Sei sulla pagina 1di 37

Documenti informatici e firme elettroniche:

Ma chi li conserva?
Avv. Andrea Lisi Presidente ANORC Coordinatore Digital&Law Department www.studiolegalelisi.it

www.anorc.it

Oggi gestire correttamente i propri documenti e le proprie informazioni rilevanti significa adottare modelli e metodologie a norma finalizzati a garantire lattribuibilit, lintegrit, lautenticit, la sicurezza, la corretta archiviazione e la conservazione nel tempo al proprio patrimonio di dati digitali

www.anorc.it

Autenticazione: - PEC - VPN e SPC - EDI - Aree Riservate

Firma Digitale: - Autenticit - Integrit - Conservazione - Sicurezza - E-mailing

Il Responsabile della Conservazione

il custode dellautenticit del documento privo di peso

www.anorc.it

www.anorc.it

La scommessa del futuro digitale :


Garantire: -La (ragionevolmente) certa paternit -La corretta trasmissibilit e gestione -Lidonea archiviazione e conservazione quindi, la sopravvivenza nel tempo a tutti i dati digitali che abbiano un rilievo giuridico attraverso avanzate tecniche di sicurezza informatica

www.anorc.it

Lo scopo della Normativa (dovrebbe essere...)


Garantire al Documento Informatico Amministrativo, Contabile e Fiscale:

- La paternit (Firma Digitale o altri sistemi di identificazione) - Lintegrit (Firma Digitale) - La trasmissibilit informatica (PEC o EDI o altro) - la corretta gestione (archiviazione elettronica) N.B.: Duplice funzione della firma digitale

- La memorizzazione digitale nel tempo (Firma Digitale, Marca Temporale e Procedure di Sicurezza) attraverso una complessa procedura di conservazione

www.anorc.it

Il documento informatico valido e rilevante, ma non carta informatica e non garantisce sempre la forma scritta:
documento digitale: testi, immagini, dati strutturati, disegni, programmi, filmati formati tramite una grandezza fisica che assume valori binari, ottenuti attraverso un processo di elaborazione elettronica, di cui sia identificabile l'origine - art. 1 lett. d) DMEF 23 gennaio 2004 - Modalita' di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di suppporto) documento informatico : rappresentazione informatica di atti, Documento informatico non solo un fatti, .pdfdati o giuridicamente rilevanti (C.A.D., art. 1, comma 1, lett.p) unimmagine digitalizzata di un foglio documento comunque informatico penalmente rilevante - art. 491 bis c.p. ()di per carta, ma qualsiasi datosupporto digitale giuridicamente documento informatico si intende qualunque informatico contenente dati o informazioni aventi efficacia o programmi specificamente ad rilevante eprobatoria strategico per limpresa o la PA:destinati un elaborarli (L. 48/2008). tracciato informatico EDI, un log file generato dacomunque una Documento amministrativo - Rappresentazione, formata transazione commerciale su un sito una interni o non (grafica, cinematografica, informatica, etc.), del contenuto di web, atti, anche relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e comunicazione e-mail, unanalisi di dati di concernenti attivit di pubblico interesse, indipendentemente dalla natura pubblicistica un filmato digitale etc. o privatistica della loronavigazione, disciplina sostanziale - Legge 7 agosto 1990, n. 241 - Art. 22, comma 2, cos come modificato dalla legge 11 febbraio 2005, n. 15)

www.anorc.it

Definizione di dato personale


Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Pubblicato sulla GU n.174 del 29-7-2003 - Suppl. Ordinario n.123) Art. 4 comma 1 lett. b)

dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
www.anorc.it

www.anorc.it

www.anorc.it

I concetti fondamentali e le domande che meritano risposte per garantire unidentit certa ai cittadini della Societ dellinformazione (e per gestire archivi che garantiscano la pubblica fede)

- Chi sono nella Societ dellInformazione? - Chi ha firmato nella Societ dellInformazione? - Come gestisco informazioni certe e immutabili nella Societ dellInformazione? - Come archivio nel tempo i documenti nella Societ dellInformazione? - Come garantisco lautenticit dei documenti informatici nel tempo? - Sono in grado di esibire a un giudice una prova informatica incontrovertibile? Oppure stiamo ancora al galoppo di mouse non sicuri nel WWW?

www.anorc.it

La legge attualmente in vigore e le sue definizioni Il Codice per la protezione dei dati personali (art. 4)
c) "autenticazione informatica", l'insieme Lidentit degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identit; d) diautenticazione autenticazione" , i datiined 2. "credenziali Le credenziali di consistono uni codice per l'identificazione dell'incaricato Provvedimento Garante Privacy associato a in una parola chiave riservata conosciuta dal medesimo oppure in un dispositivo dispositivi, possesso di una persona, da solamente 27 Novembreassociato 2008 - a Misure e di autenticazione in o possesso e univocamente uso esclusivo dell'incaricato, eventualmente un codice questa conosciuti ad essa identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, accorgimenti, prescritti ai titolari dei correlati, utilizzati per l'autenticazione eventualmente associata a un codice identificativo o a una parola chiave (allegato B). informatica; trattamenti effettuati con strumenti e) "parola chiave", componente di una elettronici relativamente alle credenziale di autenticazione associata ad attribuzioni delle funzioni di una persona ed a questa nota, costituita da amministratore di sistema (in una sequenza di caratteri o altri dati in forma vigore dal 15 dicembre 2009) elettronica; La stabilizzazione dei log file f) "profilo di autorizzazione", l'insieme delle Provvedimento - 12 maggio 2011 informazioni, univocamente associate ad una Prescrizioni in materia di circolazione persona, che consente di individuare a quali delle informazioni in ambito bancario dati essa pu accedere, nonch i trattamenti ad essa consentiti; e di tracciamento delle operazioni g) "sistema di autorizzazione", l'insieme bancarie degli strumenti e delle procedure che e la prova informatica di un abilitano l'accesso ai dati e alle modalit di trattamento degli stessi, in funzione del profilo determinato comportamento di autorizzazione del richiedente. www.anorc.it

La legge attualmente in vigore e le sue definizioni Il Codice della amministrazione digitale (art. 1)
Firma elettronica (lett. q) - Linsieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica Firma elettronica avanzata (lett. q-bis) - Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono lidentificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario pu conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati Firma elettronica qualificata (lett. r) - Un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma Firma digitale (lett. s) - Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e lintegrit di un documento informatico o di un insieme di documenti informatici

Limputabilit giuridica
Il caos nelle PA: -DPCM 6 maggio 2009: la PEC sottoscrizione - art. 65 del CAD invio delle istanze via PEC

la firma non sempre sottoscrizione del documento

www.anorc.it

La legge attualmente in vigore e le sue definizioni Il Codice della amministrazione digitale (artt. 20, 21)
1-bis. L'idoneit del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualit, sicurezza, integrit ed immodificabilit, fermo restando quanto disposto dallarticolo 21. 1. Il documento informatico, cui apposta una firma elettronica, sul piano probatorio liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualit, sicurezza, integrit e immodificabilit. 2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilit dell'autore, l'integrit e l'immodificabilit del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria. 2-bis). Salvo quanto previsto dallarticolo 25, le scritture private di cui allarticolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullit, con firma elettronica qualificata o con firma digitale.

I formati documentali
Il caos nelle PA: -I procedimenti interni (art. 23 ter comma 2 e art. 34 comma 2) - le regole tecniche per la firma elettronica avanzata - le regole tecniche per la conservazione

la firma che non firma

www.anorc.it

FIRMA DIGITALE

FIRMA ELETTRONICA

valore formale e probatorio predefinito per legge difficilmente disconoscibile equivale alla sottoscrizione cartacea associata alla marca temporale conferisce al documento certezza giuridica
E la firma elettronica avanzata?

genus indefinito La sua valenza formale e probatoria relativa pu essere facilmente disconoscibile garantisce la paternit, non sempre lautenticit

www.anorc.it

La firma elettronica avanzata Le nuove regole Tecniche


La Firma Elettronica Avanzata, non un determinato software, n una determinata tecnologia, ma un sistema neutro, sicuro e affidabile che garantisca lappartenenza di un documento informatico reso immodificabile ad un soggetto Art. 56 Caratteristiche delle soluzioni di firma elettronica avanzata 1. Le soluzioni di firma elettronica avanzata devono garantire: a) lidentificazione del firmatario del documento; b) la connessione univoca della firma al firmatario; c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma; d) la possibilit di verificare che loggetto della sottoscrizione non abbia subito modifiche dopo lapposizione della firma; e) la possibilit per il firmatario di ottenere evidenza di quanto sottoscritto; f) lindividuazione del soggetto di cui allart. 55, comma 2, lettera a); g) lassenza di qualunque elemento nelloggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati.

La sua valenza formale e probatoria dipende dal sistema che si sviluppa


E ricordiamoci sempre: Articolo 1352 c.c. Se le parti hanno convenuto per iscritto di adottare una determinata forma per la futura conclusione di un contratto, si presume che la forma sia stata voluta per la validit di questo

www.anorc.it

Esempio di firma elettronica avanzata: strong authentication + sistema sicuro di transazione + sistema di conservazione dei log

La firma elettronica avanzata - Le nuove regole Tecniche


Art. 57 - Obblighi per i soggetti che erogano per proprio conto Limiti duso: La firma soluzioni di firma elettronica avanzata elettronica avanzata 1. I soggetti di cui allart. 55, comma 2, lettera a) devono: realizzata in conformit a) identificare in modo certo lutente, informarlo in merito agli esatti con le disposizioni delle termini e condizioni relative all'uso del servizio, compresa ogni eventuale presenti regole tecniche, limitazione dell'uso, subordinare lattivazione del servizio alla utilizzabile limitatamente ai sottoscrizione di una dichiarazione di accettazione delle condizioni rapporti giuridici del servizio da parte dellutente; intercorrenti tra il b) conservare per almeno venti anni la dichiarazione di cui al punto a) ed sottoscrittore e il soggetto ogni altra informazione atta a dimostrare lottemperanza a quanto di cui allart. 55, comma 2, previsto allart. 56, comma 1, garantendone la disponibilit, integrit, lettera a) (art. 60 Regole leggibilit e autenticit; Tecniche) c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo; Non prevista alcuna d) rendere note le modalit con cui effettuare la richiesta di cui al punto autorizzazione preventiva c), pubblicandole anche sul proprio sito internet; e) rendere note le caratteristiche del sistema realizzato atte a garantire Le domande: quanto prescritto dallart. 56, comma 1, specificando le caratteristiche so quello che firmo? delle tecnologie utilizzate e come queste consentono di ottemperare a - Come associo la quanto prescritto, pubblicandole anche sul proprio sito internet; f) consentire luso della firma elettronica qualificata e della firma digitale, firma al documento? ove applicabile, in alternativa alla firma elettronica avanzata per i - cosa conservo? E procedimenti per i quali previsto luso della firma elettronica avanzata; chi conserva? g) assicurare la disponibilit di un servizio di revoca relativo alla firma - rilascio ricevute elettronica avanzata, ove applicabile, e un servizio di assistenza. + copertura danni sino a 500.000 (copertura assicurativa) e pubblicazione su sito web del sistema di copertura

www.anorc.it

certe su ci che si firmato? Etc.

La firma biometrica La prima firma biometrica la sottoscrizione cartacea!


Il termine riconoscimento biometrico fa riferimento allidentificazione o alla verifica automatica dellidentit attraverso strumenti di valutazione di caratteristiche fisiche o comportamentali (Linee Guida CNIPA 2004)

Acquisizione sul documento dellimmagine della sottoscrizione di un soggetto

Se non verificabile il comportamento di chi firma, non biometria e non crea problemi tecnici e di privacy, ma ha scarso valore giuridico la versione elettronica della sottoscrizione cartacea. Pu essere di volta in volta verificabile la sua autenticit e non c centralizzazione di dati biometrici Pu servire a garantire un accesso riservato di transazione, ma anche come modello di sottoscrizione digitale e, quindi, garantire un accesso in remoto al proprio certificato di firma custodito da un HSM

(pu richiedere la necessit di interpello ai sensi dellart. 17 Codice privacy e la sua valenza probatoria pu essere robusta)

Acquisizione evoluta sul documento di vari dati comportamentali di chi firma

(pu richiedere la necessit di interpello ai sensi dellart. 17 Codice privacy e pu servire per sbloccare in remoto certificati di firma digitale)

Acquisizione biometrica come credenziale forte di autenticazione

www.anorc.it

Definizione di formazione di documento informatico


Bozza Regole tecniche del documento informatico e gestione documentale

La formazione del documento informatico comprende le attivit di cui alle seguenti principali tipologie: a) redazione tramite lutilizzo di appositi strumenti software; b) acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico, acquisizione per via telematica o su supporto informatico; c) registrazione informatica delle informazioni risultanti da transazioni informatiche o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili allutente; d) generazione o raggruppamento anche in via automatica di un insieme di dati, provenienti da una o pi basi dati anche appartenenti a pi soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.
Integrit e immodificabilit?

Versione del 05/08/2011 Art. 3 comma 1

www.anorc.it

Riferimento temporale/marca temporale

Attribuibilit e immodificabilit del documento

Firme Elettroniche/ Digitali e Riferimenti Temporali su singoli documenti

Formazione del documento o Archiviazione Elettronica sua riproduzione sostitutiva

Dematerializzazione e conservazione sostitutiva (C.A.D. e Del. CNIPA n. 11/2004)

Conservazione documento

Firma digitale + Marca Temporale sul lotto di documenti

Sicurezza della conservazione

Outsourcing (art. 44 comma 1ter CAD e art. 5 Del. CNIPA)

Misure di sicurezza: Business Continuity, Back up, Disaster Recovery, e Restore

www.anorc.it

www.anorc.it

Non solo questione di adeguamento a leggi: in gioco il futuro delle nostre informazioni rilevanti e, per rendere sicuro questo futuro, lunico scenario possibile garantire nellente pubblico e nellimpresa la possibilit di sviluppare una nuova forma di organizzazione e di gestione dei flussi documentali digitalizzati in modo certo e incontrovertibile!

E solo un sistema di conservazione digitale a norma pu consentire un futuro giuridicamente rilevante ai nostri documenti informatici! www.anorc.it

ART. 43 CAD (Riproduzione e conservazione dei documenti) 1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui e prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformita' dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71.
La conservazione digitale non una scelta eventuale, ma un dovere! 3. I documenti informatici, di cui prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalit cartacee e sono conservati in modo permanente con modalit digitali, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71. www.anorc.it

Dal nuovo Codice della Amministrazione Digitale :


Art. 44 (Requisiti per la conservazione dei documenti informatici) 1. Il sistema di conservazione dei documenti informatici assicura: a) lidentificazione certa del soggetto che ha formato il documento e dellamministrazione o dellarea organizzativa omogenea di riferimento di cui allarticolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; b) lintegrit del documento; c) la leggibilit e lagevole reperibilit dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari; d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in Allegato B a tale decreto.

Chiave interpretativa per la normativa sulla conservazione sostitutiva e sulla fatturazione elettronica www.anorc.it

Dal nuovo Codice della Amministrazione Digitale:


Art. 44, comma 1 bis (Requisiti per la conservazione dei documenti informatici) - NEW Il sistema di conservazione gestito da un responsabile che opera dintesa con il responsabile del trattamento dei dati personali di cui allarticolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui allarticolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attivit di rispettiva competenza. Importante risulta la modifica all'art. 44, sollecitata anche da ANORC, con il nuovo comma 1-bis, sul sistema di conservazione dei documenti informatici che ora vede tre figure: - il responsabile della conservazione - il responsabile della privacy - il responsabile della gestione dei flussi documentali e degli archivi

www.anorc.it

Dal nuovo Codice della Amministrazione Digitale:


Art. 44, comma 1 ter (Requisiti per la conservazione dei documenti informatici) - NEW

Il responsabile della conservazione pu chiedere la conservazione dei documenti informatici o la certificazione della conformit del relativo processo di conservazione a quanto stabilito dallarticolo 43 e dalle regole tecniche ivi previste, nonch dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche. Possibilit anche per la P.A. di affidare in outsourcing i processi di conservazione digitale e ottenere la certificazione di conformit dei relativi processi!

www.anorc.it

Dal nuovo Codice della Amministrazione Digitale:


Art. 44 bis (Conservatori accreditati) - NEW 1. I soggetti pubblici e privati che svolgono attivit di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello pi elevato, in termini di qualit e di sicurezza, chiedono laccreditamento presso DigitPA. 2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31. 3. I soggetti privati di cui al comma 1 sono costituiti in societ di capitali con capitale sociale non inferiore a euro 200.000.

Vi ora la possibilit di far accreditare presso DigitPA i propri processi di conservazione sotto il profilo della sicurezza e della qualit (nel rispetto, quindi, di una serie di misure di sicurezza che variano a seconda della tipologia del dato trattato e degli strumenti utilizzati). www.anorc.it

Sicurezza informatica nella conservazione dei documenti : 51. Sicurezza dei dati. 1. Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilit, l'accessibilit, l'integrit e la riservatezza dei dati. 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalit tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalit della raccolta.

Non c conservazione senza sicurezza informatica www.anorc.it

Nuovo CAD delega contenuta nellart. 33 L. 69/20098 Dopo larticolo 50 del decreto legislativo 7 marzo 2005, n. 82, inserito il seguente: Art. 50-bis - (Continuit operativa). - 1. In relazione ai nuovi scenari di rischio, alla crescente complessit dellattivit istituzionale caratterizzata da un intenso utilizzo della tecnologia dellinformazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuit delle operazioni indispensabili per il servizio e il ritorno alla normale operativit. 2. Il Ministro per la pubblica amministrazione e linnovazione assicura lomogeneit delle soluzioni di continuit operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 3. A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuit operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuit operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticit relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalit del piano di continuit operativa con cadenza biennale; b) il piano di disaster recovery, che costituisce parte integrante di quello di continuit operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA assicura lomogeneit delle soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e linnovazione. 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilit tecnica; su tali studi obbligatoriamente acquisito il parere di DigitPA.. In vigore dall aprile del 2012! www.anorc.it

E chi conserver intanto le nostre identit digitali, le informazioni e i nostri documenti informatici nelle PA?

www.anorc.it

Dal Codice Privacy:

Chi il responsabile?

Art. 4 lett. g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali Art. 29 - 1. Il responsabile e' designato dal titolare facoltativamente. 2. Se designato, il responsabile e' individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. (scelta due diligence) 3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti (organizzazione) 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare (contratto) 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni (responsabilit) Allegato B - 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico.

www.anorc.it

i servizi in outsourcing

Fatturazione Chi firma?


Chi controlla?
Chi responsabile?

Cliente

Outsourcer

Lesternalizzazione di alcuni processi aziendali fortemente specializzati e complessi

Servizi di conservazione con nomina quale responsabile esterno della conservazione sostitutiva Verifica e certificazione dei processi www.anorc.it

Criteri di scelta di un buon responsabile:


la capacit di fornire una prestazione altamente qualificata e specifica; lesperienza del fornitore nella conservazione sostitutiva in generale e, in particolare, per la specifica tipologia di documenti da conservare (nel caso, ad esempio, si tratti di documenti fiscalmente rilevanti da conservare, sar opportuno verificare la particolare esperienza del fornitore nella conservazione sostitutiva di tali documenti); la conoscenza ed il rispetto della normativa privacy, anche in considerazione della nuova formulazione dellart. 44 del Codice dellAmministrazione digitale; lampiezza dei servizi offerti, tra i quali merita di essere attentamente valutata anche lofferta di applicazione dei modelli organizzativi nellazienda di cui al D. Lgs. 231/01; il possesso di eventuali certificazioni sui servizi proposti; il prezzo del servizio; le referenze;

www.anorc.it

le garanzie tecnologiche e di sistema offerte dal fornitore in relazione agli standard di sicurezza informatica, per esempio, in riferimento alla protezione dei dati personali e delle informazioni scambiate. Per quanto concerne la sicurezza informatica della globalit del sistema di conservazione, le norme ISO/IEC 27001 e 27002 e la specifica ETSI TS 102 573 (Policy requirements for trust service providers signing and/or storing data for digital accounting) dettano le condizioni per la gestione e valutazione di sistemi sicuri ed affidabili per la conservazione elettronica delle informazioni; il livello di professionalit del personale; le dimensioni ed il grado di umidit dei locali in cui saranno conservati gli eventuali documenti analogici non distrutti in seguito al processo di conservazione, verificando preventivamente che siano stati rispettati gli standard richiesti dalla normativa europea; leventuale accreditamento del fornitore ex art. 44-bis del CAD, cos come modificato dal D.lgs. 235/2010.

www.anorc.it

Outsourcing a cosa prestare attenzione?


-

Formati da utilizzare (art. 68 CAD) Supporti idonei Certificazione di processi Modelli di disaster recovery Modelli di business continuity La copia della copia della copiachi la effettua?

Etc.

www.anorc.it

Un possibile schema di esternalizzazione dei servizi di conservazione Titolare dei Documenti e dei Dati (nomina Responsabile interno della conservazione) Delegato al alcuni processi
(back up, disaster recovery, verifiche, restore, procedure operative etc.)

Impossibile visualizzare l'immagine.

Responsabile del procedimento di conservazione (referente interno)

Organismo di Vigilanza e Certificazione www.anorc.it

e per contatti o ulteriori informazioni:


Impossibile visualizzare l'immagine.

Avv. Andrea Lisi Digital&Law Department Studio Legale Lisi Ufficio Presidenza ANORC www.studiolegalelisi.it Tel. 0832/256065 Fax 0832/244802 e.mail: andrealisi@studiodl.it

www.anorc.it