ݺߣ

ݺߣShare a Scribd company logo

“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze giuridiche e esigenze del mercato”

ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

di avv. Luigi Foglia Workshop " Firme, Sigilli Elettronici e Identità Digitale"- Milano 6 Dicembre

1 of 17
Download to read offline
FIRME, SIGILLI ELETTRONICI E IDENTITÀ DIGITALE Stato dell’arte e opportunità per il mercato Milano, 6 Dicembre 2018 Grattacielo Pirelli - Auditorium Gaber presentano
FIRME E SIGILLI OPPORTUNITÀ PER IL MERCATO • Firme elettroniche • La firma elettronica avanzata • I servizi collegati alle firme elettroniche • Il sigillo elettronico: possibili usi
Le firme elettroniche nel regolamento Eidas 1. A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. 2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa. 3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri. Per le firme non qualificate spetta al diritto nazionale definirne gli effetti giuridici!
Le firme elettroniche nel Codice dell’Amministrazione digitale Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 del Codice civile quando vi è apposta: a) una firma digitale; b) altro tipo di firma elettronica qualificata; c) una firma elettronica avanzata; d) è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore. In tutti gli altri casi, l'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.
La firma elettronica avanzata nel Regolamento eIDAS Una firma elettronica avanzata soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. L'attuale definizione contenuta nel CAD (art. 1, lett. q-bis) è sostanzialmente identica.
I Servizi fiduciari collegati alle firme elettroniche Servizi di Convalida - Può essere prestato solo da un prestatore di servizi qualificato; - fornisce la convalida della firma; - consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato. Servizi di conservazione - Può essere prestato solo da un prestatore di servizi qualificato; - dev'essere realizzato mediante procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili a tali servizi fiduciari qualificati
La convalida della FEQ Art. 32 del Regolamento Il processo di convalida di una firma elettronica qualificata conferma la validità di una firma elettronica qualificata purché: a) il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I; b) il certificato qualificato sia stato rilasciato da un prestatore di servizi fiduciari qualificato e fosse valido al momento della firma; c) i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione; d) l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; e) l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era utilizzato al momento della firma; f) la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata; g) l’integrità dei dati firmati non sia stata compromessa; h) i requisiti di cui all’articolo 26 (FEA) fossero soddisfatti al momento della firma.
I servizi di conservazione eIDAS
I servizi di conservazione eIDAS Eu commission FaQ for single market Preservation is different from electronic archiving (which is NOT a trust service under eIDAS) Preservation under eIDAS aims at guaranteeing the trustworthiness of a qualified electronic signature or qualified electronic seal through time. The technology underpinning such trust service therefore targets the electronic signature or seal; Electronic archiving aims at ensuring that a document is stored in order to guarantee its integrity (and other legal features). The technology underpinning electronic archiving therefore targets the document. Electronic archiving remains the competence of Member States. In other words, electronic archiving of documents and preservation of electronic signatures and electronic seals are different in nature, are based on different technical solutions (attached to the document or to the electronic signature/electronic seal) and differ in their finality (conservation of the document vs preservation of electronic signature/electronic seal).
Il sigillo elettronico Art. 35 del Regolamento 1. A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati. 2. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato. 3. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo elettronico qualificato in tutti gli altri Stati membri.
Il sigillo elettronico Possibili usi ENISA - Security guidelines on the appropriate use of qualified electronic seals VERSION 2.0 FINAL DECEMBER 2016
Il sigillo elettronico Possibili usi Sigillare un documento/messaggio per attestarne l’origine E’ il principale uso del sigillo. In un’epoca in cui il phishing diventa sempre più raffinato ed efficace, la garanzia della provenienza di un documento o di un messaggio diventa fondamentale per garantire fiducia nelle comunicazioni elettroniche sia commerciali sia traPa e cittadini. Sigillare dati o prove per preservarli Il sigillo garantisce una presunzione legale d’integrità dei dati ai quali è stato correttamente apposto e il suo utilizzo risulta particolarmente interessante per garantire le fasi di un acquisto online (log files) o le ricevute di un pagamento.
Il sigillo elettronico Sigillare un documento o una dichiarazione Un’organizzazione può usare il sigillo per inviare documenti all’amministrazione pubblica garantendone integrità e provenienza. Art. 45 CAD I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, idoneo ad accertarne la provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. Art 47 CAD comma 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all'articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle Linee guida.
Il sigillo elettronico Sigillare un documento ufficiale Le Pa dovrebbero iniziare a ragionare sull’utilizzo del sigillo per garantire provenienza e integrità di tutti i certificati elettronici rilasciati ai cittadini. Art. 22 (Copie informatiche di documenti analogici). 1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se sono formati ai sensi dell'articolo 20, comma 1-bis, primo periodo. La loro esibizione e produzione sostituisce quella dell'originale.
Il sigillo elettronico Possibili usi Privati - Fattura Elettronica - copia informatica di documentazione fiscalmente rilevante (art. 4 DMEF 17 giugno 2014) - Pacchetti di Archiviazione - documentazione precontrattuale - condizioni generali servizi online - staticizzazione di log files (e-commerce, AdS) - Buona parte dei processi di firma automatica possono essere realizzati con un sigillo. PA - registro giornaliero di protocollo - Certificazioni e copie rilasciate dalla Pa - consolidamento probatorio di immagini diagnostiche - staticizzazione del diario infermieristico - Trasmissione informazioni e documenti tra PA (art. 47 CAD)
Il sigillo elettronico È una realtà anche in Italia Lista dei TSP italiane per Qcert for E-seal (8 dei 18 Qcert for E-sign) Actalis S.p.A. Aruba Posta Elettronica Certificata S.p.A. InfoCert S.p.A. Intesi Group S.p.A. Namirial S.p.A. Nexi Payments S.p.A. Poste Italiane S.p.A. Telecom Italia Trust Technologies S.r.l.
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze giuridiche e esigenze del mercato”

More Related Content

“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze giuridiche e esigenze del mercato”

  • 1. FIRME, SIGILLI ELETTRONICI E IDENTITÀ DIGITALE Stato dell’arte e opportunità per il mercato Milano, 6 Dicembre 2018 Grattacielo Pirelli - Auditorium Gaber presentano
  • 2. FIRME E SIGILLI OPPORTUNITÀ PER IL MERCATO • Firme elettroniche • La firma elettronica avanzata • I servizi collegati alle firme elettroniche • Il sigillo elettronico: possibili usi
  • 3. Le firme elettroniche nel regolamento Eidas 1. A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. 2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa. 3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri. Per le firme non qualificate spetta al diritto nazionale definirne gli effetti giuridici!
  • 4. Le firme elettroniche nel Codice dell’Amministrazione digitale Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 del Codice civile quando vi è apposta: a) una firma digitale; b) altro tipo di firma elettronica qualificata; c) una firma elettronica avanzata; d) è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall'AgID ai sensi dell'articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore. In tutti gli altri casi, l'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.
  • 5. La firma elettronica avanzata nel Regolamento eIDAS Una firma elettronica avanzata soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. L'attuale definizione contenuta nel CAD (art. 1, lett. q-bis) è sostanzialmente identica.
  • 6. I Servizi fiduciari collegati alle firme elettroniche Servizi di Convalida - Può essere prestato solo da un prestatore di servizi qualificato; - fornisce la convalida della firma; - consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato. Servizi di conservazione - Può essere prestato solo da un prestatore di servizi qualificato; - dev'essere realizzato mediante procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili a tali servizi fiduciari qualificati
  • 7. La convalida della FEQ Art. 32 del Regolamento Il processo di convalida di una firma elettronica qualificata conferma la validità di una firma elettronica qualificata purché: a) il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I; b) il certificato qualificato sia stato rilasciato da un prestatore di servizi fiduciari qualificato e fosse valido al momento della firma; c) i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione; d) l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; e) l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era utilizzato al momento della firma; f) la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata; g) l’integrità dei dati firmati non sia stata compromessa; h) i requisiti di cui all’articolo 26 (FEA) fossero soddisfatti al momento della firma.
  • 8. I servizi di conservazione eIDAS
  • 9. I servizi di conservazione eIDAS Eu commission FaQ for single market Preservation is different from electronic archiving (which is NOT a trust service under eIDAS) Preservation under eIDAS aims at guaranteeing the trustworthiness of a qualified electronic signature or qualified electronic seal through time. The technology underpinning such trust service therefore targets the electronic signature or seal; Electronic archiving aims at ensuring that a document is stored in order to guarantee its integrity (and other legal features). The technology underpinning electronic archiving therefore targets the document. Electronic archiving remains the competence of Member States. In other words, electronic archiving of documents and preservation of electronic signatures and electronic seals are different in nature, are based on different technical solutions (attached to the document or to the electronic signature/electronic seal) and differ in their finality (conservation of the document vs preservation of electronic signature/electronic seal).
  • 10. Il sigillo elettronico Art. 35 del Regolamento 1. A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati. 2. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato. 3. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo elettronico qualificato in tutti gli altri Stati membri.
  • 11. Il sigillo elettronico Possibili usi ENISA - Security guidelines on the appropriate use of qualified electronic seals VERSION 2.0 FINAL DECEMBER 2016
  • 12. Il sigillo elettronico Possibili usi Sigillare un documento/messaggio per attestarne l’origine E’ il principale uso del sigillo. In un’epoca in cui il phishing diventa sempre più raffinato ed efficace, la garanzia della provenienza di un documento o di un messaggio diventa fondamentale per garantire fiducia nelle comunicazioni elettroniche sia commerciali sia traPa e cittadini. Sigillare dati o prove per preservarli Il sigillo garantisce una presunzione legale d’integrità dei dati ai quali è stato correttamente apposto e il suo utilizzo risulta particolarmente interessante per garantire le fasi di un acquisto online (log files) o le ricevute di un pagamento.
  • 13. Il sigillo elettronico Sigillare un documento o una dichiarazione Un’organizzazione può usare il sigillo per inviare documenti all’amministrazione pubblica garantendone integrità e provenienza. Art. 45 CAD I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, idoneo ad accertarne la provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. Art 47 CAD comma 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all'articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle Linee guida.
  • 14. Il sigillo elettronico Sigillare un documento ufficiale Le Pa dovrebbero iniziare a ragionare sull’utilizzo del sigillo per garantire provenienza e integrità di tutti i certificati elettronici rilasciati ai cittadini. Art. 22 (Copie informatiche di documenti analogici). 1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se sono formati ai sensi dell'articolo 20, comma 1-bis, primo periodo. La loro esibizione e produzione sostituisce quella dell'originale.
  • 15. Il sigillo elettronico Possibili usi Privati - Fattura Elettronica - copia informatica di documentazione fiscalmente rilevante (art. 4 DMEF 17 giugno 2014) - Pacchetti di Archiviazione - documentazione precontrattuale - condizioni generali servizi online - staticizzazione di log files (e-commerce, AdS) - Buona parte dei processi di firma automatica possono essere realizzati con un sigillo. PA - registro giornaliero di protocollo - Certificazioni e copie rilasciate dalla Pa - consolidamento probatorio di immagini diagnostiche - staticizzazione del diario infermieristico - Trasmissione informazioni e documenti tra PA (art. 47 CAD)
  • 16. Il sigillo elettronico È una realtà anche in Italia Lista dei TSP italiane per Qcert for E-seal (8 dei 18 Qcert for E-sign) Actalis S.p.A. Aruba Posta Elettronica Certificata S.p.A. InfoCert S.p.A. Intesi Group S.p.A. Namirial S.p.A. Nexi Payments S.p.A. Poste Italiane S.p.A. Telecom Italia Trust Technologies S.r.l.