Il ciclo di vita di un documento informatico - Adobe
Il ciclo di vita di un documento informatico - Adobe
Il ciclo di vita di un documento informatico - Adobe
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Massimiliano Girolami<br />
Senior Security Consultant<br />
La Dematerializzazione<br />
dei documenti:<br />
la gestione del<br />
<strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> e<br />
i controlli
ACTALIS - Polo per la sicurezza nell’ICT<br />
• Mercati Telematici<br />
• Sistemi <strong>di</strong> regolamento<br />
• Rete Interbancaria<br />
• Pubblica Amministrazione<br />
Information<br />
&<br />
Comm<strong>un</strong>ication Services<br />
Certification<br />
Authority<br />
Certification<br />
Authority<br />
• Pubblica Amministrazione<br />
• Trasporti<br />
• Industria<br />
• Finanza<br />
• Telecom<strong>un</strong>icazioni e utilities<br />
Centro <strong>di</strong> competenza in grado <strong>di</strong><br />
assicurare i massimi livelli <strong>di</strong> sicurezza<br />
Certification<br />
Authority<br />
• Carte <strong>di</strong> Debito e <strong>di</strong> Cre<strong>di</strong>to<br />
• Sistemi <strong>di</strong> pagamento<br />
interbancari<br />
Certification<br />
Authority<br />
• Banche Popolari<br />
2
<strong>Il</strong> ruolo <strong>di</strong> ACTALIS<br />
Progettare, realizzare e commercializzare soluzioni, servizi e prodotti<br />
attinenti alla sicurezza informatica e alle tematiche della Firma Digitale<br />
(PKI - Public Key Infrastructure) a livello nazionale ed internazionale.<br />
Fornire consulenza e formazione in tema <strong>di</strong> sicurezza informatica e <strong>di</strong><br />
smaterializzazione dei processi.<br />
ACTALIS è <strong>un</strong> Ente Certificatore<br />
iscritto all’Elenco Pubblico dei Certificatori ed è<br />
Fornitore Accre<strong>di</strong>tato <strong>di</strong> caselle <strong>di</strong><br />
PEC - Posta Elettronica Certificata
La carta<br />
Oggi ci troviamo a vivere contemporaneamente in due<br />
mon<strong>di</strong> paralleli e <strong>di</strong>versi:<br />
quello “degli atomi” e quello “dei bit”:<br />
il primo è caratterizzato da gran<strong>di</strong> volumi <strong>di</strong> documenti e<br />
dalla lentezza <strong>di</strong> accesso alle informazioni;<br />
il secondo permette <strong>di</strong> ottenere imme<strong>di</strong>atamente <strong>un</strong>a<br />
risposta alle proprie richieste tramite ricerche veloci,<br />
senza vincoli <strong>di</strong> tempo né <strong>di</strong> presenza fisica.<br />
Dobbiamo continuare a spostare le le cose cose<br />
o si deve iniziare a muovere solo le le informazioni?<br />
informazioni<br />
Quali sono i vincoli <strong>di</strong> <strong>un</strong> progetto <strong>di</strong><br />
smaterializzazione?<br />
4
La Smaterializzazione dei documenti<br />
L’impianto normativo completo<br />
• D.lgs 7/3/05, n. 82, Co<strong>di</strong>ce dell'amministrazione <strong>di</strong>gitale (GU 112 del<br />
16 Maggio 2005) emendato dal D.lgs n.159 4/4/06, (GU 99 del 29/4/06).<br />
Contiene tutti gli elementi per la definizione e la vali<strong>di</strong>tà dei documenti<br />
informatici e il loro inserimento nel corpus legis vigente.<br />
• C.N.I.P.A. - Centro Nazionale per l'Informatica nella Pubblica<br />
Amministrazione - regole per la conservazione dei documenti in<br />
formato elettronico (Deliberazione n° 11/2004 - GU N. 57 del 9 Marzo<br />
2004 )<br />
• Decreto Ministero dell’economia e delle finanze del 23/01/04 - modalità <strong>di</strong><br />
gestione <strong>di</strong> tutti i documenti elettronici con valenza tributaria<br />
• D.lgs 20/2/04, n. 52, recepimeno della <strong>di</strong>rettiva europea, in tema <strong>di</strong> fatture<br />
elettroniche con firma <strong>di</strong>gitale.<br />
5
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong><br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
6
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - creare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CREARE<br />
Documento elettronico:<br />
“semplice”<br />
con valore <strong>di</strong> “forma scritta”<br />
con valenza tributaria<br />
proveniente da <strong>un</strong> originale cartaceo<br />
7
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - creare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CREARE<br />
Documento elettronico:<br />
“semplice”<br />
Cod Amm Dig. Art. 20 (Documento <strong>informatico</strong>)<br />
1. <strong>Il</strong> <strong>documento</strong> <strong>informatico</strong> da chi<strong>un</strong>que formato, la<br />
registrazione su supporto <strong>informatico</strong> e la trasmissione<br />
con strumenti telematici conformi alle regole tecniche<br />
<strong>di</strong> cui all'articolo 71 sono vali<strong>di</strong> e rilevanti agli effetti <strong>di</strong><br />
legge, ai sensi delle <strong>di</strong>sposizioni del presente co<strong>di</strong>ce.<br />
1-bis. L'idoneita' del <strong>documento</strong> <strong>informatico</strong> a<br />
sod<strong>di</strong>sfare il requisito della forma scritta e' liberamente<br />
valutabile in giu<strong>di</strong>zio, tenuto conto delle sue<br />
caratteristiche oggettive <strong>di</strong> qualita', sicurezza,<br />
integrita' ed immo<strong>di</strong>ficabilita',… .<br />
Qual<strong>un</strong>que <strong>documento</strong> è accettabile, in linea <strong>di</strong> principio,<br />
purché non contenga macroistruzioni<br />
8
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - creare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CREARE<br />
Documento elettronico:<br />
“con valore <strong>di</strong> “forma scritta”<br />
Cod Amm Dig. Art. 20 (Documento <strong>informatico</strong>)<br />
2. <strong>Il</strong> <strong>documento</strong> <strong>informatico</strong> sottoscritto con firma<br />
elettronica qualificata o con firma <strong>di</strong>gitale, formato nel<br />
rispetto delle regole tecniche stabilite ai sensi<br />
dell'art.71, che garantiscano l'identificabilita'<br />
dell'autore, l'integrita' e l'immo<strong>di</strong>ficabilita' del<br />
<strong>documento</strong>, si presume riconducibile al titolare del<br />
<strong>di</strong>spositivo <strong>di</strong> firma ai sensi dell'art. 21, comma 2, e<br />
sod<strong>di</strong>sfa com<strong>un</strong>que il requisito della forma scritta,<br />
anche nei casi previsti, sotto pena <strong>di</strong> nullita', dall'art.<br />
1350, primo comma, numeri da 1 a 12 del co<strong>di</strong>ce civile.<br />
Qual<strong>un</strong>que <strong>documento</strong> firmato con firma <strong>di</strong>gitale<br />
assolve tutti gli obblighi della “forma scritta”<br />
9
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - creare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CREARE<br />
Documento elettronico:<br />
con valenza tributaria<br />
Decreto MF art.3/b<br />
I documenti informatici rilevanti ai fini tributari:<br />
- hanno la forma <strong>di</strong> documenti statici non<br />
mo<strong>di</strong>ficabili;<br />
- sono emessi, al fine <strong>di</strong> garantirne l'attestazione<br />
della data, l'autenticita' e l'integrita', con<br />
l'apposizione del riferimento temporale e della<br />
sottoscrizione elettronica.<br />
Qual<strong>un</strong>que <strong>documento</strong> con valenza tributaria deve essere<br />
singolarmente firmato, anche con procedure automatiche<br />
10
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - creare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CREARE<br />
Documento elettronico:<br />
proveniente da <strong>un</strong> originale cartaceo<br />
Se il <strong>documento</strong> è <strong>un</strong> “originale non <strong>un</strong>ico”, ovvero è<br />
possibile risalire al suo contenuto attraverso altre<br />
scritture o documenti <strong>di</strong> cui sia obbligatoria la<br />
conservazione, anche se in possesso <strong>di</strong> terzi:<br />
- Scannerizzazione<br />
- In<strong>di</strong>cizzazione<br />
- Inserimento nel processo <strong>di</strong> “CONSERVAZIONE”<br />
Se il <strong>documento</strong> è <strong>un</strong> “originale <strong>un</strong>ico” l’archivio deve<br />
essere firmato anche da <strong>un</strong> “pubblico ufficiale”<br />
(CNIPA)<br />
Restano perplessità per i documenti cartacei con<br />
valenza tributaria risolti solo da interpelli specifici.<br />
11
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - usare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
USARE<br />
L’esperienza insegna che può<br />
convenire dotarsi <strong>di</strong> due archivi:<br />
-Un archivio “<strong>di</strong> lavoro” dove i<br />
documenti elettronici vengono<br />
consultati e utilizzati, anche con<br />
meto<strong>di</strong> <strong>di</strong> workflow<br />
-Un archivio per la loro<br />
“conservazione” secondo le<br />
norme, da utilizzare soltanto per<br />
fini <strong>di</strong> tipo “legale”.<br />
La possibilità <strong>di</strong> gestire documenti in formato elettronico<br />
in molti casi offre risparmi superiori agli investimenti<br />
12
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - archiviare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CONSERVARE<br />
ARCHIVIARE<br />
Questa fase viene definita nella PA<br />
come “cartellinatura” e prevede<br />
<strong>un</strong>a verifica <strong>di</strong> congruità degli<br />
archivi, la loro corretta<br />
in<strong>di</strong>cizzazione e tutti i processi<br />
accessori.<br />
Non esiste <strong>un</strong>a specifica normativa<br />
che regoli questo passaggio.<br />
13
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - conservare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CONSERVARE<br />
senza valenza tributaria<br />
<strong>Il</strong> processo <strong>di</strong> conservazione sostitutiva <strong>di</strong> documenti<br />
informatici, anche sottoscritti, così come in<strong>di</strong>viduati<br />
nell'art. 1, lettera f), e, eventualmente, anche delle<br />
loro impronte, avviene me<strong>di</strong>ante memorizzazione su<br />
supporti ottici e termina con l'apposizione, sull'insieme<br />
dei documenti o su <strong>un</strong>a evidenza informatica<br />
contenente <strong>un</strong>a o più impronte dei documenti o <strong>di</strong><br />
insiemi <strong>di</strong> essi, del riferimento temporale e della firma<br />
<strong>di</strong>gitale da parte del responsabile della conservazione<br />
che attesta il corretto svolgimento del processo.<br />
(CNIPA)<br />
È quin<strong>di</strong> sufficiente <strong>un</strong>a firma per <strong>un</strong> singolo lotto<br />
<strong>di</strong> documenti.<br />
14
<strong>Il</strong> <strong>ciclo</strong> <strong>di</strong> <strong>vita</strong> <strong>di</strong> <strong>un</strong> <strong>documento</strong> <strong>informatico</strong> - conservare<br />
CREARE USARE ARCHIVIARE CONSERVARE<br />
CONSERVARE<br />
CONSERVARE<br />
con valenza tributaria<br />
… e termina con la sottoscrizione elettronica e<br />
l'apposizione della marca temporale, in luogo del<br />
riferimento temporale, sull'insieme dei predetti<br />
documenti ovvero su <strong>un</strong>'evidenza informatica<br />
contenente l'impronta o le impronte dei documenti o<br />
<strong>di</strong> insiemi <strong>di</strong> essi da parte del responsabile della<br />
conservazione ...<br />
(MF)<br />
In questo caso il processo è lo stesso ma è necessaria<br />
la “marca temporale” in luogo del “riferimento temporale”<br />
15
Riferimento o marca ?<br />
RIFERIMENTO<br />
TEMPORALE<br />
MARCA<br />
TEMPORALE<br />
Esiste <strong>un</strong>a importante <strong>di</strong>fferenza tra:<br />
“riferimento temporale” e “marca temporale”:<br />
MF 1 - p) "riferimento temporale": informazione, contenente la data e l'ora,<br />
che viene associata ad <strong>un</strong>o o piu' documenti informatici; l'operazione <strong>di</strong><br />
associazione deve rispettare le procedure <strong>di</strong> sicurezza definite e<br />
documentate, a seconda della tipologia dei documenti da conservare, …<br />
<strong>Il</strong> riferimento è quin<strong>di</strong> ottenuto con soluzioni interne<br />
documentate che garantiscono l’associazione e la precisione<br />
(errore massimo ammesso 1”).<br />
Co<strong>di</strong>ce Amm Dig. art. 1 ee)<br />
Validazione temporale, il risultato della procedura informatica, con cui si<br />
attribuiscono, ad <strong>un</strong>o o più documenti informatici, <strong>un</strong>a data ed <strong>un</strong> orario<br />
opponibili ai terzi;<br />
Fornita solamente da <strong>un</strong> certificatore<br />
Permette <strong>di</strong> dare <strong>un</strong>a “data certa” a tutti i documenti<br />
elettronici<br />
16
UN DUBBIO DI TUTTI<br />
Fattura elettronica o fattura cartacea ?<br />
Secondo la nuova normativa si può:<br />
•Produrre “fatture elettroniche” purché m<strong>un</strong>ite <strong>di</strong> firma <strong>di</strong>gitale<br />
e <strong>di</strong> riferimento temporale.<br />
•Inviarle al corrispondente previo consenso.<br />
•<strong>Il</strong> corrispondente deve conservarle in formato elettronico.<br />
Poichè <strong>un</strong>a volta scelta <strong>un</strong>a modalità <strong>di</strong> conservazione si dovrà<br />
utilizzarla per tutti i documenti <strong>di</strong> quella specie “senza<br />
soluzione <strong>di</strong> continuità” il nostro corrispondente prima <strong>di</strong><br />
accettare <strong>un</strong>a fattura elettronica dovrà avere in f<strong>un</strong>zione <strong>un</strong><br />
sistema <strong>di</strong> conservazione ottico per TUTTE LE FATTURE.<br />
17
UN DUBBIO DI TUTTI<br />
Soluzione:<br />
•Produrre fatture cartacee per i nostri corrispondenti<br />
•Inviarle con i mezzi tra<strong>di</strong>zionali<br />
Ovvero<br />
•Inviare fatture cartacee tramite mezzi informatici usando<br />
la normale posta elettronica dopo aver chiesto conferma<br />
dell’in<strong>di</strong>rizzo <strong>di</strong> e-mail ai nostri corrispondenti (*).<br />
Cioè mandare <strong>un</strong> file (p.e. PDF) come allegato senza<br />
bisogno <strong>di</strong> firma <strong>di</strong>gitale. <strong>Il</strong> corrispondente deve stampare<br />
il <strong>documento</strong> e conservarlo con le modalità che vorrà.<br />
•Produrre fatture elettroniche (con firma <strong>di</strong>gitale e<br />
riferimento temporale) per la conservazione del <strong>ciclo</strong> attivo.<br />
(*) Cod Amm Dig. Dig.<br />
, art. 45 comma 2<br />
18
<strong>Il</strong> processo – la road map<br />
Ciò definito, le fasi principali da affrontare sono:<br />
1. Definire le tipologie <strong>di</strong> documenti da smaterializzare<br />
con attenzione alle specifiche caratteristiche<br />
2. Disporre le nomine a Responsabile della<br />
conservazione ed eventuali deleghe / incarichi<br />
3. Contattare <strong>un</strong> Certificatore per il rilascio dei<br />
certificati qualificati, dei <strong>di</strong>spositivi <strong>di</strong> firma e, se<br />
occorrono, delle marche temporali<br />
4. Pre<strong>di</strong>sporre e verificare il processo (interno o in<br />
outsourcing)<br />
5. Stendere il “Manuale della conservazione”<br />
6. Mettere in f<strong>un</strong>zione i sistemi <strong>di</strong> controllo<br />
19
<strong>Il</strong> processo – <strong>un</strong> caso pratico<br />
CA/TSA/VA<br />
Creare<br />
documenti<br />
informatici<br />
Richiesta OCSP alla VA<br />
Richiesta marca<br />
Da elaboratore<br />
Da documenti<br />
cartacei<br />
Credenziale della<br />
persona con<br />
potere <strong>di</strong> firma<br />
Documento<br />
<strong>informatico</strong><br />
Server BBF<br />
-Sottoscrizione<br />
elettronica (firma)<br />
-Apposizione Riferimento<br />
temporale (o Marca<br />
Temporale)<br />
- Verifica firma<br />
via CRL o OCSP<br />
- Verifica marca<br />
Credenziale del<br />
responsabile della<br />
conservazione<br />
-Sottoscrizione<br />
elettronica (firma)<br />
- Calcolo Impronta<br />
-Apposizione Marca<br />
Temporale<br />
Documento<br />
Archiviare <strong>informatico</strong> Documento Conservare<br />
o <strong>informatico</strong> Documento<br />
Impronta<br />
o <strong>informatico</strong> Impronta<br />
o Impronta<br />
Utilizzare<br />
20
I sistemi <strong>di</strong> controllo<br />
I p<strong>un</strong>ti critici<br />
Creazione<br />
Creare<br />
documenti<br />
informatici<br />
Da elaboratore<br />
Da documenti<br />
cartacei<br />
Trasferimento<br />
Presa in carico<br />
Documento<br />
<strong>informatico</strong><br />
Congruità<br />
Tracciabilità<br />
Riproduzione<br />
Documento<br />
Archiviare <strong>informatico</strong> Documento Conservare<br />
o <strong>informatico</strong> Documento<br />
Impronta<br />
o <strong>informatico</strong> Impronta<br />
o Impronta<br />
21
<strong>Il</strong> sistema <strong>di</strong> conservazione sostitutiva<br />
<strong>Il</strong> processo <strong>di</strong> conservazione è quin<strong>di</strong> oramai definito<br />
nelle sue parti principali, resta da passare dal<br />
“generale”, riferendoci a tutti i documenti al<br />
“particolare” ovvero alla specifica tipologia <strong>di</strong><br />
documenti che interessano la nostra azienda.<br />
Non tutti i dettagli sono completamente definiti in tutti<br />
i casi (p.e. copia conforme <strong>di</strong> libri ex-bollati,<br />
<strong>di</strong>struzione <strong>di</strong> documenti con valenza tributaria<br />
originali non <strong>un</strong>ici).<br />
Ma ci sono sufficienti margini per cominciare a trarre<br />
vantaggio da questa nuova affermazione dei sistemi<br />
<strong>di</strong>gitali rispetto ai corrispettivi tra<strong>di</strong>zionali, in fondo<br />
ness<strong>un</strong>a azienda oggi tiene la contabilità con la<br />
“prima nota” registrata a mano !<br />
22
Si rende pertanto necessario acquisire consapevolezza ...<br />
La smaterializzazione dei documenti<br />
Non è solo<br />
<strong>un</strong>a soluzione tecnologica<br />
ma<br />
<strong>un</strong> fatto <strong>di</strong> natura culturale<br />
da affrontare con<br />
informazione – formazione - conoscenza<br />
23
Vi ringrazio per<br />
l’attenzione<br />
e<br />
Sono a vostra <strong>di</strong>sposizione<br />
per ogni<br />
approfon<strong>di</strong>mento<br />
massimiliano.girolami@actalis.it
www.actalis.it - info@actalis.it<br />
ICT Security Company<br />
La sicurezza al servizio<br />
dell’Identità Digitale<br />
25