Conservazione a norma anche per i privati, ci sono strade migliori | Agenda Digitale

DL SEMPLIFICAZIONI

Conservazione a norma anche per i privati, ci sono strade migliori

Il Decreto Semplificazioni torna a parlare di conservazione a norma, introducendo un’aggiunta al CAD che risulta interpretabile come il via libera all’estensione ai privati dell’obbligo di conservare adeguatamente i documenti: analizziamo la situazione e le regole

19 Gen 2021
Sergio Sette

consulente informatico e digital trasformation

Una piccola modifica, introdotta dal DL Semplificazioni all’articolo 44 del Codice dell’amministrazione digitale torna a far parlare di conservazione a norma. Secondo molti commentatori, questa aggiunta, nascosta fra le pieghe del succitato decreto, sembrerebbe spianare la strada all’obbligo anche per i privati di riversare in un sistema di conservazione a norma i documenti per cui è prescritto un obbligo di conservazione.

Vediamo se è davvero una scelta ragionevole, nonché l’unica strada per garantire il valore legale di un documento e coerente con l’idea stessa di sistema di conservazione dei documenti informatici.

Conservazione a norma, cosa prevede il CAD

La risposta nostro primo dubbio (al netto dei pareri discordanti, che sono comunque molti) sembra essere un sì. L’obbligo di conservare/esibire a norma tutti i documenti per cui, per legge, sia prevista la conservazione, sussiste, anche per i privati. Prima ancora del DL semplificazioni, ma già dai tempi del “Correttivo CAD”. La modifica al comma 1-ter dell’articolo 44, operata dal DL Semplificazioni, in caso, va nella direzione di rafforzare questa previsione normativa.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

Il CAD in realtà in materia è molto scarno e fa riferimento ad un sistema di conservazione solo all’art. 44 nei commi 1-bis e 1-ter, quest’ultimo è appunto quello oggetto della recente modifica introdotta dal DL Semplificazioni. Articolo che per altro, fino appunto alla suddetta modifica, era rivolto alle sole PA. In aggiunta la norma è scritta in modo ambiguo ed è quindi soggetta, come purtroppo spesso accade, a diverse interpretazioni. Il comma 1-bis prevede che il responsabile della gestione documentale, almeno una volta l’anno provveda a trasmettere al sistema di conservazione “i fascicoli e le serie documentarie anche relative a procedimenti non conclusi”.

Ad una prima lettura sembrerebbe quindi, ed è questa anche l’interpretazione prevalente fra chi opera nella PA e ovviamente dai conservatori, che sussista un obbligo, per la PA, di riversare annualmente i documenti (implicitamente tutti) e le strutture di archivio (fascicoli e serie) nel sistema di conservazione. Financo quei fascicoli relativi a procedimenti non conclusi, quindi anche parte dell’archivio corrente (le LLGG comunque mitigano questa parte). Così interpretato sembrerebbe quindi che l’intero sistema di gestione documentale debba essere trasferito, anno dopo anno, in conservazione. Cosa che, in effetti, molte PA, stanno effettivamente realizzando, adottando un modello di “conservazione anticipata”, che di fatto prevede una vera e propria duplicazione dell’archivio di deposito, quello dove tradizionalmente nella pratica archivistica normata nella sezione V del DPR 445/2000, venivano trasferiti i documenti non più di trattazione corrente, fino al loro scarto se non selezionati per la conservazione permanente negli Archivi di Stato.

Una scelta questa molto forte, giustificata dall’idea che il processo di conservazione, che come sopra descritto, è molto dipendente dal fattore tempo, debba essere iniziato fin da subito. Idea che però è come minimo criticabile, sia perché manca l’evidenza di una reale necessità di dover agire in modo anticipato (quali rischi si corrono nei primi 10 anni?), sia perché impone un modello difficilmente sostenibile, più vicino ad un costoso backup o come alcuni lo chiamano, una “conservazione tombale”, vista la scarsa propensione degli attuali sistemi alla ricerca e alla diffusione dell’informazione.

Pareri contrari

Contro questa interpretazione però si schierano diversi archivisti, anche fra coloro che avevano partecipato alla stesura dell’art. 67 del DPR 445/2000, che l’art. 44 comma 1-bis riprende quasi integralmente. Secondo questa interpretazione, che personalmente condivido, l’art. 44 non pone in atto un obbligo, bensì una modalità operativa, per cui ogni anno il responsabile della gestione documentale valuta quali documenti trasferire in conservazione, secondo le logiche di una corretta gestione dell’archivio. I documenti si potrebbero spostare in conservazione una volta trascorsi i 5 o 10 e quindi, in sostanza, trasferire solo i documenti per cui non sussiste più un obbligo di tenuta e che sono destinati, per altre ragioni, non esclusivamente giuridiche, a durare nel tempo.

D’altronde per la PA, che possiede un riferimento temporale certo nella segnatura di protocollo, apposta a tutti i documenti in archivio, il problema del mantenimento della valenza giuridica, unica giustificazione per una conservazione anticipata, non sussiste. Un’interpretazione questa a mio parere più consona a quello che è il modello di conservazione di riferimento (il già citato OAIS), slegata dal mero adempimento di natura giuridica, più orientato ad una visione archivistica, di preservazione della memoria storica, e certamente più sostenibile e quindi, in fondo, efficace.

C’è tuttavia da sottolineare come proprio il fatto che il legislatore abbia ripreso nell’articolo 44 il testo dell’art 67 del TUDA, che parla proprio di trasferimento dall’archivio corrente a quello di deposito, fa immaginare che la sua idea fosse proprio quella di porre la fase di deposito in carico al sistema di conservazione, avallando perciò il modello di conservazione anticipata. Piegando, in buona sostanza, l’idea di sistema di conservazione a quella di un sistema di “notarizzazione” dell’informazione, più cara ai giuristi.

Il dibattito sul comma 5-bis dell’articolo 20

Ma certamente l’aspetto più discusso (e discutibile) della norma è forse rappresentato dal comma 5-bis dell’art 20. Questo dice testualmente che “gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle Linee guida”.

C’è chi si appella a questo comma (ad esempio l’AdE) per sostenere la tesi dell’obbligatorietà del trasferimento in un sistema a norma dei documenti soggetti ad obbligo di conservazione, che di fatto sarebbe l’unico in grado di garantirebbe le caratteristiche richieste di autenticità, affidabilità, integrità, leggibilità e reperibilità. Caratteristiche che però, come più volte sopra rimarcato, un documento firmato digitalmente e con un valido riferimento temporale, possiede, già di suo.

Sebbene vi siano diversi commentatori che sostengano di non leggere alcun obbligo esplicito sotteso a questo comma, bisogna ammettere che è una posizione difficile da sostenere. È esplicitamente scritto che chiunque sia tenuto, per legge, a conservare/esibire dei documenti, debba farlo secondo quanto descritto nelle LLGG. E, riguardo conservazione ed esibizione, le LLGG descrivono proprio un sistema di conservazione a norma. Da notare che questa disposizione si applica anche ai privati, in quanto il c.d. decreto “correttivo CAD” (Dlgs 13 dicembre 2017, n. 217), modificando il comma 3 dell’art.2 del CAD, ha reso le LLGG vincolanti anche nei confronti dei privati.

I fronti critici

Se alla prima nostra perplessità la risposta è un sì abbastanza netto, le successive, ossia se ciò abbia un senso, se sia l’unica via possibile e soprattutto, coerente con l’idea di conservazione a lungo termine, non si può rispondere in modo affermativo, non di certo in modo netto. La scelta operata dal legislatore è senza dubbio molto forte, e per molti versi criticabile e da molti in effetti criticata ed osteggiata. Anche se il fatto di essersi posti il problema, forse primi in Europa, della preservazione del digitale nel lungo periodo, è certamente opera meritoria. Quello che è criticabile, e criticato, è la sua declinazione.

Non voglio entrare nel merito strettamente giuridico della questione, che non mi compete, ma voglio solo fare notare le criticità che questa scelta comporta. In primo luogo, vorrei evidenziare come la questione conservazione del digitale, ogni volta che la si solleva, tenda a generare aspre discussioni. Ciò è dovuto principalmente al termine stesso, conservazione, che evoca, a seconda della provenienza culturale di chi l’ascolta, concetti diversi. Per i giuristi è legato al concetto di “notarizzazione” dell’informazione, della prova, per gli archivisti evoca il concetto di archivio/archiviazione e quindi di strutturazione e preservazione dell’informazione, per gli informatici quella di memorizzazione su un qualche supporto magnetico. Insomma, quando si parla di conservazione ci si trova in un crocevia affollato in cui ciascuno ritiene di avere la precedenza; gli scontri sono garantiti!

Le linee guida orientano il modello di conservazione verso gli standard corretti (OAIS, UNI SInCRO, …), ma la norma, il CAD, la declina in modo sbilanciato verso la preservazione del valore giuridico dell’informazione, trasformando il sistema in un sistema di notarizzazione dell’informazione, che si riflette pesantemente anche in come i sistemi sono stati sviluppati e si evolvono. Molto orientati all’adempimento giuridico, molto meno a quello archivistico (non per niente la chiamano “conservazione tombale”) di preservazione/valorizzazione dell’informazione. Principalmente usati per documenti che non subiranno alcun trattamento perché scartati (sempre ammesso che lo scarto avvenga realmente) prima che il trattamento (il riversamento) sia necessario. L’unico trattamento avviene nella fase di ingestione dove però sostanzialmente, al di là della memorizzazione specifica nel sistema, viene posta una firma e una marca. Niente che non si possa fare in un sistema di gestione documentale.

Differenze con i sistemi analogici

Il problema che però, a mio parere, è il più grave è quello di addossare al digitale un onere, come spesso avviene, che prima, nel mondo analogico, non c’era. Mi spiego con un esempio: se nel mondo analogico spedivo una raccomandata, quello che dovevo fare era semplicemente di mantenere la ricevuta nel mio archivio, fascicolo o cassetto. Qualora mi venisse richiesta non facevo altro che recuperarla e mostrarla. Nel mondo del digitale invece, sebbene gli oggetti digitali, specie se dotati di firma, siano più “robusti” dei corrispondenti analogici, non mi è concesso tenere nel mio PC/Server/Sistema di Gestione documentale, le ricevute delle PEC, corrispondenti digitali delle ricevute della raccomandata, ma le devo, in base al comma 5-bis dell’art.20 del CAD, conservare a norma.

Questo non solo equivale a spostarle su un altro sistema, ma visto come è concepito un sistema a norma, equivale quasi ad un deposito presso un notaio; cosa questa necessaria sulla carta solo in casi specifici, nel digitale resa obbligatoria per ogni documento da conservare. Questo esempio si può estendere a moltissimi altri casi, tipo la fattura elettronica (pensate al caso del regime forfettario, dove non vi è nemmeno l’obbligo di tenere il registro delle fatture ma solo le fatture) e molti altri ancora.

L’esempio: la conservazione delle fatture elettroniche

Senza che per altro nulla di tecnologico, come sopra più volte evidenziato, giustifichi questa disparità di trattamento fra la modalità analogica e quella digitale. È istruttivo leggere quanto scrive l’Agenzia delle entrate riguardo le modalità di conservazione della fattura elettronica: “La conservazione elettronica, tuttavia, non è la semplice memorizzazione su PC del file della fattura, bensì un processo regolamentato tecnicamente dalla legge (CAD – Codice dell’Amministrazione Digitale). Con il processo di conservazione elettronica a norma, infatti, si avrà la garanzia – negli anni – di non perdere mai le fatture, riuscire sempre a leggerle e, soprattutto, poter recuperare in qualsiasi momento l’originale della fattura stessa (così come degli altri documenti informatici che si decide di portare in conservazione)”.

Tenendo presente che la fattura va conservata 10 anni, quanto descritto non è un processo ma una semplice memorizzazione statica della fattura (una sorta di backup) in un altro sistema, perché in 10 anni la fattura sarà certamente leggibile e non necessiterà di alcun trattamento da parte del sistema. Per essere espliciti, un trattamento non necessario, e in casi come questi inutilmente complesso, probabilmente generato da una cattiva comprensione del concetto di conservazione a lungo termine. Che aggiunge al digitale oneri e complessità di cui, in particolare in questo momento, non ci sarebbe bisogno, distogliendo probabilmente focus e risorse, da aspetti ben più basilari, come una corretta gestione documentale e trattamento/conoscenza degli oggetti digitali, ben lungi da essere realmente acquisiti.

Conservazione digitale, gli aspetti da considerare

L’idea che si è ormai abbastanza radicata è quella che il digitale sia per sua natura (ovvero fondamentalmente per l’assenza di una dimensione materiale) “fragile”. In realtà i documenti informatici non sono più fragili di quelli analogici, che temono l’acqua, l’umidità, il fuoco, il tempo. E che se vengono distrutti, lo sono per sempre, irrimediabilmente. Ma mentre per quanto riguarda il documento analogico e gli archivi cartacei abbiamo sviluppato, nei secoli, una consolidata capacità di gestirli, organizzarli e conservarli, nel mondo digitale ciò non è ancora avvenuto – o al più lo è solo parzialmente e comunque non ancora del tutto metabolizzato – e proprio per questa ragione ci sembrano fragili, quasi pericolosi, complessi da gestire e conservare.

In realtà i documenti informatici sono semplicemente diversi, richiedono cure ed attenzioni differenti, nuove modalità operative e gestionali, che devono essere conosciute e capite. E se è vero che distruggere un intero archivio è gioco da ragazzi, è altrettanto vero che duplicarlo (e uso non a caso il termine duplicare, inteso proprio nell’accezione giuridica che ne dà il CAD) è altrettanto semplice. L’immaterialità è al tempo stesso la debolezza e la grande forza del digitale. Specie da quando abbiamo capito che ricreare la staticità fisica del documento analogico non è una buona idea (e chi ha salvato copie dei propri archivi su supporti non riscrivibili come CD e DVD, sa a cosa mi riferisco)

Quindi la debolezza, quella dovuta all’immaterialità almeno, è facilmente tamponabile tramite l’adozione di semplici e consolidate misure, alla portata ormai di chiunque: banalizzando un pochino, i backup. In questo modo è relativamente semplice ripararsi da perdite di dati, anche se relative non solo a cancellazioni più o meno involontarie, ma anche da guasti dei supporti di memorizzazione e/o alla corruzione, sempre possibile, di qualche singolo file.

L’obsolescenza della tecnologia

Non è però questo l’unico aspetto di cui tenere conto, anzi, quello che maggiormente preoccupa nell’ambito della gestione e della conservazione del documento informatico è altro: l’obsolescenza tecnologica, specialmente quella dei formati (ma anche dei supporti di memorizzazione/hardware) con cui sono codificati i file che rappresentano i nostri documenti. È un problema questo che è nuovo e specifico del digitale, non rilevabile nell’analogico. Deriva dal fatto che ciò che è scritto in un documento, contrariamente a quanto avviene nel mondo analogico, non è direttamente quello che digitiamo sulla tastiera, ma è una sequenza di byte, codificati in un modo specifico, non immediatamente intellegibili da una persona ma che richiedono un intermediario (di fiducia!), un software, in grado di eseguire per noi la codifica e la decodifica.

Un po’ quello che avveniva ai tempi in cui la capacità di leggere e scrivere era ad appannaggio di solo pochi, a cui ci si rivolgeva per scrivere o leggere una lettera. Perso l’intermediario, era anche persa la possibilità di accedere all’informazione. Insomma, nel digitale non dobbiamo solo preoccuparci di preservare l’informazione ma anche di essere in grado di accedervi: avere un file e non possedere il software per leggerlo (o almeno le specifiche relative alla codifica utilizzata) è assolutamente inutile.

Il caso Viking

Questo aspetto fu causa di gravi problemi all’inizio dell’era informatica, quando ancora le codifiche non erano standardizzate e ognuno si inventava la sua. Ed in effetti ci sono stati diversi casi, alcuni anche eclatanti, in cui i dati sono andati persi per l’impossibilità di leggerli anche solo dopo qualche lustro dalla loro produzione. Il più famoso di questi fu probabilmente quello relativo ai dati delle sonde Viking inviate nel 1975 su Marte dalla NASA. I dati raccolti furono salvati su nastri magnetici che la NASA si premurò di mantenere integri e in ambienti protetti e correttamente climatizzati, in grado di evitarne il logoramento (avevano avuto problemi con i nastri in cui erano tenuti i dati delle missioni lunari ed erano quindi preparati). Negli anni 90 quando si cercò di rielaborare questi dati, si scoprì, non senza imbarazzo, che si erano perse le informazioni relative alla loro codifica e che non erano quindi più leggibili (si parla anche del tentativo di decodificarli da parte di esperti in crittografia). Fortunatamente esisteva una loro copia stampata, che fu utilizzata per reimmettere i dati in un nuovo sistema informatico. A mano, naturalmente!

Oggi situazioni del genere, avendo appunto fatto tesoro delle esperienze passate, non sarebbero più possibili, non almeno nel giro di pochi anni come nel caso Viking. L’informatica fa ora uso principalmente di formati aperti, standard internazionali, garantiti da apposite istituzioni (quali ad es. ISO). Ciò non toglie comunque il fatto che, vista anche la straordinaria velocità con cui la tecnologia evolve, il problema della loro obsolescenza rimanga il maggiore dei problemi con cui chi conserva informazioni digitali a lungo periodo, si debba confrontare. Proprio per questo, guarda caso anche su impulso della NASA, sono stati progettati standard concettuali, (es. OAIS – Open Archival Information System, standard ISO 14721:2012, uno degli standard di riferimento anche nella normativa nazionale) su cui sono stati implementati sistemi informatici pensati ad hoc per conservare, a lungo termine, i documenti e le informazioni digitali.

Gli standard nella PA

Si tratta di sistemi complessi e costosi che hanno uno scopo molto ambizioso, orientati agli archivi, più che ai singoli oggetti e che hanno come scopo primario la preservazione delle informazioni digitali in modo da mantenerle intellegibili, comprensibili (in senso lato, associandole ad esempio al contesto di produzione) e accessibili nel lungo termine, dove per lungo termine, anche questo è bene chiarirlo, si intende un periodo abbastanza lungo da poter avere impatti significativi (es. un formato obsoleto e non più supportato da nessun software) sugli oggetti digitali conservati.

Ovviamente fra gli scopi di questi sistemi c’è anche quello di garantirne (provarne) l’autenticità, ma anche ciò declinato in contesto temporale “lungo”, così come sopra specificato. Allo stato attuale, specie nella PA dove la norma ha molto insistito sull’utilizzo di formati standard e dove si presta la massima attenzione a questo aspetto (nelle nuove LLGG sulla gestione documentale da poco emanate, sui formati c’è un corposo allegato di oltre 150 pagine con indicazioni/raccomandazioni puntuali) l’arco temporale che identifica il “lungo termine”, non è certamente di pochi anni, certamente superiore ai 10 anni, che rappresentano il tempo di riferimento per cui vi è obbligo di tenuta di molti documenti, come, ad esempio, quelli fiscali

La conservazione a lungo termine

Un ultimo aspetto interessante riguardo la conservazione a lungo termine, che deve fare riflettere: la tendenza attuale è quella di privilegiare la fruibilità al mantenimento dell’integrità. In altre parole, specie riguardo alla obsolescenza dei formati, il processo di conservazione, invece che conservare il documento integro, che presupporrebbe il conservare, per renderlo fruibile, anche il software in grado di leggerlo, si preferisce la tecnica del “riversamento”, ovvero il documento viene convertito in un formato più attuale, eseguendo quello che in termini giuridici è una copia informatica di documento informatico (art. 1 comma 1, lettera i-quater del CAD), conservandone comunque l’originale. A lungo termine quindi ciò che sarà consultabile saranno comunque solo copie (almeno allo stato attuale della tecnologia)!

In sostanza la conservazione degli oggetti digitali è un vero e proprio processo (anche se non amo questo termina abusato), almeno teoricamente molto meno statico rispetto all’analogico. La difficoltà sta nel capire quando il processo di conservazione inizia, su quali oggetti applicarlo e quali sono gli obiettivi che si pone. Tenendo anche presente che, trattandosi di qualcosa di oneroso, ogni strategia di conservazione deve essere in primis economicamente sostenibile.

Il mantenimento del valore giuridico

Ho volutamente tenuto separato questo aspetto perché non è intrinsecamente legato alla conservazione, non almeno nel breve periodo. È comunque il problema che probabilmente e comprensibilmente più sta a cuore, specie in un contesto giuridico. Riguarda i documenti sottoscritti con firma digitale/qualificata. E, sottolineo e ripeto, non ha nulla a che fare con le problematiche di obsolescenza di cui sopra, almeno nel breve periodo. Che, allo stato attuale, è sicuramente superiore ai 10 anni. Il problema è invece legato alla scadenza dei certificati.

Non vi è dubbio comunque (art. 20 e 24 del CAD) che un documento sottoscritto con firma digitale, con certificato che al momento della sottoscrizione non risulti scaduto/revocato/sospeso, ha pieno valore legale. Basta quindi che il documento sia integro e che si possa collocare temporalmente in un momento in cui il certificato sia valido. E per fare questo basta una marca temporale (o un altro riferimento temporale valido, come ad esempio nel caso della PA, la data risultante dalla segnatura di protocollo). Non serve, né tecnicamente parlando, né dal punto di vista normativo (anche se alcuni non sono d’accordo su questo), che questo sia stato riversato in un sistema di conservazione a norma.

Perché il documento firmato digitalmente, se integro e dotato di un riferimento temporale certo che verifichi quando disposto dall’art. 24 comma 3 del CAD, è di fatto auto consistente, nel senso che possiede da solo le necessarie caratteristiche di integrità, immodificabilità, originalità e riconducibilità all’autore. Ovviamente lo stesso dicasi, a maggior ragione, per il documento riversato in un sistema di conservazione, ma è bene rimarcare che questa è una condizione sufficiente ma non necessaria per il mantenimento del valore giuridico del documento informatico.

È altrettanto pacifico, e serve rimarcarlo, che questo invece non vale nel lungo termine. Perché, se ad esempio fra 30 o 40 anni fosse necessario leggere e verificare un documento firmato digitalmente, questo potrebbe non essere più possibile, se non per l’obsolescenza del formato, almeno per la verifica della firma, visto che chi eroga la firma non ha l’obbligo di detenere i dati relativi ai certificati oltre i 20 anni. In realtà da questa eventualità ci si potrebbe comunque proteggere, utilizzando gli appositi profili di firma B-LT e B-LTE ma ciò non toglie che prima o poi ci si scontrerebbe con problemi di obsolescenza.

Ad un certo punto quindi, il documento (e qualsiasi altro oggetto) digitale richiede un trattamento speciale che solo un apposito sistema di conservazione è in grado di garantire, non soltanto dal punto di vista tecnologico ma anche, e forse soprattutto, dal punto di vista gestionale/organizzativo. L’importante è capire quando è “un certo punto”, senza magari spingersi, per prudenza, a considerarlo, fin da subito. Insomma, deve essere chiaro quale modello di conservazione si intende perseguire.

Conclusione

Il fatto che il problema della conservazione (da tutti i punti di vista possibili) del digitale a lungo termine sia stata affrontata è in realtà un’ottima cosa, serve però “aggiustare la mira”, declinandola in modo diverso, più consono agli stessi standard adottati e soprattutto sostenibile, nel tempo ed economicamente.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4