FIRMA DIGITALE E ARCHIVIAZIONE SOSTITUTIVA

La firma digitale consente di scambiare in rete documenti con piena validità legale. Possono
dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e
pubbliche amministrazioni.

Per dotarsi di firma digitale è necessario rivolgersi a certificatori accreditati che garantiscono
l’identità dei soggetti che utilizzano la firma digitale. DigitPA svolge attività di vigilanza sui
certificatori.

L’Italia è all’avanguardia nell’uso legale della firma digitale. È il primo paese ad avere attribuito
fin dal 1997 piena validità giuridica ai documenti elettronici e conta la maggiore diffusione di firme
in Europa (cfr. anche il sito della Commissione Europea, in inglese).

Attenzione: è stata emanata la Determinazione Commissariale 28 luglio 2010 (PDF) che modifica
la Deliberazione CNIPA n. 45/2009 - Testo consolidato (PDF).

Le modifiche di interesse generale sono:

1. I certificatori possono rendere disponibili le nuove applicazioni che implementano i nuovi

formati di firma digitale (con anche il più robusto algoritmo SHA-256) a partire dal 31
agosto 2010; devono rendere disponibili dette applicazioni entro il 31 dicembre 2010.
2. L'utente che, nonostante la disponibilità delle nuove applicazioni, non abbia proceduto
all'aggiornamento continuerà a generare firme conformi alle precedenti regole tecniche. La
Determinazione sancisce la conformità alle regole tecniche di dette firme se generate entro
il 30 giugno 2011.

Si suggerisce di non attendere il termine di cui al precedente punto 2, ma di aggiornare i prodotti di

firma non appena resi disponibili dal proprio certificatore in modo da iniziare quanto prima a
generare più robuste firme digitali.

Con la deliberazione sono introdotti nuovi e più robusti algoritmi crittografici di firma digitale e
nuovi formati di firma. In particolare, è interessante notare che i nuovi formati di firma rientrano nel
novero dei formati che tutti gli Stati membri dell’Unione Europea si accingono ad introdurre.
Questo è uno dei passi necessari per giungere al riconoscimento dei documenti sottoscritti con firma
digitale a livello europeo e, conseguentemente, al libero scambio di documenti informatici
giuridicamente rilevanti

Il processo legislativo ha anche fornito delle indicazioni sulle tecnologie da impiegare per ottenere delle
firme digitali che possano ritenersi equivalenti a quelle autografe. La struttura normativa dettata dal
legislatore comunitario ha introdotto differenti sottoscrizioni o, più correttamente, differenti livelli di
sottoscrizione. Nel linguaggio corrente, quindi, hanno iniziato a essere utilizzati i termini firma “debole”
o “leggera” e firma “forte” o “pesante”. Dal punto di vista tecnico e realizzativo è ben definita la firma
“forte”, ovvero quella che il legislatore definisce firma digitale. Essa è basata su un sistema a chiavi
crittografiche asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un
soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un
dispositivo con elevate caratteristiche di sicurezza che in genere è una smart card.
L’altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in minima parte a
quanto appena descritto, ma è compatibile con la definizione giuridica di firma elettronica presentata
nella tabella delle definizioni, è un firma “leggera”.
Ovviamente l’efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una
sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di giudizio in base a
caratteristiche oggettive di qualità e sicurezza.

La firma digitale è utile nel momento in cui è necessario sottoscrivere una dichiarazione ottenendo la
garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al
sottoscrittore.
La garanzia che il documento informatico, dopo la sottoscrizione, non possa essere modificato in alcun
modo in quanto, durante la procedura di verifica, eventuali modifiche sarebbero riscontrate, la certezza
che solo il titolare del certificato possa aver sottoscritto il documento perché non solo possiede il
dispositivo di firma (smartcard/tokenUSB) necessario, ma è anche l’unico a conoscere il PIN (Personal
Identification Number) necessario per utilizzare il dispositivo stesso, unite al ruolo del certificatore che
garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (dati anagrafici del
titolare), forniscono allo strumento “firma digitale” caratteristiche tali da non consentire al sottoscrittore
di disconoscere la propria firma digitale (fatta salva la possibilità di querela di falso).

Esempi tipici dell’utilizzo della firma digitale possono essere ricercati in tutti gli adempimenti da
effettuarsi verso le amministrazioni che richiedono appunto la sottoscrizione di una volontà: denunce,
dichiarazioni di cambi di residenza, di domicilio, richieste di contributi, di esenzioni a pagamenti a
causa del reddito o di altre condizioni particolari, ricorsi, ecc.

Alcuni Comuni che partecipano alla sperimentazione della Carta d’Identità Elettronica hanno dotato i
propri cittadini di entrambi gli strumenti (CIE o CNS e Firma Digitale) e sviluppato dei servizi in rete
tramite i quali i cittadini possono farsi identificare in rete (CIE/CNS), accedere quindi ai propri dati
personali nel pieno rispetto delle norme sulla privacy, e sottoscrivere (firma digitale) dichiarazioni,
denunce, ricorsi. Ecco quindi che si intravede l’obiettivo finale: dotarsi di un unico strumento con cui
sarà possibile farsi riconoscere e sottoscrivere dichiarazioni, fruendo dei vantaggi derivanti dai servizi
in rete.

Anche se è correntemente utilizzato, all’interno della Direttiva non compare mai il concetto di firma
“leggera”, né quello di firma “forte”. Queste definizioni sono state introdotte dagli addetti ai lavori per
sopperire alla mancanza di una definizione esplicita di altre tipologie di firma.
Queste tipologie sono introdotte nell’articolo 5 della Direttiva. In particolare il primo comma di questo
articolo introduce la tipologia di firma più importante dal punto di vista legale perché equivalente alla
sottoscrizione autografa. Spesso ci si riferisce ad essa con il termine firma “forte”, mentre fra gli addetti
ai lavori, specialmente in campo internazionale, la si indica come “firma 5.1”.
La firma “forte” è anch’essa nei termini presentati, un principio giuridico, ma vediamo come può essere
realizzata praticamente.
Detta firma è una firma elettronica avanzata, perché così si deduce dalla definizione, che soddisfa
specifiche caratteristiche derivanti dal certificatore. Quest’ultimo è il soggetto che certifica le chiavi
mediante le quali la firma è stata generata. Infine la firma deve essere generata con strumenti che
garantiscano un adeguato livello di sicurezza, come ad esempio un smart card.
Riassumendo, affinché la firma apposta possa essere considerata equivalente ad una autografa:

 deve essere basata su un sistema a chiavi asimmetriche;

 deve essere generata con chiavi certificate con le modalità previste nell’allegato I della Direttiva;

 deve essere riconducibile a un sistema di chiavi provenienti da un certificatore operante secondo

l’allegato II della Direttiva e soggetto a vigilanza da parte del preposto organo istituzionale (il termine
“vigilanza” è proprio del recepimento italiano della Direttiva che utilizza “supervisione”. L’organismo
preposto a tale attività è il CNIPA, Centro nazionale per l’informatica nella pubblica amministrazione);
 deve essere generata utilizzando un dispositivo sicuro che soddisfi i requisiti dell’allegato III
della Direttiva.

La firma digitale compie i nove anni di attività in Italia, i cui risultati sono di tutto rilievo, tanto che il
Paese detiene il primato in Europa riguardo l'adozione dell'innovativo strumento telematico. Con i
suoi oltre tre milioni di card elettroniche emesse, circa cento milioni di documenti sottoscritti in
modo digitale e 18 certificatori accreditati dal Cnipa emissari delle carte, il nostro è un Paese
all'avanguardia rispetto agli altri Stati europei e mondiali. Uno scenario rafforzato dalla presenza
del Codice dell'Amministrazione Digitale, strumento normativo di assoluta prerogativa italiana.

Il CNIPA gestisce l'elenco dei certificatori accreditati e controlla il rispetto delle norme e sulla base
dei parametri fissati riconosce che il documento informatico, sottoscritto con firma digitale o con un
altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'art. 2702 del Codice civile. Per
documento informatico si intende «la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti» e possiede pieno valore legale se rispetta i requisiti fissati nel DPR 445
del 28 dicembre 2000. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo
che questi dia prova contraria.

Il Codice dell'amministrazione digitale prevede la firma digitale come soluzione tecnica per
garantire ai documenti elettronici i valori di integrità, immodificabilità e non ripudio. La definizione
fornita dal CNIPA di firma digitale è: «un particolare tipo di firma elettronica qualificata basata su
un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al
titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un
insieme di documenti informatici».

La firma digitale rappresenta uno strumento innovativo di grande utilità infatti, in modo del tutto
analogo alla tradizionale sottoscrizione tramite firma autografa dei documenti cartacei, attesta la
volontà di sottoscrivere il documento informatico e quindi di assumere la responsabilità del suo
contenuto. Il processo di firma, oltre all'autenticità del mittente, attesta l'integrità del documento
firmato e il principio del non ripudio che non permette il disconoscimento di quanto firmato.

Istituita formalmente l'8 Febbraio del 1999 con un Dpcm, la firma digitale costituisce dunque uno
dei cardini del processo di e-government. Questo nell'ambito delle Pubbliche Amministrazioni si
sviluppa su tre linee di intervento, definite dal CNIPA: la diffusione della firma digitale all'interno
delle amministrazioni, con distribuzione a dirigenti e funzionari con potere di firma e relativa
formazione; l'intervento su applicazioni e servizi, per renderli accessibili in sicurezza tramite la
firma digitale; iniziative specifiche di stimolo all'utilizzo della firma da parte di gruppi specifici di
utenti esterni all'amministrazione.

In questi anni l'Italia ha percorso molta strada, nella direzione dello sviluppo di una cultura del
documento informatico. Questo ha pieno valore legale e notevoli vantaggi in termini di spostamenti
di persone, atti da spedire, archiviare e gestire, nonché per l'occupazione dello spazio. Così si sta
gradualmente abbandonando il tradizionale documento cartaceo, con tutti i problemi e costi legati
alla sua gestione e archiviazione, favorendo non solo i rapporti tra cittadini e PA, ma anche le
relazioni tra le imprese.

In ambito europeo, avvalorando il lavoro fatto sin qui dal nostro Paese, la Commissione UE ha
riconosciuto la firma digitale italiana e i suoi protocolli di interoperabilità come modello base a
livello europeo. Come spiegato dallo stesso CNIPA, a differenza di quanto avviene nel resto
d'Europa, solo in Italia «qualunque firma digitale emessa da uno dei 18 certificatori accreditati dal
CNIPA consente la sottoscrizione con standard tecnologici che permettono la completa circolarità
dei documenti». Riportiamo come esempio la Francia, in cui un documento sottoscritto in modo
digitale non è facilmente verificabile in altri Stati membri dell'UE.

L'Italia, dalle stesse rilevazioni della Commissione europea, applica allo stato attuale sia gli
standard comunitari, ma anche specifiche regole a livello nazionale (Dlgs 10/2002, del DPR
137/2003) che, se formalizzate dalla Commissione europea nell'ambito della revisione della
Direttiva del 1999, permetterebbero di accelerare l'adozione di questo importante strumento di
innovazione tecnologica. Da Bruxelles arrivano così una serie di progetti finalizzati a consentire un
efficace recepimento della Direttiva dei servizi che impone, ai Paesi dell'Unione Europea,
l'attivazione di servizi del mercato interno che garantiscano la circolarità delle identità digitali
attraverso strumenti elettronici, come la stessa firma digitale.

La diffusione in Italia della firma digitale è stata agevolata dall'adozione del Codice
dell'Amministrazione Digitale nel 2006, che ha rafforzato il diritto dei cittadini a scambiare
comunicazioni mediante posta elettronica con le PA, anche locali, con la possibilità di rivolgersi al
giudice amministrativo per obbligare i pubblici uffici a rispettare l'obbligo di risposta e dando quindi
valore probatorio al documento informatico sottoscritto. Grazie agli sforzi del CNIPA nell'attuare
una continua attività progettuale, normativa e di controllo, in questi nove anni l'Italia è stata in
grado di adottare meccanismi di interoperabilità unici pressoché a livello mondiale.

Il nuovo strumento telematico dunque piace e anche molto agli italiani, che ne apprezzano l'utilità
anche in ambito economico. Secondo Unioncamere le imprese italiane infatti risparmierebbero ben
260 milioni di euro all'anno solo per i rapporti da intrattenere periodicamente con il Registro delle
Imprese, sostituendo con la firma digitale tutte le procedure cartacee, gli spostamenti e le code
sostenuti prima dell'avvento dell'innovativo strumento elettronico. Infatti i documenti firmati in modo
digitale permettono di validare legalmente a distanza un contratto, di emettere una fattura
commerciale o un ordine di acquisto.

La firma digitale si ottiene, all'atto pratico, applicando ad un documento informatico, una

procedura di calcolo basata sui principi della crittografia asimmetrica, cioè basata su coppie di
chiavi, una per la cifratura e l'altra per la decifratura. Assolutamente diversa è la digitalizzazione
della firma autografa che è invece la rappresentazione digitale di un'immagine corrispondente alla
firma autografa. In sintesi, la procedura per la generazione di un documento firmato digitalmente
segue i seguenti passi: il titolare di una coppia di chiavi attesta la sua volontà di sottoscrizione
eseguendo una specifica procedura, quindi il destinatario, per essere certo dell'autenticità e
dell'integrità del messaggio arrivato, effettua l'appropriata procedura di verifica.

I requisiti necessari per richiedere all'Ente di Certificazione un dispositivo di firma digitale sono:
aver compiuto 18 anni; essere in possesso del codice fiscale (o analogo codice identificativo);
essere in possesso di un documento d'identità valido. Viene, quindi, rilasciato un dispositivo di
firma (smart card o token USB) che contiene i certificati e il lettore che permette la comunicazione
della smart card con il computer. L'elemento di rilievo del sistema firma è rappresentato dal
certificato digitale di sottoscrizione che l'Ente Certificatore rilascia al titolare di un dispositivo di
firma. Il certificato di sottoscrizione è un file generato seguendo precise procedure standard
stabilite dalla legge. Al suo interno sono conservate informazioni riguardo l'identità del titolare, la
chiave pubblica fornita al momento del rilascio, il periodo di validità del certificato stesso oltre ai
dati relativi all'Ente Certificatore.

Il certificato digitale di un titolare, una volta entrato a far parte dell'elenco pubblico dei certificati
tenuto dall'Ente Certificatore, garantisce la corrispondenza tra la chiave pubblica e l'identità del
titolare. Nel momento in cui si desidera verificare la validità di un documento firmato è possibile
farlo tramite la relativa funzione presente nel sito dell'Ente Certificazione e ricevere così
informazioni sul firmatario del documento elettronico. In ultimo ricordiamo che il CNIPA ha
pubblicato un documento intitolato "Le Linee guida per l'utilizzo della firma digitale" concepito
appositamente per supportare utenti e aziende proprio riguardo l'utilizzo della firma digitale. Gli
interessati potranno così, consultando il documento in modo mirato, seguire un percorso specifico
a seconda delle proprie esigenze. Sarà, inoltre, possibile comprendere dove acquistare la firma
digitale, come utilizzarla e soprattutto come verificare la sua validità legale mediante gli strumenti
gratuiti segnalati dal CNIPA stesso.

La firma digitale è basata sulla tecnologia della crittografia a chiave pubblica (o PKI). Dal punto
di vista informatico essa rappresenta un sistema di autenticazione di documenti digitali tale da
garantire il c.d. non ripudio.

La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua quel tipo
di firma che può essere apposta ai documenti informatici alla stessa stregua di come la firma
autografa viene apposta ai documenti tradizionali.

Definizione [modifica]
La firma digitale di un documento informatico si propone di soddisfare tre esigenze:

 che il destinatario possa verificare l'identità del mittente (autenticità);

 che il mittente non possa disconoscere un documento da lui firmato (non ripudio);
 che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro
(integrità).

Un tipico schema di firma digitale consiste di tre algoritmi:

1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK,
SK): PK (Public Key, chiave pubblica) è la chiave pubblica di verifica della firma mentre SK
(Secret Key) è la chiave privata posseduta dal firmatario, utilizzata per firmare il
documento.
2. un algoritmo di firma S che, presi in input un messaggio m ed una chiave privata SK
produce una firma σ.
3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una
firma σ, accetta o rifiuta la firma.

Sistemi per la creazione e la verifica di firme digitali [modifica]

Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche della crittografia
asimmetrica.

Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli

incomprensibili a chi non sia in possesso di una "chiave" (intesa secondo la definizione crittologica)
per interpretarli. Nei sistemi crittografici a chiave pubblica, detti anche a chiave asimmetrica, ogni
utente ha una coppia di chiavi: una chiave privata, da non svelare a nessuno, con cui può decifrare i
messaggi che gli vengono inviati e firmare i messaggi che invia, e una chiave pubblica, che altri
utenti utilizzano per cifrare i messaggi da inviargli e per decifrare la sua firma e stabilirne quindi
l'autenticità.

Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la
chiave privata sia la sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave
pubblica associata e viceversa. Lo scenario in cui un mittente vuole spedire un messaggio ad un
destinatario in modalità sicura è il seguente: il mittente utilizza la chiave pubblica del destinatario
per la cifratura del messaggio da spedire, quindi spedisce il messaggio cifrato al destinatario; il
destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio
"in chiaro".

Grazie alla proprietà delle due chiavi, inversa rispetto a quella appena descritta, un sistema di
questo tipo è adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente
è la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di
quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente:
con l'ausilio di una funzione hash (pubblica) ricava l'impronta digitale del documento, detta anche
message digest, un file di dimensioni relativamente piccole (160 bit) che contiene una sorta di
codice di controllo relativo al documento stesso, dopodiché utilizza la propria chiave privata per
cifrare l'impronta digitale: il risultato di questa codifica è la firma. La funzione hash è fatta in modo
da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore
dell'impronta, inoltre, è one-way, a senso unico, questo significa che dall'impronta è impossibile
ottenere nuovamente il testo originario ovvero essa è non invertibile. La firma prodotta dipende
dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata
dell'utente. A questo punto la firma viene allegata al documento.

Chiunque può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con
la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta
quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due
impronte sono uguali, l'autenticità e l'integrità del documento sono garantite.

La firma digitale assicura inoltre il non ripudio: il firmatario di un documento trasmesso non può
negare di averlo inviato, né può il ricevente negare di averlo ricevuto. Detta in altre parole significa
che l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un
documento cartaceo in presenza di testimoni.

Le operazioni di firma e di verifica possono essere demandate ad un apposito programma rilasciato

dall'ente certificatore oppure al proprio provider di posta elettronica, che, con una semplice
configurazione, le effettuerà automaticamente.

Schema di firme [modifica]

I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di
verifica.

L'algoritmo di firma
crea una firma elettronica che dipende dal contenuto del documento a cui deve essere
allegata, oltre che dalla chiave dell'utente. Una coppia (documento, firma) rappresenta un
documento firmato, ovvero un documento a cui è stata allegata una firma.
L'algoritmo di verifica
può essere utilizzato da chiunque per stabilire l'autenticità della firma digitale di un
documento.

L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una
stringa funzione del documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica
usando la chiave privata del mittente. Il risultato di tale codifica è la firma digitale del documento.
La firma viene allegata al documento che ora risulta firmato digitalmente. Il documento firmato
digitalmente è in chiaro ma possiede la firma del mittente e può essere spedito in modo che esso
possa essere letto da chiunque ma non alterato poiché la firma digitale ne garantisce l'integrità. Il
ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma
digitale con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e
confronta le due stringhe hash, verificando in questo modo l'identità del mittente e l'integrità ed
autenticità del documento.

Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un

insieme finito di possibili chiavi;
se ∀ k ∈ K ∃ un algoritmo di firma sigk:D→F, ∃ un corrispondente algoritmo di verifica
verk:D×F→{vero, falso} tale che ∀ d ∈ D, ∀ f ∈ F: verk(d,f) = { vero se f = sigk(d) ; falso se f ≠
sigk(d) }
allora (D, F, K, sigk, verk) costituisce uno schema di firme.

Dato un d ∈ D solo il firmatario deve essere in grado di calcolare f ∈ F tale che verk(d,f) = vero.

Uno schema di firme è detto incondizionatamente sicuro se non esiste un modo per la falsificazione
di una firma f ∈ F. Segue che non esistono schemi di firme incondizionatamente sicuri poiché un
malintenzionato potrebbe testare tutte le possibili firme y ∈ F di un documento d ∈ D di un utente,
usando l'algoritmo pubblico verk fino a quando non trova la giusta firma. Naturalmente questo tipo
di attacco alla sicurezza dello schema di firme risulta essere enormemente oneroso
computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi più raffinati ed i
processori più potenti, poiché si fa in modo che la cardinalità dell'insieme di possibili firme sia
enormemente elevata.

Differenze tra firma digitale e firma convenzionale [modifica]

Firma autografa Firma digitale

Creazione manuale mediante algoritmo di creazione

sul documento: la firma è parte come allegato: il documento firmato è

Apposizione
integrante del documento costituito dalla coppia (documento, firma)

confronto con una firma mediante algoritmo di verifica

Verifica
autenticata: metodo insicuro pubblicamente noto: metodo sicuro

Documento copia distinguibile indistinguibile

Validità temporale illimitata limitata

Automazione dei
non possibile possibile
processi

Valore giuridico della firma digitale in Italia [modifica]

Nell'ordinamento giuridico italiano il termine firma digitale sta ad indicare un tipo di firma
elettronica qualificata, basato sulla crittografia asimmetrica, alla quale si attribuisce piena efficacia
probatoria, tale da potersi equiparare, sul piano sostanziale, alla firma autografa.

È da osservare tuttavia che al di fuori dell'ordinamento giuridico italiano il termine firma digitale è
usato solo nel contesto della sicurezza informatica, per riferirsi genericamente alle tecniche che
consentono di ottenere autenticazione e non ripudio di messaggi, senza quindi identificare specifici
requisiti che debbono essere richiesti nel caso di firme con valore di legge.

Proprio per evitare che questa omonimia possa ingenerare confusione, in fase di recepimento della
Direttiva Europea di riferimento, anche nel contesto normativo italiano è stato importato il termine
firma elettronica qualificata.

A complicare il quadro interviene il fatto che l'ordinamento italiano, per recepimento della
normativa europea, ha introdotto la nozione di firma elettronica qualificata, dandole il ruolo di
genus della firma digitale, e attribuendole totale neutralità tecnologica (cosa che invece non vale per
la firma digitale). Tuttavia, sul piano probatorio, firma digitale e firma elettronica qualificata si
equivalgono.

Il primo atto normativo che ha stabilito la validità della firma digitale per la sottoscrizione dei
documenti elettronici è stato il D.P.R. 10 novembre 1997 n. 513 (regolamento recante criteri e
modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici
e telematici), emanato in attuazione dell'articolo 15 della legge 15 marzo 1997, n. 59.

Successivamente, tale normativa è stata trasposta nel D.P.R. 28 dicembre 2000 n. 445 (il Testo
Unico sulla documentazione amministrativa), più volte modificato negli anni successivi
all'emanazione, per conformare la disciplina italiana alla normativa comunitaria contenuta nella
Direttiva 99/93 in materia di firme elettroniche.

Oggi, la legge che disciplina la firma digitale è il "Codice dell'amministrazione digitale" (Decreto
Legislativo 7 marzo 2005, n. 82, così come modificato dal D.Lgs. 4 aprile 2006, n. 159).

Il Codice, all'articolo 1, distingue i concetti di "firma elettronica", "firma elettronica qualificata"

e "firma digitale":

1. Per firma elettronica la legge intende l'insieme dei dati in forma elettronica, allegati oppure
connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di
identificazione informatica.
2. La firma elettronica qualificata è definita come la firma elettronica basata su una
procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il
firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un certificato
qualificato. È inoltre richiesto l'uso del dispositivo di firma sicuro, capace cioè di proteggere
efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado
di rilevare qualsiasi alterazione del documento avvenuta dopo l'apposizione della firma
 stessa. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto
di "firma elettronica qualificata".
3. La firma digitale, è considerata dalla legge come una particolare specie di "firma
elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.

All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la
firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui
contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente
considerata come riconosciuta, equiparando così il documento informatico sottoscritto con firma
digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza,
alla scrittura privata con firma autenticata).

Tuttavia secondo un orientamento vi sarebbe una significativa differenza tra firma autografa e firma
digitale rispetto alla procedura di disconoscimento. Nel primo caso infatti sarebbe sufficiente che il
convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere
probatorio. Con riguardo al secondo caso (firma digitale), si nota che l'articolo 21 del il D.Lgs.
82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo
che questi dia la prova contraria. Vi sarebbe quindi un'inversione dell'onere della prova dall'attore
verso il convenuto.

Un altro orientamento, peraltro, ha posto in evidenza che la presunzione della riconducibilità della
firma al titolare del dispositivo di firma si deve formare "ai sensi dell'art. 21, comma 2" (art. 20,
comma 2, del D.Lgs. 82/2005), secondo il quale "il documento informatico, sottoscritto con firma
digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702
del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che
questi dia prova contraria". Se ne ricava che, come nel caso della scrittura tradizionale, anche la
scrittura elettronica munita di firma digitale farebbe piena prova della provenienza delle
dichiarazioni solo se la firma digitale che vi è apposta è riconosciuta da colui contro il quale è
prodotta in giudizio. Altrimenti, colui che la produce deve fare istanza di verificazione, da sostenere
con qualsiasi mezzo di prova utile (art. 216 c.p.c.). In tale prospettiva, solo nel corso del giudizio di
verificazione colui che vuol fare valere la scrittura può provare, mediante la verificazione
informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare, fatto che - si evidenzia -
costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto del
titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto
utilizzo del dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla
presunzione legale di cui all'art. 21, comma 2, cit. in ordine alla riconducibilità di tale utilizzo alla
sfera di controllo del titolare e, quindi, in ordine all'imputazione della firma apposta a quel soggetto.

La titolarità della firma digitale è garantita dai "certificatori" (disciplinati dagli articoli 26-32): si
tratta di soggetti con particolari requisiti di onorabilità, che potevano essere accreditati presso il
Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA), ora confluito in
DigitPA (in tal caso vengono chiamati certificatori accreditati), che tengono registri delle chiavi
pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento
elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma elettronica vi è quella
per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere
l'attività bancaria (2000000€, come una S.p.A). I certificatori non sono quindi soggetti singoli
(come i notai), ma piuttosto grosse società (per esempio, un certificatore è la società Postecom
(Poste Italiane)).

L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e
chiave pubblica, inserita nel certificato) è a pagamento, nonostante il fatto che la firma (sia manuale
che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona. La coppia di chiavi
ha una scadenza temporale.

È fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del
certificatore perché sia certa l'associazione che il certificato effettua tra chiave pubblica e dati
anagrafici del titolare della firma.

Vulnerabilità [modifica]
Vulnerabilità del processo di firma [modifica]

La vulnerabilità più nota è strettamente correlata al fatto che una smart card è un computer limitato,
poiché manca dei dispositivi di I/O. Pertanto, in generale il processo globale di generazione della
firma digitale non può essere considerato sicuro, poiché il PC utilizzato per generare l'impronta del
documento da firmare (cui la smart card è necessariamente interfacciata) è potenzialmente insicuro.
Il rischio concreto è che alla fine il PC possa ottenere dalla smart card una firma su un documento
arbitrariamente scelto, diverso da quello visualizzato sullo schermo ed effettivamente scelto
dall'utente. Chiaramente l'utente potrebbe non essere consapevole dell'esistenza di un siffatto
documento, per cui tale problema può essere considerato molto grave. Secondo il parere di Rivest
esiste una contraddizione intrinseca tra possedere un dispositivo sicuro ed usare una “interfaccia
utente ragionevolmente personalizzabile” che supporti il download delle applicazioni. In altri
termini, si potrebbe pensare ad un’applicazione molto sicura per la firma digitale che sia eseguibile
su computer stand-alone (portatili), tali da non permettere l'esecuzione di altri programmi. In caso
contrario, il processo di firma digitale rimane intrinsecamente insicuro, poiché i PC non possono
rappresentare piattaforme sicure. Secondo Rivest la firma digitale non dovrebbe essere considerata
come una prova non ripudiabile, ma semplicemente come un'evidenza plausibile. Così per gli utenti
dovrebbero esistere casi ben definiti in cui poter ripudiare la firma. Il problema, ben noto in
letteratura, è complesso e non ammette una soluzione completa fintanto che il PC è parte del
processo di generazione della firma. Recentemente sono state proposte soluzioni euristiche che
permettono di mitigarne le conseguenze.

Documenti contenenti macro-istruzioni o codice eseguibile [modifica]

Un'altra ben nota vulnerabilità è derivante dalla possibilità per i documenti di incorporare macro-
istruzioni o codice eseguibile (si pensi ad esempio alle macro dei documenti Word, oppure al codice
Javascript dei documenti PDF). Il problema è che un documento contenente istruzioni non è statico,
nel senso che la visualizzazione (la presentazione) del suo contenuto potrebbe dipendere da tali
istruzioni. Per esempio, si consideri il caso di un contratto che include un valore che dipende dalla
data di sistema, in modo tale che, dopo una certa data, il valore visualizzato sia modificato. La firma
digitale dovrebbe essere in grado di evitare la modifica di ciò che un documento mostra all'utente,
allo scopo di garantire l'integrità dell'informazione, non solo in termini tecnici, ma anche dal punto
di vista degli effetti (legali) prodotti dai bit che compongono i documenti digitali. Nell’esempio
precedente, chiaramente i bit del contratto digitale non variano, ma il loro effetto, in termini di
contenuto rappresentato, sì. Sfortunatamente, la firma digitale non è in grado di rilevare il
comportamento dinamico del documento, tantomeno i suoi (pericolosamente dinamici) effetti legali,
in quanto è ottenuta a partire dai bit che compongono il documento mediante l'applicazione di una
funzione di hash crittografico prima, e l'esecuzione di un algoritmo di crittografia asimmetrica
(tipicamente RSA) poi. Questa vulnerabilità è ben nota ed il modo per contrastarla è banalmente
quello di forzare l'utente a verificare la presenza di macro nel documento prima della firma, quindi
assumendo che egli sia in grado di svolgere tale compito. Esistono anche alcuni lavori scientifici in
letteratura che definiscono approcci sistematici per contrastare tale vulnerabilità. Un'ulteriore
metodo suggerito è quello di restringere i formati permessi per i documenti a quelli che non
supportano l'inclusione di istruzioni, come il testo (es. ASCII), PDF/A, le immagini. Altri possibili
attacchi, documentati in letteratura, riguardano l'uso dei font ed altre tecniche legate alla
visualizzazione non statica del contenuto del documento (es, inclusione di oggetti esterni, attacchi
basati sulla versione del browser per documenti HTML, testo nascosto attraverso il colore dei font,
etc.).

La vigente normativa italiana, comunque, esclude espressamente la validità della firma per le
sopraddette tipologie di documenti: l'art. 3, comma 3 del DPCM 30 marzo 2009 (nuove regole
tecniche in vigore dal 6 dicembre 2009) recita infatti "Il documento informatico, sottoscritto con
firma digitale o altro tipo di firma elettronica qualificata, non produce gli effetti di cui all'art. 21,
comma 2, del codice, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità
che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" .

Vulnerabilità connesse all'ambiguità della codifica del documento [modifica]

Il 21 giugno 2008 viene divulgato un articolo in cui si descrive la scoperta fatta dal gruppo del
Professor Francesco Buccafurri, ordinario alla facoltà di Ingegneria di Reggio Calabria, di una
nuova vulnerabilità che affligge la firma digitale. Ciò che viene provato non è la vulnerabilità degli
algoritmi di firma o dei dispositivi: si tratta di un attacco mai prima documentato che consente di
firmare documenti con contenuto ambiguo e che sfrutta tecniche fino a quella data non note,
agendo su formati ritenuti esenti da tale comportamento "dinamico". Dal punto di vista degli effetti,
tale vulnerabilità, è assimilabile a quella già nota determinata dalla presenza di istruzioni nei
documenti. Tuttavia la tecnica con la quale opera è significativamente diversa. La vulnerabilità
sfrutta la caratteristica di quei Sistemi Operativi di identificare il tipo di file, e quindi il software da
utilizzare per renderne intelligibile il contenuto, attraverso l'estensione (infatti il comportamento
"dinamico" del documento viene attivato dalla modifica della sua estensione), risultando quindi
applicabile solo in tali Sistemi Operativi. In linea di principio la vulnerabilità potrebbe essere
facilmente risolta includendo negli “authenticated attributes” della busta PKCS#7 il mime-type del
file soggetto a firma, di modo da eliminare l'ambiguità sul software da utilizzare per visualizzare il
documento e neutralizzare l'attacco. Tuttavia una soluzione del genere comporterebbe
l'adeguamento dei software di verifica della firma attualmente in uso, quindi non è di facile
attuazione pratica.

Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novità della
fattispecie, ma è presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM
30 marzo del 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009), e che quindi i documenti
con tale ambiguità non producano gli effetti probatori previsti dall'art. 21 del Codice
dell'amministrazione digitale.

Il Codice dell'Amministrazione Digitale (CAD) è un Codice, ovvero un corpo organico di

disposizioni, che presiede all'uso dell'informatica come strumento privilegiato nei rapporti tra la
pubblica amministrazione e i cittadini italiani.

In secondo luogo, perché avrebbe scorporato un assetto normativo che già era organico: la
disciplina del documento informatico, secondo tale opinione, trovava infatti la propria sede naturale
nel "testo unico sulla documentazione amministrativa" (DPR 445/2000), dove l'atto elettronico era
disciplinato contestualmente all'atto cartaceo in un regime di perfetta alternativa tra i due supporti.
Infine, secondo la dottrina più scettica, con il "codice" sarebbe degenerato l'intento iniziale di usare
l'informatica come strumento per la semplificazione amministrativa, facendo diventare la
digitalizzazione un fine a sé stante, sottovalutando i rischi di un passaggio non sufficientemente
graduale dal cartaceo all'elettronico, primo fra tutti l'acuirsi del digital divide fra cittadini dotati di
confidenza con lo strumento informatico, e cittadini che per ragioni sociali o anagrafiche hanno
difficoltà a rapportarsi telematicamente con l'amministrazione.

Per e-government (anche e-gov o amministrazione digitale) si intende il processo di

informatizzazione della pubblica amministrazione, il quale - unitamente ad azioni di cambiamento
organizzativo - consente di trattare la documentazione e di gestire i procedimenti con sistemi
digitali, grazie all’uso delle tecnologie dell'informazione e della comunicazione (ICT), allo scopo di
ottimizzare il lavoro degli enti e di offrire agli utenti (cittadini ed imprese) sia servizi più rapidi, che
nuovi servizi, attraverso - ad esempio - i siti web delle amministrazioni interessate.

L’innovazione digitale dei processi sanitari è un passaggio fondamentale per migliorare il rapporto
costo‐qualità dei servizi sanitari, limitare sprechi e inefficienze, innovare le relazioni di front‐end per
migliorare la qualità percepita dal cliente

Certificati di malattia on‐line

Oggi oltre l’85% dei medici di famiglia può inviare per via elettronica i certificati di malattia. Finora sono
stati trasmessi digitalmente allʹINPS 2,2 milioni di certificati di malattia

Ricette mediche digitali:

da gennaio 2010 è disponibile il sistema per la trasmissione dei dati delle prescrizioni farmaceutiche. Da
luglio la normativa attribuisce valore legale alla ricetta trasmessa telematicamente, eliminando così di fatto il
cartaceo. Attraverso la digitalizzazione del ciclo prescrittivo (medico‐paziente‐farmacie) si stima una
riduzione di almeno il 25% della spesa farmaceutica a carico del SSN (equivalente ad un risparmio di circa
5/6 miliardi di euro)

I prossimi interventi riguarderanno:

Centri unici di prenotazioni on‐line: diffusione di sistemi sovra‐regionali per la prenotazione delle
prestazioni sanitarie, si avrà una sensibile diminuzione dei tempi di attesa

Fascicolo Sanitario Elettronico: realizzazione e diffusione di una soluzione federata di fascicolo sanitario
elettronico del cittadino in linea con lo scenario internazionale

La conservazione sostitutiva è una procedura legale/informatica regolamentata dalla legge italiana,

in grado di garantire nel tempo la validità legale di un documento informatico.

Si intende per documento una rappresentazione di atti o fatti e dati su un supporto sia esso
cartaceo o informatico (delibera CNIPA 11/2004)

La conservazione sostitutiva equipara, sotto certe condizioni, i documenti cartacei con quelli
elettronici e dovrebbe permettere ad aziende e all'amministrazione pubblica di risparmiare sui costi
di stampa, di stoccaggio e di archiviazione. Il risparmio è particolarmente alto per la
documentazione che deve essere, a norma di legge, conservata per più anni.
Conservare digitalmente significa sostituire i documenti cartacei, che per legge alcuni soggetti
giuridici sono tenuti a conservare, con l'equivalente documento in formato digitale che viene
“bloccato” nella forma, contenuto e tempo attraverso la firma digitale e la marca temporale. È
infatti la tecnologia della firma digitale che permette di dare la paternità e rendere immodificabile
un documento informatico, affiancata poi dalla marcatura temporale permette di datare in modo
certo il documento digitale prodotto.

Normativa [modifica]
Con l'introduzione delle recenti normative sulla conservazione sostitutiva, il documento informatico
acquista valore probatorio ai fini fiscali e legali. Infatti, con l'introduzione del Decreto del 23
gennaio 2004 del Ministero dell'Economia e delle Finanze e con la Deliberazione del Centro
Nazionale per l'Informatica nella Pubblica Amministrazione n° 11 del 19 febbraio 2004, oggi è
possibile archiviare e conservare su supporti ottici i documenti cartacei e, utilizzando la firma
elettronica qualificata e la marcatura temporale, si può anche decidere di eliminarli. Negli ultimi
tempi l'interesse verso le soluzioni di Document Management è aumentato in maniera significativa
in Italia dovuto anche alla recente legge che autorizza, secondo certi criteri ben definiti, l'utilizzo di
metodologie di archiviazione ottica sostitutiva e trattamento dei documenti anche di quelli
considerati a valore fiscale (es. fatture, libro IVA, ecc). Si tratta della cosiddetta legge "Bassanini"
seguita dalle varie norme emesse dal CNIPA che garantiscono ai documenti informatici piena
validità ai fini probatori, legali e fiscali e, dunque, possono pienamente sostituire i tradizionali
metodi di conservazione delle registrazioni aziendali. Questo provvedimento apre innumerevoli
vantaggi per le aziende e non solo: basti pensare alla riduzione degli spazi di conservazione dei
documenti, all'incredibile risparmio cartaceo, all'abbattimento dei costi "nascosti" di gestione, alla
velocità di ricerca dei documenti a distanza e molto altro. La dimensione del mercato è vastissima,
ed è frutto dell'introduzione di tutta una serie di normative in ambito di archiviazione la cui storia è
di seguito riassunta.

D.L. 10 giugno 1994 n. 357 Art. 7: Si è stabilita la possibilità di conservare scritture e documenti
contabili sotto forma di registrazioni su supporti di immagini, a condizione, comunque, che le
registrazioni corrispondano ai documenti e possano essere trasformate in qualsiasi momento in un
esemplare leggibile del documento da cui sono state formate. Ma nel 1994 non erano ancora
pienamente sviluppate le tecniche di riproduzione elettronica dei documenti.

D.L. 15 marzo 1997 n. 59 Art. 15: Riconosce la validità a tutti gli effetti di legge degli atti, dati e
documenti formati ed i contratti stipulati dalla pubblica amministrazione e dai privati con strumenti
informatici o telematici, rinviando, tuttavia, per la sua attuazione ad un apposito regolamento.

D.P.R. 10 novembre 1997 n. 513 Definiti i criteri e le modalità per la formazione, l'archiviazione e
la trasmissione di documenti con strumenti informatici e telematici. Art. 15: Conservare su supporti
informatici i libri, i repertori e le scritture di cui sia obbligatoria la tenuta. Per le regole tecniche è
tutto demandato all'AIPA: Autorità per l'Informatica nella Pubblica Amministrazione.

D.P.C.M. 8 febbraio 1999 Regole tecniche per la formazione, trasmissione, conservazione,

duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici.

D.P.R. 28 dicembre 2000 n. 445 Testo unico delle disposizioni legislative e regolamentari in
materia di documentazione amministrativa. Art. 6: possibilità di sostituire i documenti dei propri
archivi, le scritture contabili, la corrispondenza e gli altri atti di cui per legge o regolamento è
prescritta la conservazione, con la loro riproduzione su: 1. supporto fotografico; 2. supporto ottico;
3. altro mezzo idoneo a garantire la conformità dei documenti agli originali. Per le specifiche
tecniche è tutto demandato all'AIPA.

Delib. 13 dicembre 2001 n. 42 (sostituito con Delib 19 febbraio 2004 n. 11) Regole tecniche
stabilite dall'AIPA.

D.L. 23 gennaio 2002 n. 10 Attuazione alla direttiva 1999/93/CE relativa ad un quadro comunitario
per le firme elettroniche, introducendo nell'ordinamento nazionale il sistema della doppia chiave
asimmetrica di crittografia quale strumento di validazione legale. Il CNIPA ha pubblicato un
apposito documento con il quale sono state dettate le linee guida per l'utilizzo della firma digitale.

Decreto Ministro dell'Economia e Finanze 23 gennaio 2004 Sono definite le modalità di

assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in
diversi tipi di supporto. Si stabilisce che il procedimento di conservazione sia effettuato almeno con
cadenza quindicinale. Affinché i documenti abbiamo rilievo ai fini fiscali devono essere
caratterizzati dalla forma di documenti il cui contenuto risulti non alterabile durante le fasi di
accesso e di conservazione (definiti documenti statici non modificabili) e devono essere emessi
riportando il riferimento temporale e la sottoscrizione elettronica. La memorizzazione deve avvenire
su supporti che ne garantiscano la leggibilità nel tempo. Il responsabile della conservazione, cui
spetta un ruolo chiave ai fini della realizzazione dell'intera procedura, ha affidato il controllo della
corretta operatività del sistema e delle procedure di verifica della leggibilità dei dati memorizzati.
Art. 1: Glossario Art. 2: Tratta i documenti informatici di competenza dell'Agenzia dell'entrate Art.
3: Caratteristiche che i documenti informatici devono avere ai fini delle disposizioni tributarie e
precisa che sono emessi, al fine di garantirne l'attestazione della data, l'autenticità e l'integrità, con
l'apposizione del riferimento temporale e della sottoscrizione elettronica. Art. 4: Modalità di
conservazione digitale. Bisogna assicurare l'ordine cronologico delle registrazioni. Questo processo
va concluso con l'ulteriore apposizione del riferimento temporale e della sottoscrizione elettronica
da parte di un pubblico ufficiale, per attestare la conformità di quanto memorizzato al documento
d'origine. Il concorso nel procedimento in questione di un notaio se da un lato rafforza le garanzie
di correttezza del processo, dall'altro costituisce un appesantimento procedurale con aggravi anche
in termini di costo per le imprese. La distruzione di documenti analogici, di cui è obbligatoria la
conservazione, è consentita soltanto dopo il completamento della procedura di conservazione
digitale. Art. 5: Entro il mese successivo alla scadenza dei termini per le presentazioni delle
dichiarazioni fiscali relative alle imposte sui redditi, all'imposta regionale sulle attività produttive e
all'imposta regionale sulle attività produttive e all'imposta sul valore aggiunto, il soggetto
interessato o il responsabile della conservazione “trasmette alle competenti Agenzie fiscali,
l'impronta dell'archivio informatico oggetto della conservazione, la relativa sottoscrizione
elettronica e la marca temporale”. Art. 6: L'amministrazione finanziaria può chiedere al
contribuente di esibire i documenti informatici e le scritture e di rendere leggibili gli stessi anche su
supporto cartaceo. Art. 7: Imposta di bollo sui documenti informatici. Il contribuente è tenuto a
presentare all'ufficio delle entrate competente una comunicazione contenente l'indicazione del
numero presuntivo degli atti, dei documenti e dei registri che potranno essere emessi o utilizzati
durante l'anno, nonché l'importo e gli estremi dell'avvenuto pagamento dell'imposta. Il pagamento
dell'imposta avverrà sulla base di tali dati, mentre entro il mese di gennaio dell'anno successivo
l'interessato presenterà all'Ufficio delle entrate competente una comunicazione contenente
l'indicazione del numero dei documenti informatici, distinti per tipologie, formati nell'anno
precedente e gli estremi del versamento dell'eventuale differenza dell'imposta, ovvero la richiesta di
rimborso o di compensazione. La corresponsione dell'imposta di bollo sui libri e sui registri tenuti
su supporto di memorizzazione ottico o con altro mezzo idoneo a garantire la non modificabilità dei
dati memorizzati, “è dovuta ogni 2500 registrazioni o frazioni di esse”.
Delibera CNIPA 19 febbraio 2004 n. 11(Gazzetta Ufficiale del 9 marzo 2004 n.57) Suddivide i
documenti in informatici e analogici; Prevede la possibilità di conservare su un qualsiasi tipo di
supporto (oltre a quelli a tecnologia laser) i documenti analogici e informatici attraverso
l'apposizione del riferimento temporale e della firma digitale.

Delega al Governo per la modifica del Codice dell'amministrazione digitale

Il Codice dell’amministrazione digitale, decreto legislativo 82/2005, affronta in modo organico il

tema dell’utilizzo delle tecnologie dell’informazione e della comunicazione (ITC) nell’attività
amministrativa. Il testo contiene inoltre la disciplina relativa al documento informatico e alla firma
digitale

La legge 69/2009 per lo sviluppo economico e la semplificazione (A.C.1441-bis), collegata alla

manovra finanziaria, delega il Governo ad adottare uno o più decreti legislativi di modifica del
Codice.

La delega prevede fra l’altro l’inserimento di forme sanzionatorie per le amministrazioni che non
ottemperino alle previsioni in questo contenute, nonché la modifica della normativa in materia di
firma digitale, con l’obiettivo di semplificarne ed intensificarne l’uso da parte della PA, dei
cittadini e delle imprese. E’ inoltre prevista la mappatura e la diffusione delle applicazioni
informatiche realizzate o utilizzate dalle pubbliche amministrazioni e quella dei servizi erogati con
modalità digitali, nonché delle best practices tecnologiche e organizzative adottate, introducendo
anche in questo caso sanzioni per le amministrazioni inadempienti.

Posta elettronica certificata

Il decreto legge 185/2008 (A.C. 1972) - decreto anticrisi convertito dalla legge 2/2009 - prevede
l'attribuzionegratuita di una casella di posta elettronicacertificata - PEC ai cittadini che ne
facciano richiesta. L'indirizzo di PEC consente l'invio di documenti informatici per via telematica
con valenza legale ed è valido giuridicamente ai fini dei rapporti con le pubbliche amministrazioni,
che sono tenute ad utilizzare tale strumento per le comunicazioni e le notificazioni aventi come
destinatari i dipendenti della stessa o di altra amministrazione.

La legge 69/2009 rafforza tali interventi, attribuendo anche alle pubbliche amministrazioni, locali e
regionali, la facoltà di assegnare caselle di posta elettronica certificate ai cittadini residenti nel loro
territorio.

Nel corso dell’esame parlamentare del provvedimento (A.C. 1441-bis), la Camera ha introdotto una
nuova disposizione finalizzata ad affiancare alla casella di posta elettronica certificata un analogo
indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della
ricezione della comunicazione, garantendo l’interoperabilità con analoghi sistemi internazionali.

"Taglia-carta"

La gestione documentale informatizzata all’interno delle amministrazioni pubbliche e la

conseguente sostituzione dei supporti tradizionali in favore del documento informatico
rappresentano un elemento di rilievo all’interno dei processi di riforma della gestione dell’attività
amministrativa. La dematerializzazione , come definita nel lessico giuridico, costituisce inoltre una
delle linee di azione maggiormente significative ai fini della riduzione della spesa pubblica.
Il "Taglia-carta", una disposizione di principio contenuta nel decreto-legge 112/2008, sollecita le
amministrazioni pubbliche ad operare in tal senso. Dal primo gennaio 2009, per ridurre l'utilizzo
della carta, la PA dovrà ridurre del 50% rispetto al 2007, la spesa per la stampa, per le
pubblicazioni distribuite gratuitamente o inviate ad altra amministrazione. Sempre a partire dal 1°
gennaio 2009, è stata prevista una diversa modalità di abbonamento alla Gazzetta Ufficiale da parte
delle amministrazioni e degli enti pubblici, stabilendo la sostituzione degli abbonamenti in formato
cartaceo con gli abbonamenti telematici.

La legge 69/2009, collegata alla manovra, contiene anch’essa norme finalizzate all’eliminazione dei
costi derivanti dal mantenimento delle pubblicazioni legali in forma cartacea. A decorrere dal 1°
gennaio 2010, è riconosciuto effetto di pubblicazione legale agli atti e ai provvedimenti
amministrativi pubblicati sui siti informatici delle amministrazioni e dei soggetti obbligati, o delle
loro associazioni. Dalla stessa data le pubblicazioni oggi effettuate in forma cartacea non hanno
effetto di pubblicità legale.

Il contenimento delle spese per la telefonia (VOIP) e il Sistema pubblico di connettività (SPC)

L’utilizzo dei servizi VoIP (Voice over Internet Protocol) si inquadra nel percorso di
razionalizzazione delle risorse delle pubbliche amministrazioni; rende infatti possibile effettuare
una conversazione telefonica sfruttando una connessione Internet, o altra rete dedicata, con risparmi
sulle chiamate e minori costi infrastrutturali.

La legge collegata alla manovra, affida al Centro nazionale per l’informatica nella pubblica
amministrazione (CNIPA) il compito di realizzare e gestire entro il 2011 un nodo per i servizi
VOIP.

Il Sistema pubblico di connettività (SPC) raccorda invece i sistemi informatici di tutte le pubbliche
amministrazioni statali, regionali e locali configurandosi come l’intranet della PA.

La stessa legge stabilisce la predisposizione di un programma biennale che assicuri, entro il 2010,
l’adesione al SPC di tutte le amministrazioni pubbliche e la realizzazione di progetti di
cooperazione tra i rispettivi sistemi operativi nonché la piena interoperabilità delle banche dati, dei
registri e delle anagrafi per ampliare la tipologia dei servizi online, erogati a cittadini ed imprese.