27 APRILE 2020

Con Determinazione n. 157 del 23 marzo 2020, l’Agenzia per l’Italia Digitale (AgID) ha emanato le linee guida contenenti “Regole tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”.

Esse trovano origine dalla necessità di regolamentare le modifiche dell’articolo 20 del Codice dell’amministrazione digitale con le quali è stata introdotta, nel nostro ordinamento giuridico, una nuova modalità di sottoscrizione elettronica del documento informatico, comunemente denominata “firma SPID”.

Nato nel 2014 ed operativo dal 2016, SPID, Sistema Pubblico di Identità Digitale, consente l’accesso ai servizi on line della pubblica amministrazione e dei soggetti privati aderenti con un’unica identità digitale, utilizzabile con qualunque device. Il sito Agid ad esso dedicato ci dice che SPID ha rilasciato circa 6,5 milioni di identità, con un incremento annuo pari a circa il 60%. Attualmente i gestori di identità (IdP) digitali sono 9 e le amministrazioni pubbliche che ne consentono l’utilizzo oltre 4.000. È altresì prevedibile che la contingente situazione legata alla diffusione del coronavirus e la conseguente crescente necessità di accesso a servizi on line, tra i quali l’accesso alle misure di sostegno al reddito previste dal Decreto Cura Italia del marzo 2020, porteranno ad una ulteriore diffusione dell’utilizzo di tale strumento.

Il comma 1-bis del citato articolo 20 del CAD aggiunge, dunque, alle già previste firme digitali, firme elettroniche qualificate e firme elettroniche avanzate, una modalità di sottoscrizione apposta “… previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.” A tale sottoscrizione la norma attribuisce il valore della forma scritta ad substantiam e l’efficacia fino a querela di falso prevista dall’articolo 2702 del Codice Civile.

Ai fini della digitalizzazione e dematerializzazione dei processi in ambito pubblico e privato, le citate novità introdotte dal CAD e dalle regole tecniche sono rilevanti: d’ora in poi i cittadini potranno sottoscrivere un documento proposto da un fornitore di servizi, ad esempio un contratto, semplicemente con l’utilizzo delle proprie credenziali SPID, senza la necessità di disporre e utilizzare altri dispositivi di firma digitale (token USB, smart card, etc…).

Le regole tecniche descrivono dettagliatamente il processo di firma, individuando due sottoprocessi, predisposizione e sottoscrizione, e identificando tre attori:

  • l’utente, ovvero chi deve sottoscrivere il documento;
  • il SP – “Service Provider”, ovvero il fornitore di servizi nella federazione SPID, che agisce nel sottoprocesso di predisposizione;
  • l’IdP – “Identity Provider”, ovvero il gestore di identità digitali nel contesto della federazione SPID, che agisce nel sottoprocesso di sottoscrizione.

Il sottoprocesso di predisposizione prevede quanto segue:

  1. l’utente accede al servizio esposto dal SP utilizzando le proprie credenziali SPID;
  2. Il SP predispone il documento da sottoscrivere, che può prevedere anche più firme, apponendovi il proprio sigillo elettronico qualificato (QSeal) e lo sottopone all’utente per la presa visione;
  3. previo esplicito consenso dell’utente, Il SP invia il documento all’IdP con il quale l’utente ha eseguito l’autenticazione.

Il sottoprocesso di sottoscrizione prevede quanto segue: l’IdP

  1. autentica nuovamente l’utente con credenziali di livello 2 o superiore;
  2. consente all’utente di visionare l’intero documento;
  3. richiede all’utente il consenso esplicito alla sottoscrizione;
  4. appone il proprio sigillo elettronico qualificato, o più sigilli qualora siano previste più firme. Per ogni firma inserisce un “timbro digitale” visibile recante le informazioni previste (cognome e nome del firmatario, etc…);
  5. propone all’utente l’invio del file tramite posta elettronica e/o di scaricarne una copia;
  6. invia il documento sottoscritto al SP;
  7. elimina dai propri sistemi ogni traccia del documento sottoscritto, tranne nei casi in cui l’utente abbia sottoscritto con l’IdP accordi che non lo consentano, ad esempio relativi alla conservazione digitale.

Possono utilizzare tali modalità di firma solo i possessori di identità digitali SPID per persona fisica o per uso professionale, non per persona giuridica.

Il servizio prevede la possibilità che un utente sottoscriva il documento in più punti attraverso un’unica sezione di autenticazione SPID e che più utenti sottoscrivano il medesimo documento in tempi e con sessioni di autenticazioni SPID distinte.

Il documento predisposto per la firma da parte del SP deve essere un PDF/A-2°, secondo lo standard ISO/IEC 32000-1.

La conformità al GDPR è garantita dal fatto che l’utente deve esprimere il proprio consenso alla sottoscrizione due volte, sulla piattaforma del SP in fase di predisposizione del documento e sulla piattaforma dell’IdP in fase di sottoscrizione.

Da evidenziare, infine, l’utilizzo del sigillo elettronico qualificato da parte del SP e dell’IdP. Strumento per certi versi ancora poco noto e poco utilizzato, il sigillo è stato introdotto nel nostro ordinamento con il regolamento eIDAS, Regolamento UE n. 910/2014. Il sigillo elettronico qualificato garantisce l’origine e l’integrità dei dati, e dunque del documento informatico, ha forti analogie con la firma elettronica, con la quale condivide definizione e scopo operativo finale ma dalla quale si differenzia principalmente per il fatto che è riconducibile a una persona giuridica, non ad una persona fisica. Il suo utilizzo, come garanzia dell’integrità del documento informatico, è evidente, ad esempio, per particolari tipologie di documenti: fatture elettroniche, visure camerali, ricevute dei sistemi di PEC possono essere “sigillate” con tale strumento e acquisire efficacia probatoria comunitaria.

Le linee guida danno indicazioni su molteplici altri aspetti di natura tecnica della firma SPID, relativi, in particolare, al documento sottoscritto, alla nomenclatura dei documenti, alle modalità di comunicazione tra SP e IdP e gli algoritmi crittografici da utilizzare.

Si prevede che gli scenari di utilizzo della modalità di sottoscrizione tramite SPID riguarderanno prevalentemente documenti relativi alla contrattualizzazione di forniture di servizi, soprattutto in contesti in cui si fa uso di smart contract, ma anche in processi più tipicamente amministrativi, quali ad esempio i processi riguardanti la gestione del personale. Ogni sottoscrizione apposta nelle modalità descritte è identificata univocamente, così da poter essere “agganciata” a specifiche clausole contrattuali.

Le agevolazioni per gli utenti e per i fornitori di servizi appaiono evidenti: con l’utilizzo delle sole credenziali SPID sarà possibile sottoscrivere documenti senza essere costretti a ricorrere ad altri strumenti di firma, consentendo una completa dematerializzazione dei processi. Da precisare che, al momento, la norma prevede una adesione volontaria a questo servizio, il suo successo è quindi condizionato dalla reale volontà di adesione da parte dei SP.

Nelle ultime settimane, l’AgID ha pubblicato, in consultazione pubblica, alcune Linee guida nel rispetto di quanto stabilito dall’articolo 71 del Codice dell’Amministrazione digitale. In particolare, l’attività dell’AgID si è concentrata sulla elaborazione e successiva pubblicazione in consultazione dei seguenti documenti:

  • Linee guida sulla formazione, gestione e conservazione dei documenti informatici
  • Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD
  • Linee Guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali.

La consultazione pubblica per le Linee guida sulla formazione, gestione e conservazione dei documenti informatici si è chiusa il 16 novembre 2019, quella per la sottoscrizione elettronica di documenti e per la stesura del piano di cessazione si chiuderà il 20 dicembre 2019.

Lo strumento delle Linee guida, in luogo delle Regole tecniche, è stato introdotto con l’art. 63 del D.Lgs. n. 127/2017 che ha modificato, tra gli altri, l’art. 71 del Codice dell’Amministrazione digitale. L’obiettivo della modifica all’art. 71, ovvero individuare uno strumento di regolazione più flessibile rispetto alle regole tecniche previste dall’originario D.Lgs. n. 82/2005, risponde a quanto stabilito dalla Legge di delega al Governo in materia di riorganizzazione delle amministrazioni pubbliche (L. n. 124/2015) che all’articolo 1, comma 1, lettera m) elenca, tra i principi e i criteri direttivi delle modifiche al CAD,  quello di semplificare le modalità di adozione delle regole tecniche e assicurare la neutralità tecnologica delle disposizioni del CAD, semplificando allo stesso tempo il CAD medesimo in modo che contenga esclusivamente principi di carattere generale. A tal proposito, il Consiglio di Stato nel parere sullo schema di decreto legislativo correttivo del CAD, Consiglio di Stato, Commissione speciale, 10 ottobre 2017, n. 2122, osserva che l’introduzione delle Linee guida appare in linea con il principio di neutralità tecnologica enunciato della Legge di delega e, in assenza di specifici rilievi da parte dell’Amministrazione circa la natura delle Linee guida, attribuisce ad esse una valenza erga omnes e un carattere di vincolatività.

La procedura di emanazione delle Linee guida risulta estremamente semplificata rispetto alla procedura originariamente prevista per le Regole tecniche. Le Linee guida sono emanate da AgID previa consultazione pubblica, sentite le amministrazioni competenti e il Garante per la protezione dei dati personali, acquisito il parere della Conferenza unificata. Esse divengono efficaci dopo la pubblicazione nel sito internet istituzionale dell’AgID.

LINEE GUIDA SULLA FORMAZIONE, GESTIONE E CONSERVAZIONE DEI DOCUMENTI INFORMATICI

Le Linee guida sulla formazione, gestione e conservazione dei documenti informatici, attese da tempo, sono state elaborate con il duplice obiettivo di aggiornare le regole tecniche in materia di formazione, protocollazione, gestione e conservazione dei documenti informatici e di riunificare in un corpus normativo unico le regole tecniche e le circolari in materia attualmente in vigore.

In particolare, a partire dalla data della loro applicazione, centottantesimo giorno successivo alla loro entrata in vigore, le Linee guida abrogheranno totalmente o parzialmente regole tecniche e circolari come di seguito indicato:

abrogazioni

Rispetto a tali abrogazioni, si può osservare quanto segue:

Osservazioni mobile

Da notare che del D.P.C.M. 3 dicembre 2013, Regole tecniche per il protocollo informatico, restano in vigore gli articoli emanati sulla base del Testo unico in materia di documentazione amministrativa, D.P.R. n. 445/2000.

La metodologia seguita, finalizzata ad ottenere un unicum normativo, si basa su un approccio olistico volto a rappresentare le interdipendenze tra le fasi della gestione documentale:

  • formazione del documento
  • gestione
  • conservazione.

La struttura del documento, base normativa più sei allegati, risponde alla dichiarata necessità di avere linee guida flessibili, che siano cioè facilmente adattabili ai cambiamenti tecnologici. I sei allegati sono relativi ai seguenti ambiti:

  • Allegato 1 – Glossario dei termini e degli acronimi
  • Allegato 2 – Formati di file e riversamento
  • Allegato 3 – Certificazione di processo
  • Allegato 4 – Standard e specifiche tecniche
  • Allegato 5 – I metadati
  • Allegato 6 – Comunicazioni tra AOO di Documenti Amministrativi Protocollati.

Come recentemente dichiarato dall’AgID, il 4 novembre scorso le Linee guida sono state notificate all’Unione europea secondo quanto previsto dalla Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015. La procedura di notifica dovrebbe concludersi il 5 febbraio 2020.

REGOLE TECNICHE PER LA SOTTOSCRIZIONE ELETTRONICA DI DOCUMENTI AI SENSI DELL’ART. 20 DEL CAD

Come stabilito dall’art. 20 comma 1-bis del CAD, il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del c.c. […] previa identificazione informatica del suo autore attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire sicurezza, integrità, e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.

Le Linee guida regolamentano, dunque, la sottoscrizione di un documento on line in maniera dematerializzata, senza necessità che l’utente si doti di dispositivi per l’apposizione di firme: sarà sufficiente che si autentichi al proprio gestore di identità SPID. Il rispetto delle regole tecniche in questo ambito garantisce sicurezza, integrità, immodificabilità e riconducibilità del documento all’autore secondo quanto disposto dal CAD, consentendo il soddisfacimento del requisito della forma scritta.

LINEE GUIDA PER LA STESURA DEL PIANO DI CESSAZIONE DEL SERVIZIO DI CONSERVAZIONE DEI DOCUMENTI DIGITALI

Il piano di cessazione è un documento previsto all’articolo 24 del Regolamento (UE) n.  910/2014 del Parlamento europeo e del Consiglio (Regolamento eIDAS) del 23 luglio 2014. Tale articolo è applicabile ai conservatori accreditati in quanto richiamato dall’articolo 29 del CAD, Qualificazione e accreditamento, che, al comma 2, stabilisce che il richiedente l’accreditamento deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS.

Le Linee guida forniscono le modalità di stesura del piano di cessazione del servizio di conservazione sia nel caso di cessazione volontaria che nel caso di cessazione involontaria. L’ Allegato A: Piano di Cessazione del Servizio di Conservazione, parte integrante delle Linee guida, ha l’obiettivo, dichiarato nel documento, di guidare il conservatore […] nella stesura del piano di cessazione garantendo omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione.

In un contesto in cui le tecnologie evolvono con ritmi di crescita esponenziali e l’avvicendamento delle aziende sul mercato è un dato di fatto, queste Linee guida rappresentano uno strumento fondamentale per garantire la custodia di documenti che possono essere soggetti anche a conservazione permanente.

Seguiranno, in questo blog, ulteriori approfondimenti conseguenti alla entrata in vigore di tutte le Linee guida descritte.

Lo scorso mese di maggio, dopo il consueto periodo di consultazione pubblica, AgID ha emanato le “Linee Guida su acquisizione e riuso di software per le pubbliche amministrazioni”, in attuazione degli articoli 68 e 69 del Codice dell’Amministrazione Digitale.

Esse trattano due argomenti diversi ma correlati tra loro:

  1. stabiliscono le modalità ed i criteri con i quali un’amministrazione deve effettuare la valutazione comparativa per decidere le modalità di acquisizione di un software (in riferimento all’art. 68 del CAD – “Analisi comparativa delle soluzioni”);
  2. definiscono il percorso attraverso il quale le pubbliche amministrazioni mettono in riuso e riusano componenti di software applicativo (in riferimento all’art. 69 del CAD – “Riuso delle soluzioni e standard aperti”).

L’elemento di correlazione tra i due temi è rappresentato dal fatto che l’art. 68 del CAD individua nel riuso una delle modalità preferenziali di acquisto di software da parte di una PA.

Il riuso, prima dell’entrata in vigore delle nuove linee guida, era basato sul catalogo nazionale dei programmi riutilizzabili nella Pubblica Amministrazione gestito dall’AgID, abrogato dalle nuove linee guida. Le amministrazioni cedenti in riuso avevano la possibilità di pubblicare su tale catalogo i riferimenti documentati alle applicazioni di cui erano proprietarie. Le amministrazioni riusanti, a valle di un processo che passava attraverso la valutazione dell’indice di riusabilità determinato dall’AgID, e la determinazione degli indici di adeguatezza e di convenienza economica, definivano un vero e proprio contratto di riuso con le amministrazioni cedenti nel quale venivano indicati la tipologia e le modalità di riuso e le componenti applicative oggetto di riuso.

Le nuove linee guida delineano un percorso radicalmente diverso.

Tale percorso è sinteticamente descritto di seguito.

Amministrazione cedente

  • acquisisce la titolarità di tutti i diritti di proprietà intellettuale e industriale sul software commissionato;
  • individua un tipo di licenza aperta;
  • individua una piattaforma di code hosting;
  • pubblica sulla piattaforma di code hosting scelta il codice sorgente del software acquisito e la relativa documentazione tecnica utilizzando la licenza aperta individuata;
  • registra il software sulla piattaforma “Developers Italia” dove viene indicizzato e reso visibile alle altre PA.

Amministrazione riusante

  • individua il software di cui ha bisogno all’interno di “Developers Italia”;
  • acquisisce ed utilizza il software senza la necessità di sottoscrivere alcun contratto con l’mministrazione cedente grazie alla presenza di una licenza aperta;
  • effettua una valutazione dello stato del software e dell’applicabilità al proprio contesto;
  • effettua eventualmente le personalizzazioni necessarie;
  • diventa amministrazione cedente e rilascia, quindi, il relativo codice sorgente sotto licenza aperta nelle modalità sopra descritte.

Vorremmo porre l’attenzione su due aspetti che emergono da questa nuova modalità di gestione del riuso applicativo.

C’è una stretta relazione tra riuso e open source: le amministrazioni saranno obbligate ad utilizzare licenze aperte per rilasciare il software di cui sono proprietarie e dovranno prendere dimestichezza con le piattaforme di code hosting. Nell’Allegato A delle linee guida vengono riportate alcune tra le più diffuse tra esse che rispondono ai requisiti delle linee guida.

C’è la volontà di facilitare, e quindi incentivare, il riuso riducendo al minimo le interazioni tra l’amministrazione cedente e quella riusante. Tale obiettivo ha ricadute sicuramente positive sulla semplificazione e velocizzazione del processo complessivo. Va però tenuto in considerazione anche un altro aspetto: relativamente ad uno specifico tema, le amministrazioni non hanno solo la necessità di condividere il software applicativo attraverso il riuso. Esse hanno altresì la necessità di condividere la propria esperienza, le best practices, l’approccio, i risultati ottenuti, i miglioramenti resisi necessari nelle fasi di esercizio, insomma il “progetto” in tutti i suoi aspetti multidisciplinari.

Alle azioni contenute nelle linee guida finalizzate ad ottenere vantaggi di efficienza attraverso la semplificazione del processo di riuso, dunque, andrebbero affiancate altrettante iniziative di impulso ad un dialogo tra amministrazioni finalizzato alla condivisione di esperienze e progetti di successo.