Articoli

Abbiamo pubblicato a più riprese in questo blog alcuni contenuti riguardanti Le Linee guida sulla formazione, gestione e conservazione dei documenti informatici, dando notizia dell’ attività di AgID in ottemperanza all’articolo 71 del Codice dell’Amministrazione digitale (CAD), dell’ entrata in vigore della nuova versione dello standard UNI SInCRO, dell’entrata in vigore e del valore delle Linee guida nonché di alcuni temi specifici.

Proviamo ora a riannodare le fila del discorso, al fine di fornire un quadro di insieme complessivo sulle ultime evoluzioni.

Con Determinazione n. 371/2021 del 17 maggio 2021, AgID ha apportato alcune modifiche alle Linee guida intervenendo su due allegati, 5 I metadati e 6 Comunicazione tra AOO di documenti Amministrativi Protocollati, correggendo alcuni errori materiali presenti nel documento principale e prorogando il termine ultimo per l’adeguamento al 1° gennaio 2022.

Come dichiarato nel preambolo della Determinazione n. 317/2021, gli aggiornamenti, in particolare degli allegati 5 e 6, sono la conseguenza delle numerose interlocuzioni e richieste di modifica provenienti da associazioni di categoria e Amministrazioni, rispetto alle quali AgID ha ritenuto di dover recepire alcune istanze. La proroga del termine ultimo per l’adeguamento è dunque la conseguenza degli aggiornamenti: per consentire di ottemperare alle nuove disposizioni era impensabile l’iniziale termine ultimo fissato al 7 giugno 2021 (Determinazione AgID n. 407/2020).

Siamo dunque ancora in una fase di interregno: di fatto inapplicabili le regole tecniche previgenti in materia di formazione, protocollazione, conservazione dei documenti informatici e interoperabilità di protocollo ma non ancora pienamente operative le Linee guida, entrata in vigore il 7 maggio 2020 della nuova versione dello standard SInCRO ma obbligo di uniformarsi generalizzato per tutti i soggetti, sia per coloro che erogano i servizi di conservazione che per coloro che conservano in house, soltanto a partire del 1° gennaio 2022.

Sempre a partire dal 1° gennaio 2022 entrerà in vigore il Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici adottato da AgID con Determinazione n. 445/2021 del 25 giugno 2021 sulla base di quanto stabilito dall’art. 34, comma 1-bis del CAD, modificato a seguito dei rilievi mossi dalla Commissione europea circa la non conformità del regime di accreditamento e di vigilanza previsto per i servizi di conservazione digitale all’articolo 4, paragrafo 1 del Regolamento (UE) 2018/1807 sulla libera circolazione dei dati non personali e all’articolo 3, paragrafo 4 della Direttiva 2000/31/UE sul commercio elettronico. Con l’entrata in vigore del Regolamento sarà abrogata Circolare AgID n. 65 del 10 aprile 2014, Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici.

Dunque, dal 1° gennaio 2022, con la piena operatività delle Linee guida e con l’entrata in vigore del Regolamento non esisteranno più i conservatori cosiddetti accreditati e le pubbliche amministrazioni che vorranno affidare la conservazione dei propri documenti in outsourcing, dovranno rivolgersi, come specifica il citato art. 34, comma 1-bis del CAD, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità di sicurezza e organizzazione individuati […] nelle Linee guida di cui all’art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, […].

Il 1° gennaio 2022 si configura quindi come una data estremamente rappresentativa e concretamente operativa del passaggio alla dimensione digitale della gestione documentale, il vero switch-off. Nonostante tale data sia molto vicina, analogamente a quanto osservavamo alla pubblicazione della Determinazione di adozione delle Linee guida, ancora oggi permangono alcuni dubbi relativamente alla concreta applicazione del dispositivo tecnico e del Regolamento, tanto che continuano ad essere attivi tavoli di confronto tra AgID, associazioni di categoria e Amministrazioni. Le questioni aperte sono sia di tipo tecnico-informatico che di tipo organizzativo.

L’allegato 5 I metadati continua ad essere un documento controverso, il suo aggiornamento ha portato ad una ulteriore esplosione delle informazioni totali da gestire: se il numero dei metadati intesi come informazioni complesse è rimasto sostanzialmente invariato, risulta notevolmente accresciuto il numero dei campi e sotto campi associato a ciascun metadato. A ciò si aggiunga la difficile gestione di alcuni metadati, si pensi, solo per citarne alcuni, al metadato “Soggetti” per il documento informatico, amministrativo informatico e le aggregazioni documentali, e ai metadati “Procedimento amministrativo” e “Assegnazione” per le aggregazioni documentali. Restano inoltre aperti alcuni interrogativi sulla concreta applicazione dell’Allegato 5 ai documenti fiscali, già soggetti ad una normativa specifica.

L’allegato 6 Comunicazione tra AOO di documenti Amministrativi Protocollati che, a seguito dell’aggiornamento del 2021, riporta l’Appendice C relativa all’inoltro di documenti tra AOO mediante posta elettronica certificata, evidenzia che la PEC è da intendersi come modalità di comunicazione transitoria fino al passaggio alla comunicazione mediante cooperazione applicativa. Per le specifiche relative alla comunicazione tramite PEC nella fase transitoria, resta valido il riferimento alla abrogata Circolare AgID n. 60 del 23 gennaio 2013, Formato e definizione dei tipi di informazioni minime ed accessorie associate ai messaggi scambiati tra le pubbliche amministrazioni. Pur dovendo rapprsentare una modalità di comunicazione residuale, è altamente probabile che la PEC almeno all’inizio della piena operatività delle Linee guida, ma anche oltre, sarà ampiamente utilizzata, essendo la cooperazione applicativa subordinata alla esposizione da parte delle AOO dei servi applicativi e alla loro pubblicazione.

Nel documento principale, inoltre, l’eliminazione del paragrafo relativo all’archivio informatico presente nelle Linee guida del 2020 con recupero dei contenuti nel paragrafo 3.5 relativo al “Manuale di gestione documentale” lascia invariati i dubbi, già espressi in questo blog, circa le modalità operative per delimitare il complesso documentario “archivio” anche in ambiente digitale. Aver eliminato dalle Linee guida 2021 il riferimento al fatto che l’archivio informatico dovesse essere inviato in conservazione con i suoi metadati, riferimento prima presente nel paragrafo 4.1 “Sistema di conservazione”, attenua solo in parte il problema, restando irrisolta la questione di fondo: come individuare l’archivio informatico e la sua struttura.

A ciò si aggiunga la pubblicazione da parte di AgID di un documento di indirizzo riguardante, si cita dal sito internet dell’Agenzia, la definizione di un modello di riferimento per i Poli di Conservazione e la relativa rete nazionale, al quale i soggetti indicati nell’articolo 2 commi 2 e 3 del CAD possono fare riferimento. Il documento, Progetto Poli di conservazione. Definizione di un modello di riferimento per i Poli di Conservazione e della relativa rete nazionale, è frutto del tavolo di lavoro coordinato da AgID a cui hanno partecipato l’Archivio centrale dello Stato, il Consiglio nazionale del notariato e l’Agenzia industrie difesa. Obiettivo generale del documento promuovere e definire una rete di poli di conservazione garantendo l’interoperabilità tra gli stessi, nel rispetto del quadro normativo nazionale, delle politiche di transizione al digitale, dei criteri archivistici e degli standard di settore. Questo obiettivo generale si declina in una serie di obiettivi specifici in ottemperanza al quadro normativo nazionale, alla disciplina e alla prassi archivistiche e a quanto previsto a proposito dei Poli per la conservazione dei documenti e degli archivi informatici dal Piano triennale per l’informatica nella pubblica amministrazione 2017-2019 e da quello 2019-2021. La pubblicazione di questo documento va molto probabilmente letta congiuntamente con quanto stabilito dall’art.1, punto 1 del citato Regolamento AgID che, individuando oggetto e ambito di applicazione, specifica che il Regolamento si applica ai soggetti pubblici e privati che vogliono svolgere il servizio di conservazione per conto delle pubbliche amministrazioni e che restano esclusi i servizi di conservazione a lungo termine disciplinati dal Codice dei Beni Culturali e le conseguenti attività di vigilanza e sanzionamento.

I temi dunque di qui al 1° gennaio 2022 sono molti, complessi e strettamente interrelati tra loro, cercheremo in questo blog di proseguire con approfondimenti successivi al fine di fornire un aggiornamento continuo sulla evoluzione normativa e analizzare tematiche specifiche.

27 APRILE 2020

Con Determinazione n. 157 del 23 marzo 2020, l’Agenzia per l’Italia Digitale (AgID) ha emanato le linee guida contenenti “Regole tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD”.

Esse trovano origine dalla necessità di regolamentare le modifiche dell’articolo 20 del Codice dell’amministrazione digitale con le quali è stata introdotta, nel nostro ordinamento giuridico, una nuova modalità di sottoscrizione elettronica del documento informatico, comunemente denominata “firma SPID”.

Nato nel 2014 ed operativo dal 2016, SPID, Sistema Pubblico di Identità Digitale, consente l’accesso ai servizi on line della pubblica amministrazione e dei soggetti privati aderenti con un’unica identità digitale, utilizzabile con qualunque device. Il sito Agid ad esso dedicato ci dice che SPID ha rilasciato circa 6,5 milioni di identità, con un incremento annuo pari a circa il 60%. Attualmente i gestori di identità (IdP) digitali sono 9 e le amministrazioni pubbliche che ne consentono l’utilizzo oltre 4.000. È altresì prevedibile che la contingente situazione legata alla diffusione del coronavirus e la conseguente crescente necessità di accesso a servizi on line, tra i quali l’accesso alle misure di sostegno al reddito previste dal Decreto Cura Italia del marzo 2020, porteranno ad una ulteriore diffusione dell’utilizzo di tale strumento.

Il comma 1-bis del citato articolo 20 del CAD aggiunge, dunque, alle già previste firme digitali, firme elettroniche qualificate e firme elettroniche avanzate, una modalità di sottoscrizione apposta “… previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.” A tale sottoscrizione la norma attribuisce il valore della forma scritta ad substantiam e l’efficacia fino a querela di falso prevista dall’articolo 2702 del Codice Civile.

Ai fini della digitalizzazione e dematerializzazione dei processi in ambito pubblico e privato, le citate novità introdotte dal CAD e dalle regole tecniche sono rilevanti: d’ora in poi i cittadini potranno sottoscrivere un documento proposto da un fornitore di servizi, ad esempio un contratto, semplicemente con l’utilizzo delle proprie credenziali SPID, senza la necessità di disporre e utilizzare altri dispositivi di firma digitale (token USB, smart card, etc…).

Le regole tecniche descrivono dettagliatamente il processo di firma, individuando due sottoprocessi, predisposizione e sottoscrizione, e identificando tre attori:

  • l’utente, ovvero chi deve sottoscrivere il documento;
  • il SP – “Service Provider”, ovvero il fornitore di servizi nella federazione SPID, che agisce nel sottoprocesso di predisposizione;
  • l’IdP – “Identity Provider”, ovvero il gestore di identità digitali nel contesto della federazione SPID, che agisce nel sottoprocesso di sottoscrizione.

Il sottoprocesso di predisposizione prevede quanto segue:

  1. l’utente accede al servizio esposto dal SP utilizzando le proprie credenziali SPID;
  2. Il SP predispone il documento da sottoscrivere, che può prevedere anche più firme, apponendovi il proprio sigillo elettronico qualificato (QSeal) e lo sottopone all’utente per la presa visione;
  3. previo esplicito consenso dell’utente, Il SP invia il documento all’IdP con il quale l’utente ha eseguito l’autenticazione.

Il sottoprocesso di sottoscrizione prevede quanto segue: l’IdP

  1. autentica nuovamente l’utente con credenziali di livello 2 o superiore;
  2. consente all’utente di visionare l’intero documento;
  3. richiede all’utente il consenso esplicito alla sottoscrizione;
  4. appone il proprio sigillo elettronico qualificato, o più sigilli qualora siano previste più firme. Per ogni firma inserisce un “timbro digitale” visibile recante le informazioni previste (cognome e nome del firmatario, etc…);
  5. propone all’utente l’invio del file tramite posta elettronica e/o di scaricarne una copia;
  6. invia il documento sottoscritto al SP;
  7. elimina dai propri sistemi ogni traccia del documento sottoscritto, tranne nei casi in cui l’utente abbia sottoscritto con l’IdP accordi che non lo consentano, ad esempio relativi alla conservazione digitale.

Possono utilizzare tali modalità di firma solo i possessori di identità digitali SPID per persona fisica o per uso professionale, non per persona giuridica.

Il servizio prevede la possibilità che un utente sottoscriva il documento in più punti attraverso un’unica sezione di autenticazione SPID e che più utenti sottoscrivano il medesimo documento in tempi e con sessioni di autenticazioni SPID distinte.

Il documento predisposto per la firma da parte del SP deve essere un PDF/A-2°, secondo lo standard ISO/IEC 32000-1.

La conformità al GDPR è garantita dal fatto che l’utente deve esprimere il proprio consenso alla sottoscrizione due volte, sulla piattaforma del SP in fase di predisposizione del documento e sulla piattaforma dell’IdP in fase di sottoscrizione.

Da evidenziare, infine, l’utilizzo del sigillo elettronico qualificato da parte del SP e dell’IdP. Strumento per certi versi ancora poco noto e poco utilizzato, il sigillo è stato introdotto nel nostro ordinamento con il regolamento eIDAS, Regolamento UE n. 910/2014. Il sigillo elettronico qualificato garantisce l’origine e l’integrità dei dati, e dunque del documento informatico, ha forti analogie con la firma elettronica, con la quale condivide definizione e scopo operativo finale ma dalla quale si differenzia principalmente per il fatto che è riconducibile a una persona giuridica, non ad una persona fisica. Il suo utilizzo, come garanzia dell’integrità del documento informatico, è evidente, ad esempio, per particolari tipologie di documenti: fatture elettroniche, visure camerali, ricevute dei sistemi di PEC possono essere “sigillate” con tale strumento e acquisire efficacia probatoria comunitaria.

Le linee guida danno indicazioni su molteplici altri aspetti di natura tecnica della firma SPID, relativi, in particolare, al documento sottoscritto, alla nomenclatura dei documenti, alle modalità di comunicazione tra SP e IdP e gli algoritmi crittografici da utilizzare.

Si prevede che gli scenari di utilizzo della modalità di sottoscrizione tramite SPID riguarderanno prevalentemente documenti relativi alla contrattualizzazione di forniture di servizi, soprattutto in contesti in cui si fa uso di smart contract, ma anche in processi più tipicamente amministrativi, quali ad esempio i processi riguardanti la gestione del personale. Ogni sottoscrizione apposta nelle modalità descritte è identificata univocamente, così da poter essere “agganciata” a specifiche clausole contrattuali.

Le agevolazioni per gli utenti e per i fornitori di servizi appaiono evidenti: con l’utilizzo delle sole credenziali SPID sarà possibile sottoscrivere documenti senza essere costretti a ricorrere ad altri strumenti di firma, consentendo una completa dematerializzazione dei processi. Da precisare che, al momento, la norma prevede una adesione volontaria a questo servizio, il suo successo è quindi condizionato dalla reale volontà di adesione da parte dei SP.