La pubblica amministrazione chiede aiuto

18.09.06

...sono il responsabile IT di un ente pubblico locale, che sta affrontando le problematiche inerenti la dematerializzazione della documentazione amministrativa. 
Ci troviamo di fronte a diversi dubbi, a livello informatico, giuridico ed archivistico, dubbi che potrebbe essere utile porre a confronto con altre esperienze e valutare con competenze giurisdizionali. 
In sintesi: un file firmato digitalmente, nel corretto formato (pdf-a o tiff) assume valore legale al momento della firma stessa, ma quando un documento segue un iter che lo porta a essere sottoposto a più responsabilità, l’utilizzo di soluzioni informatiche di gestione documentale, unita alla necessità di formare files con pieno valore legale comporta problemi di validità giuridica. 
Mi spiego: gli atti di determinazione dirigenziali (per comodità "determinazioni"), seguono un iter per il quale alla firma del dirigente alla partita segue quella del parere di regolarità contabile, che ne determina l'esecutività effettiva. 
La gestione informatica della procedura, propone almeno tre possibili soluzioni: 
1) il dirigente competente firma un documento (pdf immodificabile) contenente gia' gli estremi della determinazione, il dirigente finanziario puo' firmare lo stesso documento ( firma multipla - nel manuale di gestione viene specificato che la firma di ciascuno e' relativa alla parte di singola competenza), in questo caso, vista l’immodificabilità del file di partenza, non e’ possibile inserire gli estremi dell’esecutività; 
2) Il dirigente alla partita firma un documento contenente già gli estremi dell’atto, ed il dirigente finanziario un "allegato" con i riferimenti di regolarità contabile: in questa maniera l’atto dirigenziale e’ “completo” nella sua forma, ma non riporta ancora gli estremi dell’esecutività, rintracciabili soltanto nel secondo allegato informatico; 
3) Il dirigente firma un documento (pdf immodificabile) qualificabile come “proposta”, il dirigente finanziario firma un secondo documento contenente gli estremi della determinazione dirigenziale (imputata all’altro dirigente….!...) e i riferimenti di regolarità contabile: in questa soluzione pare “snaturato” il ruolo del dirigente alla partita, sostituito in pratica nella creazione dell’atto da un altro dirigente (quello finanziario) dal quale dipende per la generazione di un suo atto, oltretutto in conseguenza di ciò l’atto stesso non appare più come il sui antenato cartaceo, immediatamente interpretabile, se consultiamo singolarmente i files generati dalla procedura non è possibile reperire 
interamente ed immediatamente le informazioni utili… 
In ogni caso l’atto “determinazione dirigenziale” non riesce più ad apparire anche “visivamente” completo, come il suo antenato cartaceo [...]

Il punto critico è chiarissimo: l'atto informatico non assomiglia all'atto cartaceo. Ma il problema è male impostatoi, perché la "dematerializzazione" non solo del documento, ma anche del processo, implica un diverso formato di visualizzazione (altro è il caso di un originale su carta digitalizzato successivamente, ma si parte da un processo tradizionale "materiale" e i vantaggi sono solo nel risparmio di spazio e nella facilità di reperimento dell'atto).
Sul piano tecnico, una volta che il processo sia stato opportunamente "reingegnerizzato", il problema si risolve con applicazioni che consentano la firma di documenti complessi, in particolare in formato XML. o in PDF.

Ed ecco il ricorrente equivoco della firma autografa digitalizzata usata per validare un documento informatico:
Sto realizzando un progetto per un ospedale per permettere di gestire la prescrizione di farmaci tramite computer palmari. Le prescrizioni vanno controfirmate dal medico che effettua le stesse (ora vengono gestite con documenti cartacei). Inizialmente si era pensato di far firmare ogni prescrizione effettuata dal medico sfruttando lo schermo di tipo touch screen del palmare: il medico sfruttando il pennino del palmare può scrivere la sua firma su schermo, che può poi essere salvata come immagine. In seguito sono però emersi dubbi sulla validità legale di questa procedura per il ricupero del medico che abbia effettuato la prescrizione (sfruttando quindi la firma-immagine associata alla prescrizione stessa). I dubbi sono aumentati quando ho letto la vostra FAQ 74 sul tema della firma digitale.
Come posso procedere per realizzare il sistema in modo da gestire le prescrizioni con una procedura di firma digitale che abbia validità legale?
Devo ricorrere a (complessi) sistemi di gestione di firma elettronica?

Per la sostanza della questione si veda appunto la risposta alla FAQ 74. Firma digitale e firma digitalizzata. Questo è un altro esempio di problemi derivanti da una "dematerializzazione" parziale e non ben digerita: nell'ambito di un ospedale, quando si voglia ricorrere a procedure informatiche, l'adozione della firma digitale è un passaggio preliminare indispensabile. La complessità è soprattutto nella fase di progetto, ancora una volta nella "reingegnerizzazione del processo", poi tutto diventa normale".

Ed ecco un messaggio inviato da un notaio:
Si richiedono cortesemente chiarimenti circa le modalità tecniche che il notaio è tenuto a rispettare nella c.d. procedura di riversamento sostitutivo di documenti informatici conservati per verificare la conformità al documento originale.
L'articolo 3, comma 2 della deliberazione CNIPA n. 11/2004 statuisce che "Il processo di riversamento sostitutivo do documento informatici conservati avviene mediante memorizzazione su altro supporto ottico e termina con l'apposizione sull'insieme dei documenti o su una evidenza inofrmatica contenente una o più impronte dei documenti o di insiemi di essi del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del processo. Qualora il processo riguardi documenti informatici sottoscritti, così come individuati nell'art. 1, lettera f), è inoltre richiesta l'apposizione del riferimento temporale e della firma digitale da parte di pubblico ufficiale, per attestare la conformità di quanto riversato al documento di origine", senza prevedere, tuttavia, nè qui nè altrove le concrete modalità che il notaio è tenuto a rispettare. Esiste una normativa a riguardo?

La revisione della deliberazione CNIPA 11/2004, che dovrebbe risolvere anche questo problema è in corso da oltre due anni...

Qui  abbiamo di nuovo la misura di come una normativa non chiara possa creare difficoltà di interpretazione e di applicazione (il riferimento è alla FAQ 76. Quando non è necessario "firmare" un documento):
Sono un funzionario di una pubblica amministrazione e come tale devo firmare una notevole quantità di documenti quotidianamente. Ho visto la riposta che avete dato al quesito n. 76 - nella sezione firma digitale - ove richiamate l'art 3 comma2 del d lgs 39/1993 sostenendo che la PA può avvalersene, se lo ritiene opportuno, al fine di accelerare determinate procedure. Avevo sentito già parlare dell'esistenza di una norma simile, ma mi mancavano gli estremi giuridici, per cui quando ho letto la risposta al quesito me ne sono prontamente avvalso. Ora però, di fronte alle resistenze di alcuni uffici (tengo a precisare NON di P. A.) mi sorge un dubbio: l'art. 3 comma 2 esordisce con un "nell'ambito delle P. A... la trasmissione di... documenti..." per cui non è che tale disposizione vale solo nella trasmissione di atti tra P. A. e quindi non anche tra P. A. e soggetti privati? A me sembrerebbe un contro senso, (tra l'altro il fax è comunemente accettato anche se può essere facilmente contraffatto anche nell'indirizzo mittente) però ho visto giurisprudenza contrastante sulla materia: ad es, vedasi la sentenza della comm tribut prov. di bari n. 20 del 23/3/2004. Tra l'altro nella sentenza della Cassazione civile sez I n. 11499 del 31/5/2005, si sostiene che, in caso di contestazione sul punto, il giudice deve accertare l'esistenza della sottoscrizione (autografa)
nell'originale del provvedimento: come dire, si fa un passo avanti e poi due indietro...

Per concludere: 
...più volte ho letto sul Vostro sito, ma soprattutto nelle norme del CNIPA  in materia di conservazione dei documenti elettronici, frasi come:  "masterizzare i documenti e firmare l'insieme apponendo anche la marca temporale". 
Ma come si firma un insieme di documenti masterizzati (o anche non masterizzati)?
Quali software consentono di effettuare la firma di più documenti? Insomma, è solo teoria o è possibile veramente mettere in pratica queste norme?

(M. C.)