Il ciclo di vita di un documento informatico - Adobe

Massimiliano Girolami
Senior Security Consultant
La Dematerializzazione
dei documenti:
la gestione del
ciclo di vita e
i controlli

ACTALIS - Polo per la sicurezza nell’ICT
• Mercati Telematici
• Sistemi di regolamento
• Rete Interbancaria
• Pubblica Amministrazione
Information
&
Communication Services
Certification
Authority
Certification
Authority
• Pubblica Amministrazione
• Trasporti
• Industria
• Finanza
• Telecomunicazioni e utilities
Centro di competenza in grado di
assicurare i massimi livelli di sicurezza
Certification
Authority
• Carte di Debito e di Credito
• Sistemi di pagamento
interbancari
Certification
Authority
• Banche Popolari
2

Il ruolo di ACTALIS
Progettare, realizzare e commercializzare soluzioni, servizi e prodotti
attinenti alla sicurezza informatica e alle tematiche della Firma Digitale
(PKI - Public Key Infrastructure) a livello nazionale ed internazionale.
Fornire consulenza e formazione in tema di sicurezza informatica e di
smaterializzazione dei processi.
ACTALIS è un Ente Certificatore
iscritto all’Elenco Pubblico dei Certificatori ed è
Fornitore Accreditato di caselle di
PEC - Posta Elettronica Certificata

La carta
Oggi ci troviamo a vivere contemporaneamente in due
mondi paralleli e diversi:
quello “degli atomi” e quello “dei bit”:
il primo è caratterizzato da grandi volumi di documenti e
dalla lentezza di accesso alle informazioni;
il secondo permette di ottenere immediatamente una
risposta alle proprie richieste tramite ricerche veloci,
senza vincoli di tempo né di presenza fisica.
Dobbiamo continuare a spostare le le cose cose
o si deve iniziare a muovere solo le le informazioni?
informazioni
Quali sono i vincoli di un progetto di
smaterializzazione?
4

La Smaterializzazione dei documenti
L’impianto normativo completo
• D.lgs 7/3/05, n. 82, Codice dell'amministrazione digitale (GU 112 del
16 Maggio 2005) emendato dal D.lgs n.159 4/4/06, (GU 99 del 29/4/06).
Contiene tutti gli elementi per la definizione e la validità dei documenti
informatici e il loro inserimento nel corpus legis vigente.
• C.N.I.P.A. - Centro Nazionale per l'Informatica nella Pubblica
Amministrazione - regole per la conservazione dei documenti in
formato elettronico (Deliberazione n° 11/2004 - GU N. 57 del 9 Marzo
2004 )
• Decreto Ministero dell’economia e delle finanze del 23/01/04 - modalità di
gestione di tutti i documenti elettronici con valenza tributaria
• D.lgs 20/2/04, n. 52, recepimeno della direttiva europea, in tema di fatture
elettroniche con firma digitale.
5

Il ciclo di vita di un documento informatico
CREARE USARE ARCHIVIARE CONSERVARE
6

Il ciclo di vita di un documento informatico - creare
CREARE USARE ARCHIVIARE CONSERVARE
CREARE
Documento elettronico:
“semplice”
con valore di “forma scritta”
con valenza tributaria
proveniente da un originale cartaceo
7

Il ciclo di vita di un documento informatico - creare
CREARE USARE ARCHIVIARE CONSERVARE
CREARE
Documento elettronico:
“semplice”
Cod Amm Dig. Art. 20 (Documento informatico)
1. Il documento informatico da chiunque formato, la
registrazione su supporto informatico e la trasmissione
con strumenti telematici conformi alle regole tecniche
di cui all'articolo 71 sono validi e rilevanti agli effetti di
legge, ai sensi delle disposizioni del presente codice.
1-bis. L'idoneita' del documento informatico a
soddisfare il requisito della forma scritta e' liberamente
valutabile in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualita', sicurezza,
integrita' ed immodificabilita',… .
Qualunque documento è accettabile, in linea di principio,
purché non contenga macroistruzioni
8

Il ciclo di vita di un documento informatico - creare
CREARE USARE ARCHIVIARE CONSERVARE
CREARE
Documento elettronico:
“con valore di “forma scritta”
Cod Amm Dig. Art. 20 (Documento informatico)
2. Il documento informatico sottoscritto con firma
elettronica qualificata o con firma digitale, formato nel
rispetto delle regole tecniche stabilite ai sensi
dell'art.71, che garantiscano l'identificabilita'
dell'autore, l'integrita' e l'immodificabilita' del
documento, si presume riconducibile al titolare del
dispositivo di firma ai sensi dell'art. 21, comma 2, e
soddisfa comunque il requisito della forma scritta,
anche nei casi previsti, sotto pena di nullita', dall'art.
1350, primo comma, numeri da 1 a 12 del codice civile.
Qualunque documento firmato con firma digitale
assolve tutti gli obblighi della “forma scritta”
9

Il ciclo di vita di un documento informatico - creare
CREARE USARE ARCHIVIARE CONSERVARE
CREARE
Documento elettronico:
con valenza tributaria
Decreto MF art.3/b
I documenti informatici rilevanti ai fini tributari:
- hanno la forma di documenti statici non
modificabili;
- sono emessi, al fine di garantirne l'attestazione
della data, l'autenticita' e l'integrita', con
l'apposizione del riferimento temporale e della
sottoscrizione elettronica.
Qualunque documento con valenza tributaria deve essere
singolarmente firmato, anche con procedure automatiche
10

Il ciclo di vita di un documento informatico - creare
CREARE USARE ARCHIVIARE CONSERVARE
CREARE
Documento elettronico:
proveniente da un originale cartaceo
Se il documento è un “originale non unico”, ovvero è
possibile risalire al suo contenuto attraverso altre
scritture o documenti di cui sia obbligatoria la
conservazione, anche se in possesso di terzi:
- Scannerizzazione
- Indicizzazione
- Inserimento nel processo di “CONSERVAZIONE”
Se il documento è un “originale unico” l’archivio deve
essere firmato anche da un “pubblico ufficiale”
(CNIPA)
Restano perplessità per i documenti cartacei con
valenza tributaria risolti solo da interpelli specifici.
11

Il ciclo di vita di un documento informatico - usare
CREARE USARE ARCHIVIARE CONSERVARE
USARE
L’esperienza insegna che può
convenire dotarsi di due archivi:
-Un archivio “di lavoro” dove i
documenti elettronici vengono
consultati e utilizzati, anche con
metodi di workflow
-Un archivio per la loro
“conservazione” secondo le
norme, da utilizzare soltanto per
fini di tipo “legale”.
La possibilità di gestire documenti in formato elettronico
in molti casi offre risparmi superiori agli investimenti
12

Il ciclo di vita di un documento informatico - archiviare
CREARE USARE ARCHIVIARE CONSERVARE
CONSERVARE
ARCHIVIARE
Questa fase viene definita nella PA
come “cartellinatura” e prevede
una verifica di congruità degli
archivi, la loro corretta
indicizzazione e tutti i processi
accessori.
Non esiste una specifica normativa
che regoli questo passaggio.
13

Il ciclo di vita di un documento informatico - conservare
CREARE USARE ARCHIVIARE CONSERVARE
CONSERVARE
senza valenza tributaria
Il processo di conservazione sostitutiva di documenti
informatici, anche sottoscritti, così come individuati
nell'art. 1, lettera f), e, eventualmente, anche delle
loro impronte, avviene mediante memorizzazione su
supporti ottici e termina con l'apposizione, sull'insieme
dei documenti o su una evidenza informatica
contenente una o più impronte dei documenti o di
insiemi di essi, del riferimento temporale e della firma
digitale da parte del responsabile della conservazione
che attesta il corretto svolgimento del processo.
(CNIPA)
È quindi sufficiente una firma per un singolo lotto
di documenti.
14

Il ciclo di vita di un documento informatico - conservare
CREARE USARE ARCHIVIARE CONSERVARE
CONSERVARE
CONSERVARE
con valenza tributaria
… e termina con la sottoscrizione elettronica e
l'apposizione della marca temporale, in luogo del
riferimento temporale, sull'insieme dei predetti
documenti ovvero su un'evidenza informatica
contenente l'impronta o le impronte dei documenti o
di insiemi di essi da parte del responsabile della
conservazione ...
(MF)
In questo caso il processo è lo stesso ma è necessaria
la “marca temporale” in luogo del “riferimento temporale”
15

Riferimento o marca ?
RIFERIMENTO
TEMPORALE
MARCA
TEMPORALE
Esiste una importante differenza tra:
“riferimento temporale” e “marca temporale”:
MF 1 - p) "riferimento temporale": informazione, contenente la data e l'ora,
che viene associata ad uno o piu' documenti informatici; l'operazione di
associazione deve rispettare le procedure di sicurezza definite e
documentate, a seconda della tipologia dei documenti da conservare, …
Il riferimento è quindi ottenuto con soluzioni interne
documentate che garantiscono l’associazione e la precisione
(errore massimo ammesso 1”).
Codice Amm Dig. art. 1 ee)
Validazione temporale, il risultato della procedura informatica, con cui si
attribuiscono, ad uno o più documenti informatici, una data ed un orario
opponibili ai terzi;
Fornita solamente da un certificatore
Permette di dare una “data certa” a tutti i documenti
elettronici
16

UN DUBBIO DI TUTTI
Fattura elettronica o fattura cartacea ?
Secondo la nuova normativa si può:
•Produrre “fatture elettroniche” purché munite di firma digitale
e di riferimento temporale.
•Inviarle al corrispondente previo consenso.
•Il corrispondente deve conservarle in formato elettronico.
Poichè una volta scelta una modalità di conservazione si dovrà
utilizzarla per tutti i documenti di quella specie “senza
soluzione di continuità” il nostro corrispondente prima di
accettare una fattura elettronica dovrà avere in funzione un
sistema di conservazione ottico per TUTTE LE FATTURE.
17

UN DUBBIO DI TUTTI
Soluzione:
•Produrre fatture cartacee per i nostri corrispondenti
•Inviarle con i mezzi tradizionali
Ovvero
•Inviare fatture cartacee tramite mezzi informatici usando
la normale posta elettronica dopo aver chiesto conferma
dell’indirizzo di e-mail ai nostri corrispondenti (*).
Cioè mandare un file (p.e. PDF) come allegato senza
bisogno di firma digitale. Il corrispondente deve stampare
il documento e conservarlo con le modalità che vorrà.
•Produrre fatture elettroniche (con firma digitale e
riferimento temporale) per la conservazione del ciclo attivo.
(*) Cod Amm Dig. Dig.
, art. 45 comma 2
18

Il processo – la road map
Ciò definito, le fasi principali da affrontare sono:
1. Definire le tipologie di documenti da smaterializzare
con attenzione alle specifiche caratteristiche
2. Disporre le nomine a Responsabile della
conservazione ed eventuali deleghe / incarichi
3. Contattare un Certificatore per il rilascio dei
certificati qualificati, dei dispositivi di firma e, se
occorrono, delle marche temporali
4. Predisporre e verificare il processo (interno o in
outsourcing)
5. Stendere il “Manuale della conservazione”
6. Mettere in funzione i sistemi di controllo
19

Il processo – un caso pratico
CA/TSA/VA
Creare
documenti
informatici
Richiesta OCSP alla VA
Richiesta marca
Da elaboratore
Da documenti
cartacei
Credenziale della
persona con
potere di firma
Documento
informatico
Server BBF
-Sottoscrizione
elettronica (firma)
-Apposizione Riferimento
temporale (o Marca
Temporale)
- Verifica firma
via CRL o OCSP
- Verifica marca
Credenziale del
responsabile della
conservazione
-Sottoscrizione
elettronica (firma)
- Calcolo Impronta
-Apposizione Marca
Temporale
Documento
Archiviare informatico Documento Conservare
o informatico Documento
Impronta
o informatico Impronta
o Impronta
Utilizzare
20

I sistemi di controllo
I punti critici
Creazione
Creare
documenti
informatici
Da elaboratore
Da documenti
cartacei
Trasferimento
Presa in carico
Documento
informatico
Congruità
Tracciabilità
Riproduzione
Documento
Archiviare informatico Documento Conservare
o informatico Documento
Impronta
o informatico Impronta
o Impronta
21

Il sistema di conservazione sostitutiva
Il processo di conservazione è quindi oramai definito
nelle sue parti principali, resta da passare dal
“generale”, riferendoci a tutti i documenti al
“particolare” ovvero alla specifica tipologia di
documenti che interessano la nostra azienda.
Non tutti i dettagli sono completamente definiti in tutti
i casi (p.e. copia conforme di libri ex-bollati,
distruzione di documenti con valenza tributaria
originali non unici).
Ma ci sono sufficienti margini per cominciare a trarre
vantaggio da questa nuova affermazione dei sistemi
digitali rispetto ai corrispettivi tradizionali, in fondo
nessuna azienda oggi tiene la contabilità con la
“prima nota” registrata a mano !
22

Si rende pertanto necessario acquisire consapevolezza ...
La smaterializzazione dei documenti
Non è solo
una soluzione tecnologica
ma
un fatto di natura culturale
da affrontare con
informazione – formazione - conoscenza
23

Vi ringrazio per
l’attenzione
e
Sono a vostra disposizione
per ogni
approfondimento
massimiliano.girolami@actalis.it

www.actalis.it - info@actalis.it
ICT Security Company
La sicurezza al servizio
dell’Identità Digitale
25