Il Mandato Informatico

About This Presentation

Title:

Il Mandato Informatico

Description:

Il Mandato Informatico Avv. Alessandra Giusti Nozione In termini giuridici il Mandato Informatico un messaggio elettronico, composto da dati utente e da codici ... – PowerPoint PPT presentation

Number of Views:52

Avg rating:3.0/5.0

Slides: 78

Provided by: Medu7

Category:

more less

Transcript and Presenter's Notes

Title: Il Mandato Informatico

1
Il Mandato Informatico

Avv. Alessandra Giusti

2
Nozione

In termini giuridici il Mandato Informatico è un
messaggio elettronico, composto da dati utente e
da codici universali, che viene validamente
impiegato a fini probatori, amministrativi e
contabili (Regole tecniche - Deliberazione AIPA 9
novembre 1995 ).
In pratica si tratta di una mail che,
autenticata per mezzo della firma digitale,
autorizza lo svolgimento dell'iter della pratica
di pagamento, eliminando la necessità della forma
cartacea, prima unico veicolo per la firma con
valore probatorio.

3
Il Commercio elettronico

Le nuove tecnologie applicate al commercio
permettono oggi di acquistare in rete ogni tipo
di bene o servizio, senza alcun limite
territoriale.
Lordinamento riconosce la validità della
stipulazione dei contratti con strumenti
informatici o per via telematica mediante l'uso
della firma digitale, nonché la possibilità di
effettuare pagamenti elettronici mediante
ladozione di misure tecniche, organizzative e
gestionali volte a garantire lintegrità, la
disponibilità e la riservatezza delle
informazioni contenute nel documento informatico
anche con riferimento alluso di chiavi
biometriche.

4
Direttiva 2002/65/CE

La Direttiva 2002/65/CE del Parlamento europeo e
del Consiglio la quale, dopo aver definito
contratto a distanza" qualunque contratto avente
per oggetto servizi finanziari, concluso tra un
fornitore e un consumatore nell'ambito di un
sistema di vendita o di prestazione di servizi a
distanza organizzato dal fornitore che, per tale
contratto, impieghi esclusivamente una o più
tecniche di comunicazione a distanza fino alla
conclusione del contratto (compresa la
conclusione del contratto stesso), introduce
allarticolo 8 lipotesi relativa alla
transazione con carta di pagamento, per la
realizzazione della quale debbono essere
accertate lesistenza di misure adeguate
affinché il consumatore possa chiedere
l'annullamento di un pagamento in caso di uso
fraudolento della sua carta di pagamento
nell'ambito di contratti a distanza e disponendo,
in caso di tale uso fraudolento, che al
consumatore sia riaccreditato o rimborsato
l'importo versato.

5
I trasferimenti elettronici di fondi

Con l'espressione trasferimenti elettronici di
fondi si intendono gli ordini di trasferire somme
di danaro da una persona a un'altra, comunicati e
eseguiti mediante sistemi elettronici.
Lo spostamento di ricchezza o di fondi da un
patrimonio all'altro avviene senza alcun
movimento materiale di danaro o di titoli, ma
soltanto attraverso istruzioni comunicate ed
eseguite elettronicamente.
Perché vi sia un effettivo trasferimento
elettronico dei fondi é necessario, pertanto, non
soltanto che l'ordine di trasferimento sia
impartito elettronicamente, ma che tutto il
processo di regolamento contabile sia svolto in
forma elettronica. In altri termini l'elaboratore
non dove limitarsi a trasmettere l'ordine di
addebito o di accredito, ma deve effettuare anche
l'addebito o l'accredito stesso.

L'incremento qualitativo e quantitativo dei
trasferimenti elettronici dei fondi negli Stai
Uniti e, sia pure in misura minore nell'Europa
occidentale, ha indotto alcuni a prevedere
l'imminente avvento di una cashless society, una
società in cui la circolazione dei beni verrà
effettuata esclusivamente mediante i nuovi mezzi
elettronici che sostituiranno del tutto l'uso del
danaro contante e dei titoli di credito.
Peraltro, i nuovi mezzi elettronici di
trasferimento delle ricchezza determinano il
sorgere di numerosi problemi di natura bancaria,
economica, politica e giuridica.

7
Inquadramento giuridico

I trasferimenti elettronici dei fondi
costituiscono, e sempre più costituiranno in
futuro, un modo di adempimento delle obbligazioni
e, in senso ancora più vasto, un moderno modo di
attribuzione patrimoniale.
La disciplina giuridica di essi, pertanto, é
quella stessa delle attribuzioni patrimoniali e,
in particolare, dell'adempimento delle
obbligazioni (artt. 1176-1217 c.c.).
Occorre inoltre osservare che, pur se in linea di
principio ciò non é strettamente necessario, i
trasferimenti elettronici dei fondi avvengono
normalmente nell'ambito bancario o ad opera di
una banca per i propri clienti.
La figura normale tipica di un trasferimento
elettronico é, dunque, un rapporto trilaterale
costituito da un ordinante, un ordinatario e un
istituto di credito incaricato di effettuare il
trasferimento dei fondi dall'ordinante
all'ordinatario.

L'ordine di trasferimento elettronico, dunque, è
un giroconto che si svolge, anziché attraverso un
accreditamento contabile manuale, attraverso un
accreditamento elettronico ad esso devono dunque
ritenersi applicabili le norme in tema di
giroconto, ossia le norme in tema di delegazione
e di conto corrente.
Peraltro le particolari modalità con cui si
svolge un trasferimento elettronico dei fondi
sollevano una serie di problemi che possono
riguardare sia il rapporto di provvista, sia il
rapporto diretto e sia il rapporto di valuta.

La delegazione é regolata da poche norme di
carattere per lo più dispositivo e che nella
pratica la disciplina é costituita soprattutto da
norme private, convenzionali o di
auto-organizzazione, come i regolamenti bancari e
i rapporti contrattuali stipulati tra banche e
clienti.
Il contenuto di tali rapporti é determinato
soprattutto dal potere contrattuale delle parti.
Ora, in materia di trasferimenti elettronici dei
fondi le categorie dei soggetti interessati sono
tre gli istituti di credito, la classe
imprenditoriale ed i consumatori.

10
Vantaggi e criticità

Per ciascuna categoria i trasferimenti
elettronici dei fondi presentano particolari
vantaggi per le banche il minor lavoro manuale
necessario rispetto alla gestione della moneta
cartacea, degli assegni e delle carte di credito
per le imprese la possibilità di ricevere i
pagamenti più rapidamente e con minor rischi di
insolvenza per i consumatori il minor costo dei
servizi bancari e commerciali.
Gli interessi di tali categorie, peraltro, non
sempre coincidono, ma a volte sono in conflitto
tra di loro. Da qui la necessità di una
disciplina di carattere legislativo che concili
gli opposti interessi dei consumatori, degli
imprenditori e degli istituti di credito.

11
Le fasi del trasferimento elettronico di fondi

l'ordine di trasferimento
l'operazione di accreditamento a favore
dell'ordinatario e di addebitamento a carico
dell'ordinante.

12
1) L'ordine di trasferimento elettronico di fondi

Le fasi
l'ordinante emette l'ordine
l'ordinante comunica l'ordine alla banca
la banca riceve l'ordine.
L'ordine di trasferimento presuppone normalmente
un rapporto di conto corrente tra l'ordinante e
istituto di credito ordinato e un particolare
contratto, nuovo e atipico, che disciplina l'uso
del mezzo elettronico e che potrebbe definirsi
come contratto di ammissione a un servizio di
trasferimenti elettronici.
Il contratto di ammissione prevede normalmente il
rilascio da parte dell'istituto di credito di una
carta di credito magnetica o elettronica questa
viene utilizzata dall'ordinante per l'emanazione
in forma elettronica degli ordini di
trasferimento.

13
Le carte telematiche

Lo sviluppo del commercio elettronico ha fatto
nascere la necessità di disporre di mezzi di
pagamento più veloci e adeguati allo strumento
telematico e alle modalità operative del
commercio elettronico.
Attualmente le carte di credito si possono
distinguere in carte telematiche e carte non
telematiche ordinarie.
Quest'ultime sono in genere, dotate di caratteri
a rilievo, contenenti il nome del titolare ed
altre informazioni, o di codici a barre idonei ad
essere letti da appositi lettori ottici.

Le carte telematiche possono essere carte
magnetiche o carte elettroniche.
Le prime contengono sul retro una banda
magnetica, ossia una striscia di materiale
magnetizzabile costituito, generalmente, da
resina e ossido di ferro le seconde contengono
nel loro interno uno o più microcircuiti con
funzione di memorizzazione e di elaborazione dei
dati.
Infine le laser card, o carte a memoria ottica,
contengono appunto memorie ottiche per la
registrazione dei dati.

Le carte telematiche costituiscono lo strumento
con cui normalmente i privati attivano e
utilizzano un sistema di trasferimento
elettronico di fondi e nella pratica é invalsa
l'abitudine di usare indistintamente i termini
"carte di credito", "tessera bancaria" e
"trasferimenti elettronici di fondi" quasi
fossero espressioni sinonime.
In realtà le tre espressioni non sempre
coincidono. Infatti non tutte le carte di credito
possono dar luogo ad un trasferimento elettronico
di fondi ma soltanto quelle, come le carte a
banda magnetica, a microprocessori o a memoria
ottica in grado di comunicare con un sistema
elettronico di trasmissione dati e che possiamo
definire come carte telematiche.

16
Inconvenienti

Il pagamento in rete attraverso la carta di
credito genera alcuni inconvenienti oltre al
costo, esso può creare seri problemi per la
tutela della privacy (per esempio, é possibile la
creazione di profili commerciali del cliente).
Inoltre, tenuto conto della struttura aperta
della rete, il pagamento effettuato con carta di
credito crea seri rischi legati alle varie forme
di pirateria informatica.
Si é avvertita quindi l'esigenza di creare
sistemi di pagamento più sicuri, veloci e capaci
di soddisfare cinque esigenze
- la segretezza dei dati
- l'anomimato del soggetto al fine di evitare la
"tracciabilità" delle sue transazioni
- l 'integrità del messaggio
- l'autenticazione dei soggetti coinvolti nella
transazione
- l'interoperativà dei sistemi di pagamento.
Il ricorso alla crittografia ha permesso di
rispondere in parte a queste esigenze.

17
Secure Elettronic Transaction (SET)

La Visa e la Master Card hanno recentemente messo
a punto un sistema di pagamento noto come SET.
Si tratta di una tecnologia progettata per
autenticare le parti coinvolte in pagamenti
mediante carte di credito e basata sul sistema di
crittografia a chiave pubblica RSA. Il fattore
chiave di questo sistema é rappresentato dal
certificato virtuale che sostituisce nel
"cyberspazio" la carta di credito.
L'acquirente deve registrare on line la propria
carta di credito con la banca. Egli pertanto deve
compilare un formulario elettronico inserendo il
proprio nome, numero di carta e data di scadenza.
Le informazioni vengono poi criptate e inviate
alla banca. La banca controlla l'autenticità del
conto corrente e rilascia un certificato
elettronico inserendo sullo stesso la propria
firma elettronica che prova che la carta di
credito è valida. L'acquirente memorizza il
certificato nel suo computer per gli usi
successivi. Anche il venditore deve registrarsi
allo stesso modo per ottenere il certificato.

18
Meccanismo di pagamento

Una volta che le parti hanno ottenuto i
certificati il meccanismo di pagamento avviene
nel seguente modo
1) Prima dell'acquisto, il venditore deve
mostrare al proprio acquirente che possiede un
certificato virtuale. La prova dell'esistenza
viene fornita inviando copia del certificato via
posta elettronica o mediante pubblicazione in
Internet.
2) Una volta verificato che il venditore è munito
del certificato, l'acquisto può essere eseguito.
3) L'ordine viene trasmesso e il venditore dovrà
ottenere l'autorizzazione per la somma relativa
all'acquisto.
4) Una volta che il circuito finanziario ha dato
l'autorizzazione, l'ordine viene eseguito e
confermato.

19
Nuovi sistemi di pagamento

l'itermediazione elettronica
la moneta virtuale.
Il primo sistema consiste di un metodo che
presuppone l'intervento di una terza parte che
raccoglie e vaglia le richieste di pagamento dei
propri clienti e le trasferisce in un momento
successivo alle rispettive banche. Questo metodo
non fa uso della crittografia.Le informazioni
relative alla transazione vengono trasmesse via
Internet, fatta eccezione per i dati
confidenziali relativi alle carte di credito, che
vengono trasmessi su un'altra linea dedicata e
quindi più sicura.
Riguardo la moneta elettronica, da un punto di
vista operativo , essa non é altro che un insieme
di numeri che viaggiano su reti telematiche da un
computer all'altro. Come quasi tutti i mezzi di
pagamento la moneta elettronica presuppone due
diversi rapporti uno tra compratore e venditore,
l'altro tra queste parti e un'istituzione
finanziaria presso cui viene aperto un conto
corrente.

20
2) L'operazione di accreditamento a favore
dell'ordinatario e di addebitamento a carico
dell'ordinante.

Le Fasi
la banca effettua l'annotazione contabile a
debito dell'ordinante
la banca effettua l'annotazione contabile a
credito dell'ordinatario.
I due momenti, logicamente distinti, sono
normalmente contestuali e nel giroconto
tradizionale si sostanziano nell'unica
compilazione dell'apposito modulo contabile,
comprensivo del foglio di accreditamento e di
addebitamento.

21
Attività ulteriore

la banca comunica l'avvenuto accreditamento
all'ordinatario
l'ordinatario riceve conoscenza dell'avvenuto
accreditamento a suo favore
l'ordinatario comunica alla banca la propria
accettazione
l'accettazione dell'ordinatario perviene alla
banca.

22
Caratteristiche della transazione conclusa on line

la riconoscibilità delle parti che partecipano
alla transazione
la riservatezza dei dati trasmessi. Questi ultimi
dovranno essere conoscibili solo dai soggetti
che interverranno nella transazione, ovvero da
colui che dà lordine di trasferire il fondo, da
colui che riceve il fondo in cambio del bene o
servizio prestato o da prestare e da colui che
esegue il trasferimento del fondo stesso.

Nella fase del cosiddetto pagamento elettronico,
il problema centrale è pertanto garantire la
sicurezza dei dati trasmessi durante la
transazione, in particolare laddove questi
consistano in codici specifici o numeri di carta
di credito con relative scadenze.

24
Garanzie di sicurezza e autenticità delle
informazioni in rete

Necessità irrinunciabili
la sicurezza sulla identità della persona che
immette e/o corregge dati, firma documenti,
autorizza transazioni
la garanzia di livelli differenziati di accesso
alle informazioni che circolano in rete
la sicurezza che, fra lemissione di un documento
e la sua ricezione, questo subisca modifiche non
autorizzate (integrità delle informazioni)
la sicurezza che non si siano intercettate le
informazioni che passano in rete.

Scopo principale che ci si attende dai sistemi di
sicurezza è non tanto avere certezze sulla reale
identità
dei soggetti acquirenti, quanto piuttosto che le
informazioni non vengano intercettate (in
particolare il
numero di una carta di credito) o che non vengano
alterate (es. il contenuto dellordine).

Tutto questo è garantito dal c.d. canale
sicuro, che, di fatto, si serve di principi di
crittografia analoghi a quelli della firma
digitale, ma ha solo lo scopo che nessuno possa
intercettare le informazioni che passano nella
rete o alterarne il contenuto.
26
Ma cosa si intende per misure di sicurezza?

Secondo lintento del legislatore, per misure di
sicurezza si dovrebbero intendere tecniche atte
ad eliminare, o quanto meno ridurre al minimo, il
rischio di intercettazione dei dati trasmessi
durante la transazione, nel momento in cui gli
stessi sono comunicati da colui che effettua
lordine a colui che lo riceve.

27
Misure minime di sicurezza

Complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di
sicurezza, che configurano il livello minimo di
protezione richiesto in relazione ai rischi
previsti per quella data operazione

28
Misure di sicurezza adeguate

Complesso di misure tecniche, informatiche,
organizzative, logistiche e procedurali di
sicurezza necessarie e sufficienti a proteggere i
dati della transazione da qualsiasi intrusione
esterna.

29
La firma digitale

Da un punto di vista pratico molti operatori
hanno risolto il problema tramite ladozione di
tecniche di crittografia ovvero mediante la
codifica non comprensibile di cifre o numeri e
attraverso lutilizzo della firma digitale.
In relazione a questultima si è creato un
meccanismo di autenticazione delle parti
coinvolte nei pagamenti mediante un sistema di
crittografia a chiave pubblica garantito
dallautorità di certificazione alla quale si
rivolge chi emette la carta utilizzata in rete.

30
Definizione di firma elettronica

Espressione generale per attribuire ad un
messaggio digitale le funzioni proprie della
sottoscrizione autografa.
Art. 1 D.P.R. 445/00 co. 1 lett. cc, modificato
dallart. 2 D.Lgs. 10/02 insieme dei dati in
forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati
elettronici, utilizzati come metodo
dautenticazione informatica.

31
Firma digitale

Art. 1 D.P.R. 445/00 co. 1 lett. n, modificato
dallart. 2 del D.LGS. 10/02 è un particolare
tipo di firma elettronica qualificata, basata su
di un sistemi di chiavi asimmetriche a coppia,
una pubblica e una privata, che consente al
titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di
verificare la provenienza e lintegrità di un
documento informatico

A differenza dalla firma autografa, che riconduce
chi l'appone ad un documento fisico mediante un
elemento identificativo quale la calligrafia (che
necessita di un supporto fisico), la firma
digitale è intrinsecamente legata al testo a cui
è apposta. Per cui è sconsigliabile la
sottoscrizione digitale di documenti contenenti
elementi dinamicamente variabili. Si preferisce
utilizzare formati il più possibile stabili (pdf,
text, tiff, ecc). Infatti gli elementi dinamici
(macro, funzioni, campi variabili, script, ecc.),
inseriti in formati come quelli .doc, .xls, ecc.,
possono provocare la visualizzazione di contenuti
differenti al momento delle sottoscrizioni e
della successiva verifica.
Non garantisce la segretezza del documento, e
perciò spesso si provvede a che un documento
firmato elettronicamente venga anche
crittografato prima di essere trasmesso.

33
Come si genera la firma digitale
Limpronta univoca del documento (digest)

La prima operazione per generare una firma
digitale è lestrazione dal documento originario
della c.d. impronta digitale, ossia una
stringa di 160 bit, ricavata crittografando con
un opportuno algoritmo un file di lunghezza
qualunque.
Questa funzione matematica si chiama hash ed è
irrevesibile (non è possibile a partire
dallimpronta risalire al documento originario).
Ha la caratteristica peculiare e fondamentale per
la quale impronte prodotte da file diversi sono
sempre diverse tra loro.

34
Le fasi del processo di firma

Viene prodotta limpronta del documento da
firmare, utilizzando la funzione di hash
Si genera la firma digitale cifrando, con la
chiave privata del sottoscrittore, limpronta
precedentemente prodotta
Viene creata la busta elettronica, contenente
il documento informatico, la firma digitale e il
certificato della chiave pubblica
Il pacchetto così formato viene trasmesso al
destinatario.

35
Verifica della firma

Le fasi del processo di verifica
La decifratura della firma digitale con la chiave
pubblica del mittente, contenuta nel certificato
allegato si ottiene così limpronta
precedentemente generata dal mittente del
documento - lesito positivo di questa fase
assicura lautenticità dellorigine dei dati
La creazione, a partire dal documento informatico
ricevuto, dellimpronta univoca, utilizzando la
stessa funzione di hash precedentemente
utilizzata dal mittente
Il confronto tra le due impronte, quella ricevuta
in maniera cifrata e decifrata utilizzando la
chiave pubblica e quella calcolata utilizzando
la funzione di hash, dà la garanzia che il
documento non è stato alterato.

Per quanto concerne la p.a., in vista di una
sempre crescente dematerializzazione
dellattività amministrativa, il legislatore
italiano ha adottato, quale strumento di garanzia
sulla integrità e paternità di un documento
informatico, listituto della firma digitale.
Un documento informatico firmato digitalmente è
valido e rilevante a tutti gli effetti di legge.
(DPR 513/97 e le regole tecniche stabilite con
DPCM 8 febbraio 1999,).

37
Certezze

lintegrità dellatto
la paternità dellatto (la corrispondenza tra
chiave pubblica e chiave privata).
La disciplina normativa di riferimento è
pertanto quella attinente la firma digitale
laddove il legislatore ha disciplinato lipotesi
secondo cui il titolare di una coppia di chiavi
asimmetriche ha lobbligo di adottare tutte le
misure organizzative e tecniche idonee ad evitare
danno ad altri.

Per stabilire un legame tra firma digitale e
soggetto, si è ricorsi a una autorità
certificatrice (al momento in Italia sono otto)
che ha il compito di certificare la titolarità
della coppia di chiavi in capo ad un determinato
soggetto previamente identificato.
Ma questo tuttavia, non assicura che sia stato il
soggetto in persona (titolare della chiave) ad
utilizzare il dispositivo di firma digitale.

39
I certificatori

Centrale appare di conseguenza il ruolo del
certificatore, ovvero del soggetto tenuto a
riscontrare la veridicità ed attualità delle
informazioni che seguono lutilizzo della firma
digitale.
La direttiva comunitaria 1999/93/CE,recepita nel
nostro Paese con il D.Lg. 10/02, ha attribuito al
certificatore la responsabilità per danni
provocati a entità o persone fisiche o giuridiche
che facciano ragionevole affidamento su detto
certificato, sia per quanto riguarda l'esattezza
di tutte le informazioni contenute nel
certificato qualificato a partire dalla data di
rilascio e il fatto che esso contenga tutti i
dati prescritti per un certificato qualificato,
sia per la garanzia che, al momento del rilascio
del certificato, il firmatario identificato nel
certificato qualificato sia titolare dei dati per
la creazione della firma corrispondenti ai dati
per la verifica della firma riportati o
identificati nel certificato sia, infine, la
garanzia che i dati per la creazione della firma
e i dati per la verifica della firma possano
essere usati in modo complementare, nei casi in
cui il fornitore di servizi di certificazione
generi entrambi.

40
Metodi per lautenticazione degli utenti

Lutente conosce qualcosa (es. password)
Lutente possiede qualcosa (es. smart card)
Lutente è qualcosa (es. biometria)

41
La Smart Card

La Smart Card è un sistema di pagamento
complementare a quello on line. Con questo
condivide l'obiettivo di eliminare la moneta
cartacea e di aumentare la sicurezza nelle
transazioni.
Il più grosso vantaggio che offre la Smart Card è
la sua poliedricità. La stessa, oltre a
costituire un mezzo di pagamento, può costituire
altresì un mezzo di identificazione in quanto è
possibile memorizzare sulla carta i dati
personali relativi al suo titolare.
Nella Smart Card viene infatti introdotto un
microprocessore che possiede capacità di
elaborazione e una piccola memoria. Per questo
motivo è possibile registrare sulla carta non
solo denaro, ma anche dati e informazioni
relativi al suo titolare.

42
Problemi connessi a password e smart card

La password può essere facilmente dimenticata, se
per ricordarsela la si scrive in un luogo
accessibile può essere utilizzata da persone non
autorizzate, infine con un grado di difficoltà
più o meno ampio, può essere scoperta
La smart card può essere perduta, sottratta e/o
usata abusivamente.

43
La biometria

La biometria nasce come soluzione ai problemi
legati al riconoscimento dellutente.
Questi sistemi segnano una chiara evoluzione
rispetto alle tradizionali password o alle smart
card perché assicurano che chi sta effettuando
loperazione sia realmente la persona autorizzata
e non qualcuno che la effettua abusivamente
(aumento della sicurezza).
Lutilizzo di dispositivi biometrici, dato che
non richiedono parole chiave o smart card, può
abbattere alcuni costi di gestione e rendere più
semplice la vita dellutente, se non deve
produrre documenti giuridici, per i quali è
indispensabile la firma digitale. I costi sono
quelli relativi al personale tecnico di una
società per scoprire password dimenticate o per
riassegnare tesserini smarriti (diminuzione di
alcuni costi di gestione).

44
Nozione

Il legislatore italiano ha dato una definizione
di chiave biometrica nel D.P.R. 513/97 allart.
1 lettera g, ossia la sequenza di codici
informatici utilizzati nellambito di meccanismi
di sicurezza che impiegano metodi di verifica
dellidentità personale basati su specifiche
caratteristiche fisiche dellutente.

45
I sistemi di riconoscimento biometrici

I sistemi di riconoscimento biometrici sono
utilizzati per verificare lidentità di una
persona inserendo determinati tratti di alcune
caratteristiche fisiologiche comportamentali e
comparando queste con quelle della stessa persona
conservate in archivio o banca dati o, in
prospettiva futura, in un tesserino intelligente
che porta con sé la persona stessa.

Il sistema biometrico si basa su un fatto
universalmente riconosciuto certe
caratteristiche biologiche o comportamentali
distinguono una persona dallaltra.
Le caratteristiche fisiologiche utilizzate sono
le impronte digitali, la geometria della mano, i
disegni delle vene nellarticolazione della mano,
la retina dellocchio, liride, i tratti somatici
del viso, la geografia osseo-vascolare del volto
(attualmente in sperimentazione in USA) quelle
comportamentali sono la traccia vocale, la
scrittura, lo stile di battitura.

47
Inconvenienti dei dispositivi biometrici

Alcuni fra gli strumenti biometrici sono molto
costosi
Comportano, in misura maggiore o minore, problemi
di privacy. Infatti, dallutilizzo dei sistemi di
riconoscimento biometrico discende la creazione
di banche dati contenenti registrazioni di dati
che potrebbero evidenziare anche aspetti
sanitari, con tutte le conseguenze che questa
sorta di schedatura potrebbe comportare,
soprattutto in una fase ancora priva di
regolamentazione legislativa.

Sia per i sistemi biometrici che per le firme
digitali, si hanno problemi di sicurezza nel
momento in cui si registrano le chiavi o si
effettuano le scannerizzazioni biometriche.
Si potrebbe ovviare a questi inconvenienti
evitando la circolazione di tali informazioni in
rete.

49
Come evitare che i dati trasmessi vengano
intercettati in rete?

La criptazione con la chiave privata della firma
digitale dovrà avvenire non in via telematica, ma
localmente, ossia nel computer stazione di lavoro
remota rispetto al server dellamministrazione. A
questo server perverrà solo il risultato delluso
della chiave privata.
E per la chiave biometrica? La risposta non
sembra agevole, per una differenza fondamentale
tra i due criteri di identificazione mentre per
la firma digitale al sistema informatico
dellamministrazione non serve la chiave privata,
essendo sufficiente disporre di quella pubblica,
per le chiavi biometriche, nelluso più comune, è
invece indispensabile possedere una banca dei
dati biometrici con i quali raffrontare quelli di
volta in volta inviati in occasione delle varie
operazioni sottoposte a controllo biometrico. Vi
è quindi un problema di custodia della banca dati
ma, soprattutto, vi è un momento di raffronto tra
i dati in possesso della P.A. e quelli trasmessi
durante le operazioni.

50
E possibile realizzare un controllo biometrico
facendo a meno della banca dei dati biometrici
presso la P.A. e del riscontro a distanza dei
dati?

Ciò sarebbe possibile creando una smart card che
contenga la chiave privata della firma digitale
ed i dati biometrici in modo così indissolubile
da essere a prova di alterazione fraudolenta.
Ammesso, infatti, che la smart card fosse perduta
o anche solo copiata, essa sarebbe inutilizzabile
da parte di un estraneo, poiché sarebbe sempre
necessario che il titolare mettesse a
disposizione se stesso per farla funzionare. Il
funzionamento avverrebbe allora tutto nel
computer locale, dotato sia di un lettore della
smart card sia di un lettore dei dati biometrici.
Un apposito software, idoneo a funzionare solo
con la smart card (o addirittura contenuto nella
stessa) effettuerebbe il riscontro tra i dati
della card e quelli della persona. Il documento
prodotto avrebbe una firma digitale che
indicherebbe anche lavvenuto riscontro
biometrico

51
Possibili soluzioni

Si potrebbe ipotizzare la creazione di smart card
con diversi gradi di complessità
Tipo livello 1, con la sola firma digitale,
tuttal più con aggiunta di PIN per
lattivazione
tipo livello 2 con i dati biometrici, ad
esempio, delliride
tipo livello 3, con ulteriori dati biometrici
per più complesse identificazioni.
Naturalmente dovrebbe essere previsto che le
carte di livello superiore possano operare anche
in situazioni nelle quali è sufficiente il
livello inferiore.

Da quanto sopra esposto si evince che non esiste
un sistema di riconoscimento astrattamente
migliore di un altro.
Caso per caso, si valuterà quello più adatto
comparando i costi di installazione, i costi di
manutenzione, e il livello di sicurezza
desiderato. Nei casi più delicati, quali per es.
laccesso a zone riservate (militari, banche,
ecc.) potrà valere luso combinato di smart card
e dispositivi biometrici più o meno sofisticati.
Se lintercettazione dei dati biometrici restasse
comunque il punto debole di queste metodiche,
allora resta sempre valido il più tradizionale
abbinamento alla firma digitale la password o
PIN. Questa dovrebbe tuttavia essere lunga, per
rendere difficile scoprirla con sistemi
automatici computerizzati la lunghezza avrebbe
il vantaggio di poter scegliere una frase, più
facile da ricordare di sigle alfanumeriche brevi.

53
Il mandato di pagamento informatico e la P.A.

Un quadro normativo più definito, la maggiore
diffusione delle tecnologie dell'informazione e
della comunicazione, l'utilizzo di sistemi di
protocollo informatico e di gestione documentale,
una maggior consapevolezza delle possibilità
offerte dalla tecnologia (si pensi ad esempio
alla firma digitale e alla carta d'identità
elettronica) nelle Pubbliche Amministrazioni
rappresentano certamente un contesto nel quale
anche il mandato di pagamento informatico può
svolgere un ruolo molto importante, poiché
garantirebbe la chiusura di interi cicli di
gestione informatica di procedure molto complesse
(quali ad esempio quelle legate alla gestione
informatica delle contabilità di interi enti).

54
Normativa

Semplificazione delle procedure di spesa - DPR 20
aprile 1994, n. 367 (in G.U. n. 136 del 13 giugno
1994), Regolamento recante semplificazione e
accelerazione delle procedure di spesa e
contabili. .pdf 101Kb
Regole tecniche per il mandato informatico - La
Deliberazione AIPA 19/95 del 9 novembre 1995
definisce le regole tecniche per il mandato
informatico. .pdf 13Kb
Unità previsionali di base - Decreto Legislativo
7 agosto 1997, n. 279 "Individuazione delle unità
previsionali di base del bilancio dello Stato,
riordino del sistema di tesoreria unica e
ristrutturazione del rendiconto generale dello
Stato". .pdf 4Kb
Linee guida in materia di digitalizzazione della
PA per l'anno 2002 -Direttiva del Ministro per
l'Innovazione e le Tecnologie del 21 dicembre
2001.pdf 105Kb
Direttiva sulla Digitalizzazione della P.A. per
il 2003 - Direttiva del Ministro per
l'Innovazione e le Tecnologie del 20 dicembre
2002 "Linee guida in materia di digitalizzazione
dell'amministrazione".pdf 145Kb

55
Al via anche per gli stipendi pubblici

Il Ministero dell'Economia ha ammesso, con
proprio DM, l'utilizzo Dal 1 gennaio 2003 di
modalità informatiche di pagamento anche per gli
stipendi spettanti ai dipendenti pubblici,
utilizzo già previsto dal D.P.R. 29 aprile 2002,
n. 123 per il pagamento delle pensioni.
Il Ministero comunica inoltre che, a partire
dallaprile 2003, le stesse procedure saranno
estese anche alle pensioni di guerra e tabellari
militari (circa 5 milioni di pensioni pagate ogni
anno) rimasti a carico dello Stato.

56
DPR 20 aprile 1994, n. 367 Regolamento recante
semplificazione e accelerazione delle procedure
di spesa e contabili

L'art. 2 stabilisce che "gli atti dai quali
deriva un impegno a carico del bilancio dello
Stato e la relativa documentazione, gli elenchi,
epiloghi, riassunti, note descrittive, prospetti
ed altri analoghi documenti contabili comunque
denominati, i titoli di spesa e, in genere, gli
atti e i documenti previsti dalla legge e dal
regolamento sull'amministrazione del patrimonio e
sulla contabilità generale dello Stato, ...
possono essere sostituiti a tutti gli effetti,
anche ai fini della resa di conti amministrativi
o giudiziali, da evidenze informatiche o da
analoghi strumenti di rappresentazione e di
trasmissione, compresi i supporti ottici."

57
Obiettivi del Decreto

Introdurre le nuove tecnologie informatiche nelle
procedure di spesa
Utilizzare le tecnologie per trasferire una
considerevole quantità di atti dal supporto
cartaceo ad un supporto informatico
Sfruttare le garanzie di sicurezza ottenibili
dall'impiego della tecnologia (si pensi
all'importanza della firma digitale in questo
senso)
Velocizzare le procedure di gestione delle
pratiche
Favorire attività di controllo e di gestione
dell'intero processo di spesa.

58
Esempio di utilizzo di smart card

Per quanto concerne la firma dei mandati, lart.
3 del D. Lgs. 39/93 lascia ampie possibilità di
scelta, pertanto, il sistema utilizzato dalle
ragionerie per la sicurezza del SIRGS (Sistema
Informativo Ragioneria Generale dello Stato) è
stato quello di un tipo di firma digitale
contenuta in una smart card protetta da un PIN.
Alcune smart card hanno soltanto la funzione di
identificare gli utenti che accedono al SIRGS,
altre hanno una duplice funzione oltre a
identificare lutente, lo abilitano alla firma
dei mandati di pagamento. Nellambito della
gerarchia delle funzioni, fra le smart card
abilitate alla firma si distingue ulteriormente
fra quelle abilitate anche alla revoca di firme
effettuate da altri utenti e quelle abilitate
alla revoca soltanto delle firme proprie.
Ciascuna smart card, come si legge anche in Note
sulla sicurezza per gli utenti del SIRGS a cura
del Ministero del Tesoro, abilitata alla firma,
contiene la chiave privata del suo titolare,
mentre le corrispondenti chiavi pubbliche sono
conservate centralmente dal SIRGS per la verifica
della firma. Non si tratta, tuttavia, della firma
digitale prevista dallart. 15 della L. 59/97, e
dei conseguenti D.P.R. 513/97 e DPCM 8 febbraio
1999, che rappresenta, fra i vari possibili, il
tipo scelto dallItalia cui le ragionerie
dovranno presto adeguarsi.

Il D.P.R. 513/97 Regolamento contenente i criteri
e le modalità per la formazione, l'archiviazione
e la trasmissione di documenti con strumenti
informatici e telematici, allart. 14, intitolato
proprio pagamenti informatici stabilisce che
Il trasferimento elettronico dei pagamenti fra
privati, pubbliche amministrazioni e tra queste e
soggetti privati è effettuato secondo le regole
tecniche definite col decreto di cui allart. 3
(del DPR 513/), ossia, entro 180 giorni
dall'entrata in vigore del presente regolamento,
sentita l'Autorità per l'informatica nella
pubblica amministrazione sono fissate le regole
tecniche per la formazione, la trasmissione, la
conservazione, la duplicazione, la riproduzione e
la validazione, anche temporale, dei documenti
informatici.
Tale articolo 14 potrebbe essere restrittivamente
riferito allultimissima fase della procedura,
cioè (per quanto riguarda le pubbliche
amministrazioni) al pagamento vero e proprio da
parte delle tesorerie oppure allintera
procedura del mandato informatico che pertanto
non potrà fare eccezione al sistema anche in
forza di una puntuale disciplina.

60
Le regole tecniche

Il Decreto ha affidato all'AIPA la definizione
delle regole tecniche e delle procedure
utilizzabili per garantire la sicurezza, la
riproducibilità e l'utilizzo dei documenti e
degli atti in formato elettronico.
Grazie a tali regole il mandato di pagamento
informatico è utilizzato dal 1 gennaio 1999 dal
Dipartimento della Ragioneria Generale dello
Stato.

61
Vantaggi

Aumento della velocità dell'iter della pratica
Diminuzione della possibilità di deterioramento
od errore
Possibilità di un monitoraggio più efficiente dei
flussi di spesa, grazie alla possibilità di
eseguire report in tempo reale
Snellimento delle procedure di protocollo e di
archiviazione
Semplificazione dei rapporti con cittadini e
imprese.

62
Criticità

Investimento infrastrutturale
riorganizzazione logistica e normativa.

Le nuove procedure eliminano alcune criticità
tempi e costi eccessivi per la stampa e linvio
di
tutti i supporti cartacei
intervallo temporale tra emissione del titolo di
spesa e data di riscossione
possibili disguidi nel recapito dei plichi
contenenti gli ordini di pagamento.

63

Il mandato informatico nella p.a.c.
Nell'ambito delle attività per la messa in rete
delle Amministrazioni dello Stato, ed in
particolare per l'estensione dellutilizzo del
mandato informatico di pagamento, sono stati
attuati due proggetti il progetto S.I.P.A. e
il progetto Si.Co.Ge.
64
Il progetto Si.Co.Ge(Sistema di Contabilità
Gestionale Finanziaria)

La Ragioneria Generale dello Stato ha iniziato ad
occuparsi di firma digitale e di
informatizzazione dei mandati di pagamento a
partire dal 1995 e dal 1999 tutti gli atti
relativi ad uscite dal bilancio dello Stato
vengono effettuate attraverso lutilizzo del
mandato informatico di pagamento.
Il sistema permette di gestire in forma
elettronica tutto liter amministrativo del
Mandato di pagamento dal momento dellarrivo da
parte di unaltra amministrazione, sino al
pagamento grazie al sistema di comunicazione con
la Banca dItalia.
Limportanza del sistema è ben rappresentata
anche dal volume di transazioni prodotte in
modalità elettronica (certificate grazie
allutilizzo della firma digitale), infatti dal
1999 ad oggi sono stati processati in via
informatica circa un milione e cinquecentomila
mandati di pagamento.22

Il primo nucleo del sistema è stato realizzato
dal Ministero degli Affari Esteri come
applicativo per la gestione dei dati e delle
informazioni interne al Ministero.
Allinizio del 2000, grazie ad un accordo con il
Ministero degli Affari Esteri, la Ragioneria
Generale dello Stato ha ottenuto i codici
sorgente dellapplicativo e ne ha iniziato lo
sviluppo, realizzato dalla società Consip s.p.a.
(la società del Ministero del Tesoro per lo
sviluppo e linnovazione tecnologica).
Lo sviluppo dei codici sorgenti, oltre a
migliorare il sistema, ha provveduto a
generalizzare quelle caratteristiche che erano
state predisposte in modo da rispondere a
specifiche esigenze gestionali e di conformità al
sistema informativo del Ministero degli Affari
Esteri. Lapplicativo è diventato così
espandibile ed in grado di soddisfare non solo le
esigenze gestionali del Ministero delle Finanze e
dellEconomia, ma anche di altre amministrazioni
che aderiscono (o aderiranno in un prossimo
futuro) al sistema.

66
Il progetto S.I.P.A. (Sistema Informatizzato dei
Pagamenti della P.A.)

I Soggetti
Comitato di Coordinamento con la partecipazione
della Ragioneria Generale dello Stato (il gestore
della spesa statale), della Corte dei Conti (che
ha il compito di controllare la spesa statale),
della Banca dItalia (in qualità di ente
tesoriere) e dellAutorità per linformatica
nella Pubblica Amministrazione.
Il predetto Comitato è regolato da uno
specifico protocollo dintesa ed è coordinato
dallAutorità per linformatica nella Pubblica
Amministrazione.

67
Obiettivi principali del SIPA
1. la messa in rete e la capacità di comunicare
tra loro dei sistemi informativi delle
Amministrazioni 2. lestensione dellutilizzo
del mandato informatico di pagamento sia alle
amministrazioni che gestiscono la spesa ordinaria
dello Stato sia alle Amministrazioni che operano
in contabilità speciale, quali la Presidenza
del Consiglio dei Ministri, la stessa AIPA ed i
funzionari delegati che operano sul territorio
(fra i quali i Prefetti, alcune sedi e ragionerie
della Difesa ed altri soggetti).
68
Conseguenze

Rendere autonome le amministrazioni aderenti per
quanto riguarda la gestione della propria
contabilità finanziaria
Eliminare alla fonte, e quindi da tutto liter
amministrativo, la produzione ed il trasferimento
cartaceo dei mandati di pagamento
Sviluppare ed incentivare lutilizzo della
R.U.P.A. attraverso transazioni certificate
dallutilizzo della firma digitale
Accelerare liter amministrativo degli ordini di
pagamento
assicurare un efficiente controllo di gestione e
monitoraggio della spesa
Ridurre i costi (sia in termini di tempo, che
monetari) relativi alla gestione dei pagamenti.

Larchitettura organizzativa e tecnologica del
S.I.P.A. prevede la cooperazione tra due grandi
infrastrutture tecnologiche
la Rete Unitaria della Pubblica Amministrazione
alla quale aderiscono le Amministrazioni Centrali
dello Stato
la Rete Nazionale Interbancaria che collega la
Banca dItalia con tutte la banche operanti sul
territorio e con le Poste.

I principali requisiti necessari per ladesione
adesione alle RUPA
possesso ed utilizzo della firma digitale (che
può essere ottenuta dal Centro Tecnico
contestualmente alladesione alla RUPA stessa)
utilizzo di un sistema informativo gestionale in
grado di interoperare con i servizi del SIPA.

Per aiutare le Amministrazioni a soddisfare il
terzo requisito previsto, la Ragioneria Generale
dello Stato ha provveduto alla realizzazione di
un apposito applicativo in grado di gestire la
gestione dei flussi informativi relativi ai
mandati di pagamento il Si.Co.Ge (Sistema di
Contabilità Gestionale Finanziaria).
71
Nuova versione del sistema

la capacità di operare in modalità web server, in
modo da permettere una più agevole estensione ed
adozione del sistema ad altri soggetti e centri
di spesa diffusi sul territorio
la conformità e la predisposizione di tutte le
funzioni al recepimento dellEuro come valuta di
riferimento
lutilizzo della firma digitale in ogni fase del
procedimento.

72
Risultati attesi

Limplementazione della modalità di funzionamento
web server consentirà di effettuare mandati
informatici e la gestione del loro iter
indipendentemente dalla collocazione fisica sia
del soggetto che lo esegue sia dei server che
provvedono alla gestione dei rispettivi sistemi
informativi.
Oltre allo snellimento delle procedure,
ladesione al sistema da parte di numerose
amministrazioni permetterà di realizzare un
migliore controllo di gestione e la verifica
immediata (on line) della situazione dei mandati
informatici e del loro stato di avanzamento,
compresa la verifica del pagamento eseguito
correttamente.

Questo servizio è già disponibile, per quanto
riguarda i mandati transitati attraverso la
Ragioneria Generale dello Stato. Infatti ogni
singolo atto di spesa che arriva alla Ragioneria
Generale viene memorizzato in un archivio ottico
non riscrivibile in modo da fissarne in maniera
indelebile i dati. Lo stesso tipo di
memorizzazione su supporto elettronico non
riscrivibile avviene quando il mandato viene
trasmesso, dopo le opportune verifiche di
legalità della spesa, per il pagamento alla Banca
dItalia.
In questo modo è sempre possibile tracciare in
modo automatico il percorso seguito dal mandato e
verificare la congruenza dei dati ricevuti e
trasmessi da ogni amministrazione che ha preso in
carico il mandato, permettendo una migliore
gestione dei flussi informativi e notevoli
risparmi nei tempi e nei costi per effettuare
eventuali controlli.

74
Esperienze degli Enti locali

VALLE D'AOSTA-UNICREDIT

Dal primo giugno 2005 la Regione autonoma Valle
d'Aosta è la prima ad aver introdotto nel suo
sistema amministrativo i mandati di pagamento
elettronici. Il "Mandato informatico" si
sviluppa con un software della Uni It Srl (gruppo
UniCredit) che consente l'interscambio via web
tra l'Amministrazione regionale ed il Tesoriere
UniCredit degli ordinativi di pagamento garantiti
da firma digitale.
75

Mandato Informatico a Reggio Emilia

Il progetto di Mandato Informatico del Comune di
Reggio Emilia è stato avviato nel mese di aprile
2003 con uno studio di fattibilità, che aveva
come obiettivo quello di verificare la
possibilità concreta di sostituire i tradizionali
mandati di pagamento cartacei emessi dalla
tesoreria comunale, in flussi documentali
elettronici. Allo studio di fattibilità è
seguito poi un periodo di analisi per
l'individuazione del percorso ottimale, e delle
specifiche tecniche più adeguate alle esigenze
delle strutture coinvolte, che ha portato
all'individuazione della firma digitale basata
sul sistema della smart card a doppia chiave,
come lo strumento più idoneo. In pratica si
tratta di una coppia di chiavi una privata,
posseduta dal soggetto titolare della carta che
appone la propria firma sul documento, e una
pubblica, attraverso cui il tesoriere può
verificare l'autenticità della firma e quindi
autorizzare l'iter di pagamento. In questo modo
un documento elettronico firmato digitalmente
acquisisce la stessa validità di una firma
apposta su una documentazione cartacea.
76

Il mandato informatico "entra" in Provincia di
Trento

Il sistema consente di
individuare preliminarmente i mandati prodotti
dal sistema contabile che saranno oggetto di
esame da parte del dirigente
visualizzare il dettaglio di ogni mandato
decidere, in base a questa evidenza, se
includere il documento nel pacchetto dei mandati
che verranno firmati, piuttosto che sospenderlo
temporaneamente o bloccarlo e restituirlo al
sistema contabile (con linserimento di note a
corredo)
richiedere report e listati di controllo.