Archivio della categoria: CAD e dintorni

CAD e dintorni: Regole tecniche in materia di documenti informatici

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questo  articolo si dà notizia del recente Decreto del Presidente del Consiglio dei Ministri che tratta di “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.

Di cosa tratta il decreto?

Il decreto – art. 1 – fornisce una serie di definizioni – allegato 1 – e descrive alcuni formati di documenti utilizzabili – allegato 2 -. Nell’allegato 3 riporta una serie di standard tecnici per la  formazione, la gestione e la conservazione dei documenti informatici. Nell’allegato 4 e 5 riporta rispettivamente le specifiche tecniche del pacchetto di archiviazione e dei metadati.

Inoltre – art. 2 – il DPCM detta le regole tecniche per i documenti informatici, per i documenti amministrativi informatici e per il fascicolo informatico.

Quali le principali novità e gli aspetti salienti

Vale la pena di sottolineare una interessante novità riportata al comma 2 dell’art. 10 – Copie su supporto informatico di documenti amministrativi analogici – laddove si dice che “L’attestazione di conformita’ di cui al comma 1, anche nel caso di uno o piu’ documenti amministrativi informatici, effettuata per raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell’originale e della copia, puo’ essere prodotta come documento informatico separato contenente un riferimento temporale e l’impronta di ogni copia. Il documento informatico prodotto e’ sottoscritto con firma digitale o con firma elettronica qualificata del funzionario delegato.”

Tale enunciate sembra aprire la strada ad una modalità di attestazione della conformità che si basa su una certificazione di processo piuttosto che su una verifica sistematica attuata documento analogico per documento analogico, con ovvie ricadute di migliore efficienza e gestibili del processo.

L’ art. 12 – Misure di sicurezza – afferma che “Il responsabile della gestione documentale ovvero, ove nominato, il coordinatore della gestione documentale predispone, in accordo con il responsabile della sicurezza e il responsabile del sistema di conservazione, il piano della sicurezza del sistema di gestione informatica dei documenti, nell’ambito del piano generale della sicurezza ed in coerenza con quanto previsto in materia dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette misure sono indicate nel manuale di gestione.”

Ribadendo in questo modo l’obbligatorietà delle misure di Business Continuity e Disaster Recovery dovute in base agli articoli 50-bis e 51 del CAD.  

All’ art. 14 – Formazione dei registri e repertori informatici – comma 2, si afferma che “Le pubbliche amministrazioni gestiscono registri particolari informatici, espressamente previsti da norme o regolamenti interni, generati dal concorso di piu’ aree organizzative omogenee con le modalita’ previste ed espressamente descritte nel   manuale   di gestione, individuando un’area organizzativa omogenea responsabile.”

Ciò sembra autorizzare le pubbliche amministrazioni a gestire registri informatici particolari che danno titolo a modellare flussi informatici che abbiano gestioni particolari rispetto all’ordinario flusso di protocollazione che caratterizza lo scambio di documenti al confine delle PA.

Tempi di attuazione ed adeguamento dei sistemi

All’art. 17 si precisa che “Il presente decreto entra in vigore decorsi trenta giorni dalla data della sua pubblicazione nella   Gazzetta   Ufficiale   della Repubblica italiana – NOTA BENE: il DPCM è stato pubblicato in GU il 12/01/2015 -. Le pubbliche amministrazioni adeguano i propri sistemi di gestione informatica dei documenti entro e non oltre diciotto mesi dall’entrata in vigore del presente decreto. Fino al completamento di tale processo possono essere applicate le previgenti regole tecniche. Decorso tale termine si applicano le presenti regole tecniche. Il presente decreto e’ inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.”

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Il testo vigente del CAD è reperibile sul sito di AGID.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Codice dell’amministrazione digitale e dintorni, parte 4 – il domicilio digitale

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questo  articolo si approfondisce il tema del Domicilio Digitale.

Il testo vigente del CAD, all’articolo 3-bis, definisce il cosiddetto “Domicilio digitale del cittadino”:

Comma 1. Al fine di facilitare la comunicazione tra pubbliche amministrazioni e cittadini, è facoltà di ogni cittadino indicare alla pubblica amministrazione, secondo le modalità stabilite al comma 3, un proprio indirizzo di posta elettronica certificata, rilasciato ai sensi dell’articolo 16-bis, comma 5, del decreto-legge 29 novembre 2008, n. 185 [NOTA: il cosiddetto decreto Brunetta che permise ad ogni cittadino di richiedere una casella di posta certificata gratuita], convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2 quale suo domicilio digitale.

Comma 2. L’indirizzo di cui al comma 1 è inserito nell’Anagrafe nazionale della popolazione residente-ANPR e reso disponibile a tutte le pubbliche amministrazioni e ai gestori o esercenti di pubblici servizi. [NOTA: l’ANPR non è ancora attiva]

Comma 3. Con decreto del Ministro dell’interno, di concerto con il Ministro per la pubblica amministrazione e la semplificazione e il Ministro delegato per l’innovazione tecnologica, sentita l’Agenzia per l’Italia digitale, sono definite le modalità di comunicazione, variazione e cancellazione del proprio domicilio digitale da parte del cittadino, nonché le modalità di consultazione dell’ANPR da parte dei gestori o esercenti di pubblici servizi ai fini del reperimento del domicilio digitale dei propri utenti. [Vedi NOTA precedente]

Comma 4. A decorrere dal 1° gennaio 2013, salvo i casi in cui è prevista dalla normativa vigente una diversa modalità di comunicazione o di pubblicazione in via telematica, le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso dichiarato, anche ai sensi dell’articolo 21-bis della legge 7 agosto 1990, n. 241, senza oneri di spedizione a suo carico. Ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario.

Comma 4.-bis In assenza del domicilio digitale di cui al comma 1, le amministrazioni possono predisporre le comunicazioni ai cittadini come documenti informatici sottoscritti con firma digitale o firma elettronica avanzata, da conservare nei propri archivi, ed inviare ai cittadini stessi, per posta ordinaria o raccomandata con avviso di ricevimento, copia analogica di tali documenti sottoscritti con firma autografa sostituita a mezzo stampa predisposta secondo le disposizioni di cui all’articolo 3 del decreto legislativo 12 dicembre 1993, n. 39.

Come riporta un interessante articolo sul sito Agenda Digitale,  anche l’art. 14 del DL 69/2013 prevedeva il domicilio digitale:  “All’atto della richiesta del documento unificato, ovvero all’atto dell’iscrizione anagrafica o della dichiarazione di cambio di residenza a partire dall’entrata a regime dell’Anagrafe nazionale della popolazione residente, è assegnata al cittadino una casella di posta elettronica certificata, con la funzione di domicilio digitale, ai sensi dell’articolo 3-bis del codice dell’amministrazione digitale, successivamente attivabile in modalità telematica dal medesimo cittadino.”

Dato che l’articolo sembra rinviare l’operatività della disposizione alla entrata a regime dell’Anagrafe Nazionale della Popolazione Residente (ANPR) o del documento unificato, appare dubbia la sua applicabilità stante lo stato attuale delle realizzazioni.

In questo contesto caratterizzato da poche certezze e da molti lodevoli intenti, chiude i battenti anche la CEC PAC – la posta elettronica valida per il colloquio la Pubblica amministrazione istituita dal cosiddetto decreto Brunetta -. I motivi di ciò, secondo l’articolo disponibile sul sito di AGID, sono riconducibili al suo scarso successo, non avrebbe raggiunto gli obiettivi prefissati di diffusione e anche fra coloro che l’hanno attivata l’uso sarebbe molto basso, e sono riconducibili al fatto che essa offre meno possibilità di una casella di PEC ordinaria.

Alla luce di questo stato di attuazione assai parziale, viene da dire che molta strada rimane ancora da fare su questi temi perché possano essere considerati davvero strumenti utili di colloquio fra la Pubblica Amministrazione e il cittadino.

PG.

Il testo vigente del CAD è reperibile sul sito di AGID.

Altri articoli della stessa serie sono reperibili ai seguenti indirizzi:

Articolo
CAD e dintorni: semplificate le procedure per la firma grafometrica
Codice dell’amministrazione digitale e dintorni, parte 3 – la continuità operativa
Luci ed ombre del futuro Sistema Pubblico di Identità Digitale – SPID –
Codice dell’amministrazione digitale e dintorni, parte 2
Codice dell’amministrazione digitale e dintorni, parte 1

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

CAD e dintorni: semplificate le procedure per la firma grafometrica

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questo  articolo si dà notizia del provvedimento del Garante della Privacy denominato “Provvedimento generale prescrittivo in tema di biometria” che semplifica gli adempimenti previsti in tema di firma grafometrica.

Cosa cambia in tema di firma grafometrica ?

Fino ad ora, prima della attivazione di una soluzione di firma grafometrica, era indispensabile PRESENTARE UNA ISTANZA DI VERIFICA PRELIMINARE al Garante Privacy.

Ora, in forza del sopra citato provvedimento, “Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione digitale che non prevedono la conservazione centralizzata di dati biometrici.”

Per la verità il provvedimento, al punto 4.4, precisa che si è esentati dal presentare istanza di verifica preliminare solo qualora la soluzione tecnica adottata risponda ad un elenco di ben 11 requisiti che vengono puntigliosamente dettagliati. È tuttavia plausibile pensare che i principali fornitori operanti in questo ambito saranno in grado di proporre soluzioni tecniche conformi ai requisiti posti dal garante e che d’ora in avanti non sarà più necessario presentare l’istanza preliminare.

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Il testo vigente del CAD è reperibile sul sito di AGID.

Il presente articolo deve considerarsi integrazione del precedente sulla firma grafometrica reperibile in CAD e dintorni, parte 2.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Codice dell’amministrazione digitale e dintorni, parte 3 – la continuità operativa

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

La continuità operativa di un organizzazione è oggi un aspetto talmente importante da essere oggetto di specifiche norme.

L’art. 50bis, comma 1 recita: “In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.”

Nella pagina dedicata alla continuità operativa AGID afferma che “La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione, ed è pertanto assimilabile all’espressione “business continuity”. La continuità operativa può quindi essere intesa come “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso”.

Le pubbliche amministrazioni – in base al comma 3 dell’art. 50bis del CAD – debbono predisporre:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

Al comma 4 del medesimo articolo si precisa che i piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica e che su tali studi è obbligatoriamente acquisito il parere di DigitPA .

Al fine di governare la progettazione dei piani di disaster recovery e di uniformare gli approcci che gli enti possono adottare, AGID ha emesso delle “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI

Nel documento si suggerisce di valutare la criticità dei servizi resi in base ad indicatori quali:

  • la complessità del servizio valutata in base alla tipologia, numerosità e criticità delle prestazioni erogate, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso;
  • la complessità dell’organizzazione dell’azienda;
  • la complessità tecnologica necessaria ad erogare le prestazioni.

In una tipica azienda sanitaria, utilizzando i criteri suggeriti, per quei servizi la cui mancata erogazione potrebbe causare danni al paziente – cioè per i servizi più critici – si potrebbe ottenere la seguente valutazione:

Servizio 8
Organizzazione 8
Tecnologia 4
Indice complessivo di criticità 7
Valutazione complessiva
Classe di criticità risultante Alta
Soluzione tecnologica minima Tier 4

Ma che cosa è il “Tier” che identifica la tipologia di soluzione tecnologica da adottare?

Dice la linea guida “Uno degli obiettivi che si prefigge il Codice dell’Amministrazione Digitale è quello di giungere ad un’omogeneizzazione delle soluzioni di continuità operativa e Disaster Recovery. A tal fine si è proceduto ad individuare delle soluzioni, indicate convenzionalmente come Tier 1, Tier 2, …, Tier 6…”

Sempre secondo la linea guida il “Tier 1: è la soluzione minimale coerente con quanto previsto dall’articolo 50-bis. Prevede il backup dei dati presso un altro sito tramite trasporto di supporto (nastro o altro dispositivo). I dati sono conservati presso il sito remoto. In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage disco dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il ripristino delle funzionalità IT.”

Il “Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche l’allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo periodo di base.” Ecc…

Si arriva fino al Tier 6 che “prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente “speculari” a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto ristretti.”

Indipendentemente dal Tier da applicare, occorre stendere “dettagliati studi di fattibilità tecnica”, così come previsto dal comma 4 dell’art. 50bis. Al fine di facilitare questa attività AGID ha emesso una circolare, la n.58 del 01/12/2012,  e ha definito un modello generale per la redazione di uno studio di fattibilità tecnica.

Nonostante la corposa documentazione e gli ausili messi a disposizione non sono molte le aziende sanitarie che hanno redatto piani di CO o di DR.

Sarebbe interessante capire quali siano le motivazioni per le quali ciò non sia stato fatto e se ciò derivi principalmente da arretratezza culturale, da scarsità di risorse per l’attuazione dei piani o altro.

Quale che sia la ragione, rimane la preoccupazione per il mancato adempimento che rischia di mettere a rischio la sicurezza dei pazienti che ogni giorno vengono accolti nelle strutture sanitarie.

PG

Il testo vigente del CAD è reperibile sul sito di AGID.

Sono disponibili anche gli articoli CAD e dintorni, parte 1  e CAD e dintorni, parte 2.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Luci ed ombre del futuro Sistema Pubblico di Identità Digitale – SPID –

Ancora prima di nascere il nuovo sistema pubblico di identità digitale – SPID – già alimenta discussioni e per ogni convinto sostenitore che esso annovera, almeno un altrettanto convinto detrattore sembra potersi trovare.

Ma cosa è SPID ?

Leggendo la bozza di D.P.C.M. qui scaricabile all’art. 1, comma 1, punto u) leggiamo che SPID è il Sistema Pubblico dell’Identità Digitale, istituito ai sensi dell’articolo 64 del CAD, modificato dall’articolo 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98, al quale aderiscono le pubbliche amministrazioni e le imprese [omissis].

Secondo AGID il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.

Ma chi sono questi soggetti pubblici e privati che gestiscono l’identità digitale ?

Sempre nella bozza di D.P.C.M. all’art 1, comma 1, punto l), leggiamo che i gestori dell’identità digitale sono “le persone giuridiche accreditate allo SPID che. previa identificazione certa dell’utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi necessari a gestire l’attribuzione dell’identità digitale degli utenti, la distribuzione e l’interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l’autenticazione informatica degli utenti;”

Ci si potrebbe chiedere come avvenga l’autenticazione informatica degli utenti a cura dei gestori dell’identità digitale. L’identificazione avviene per inserimento di un codice identificativo e di una credenziale di accesso così definite – punti g) e h) del D.C.P.M. -:

g) codice identificativo: il particolare attributo assegnato dal gestore dell’identità digitale che consente di individuare univocamente un’identità digitale nell’ambito dello SPID;

h)  credenziale di accesso: il particolare attributo di cui l’utente si avvale, unitamente al codice identificativo; per accedere in modo sicuro, tramite autenticazione informatica, a
i servizi qualificati erogati in rete dalle pubbliche amministrazioni e dalle imprese che aderiscono allo SPID.

Nella bozza delle specifiche di SPID messa a disposizione da AGID possiamo rintracciare questo schema che illustra il processo di autenticazione per mezzo del quale è possibile avere accesso ad un determinato servizio informatico:

Autenticazione SPID

Scheda di Autenticazione SPID tratto dalla bozza di specifiche tecniche delle interfacce SPID messo a disposizione da AGID

Tuttavia, affinché il service provider possa fattivamente erogare il servizio occorrerà che il titolare di una certa identità digitale sia caratterizzato da alcuni attributi che ne specificano le caratteristiche peculiari. Queste caratteristiche sono implementate attraverso attributi così definiti – punti b), c), d) ed e) del D.P.C.M. -:

b) attributi: informazioni o qualità di un utente utilizzate per rappresentare la sua 
identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari;

c) attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale o la partita IVA e gli estremi del documento d’identità utilizzato ai fini dell’identificazione;

d) attributi secondari: il numero di telefonia mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dal17Agenzia, funzionali alle comunicazioni;

e) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;

Sempre secondo il D.P.C.M. l’Agenzia per l’Italia Digitale cura l’attivazione dello SPID, gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni, cura l’aggiornamento del registro SPID e svolge funzioni di vigilanza e controllo sull’operato dei soggetti che partecipano allo SPID.

Il registro tenuto da AGID è accessibile al pubblico e contiene l’elenco dei soggetti abilitati a operare in qualità di gestori dell’identità digitale, dei gestori degli attributi qualificati e di fornitori di servizi.

Fino a qua lo scenario per quanto articolato non sembra prestare il fianco a particolari critiche. Ma se andiamo a leggere un commento come quello dell’avvocato Eugenio Prosperetti riportato in “Ma lo SPID non ci identifica” capiamo che la cosa è un po’ più complessa di come sembra.

In tale articolo si precisa – a mio parere a ragione – che l’identità digitale gestita da SPID serve principalmente ad ottenere l’accesso ai servizi della P.A. e non necessariamente ha la finalità di permettere atti dispositivi. Sostanzialmente si afferma che una cosa è dire che è stata accertata – attraverso i meccanismi di SPID – la nostra identità digitale, altra cosa è affermare che quella identità digitale abbia tali e tante garanzie alle spalle da poter avere – ad esempio – la stessa valenza di una firma, con la quale disporre ed ordinare – atti dispositivi -.

Ma quali conseguenze possiamo derivare da tali considerazioni?

La prima è forse più importante conseguenza è che una autenticazione andata a buon fine in SPID non può essere garanzia, di per sé, che un servizio sia erogabile: dipenderà infatti da quale sia il servizio richiesto e da quali siano le caratteristiche dell’identità digitale richiedente.

Potranno esistere servizi che non richiedono particolari livelli di sicurezza che potranno essere erogati senza particolari cautele, ma altri servizi richiederanno caratteristiche più stringenti all’identità digitale per poter essere erogati.

Pensando all’ambito sanitario, quindi a contesti che molto spesso prevedono il trattamento di dati sensibili, ci si chiede quali dovranno essere i requisiti minimi che dovranno essere garantiti per poter erogare i requisiti richiesti.

Un esempio potrà forse aiutare a fissare le idee: si supponga che un’azienda ospedaliera decida di affacciare un servizio in internet per il rilascio delle copie conformi di cartella clinica. Il paziente che abbia subito un ricovero nella struttura ospedaliera potrà, una volta autenticato, richiedere il rilascio della copia conforme della propria cartella clinica e quando questa sia pronta potrà scaricarla direttamente sul proprio PC.

La consegna della copia conforme di una cartella clinica è un’operazione che richiede l’identificazione del consegnatario – oggi allo sportello si viene identificati per poter ricevere la copia -, quindi sarà necessario che l’identità digitale del cittadino abbia un valore identificativo – per poter ottenere la consegna della copia di cartella – e di firma – per poterla richiedere -. Sarà, pertanto, necessario che l’identità SPID sia stata assoggettata al massimo livello di autenticazione gestibile.

Viene da pensare che ciò sia ottenibile solo a fronte di un rilascio di credenziali SPID da parte di un gestore dell’identità digitale che abbia riconosciuto de visu il paziente, che abbia cioè adottato le modalità più stringenti di rilascio delle credenziali. In altri termini è pensabile che credenziali ottenute in maniera più agevole e che sarebbero adeguate per fruire di servizi meno sensibili non siano utilizzabili.

Viene quindi da concludere che molti dei servizi che si potrebbero ottenere dal Servizio Sanitario Nazionale aderendo a SPID dovranno confrontarsi con lo stesso scoglio che hanno dovuto superare tutti gli altri progetti di accesso a servizi eHealth oggi messi in campo: portare il cittadino ad uno sportello per riconoscerlo de visu e rilasciargli una credenziale forte che permetta il trattamento di dati sensibili quali quelli sanitari.

La vera, grossa, novità è che una volta ottenute queste credenziali potrebbero servire per ogni possibile accesso di rango inferiore grazie alla interoperabilità garantita da SPID. In un futuro, speriamo non troppo lontano, potrò forse accedere al mio fascicolo sanitario elettronico con le credenziali rilasciate dalla mia banca, chissà se potrò anche fare home banking con le credenziali rilasciate dall’azienda sanitaria per l’accesso al FSE.

Abbiamo di fronte scenari certamente stimolanti.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Codice dell’amministrazione digitale e dintorni, parte 2

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Continua la serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questa  seconda parte si approfondiscono alcuni aspetti relativi alla firma avanzata e alla firma grafometrica in base a quanto prescritto dalle regole tecniche del 22 febbraio 2013..

Il testo vigente del CAD è reperibile sul sito di AGID, di seguito si farà riferimento ad esso semplicemente come CAD.

Alcune delle definizioni qui utilizzate sono reperibili nell’articolo CAD e dintorni, parte 1.

La Firma Avanzata e la Firma Grafometrica secondo le regole tecniche del 22 febbraio 2013

Le regole tecniche riportate nel DPCM del 22 febbraio 2013, all’art. 55, precisano che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

NOTA BENE: si veda la parte relativa al Garante Privacy nel presente articolo.

Al comma 2 dell’art. 55 si precisa che i soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:

a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b);

b) coloro che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a).

Secondo l’interpretazione corrente il punto b) individua fornitori/realizzatori di soluzioni di firma elettronica avanzata, mentre il punto a) indica soggetti che utilizzano soluzioni di firma elettronica avanzata – eventualmente anche nei rapporti con soggetti terzi, ad esempio con i cittadini/pazienti -.

Nell’art. 57 vengono riportati una serie di precisi obblighi per coloro che “erogano soluzioni di firma elettronica avanzata” che devono:

a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’art. 56, comma 1 (NOTA BENE: comma dove si riportano le “Caratteristiche delle soluzioni di firma elettronica avanzata”), garantendone la disponibilità, integrità, leggibilità e autenticità;

c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;

d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;

e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1 (NOTA BENE: comma dove si riportano le “Caratteristiche delle soluzioni di firma elettronica avanzata”);

f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;

g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito internet;

h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all’utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza.

2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti di cui all’art. 55, comma 2, lettera a), si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila.

3. Le modalità scelte per ottemperare a quanto disposto al comma 2 devono essere rese note ai soggetti interessati, pubblicandole anche sul proprio sito internet.

4. Il comma 2 del presente articolo non si applica alle persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni.

5. Nell’ambito delle pubbliche amministrazioni e in quello sanitario limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni del servizio prevista al comma 1, lettera a) può essere fornita oralmente dall’utente al funzionario pubblico o all’esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma elettronica qualificata o firma digitale.

Una precisazione particolarmente importante è riportata all’art. 60 laddove si dice che: la firma elettronica avanzata è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto che “eroga soluzioni di firma elettronica avanzata”.

All’art. 61 si affermano importanti equivalenze:

1. L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, com- ma 1, lettera i) del decreto 2 novembre 2005 recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata.

2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la firma elettronica avanzata.

La Firma Grafometrica secondo il Garante privacy

Stante il trattamento di dati biometrici che la firma grafometrica impone, preventivamente alla attivazione di una soluzione di questo tipo è indispensabile PRESENTARE ISTANZA DI VERIFICA PRELIMINARE al Garante Privacy. Esiste tuttavia uno schema di provvedimento del Garante denominato “Schema di provvedimento in tema di riconoscimento biometrico e firma grafometrica” che semplificherebbe gli adempimenti in materia.

Al momento della scrittura del presente articolo non è ancora disponibile il provvedimento definitivo.

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Codice dell’amministrazione digitale e dintorni, parte 1

Agenzia per l'Italia Digitale

Agenzia per l’Italia Digitale

Questo è il primo di una serie di articoli volti ad approfondire gli aspetti del CAD di maggiore interesse per le aziende sanitarie. In questa prima parte si riportano alcune definizioni relative ai vari tipi di FIRMA ELETTRONICA.

Il testo vigente del CAD è reperibile sul sito di AGID.

È disponibile anche l’articolo CAD e dintorni, parte 2.

Firma Elettronica, Avanzata, Qualificata e Digitale

La definizione dei vari tipi di firma è è rintracciabile nel CAD all’art. 1, comma 1, punti da q ad s:

q) firma elettronica: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;

r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

Particolarmente importanti per la generazione, l’apposizione e la verifica delle firme elettroniche avanzate, qualificate e digitali risultano essere le regole tecniche riportate nel DPCM del 22 febbraio 2013.

Firma forte e firma leggera

Nella linea guida alla firma digitale reperibile sul sito di AGID a pag. 9 si chiarisce che nel linguaggio corrente si definisce firma forte la firma digitale. Tutto ciò che non risponde, anche in minima parte, alle caratteristiche della firma forte, ma è compatibile con la definizione giuridica di firma elettronica è considerata una firma leggera.

Firma grafometrica

La firma grafometrica è una sottoscrizione autografa condotta su dispositivi elettronici – tablet o similari – che soddisfa i requisiti della firma elettronica avanzata.

Caratteristiche di validità giuridica dei documenti informatici firmati

Secondo l’art 21 del CAD, commi 1 e 2:

1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’ articolo 20 – del CAD -, comma 3 , che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile . L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.

Secondo l’interpretazione corrente il comma 1 attesta la valutabilità in giudizio di un documento firmato con firma elettronica, mentre il comma 2 attesta la equipollenza fra la firma autografa e la firma digitale – o qualificata – se apposta nel rispetto delle regole tecniche vigenti.

NOTA BENE: quanto riportato nel presente articolo è un estratto da norme vigenti e non garantisce la completezza che solo il testo originale può garantire. Le considerazioni dell’autore devono essere considerate alla stregua di opinioni personali e quindi, prima di ogni possibile utilizzo, devono essere confrontate con altre fonti autorevoli e fede facenti. Verificare sempre i testi completi e originali delle norme citate ricorrendo alle fonti ufficiali tenendo conto di ogni possibile modifica o integrazione intervenuta successivamente alla redazione del presente articolo.

PG.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.