Italia Oggi Mercoledì 28 Febbraio 2001 PUBBLICA AMMINISTRAZIONE

Italia Oggi Mercoledì 28 Febbraio 2001 PUBBLICA AMMINISTRAZIONE

In G.U. una circolare dell'Aipa che punta ad accelerare l'utilizzo dello strumento informatico

Firma, digitale, fai-da-te nella p.a.

L'amministrazione può svolgere in proprio la certificazione

DI GIUSEPPE RAMBAUDI

Un forte impulso all'uso della firma digitale da parte delle pubbliche amministrazioni è dato dalla possibilità offerta di svolgere in proprio l'attività di certificazione e dalla definizione dei casi in cui le p.a. possono procedere alla sottoscrizione in modo semplificato dei documenti informatici.

Sono questi i principali punti che caratterizzano la circolare dell'Autorità per l'informatica nella pubblica amministrazione, 16 febbraio 2001 n. Aipa/CR/27, "Articolo 17 del dpr n. 513/97: utilizzo della firma digitale nelle pubbliche amministrazioni" (pubblicata sulla Gazzetta Ufficiale n. 47 di lunedì 26 febbraio).

Quattro sono le possibilità offerte per le pubbliche amministrazioni: svolgere in proprio l'attività di certificazione, rilasciare ai propri organi l'autorizzazione al rilascio dell'autorizzazione alla sottoscrizione dei documenti informatici, rilasciare ai propri organi l'autorizzazione all'uso della firma digitale con regole diverse da quelle di carattere generale, utilizzare sistemi elettronici di identificazione per la formazione e la gestione di documenti informatici per i quali non è prevista la sottoscrizione.

Il primo importante elemento di innovazione previsto dalla circolare è l'introduzione della possibilità per tutte le amministrazioni e i soggetti pubblici di svolgere in proprio l'attività di certificatori nell'uso della firma digitale e rilasciare certificati per i propri organi e uffici.

In questo secondo caso non è necessaria l'iscrizione nell'elenco pubblico dei certificatori.

Per svolgere l'attività di certificazione è necessaria l'iscrizione nell'elenco pubblico.

Tale iscrizione avviene presso l'Aipa sulla base di una specifica domanda che deve essere presentata dall'ente pubblico.

La domanda sarà esaminata dall'Autorità e in caso di rigetto non potrà essere nuovamente presentata.

I requisiti delle domande che devono essere presentate dalle p.a. per essere iscritti nell'elenco dei certificatoci per l'uso della firma digitale sono indicati nella circolare.

Tre sono i requisiti formali: indicazione e sede; organo che ha la rappresentanza legale: elenco dei documenti allegati. Essi sono: certificazione di qualità; dichiarazione di accettazione della disponibilità a consentire le verifiche da parte dell'Aipa; manuale operativo; piano per la sicurezza; relazione sulla struttura organizzativa; impegno a comunicare all'Aipa ogni variazione significativa.

Una specifica attenzione è dedicata, in particolare, a due elementi: le caratteristiche dei manuali operativi e di piani per la sicurezza che le p.a. debbono presentare per ottenere l'iscrizione nell'elenco pubblico dei certificatori per l'uso della firma digitale.

Il manuale operativo deve contenere: dati identificativi, dati identificativi della versione del manuale, responsabile, definizione degli obblighi, definizione delle responsabilità, tariffe, modalità di identificazione e registrazione degli utenti, modalità di generazione delle chiavi e di loro sostituzione, modalità di emissione dei certificati e di revoca o sospensione, modalità di gestione e di accesso al registro dei certificati, modalità di protezione della riservatezza.

Il piano per la sicurezza deve contenere i seguenti elementi: struttura generale e logistica dell'organizzazione, descrizione dell'infrastruttura di sicurezza, descrizione dell'allocazione degli impianti informatici e dei servizi e uffici, elenco del personale addetto, attribuzioni "dettagliate" delle responsabilità, algoritmi crittografici utilizzati, descrizione delle procedure utilizzate, dispositivi di sicurezza installati, flussi dei dati, gestione delle copie di sicurezza dei dati, procedure per la gestione degli eventi eccezionali, analisi dei rischi, descrizione delle contromisure, specificazione dei controlli.

Il secondo grande punto di innovazione previsto dalla circolare dell'Autorità per l'informatica nella pubblica amministrazione è la previsione che ogni soggetto pubblico possa dettare proprie regole per l'uso della firma digitale a prescindere dal formale possesso della certificazione.

Siamo cioè dinnanzi a un'importante misura di snellimento per l'utilizzo della firma digitale: la motivazione di tale scelta è che la verifica dell'autenticità e integrità del documento può avvenire solo attraverso il riscontro interno.

Tale modalità può essere implementabile per tutta la documentazione che non necessita di sottoscrizione.

Le p.a. sono pienamente autonome nella definizione dei processi di identificazione o autenticazione interni.

Tale autonomia si estende alla possibilità di dettare regole diverse da quelle aventi carattere generale.

La circolare si conclude ricordando che comunque tutti i soggetti pubblici sono obbligati ad accettare i documenti formati e sottoscritti sulla base delle regole generali in tema di firma digitale e adottare i criteri di interoperabilità fra tutti i soggetti predisposti dall'Aipa.

E cioè le misure di snellimento utilizzabili non possono essere adottate a scapito della capacità di dialogo e interconnessione tra la pubblica amministrazione e i privati.