Dall’autenticazione informatica all’autenticazione del documento.

Con il Nuovo Codice dell’Amministrazione Digitale, D.lgs 235/2010, sono state introdotte diverse novità che hanno modificato altrettanto diversi concetti riguardanti il documento informatico e la sua creazione, gestione, conservazione nonchè dell’autenticazione informatica. Tra le varie novità, c’è da segnalare quanto specificato dall’art. 1 : “autenticazione del documento informatico: la validazione del documento informatico attraverso l’associazione di dati informatici relativi all’autore o alle circostanze, anche temporali, della redazione;”. Precedentemente invece l’art. 1-b affermava : “autenticazione informatica : la validazione dell’insieme di dati attribuiti in modo esclusivo ed unico a un soggetto, che ne distinguono l’identità nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”.

Si comprende subito come sia cambiato non solo la definizione, ma anche il modo di concepire l’autenticazione. Questo cosa significa ? In un sistema di gestione documentale tipicamente utilizzato per creare, gestire e conservare diversi documenti informatici, è sempre stato necessario per l’utente, dover inserire alcuni dati (tipicamente login e password) di accesso al sistema. Questi dati, che si riferiscono alla persona e la identificano come utente autorizzato all’accesso, per alcune tipologie documentali e per alcuni particolari requisiti-esigenze soprattutto in termini di privacy, possono anche essere riferiti alla persona tramite una smart card piuttosto che login e password. In questo caso, infatti, si parla spesso di autenticazione forte. Ma ora che si parla di autenticazione del documento informatico e non più di sistema, cosa cambia praticamente ?  Analizziamo l’art. 1 e iniziamo dalla validazione del documento informatico. La validazione è il risultato della procedura informatica con cui si attribuiscono ad uno o più documenti informatici una data ed un orario opponibile a terzi. Ma la validazione è anche la corretta ricezione sempre opponibile a terzi in un determinato giorno e una determinata ora di una generica istanza che viene registrata attraverso un numero di protocollo certo ed univoco. La validazione in questo caso è intesa come “quel qualcosa che convalida” un documento. Se questa è la validazione, l’art.1-b , afferma che quest’ultima viene garantita  attraverso l’associazione di dati, sempre informatici, relativi all’autore. Quali sono questi dati ? Se pensiamo ai dati relativi all’autore, è chiaro che si deve pensare ad informazioni che siano riconducibili solo ed esclusivamente all’utente. Il nuovo CAD, riferendosi al documento informatico, parla di firma elettronica avanzata come l’ insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. Dunque l’insieme di dati informatici annessi ad un documento informatico al fine di autenticarlo, possono essere attribuiti alla firma elettronica avanzata. Faccio ora una domanda al lettore che si sarà sicuramente fatto un idea : questo significa in poche parole che dovrò sempre associare i miei dati personali non solamente all’intero sistema-software di gestione elettronica documentale, ma anche e soprattutto al singolo documento ? Aspetto i vostri commenti in merito! Proseguendo, l’art. 1-b discute anche delle circostanze, che possono essere temporali, della redazione del documento informatico sempre associato ai dati relativi all’autore. Dunque anche in questo caso al fine di autenticare un documento informatico, ho bisogno di informazioni attinenti la redazione di un documento. Si potrebbe pensare  ad esempio a domande tipo : Da chi è stato redatto il documento informatico ? Quando ? In che data e in che ora ? Qual’è il numero di protocollo associato ? (se pensiamo ad esempio alle PA ma non solo) Chi ha sottoscritto il documento ? . Concludo questa brevissima trattazione , facendo un attenta considerazione : garantire che tutte le risposte alle domande di cui sopra siano certe, sicure, immodificabili, integre ed autentiche è “la sfida” che un ottimo Responsabile della Conservazione Sostitutiva deve superare ogni giorno, assieme alla tecnologia adottata e per mezzo di un opportuno sistema-software di gestione e conservazione elettronica documentale.