Per fare l’amministrazione digitale non bastano firme elettroniche, cloud e blockchain: ecco cosa serve - Agenda Digitale

l'analisi

Per fare l’amministrazione digitale non bastano firme elettroniche, cloud e blockchain: ecco cosa serve

Le nuove firme elettroniche sono processi di attribuzione di paternità ad atti che avvengono online, che vanno resi affidabili da sistemi di custodia digitale in grado di assicurare imputabilità giuridica, integrità, certezza e sicurezza ai dati processati. La formazione è cruciale e il PNRR può essere la svolta

22 Set 2021
Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni

Solo fino a qualche decennio fa l’accesso alla “vita attiva” del nostro Paese era strettamente legato all’agognato raggiungimento di un sufficiente e diffuso livello di alfabetizzazione. Oggi non siamo poi così distanti, se non fosse che i cittadini digitali più che con l’“alfabetizzazione” debbano fare i conti (anche) con un appropriato livello di “metadatazione”, affinché l’esercizio dei loro diritti e la stessa democrazia siano adeguatamente garantiti e tutelati nel nostro Sistema Paese. Cosa significa?

Il futuro digitale sta effettivamente spazzando via documenti e firme per come li abbiamo intesi sino ad oggi. Ma resisterà nel tempo l’esigenza di attribuire comportamenti digitali giuridicamente rilevanti, attraverso processi dinamici, innovativi e rigorosi, in mano a terze parti fidate che siano in grado di continuare ad assicurare sia imputabilità giuridica, integrità, certezza e sicurezza ai dati processati e sia il mantenimento nel tempo in forma autentica a tali informazioni di rilievo giuridico, storico e archivistico. Tutto questo non lo risolvono solo tecnologie di cloud, di firma digitale/elettronica o di blockchain, ma vanno sviluppati invece sistemi di gestione documentale organizzati includendo risorse umane preparate.

Conservazione digitale, ultimi mesi per adeguarsi alle Linee guida: cosa cambia

Il ritorno all’oralità dei bit

Il dibattito odierno si è ormai focalizzato su una parte del problema, ossia sulla scelta del tipo di cloud a cui affidare il Paese e sulle (relative) certezze garantite da firme elettroniche e registri distribuiti.

WEBINAR
27 Ottobre 2021 - 09:30
FORUM PA 2021- One Health, prevenzione e cura attraverso l'innovazione digitale
Digital Transformation
Sviluppo Sostenibile

Tuttavia, la portata della questione è ben più ampia, risiede nei bit stessi, che per loro natura si avvicinano più alla volatilità della parola, piuttosto che alle certezze dello scritto. Verba volant, scripta manent, riletto in chiave digitale, ci permette di comprendere quanto i bit si avvicinino all’oralità nella rappresentazione di fatti, atti o dati giuridicamente rilevanti. Ma se a questi dati vogliamo garantire forza giuridica e farla resistere nel tempo, non è sufficiente focalizzarsi su uno strumento, ma occorre intrecciare strumenti, regole e risorse in un unico sistema di formazione, gestione e conservazione di documenti di natura informatica.

Stiamo parlando di strumenti tecnologici che possono risolvere problemi, snellire procedure, processi e procedimenti, sviluppare innovazione, attribuire identità, solo se con efficacia vengono inseriti in corrette strategie organizzative e ovviamente normative. Il cloud, ad esempio, è senz’altro un’ottima soluzione tecnologica in grado di abbattere costi e ottimizzare risorse. Ma è un contenitore e, quindi, va anche e soprattutto meditato il suo contenuto per costruirlo e proteggerlo in base ai reali rischi che corre.

Fu vera trasformazione digitale?

La bussola in materia di regolamentazione della tecnologia digitale sembra impazzita (nel bene e nel male) in quest’ultimo periodo.

Da una parte l’attuale Piano Triennale prevede che la strategia Cloud delineata da AGID si poggi su un rigoroso percorso di qualificazione per i soggetti pubblici e privati che intendono fornire servizi cloud alla pubblica amministrazione. Dall’altra c’è una forte tensione verso le tecnologie blockchain in modo da ottenere un riconoscimento europeo che possa rendere più solido lo zoppicante percorso posto in essere dalla normativa italiana.

Blockchain e nuovo eIDAS, come saranno i registri distribuiti: ecco le regole

Da ultimo la spinta alla digitalizzazione nel nostro Sistema Paese è arrivata anche attraverso gli artt. 38-43 del Decreto Semplificazioni (DECRETO-LEGGE 31 maggio 2021, n. 77, come coordinato con la legge di conversione 29 luglio 2021, n. 108), nei quali – accanto ai nuovi poteri di controllo attribuiti ad AgID – sono previste importanti semplificazioni sia in materia di procedimenti elettorali, attraverso la diffusione delle comunicazioni digitali con le PP.AA. e sia per la raccolta di firme digitali (in realtà, trattasi anche di firme elettroniche, nonostante la rubrica dell’articolo faccia riferimento solo a quelle digitali) tramite piattaforma o strumentazione elettronica ai fini degli adempimenti di cui agli articoli 7 e 8 della legge 25 maggio 1970, n. 352 (necessaria per i referendum).

In particolare, queste ultime semplificazioni hanno portato recentemente alcuni promotori di un referendum a utilizzare una piattaforma cloud di raccolta firme basata sull’art. 65 comma 1 lett. b) del CAD (Codice dell’amministrazione digitale), dove si prevede che le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici sono valide quando l’istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), la carta di identità elettronica o la carta nazionale dei servizi. Lo sviluppo di queste “nuove” modalità di firma (erroneamente definite “firme digitali” dalla stampa generalista) che vantano alcune tipologie di autenticazione forte è portato avanti da una società specializzata e si basa su condizioni di utilizzo non particolarmente dettagliate.

Non si vuole discutere oggi in merito all’opportunità di utilizzare questa “modalità cloud” per semplificare in modo notevole la raccolta firme dei referendum. La necessità di snellire burocraticamente un iter – che forse andrebbe risolto ex lege e non solo attraverso strumenti digitali – è evidente, ma si vuole ragionare solo su come si sta portando avanti la trasformazione digitale di questo Paese. C’è davvero certezza tecnico-giuridica, in mancanza di solide basi di gestione documentale?

Di cosa potremo fare a meno e di cosa no (specie dinanzi a un giudice)

Nell’eGovernment, nell’eBusiness o nell’eCommerce non ci sarà, quindi, più bisogno di firme? L’imputabilità giuridica verrà superata, ad esempio, da pagamenti elettronici garantiti da sistemi di blockchain? Molti lo danno per scontato, ma non è proprio così. Mi occupo di queste questioni dalla fine degli anni ’90 e non è cambiato molto, anche nella confusione di un approccio giuridico su tematiche che restano delicate e affascinanti. Anzi, se possibile, la confusione è aumentata nelle ultime scelte legislative così concentrate sugli strumenti e poco sulle strategie.

Secondo le interpretazioni più estreme e orientate verso l’aformalismo dell’e-commerce siamo destinati a cancellare, ad esempio, tutte le esigenze informative del B2C e anche del B2B? Oppure a eliminare il formalismo dei procedimenti amministrativi in nome della trasparenza digitale?

In realtà, a un giudice (e anche alle varie Authority di controllo) si dovrà continuare a dimostrare di aver garantito al destinatario dei servizi in maniera affidabile una determinata trasparenza informativa precontrattuale (e in determinati casi – come, ad esempio, quando richiesto dalla normativa sulla protezione dei dati personali – la sussistenza di un consenso). Così come per una PA sarà essenziale continuare a garantire la fede pubblica attraverso un archivio digitale.

Quelle informazioni rese attraverso i bit, garantite da una firma in cloud (o via sms come si legge in giro), strutturate in registri distribuiti, vanno manutenute per essere garantite nella loro autenticità (quindi integre, immodificabili e imputabili giuridicamente) e leggibili nel tempo e, pertanto, si deve dimostrare che siano state rese (e che quindi che provengono da una specifica struttura). Ad esempio, un’informazione da rendere on line va dimostrato che è stata letta e compresa (e in determinati casi accettata) dal destinatario di servizi e ciò costituisce un presupposto per la validità di tutti gli atti successivi di negoziazione on line. Non confondiamo il superamento della sottoscrizione nell’eCommerce con la mancanza di necessaria imputabilità giuridica di determinate manifestazioni di volontà informative e di carattere pre-contrattuale (ma anche post-contrattuale, come previsto ad esempio con il decreto legislativo 70/2003) che il prestatore del servizio obbligatoriamente deve rendere. Così come in un portale di e-Government si deve garantire l’avvio di istanze on line attraverso un sistema di registrazione affidabile, che – attraverso una metadatazione coerente – assegni quelle informazioni a colui che previa autenticazione forte (SPID, CIE o CNS) le abbia conferite e questo procedimento va garantito in un fascicolo informatico custodito nel tempo.

Firme elettroniche e metadatazione: un binomio indissolubile

Del resto, le nuove firme elettroniche sono processi di attribuzione di paternità ad atti che avvengono on line, i quali vanno resi affidabili da sistemi maturi di custodia digitale. Questo ci ha insegnato nel tempo il legislatore tecnico e in questo l’Italia si è distinta durante gli ultimi anni in una costruzione giuridico-tecnica che ha mirato a risolvere, nella sua delicatezza e complessità, il passaggio dalla solidità della carta alla leggerezza dei bit nella rappresentazione di accadimenti giuridicamente rilevanti.

Questa importante tradizione giuridica è stata messa a dura prova negli ultimi anni. AgID ha compiuto un notevole sforzo sistematico nel rinnovare le regole tecniche prima contenute in diversi DPCM all’interno di un unico corpus normativo e, cioè, le Linee Guida sulla Formazione, Gestione e Conservazione dei documenti informatici. Al contempo, però, la normativa tecnica ha compiuto un passo indietro in materia di accreditamento, prima obbligatorio per i servizi di conservazione offerti alle PA, che nel CAD è confluito in una forma di qualificazione facoltativa, la quale rischia pericolosamente di abbassare la sicurezza nei processi di gestione documentale nelle PA (già messi a dura prova in questi mesi da continui attacchi informatici). A questo si aggiunga che le nuove regole hanno irrigidito troppo i criteri di metadatazione rendendola difficilmente praticabile in molti contesti documentali, che invece andrebbero differenziati andando anche oltre la dicotomia privato/pubblico.

Conservazione, perché il regolamento Agid distrugge il mercato

Parliamone. Serve (soprattutto) consapevolezza

Insomma, c’è ancora tanta strada da fare a livello digitale per garantire affidabilità giuridico-contrattuale e archivistica, anche a livello di costruzione di necessarie competenze in grado di cavalcare in modo affidabile questo cambiamento che deve essere percepito, quindi, nella sua delicatezza e complessità.

Io spero, pertanto, che il nostro Sistema Paese acquisisca nuova, rinnovata consapevolezza sul fatto che non sia sufficiente “andare verso sistemi in cloud”, se possibile nazionali o comunque europei (e ovviamente spero che si vada verso queste soluzioni di protezione della sovranità digitale, considerato che dagli archivi dipende la nostra democrazia) per preservare la memoria delle nostre PA, ma anche delle nostre imprese.

Non è sufficiente pertanto concentrarsi solo sul passaggio verso il cloud (con scelta di determinate tipologie), ma occorre piuttosto comprendere come proteggere esattezza, integrità, imputabilità giuridica e quindi autenticità nel tempo al patrimonio informativo e documentale nazionale ivi contenuto sotto forma di dati, documenti e fascicoli informatici.

Su questo nelle nostre PA c’è nella migliore delle ipotesi ignoranza, nella peggiore disorientamento ed evasività, se non ottusa contrarietà. E sulla sicurezza informatica e sulla conservazione (attraverso fornitori qualificati) degli archivi digitali si stanno compiendo purtroppo – e come già sottolineato – pericolosi passi indietro nel nostro Sistema Paese.

Occorre discutere con pazienza e determinata attenzione di questi temi, perché è già tardi. E la formazione dei dipendenti pubblici rimane fondamentale.

Iniziamo a farlo, magari sfruttando a dovere i fondi del PNRR, senza innamorarci troppo di slogan e singoli strumenti tecnologici.

____________________________________________________________

Di questi delicati temi discuteremo il prossimo 5 ottobre in occasione del Primo Forum Nazionale dei Responsabili della Conservazione organizzato da ANORC su piattaforma DIG.eat, durante il quale si farà il punto sullo stato della conservazione dei documenti informatici, sugli standard comuni e sulle prospettive europee. La partecipazione è gratuita e aperta a tutti gli interessati.

WHITEPAPER
SAP S/4HANA per il cost saving: quanto si risparmia con l’ERP SAP di nuova generazione
Amministrazione/Finanza/Controllo
ERP
@RIPRODUZIONE RISERVATA

Articolo 1 di 3