le novità

Nuove regole tecniche sul documento informatico: verso un sistema organico

Le precedenti regole tecniche su formazione, gestione e conservazione del documento informatico erano contenute in una molteplicità di atti, con norme spesso ridondanti. Le Linee Guida Agid poste a consultazione cercano di creare un sistema organico che tenga conto anche della giurisprudenza e delle innovazioni tecnologiche

28 Nov 2019

Dopo cinque anni, l’Agenzia per l’Italia Digitale rimette mano alle regole tecniche sul documento informatico e lo fa mediante il nuovo strumento delle Linee Guida, introdotto dal correttivo al Codice dell’Amministrazione Digitale (CAD – D.lgs. 82 del 2005) del 2017 (D.lgs. 13 dicembre 2017, n. 217).

Senza entrare nel merito della questione relativa al valore giuridico delle “nuove” Linee Guida, che sostituisco i vecchi di “DPCM”, in questo articolo cercheremo di analizzare le novità introdotte dal documento inviato in consultazione pubblica.

Linee guida per un sistema organico di regole

Le precedenti regole tecniche sulla formazione, gestione e conservazione del documento informatico erano contenute in una molteplicità di atti, con norme spesso ridondanti e poco armoniose tra loro.

Le Linee Guida in discussione pubblica cercano di ricondurre ad un sistema organico non solo le precedenti regole tecniche sul documento informatico, sulla gestione e sulla conservazione, ma di tener conto e fare tesoro anche di tutti i quesiti e le richieste di chiarimenti pervenute ad AGID nel corso degli ultimi 5 anni, nonché della giurisprudenza e della dottrina formatasi in questo periodo, senza dimenticare le innovazioni ed i mutamenti tecnologici intervenuti.

Per quanto AGID abbia cercato di rendere il documento “autoconsistente”, in ogni caso, le “nuove” regole tecniche devono essere lette con accanto il testo del CAD e del TUDA (DPR 445 del 2000), che contengono le norme e le definizioni di base, non riportante nel già corposo testo delle Linee Guida, inoltre, non sono state introdotte nemmeno le definizioni che per legge sono di competenza di altri Enti ed organismi, come ad esempio la definizione di repertorio.

Il paragrafo 1.4 delle Linee Guida, così com’è, abrogherà espressamente il DPCM 13 novembre 2014, contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici”, il DPCM 3 dicembre 2013, contenente “Regole tecniche in materia di sistema di conservazione”, ad eccezione dell’art. 13 che rimane in vigore fino alla emanazione delle Linee guida di cui all’art. 29 del CAD, infatti la Circolare n. 65 del 10 aprile 2014 non è interessata dalle suddette Linee Guida.

È prevista, inoltre, anche l’integrale sostituzione della Circolare n. 60 del 23 gennaio 2013 dell’AGID, in materia di “Formato e definizione dei tipi di informazioni minime ed accessorie associate ai messaggi scambiati tra le Pubbliche Amministrazioni”, con l’allegato 6 relativo a “Comunicazione tra AOO di documenti amministrativi protocollati”.

Per quanto concerne, invece, il DPCM 3 dicembre 2013, contenente “Regole tecniche per il protocollo informatico”, non essendo stato possibile prevedere l’abrogazione dell’intero dispositivo, in quanto adottato in attuazione tanto del CAD quanto del TUDA, sono state puntualmente individuate le singole disposizioni che sono abrogate.

Quali argomenti non rientrano nelle Linee guida

Dopo aver chiarito le abrogazioni e la loro portata, prima di addentrarci nell’esame delle novità introdotte, occorre esaminare quali argomenti non rientrano in queste Linee Guida.

In particolare, sono due gli ambiti che l’AGID ha scelto di non trattare nella stesura di questa sorta di testo unico: la trasmissione e la sottoscrizione elettronica del documento informatico.

Alcuni hanno considerato questa come una grave mancanza, occorre però considerare che la trasmissione e la sottoscrizione elettronica sono state oggetto di un’apposita normativa comunitaria, il Regolamento eIDAS (Reg. UE n. 910/2014), che ha toccato solo incidentalmente il documento informatico.

Secondo la nostra modesta opinione, sembra, però, corretto, che queste due materie siano oggetto di apposite Linee Guida, come è reso evidente nei due richiami, effettuati nel paragrafo 1.6, alle Linee Guida sui domicili digitali e alle Linee Guida sui certificati elettronici qualificati.

Come si compongono le linee guida

Entrando ora nel merito, diversamente dalle precedenti regole tecniche, le Linee Guida in discussione non contengono solo precetti normativi, ma anche indicazioni pratiche e consigli su come adempiere alle varie prescrizioni, ulteriori indicazioni e specificazioni potranno essere fornite dall’Agenzia per l’Italia Digitale, mediante future circolari e linee guida di indirizzo.

Sebbene queste Linee Guida cerchino di aggiornare le regole tecniche sul documento informatico, per adeguarle all’attuale contesto normativo e tecnologico, non fanno tabula rasa del pregresso, anzi, partendo proprio dalle norme già consolidate delle precedenti regole tecniche, cioè da quelle norme che nel corso degli ultimi 5 anni sono state oggetto di una attenta opera di studio ed interpretazione da parte degli esperti del settore e degli operatori, riscrivono ed introducono altre regole per chiarire concetti ed aspetti poco chiari e finora non ben comprensibili.

Tutto ciò consente, come spesso accade, di non distruggere né disconoscere quanto di buono è stato fatto negli anni precedenti e non destabilizzare un sistema che ha raggiunto una certa maturità, eliminando anche le certezze acquisite.

Il testo si compone di un documento principale articolato in 4 capitoli e di 6 allegati:

  1. Glossario dei termini e degli acronimi
  2. Formati di file e riversamento
  3. Certificazione di processo
  4. Standard e specifiche tecniche
  5. Metadati
  6. Comunicazione tra AOO di Documenti Amministrativi Protocollati.

In tutto il documento, proprio nell’ottica di semplificazione individuata dal legislatore, sono state richiamate in nota le norme citate.

WHITEPAPER
Sicurezza nel cloud: una guida ad architetture e soluzioni
Cloud
Sicurezza

Nel primo capitolo particolare rilevanza è data all’ambito soggettivo, in generale le linee guida si applicano ai soggetti di cui all’art. 2, commi 2 e 3 del CAD mentre le disposizioni particolari per la Pubblica Amministrazione sono evidenziate di volta in volta nel testo, ed all’ambito oggettivo delle Linee Guida, ossia le disposizioni del CAD a cui è data attuazione.

Il secondo capitolo disciplina la formazione dei documenti informatici, occupandosi delle modalità di formazione del documento informatico, delle copie, dei duplicati e degli estratti; inoltre un paragrafo specifico è riservato al documento amministrativo informatico.

La gestione documentale è affrontata nel terzo capitolo e, sempre tenendo presente la limitazione della delega di AGID in materia, è stata profondamente rivista ed integrata con gli specifici richiami al TUDA.

Con il supporto delle Istituzioni archivistiche è stato fatto un importante lavoro di valorizzazione dei paragrafi relativi a classificazione dei documenti informatici (3.2), aggregazioni documentali informatiche e archivio informatico (3.3), compiti del responsabile della gestione documentale (3.4) e manuale di gestione documentale (3.5). Di rilevanza fondamentale l’introduzione dei paragrafi relativi ai formati di file ed al riversamento.

Il quarto ed ultimo capitolo si occupa della conservazione, dove si è voluto reintrodurre il concetto di conservatore accreditato non più presente nel CAD e definire meglio le aree di competenza e le professionalità richieste ai conservatori da quelle del Titolare dell’oggetto di conservazione.

Sono stati introdotti i sei profili professionali che devono essere presenti nell’organizzazione di un conservatore accreditato e delineata, in caso di affidamento del servizio, la ripartizione delle competenze fra Responsabile del servizio di conservazione e Responsabile della conservazione.

Il Responsabile della conservazione deve essere interno alla PA

Inoltre, è stato chiarito che la redazione del manuale di conservazione spetta sempre al Responsabile della conservazione, fermo restando il coordinamento con il manuale del conservatore accreditato in caso di affidamento Responsabile della conservazione che, per la Pubblica Amministrazione, resta un soggetto interno, al contrario di quanto può avvenire per i privati che possono avvalersi anche di un “libero professionista”, purché garantisca i necessari requisiti di terzietà rispetto al Conservatore accreditato.

Questa, che potrebbe, essere considerata un’ingiustificata disparità di trattamento, soprattutto nel caso di piccoli Enti pubblici, sprovvisti di un’adeguata figura professionale, vuole rappresentare, invece, una garanzia per i cittadini e la comunità, impedendo che la Pubblica Amministrazione affidi a terzi l’onore e gli oneri legati al ruolo di Responsabile della conservazione, senza più seguire di prima persona la conservazione dei propri documenti.

Pertanto, così come avviene per altre figure a cui nella Pubblica Amministrazione è demandata la responsabilità di garanzia e controllo in particolari settori e funzioni, anche per la conservazione dei documenti amministrativi informatici è stato deciso di non consentire di delegare questa funzione di garanzia all’esterno, lasciando unicamente al soggetto pubblico la responsabilità di una funzione così delicata.

Occorre considerare, poi, che, in base all’art. 44, 1-quater, del CAD, è il Responsabile della conservazione, che decide se procedere alla conservazione dei documenti informatici all’interno dell’Ente o se affidarla all’esterno, decisione che può essere presa nell’ambito di una pubblica amministrazione solo da parte di un soggetto interno alla stessa e dotato di idonei poteri decisionali.

Utilizzo del cloud nella conservazione dei documenti

Il paragrafo 4.12, che tratta la selezione e scarto dei documenti informatici, è stato redatto con il supporto delle Istituzioni archivistiche, definisce la procedura da attuare ed i soggetti che ne sono responsabili.

Le Linee Guida affrontano, inoltre, l’importante aspetto del cloud nella conservazione dei documenti informatici da parte dei soggetti pubblici e dei conservatori accreditati, ribadendo che la “materiale” conservazione dei dati e delle copie di sicurezza di questi soggetti deve avvenire sul territorio nazionale. Le relative componenti tecnologiche, hardware e software, possono essere eventualmente utilizzate solo per fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale SPID.

Sulla scelta di mantenere gli oggetti conservati all’interno del territorio nazionale si è tenuto anche conto delle esigenze derivanti dalle attività di vigilanza in capo ad AgID e a quei soggetti cui, per legge, è demandata la vigilanza in materia come le Soprintendenze archivistiche, così come previsto dall’art. 36, comma 2, lett. a) del D.P.C.M. 29 agosto 2014, n. 171[1], che al di fuori dei confini nazionali perderebbero la propria giurisdizione.

In sostanza, una Pubblica Amministrazione o un Conservatore accreditato, che volesse avvalersi di sistemi in cloud per i propri sistemi di conservazione, dovrebbe rivolgersi esclusivamente a fornitori che abbiano un’infrastruttura per la fornitura di servizi di cloud conforme ai requisiti di sicurezza previsti per i servizi di cui all’art. 29 del CAD e riservata, sia “logicamente” sia “fisicamente”, a questi servizi.

Non possono, quindi, coesistere accanto al servizio di conservazione, ad esempio, servizi di posta elettronica non certificata o “semplici” servizi per il repository di file.

Inoltre, nel caso di servizi erogati per la pubblica amministrazione, il servizio deve essere qualificato come previsto dalla Circolare AgID n. 3 del 9 aprile 2019 e, conseguentemente, essere presente nel “Catalogo dei servizi cloud per la PA qualificati”.

Aggiornamento e revisione degli allegati

In merito agli allegati è stato fatto un lavoro di aggiornamento e revisione importante: il Glossario è stato rivisto ed integrato chiarendo le precedenti definizioni ed introducendone di nuove.

Formati di file e riversamento

Il secondo allegato sui formati di file e riversamento è molto corposo e completamente rivoluzionato rispetto al precedente, con l’introduzione di nuovi formati e la previsione, per ogni formato, di una scheda descrittiva contenente apposite raccomandazioni per la lettura e la scrittura dei documenti.

La certificazione di processo

Il terzo allegato introduce la “certificazione di processo” nella gestione e conservazione del documento informatico, dando così, finalmente, concreata attuazione agli articoli 22, comma 1bis, sulle “Copie informatiche di documenti analogici”, e 23-ter, comma 1bis, sui “Documenti amministrativi informatici”, del CAD.

Il Codice, infatti, statuisce che la copia informatica di un documento analogico è quel documento che ha contenuto e forma identici a quelli del documento originale da cui è tratto ed occorre predisporre processi e strumenti che, mediante il “raffronto” della copia con l’originale, garantiscano tale eguaglianza.

Questa prima parte sembra, quindi, fare riferimento a processi non automatizzati che richiedono il raffronto visivo da parte di un operatore, quindi l’intervento umano, al fine di verificare l’identità di contenuto e firma tra copia e originale.

I due articoli, però, continuano aggiungendo che, oltre a processi basati sul raffronto, è possibile utilizzare processi che, a prescindere dal “raffronto”, quindi, dall’intervento umano, diano garanzia della “corrispondenza dell’originale e della copia”, purché tali processi siano certificati.

Questa previsione sembra fare riferimento, a sistemi automatizzati che, pur non avendo la capacità cognitiva di effettuare un raffronto di forme e contenuto tra due documenti, consentono, comunque, di generare una “perfetta” copia informatica di un documento analogico.

La certificazione, pertanto, deve riguardare un processo che garantisca un determinato risultato, cioè l’identità tra copia e originale.

La finalità è quella di consentire la dematerializzazione di grandi quantità di documenti analogici, evitando, così, di dover ricorrere allo strumento del raffronto per la copia di ogni singolo documento.

L’allegato si spinge fino a chiarire l’efficacia probatoria della certificazione di processo, distinguendo, giustamente, tra il valore probatorio della copia informatica – risultato della certificazione di processo – con attestazione di conformità all’originale rilasciata da un notaio o da altro pubblico ufficiale e la copia informatica – risultato della certificazione di processo – che non contenga una attestazione del notaio o altro pubblico ufficiale.

Nel fare tale distinzione, l’allegato indica che “una copia fatta da chiunque fa piena prova fino a disconoscimento e che il soggetto che vuole comunque utilizzare quel mezzo di prova deve proporre istanza di verificazione (ex artt. 2712 c.c. e 216 del c.p.c.)”.

Questa precisazione sembra, però, mal conciliarsi con la recente sentenza della Corte di Cassazione, n. 19155 del 17/07/2019, in cui la Corte sancisce che per poter far valere in giudizio un documento informatico non riconosciuto dall’autore non è necessario proporre istanza di verificazione, in quanto l’art. 20 del CAD attribuisce al giudice il potere di valutare liberamente “l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio” in relazione alle caratteristiche di sicurezza, integrità e immodificabilità”.

Trasporto di documenti amministrativi informatici tra AOO della PA

L’ultimo allegato, relativo alle “Comunicazione tra AOO di Documenti, Amministrativi Protocollati”, individua le modalità tecniche per assicurare il trasporto di documenti amministrativi informatici tra AOO della pubblica amministrazione, al fine di adempiere a quanto previsto sia nel “Piano Triennale per l’Informatica nella Pubblica Amministrazione” sia nell’art. 47 del CAD, favorendo “l’interazione tra i sistemi informatici delle PA” mediante la comunicazione automatizzata, “tra amministrazioni e/o tra le Aree Organizzative Omogenee (AOO) delle pubbliche amministrazioni”, dei documenti amministrativi informatici protocollati.

Il 4 novembre le linee guida sul documento informatico sono state notificate all’Unione Europea ai sensi della Direttiva 2015/1535, procedura che terminerà il 5 febbraio 2020; la prima fase prevista per l’emanazione delle regole tecniche ex art. 71 del CAD è ormai giunta al termine, il 16 novembre, infatti, è scaduto il termine della consultazione pubblica, durante la quale chiunque ha potuto commentare il testo delle nuove regole e proporre suggerimenti.

* Gli autori sono di Agid ma scrivono a titolo personale

______________________________________________________________

  1. Regolamento di organizzazione del Ministero dei beni e delle attività culturali e del turismo, degli uffici della diretta collaborazione del Ministro e dell’Organismo indipendente di valutazione della performance, a norma dell’articolo 16, comma 4, del decreto-legge 24 aprile 2014, n. 66, convertito, con modificazioni, dalla legge 23 giugno 2014, n. 89.
WHITEPAPER
Scopri la soluzione per ottenere un approccio agnostico e sicuro ai servizi cloud?
Cloud
Hybrid cloud

@RIPRODUZIONE RISERVATA

Articolo 1 di 4