Integrità e immodificabilità del documento informatico nella bozza di linee guida per il documento informatico (e nelle abrogande regole tecniche)

Integrità: “Caratteristica di un documento informatico, di un'aggregazione o di un sistema di gestione o conservazione che garantisca la sua inalterabilità nel tempo” (dal glossario, allegato 1 alla bozza di regole tecniche).

Immodificabilità: “Il documento informatico è immodificabile se la sua memorizzazione su supporto informatico in formato digitale non può essere alterata nel suo accesso, gestione e conservazione” (dal paragrafo 2.1.1 della bozza di linee guida).

Per un documento informatico quindi l'integrità è la caratteristica che lo rende inalterabile nel tempo. Non è chiaro se come evidenza informatica, sequenza di bit o file, oppure come contenuto informativo e rappresentativo.

L'immodificabilità è la caratteristica di un documento informatico che garantisce che non sia modificabile durante la sua vita, verosimilmente per volontario fatto umano. Anche qui non è chiaro se come evidenza informatica, sequenza di bit o file, oppure come contenuto informativo.

È posizione consolidata che la trasmissione nel tempo (conservazione) di un documento informatico consiste nella capacità di riprodurre il suo contenuto informativo e rappresentativo preservandone la credibilità complessiva, eventualmente modificando, in modo controllato e a sua volta documentato, le evidenze informatiche (o componenti digitali) che lo costituiscono. Si può quindi ritenere che integrità e immodificabilità siano da riferire al contenuto informativo e rappresentativo del documento.

Naturalmente l'integrità e l'immodificabilità della sequenza di bit, dell'evidenza informatica o del file implicano quelle del contenuto informativo e rappresentativo.

Integrità e immodificabilità sono due concetti non indipendenti fra loro. Nell'interpretazione della modifica come fatto umano volontario, una modifica costituisce senza dubbio un'alterazione e, in teoria, potrebbero darsi perdite di integrità che non implichino modificazioni del documento (nel mondo analogico si potrebbe pensare ai margini di un registro logorati dal tempo).

Qualunque sia l'esatta interpretazione delle definizioni, integrità e immodificabilità sono due caratteristiche che per la normativa italiana conferiscono credibilità (o valore giuridico-probatorio) al documento informatico.

Le linee guida elencano quattro modalità di formazione del documento informatico e per ciascuna di esse individuano alcune operazioni che garantiscono integrità e immodificabilità del documento.

La garanzia di immodificabilità e integrità non può esplicitarsi altro che in strumenti di verifica di integrità (non alterazione) e non modificazione. Facendo riferimento al sigillo, strumento di garanzia di integrità e non modificazione di uso comune sia nella sua versione analogica sia in quella elettronica, questo non è in grado da solo di impedire alterazioni o modifiche del documento sigillato, ma è solo in grado di consentire di constatare eventuali alterazioni o modifiche. Per altro, in caso di alterazioni o modifiche, non consente di risalire al documento integro e immodificato.

Con queste premesse appare abbastanza chiaro che, per ciascuna modalità di formazione del documento, le operazioni, alternative e cumulabili, che garantiscono integrità e immodificabilità non sono fra loro equivalenti, perché non sono equivalenti e interscambiabili gli strumenti di verifica che mettono a disposizione, anche per il solo fatto che tali strumenti di verifica sono utilizzabili ad agenti diversi.

Di seguito alcune tabelle di sintesi.

Considerazioni sulle modalità b), c), d).

Nel momento in cui l'esito di una delle modalità di formazione b), c) o d) è “la produzione di documenti nei formati previsti nell'allegato 2” ci si riconduce evidentemente a un caso particolare della modalità a).

La modalità b) è quindi, in tutte le sue varianti, un caso particolare della modalità a) (a meno che non si utilizzi un formato non previsto dall'allegato 2).

La modalità c) ha due varianti:

c.1) memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici;

c.2) memorizzazione su supporto informatico in formato digitale delle informazioni risultanti dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all'utente.

Per la modalità c.2) emerge un dubbio interpretativo sul significato di “presentazione telematica di dati attraverso moduli o formulari resi dispo­ni­bi­li all'utente”: non è chiaro se si tratti di consentire all'utente di accedere a un sistema che gli presenta (a video, su file, su stampa) il raggruppamento di dati secondo uno schema/forma prestabilito (formulario o modulo), oppure se si tratti di consentire all'utente di compilare un formulario o un modulo tramite un sistema telematico che si occupa anche di memorizzare i dati inseriti (presentati) dall'utente su supporto informatico in formato digitale. Visto che la modalità c) fa esplicito riferimento alla memorizzazione, la seconda interpretazione sembra quella corretta. La modalità c) si riferisce quindi a meccanismi di raccolta, da parte di un sistema informatico, di informazioni e dati dall'ambiente esterno.

Quindi, visto che si tratta di “memorizzazione su supporto informatico in formato digitale” anche la modalità c) è un caso particolare della modalità a) (a meno che non si utilizzi un formato non previsto dall'allegato 2). Per questo caso particolare, però, sono teoricamente possibili ulteriori operazioni di garanzia di integrità e immodificabilità.

Tuttavia, non si capisce in che modo il documento “memorizzato su supporto informatico in formato digitale” possa mantenere il suo collegamento col sistema che ha realizzato la transazione o il processo informatico o che ha raccolto i dati inseriti dall'utente e quindi come le operazioni proposte, che incidono sull'integrità e l'immodificabilità del sistema, possano incidere anche sul documento “memorizzato su supporto informatico”. Il documento ottenuto come memorizzazione, infatti, vive necessariamente al di fuori del sistema che lo ha prodotto come memorizzazione e quindi dovrà trovare altrove (con una delle operazioni previste per la modalità a)) la sua garanzia di integrità e immodificabilità.

Per la modalità d) valgono considerazioni simili a quelle fatte per la modalità c), in particolare per il fatto che si prevede espressamente la “memorizzazione in forma statica”. Nella modalità d) i dati sono già presenti in basi di dati e il sistema di formazione del documento li raggruppa (eventualmente dopo generazione evidentemente intesa come derivazione di nuovi dati da dati esistenti) secondo una forma / struttura logica predeterminata e li memorizza in forma statica (esempio: una visura catastale tramite web app dell'Agenzia delle entrate). Anche in questo caso non è chiaro come la memorizzazione in forma statica possa mantenere un collegamento certo col sistema che l'ha prodotta e con le basi di dati di provenienza di dati e registrazioni raggruppati e, quindi, non è chiaro come operazioni che incidono sull'integrità e immodificabilità di tali sistemi e banche dati possano incidere su integrità e immodificabilità del documento prodotto. Anche in questo caso, il documento memorizzato fuori dal sistema che lo ha formato dovrà trovare altrove (con una delle operazioni previste per la modalità a)) la sua garanzia di integrità e immodificabilità.

Altrimenti si sarebbe dovuto dire che il documento non è tanto la “memorizzazione” quanto la sola “presentazione” all'utente del raggruppamento di dati o registrazioni, questa sì accessibile e fruibile solo attraverso il sistema del quale si garantisce integrità e immodificabilità. Tornando all'esempio: la vista della visura catastale sul sistema autorevole che la presenta a video potrebbe essere (ma evidentemente, a rigore di definizione della modalità d), non lo è) il documento; tuttavia, se l'utente che richiede la generazione del raggruppamento di dati, lo visualizza nel sistema autorevole e poi lo stampa, lo preleva o comunque lo inserisce su un proprio sistema, l'oggetto memorizzato fuori dal sistema autorevole perde collegamento col sistema autorevole e le sue integrità e immodificabilità non possono più essere verificate con strumenti che garantiscono integrità e documentazione delle modifiche di sistemi e banche dati da cui sembra provenire. A meno che l'oggetto prelevato sia collegato in modo certo ai sistemi e alle banche dati d'origine e chi vi accede possa accedere anche agli strumenti di verifica di integrità e immodificabilità di quei sistemi e banche dati. Oppure l'integrità e l'immodificabilità dell'oggetto prelevato sono garantite con le operazioni previste per i documenti prodotti con la modalità a).

In definitiva, se non si stabilisce un legame certo fra documento, sistema di formazione e banche dati di origine dei dati e si rendono disponibili strumenti di verifica del sistema e delle banche dati, anche la modalità d) (così come la modalità c)) è un caso particolare della modalità a), per il quale non sono implementabili ulteriori operazioni di garanzia di integrità e immodificabilità.

Per chiarire meglio e fissare le idee. Casi pratici.

Problema pratico.

Tutte le modalità proposte prevedono come esito finale la produzione di un oggetto informatico “memorizzato”. Ciò sembra escludere dalle modalità di formazione del documento informatico e, di conseguenza, non concedere loro dignità di documento, le visure (stampe, view) delle risultanze di registrazioni in banche dati (anche autorevoli e integre). Tuttavia, nell'esperienza quotidiana, sistemi autorevoli di visualizzazione di dati autorevoli propongono di acquisire (per lo più tramite download di un PDF o di un XML) il risultato in forma statica dell'interrogazione di una o più banche dati, senza preoccuparsi di legare l'oggetto prodotto in forma statica al sistema di formazione o di garantirne in altro modo integrità e immodificabilità (per esempio con firma, sigillo o contrassegno che, con le dovute accortezze, garantirebbero anche la provenienza dell'oggetto) e fornire strumenti di successiva verifica di corrispondenza fra oggetto prodotto e risultanze della banca dati. È il caso di documenti che sono presupposto di attività e scelte di organizzazioni, come per esempio, visure camerali, visure catastali, estratti conto retributivi, documenti unici di regolarità contributiva, ecc.

Esempi positivi.

1. La ricetta elettronica. Il promemoria rilasciato all'assistito è un raggruppamento di ciò che il medico ha inserito nella banca dati nazionale, non ha firme o sigilli, ma reca codici identificativi (il numero di ricetta elettronica, NRE, e il codice di autenticazione restituito dal SAC) utili a verificare la corrispondenza di quanto riportato nel promemoria con quanto presente nella banca dati. La verifica non è disponibile a tutti ma solo a chi, farmacista o struttura sanitaria, deve dare seguito a quanto prescritto dal medico. Ma il documento in questo caso qual è? Il promemoria è un documento oppure lo è la registrazione nella banca dati nazionale? Il promemoria è una copia, un estratto? Il promemoria è forse un documento in senso relativo, cioè nel senso che è documento solo per chi ha accesso agli strumenti per verificare la sua corrispondenza al contenuto della banca dati nazionale? Fra l'altro al farmacista non interessa verificare integrità e non modificazione del promemoria al fine di concludere che quanto riportato coincide con quanto prescritto dal medico, dal momento che accede direttamente a quanto presente nella banca dati: l'interesse verso il promemoria si esaurisce nel momento in cui il farmacista vi individua gli elementi che lo guidano per la ricerca all'interno della banca dati. Ma tutto questo è un'altra storia…

2 Il biglietto elettronico. Lo stesso per il biglietto elettronico del treno. Questo reca con sé un codice alfanumerico, ma solo chi ha effettuato l'acquisto del biglietto o l'azienda ferroviaria (il controllore) può verificare integrità e non modificazione dell'oggetto frutto della transazione elettronica. Neanche il controllore è interessato a valutare l'integrità e la non modificazione del promemoria di viaggio (sia esso stampa, PDF, testo di un sms o evento su un calendario personale) rispetto alla versione dell'oggetto digitale che il viaggiatore ha ottenuto dal sistema, dal momento che, grazie al codice alfanumerico che può essergli comunicato anche a voce, accede direttamente alla banca dati e verifica se il viaggiatore ha diritto di utilizzare il treno.

E la provenienza?

Per ciascuna delle modalità di formazione si potrebbero individuare corrispondenti operazioni che garantiscano (offrano strumenti per verificare) la provenienza, cioè l'autore, del documento. Alcune delle operazioni che garantiscono integrità e immodificabilità sono in grado di garantire anche la provenienza.

Ma di questo la bozza di linee guida non si occupa.