Il 12 agosto 2020 AgID ha dato notizia della pubblicazione del Piano triennale per l’informatica nella Pubblica amministrazione 2020-2022. Si tratta del terzo Piano triennale pubblicato dall’AgID, il primo che ha visto una stretta collaborazione tra l’Agenzia e il Dipartimento per la trasformazione digitale.

La continuità con i Piani precedenti

Il Piano, pur ponendosi in linea con i due Piani precedenti, sin dall’Executive Summary dichiara l’evoluzione in senso pragmatico  del documento, redatto con l’obiettivo di individuare le azioni necessarie per promuovere la trasformazione digitale del Paese: La presente edizione rappresenta la naturale evoluzione dei due Piani precedenti: laddove la prima edizione poneva l’accento sull’introduzione del Modello strategico dell’informatica nella PA e la seconda […] si proponeva di dettagliare l’implementazione del modello, questa edizione si focalizza sulla realizzazione delle azioni previste, avendo – nell’ultimo triennio – condiviso con le amministrazioni lo stesso linguaggio, le stesse finalità e gli stessi riferimenti progettuali.

Il documento dichiara il rafforzato raccordo con la strategia europea tesa al miglioramento dell’accesso da parte di cittadini e imprese a beni e servizi online e alla evoluzione di reti e servizi digitali finalizzata a favorire la crescita dell’economia digitale del continente. Gli obiettivi del Piano sono dunque dichiaratamente basati sulla programmazione europea 2021-2027, sui principi dell’eGovernement Action Plan 2016-2020 e sull’eGovernement Declaration di Tallin (2017-2021). Sempre in linea con i piani precedenti, il documento evidenzia la più stretta collaborazione con la pubblica amministrazione: Il Piano Triennale 2020-2022 è nella sua fase di consolidamento: alla sua terza edizione ha visto una partecipazione attiva della Pubblica Amministrazione locale, in linea con la strategia bottom-up prefigurata nelle edizioni precedenti. Anche questa edizione, infatti, è stata costruita con il coinvolgimento attivo e strutturato delle pubbliche amministrazioni centrali e degli enti locali, che hanno condiviso la redazione e discussione in bozza del presente documento.

Questa richiamata partecipazione attiva da parte della pubblica amministrazione centrale e locale alla stesura del Piano è l’elemento che ha consentito di elaborare un documento particolarmente pragmatico, ricco di obiettivi ambiziosi ma sostenibili proprio perché costruiti sull’esperienza, sul confronto e sulle esigenze delle amministrazioni destinatarie.

Le novità

Le novità introdotte possono essere raggruppate in due ordini: novità sostanziali e novità formali. Le prime sono relative all’obiettivo dichiarato di realizzazione delle azioni necessarie per l’attuazione del Piano, le seconde sono relative alla stesura di un documento più snello rispetto ai precedenti sia per scelte redazionali, si pensi alla scelta di non riportare la descrizione di tutte le norme citate ma di creare dei permalink di rinvio, sia per scelte legate all’obiettivo medesimo: trattandosi di un Piano dichiaratamente attuativo, anche la struttura doveva rispondere alla pragmaticità dichiarata.

Nello specifico, il Piano descrive le azioni che AgID, Dipartimento per la trasformazione digitale, altri soggetti istituzionali e pubblica amministrazione devono attuare per raggiungere gli obiettivi indicati, dunque non un elenco onnicomprensivo di tutte le azioni da porre in essere per la trasformazione digitale del Paese, bensì una focalizzazione su determinate azioni per il raggiungimento di determinati obiettivi in tempi determinati. In linea con questi elementi, il Piano risulta strutturato in tre parti per un totale di nove capitoli, cui si aggiungono le sezioni non numerate (executive summary, strategia e principi) che compongono la prima parte. Quest’ultima traccia un quadro complessivo del Piano, la seconda parte riguarda le componenti tecnologiche, la terza parte la governance. Con l’eccezione della prima parte, dunque, i capitoli della seconda e della terza sono organizzati secondo la medesima struttura: contesto normativo e strategico, obiettivi e risultati attesi, cosa devono fare AgID, Dipartimento per la trasformazione digitale e altri soggetti istituzionali, cosa devono fare le PA, riferimenti alla “Strategia per l’innovazione tecnologica e la digitalizzazione del Paese 2025”. Gli obiettivi sono tutti numerati e per ciascuno di essi sono elencati i relativi risultati attesi in un periodo di tempo di cui si definiscono i confini.

Le novità principali che emergono nella prima parte del Piano sono relative alla semplificazione del Modello strategico e ad una lista più corposa di principi, semplificazione resa possibile grazie al progressivo processo di condivisione, e affinamento, con le amministrazioni, del linguaggio, delle finalità e dei riferimenti progettuali. Nello specifico, il Modello semplificato si compone di quattro layer orizzontali (servizi, dati, piattaforme e infrastrutture) e di due elementi trasversali (interoperabilità e sicurezza informatica). A ciascuno dei sei elementi che compongono il Modello è dedicato un capitolo nella seconda parte del Piano. L’ultimo capitolo, Indicazioni per le PA, tira le somme sulle azioni che la PA devono mettere in campo restituendo, attraverso sei figure, le agende delle PA collocate su asset temporali graficamente illustrati.

Per ciò che attiene ai principi, si segnalano il concetto del dato pubblico come bene comune e il riferimento allo sviluppo di servizi digitali che favoriscano il lavoro agile. Del dato pubblico come bene come si dirà a seguire, per ciò che attiene il lavoro agile, la necessità, così come si è manifestata in questo periodo di emergenza sanitaria, di disporre di piattaforme, infrastrutture e servizi che rendano possibili nuove modalità di lavoro, da un lato ha evidenziato l’importanza dell’evoluzione digitale del Pese, dall’altro rappresenta essa stessa un’occasione per accelerare tale processo. Come ha dichiarato il direttore dell’AgID, Francesco Paorici, in occasione di Forum PA 2020, il piano stesso è nato in un contesto di lavoro agile: Circa la metà della stesura [del Piano] è stata sviluppata durante il lockdown, il lockdown non ci ha rallentati e credo che questo periodo sfortunato abbia evidenziato l’importanza del digitale, il valore di disporre di servizi online che funzionino bene, che siano facilmente fruibili e accessibili.

Ulteriori elementi di novità enunciati sin dall’Executive Summary, sono la misurazione e la qualità dei risultati attesi. L’elemento innovativo di questo Piano sta proprio nel forte accento posto sulla misurazione di tali risultati, introducendo così uno spunto di riflessione e una guida operativa per tutte le amministrazioni: la cultura della misurazione e conseguentemente della qualità dei dati diventa uno dei motivi portanti di questo approccio. Il capitolo 8, Governare la trasformazione digitale, descrive, tra le altre cose, le attività di monitoraggio previste dal Piano, coerentemente con il mandato stabilito dall’art. 14-bis lettera c del Codice dell’Amministrazione digitale. Il forte richiamo ai principi di misurazione e qualità e alle connesse attività di monitoraggio rappresenta un elemento significativo che se da un lato può fungere da stimolo per il raggiungimento degli obiettivi con chiari risvolti motivazionali, dall’altro può consentire di scandire adeguatamente le attività al fine di cogliere obiettivi che siano per ciò stesso percepiti, oltre che dichiarati, come raggiungibili.

Alcune riflessioni

Da questa prima panoramica sul Piano, emergono alcuni concetti chiave che inquadrano obiettivi e azioni in un contesto rinnovato. Concetti quali partecipazione attiva, condivisione, valori, bene comune, sostenibilità, semplificazione, accessibilità, misurazione, qualità rappresentano le caratteristiche proprie di una PA rinnovata. Tale rinnovamento è in larga parte da concretizzare sia per ciò che attiene agli strumenti sia (e soprattutto) per ciò che attiene all’approccio culturale attraverso il quale favorire, per non dire creare, le condizioni per un reale avanzamento digitale del Paese. Porre l’utente al centro dell’azione di trasformazione del Paese, come il quadro normativo europeo richiamato dal Piano impone, vuol dire pensare alla progettazione di sistemi, servizi e infrastrutture che agevolino il rapporto tra PA e cittadini ma, prima ancora, vuol dire pensare e progettare strategie condivise di valorizzazione e tutela del dato (in tutte le sue forme) e dei documenti nella consapevolezza che il digitale non rappresenta il cambiamento bensì lo strumento attraverso il quale perseguire il cambiamento. La centralità del dato, strettamente legata alla centralità dell’utente che attraverso il dato in quanto bene pubblico esercita i propri diritti, deve guidare la razionalità delle scelte di condivisione e cooperazione, necessarie per attuare i principi enunciati dal Piano medesimo. La agognata interoperabilità tecnologica, indispensabile per la condivisione dei dati tra le pubbliche amministrazioni, deve cioè prima ancora vestire i panni della condivisione di esperienze, progetti e best practice in relazione proprio al principio secondo cui i dati sono un bene pubblico.

La multidisciplinarità più volte richiamata è il quadro metodologico all’interno del quale si devono inscrivere le azioni tese al cambiamento. Essa deve essere intesa come rete di rapporti di complementarietà tra discipline differenti ma convergenti verso l’analisi e la risoluzione di problemi di interesse pubblico. Il giusto equilibrio e la corretta interconnessione tra le discipline di organizzazione del sapere e della conoscenza e la tecnologia consentirà di tradurre realmente i principi in azioni concrete, dirette e mirate al cambiamento. Prendendo in prestito il pensiero di Ivano Dionigi che a sua volta cita Steve Jobs possiamo dire che <<La tecnologia da sola non basta. È la tecnologia sposata con le scienze umane, che produce i risultati che fanno cantare il nostro cuore>> (I. Dionigi, Osa sapere. Contro la paura e l’ignoranza, Solferino, Milano 2019, p. 62).

 

Il 7 maggio 2020 è entrata in vigore la nuova versione dello standard UNI SInCRO, norma UNI 11386:2020 “Supporto all’interoperabilità nella conservazione e recupero degli oggetti digitali (SInCRO)”, norma tecnica che specifica le caratteristiche del cosiddetto file di chiusura dei pacchetti di conservazione.

Prescindendo in questa sede da una analisi tecnica della norma e delle novità rispetto alla prima versione, ciò che interessa qui evidenziare è il valore dello standard, la sua progressiva evoluzione da standard di riferimento per le procedure di migrazione tra sistemi di conservazione diversi a norma pienamente inserita nel contesto legislativo nazionale, secondo un processo graduale che coinvolge i DPCM 3 dicembre 2013 sulla conservazione e 13 novembre 2014 attualmente in vigore, linee guida e circolari di chiarimento prodotte negli anni da AgID, quindi le emanande “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” ai sensi dell’art. 71 del CAD, le implicazioni circa l’obbligo di rispetto della norma tecnica in relazione alla emanazione di tali “Linee guida”.

Lo standard e la sua applicazione

Come ampiamente illustrato da Giovanni Michetti in un saggio di qualche anno fa (cfr. G. Michetti, Lo standard UNI SInCRO: un supporto alla conservazione digitale, <<Archivi e Computer>>, 2011, pp. 40-53), la norma, alla sua seconda versione, è stata pubblicata per la prima volta nel 2010 a cura dell’Ente nazionale italiano di unificazione (UNI), in seno alla Commissione tecnica Documentazione e informazione (CT14), sottocommissione Archivi e gestione documentale (SC11), con l’obiettivo di costituire, nel processo di conservazione digitale a lungo termine, un elemento a supporto dell’interoperabilità di dati e sistemi.  La nascita del SInCRO, infatti, avviene su sollecitazione di operatori del settore con il sostegno dell’allora DigitPA al fine di perfezionare le indicazioni sulla conservazione contenute nell’abrogata Deliberazione CNIPA del 19 febbraio 2004 riportante “Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali […]”. La Deliberazione CNIPA, pur rappresentando nel panorama legislativo italiano un tassello importante nella normazione dell’intero processo di gestione e conservazione di documenti digitali, non affrontava tutti i nodi della conservazione limitandosi a proporre strategie mirate alla conservazione sostitutiva, alla conservazione cioè di documenti analogici e informatici su qualsiasi supporto informatico, concentrandosi sugli aspetti legati alle procedure e alle responsabilità degli attori coinvolti ma non sulla interoperabilità di dati e sistemi. In particolare ci si rese conto che la struttura dell’indice dei pacchetti di archiviazione era diversa tra i vari conservatori a discapito proprio della interoperabilità: per la Deliberazione, infatti, era sufficiente che si riportasse su di un file, in qualsiasi formato scelto a discrezione del conservatore, l’impronta dei documenti oggetto di conservazione.

In generale, la mancanza di interoperabilità rappresenta un limite sia rispetto all’evoluzione dei sistemi (i documenti devono poter sopravvivere ai sistemi e agli strumenti attraverso i quali sono prodotti) sia rispetto all’accesso (i documenti devono poter essere accessibili nel tempo, sia come fonte di diritti sia come fonte di studio e ricerca). Dunque, pur con i limiti accennati, la Deliberazione CNIPA risulta alla base delle scelte modellistiche del SInCRO.

Lungi dall’essere una norma di descrizione archivistica degli oggetti sottoposti a conservazione, il SInCRo definisce l’insieme dei dati, la loro semantica e la loro struttura, a supporto della conservazione dei file, intendendo il file come elemento logico e materiale di formazione di un documento o di aggregazione di più documenti. Come è noto, la norma definisce gli elementi dell’Indice di Conservazione (IdC), nella nuova versione Preservation index (PIndex), ovvero del file associato a ciascun Volume di conservazione (VdC), nella nuova versione dello standard Preservation volume (Pvolume), necessari per descrivere sommariamente i file contenuti nel PIndex. Tali informazioni devono essere strutturate secondo lo Schema xml previsto dalla norma medesima.

Il DPCM 3 dicembre 2013 sulla conservazione, attualmente in vigore, pur non introducendo in maniera incontrovertibile il rispetto del SInCRO, individua nell’allegato 3, la norma UNI 11386:2010 come uno degli standard consigliati per la conservazione dei documenti informatici riportando poi, nell’allegato 4, la struttura del pacchetto di archiviazione basato sullo standard UNI 11386:2010 ma ad esso non perfettamente sovrapponibile. La presenza nel DPCM di un riferimento al SInCRO come standard consigliabile e al contempo di una struttura del pacchetto di archiviazione che ha come riferimento il SInCRO ma che al SInCRO non è perfettamente sovrapponibile, basti pensare soltanto alla traduzione in lingua italiana delle etichette dello Schema xml del SInCRO, ha generato un’aporia tra le due strutture di dati con conseguente difficoltà nella interoperabilità e incertezza da parte dei conservatori circa l’osservanza del DPCM o della norma tecnica.

In alcuni documenti successivi al DPCM del 2013 (Circolare AgID n. 65 del 10 aprile 2014; Linee Guida per la conservazione dei documenti informatici, dicembre 2015; Lista di riscontro, 14 aprile 2017) seppure con forza normativa inferiore al DPCM medesimo, AgID ha cercato di indirizzare, in special modo i conservatori accreditati, verso il rispetto della norma tecnica più che della struttura del pacchetto di archiviazione presente nel DPCM.

E adesso? Vecchia o nuova versione del SInCRO?

Come detto in apertura, il 7 maggio, senza soluzione di continuità con la versione 2010, è entrata in vigore la versione 2020 del SInCRO. Uno dei primi interrogativi per coloro che si occupano a vario titolo di conservazione è relativo alla versione dello standard da utilizzare: la versione del 2010 espressamente citata nel DPCM oppure la versione 2020 non presente nella normativa nazionale.

In generale essendo l’adozione delle norme tecniche facoltativa, l’entrata in vigore della norma UNI 11386:2020 indica innanzitutto che tale norma è valida per l’Ente di normazione. Il passaggio successivo a questa riflessione di carattere generale coincide con il fatto che la norma tecnica, con esplicito riferimento alla versione 2010, è richiamata dalla normativa nazionale (allegato 3 del DPCM) tuttora in vigore.

Ma allora, attualmente, norma UNI 11386:2010 o norma UNI 11386:2020?  Il dilemma sarà definitivamente risolto con l’entrata in vigore delle Linee guida sulla formazione, gestione e conservazione dei documenti informatici” ai sensi dell’art. 71 dal CAD che, se confermano quanto presente nelle bozze rese pubbliche, stabiliscono che L’interoperabilità tra i sistemi di conservazione dei soggetti che svolgono attività di conservazione è garantita dall’applicazione delle specifiche tecniche del pacchetto di archiviazione definite dalla norma UNI 11386 -Standard SInCRO – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali. Come anticipato in un precedente articolo in questo blog, le “Linee guidaabrogheranno, tra gli altri, anche il DPCM del 2013 sulla conservazione. Esse, facendo riferimento allo standard SInCRO e non ad una specifica versione, consentiranno da un lato di superare la difformità tra lo Schema xml dell’allegato 4 del DPCM del 2013 e lo Schema xml del SInCRO a vantaggio di quest’ultimo, dall’altro obbligheranno tutti i conservatori ad adeguarsi, entro i 180 giorni previsti dalle “Linee guida” medesime, all’ultima versione del SInCRO, quella cioè più aggiornata. I conservatori dovranno essere in grado di gestire entrambe le versioni senza necessità di riversare gli indici prodotti con la versione 2010 secondo la versione 2020.

Fino ad allora, come chiarito di recente anche da ANORC, i conservatori accreditati che erogano il servizio di conservazione dovranno continuare a riferirsi alla versione 2010 del SInCRO perché esplicitamente citata nella legislazione nazionale, i soggetti che fanno conservazione in house possono scegliere di adeguarsi al nuovo SInCRO.

Pur nella consapevolezza della incertezza dovuta a un quadro normativo non ancor arrivato a compimento e sempre in naturale continua evoluzione sulle tematiche connesse con la gestione dei documenti informatici e delle loro relazioni, l’emanazione di una norma tecnica, che cerca di migliorare e superare alcuni aspetti legati alla conservazione delle memorie digitali, è da inquadrarsi in un contesto nazionale, per la verità sempre più sovranazionale, all’interno del quale i dati, i documenti e le loro relazioni rappresentano dei valori da conservare e preservare nel tempo, non come patrimonio di soggetti singoli ma come bene comune da rendere disponibile e fruibile. È necessario dunque che parole ed espressioni come interoperabilità, condivisione, collaborazione, riuso, best practice, al di là delle implicazioni tecniche e tecnologiche, costituiscano il paradigma di riferimento all’interno di un quadro valoriale che faccia della comunicazione in ambiente digitale l’obiettivo da perseguire a garanzia dei diritti di tutti.

27 APRILE 2020

Con Determinazione n. 157 del 23 marzo 2020, l’Agenzia per l’Italia Digitale (AgID) ha emanato le linee guida contenenti “Regole tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”.

Esse trovano origine dalla necessità di regolamentare le modifiche dell’articolo 20 del Codice dell’amministrazione digitale con le quali è stata introdotta, nel nostro ordinamento giuridico, una nuova modalità di sottoscrizione elettronica del documento informatico, comunemente denominata “firma SPID”.

Nato nel 2014 ed operativo dal 2016, SPID, Sistema Pubblico di Identità Digitale, consente l’accesso ai servizi on line della pubblica amministrazione e dei soggetti privati aderenti con un’unica identità digitale, utilizzabile con qualunque device. Il sito Agid ad esso dedicato ci dice che SPID ha rilasciato circa 6,5 milioni di identità, con un incremento annuo pari a circa il 60%. Attualmente i gestori di identità (IdP) digitali sono 9 e le amministrazioni pubbliche che ne consentono l’utilizzo oltre 4.000. È altresì prevedibile che la contingente situazione legata alla diffusione del coronavirus e la conseguente crescente necessità di accesso a servizi on line, tra i quali l’accesso alle misure di sostegno al reddito previste dal Decreto Cura Italia del marzo 2020, porteranno ad una ulteriore diffusione dell’utilizzo di tale strumento.

Il comma 1-bis del citato articolo 20 del CAD aggiunge, dunque, alle già previste firme digitali, firme elettroniche qualificate e firme elettroniche avanzate, una modalità di sottoscrizione apposta “… previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.” A tale sottoscrizione la norma attribuisce il valore della forma scritta ad substantiam e l’efficacia fino a querela di falso prevista dall’articolo 2702 del Codice Civile.

Ai fini della digitalizzazione e dematerializzazione dei processi in ambito pubblico e privato, le citate novità introdotte dal CAD e dalle regole tecniche sono rilevanti: d’ora in poi i cittadini potranno sottoscrivere un documento proposto da un fornitore di servizi, ad esempio un contratto, semplicemente con l’utilizzo delle proprie credenziali SPID, senza la necessità di disporre e utilizzare altri dispositivi di firma digitale (token USB, smart card, etc…).

Le regole tecniche descrivono dettagliatamente il processo di firma, individuando due sottoprocessi, predisposizione e sottoscrizione, e identificando tre attori:

  • l’utente, ovvero chi deve sottoscrivere il documento;
  • il SP – “Service Provider”, ovvero il fornitore di servizi nella federazione SPID, che agisce nel sottoprocesso di predisposizione;
  • l’IdP – “Identity Provider”, ovvero il gestore di identità digitali nel contesto della federazione SPID, che agisce nel sottoprocesso di sottoscrizione.

Il sottoprocesso di predisposizione prevede quanto segue:

  1. l’utente accede al servizio esposto dal SP utilizzando le proprie credenziali SPID;
  2. Il SP predispone il documento da sottoscrivere, che può prevedere anche più firme, apponendovi il proprio sigillo elettronico qualificato (QSeal) e lo sottopone all’utente per la presa visione;
  3. previo esplicito consenso dell’utente, Il SP invia il documento all’IdP con il quale l’utente ha eseguito l’autenticazione.

Il sottoprocesso di sottoscrizione prevede quanto segue: l’IdP

  1. autentica nuovamente l’utente con credenziali di livello 2 o superiore;
  2. consente all’utente di visionare l’intero documento;
  3. richiede all’utente il consenso esplicito alla sottoscrizione;
  4. appone il proprio sigillo elettronico qualificato, o più sigilli qualora siano previste più firme. Per ogni firma inserisce un “timbro digitale” visibile recante le informazioni previste (cognome e nome del firmatario, etc…);
  5. propone all’utente l’invio del file tramite posta elettronica e/o di scaricarne una copia;
  6. invia il documento sottoscritto al SP;
  7. elimina dai propri sistemi ogni traccia del documento sottoscritto, tranne nei casi in cui l’utente abbia sottoscritto con l’IdP accordi che non lo consentano, ad esempio relativi alla conservazione digitale.

Possono utilizzare tali modalità di firma solo i possessori di identità digitali SPID per persona fisica o per uso professionale, non per persona giuridica.

Il servizio prevede la possibilità che un utente sottoscriva il documento in più punti attraverso un’unica sezione di autenticazione SPID e che più utenti sottoscrivano il medesimo documento in tempi e con sessioni di autenticazioni SPID distinte.

Il documento predisposto per la firma da parte del SP deve essere un PDF/A-2°, secondo lo standard ISO/IEC 32000-1.

La conformità al GDPR è garantita dal fatto che l’utente deve esprimere il proprio consenso alla sottoscrizione due volte, sulla piattaforma del SP in fase di predisposizione del documento e sulla piattaforma dell’IdP in fase di sottoscrizione.

Da evidenziare, infine, l’utilizzo del sigillo elettronico qualificato da parte del SP e dell’IdP. Strumento per certi versi ancora poco noto e poco utilizzato, il sigillo è stato introdotto nel nostro ordinamento con il regolamento eIDAS, Regolamento UE n. 910/2014. Il sigillo elettronico qualificato garantisce l’origine e l’integrità dei dati, e dunque del documento informatico, ha forti analogie con la firma elettronica, con la quale condivide definizione e scopo operativo finale ma dalla quale si differenzia principalmente per il fatto che è riconducibile a una persona giuridica, non ad una persona fisica. Il suo utilizzo, come garanzia dell’integrità del documento informatico, è evidente, ad esempio, per particolari tipologie di documenti: fatture elettroniche, visure camerali, ricevute dei sistemi di PEC possono essere “sigillate” con tale strumento e acquisire efficacia probatoria comunitaria.

Le linee guida danno indicazioni su molteplici altri aspetti di natura tecnica della firma SPID, relativi, in particolare, al documento sottoscritto, alla nomenclatura dei documenti, alle modalità di comunicazione tra SP e IdP e gli algoritmi crittografici da utilizzare.

Si prevede che gli scenari di utilizzo della modalità di sottoscrizione tramite SPID riguarderanno prevalentemente documenti relativi alla contrattualizzazione di forniture di servizi, soprattutto in contesti in cui si fa uso di smart contract, ma anche in processi più tipicamente amministrativi, quali ad esempio i processi riguardanti la gestione del personale. Ogni sottoscrizione apposta nelle modalità descritte è identificata univocamente, così da poter essere “agganciata” a specifiche clausole contrattuali.

Le agevolazioni per gli utenti e per i fornitori di servizi appaiono evidenti: con l’utilizzo delle sole credenziali SPID sarà possibile sottoscrivere documenti senza essere costretti a ricorrere ad altri strumenti di firma, consentendo una completa dematerializzazione dei processi. Da precisare che, al momento, la norma prevede una adesione volontaria a questo servizio, il suo successo è quindi condizionato dalla reale volontà di adesione da parte dei SP.

Nelle ultime settimane, l’AgID ha pubblicato, in consultazione pubblica, alcune Linee guida nel rispetto di quanto stabilito dall’articolo 71 del Codice dell’Amministrazione digitale. In particolare, l’attività dell’AgID si è concentrata sulla elaborazione e successiva pubblicazione in consultazione dei seguenti documenti:

  • Linee guida sulla formazione, gestione e conservazione dei documenti informatici
  • Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD
  • Linee Guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali.

La consultazione pubblica per le Linee guida sulla formazione, gestione e conservazione dei documenti informatici si è chiusa il 16 novembre 2019, quella per la sottoscrizione elettronica di documenti e per la stesura del piano di cessazione si chiuderà il 20 dicembre 2019.

Lo strumento delle Linee guida, in luogo delle Regole tecniche, è stato introdotto con l’art. 63 del D.Lgs. n. 127/2017 che ha modificato, tra gli altri, l’art. 71 del Codice dell’Amministrazione digitale. L’obiettivo della modifica all’art. 71, ovvero individuare uno strumento di regolazione più flessibile rispetto alle regole tecniche previste dall’originario D.Lgs. n. 82/2005, risponde a quanto stabilito dalla Legge di delega al Governo in materia di riorganizzazione delle amministrazioni pubbliche (L. n. 124/2015) che all’articolo 1, comma 1, lettera m) elenca, tra i principi e i criteri direttivi delle modifiche al CAD,  quello di semplificare le modalità di adozione delle regole tecniche e assicurare la neutralità tecnologica delle disposizioni del CAD, semplificando allo stesso tempo il CAD medesimo in modo che contenga esclusivamente principi di carattere generale. A tal proposito, il Consiglio di Stato nel parere sullo schema di decreto legislativo correttivo del CAD, Consiglio di Stato, Commissione speciale, 10 ottobre 2017, n. 2122, osserva che l’introduzione delle Linee guida appare in linea con il principio di neutralità tecnologica enunciato della Legge di delega e, in assenza di specifici rilievi da parte dell’Amministrazione circa la natura delle Linee guida, attribuisce ad esse una valenza erga omnes e un carattere di vincolatività.

La procedura di emanazione delle Linee guida risulta estremamente semplificata rispetto alla procedura originariamente prevista per le Regole tecniche. Le Linee guida sono emanate da AgID previa consultazione pubblica, sentite le amministrazioni competenti e il Garante per la protezione dei dati personali, acquisito il parere della Conferenza unificata. Esse divengono efficaci dopo la pubblicazione nel sito internet istituzionale dell’AgID.

LINEE GUIDA SULLA FORMAZIONE, GESTIONE E CONSERVAZIONE DEI DOCUMENTI INFORMATICI

Le Linee guida sulla formazione, gestione e conservazione dei documenti informatici, attese da tempo, sono state elaborate con il duplice obiettivo di aggiornare le regole tecniche in materia di formazione, protocollazione, gestione e conservazione dei documenti informatici e di riunificare in un corpus normativo unico le regole tecniche e le circolari in materia attualmente in vigore.

In particolare, a partire dalla data della loro applicazione, centottantesimo giorno successivo alla loro entrata in vigore, le Linee guida abrogheranno totalmente o parzialmente regole tecniche e circolari come di seguito indicato:

abrogazioni

Rispetto a tali abrogazioni, si può osservare quanto segue:

Osservazioni mobile

Da notare che del D.P.C.M. 3 dicembre 2013, Regole tecniche per il protocollo informatico, restano in vigore gli articoli emanati sulla base del Testo unico in materia di documentazione amministrativa, D.P.R. n. 445/2000.

La metodologia seguita, finalizzata ad ottenere un unicum normativo, si basa su un approccio olistico volto a rappresentare le interdipendenze tra le fasi della gestione documentale:

  • formazione del documento
  • gestione
  • conservazione.

La struttura del documento, base normativa più sei allegati, risponde alla dichiarata necessità di avere linee guida flessibili, che siano cioè facilmente adattabili ai cambiamenti tecnologici. I sei allegati sono relativi ai seguenti ambiti:

  • Allegato 1 – Glossario dei termini e degli acronimi
  • Allegato 2 – Formati di file e riversamento
  • Allegato 3 – Certificazione di processo
  • Allegato 4 – Standard e specifiche tecniche
  • Allegato 5 – I metadati
  • Allegato 6 – Comunicazioni tra AOO di Documenti Amministrativi Protocollati.

Come recentemente dichiarato dall’AgID, il 4 novembre scorso le Linee guida sono state notificate all’Unione europea secondo quanto previsto dalla Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015. La procedura di notifica dovrebbe concludersi il 5 febbraio 2020.

REGOLE TECNICHE PER LA SOTTOSCRIZIONE ELETTRONICA DI DOCUMENTI AI SENSI DELL’ART. 20 DEL CAD

Come stabilito dall’art. 20 comma 1-bis del CAD, il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del c.c. […] previa identificazione informatica del suo autore attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire sicurezza, integrità, e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.

Le Linee guida regolamentano, dunque, la sottoscrizione di un documento on line in maniera dematerializzata, senza necessità che l’utente si doti di dispositivi per l’apposizione di firme: sarà sufficiente che si autentichi al proprio gestore di identità SPID. Il rispetto delle regole tecniche in questo ambito garantisce sicurezza, integrità, immodificabilità e riconducibilità del documento all’autore secondo quanto disposto dal CAD, consentendo il soddisfacimento del requisito della forma scritta.

LINEE GUIDA PER LA STESURA DEL PIANO DI CESSAZIONE DEL SERVIZIO DI CONSERVAZIONE DEI DOCUMENTI DIGITALI

Il piano di cessazione è un documento previsto all’articolo 24 del Regolamento (UE) n.  910/2014 del Parlamento europeo e del Consiglio (Regolamento eIDAS) del 23 luglio 2014. Tale articolo è applicabile ai conservatori accreditati in quanto richiamato dall’articolo 29 del CAD, Qualificazione e accreditamento, che, al comma 2, stabilisce che il richiedente l’accreditamento deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS.

Le Linee guida forniscono le modalità di stesura del piano di cessazione del servizio di conservazione sia nel caso di cessazione volontaria che nel caso di cessazione involontaria. L’ Allegato A: Piano di Cessazione del Servizio di Conservazione, parte integrante delle Linee guida, ha l’obiettivo, dichiarato nel documento, di guidare il conservatore […] nella stesura del piano di cessazione garantendo omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione.

In un contesto in cui le tecnologie evolvono con ritmi di crescita esponenziali e l’avvicendamento delle aziende sul mercato è un dato di fatto, queste Linee guida rappresentano uno strumento fondamentale per garantire la custodia di documenti che possono essere soggetti anche a conservazione permanente.

Seguiranno, in questo blog, ulteriori approfondimenti conseguenti alla entrata in vigore di tutte le Linee guida descritte.

Il 6 dicembre scorso la Ragioneria generale dello Stato ha pubblicato la versione 4.2 delle Regole tecniche per l’emissione e la trasmissione degli ordini elettronici tramite il Nodo di smistamento ordini (NSO), al fine di correggere errori e fornire integrazioni su alcuni aspetti.

Proseguendo gli approfondimenti proposti in questo blog sull’argomento, concentriamo l’attenzione su due punti che sono stati oggetto, tra gli altri, di chiarimento da parte della Ragioneria:

  • istruzioni sull’indicazione degli indirizzi
  • istruzioni per l’integrazione tra ordine e fattura elettronica

ISTRUZIONI SULL’INDICAZIONE DEGLI INDIRIZZI

Come anticipato in un precedente articolo, diversamente da quanto accade per il processo di fatturazione elettronica, il processo di gestione degli ordini elettronici attraverso NSO non prevede alcuna registrazione del canale telematico prescelto (codice destinatario o indirizzo PEC) per la ricezione degli ordini. La versione 4.2 delle Regole tecniche chiarisce ulteriormente questo punto, dedicando il paragrafo 5.7 Indirizzi dei clienti e dei fornitori alla descrizione della composizione degli indirizzi di clienti e fornitori, sia che siano attestati su NSO sia che siano attestati su una terza parte, nel caso specifico il riferimento è alla rete PEPPOL. La premessa, valida in entrambi i casi, è che, affinché i messaggi siano recapitati correttamente, è necessario che l’indirizzo elettronico del destinatario presente sulla busta di spedizione sia corretto, non essendo prevista la registrazione dell’indirizzo telematico prescelto. È necessario, pertanto, che chi emette l’ordine conosca l’indirizzo di recapito e lo riporti correttamente sulla busta di spedizione.

In generale, la struttura di un indirizzo è la seguente:

<type of identifier>:<actual identifier>

Il type of identifier (tipo di identificatore) è un codice di quattro caratteri che permette di individuare il dominio di identificazione del mittente e del destinatario dell’ordine. Il type of identifier NSO è NSO0, il type of identifier di indirizzi rilasciati da una terza parte è un codice, sempre a quattro caratteri, ma diverso da NSO0 e contenuto in una apposita code list. La code list viene alimentata con i type of identifier che le terze parti, nel caso in esame PEPPOL, devono dichiarare di utilizzare, nel rispettivo dominio di identificazione, in fase di accreditamento.

L’ actual identifier (identificativo effettivo) è un codice specifico che dipende dal dominio di identificazione e dal tipo di soggetto, pubblico o privato.

Pertanto:

se il dominio di identificazione è NSO, l’actual identifier

  • per le amministrazioni pubbliche è il codice IPA a sei caratteri;
  • per i soggetti privati è il codice di otto caratteri rilasciato da SdI a seguito del processo di accreditamento dei canali Sftp o web service oppure l’indirizzo PEC

se il dominio di identificazione è una terza parte, l’actual identifier sarà

  • un codice specifico non conosciuto da NSO
  • un codice rilasciato da un soggetto che identifica la terza parte, ad esempio un intermediario PEPPOL.

Affinché NSO possa fungere da postino e recapitare il messaggio al destinatario svolgendo anche la funzione di trasmissione oltre alle funzioni di identificazione e validazione, è necessario che conosca almeno il type of identifier del destinatario, in maniera tale che sappia se può provvedere a recapitare l’ordine o se, invece, l’ordine debba essere recapitato dalla rete PEPPOL.

Qualora non dovesse conoscere il dominio su cui è attestato il ricevente, NSO procederà alla sola validazione del messaggio.

Tirando le somme di quanto detto, le possibilità per la composizione degli indirizzi dei clienti e dei fornitori sono quelle di seguito esemplificate.

Indirizzi dei clienti

<NSO0>:<codice IPA> se il dominio di identificazione è NSO e il cliente è una PA.

<0201>:<codice IPA> se il dominio di identificazione è PEPPOL e il cliente è un PA. 0201 è il type of identifier per le PA attestate su rete PEPPOL.

Indirizzi dei fornitori

<NSO0>:<codice a 8 caratteri> se il dominio di identificazione è NSO e il canale attivato per comunicare con NSO è un canale Sftp o webservice;

<NSO0>:<@pec> se il dominio di identificazione è NSO e la comunicazione con NSO avviene attraverso il canale PEC;

<type identifier da code list>:<identificativo attribuito dalla rete PEPPOL> se il dominio di identificazione è la rete PEPPOL. In questo caso, se il fornitore ha identificativo fiscale italiano, i codici utilizzati da PEPPOL sono <9906> e <9907> come di seguito indicato:

  • <9906>:<partita IVA>
  • <9907>:<codice fiscale>

Nel caso in cui il fornitore fosse la PA o un gestore di servizi pubblici, l’indirizzo può assumere una delle forme descritte per gli indirizzi dei clienti.

Poiché, come specificato dalle Regole tecniche, non è possibile pubblicare gli indirizzi dei fornitori senza preventiva autorizzazione, fino a quando tali indirizzi non saranno resi disponibili nella pagina web di riferimento del NSO, ciascun cliente dovrà chiedere ai rispettivi fornitori di comunicargli l’indirizzo elettronico per inviare l’Ordine.

ISTRUZIONI PER L’INTEGRAZIONE TRA ORDINE E FATTURA ELETTRONICA

Come già illustrato in questo blog, il D.M. attuativo dell’obbligo di gestione elettronica degli ordini ha stabilito che le fatture indirizzate alla PA devono riportare obbligatoriamente gli estremi del documento di acquisto.

I dati da riportare in fattura sono i dati della tripletta di identificazione: identificativo del soggetto emittente, identificativo del documento assegnato dall’emittente e data dal documento.

Le modalità per riportare la tripletta di identificazione cambiano nel caso di:

  • fattura emessa nel formato FatturaPA
  • fattura emessa nello standard europeo EN 16931-1:2017, in formato UBL 2.1 o CII.

Della Fattura PA si è già detto in questo blog, per quel che riguarda la fattura secondo lo standard europeo, la versione 4.2 delle Regole tecniche descrive le modalità di compilazione della tripletta nel paragrafo 8.1.2 Dati da riportare nella fattura europea con indicazioni specifiche a seconda dell’utilizzo di una delle due sintassi previste, UBL 2.1 e CII.

Sia per la FatturaPA che per la fattura nello standard europeo EN 16931-1:2017 le Regole tecniche indicano come procedere nel caso in cui la fattura non fosse emessa a seguito di un ordine o quando fosse emessa a seguito di un processo di ordinazione tradizionale.

Con riferimento specifico alla FatturaPA, già nella versione 4.1.1 delle Regole tecniche la Ragioneria aveva chiarito quanto segue.

Se la fattura è emessa a seguito di un processo di ordinazione tradizionale, non gestito cioè tramite NSO, al fine di dare maggiore evidenza a tale circostanza è possibile valorizzare i campi interessati come segue:

2.1.2.2 <IdDocumento> con identificativo dell’ordine tradizionale

2.1.2.3 <Data> con la data dell’ordine tradizionale

2.1.2.5 <CodiceCommessaConvenzione> con il testo #NO#

Se la fattura non è emessa a seguito di un ordine, è sufficiente non valorizzare i campi <IdDocumento>, <Data>, <CodiceCommessaConvezione>.

Analoghe istruzioni ma con indicazioni specifiche per la fattura nello standard EN 16931-1:2017 sono contenute nella versione 4.2 delle Regole tecniche nel citato paragrafo 8.1.2 Dati da riportare nella fattura europea.

Restiamo in attesa delle Linee guida per ulteriori approfondimenti operativi sul processo.

Accreditamento NSO e non solo. Nei giorni scorsi, la Ragioneria generale dello Stato ha introdotto alcune importanti novità per il Nodo smistamento ordini (NSO):

  • Come già anticipato in un precedente articolo pubblicato su questo blog, l’obbligo non è scattato il 1° ottobre, ma è stato rinviato di alcuni mesi; presumibilmente scatterà dal 1° febbraio 2020, con scadenze differenziate sulla base del tipo di ordinazione. Si attende l’ufficialità della nuova data di decorrenza mediate D.M. di modifica dell’attuale articolo 3 del M. 7 dicembre 2018;
  • Sono state rilasciate le nuove Regole tecniche NSO – Versione 4.1.1, mantenendo la piena compatibilità con la versione 3.0 delle stesse;
  • Sono state rilasciate le Istruzioni per l’Accreditamento dei Canali web services e SFTP, con l’introduzione dell’obbligo di un accreditamento integrativo e della richiesta di codici destinatario specifici per gli ordini elettronici.

Si ricorda che non devono effettuare alcun accreditamento i soggetti che intendono trasmettere e ricevere gli ordini utilizzando la posta elettronica certificata (Canale PEC).

In questo articolo verranno presentate le novità della procedura di accreditamento, per la parte relativa al Canale web services.

Il Canale web services, consentendo di creare una connessione sempre attiva tra i server di un operatore e il Sistema di Interscambio (SdI), è rivolto soprattutto ai soggetti economici che devono trasmettere o ricevere un numero molto rilevante di documenti.

Accreditamento NSO integrativo per gli ordini

Poiché NSO si avvale dell’infrastruttura di accreditamento di SdI, per l’invio e la ricezione degli ordini verso e da NSO è possibile:

  • Utilizzare gli stessi Canali già accreditati per le fatture elettroniche;
  • Accreditare nuovi Canali, seguendo la procedura pubblicata nella sezione Gestire il Canale del sito di SdI.

Ottenuto l’accreditamento NSO, è possibile richiedere l’abilitazione del canale anche per gli ordini elettronici, accedendo all’area “Integrazione Accreditamento per Ordini”, all’interno della sezione Gestire il Canale (Figura 1).

Accreditamento-NSO-figura-1

Figura 1

La procedura è descritta dettagliatamente nel documento sopracitato (Istruzioni per l’Accreditamento dei Canali web services e SFTP); si consiglia anche di fare riferimento al Capitolo 5 delle Regole tecniche NSO – Versione 4.1.1.

Al termine della procedura, l’utente dichiara di voler operare per la trasmissione/ricezione degli ordini: tale dichiarazione è da considerarsi ad integrazione dell’Accordo di servizio già stipulato in fase di accreditamento NSO per la trasmissione/ricezione delle fatture (Figura 2).

Figura 2

E’ possibile indicare anche se si opera in qualità di Intermediario Peppol: in questo caso, il titolare dell’accreditamento accetta che NSO possa trasmettergli documenti indirizzati a qualsiasi soggetto appartenente alla rete Peppol.

Accreditamento per i Soggetti privati: Richiesta codici destinatari ordini

Per la ricezione degli ordini elettronici si dovranno utilizzare dei codici destinatari diversi da quello in uso per le fatture elettroniche.

Dopo aver ottenuto l’abilitazione del canale per la ricezione degli ordini (Canali web services e SFTP), si dovrà accedere alla pagina “Richiesta codici destinatari B2B ordini” della sezione Gestire il Canale.

E’ possibile richiedere fino a 100 Codici destinatari associati al proprio Canale di ricezione attivato (web services e SFTP): i codici per gli ordini sono alfanumerici con una lunghezza di 8 caratteri, mentre quelli per le fatture hanno una lunghezza di 7 caratteri.

Questi codici dovranno essere comunicati a tutti i propri clienti per la corretta ricezione degli ordini tramite NSO. Diversamente dalle fatture elettroniche, infatti, per gli ordini elettronici non è previsto un servizio di registrazione dell’indirizzo telematico di ricezione

Amministrazioni Pubbliche – Accreditamento NSO degli Uffici ordinanti

Le Amministrazioni Pubbliche che intendono accreditare uno o più Uffici ordinanti devono abilitare le loro unità organizzative al servizio “Ordini”, seguendo le istruzioni pubblicate nella “Guida IndicePA Area riservata” presente nella sezione Documenti dell’IPA e nel paragrafo 5.5 delle Regole tecniche – Versione 4.1.1

 

Per gli Ordini elettronici in Sanità, come da nota pubblicata nel sito della Ragioneria generale dello Stato, è in atto un rinvio della decorrenza prevista per la gestione tramite NSO. L’obbligo non scatterà dal prossimo 1° ottobre, ma sarà rinviato, con ogni probabilità, di alcuni mesi, con scadenze differenziate sulla base del tipo di ordinazione dal 1° febbraio 2020 in poi.

Si attende l’ufficialità delle date di avvio, in particolare il D.M. di modifica del D.M. 7 dicembre 2018 che ha introdotto l’attuale decorrenza.

Lo scorso mese di maggio, dopo il consueto periodo di consultazione pubblica, AgID ha emanato le “Linee Guida su acquisizione e riuso di software per le pubbliche amministrazioni”, in attuazione degli articoli 68 e 69 del Codice dell’Amministrazione Digitale.

Esse trattano due argomenti diversi ma correlati tra loro:

  1. stabiliscono le modalità ed i criteri con i quali un’amministrazione deve effettuare la valutazione comparativa per decidere le modalità di acquisizione di un software (in riferimento all’art. 68 del CAD – “Analisi comparativa delle soluzioni”);
  2. definiscono il percorso attraverso il quale le pubbliche amministrazioni mettono in riuso e riusano componenti di software applicativo (in riferimento all’art. 69 del CAD – “Riuso delle soluzioni e standard aperti”).

L’elemento di correlazione tra i due temi è rappresentato dal fatto che l’art. 68 del CAD individua nel riuso una delle modalità preferenziali di acquisto di software da parte di una PA.

Il riuso, prima dell’entrata in vigore delle nuove linee guida, era basato sul catalogo nazionale dei programmi riutilizzabili nella Pubblica Amministrazione gestito dall’AgID, abrogato dalle nuove linee guida. Le amministrazioni cedenti in riuso avevano la possibilità di pubblicare su tale catalogo i riferimenti documentati alle applicazioni di cui erano proprietarie. Le amministrazioni riusanti, a valle di un processo che passava attraverso la valutazione dell’indice di riusabilità determinato dall’AgID, e la determinazione degli indici di adeguatezza e di convenienza economica, definivano un vero e proprio contratto di riuso con le amministrazioni cedenti nel quale venivano indicati la tipologia e le modalità di riuso e le componenti applicative oggetto di riuso.

Le nuove linee guida delineano un percorso radicalmente diverso.

Tale percorso è sinteticamente descritto di seguito.

Amministrazione cedente

  • acquisisce la titolarità di tutti i diritti di proprietà intellettuale e industriale sul software commissionato;
  • individua un tipo di licenza aperta;
  • individua una piattaforma di code hosting;
  • pubblica sulla piattaforma di code hosting scelta il codice sorgente del software acquisito e la relativa documentazione tecnica utilizzando la licenza aperta individuata;
  • registra il software sulla piattaforma “Developers Italia” dove viene indicizzato e reso visibile alle altre PA.

Amministrazione riusante

  • individua il software di cui ha bisogno all’interno di “Developers Italia”;
  • acquisisce ed utilizza il software senza la necessità di sottoscrivere alcun contratto con l’mministrazione cedente grazie alla presenza di una licenza aperta;
  • effettua una valutazione dello stato del software e dell’applicabilità al proprio contesto;
  • effettua eventualmente le personalizzazioni necessarie;
  • diventa amministrazione cedente e rilascia, quindi, il relativo codice sorgente sotto licenza aperta nelle modalità sopra descritte.

Vorremmo porre l’attenzione su due aspetti che emergono da questa nuova modalità di gestione del riuso applicativo.

C’è una stretta relazione tra riuso e open source: le amministrazioni saranno obbligate ad utilizzare licenze aperte per rilasciare il software di cui sono proprietarie e dovranno prendere dimestichezza con le piattaforme di code hosting. Nell’Allegato A delle linee guida vengono riportate alcune tra le più diffuse tra esse che rispondono ai requisiti delle linee guida.

C’è la volontà di facilitare, e quindi incentivare, il riuso riducendo al minimo le interazioni tra l’amministrazione cedente e quella riusante. Tale obiettivo ha ricadute sicuramente positive sulla semplificazione e velocizzazione del processo complessivo. Va però tenuto in considerazione anche un altro aspetto: relativamente ad uno specifico tema, le amministrazioni non hanno solo la necessità di condividere il software applicativo attraverso il riuso. Esse hanno altresì la necessità di condividere la propria esperienza, le best practices, l’approccio, i risultati ottenuti, i miglioramenti resisi necessari nelle fasi di esercizio, insomma il “progetto” in tutti i suoi aspetti multidisciplinari.

Alle azioni contenute nelle linee guida finalizzate ad ottenere vantaggi di efficienza attraverso la semplificazione del processo di riuso, dunque, andrebbero affiancate altrettante iniziative di impulso ad un dialogo tra amministrazioni finalizzato alla condivisione di esperienze e progetti di successo.

Come già anticipato in alcuni articoli pubblicati su questo blog, il prossimo 1° ottobre tutti gli ordini di acquisto degli Enti del Servizio sanitario nazionale dovranno essere trasmessi in formato elettronico attraverso una piattaforma centrale, il Nodo smistamento ordini (NSO).

Questo obbligo verrà successivamente esteso a tutte le Pubbliche Amministrazioni, come stabilito dalla Legge di bilancio 2018.

Dopo aver fornito una panoramica sull’argomento e sui documenti e processi di ordinazione, affrontiamo in questo articolo altri aspetti importanti:

  • canali di trasmissione;
  • tracciabilità di un ordine;
  • fatturazione di un ordine.

Nota bene. Nel seguito dell’articolo con il termine “ordini” si intendono sia gli ordini veri e propri, sia le relative risposte inviate dai clienti e dai fornitori.

Canali di trasmissione

L’invio e la ricezione degli ordini tramite NSO può avvenire attraverso modalità di comunicazione analoghe a quelle già utilizzate per le fatture elettroniche attraverso il Sistema di interscambio (SdI).

Le modalità utilizzate per inviare e per ricevere gli ordini sono tra loro indipendenti e lo stesso soggetto può utilizzarne più di una. I canali supportati sono descritti nel seguito.

Posta Elettronica Certificata

Il documento va trasmesso, tramite PEC, all’indirizzo nso@pec.sogei.it, il quale provvede a recapitarlo al destinatario dopo averlo validato.

Per utilizzare questo canale non occorre alcuna richiesta di accreditamento.

Cooperazione applicativa su Internet (“servizio SdiCoop”)

NSO si avvale dell’infrastruttura del Sistema di Interscambio (SdI) che mette a disposizione dei servizi esposti tramite webservices.

Chi ha già stipulato l’accordo di servizio per l’invio e la ricezione delle fatture elettroniche, può utilizzarlo anche per i documenti scambiati tramite NSO.

Trasmissione massiva di dati tramite protocollo FTP (“servizio SdIFtp”)

Il servizio è in corso di rifacimento per cui è temporaneamente sospeso.

Infrastruttura di rete PEPPOL (Pan-European Public Procurement On-Line)

Il Pan-European Public Procurement On-Line (PEPPOL) è un progetto promosso dalla Commissione Europea per avere un’infrastruttura e delle specifiche tecniche che facilitino le procedure di e-Procurement. L’infrastruttura PEPPOL è rappresentabile come una rete di nodi (Access Point) che gestiscono lo smistamento e l’inoltro dei messaggi dal cliente al fornitore e viceversa.

Per utilizzare questo canale, occorre sottoscrivere un accordo di servizio con un Access Point.

Portale Web (solo per le Pubbliche Amministrazioni)

Le Pubbliche Amministrazioni potranno utilizzare un Portale Web per creare degli ordini, trasmetterli e ricevere le relative risposte.

Per maggiori dettagli, si può fare riferimento alle Regole tecniche del Nodo smistamento degli ordini.

Schema riassuntivo delle modalità di comunicazione con NSO

Quando è necessario accreditarsi?

Poiché NSO, per l’invio e la ricezione dei documenti, si avvale dell’infrastruttura del Sistema di Interscambio (SdI) è possibile:

A differenza delle fatture elettroniche, non sarà però possibile registrare preventivamente l’indirizzo telematico (codice destinatario o indirizzo PEC) per la ricezione di tutti gli ordini: per questo motivo risulta importante comunicare il proprio indirizzo telematico ai clienti e ai fornitori con cui si andrà ad interagire.

Tracciabilità di un ordine

Ogni documento trasmesso tramite NSO può essere univocamente identificato in due modi:

  • tramite l’Identificativo di Trasmissione (IdT), assegnato da NSO in fase di trasmissione;
  • tramite la Tripletta di identificazione, formata da tre elementi riportati obbligatoriamente nel documento:
    • identificativo del soggetto emittente (ad esempio il codice IPA dell’Amministrazione Pubblica che ha emesso l’ordine);
    • data dell’ordine;
    • numero dell’ordine.

La Tripletta di identificazione deve essere utilizzata ogni qualvolta occorra fare riferimento ad un determinato documento, come ad esempio nelle fatture elettroniche o nelle revoche di ordini già emessi.

Tutti gli ordini validi saranno ricercabili sulla Piattaforma dei crediti commerciali (PCC), previo accreditamento, sia tramite la Tripletta di identificazione sia tramite l’Identificativo di Trasmissione.

Fatturazione di un ordine verso Enti del Servizio sanitario nazionale

L’articolo 3 del D. Mef 7 dicembre 2018 prescrive che nelle fatture elettroniche indirizzate alle Pubbliche Amministrazioni debbano essere riportati gli estremi dei documenti attestanti l’ordinazione e l’esecuzione degli acquisti dei beni e servizi tra gli enti del Servizio sanitario nazionale, nonché i soggetti che effettuano acquisti per conto dei predetti enti, e i loro fornitori di beni e servizi.

Se la fattura è stata emessa nel formato FatturaPA, formato attualmente in uso per le fatture elettroniche in Italia, la Tripletta di identificazione dell’ordine va indicata nel seguente modo:

  • nel campo 2.1.2.2 <IdDocumento> va riportato l’identificativo del documento a cui la fattura fa riferimento;
  • nel campo 2.1.2.3 <Data> va riportata la data di emissione del documento;
  • nel campo 2.1.2.5 <CodiceCommessaConvenzione> dello schema della FatturaPA va riportato l’identificativo del soggetto (EndpointID) che ha emesso il documento preceduto e seguito dal carattere “#” senza interposizione di spazi.

Se la fattura non è emessa a fronte di un ordine o di un altro documento, è sufficiente riportare il seguente testo nel campo 2.1.2.2 <IdDocumento> dello schema della FatturaPA: “#NO#”.

Esempio di fattura emessa a fronte dell’ordine 66685 del 15/07/2019, per il cliente con cod. IPA 123456

Infine si precisa che saranno fornite apposite istruzioni per gestire la compilazione dei dati dell’ordinazione anche per il caso di emissione fattura elettronica secondo lo standard europeo EN 16931-1:2017del quale si è parlato in un precedente articolo su questo Blog.

Invio e ricezione ordini via NSO

Come anticipato in un precedente articolo pubblicato su questo blog, il prossimo 1° ottobre entrerà in vigore in Italia un’importante novità: a partire da questa data, tutti gli ordini di acquisto degli Enti del Servizio sanitario nazionale dovranno essere trasmessi in formato elettronico attraverso una piattaforma centrale, il Nodo smistamento ordini (NSO). La piattaforma si appoggia al Sistema di interscambio (SDI) già utilizzato in Italia per la fatturazione elettronica.

Continua a leggere