Conservazione digitale, la qualifica eIDAS per gli operatori: ecco come funziona | Agenda Digitale

La guida

Conservazione digitale, la qualifica eIDAS per gli operatori: ecco come funziona

Dal 7 giugno 2021 diventano pienamente operative le nuove Linee guida Agid sulla conservazione e da quel momento le PA non avranno l’obbligo di rivolgersi a soggetti accreditati per la conservazione dei documenti: garanzie di affidabilità degli operatori sul mercato possono venire dal marchio di fiducia UE

09 Feb 2021
Giovanni Manca

consulente, Anorc

L’abrogazione dell’accreditamento per i conservatori di documenti digitali stabilito nelle nuove Linee guida per la formazione, gestione e conservazione dei documenti informatici emesse da AgID stabilisce nuovi scenari per la fornitura di questo tipo di servizio. Dal 7 giugno 2021, data di piena operatività delle citate Linee guida, le pubbliche amministrazioni non saranno più obbligate a utilizzare per i loro servizi di conservazione un soggetto accreditato perché l’accreditamento non esiste più.

Il mercato libero che si verrà a creare potrebbe non avere chiari punti di riferimento sulla effettiva qualità e sicurezza degli operatori, quindi alcuni di loro che volessero dimostrare di possedere questi requisiti con efficacia legale, possono valutare di qualificarsi per i servizi di conservazione stabiliti nel regolamento 910/2014 (eIDAS) e ottenere il relativo marchio di fiducia UE stabilito nell’articolo 23 del medesimo regolamento. Nel seguito si descrive sinteticamente il procedimento di qualifica che il candidato prestatore di servizi fiduciari di conservazione deve attuare. Si descrivono anche i principali punti che deve contenere il manuale della conservazione comunitario.

Conservazione comunitaria, come si attua

A beneficio del lettore si anticipa che l’investimento per la qualifica non differisce significativamente da quello per l’accreditamento. Il vantaggio della qualifica è ulteriore perché il servizio di conservazione è attuabile nell’intero mercato interno comunitario dove si applica il regolamento eIDAS. La conservazione comunitaria è stabilita negli articoli 34 e 40 del regolamento eIDAS. Nel paragrafo 1 dell’articolo 34 si stabilisce che :

“Un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica”.

Il principio si applica nello stesso modo per i sigilli elettronici qualificati come stabilito nell’articolo 40 del regolamento eIDAS. La specifica tecnica ETSI TS 119 511 V.1.1.1 recante “Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust services providers providing long-term preservation of digital signatures or general data using digital signature techniques” è il documento di riferimento per la procedura di qualifica che, ovviamente, essendo relativa ad un servizio fiduciario deve svolgersi in conformità all’articolo 21 del regolamento eIDAS.

In Italia Accredia, ente unico di accreditamento, ha stabilito le regole per i soggetti autorizzati a rilasciare la relazione di valutazione della conformità con la Circolare tecnica Nr. 5/2020 Rev. 02 del 16 marzo 2020. Accredia fa esplicito riferimento alla sopra citata specifica tecnica ETSI.

La qualifica eIDAS: un vantaggio competitivo ma non un obbligo

Certamente gli obiettivi comunitari sono più limitati (per limiti nei trattati europei di riferimento) ma questa circostanza non pone limiti nell’erogazione dei servizi di conservazione nazionali anche in applicazione delle regole operative locali. È opportuno precisare che l’assenza di una Decisione di esecuzione della Commissione Europea sul tema specifico rende la qualifica un obiettivo di mercato e non un obbligo per la resa di un servizio essendo, tra l’altro, non consentito dal regolamento eIDAS alcun obbligo, in base al principio della neutralità tecnologica.

I requisiti

Il procedimento di qualifica deve avvenire sulla base dello standard generale ETSI EN 319 401 poi calato nel contesto della conservazione tramite l’ETSI TS 119 511. Quest’ultimo, partendo dal documento generale puntualizza i singoli elementi di qualità e sicurezza per lo specifico scenario.

WEBINAR
Business Agility: come le linee di business possono essere protagoniste del cambiamento?
Digital Transformation
Risorse Umane/Organizzazione

I requisiti finanziari per la qualifica sono “importanti”. Alla data in Italia il capitale sociale richiesto per la società che intende qualificarsi è di almeno 5 milioni di euro. Questa cifra è comunque disponibile per molti soggetti accreditati alla data, inoltre è imminente l’emissione di un DPCM che modifica il capitale sociale per i soggetti che intendono qualificarsi eliminando questo vincolo. Le notizie in nostro possesso riportano che la base organizzativa e finanziaria sarà simile a quanto stabilito per SPID, il Sistema Pubblico di Identità Digitale.

Considerato risolto il vincolo finanziario cominciamo ad analizzare il processo di accreditamento ovvero come il soggetto che redige la relazione di conformità svolgerà i controlli del caso. Il soggetto candidato alla qualifica dovrà essere in possesso di una certificazione ISO 9001 e ISO 27001 con la documentazione a supporto conforme ai documenti ETSI sopra citati.

Che cos’è il Manuale del sistema di conservazione

Il documento al quale si farà riferimento è il manuale del sistema di conservazione che può essere inteso, in senso più generale, come il manuale operativo pubblicato per i servizi fiduciari di emissione di certificati qualificati per la firma e il sigillo elettronico o di marche temporali. La sua struttura generale deve contenere una serie di informazioni obbligatorie in particolare sui criteri e sui requisiti di sicurezza.

Il contenuto del Manuale del sistema di conservazione

Esso deve contenere:

  • il modello organizzativo definito per il sistema di conservazione;
  • la definizione di competenze, ruoli e responsabilità degli attori coinvolti nel processo di conservazione dei documenti;
  • l’elenco delle tipologie degli oggetti da conservare, inclusa l’indicazione dei formati supportati, i metadati da associare ai diversi tipi di documenti e le eventuali eccezioni;
  • le procedure per garantire la conservazione dei documenti informatici prodotti e ricevuti dai singoli clienti, nonché dei file e record, garantendo le caratteristiche di autenticità, integrità, affidabilità, leggibilità e disponibilità;
  • il trattamento dell’intero ciclo di gestione dell’oggetto conservato nell’ambito dei processi di conservazione;
  • le modalità di accesso a documenti e archivi conservati, per il periodo prescritto dalle specifiche, indipendentemente dall’evoluzione del contesto tecnologico e del processo espositivo e le modalità di esibizione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
  • le procedure di monitoraggio del sistema di conservazione e verifica dell’integrità degli archivi indicando le soluzioni adottate in caso di guasti;
  • le modalità di duplicazione o produzione di copie di cui al D.lgs. 82/2005 e successive modificazioni (Codice dell’Amministrazione Digitale – CAD);
  • il tempo entro il quale i vari tipi di documenti devono essere cancellati o trasferiti in archivio anche secondo specifiche normative nazionali;
  • altre informazioni di natura legale e assicurativa relativa al servizio di conservazione.

Il terzultimo punto è evidentemente necessario per una società che opera in Italia e deve attenersi a misure o pratiche legislative o prassi amministrative a tal fine indispensabili. Nel manuale, allo scopo, sarà opportuno prevedere un capitolo per “normative e standard di riferimento”. Per l’applicazione del quartultimo punto invece si dovrà fare riferimento ai tempi massimi di conservazione stabiliti in conformità al regolamento europeo 679/2016 sulla protezione dei dati personali.

Come prassi, anche per una corretta interpretazione di termini ed acronimi, nel manuale sarà presente un glossario. Come previsto dalle specifiche ETSI citate un capitolo sarà dedicato a “Ruoli e Responsabilità” dell’organizzazione referenziando il Responsabile della Conservazione e quanto relativo alla protezione dei dati personali. Stesso discorso per i dettagli sull’organizzazione e le competenze delle risorse umane per il sistema di conservazione.

I documenti che si possono conservare

A questo punto deve essere descritto cosa si conserva facendo riferimento a ISO 14721:2012 ovvero al modello di riferimento per gli Open Archival Information System (OAIS). Quindi si descriveranno gli oggetti che vengono posti in conservazione e i meccanismi attuati per i pacchetti di versamento, di archiviazione e di distribuzione. La descrizione del sistema di conservazione potrà essere dettagliata in base al contesto di riferimento ma certamente dovranno essere descritti il contesto fisico e logico del sistema di conservazione, le misure di sicurezza adottate anche nella gestione delle risorse umane e le procedure di controllo interno (audit).

Altre informazioni di carattere commerciale e di interazione con il cliente possono essere inserite ove necessarie operativamente e perché importanti nel contesto legale e commerciale dello Stato membro. Come ulteriore contenuti per il manuale della conservazione si evidenzia che è necessario indicare la gestione economica dei danni al cliente e le indicazioni delle polizze assicurative attive per il servizio. Anche il foro competente per i contenziosi è indispensabile.

Attualmente negli elenchi di fiducia comunitari (Trust List) pubblicati dalla Commissione Europea sono iscritti 14 soggetti che prestano servizi fiduciari di conservazione di servizi e sigilli. Un soggetto pur essendo qualificato all’estero ha un manuale di conservazione che fa riferimento al CAD. Per consultare l’elenco comunitario anche con il livello di dettaglio desiderato per i singoli servizi fiduciari è disponibile una pagina online.

Conclusioni

Per quanto qui descritto, si vede che il contesto comunitario può convergere senza problemi con quello nazionale. Ulteriori indicazioni sul futuro della conservazione dei documenti digitali in Italia si avranno con l’emissione da parte di AgID del Regolamento stabilito nel CAD a seguito delle modifiche attuate con la legge di semplificazione 2020. Questo Regolamento (art. 34, comma 1-bis) stabilirà i criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, “avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione”.

È evidente, salvo scelte clamorose da parte di AgID, che i requisiti stabiliti dal Legislatore sono perfettamente in linea con le previsioni comunitarie. Concludendo possiamo ipotizzare che un percorso verso le regole comunitarie per la conservazione può essere di interesse per le società che vogliono sostituire l’istituto dell’accreditamento con il Marchio di fiducia eIDAS. Un ulteriore impulso potrà derivare dalla eliminazione delle barriere economiche nazionali per la qualifica, oggi determinate da un elevato capitale sociale. Lo sforzo economico e organizzativo per ottenere la qualifica per un sistema di conservazione è comunque inferiore a quello necessario per ottenere l’accreditamento come conservatore di documenti digitali vista anche la sostanziale duplicazione di controlli necessari per l’applicazione dei requisiti di qualità e sicurezza stabiliti nella Circolare n. 65 del 10 aprile 2014 dell’AgID.

WEBINAR
360On TV al centro della notizia. Nuovo Governo, la sfida: ricostruire l’economia italiana

@RIPRODUZIONE RISERVATA

Articolo 1 di 4