Il Regolamento eIDAS e le modifiche al CAD ed al PCT
Consiglio Superiore della Magistratura - Settima Commissione Commissione per l’organizzazione degli uffici giudiziari Roma, 29-30 Maggio 2017
L’eIDAS nelle fonti del diritto dell’informatica eIDAS
eIDAS
C.A.D. – dlt
82/2005 PCT (DL
193/2009) PCT (DL
179/2012)
dpcm 13/11/20
14
dpcm 22/02/20
13 dpcm
03/12/20
13 Provv.
DGSIA 16/4/2014
Dm 44/2011 Art. 71
CAD
Necessità di
adeguamento della normativa del CAD
Dlgs 179 del 26/8/2016
eIDAS
si inserisce in un apparato normativo
già maturo
In sintesi: novità più rilevanti apportate nel CAD dal dlt 179/2016
• Definizioni di cui all’art. 1 CAD (adeguate all’art. 3 eIDAS)
• Estensione dell’ambito di applicazione del CAD alle società a controllo pubblico
• Affermazione del principio di libertà digitale («chiunque» in luogo di «tutti i cittadini»)
• Norme sui pagamenti in favore della PA
• Obbligo per le PA di rendere disponibili i propri servizi per via telematica
• Connettività Wi-Fi presso gli uffici pubblici (settore scolastico, sanitario e turistico)
• Riformulazione degli artt. 2 e 22 CAD in tema di efficacia della firma elettronica e copie informatiche
• «Contrassegno» o «glifo» o «timbro digitale» a stampa
• Modalità di estrazione delle copie mediante processi
• Spostamento sistematico di alcune norme
• Norme di coordinamento con la normativa comunitaria (ad es. in materia di servizi fiduciari)
• Norme sul Servizio Pubblico di Identità Digitale
• Modifica dell’art. 71 dele CAD («… di concerto con il Ministro della Giustizia…»)
SPECIALITA’ DELLE NORME SUL PROCESSO CIVILE TELEMATICO
Art. 2 dlt 179/2016, comma 6:
«le disposizioni del presente Codice si applicano altresì al
processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle
disposizioni in materia di processo telematico»
Patologie processuali che
risalgono alla violazione di
regole e specifiche
tecniche
Utilizzo di formati non
consentiti
immagine in luogo di
quello testuale
Altri vizi nei depositi telematici
Il raggiungimento dello scopo
va valutato in relazione alla idoneità alla funzione di
«documentare»
e non solo a quella di
«rendere conoscibile»
l’atto
File e documento informatico
File:
contenitore di informazioni in formato digitale
Documento informatico:
«rappresentazio ne informatica
di atti, fatti o dati
giuridicamente rilevanti»
Capacità rappresentati
va
Documento informatico (C.A.D.):
«documento elettronico che contiene una rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»
Documento elettronico (eIDAS): «qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva».
Traduzione dall’inglese
«stored»…
dpcm
13/11/2014
regole tecniche sui
documenti
dpcm 3/12/2013 regole tecniche sulla conservazione
REGOLE COMUNI E COMPLEMENT
ARI
Il principio di “non discriminazione” dei documenti nell’eIDAS:
sarà anarchia digitale?
Art. 46 Reg. 910/14 (eIDAS)
« A un documento elettronico non sono negati gli effetti
giuridici e l’ammissibilità come prova in procedimenti
giudiziali per il solo motivo
della sua forma elettronica»
Art. 25: «A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate»
ART. 35: «A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati»
Art. 41: «Alla validazione temporanea (rectius: temporale) elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata»
Le altre declinazioni del principio di non discriminazione nell’eIDAS
Art. 46
« A un documento elettronico non sono negati gli effetti
giuridici e l’ammissibilità come prova in procedimenti
giudiziali per il solo motivo
della sua forma elettronica»
Davvero gli effetti giuridici di qualsivoglia documento informatico si producono «a
prescindere» dalla qualità della forma elettronica, dalla qualità delle firme, sigilli e validazioni
temporali in tutti gli stati membri?
Art. 2, co.
3, eIDAS
Art. 2, co. 3, eIDAS
Il presente regolamento non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma.
Prevalgono le norme CAD che prescrivono
requisiti di forma (es: firma digitale per gli
atti pubblici (art. 21, comma 2 ter), FD per
la forma scritta ex art. 1350 c.c. (art. 21,
comma 2 bis)…
RAPPORTO TRA LE REGOLE TECNICHE EX AT. 71 ED IL
PRINCIPIO DI NON DISCRIMINAZIONE
Se il principio di non discriminazione
trovasse applicazione indiscriminata
sarebbe anarchia
tecnica totale!
Le R.T. devono infatti rispondere agli standard internazionali oltre che ai requisiti di accessibilità, ci si convincerà che al
rango normativo formalmente inferiore delle norme ivi previste fa da contraltare il fatto che, ipotizzando per assurdo
l’assenza di qualsivoglia regola tecnica che disciplini, ad esempio, i formati, ci si troverebbe di fronte a file informatici che, in quanto non riconducibili a uno specifico software per la
relativa “lettura”, non sarebbero interpretabili nel relativo contenuto, a detrimento della certezza della documentazione
dei rapporti giuridici.
Eppure essi conserverebbero quell’efficacia giuridica ed il valore probatorio che l’art. 46
eIDAS riserva loro !
Regole Tecniche ex art. 71 dm oppure dpcm fonte subordinata
La norma ordinaria o comunitaria prevale sempre?
Per rispondere, occorre riflettere sulla funzione e sulla natura di
tali norme regolamentari. Esse esistono come norme di
applicazione anche in ambito comunitario (decisioni di
esecuzione)
La norma primaria è in grado di operare nell’ordinamento giuridico a prescindere dalla norma tecnica di applicazione ? NO !
Occorre distinguere nell’ambito delle R.T
a) Regole tecniche in senso proprio (di natura tecnica informatica)
b) Regole tecniche spurie, suppletive di una carenza (non tecnico informatica) della norma primaria
Solo sulle seconde prevale la norma primaria. Senza le prime la norma primaria non potrebbe «funzionare».
L’art. 71 CAD come norma «in bianco»
L’art. 20, comma 2-bis, CAD
«L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità»
COSTITUISCE APPLICAZIONE ANTE LITTERAM DEL PRINCIPIO DI NON DISCRIMINAZIONE.
Nel prudente apprezzamento delle prove ex art. 116 c.p.c. rientrano quindi anche le valutazioni circa caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità dei documenti informatici
Conseguenze dell’entrata in vigore dell’ eIDAS Conseguenze dell’entrata in vigore dell’ eIDAS
Necessità di rivedere tutte le regole tecniche (come disposto dall’art. 61 dlt 179/2016)
Conseguenza del principio di non discriminazione Conseguenza del principio di non discriminazione
Revisione delle regole e delle specifiche tecniche per il PCT
Art. 2 comma 6, ultima parte, C.A.D.: «Le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico».
Art. 2, comma 1, CAD: «Le disposizioni del presente codice si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165»
Art. 40 CAD: «Le pubbliche amministrazioni
formano gli originali dei propri documenti,
inclusi quelli inerenti ad albi, elenchi e pubblici
registri,con mezzi informatici secondo le
disposizioni di cui al presente codice e le regole
tecniche di cui all'articolo 71».
ART. 61, comma 1, dlt 179/2016:
«Con decreto del Ministro delegato per la
semplificazione e la pubblica amministrazione da adottare entro quattro mesi dalla data di entrata in vigore del presente decreto sono aggiornate e coordinate le regole tecniche previste dall'articolo 71…Fino all'adozione del suddetto decreto ministeriale, l'obbligo per le amministrazioni pubbliche di adeguare i
propri sistemi di gestione informatica dei
documenti, di cui all'articolo 17 del decreto
del Presidente del Consiglio dei ministri 13
novembre 2014, e' sospeso…
Il CAD si applica a tutte le
amministrazioni di cui al dlt 165/2001
«Giustizia» rientra tra le
amministrazioni ex dlt 165/2001
Le norme del CAD si applicano al PCT
se compatibili e non derogate
Non esiste alcuna norma nel PCT che
deroghi all’art. 40 CAD
Non appena in vigore le nuove RT, scatterà l’obbligo di deposito telematico di tutti i provvedimenti
del Giudice
SERVIZI DI RECAPITO CERTIFICATO
(art. 3 n. 36 eIDAS)
«servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di
modifiche non autorizzate»
SERVIZI DI RECAPITO CERTIFICATO QUALIFICATO (art. 44 eIDAS)
a) È reso da un prestatore di servizi fiduciari qualificati
e garantisce con un elevato livello di sicurezza b) l’identificazione del mittente
c) l’identificazione del destinatario prima della trasmissione dei dati mentre d) l’invio e la ricezione dei dati sono garantiti da una FEA o da un SEA
L’art. 1, comma 1-ter, CAD prevede che «ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato »
La posta elettronica certificata richiama uno standard n (RFC 2633) per il formato S/MIME che non risponde agli standard di sicurezza eiDAS e neanche a quelli della direttiva 1999/93 (SHA1 e non SHA-2 (SHA256)
La posta elettronica certificata non garantisce né l’identificazione del mittente (non è mai stata attuato quanto previsto dall’art. 65, lett. c) –bis «… posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare ..» (la c.d. «PEC-ID»)
Problemi di compatibilità tra gli istituti del PCT che
prevedono la PEC ed i servizi di recapito certificato
La P.E.C. come validazione temporale elettronica
L’art. 41, comma 4, lett. c) del dpcm 22.2.2013
(recante le regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche
avanzate, qualificate e digitali), è considerata
validazione temporale opponibile ai terzi «il riferimento
temporale ottenuto attraverso l’utilizzo di posta
elettronica certificata ai sensi dell’art. 48 del Codice».
La collocazione tra i servizi di recapito certificato non
qualificato crea implicazioni sulla validità della p.e.c. come
validazione temporale?
Validazione temporale semplice
o qualificata?
Anche per la validazione temporale vige il principio di non discriminazione…
(art. 41)
«Alla validazione temporanea (rectius: temporale)
elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il
solo motivo della sua forma elettronica o perché non
soddisfa i requisiti della validazione temporanea elettronica
qualificata»
… e vige anche il reciproco riconoscimento:
(art. 41, comma 3)
««una validazione temporale elettronica rilasciata in uno Stato membro è riconosciuta quale validazione temporale
elettronica qualificata in tutti gli Stati membri»»
Validazione temporale qualificata
(art. 42)
«Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti:
a) collega la data e l’ora ai dati in modo da escludere
ragionevolmente la possibilità di modifiche non rilevabili dei dati;
b)si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato;
c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari
qualificato o mediante un metodo equivalente »
Art. 9, comma 2, del dm 2.11.2005:
“Il riferimento temporale può essere generato con qualsiasi sistema che garantisca stabilmente uno scarto non superiore ad un minuto secondo rispetto alla scala di Tempo Universale Coordinato (UTC), determinata ai sensi dell’articolo 3, comma 1, della legge 11
agosto 1991, n. 273”
QUINDI
«..collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non
rilevabili dei dati»
La PEC ha i requisiti previsti dall’art. 36 eIDAS per i sigilli elettronici avanzati, dacché le firme apposte alle pec sono
sicuramente connesse unicamente al gestore firmatario (“creatore”), sono idonee ad identificare quest’ultimo, sono
create «mediante dati per la creazione di un sigillo
elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici» ed infine sono collegate ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati (firma detached): sussistono
anche i requisiti di cui alle lettere a) e c).
Le firme elettroniche nell’eIDAS
DEFINIZIONE DI FIRMA NELL’EIDAS ART. 3 N. 10
«…dati in forma elettronica, acclusi
oppure connessi tramite associazione
logica ad altri dati elettronici e utilizzati
dal firmatario per firmare»
DEFINIZIONE DI FIRMA NEL CAD ART. 1 lett. q (soppressa dal dlt
179/16)
«…l’insieme dei dati in forma
elettronica allegati, oppure connessi
tramite associazione logica ad altri
dati elettronici, utilizzati come metodo
di identificazione informatica»
Nel CAD (ante dlt 179/16) la firma costituiva, per definizione, mezzo di
«identificazione»
L’eIDAS restituisce alla firma elettronica un
significato del tutto analogo a quello
della firma autografa («per firmare»)
Definizione di FIRMA ELETTRONICA AVANZATA
Art. 26 eIDAS
Una firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario;
b) è idonea a identificare il firmatario;
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il
proprio esclusivo controllo; e
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Riproduce essenzialmente il contenuto dell’abrogato art. 1 lett. q bis
del CAD
Definizione di FIRMA ELETTRONICA QUALIFICATA
Art. 3 n. 12 eIDAS
«FIRMA ELETTRONICA QUALIFICATA», una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;
FEA + = ELETTRONI FIRMA C A
QUALIFICAT
A
Adeguamento norme del CAD Viene abrogata la lettera r del CAD recante la definizione di firma elettronica qualificata
Articolo 50 Abrogazione
La direttiva 1999/93/CEE è abrogata con
effetto dal 1
oluglio 2016
Verifica di una firma PAdES apposta il 21/1/2017 ma con
certificato rilasciato ai sensi della Direttiva 1999/93
Verifica di una firma PAdES apposta il 3/3/2017 ma con
certificato rilasciato ai sensi dell’eIDAS
NORMA TRANSITORIA EIDAS Art. 51 paragrafo 2
«I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma elettronica a norma del presente regolamento fino alla loro scadenza»
NORMA TRANSITORIA CAD ART. 62 comma 4 dlt 179/16
«I certificati qualificati
rilasciati prima dell’entrata
in vigore del presente
decreto a norma della
direttiva 1999/93/CE, sono
considerati certificati
qualificati di firma elettronica
a norma del regolamento
eIDAS e dell’articolo 28 del
decreto legislativo n. 82 del
2005, come modificato
dall’articolo 24 del presente
decreto, fino alla loro
scadenza»
ALTRE IMPORTANTI NOVITA’ NORMATIVE DA SEGNALARE
1) modifica del primo comma dell’art. 21: «Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della
forma scritta… »
2) eliminazione dell’inciso «che garantiscano l'identificabilità
dell'autore, l'integrità e l'immodificabilità del documento» nel
secondo comma dell’art. 21, così armonizzando il concetto di firma a quello introdotto dall’art. 3 Eidas («per firmare»);
3) ) spostamento, per ragioni sistematiche, della disposizione del
vecchio comma 3 dell’art. 21, relativo all’uso di certificati scaduti o revocati, nel corpo del nuovo art. 24;
4) la conferma, a chiosa del comma 2 dell’art. 21, del principio di
specialità della normativa sul processo telematico anche in tema di firme elettroniche («Restano ferme le disposizioni concernenti il
deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo
telematico»)
Il documento informatico, cui è apposta una firma elettronica,
Principio di non discriminazione
Qualunque documento, anche se «non scritto» in senso tradizionale (per es. mp3) firmato elettronicamente è «scritto»