposito archivio digitale fino alla scadenza della chiave pubblica della coppia utilizzata per la loro generazione. Art. 58 Richiesta di validazione temporale 1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'inoltro della richiesta di validazione temporale. 2. La richiesta deve contenere l'evidenza informatica alla quale le marche temporali debbono fare riferimento. 3. L'evidenza informatica può essere sostituita da una o più impronte, calcolate con funzioni di hash previste dal manuale operativo. Debbono essere comunque accettate le funzioni di hash di cui all'articolo 3. 4. La richiesta può specificare l'emissione di più marche temporali per la stessa evidenza informatica. In tal caso debbono essere restituite marche temporali generate con chiavi diverse. 5. La generazione delle marche temporali deve garantire un tempo di risposta, misurato come differenza tra il momento della ricezione della richiesta e l'ora riportata nella marca temporale, non superiore al minuto primo. Art. 59 Protezione dei documenti informatici 1. Al solo fine di assicurare l'associazione tra documento informatico e le relative marche temporali, il certificatore può conservare, dietro richiesta del soggetto interessato, copia del documento informatico cui la marca temporale si riferisce. 2. Nel manuale operativo debbono essere definite le modalità di conservazione e le procedure per la richiesta del servizio. Art. 60 Estensione della validità del documento informatico 1. La validità di un documento informatico, i cui effetti si protraggano nel tempo oltre il limite della validità della chiave di sottoscrizione, può essere estesa mediante l'associazione di una o più marche temporali. 2. Prima della scadenza della marca temporale, il periodo di validità può essere ulteriormente esteso associando una nuova marca all'evidenza informatica costituita dal documento iniziale, dalla relativa firma e dalle marche temporali già ad esso associate. 3. La presenza di una marca temporale valida associata ad un documento informatico secondo quanto previsto dal comma 2, garantisce la validità del documento anche in caso di compromissione della chiave di sottoscrizione, purché la marca temporale sia stata generata antecedentemente a tale evento. Art. 61 Archiviazione dei documenti informatici 1. L'archiviazione dei documenti informatici, anche se formati secondo quanto previsto dall'articolo 6, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513, può essere effettuata con le modalità previste dalla deliberazione 30 luglio 1998, n. 24 dell'Autorità per l'informatica nella Pubblica Amministrazione e successive modificazioni ed integrazioni. 2. Per i documenti informatici si applicano le procedure previste per i documenti formati all'origine su supporto informatico di cui all'articolo 6, comma 1, lettera b) della deliberazione indicata al comma 1. 3. Ai documenti informatici non si applicano le restrizioni di formato previste dall'articolo 6, comma 1, lettera b) della deliberazione. Il responsabile dell'archiviazione può convertire il documento informatico in uno di tali formati, mantenendo nell'archivio il documento originale come versione iniziale del documento archiviato. TITOLO IV Regole tecniche per le pubbliche amministrazioni Art. 62 Certificazione da parte delle Pubbliche Amministrazioni 1. Secondo quanto previsto dal decreto del Presidente della Repubblica 10 novembre 1997, n. 513, le pubbliche amministrazioni provvedono autonomamente alla certificazione delle chiavi pubbliche dei propri organi e uffici, nell'attività amministrativa di loro competenza, osservando le regole tecniche e di sicurezza previste dagli articoli precedenti. A tal fine possono avvalersi dei servizi offerti da certificatori inclusi nell'elenco pubblico di cui all'articolo 8 dello stesso decreto, nel rispetto delle norme vigenti per l'aggiudicazione dei contratti pubblici. 2. Restano salve le disposizioni del decreto del Presidente della Repubblica 23 dicembre 1997, n 522, con riferimento ai compiti di certificazione e di validazione temporale del Centro Tecnico per l'assistenza ai soggetti che utilizzano la rete unitaria delle pubbliche amministrazioni, in conformità alle disposizioni dei regolamenti previsti dall'articolo 15, comma 2, della legge 15 marzo 1997, n. 59. 3. Restano salve le disposizioni contenute nel decreto del Ministero delle finanze 31 luglio 1998, pubblicato nella Gazzetta Ufficiale n. 187 del 12 agosto 1998, concernente le modalità tecniche di trasmissione telematica delle dichiarazioni, e le successive modificazioni ed integrazioni. TITOLO V Disposizioni finali Art. 63 Norme transitorie 1. Le disposizioni che richiedono verifiche secondo i criteri previsti da livelli di valutazione ITSEC non si applicano nei diciotto mesi successivi alla data di entrata in vigore delle presenti regole tecniche. Durante il periodo transitorio, il fornitore o il certificatore, secondo le rispettive competenze, devono tuttavia attestare, mediante autodichiarazione, la rispondenza dei dispositivi ai requisiti di sicurezza imposti dalle suddette disposizioni. Resumiendo la situación jurídica completa italiana sobre la materia es: Ley n° 59 /97, art. 15, inc. 2do. Decreto del Presidente de la República n° 513/97 con 19 artículos y 3 normas de actuación y el Decreto del Presidente del Consejo de Ministros 8-II- 99 3 artículos y 63 normas técnicas. Es relevante para los países terceros (como la Argentina) que el Art. 3. Inc. 3 da validez internacional a los documentos informáticos creados en países diferentes de Italia y de la Unión Europa: Se aplican las presentes normas también a Estados no de la UE con los cuales se hayan estipulado acuerdos de reconocimiento reciproco. Para completar el cuadro normativo en el marco de la Unión Europea vale la pena recordar la Directiva Europea sobre la firma electrónica (Com 297/1998) y la propuesta de directiva sobre el Comercio electrónico (Com 586/1998). La ley italiana, o ese conjunto normativo formado por un articulo de ley, 19 de un decreto delegado y tres de un decreto del Primer Ministro mas 3 artículos de actuación y 63 reglas técnicas, comprende tres tipos de firmas digitales: 1. De suscripción Usada por el firmatario 2. De Certificación Usada por el Certificador 3. De marca temporal. " " " " (UCT. Universal Coordinated Time) La longitud máxima de las llaves 1.024 bit El tema mas cuestionado por los importantes intereses en juego fue obviamente el de los CERTIFICADORES. La ley prevé dos tipos de certificadores: 1. Públicos: art. 62 del DPCM. Las Administraciones publicas proveen en modo autónomo a la Certificación de las llaves publicas de los propios órganos. Siguen en vigor el DPR 522/97 Centro Técnico para la Red Unitaria de la Administración Publica También el DM Finanze 31 julio 1998 sobre la modalidad técnica de transmisión telemática de declaraciones a la AP 2. Privados: deben tener los requisitos previstos para las sociedades de seguros (sobretodo de solvencia, pues si el certificador es solvente, él mismo se encargara de usar las mejores técnicas para evitar reclamos. El certificador no solo garantiza la autenticidad del documento (esto es que la firma pertenece, en su clave publica, a quien la tiene registrada, sino también la fecha y hora de recepción por parte de la certificadora del documento. Desgraciadamente la palabra "certificador" ha introducido ambigüedades debido a la cultura de papel que tenemos. No se trata de alguien que "certifica" la firma como lo hacen los oficiales públicos y los escribanos. Frente al nuevo objeto: documento informático que puede tener una firma y dado que esta reconoce una clave de cifrado asimétrico, la parte publica debe ser depositada en algun lado, como cualquier normal Registro. Esta es la función del "certificador": registrador de la parte publica de la firma digital. Un tema que debiera resultar claro, a esta altura de los acontecimientos es que no se puede (o no se debe) establecer una gabela como en el pasado para quienes quieran hacer uso de esta nueva tecnología. Dado que la mayor parte de las prestaciones y servicios que hay en Internet son gratuitos, es fundamental que para cobrar cualquier cosa haya que acreditar un valor adjunto.10 Es razonable pensar que, con el tiempo de actuación, la experiencia indicara a cada profesión que es lo que específicamente cada uno aporta y aquello por lo cual, como valor agregado, puede cobrar. Todos los certificadores deberán inscribirse en un Registro que llevara el AIPA y es esta misma institución que ya emano una deliberación estableciendo que a los fines de la encriptacion asimétrica los algoritmos deben respetar el apéndice D de la norma ISO 9594-8. Las llaves no pueden tener un largo inferior a 1.024 bit (inc. 6 del art. 4 de las Reglas técnicas) y la encriptacion de la firma digital debe respetar la ISO/IEC DIS 9796-2. A las complicaciones que trae aparejada la mayor complejidad del documento informático con respecto al documento de papel, no pueden escapar los criterios relativos a los datos personales que circulan y circularan siempre mas en esta red casi infinita. En Italia fue creada una Autority específicamente para controlar los derechos de privacidad y comienza a afirmarse il concepto de Drittwirkung, esto es "la vigencia de los derechos fundamentales del trafico jurídico privado"11. La privacidad no solo debe ser garantizada en relación al Estado sino también ante las empresas, cada vez mas transnacionales, cada vez mas importantes que manipulan y operaran siempre mas en la gestión de los grandes servicios, incluyendo los modestisimos registros de certificación de firma electrónica. Se va afirmando en Italia la noción de consumidor que debe ser garantizado no solo con respecto a la privacidad sino en relación a todos sus derechos fundamentales. La ley esta hecha ahora veremos como reaccionan los empresarios y la Administracion publica. La Camara de Diputados esta preparandose para certificar las firmas de sus miembros y usar el sistema de "documentos firmados electronicamente" sea para los actos de su Presidente, sea para los de sus Parlamentarios. Algunos municipios ya utilizan sistemas de firma digital para los certificados que se piden desde casa. Uno de los primeros es el Municipio de Siena y la firma certificada la ha hecho una empresa italiana Finsiel, que presenta su producto de esta manera: FileSign è una soluzione per apporre la firma digitale su un qualsiasi insieme di file ed effettuare la relativa verifica. FileSign permette al firmatario di selezionare file di qualsiasi tipo da file system, di impacchettarli e firmarli. Il risultato è un file in formato standard che può essere utilizzato in vari modi: inviato ad un destinatario via e-mail, file transfer, ..., essere archiviato, essere allegato a FormSignKit, ecc. FileSign può essere impiegato per verificare le firme apposte su documenti creati con FormSignKit. FileSign può utilizzare come dispositivi di firma Smart Card oppure componenti sofware. FileSign con l'apposizione della firma produce un unico oggetto contenente i file, i relativi nomi e tipi (.doc, .xls, ...), la firma stessa ed il certificato del firmatario. I file sono impacchettati in formato MIME e firmati producendo un file in formato standard PKCS#7. FileSign consente di aprire una "busta" in formato standard PKCS#7 che contiene un insieme di file "firmato", di verificare la firma, controllando la validità del certificato del firmatario anche rispetto alle liste di revoca (CRL). FileSign visualizza i dettagli dei file contenuti nella busta, consente di aprire ciascun file con la applicazione associata e di memorizzare ciascun file su file system. FileSign include strumenti per la gestione dell'ambiente sicuro personale (PSE) basato su Smart Card o software. FileSign è integrato con un componente - PKIRegistrar - che permette di inizializzare i dispositivi di firma e di registrare il titolare con una Autorità di Certificazione. Finalmente, el AIPA acaba de publicar la circular sobre los requisitos que deberan cubrir los certificadores estableciendo un Registro publico de Certificadores CIRCOLARE 26 luglio 1999, n. AIPA/CR/22 Art. 16, comma 1, dell'allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale del 15 aprile 1999, serie generale, n. 87 - Modalità per presentare domanda di iscrizione nell'elenco pubblico dei certificatori di cui all'articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513. Premessa Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 ("Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59"), all'articolo 8, comma 3, stabilisce che le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio delle attività, in apposito elenco pubblico, consultabile in via telematica, predisposto e tenuto aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione. Tali certificatori devono essere dotati dei requisiti elencati nello stesso art.8, comma 3, del D.P.R. n.513/1997, e, per quanto riguarda le specifiche, devono osservare le regole tecniche da emanarsi ai sensi dell'articolo 3 dello stesso decreto. Dette regole tecniche, emanate con il D.P.C.M. 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale n. 87 del 15 aprile 1999, all'articolo 16, comma 1, prevedono che: "Chiunque intenda esercitare l'attività di certificatore deve inoltrare all'Autorità per l'informatica nella pubblica amministrazione, secondo le modalità da questa definite con apposita circolare, domanda di iscrizione nell'elenco pubblico di cui all'articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513". Con la presente circolare, resa disponibile anche sul sito Internet dell'AIPA: www.aipa.it, vengono illustrate le modalità con le quali le società interessate ad esercitare l'attività di certificatore dovranno inoltrare domanda all'AIPA. 1. Formalità con le quali deve essere predisposta la domanda e documentazione richiesta. La domanda, sottoscritta dal legale rappresentante della società, in plico chiuso con evidenza del mittente e con l'indicazione "Domanda per l'iscrizione nell'elenco dei certificatori", va indirizzata e fatta pervenire a: Autorità per l'informatica nella pubblica amministrazione Via Solferino, 15 00185 ROMA La consegna può avvenire tramite servizio pubblico o privato oppure a mano nelle ore d'ufficio (09.00-13.00 e 15.00-17.00) dei giorni dal lunedì al venerdì. In quest'ultimo caso, verrà data formale ricevuta di consegna del plico. Il testo della domanda e di tutti i documenti allegati originati dal richiedente, va predisposto utilizzando un sistema di elaborazione testi di larga diffusione. Un supporto informatico contenente tale testo, con l'eccezione del piano per la sicurezza, va allegato alla domanda, insieme alla stampa, in duplice copia, del contenuto del supporto stesso. La domanda deve indicare: * la denominazione della società; * la sede legale; * il o i rappresentanti legali; * elenco dei documenti allegati. È opportuno che vengano indicati il nominativo di una persona cui far riferimento, anche per le vie brevi, e le modalità di contattarla (numeri telefonici, telefax, telex), in vista di una sollecita definizione delle eventuali problematiche che richiedessero chiarimenti di minore importanza. Fatta salva la facoltà di avvalersi, nei casi consentiti, dell'autocertificazione di cui al D.P.R. 20 ottobre 1998, n. 403, alla domanda vanno allegati: b. copia autentica dell'atto costitutivo della società; c. statuto sociale vigente, certificato dalla competente CCIA (non anteriore a 90 giorni); d. certificato di iscrizione nel registro delle imprese (non anteriore a 90 giorni); e. dichiarazione del presidente del collegio sindacale, attestante l'entità del capitale sociale versato nonché l'ammontare e la composizione del patrimonio netto al momento della presentazione della domanda; f. situazione patrimoniale, predisposta e approvata dall'Organo amministrativo (non anteriore a 90 giorni) - (solo per le società già operative); g. relazione del collegio sindacale sulla situazione patrimoniale di cui alla lettera e; h. per le imprese registrate all'estero, documentazione equivalente a quella dei punti precedenti, a norma della legge n. 1253/1966*, legalizzata e tradotta in lingua italiana nelle forme e nei modi di cui alla legge n. 15/1968, salvo le eccezioni espressamente in essa previste; i. elenco nominativo dei componenti del consiglio d'amministrazione e del collegio sindacale, di eventuali amministratori delegati e del o dei direttori, dei soggetti con funzioni equivalenti a quelle del Direttore Generale, con l'indicazione dei relativi poteri. Ognuna delle suddette persone, dovrà risultare in possesso, all'atto della domanda, dei requisiti di onorabilità stabiliti dal decreto del Ministro del Tesoro, del Bilancio e della Programmazione economica 18 marzo 1998, n. 161, comprovato da: - per i cittadini italiani residenti in Italia: * dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato; * certificato casellario giudiziale; * certificato carichi pendenti presso la pretura e presso il tribunale; * dichiarazione, resa davanti a pubblico ufficiale, di non esser stato destinatario, in altri Stati, di provvedimenti che importerebbero, secondo l'ordinamento italiano, la perdita dei requisiti di onorabilità di cui al decreto suddetto; - per le persone che non rientrano nella categoria di cui al precedente alinea: * dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato; * certificati attestanti che la persona non è fallita o sottoposta a procedura equivalente, con parere legale che suffraghi l'idoneità dei certificati in questione; nel caso che il Paese di residenza non rilasci certificati, può essere accettata una dichiarazione sostitutiva resa davanti a pubblico ufficiale; * le firme sulla documentazione vanno apposte a norma della legge n. 1253/1966. Per entrambe le categorie, la prescritta certificazione antimafia sarà acquisita a cura dell'Autorità; i. copia della polizza assicurativa (o certificato provvisorio impegnativo) a copertura dei rischi dell'attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata ad esercitare nel campo dei rischi industriali, a norma delle vigenti disposizioni; j. copia dell'ultimo bilancio con relativa certificazione, se la società è stata costituita da più di un anno. Se il bilancio non è stato certificato, la società dovrà allegare una dichiarazione di impegno a certificare il bilancio a partire dall'esercizio in corso al momento della presentazione della domanda; k. dichiarazione del presidente della società attestante la composizione dell'azionariato, per quanto nota, con indicazione, comunque, dei soggetti partecipanti, in forma diretta o indiretta, al capitale sociale, in misura superiore al 5%; l. dichiarazione di piena disponibilità a consentire accessi presso le strutture dedicate alle operazioni di certificazione da parte di incaricati dell'AIPA, finalizzati alla verifica del mantenimento della rispondenza ai requisiti tecnico-organizzativi di cui alla documentazione allegata alla domanda; Alla domanda vanno altresì allegati, secondo le modalità specificate nel seguito: m. copia del manuale operativo; n. copia del piano per la sicurezza; o. una relazione sulla struttura organizzativa; p. fermo restando quanto prescritto dall'articolo 18 del D.P.C.M. 8 febbraio 1999 sopra citato, dichiarazione di impegno a comunicare tempestivamente all'AIPA ogni variazione significativa delle soluzioni tecnico-organizzative adottate. 2. Requisiti tecnico-organizzativi da documentare 2.1 Manuale operativo Il manuale operativo va strutturato in modo tale da essere integralmente consultabile per via telematica, come prescritto dall'articolo 45, comma 2, del D.P.C.M. sopra citato. Il manuale deve contenere almeno le seguenti informazioni: a. dati identificativi del certificatore; b. dati identificativi della versione del manuale operativo; c. responsabile del manuale operativo; d. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme; e. definizione delle responsabilità e delle eventuali limitazioni agli indennizzi; f. tariffe; g. modalità di identificazione e registrazione degli utenti; h. modalità di generazione delle chiavi; i. modalità di emissione dei certificati; j. modalità di sospensione e revoca dei certificati; k. modalità di sostituzione delle chiavi; l. modalità di gestione del registro dei certificati; m. modalità di accesso al registro dei certificati; n. modalità di protezione della riservatezza. 2.2 Piano per la sicurezza Il documento contenente il piano per la sicurezza, in quanto coperto da riservatezza, deve essere racchiuso in una busta sigillata, all'interno del plico contenente la domanda, con evidenza della società e l'indicazione "Piano per la sicurezza - versione del ...(data)". Il piano deve contenere almeno i seguenti elementi: a. struttura generale, modalità operativa e struttura logistica dell'organizzazione; b. descrizione sommaria dell'infrastruttura di sicurezza per ciascun immobile; c. breve descrizione dell'allocazione degli impianti informatici, dei servizi e degli uffici negli immobili dell'organizzazione; d. elenco del personale addetto; e. attribuzioni dettagliate delle responsabilità; f. algoritmi crittografici utilizzati; g. descrizione delle procedure utilizzate nell'attività di certificazione, con particolare riferimento ai problemi di sicurezza, alla gestione del log-file e alla garanzia della sua integrità; h. descrizione dei dispositivi di sicurezza installati; i. descrizione dei flussi di dati; j. procedura di gestione delle copie di sicurezza dei dati (modalità e frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche); k. procedura di gestione dei disastri (precisare i tipi di disastri per i quali sono state previste delle soluzioni: per calamità naturali, per dolo, per indisponibilità prolungata del sistema, per altre ragioni; descrivere le soluzioni con dettagli sui tempi e le modalità previste per il ripristino del servizio); l. analisi dei rischi (precisare i tipi di rischi: per dolo, per infedeltà del personale, per inefficienza operativa, per inadeguatezza tecnologica, per altre ragioni); m. descrizione delle contromisure (precisare i tempi di reazioni previsti e i nomi dei responsabili); n. specificazione dei controlli (precisare se è previsto il ricorso periodico a ispezioni esterne). 2.3 Organizzazione del personale Va predisposto un apposito documento contenente la descrizione dell'organizzazione del personale, limitatamente alle funzioni elencate nell'articolo 49 del D.P.C.M. 8 febbraio 1999; tale atto deve essere corredato da un'adeguata documentazione, a norma del successivo articolo 51 del medesimo D.P.C.M., dell'esperienza maturata dal personale stesso. Va precisato, in particolare, a norma dell'articolo 16, comma 2, del D.P.C.M. 8 febbraio 1999, il profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi. Tale profilo dovrà essere idoneo ad attestare il possesso della competenza e dell'esperienza richiesti dall'art.8, comma 3, lett. c), del DPR n. 513/1997. 3. Requisiti tecnico-organizzativi da autocertificare La società è tenuta a specificare, con apposita dichiarazione, i punti che seguono: a. algoritmi di generazione e verifica firme utilizzati e supportati; b. algoritmi di hash utilizzati e supportati; c. lunghezza delle chiavi; d. assicurazioni relative al sistema di generazione delle chiavi; e. caratteristiche del sistema di generazione; f. informazioni contenute nei certificati; g. formato dei certificati; h. modalità di accesso al registro dei certificati; i. modalità con la quale viene soddisfatta la verifica dell'unicità della chiave pubblica, in rapporto allo stato delle conoscenze scientifiche e tecnologiche; j. caratteristiche del sistema di generazione dei certificati; k. modalità di attuazione della copia del registro dei certificati; l. modalità di tenuta del giornale di controllo; m. descrizione del sistema di validazione temporale adottato; n. impegno ad adottare ogni opportuna misura tecnico-organizzativa volta a garantire il rispetto delle disposizioni della legge 31 dicembre 1996, n. 675. É data facoltà di limitare la documentazione alle sole informazioni non soggette a particolari ragioni di riservatezza. L'AIPA, dal canto suo, si riserva, a norma dell'articolo 16, comma 3, del D.P.C.M. 8 febbraio 1999, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato. 4. Modalità di esame delle domande L'istruttoria delle domande e della relativa documentazione sarà svolta, sotto il controllo di un Membro dell'Autorità all'uopo designato, a cura degli uffici, con il supporto specialistico del Centro Tecnico di cui all'articolo 17, comma 19, della legge 15 maggio 1997, n. 127. Al termine dell'istruttoria, sulla richiesta di iscrizione nell'elenco dei certificatori sarà adottata dall'Autorità, su proposta formulata dal Membro designato, motivata deliberazione di accoglimento o di reiezione ovvero, se ritenuta necessaria, di integrazione dell'istruttoria. La società, le cui domande di inserzione siano state oggetto di provvedimento di reiezione, non possono presentare una nuova istanza, se non siano trascorsi almeno 6 (sei) mesi dalla data di comunicazione del provvedimento stesso e, comunque, prima che siano cessate le cause che hanno determinato il non accoglimento della precedente domanda. Eventuali richieste di delucidazioni e/o chiarimenti potranno essere inoltrate al Direttore Generale dell'Autorità per l'informatica nella Pubblica Amministrazione. Il Presidente: REY Specifiche Tecniche * Ambiente operativo Windows 95/NT. * Formato di imbustamento: MIME e PKCS#7. * Firma digitale: standard RSA con chiave a 1024 bit e modalità PKCS#1. * Autorità di Certificazione: VillageTrust. * Dispositivo di firma: Smart Card (tra cui Schlumberger Cryptoflex 8k e DeLaRue DXPlus) oppure software. Todo esto es la simple y descarnada visión de las normas. Para un estudio más completo visite el sito http://www.dsp.unipi.it/ReteChasqui/Commercio electrónico. Para las criticas, que sabemos numerosas, diríjase a la dirección de correo indicada al comienzo. 1 No solo para hacer negocios. La confianza politica se llama legitimidad y en definitiva lo de "comercio electronico es un nombre bastante limitado para algo tan enorme como la nueva forma de comunicar: 2 Por empezar non tener una ley federal sobre el reconocimiento del valor juridico del documento electronico sino solo en algunos (pocos) Estados 3 Del cual ejerci la Presidencia desde su fundacion en 1981 hasta 1998. Gracias a mi edad soy el Presidente honorario. 4 Compuesto por los abogados Emilio y Stefano Fadda, Paola Palmerini, Antonio y Umberto Placanica, Allegra Stracuzzi y los ingenieros Alfonso Lombardini y Giorgio Gatto y coordinado por mi. 5 Publicado en 1996 con el titulo Il documento elettronico. Trasmissione e Conservazione. Analisi dell'Attuale situazione giuridica in Italia e proposte di Miglioramento, Antonio Pellicani Editore, Roma. 6 Autoridad para la Informatizacion de la Publica Administracion. 7 Referido a la situacion italiana que permite la reforma constitucional por voto directo del Parlamento, con ciertas mayorias (art. 138 de la Constitucion) pero limitado al ambito que el propio Parlamento establezca y que generalmetne se reduce a las relaciones entre los propios poderes del Estado. Importantisimo desde el punto de vista de la ingenieria constitucional, bastante menos con relacion a los ciudadanos. 8 Curador Antonio A. Martino, FrancoAngeli, Milano 1998. Siempre fruto del trabajo del Grupo normativo de Ediforum (ver nota 4) enriquecido por los aportes de los juristas Gabriele Bonaguidi y Ugo Giorgio Pacifici Noja y del ingeniero Pieraugusto Pozzi. Con una magnifica descripcion de Giorgio Gatto sobre los temas de encriptacion y diferentes tipos de llaves para la firma digital. 9 Y en el mundo, pudiendo solo compararse con la ley australiana y las pocas existentes en algunos Estados de EEUU. 10 Si las pequeñas y medianas empresas son reacias al uso del comercio electrónico porque perciben que deberán reorganizar sus empresas, si además, se les dice que el comercio electrónico será mas caro pues deben pagar un "derecho" o "gabela" a alguna institución o corporación, resistirán virtuosamente con el papel hasta que puedan. 11 St. Oeter, "Drittwirkung" der Grundrechte und die Autonomie de Privatrechts, "AöR", 119, 1994, pp. 529 e ss. martinoPágina 2810/31/99 |
|
Enviar correo electrónico a webmaster@notariadigital.com con preguntas o comentarios sobre
este sitio Web.
|