Implementare la conservazione sostitutiva, da dove si comincia?

Alla base della conservazione sostitutiva c’è la firma digitale, questo articolo vi spiegherà come fare per applicare la firma digitale (ed il riferimento temporale) ad un documento.

Come prima cosa dovete procurarvi una carta nazionale dei servizi (CNS).

Questa (il formato è lo stesso delle carte di credito, il termine tecnico è smartcard) è una tessera a microchip che contiene la firma digitale di una persona. La firma digitale è infatti sempre associata ad una persona fisica, MAI ad un’azienda. Quindi, un’azienda che voglia applicare la firma digitale ad un documento, deve utilizzare la smartcard del proprio legale rappresentante.

Un’azienda (o una ditta individuale) ha diritto ad avere gratuitamente la prima CNS, il costo altrimenti è di 25 euro. Il costo della smartcard per un “normale cittadino” è comunque di 25 euro, anche per la prima. La carta nazionale dei servizi va richiesta alla camera di commercio.

Ora che avete la smartcard è necessario procurarsi un lettore di smartcard, ovvero un dispositivo hardware che sia in grado di leggere la CNS.

Esistono diversi tipi di lettore, cercando su e-bay (classico) le parole “lettore smartcard firma digitale” i prezzi vanno dai 7 ai 15 euro (più le spese di spedizione). I più recenti hanno un’interfaccia di tipo USB, quelli più datati hanno una più “antica” porta seriale.

Ho provato ad andare in un negozio di una famosa catena specializzata in articoli per ufficio ed i prezzi erano decisamente più alti (intorno ai 50 euro).

In alternativa alla coppia smartcard + lettore c’è la possibilità di ottenere un token di firma digitale. Un token è un dispositivo USB (molto simile ad una chiavetta di memoria) che contiene direttamente la firma digitale ed, essendo fornito di interfaccia USB, non necessita di un lettore. I costi sono decisamente più alti, il costo per il primo token è di 40 euro, i successivi costano 70 euro.
Inutile dire che un token è più comodo.

Abbiamo l’hardware, manca solo il software.

Anche in questo caso esistono diversi software che permettono di applicare la firma digitale ad un documento, ma visto il nostro interesse in javasign esploreremo questo.

Potete trovare javasign su sourceforge : http://sourceforge.net/projects/javasign/ , scaricate l’ultima versione ed installatelo. L’interfaccia di javasign è piuttosto spartana, come spesso avviene con i software java per desktop, ma a noi interessa perchè espone anche un’api java (che useremo da alfresco).

L’interfaccia di javasign è piuttosto spartana (come spesso avviene con i software java per desktop) ma a noi interessa perchè espone anche un’api java che useremo, a tempo debito, da Alfresco.
Colleghiamo il lettore USB, inseriamo la carta (facendo attenzione al verso) e facciamo partire javasign. Cerchiamo la directory che contiene il documento che intendiamo firmare e selezioniamolo; a questo punto clickiamo col bottone destro del mouse per attivare un menù a tendina all’interno del quale sceglieremo la voce “sign”. Questa operazione ci permetterà di creare una copia del documento originale che avrà estensione p7m, questo è un documento firmato con la firma digitale. Il formato p7m è un formato standard per la firma dei documenti, per poter visualizzare un tale documento è necessario un software specifico. Verisign è in grado di visualizzare i documenti p7m, basterà un semplice doppio click.

Ma dove possiamo arrivare con uno strumento del genere? Se pensassimo ad un software automatico che firmasse tutti i documenti aggiunti in una particolare directory che chiameremo (ad esempio) archivio? Guarda caso questo è il modo di pensare di Alfresco….

Facciamo 2 conti : in un’ora ci sono 3600 secondi, ipotizziamo di riuscire a firmare 100 documenti (ovviamente il processo di firma è più veloce, ma le stime è meglio sottostimarle) in un giorno (contando solo 20 ore) riusciremmo a firmare 2000 documenti, in un anno (contando 250 giorni lavorativi) firmeremmo …. 500.000 documenti … porca miseria sono mezzo milione e la stima è sicuramente bassa, è plausibile riuscire a quadruplicarla.

Il temporale è passato, siamo pronti a partire!

Da dove partire? Prima di tutto un po’ di chiarezza :

1. Il riferimento temporale e la firma digitale applicate ad un documento lo rendono immodificabile.
2. Avere un documento immodificabile garantisce che nessuno possa corromperlo.
3. Il documento ottenuto NON necessita di stampa, ha valenza di originale.

Questi pochi punti fanno chiarezza sul tema “firma digitale”, ma la conservazione sostitutiva è un’altra cosa, anzi qualcosa di più!

Come al solito facciamo alcuni esempi, per me sono più chiari della teoria.

L’azienda A deve mandare un documento all’azienda B, i casi possibili sono 4 :

caso 1 – azienda A ed azienda B NON sono predisposti per trattare documenti informatici : entrambe le aziende devono ottenere un cartaceo del documento

caso 2 – azienda A è predisposta per il trattamento dei documenti informatici, azienda B NO : l’azienda A applica il riferimento temporale e la firma digitale al documento e lo invia all’azienda B, l’azienda B lo DEVE stampare

caso 3 – azienda A NON è predisposta per il trattamento dei documenti informatici, l’azienda B si : l’azienda A stampa il documento ed invia una copia, l’azienda B applica riferimento temporale e firma digitale

caso 4 – azienda A ed azienda B sono predisposti per trattare i documenti informatici : l’azienda A applica il riferimento temporale e la firma digitale al documento e lo invia all’azienda B, l’azienda B può conservare il documento informatico senza stamparlo.

Ma un documento a cui è stato applicato il riferimento temporale e la firma digitale è un documento che ha una valenza temporale limitata, una fattura ha la valenza di 15 giorni, altri tipi documenti non rilevanti ai fini fiscali hanno valenza di 1 anno, ma non di più.

Cosa significa? Significa che una fattura prodotta regolarmente (con riferimento temporale e firma digitale) 16 giorni fà alla quale NON è stato applicato il processo di conservazione sostitutiva, non è più opponibile a terzi, non vale più nulla, è come non l’avessimo mai prodotta, se il cliente si rifiutasse di pagarla noi non potremmo farci nulla, avrei un buco nella numerazione delle fatture… insomma la carta igienica qui a fianco ha più valore!!!

ATTENZIONE!!! Fino ad ora non abbiamo parlato di conservazione sostitutiva, la firma digitale fin qui citata NON era quella del responsabile della conservazione!

La conservazione sostitutiva allunga la vita dei documenti informatici, perchè qualcuno si assume la responabilità di verificare che tali documenti vengano conservati adeguatamente! Ma cosa significa passare un documento in conservazione sostitutiva?

Significa prendere un documento o più probabilmente un lotto di documenti (oppure un”evidenza informatica contenente le imponte dei documenti), ed apporre la marca temporale e la firma digitale (questa volta quella dell’RCS). Il processo di conservazione “è essenziale ai fini probatori, di opponibilità ai terzi ed ai fini del controllo”.

Posso mandare in conservazione sostitutiva qualsiasi tipo di documento? Unico requisito è che il documento sia attribuibile ed immodificabile. Ovvero che gli sia stata applicato il riferimento temporale e la firma digitale.

Visto che un documento può essere firmato più volte (e da diverse persone) se fossi un RCS applicherei comunque il riferimento temporale e la firma digitale a tutti i documenti archiviati.

La normativa è ormai stata sviscerata, siamo pronti a partire con le attività più pratiche.

Entro la fine del mese di Maggio (2010) verrà prodotto il primo documento di requisiti funzionali del progetto.

Da ora in poi gli articoli di questo blog tratteranno anche di aspetti più tecnici.

AIUTO!!! ho bisogno di un “temporale” …

Sono un informatico, io e la burocrazia non andiamo per niente d’accordo!

La normativa riguardante la conservazione sostitutiva è scritta in perfetto burocratichese, per comprenderla a pieno è necessario pesare bene ciascuna parola e fare attenzione alla punteggiatura. Sto tentando di capire la differenza tra riferimento temporale e marca temporale.

No, non sono così indietro nello studio, la differenza (tecnica) tra le due è facile. Sto impazzendo tentando di capire quando applicare l’una e quando l’altra. Tutti i documenti che leggo girano attorno al problema ma nessuno dice in maniera chiara (perlomeno chiara per un informatico) come comportarsi.

Prima di tutto, la delibera CNIPA 11/04 NONPARLA MAI di marca temporale, solo di riferimento.

Io la interpretocosì :

Per essere sottoposto a conservazione sostitutiva, un documento informatico deve essere “attribuibile” ed “immodificabile”.

Un documento acquista queste caratteristiche quando gli viene applicato il riferimento temporale e la firma digitale.

Un documento con queste caratteristiche non necessita di stampa, vale come l’originale e può essere “esibito”.

Con cadenza almeno annuale l’RCS deve prendere tutti i documenti prodotti durante l’anno (oppure un’evidenza informatica contenente le imponte dei documenti ????), apporre la marca temporale e la firma digitale.

Solo dopo quest’ultimo passaggio l’originale cartaceo può essere distrutto, perchè solo dopo l’apposizione della marca temporale il documento diventa “opponibile a terzi”. Piccola nota : la marca temporale si paga (ad esempio 80 euro per un lotto di 200 marche).

La mia interpretazione però presta il fianco ad alcune considerazioni:

1. se il documento l’ho prodotto io e l’ho reso immodificabile, posso “opporlo a terzi” prima di averlo mandato in conservazione (marca temporale)?
2. se mi è arrivato un documento cartaceo, devo comunque conservarlo per un anno?
3. l’originale cartaceo potrei non averlo, il mittente potrebbe avermi mandato direttamente il formato elettronico, cosa succede se devo “opporre a terzi” il documento al quale non è ancora stata applicata la marca temporale?

Ho interpretato correttamente la normativa?

Qualcuno mi aiuta a chiarire la questione?

Quanto mi dovrebbe costare dematerializzare?

Più approfondisco l’argomento, più mi convinco che il ruolo del Responsabile della Conservazione Sostitutiva (RCS) è molto vicino a quello del Commercialista.
Ovvero : il commercialista stà alle tasse come l’RCS stà alla dematerializzazione.
Detto questo, la domanda sorge spontanea, devo spendere per dematerializzare tanto quanto spendo per il commercialista?

Come disse Benjamin Franklin: “Al mondo di sicuro ci sono solo la morte e le tasse.”; Quindi pagare qualcuno (il commercialista appunto) che mi aiuti a NON sbagliare e, magari, a risparmiare qualcosa, è un affare.
La conservazione sostitutiva è un’altra cosa, forse…

In effetti il ruolo dell’RCS si può riassumere in due funzioni : aiutare le aziende a NON sbagliare (conservando correttamente i documenti informatici) e far risparmare il costo della carta (e dello spazio per conservarla).
Ma non dovevano essere diversi???

C’è chi ha provato a quantificare il costo indotto di un archivio cartaceo, questo mio articolo vuole affrontare il problema al contrario: vediamo quali possono essere i costi diretti ed indiretti della conservazione sostitutiva.
Gli scenari sono parecchi, ed io, da buon informatico, vorrei generalizzare.

Facciamo un primo distinguo: l’azienda ha intenzione di comperarsi dei server da tenere in casa oppure vuole utilizzare un servizio esterno? Cosa cambia?
In Italia il software in ASP (Application Service Provider – oppure SaaS : Software as a Service) non è molto diffuso, le aziende non riescono a capirne i vantaggi.
Sui software di gestione documentale poi, quello che si sente dire tipicamente è: “non mi fido a lasciare tutti i miei documenti in mano ad altri!“.
Qualche tempo fa, un commerciale (bada bene, NON un commercialista) che ho conosciuto mi ha detto che il suo metodo per “smontare” questo ragionamento è :
“Ma come, ti fidi a dare i tuoi soldi in mano ad altri (la banca) e non ti fidi a dare i documenti?”
In effetti il ragionamento non fa una piega, se chi ti fornisce il servizio di conservazione sostitutiva in outsourcing è in grado di assicurarti garanzie adeguate (sicurezza, riservatezza, qualità, …), perchè non lasciargli i propri documenti?
– Una piccola divagazione: sapevate che molte banche utilizzano questo modello? Esistono centri servizi specializzati nel fornire software in ASP alle banche : CSE, CEDACRI, PHOENIX sono solo alcuni nomi (il logo qui sopra NON è preso a caso) –

Ma torniamo al nostro problema, i costi.

• Se l’azienda decide di tenere i server in casa, i costi da affrontare sono sicuramente :

1. hardware – costo una tantum
2. software di base – costo una tantum
3. software di conservazine sostitutiva a norma – è necessario tenerlo sempre aggiornato secondo la normativa, gli aggiornamenti saranno da pagare
4. sistema di backup – costo una tantum
5. supporti per backup – costo ricorrente
6. lettore di smartcard – costo una tantum
7. costo interventi in caso di guasti hardware – costo ricorrente
8. conservazione dei backup “lontanto dai server” – costo ricorrente
9. è indispensabile una rete aziendale interna – intranet

• Se l’azienda decide di abbonarsi ad un servvizio in ASP i costi invece sono :

1. abbonamento al servizio – costo ricorrente
2. è indispensabile una connessione ad internet veloce – costo ricorrente

Un’altro aspetto che è indispensabile affrontare riguarda l’RCS : l’azienda lo vuole in casa (un proprio dipendente) o preferisce un consulente esterno?

• Se l’azienda decide di assumere un RCS come dipendente dovrà spendere per :

1. formazione – costo ricorrente
2. stipendio – costo ricorrente
3. assicurazione – costo ricorrente – errare è umano, io un’assicurazione la farei…

• Se l’azienda decide di ricorrere ad un professionista della conservazione invece :

1. tariffa consulente – costo ricorrente

Sono convinto di avere citato soltanto le principali spese, i commenti a riguardo sono bene accetti!
Come possono essere combinate le due scelte?
Sicuramente un’azienda che decide di acquistare i server da tenere in casa, può avvalersi di un proprio RCS o di un consulente esterno.
E’ plausibile che, in futuro, ci saranno RCS specializzati su determinate piattaforme, un RCS a cui venisse chiesto di assumersi responsabilità su una piattaforma che non “condivide” avrebbe tutto il diritto di alzare il prezzo.

Se l’azienda intende invece avvalersi di un sistema in outsourcing, la possibilità di avere un RCS proprio è probabilmente da escludersi; l’RCS verrà fornito inieme al servizio di Conservazione Sostitutiva.
Nonostante sia evidentemente e spudoratamente a favore dell’ASP (non si era capito?), sono altrettanto convinto che sia un modello che ben si applica alle PMI ma se l’azienda cresce, il modello NON regge.

Lascio a voi valutare quale opzione sia migliore per la vostra azienda, in relazione alle offerte del vostro fornitore.
Vorrei concludere anche questo articolo (come il precedente) aggiungendo uno spunto tratto dalla mia personale realtà di micro-impresa; se un’azienda mi fornisse un servizio in ASP che per un costo ridotto (es. 50 euro l’anno) mi permettesse di conservare un numero limitato di documenti (es. 100 doc. l’anno), io mi abbonerei sicuramente!
Quanti di voi la pensano allo stesso modo?