Il punto sulle nuove Linee Guida dei documenti informatici
A più di un anno dall’entrata in vigore delle norme Agid, a che punto siamo, quali problemi permangono e le prospettive sul nuovo Regolamento eIDAS.
Una ricerca presentata da Anorc Mercato e Anorc Professioni nella primavera di quest’anno ha constatato che le nuove Linee Guida Agid sul Documento Informatico sono state adottate da solo il 4,9% delle principali Pubbliche Amministrazioni italiane. Anche se il periodo di raccolta dei dati per questo studio risale a settembre del 2022, quasi un anno fa, partiamo da queste evidenze per fare il punto della situazione su cosa funziona e cosa non ha funzionato, fino a oggi, con le nuove Linee Guida di Agid, entrate in vigore all’inizio del 2022, quali sono le problematiche ancora aperte e, infine, con quanto invece sta succedendo a livello europeo. Per fare questo abbiamo rivolto alcune domande a Luigi Foglia, segretario generale di Anorc Mercato e ad Alessandro Selam, direttore di Anorc Mercato e Anorc Professioni (per sapere chi è Anorc vedere in fondo all’articolo).
A quasi dodici mesi dalla rilevazione effettuata per la vostra ricerca, come è oggi la situazione?
Luigi Foglia. Purtroppo, dobbiamo dire che la situazione sembra essere migliorata solo di poco, quindi la sensazione è che siamo sostanzialmente allo stesso punto dell’anno scorso.
È da tener presente che la ricerca si è svolta andando a verificare il rispetto di due soli degli obblighi essenziali previsti dalle Linee Guida, ossia: l’approvazione con atto formale e la pubblicazione da parte degli Enti, in apposita sezione dell’area Amministrazione trasparente, del Manuale per la Gestione Documentale e, contestualmente, di quello per la Conservazione Digitale a norma.
Con questo obiettivo ci siamo limitati a indagare i siti web dei 286 enti della PA selezionati per il nostro campione, in pratica quelli più grandi e importanti, tra cui i principali ministeri, qualche grande comune e tutte le regioni.
Perché questo risultato così deludente?
L.F. Fino a oggi ci siamo dati la spiegazione con il fatto che la stragrande maggioranza degli enti sta ancora sottovalutando l’importanza di questi strumenti e più in generale ignora la corretta formazione e gestione del documento informatico, soprattutto quando c’è un obbligo.
La norma sconta anche il fatto di una mancanza di sanzioni efficaci legate al mancato adempimento di quanto previsto dal D.Lgs 82 2005 – CAD e dalle Linee Guida AgID che ne derivano. In realtà delle sanzioni esistono, ma non sono dirette, e solitamente sono legate al raggiungimento di obiettivi che si dà lo stesso ente e alle conseguenti premialità per i dirigenti; e su come queste ultime vengono definite diciamo che dal punto di vista della trasparenza si può ancora migliorare. Di recente è stata introdotto una nuova sanzione diretta a colpire i mancati adempimenti del CAD, codice dell’amministrazione digitale, che permette su segnalazione o su iniziativa spontanea del Difensore Civico Digitale, un ufficio all’interno di Agid, di intervenire segnalando i mancati adempimenti e sanzionando l’amministrazione e, ove possibile, i dirigenti e funzionari di quell’ente che non hanno garantito la piena applicazione del CAD… Ma il Regolamento sanzionatorio approvato, ex articolo 18 del CAD, dalla stessa AgID prevede un percorso molto lungo e complesso per arrivare alla sanzione: nei casi peggiori si potrebbe arrivare a irrogare una sanzione anche dopo 5 anni dalla segnalazione. Quindi l’efficacia anche di queste sanzioni possiamo dire tranquillamente che è molto scarsa se non quasi inesistente.
Approfondiamo un attimo il tema della sottovalutazione dell’importanza di questi strumenti…
L.F. Il tema è sempre quello delle gare d’appalto che privilegiano in modo preponderante il fattore economico. La tendenza è quindi quella di fidarsi senza obiezioni delle dichiarazioni del fornitore, facendo finta di non sapere che la soluzione meno costosa difficilmente supporterà al 100% la normativa. Generalmente funzionari e dirigenti delle PA, inoltre, non hanno le conoscenze e le competenze giuste per poter governare correttamente questi processi di approvvigionamento: spesso leggo capitolati poco attenti alla normativa o, fortunatamente in rari casi, in contrasto con la normativa in vigore. Il più delle volte, ove possibile, si cerca di affidare sottosoglia al fornitore ‘fidato, sperando che fornisca gli applicativi giusti in grado di garantire il rispetto delle norme e dei regolamenti in vigore.
Vediamo amministrazioni che al loro interno utilizzano differenti sistemi di gestione, o che continuano a stampare i documenti informatici nativi per mettere manualmente il timbro e registrarli nel protocollo e poi utilizzare copie su copie… Tutto questo porta a una serie di conseguenze legate soprattutto ai rapporti con i cittadini e alla fruibilità delle informazioni della PA.
Quindi, per quanto riguarda il Documento Informatico ancora molto deve essere fatto, nonostante dalla metà degli Anni 2000, con l’arrivo del CAD, sono stati stabiliti diversi obblighi.
Bisogna però dire che in relazione all’adempimento di obblighi relativi al mondo digitale ci sono molte altre tematiche a cui le amministrazioni devono guardare, come per esempio quelle relative alla cybersecurity che in questi anni è diventata la priorità più importante anche per le PA; gioco forza altri temi invece passano in secondo piano.
E invece quali sono le problematiche che secondo voi presentano ancora oggi le Linee Guida?
L.F. Le Linee Guida nascono con una sorta di peccato originale: sono le stesse sia per i documenti delle PA che per quelli dei privati. Certamente il documento informatico ha caratteristiche comuni, tra pubblico e privato, che richiedono simili attenzioni per la sua formazione, gestione e conservazione: le finalità, però, con le quali si conservano i documenti pubblici sono ben più rilevanti di quelle relative alla conservazione ed esibizione dei documenti. Differenti finalità, differenti requisiti da soddisfare, differenti regole da seguire.
L’obiettivo di avere regole identiche nasce con l’ambizione di innalzare a un livello molto alto la cultura sul trattamento dei documenti in tutti gli operatori privati e pubblici, ma questo obiettivo rischia di rimanere solo scritto sulla carta, mentre invece più realisticamente crea un peso eccessivo per molti soggetti privati, soprattutto piccole imprese, professionisti, lavoratori autonomi.
Oggi stiamo quindi provando a ragionare sulla possibile differenziazione delle regole tra pubblico e privato, proprio per evitare di far vivere gli adempimenti legati al digitale solo come un peso. Nel caso delle aziende private bisognerebbe puntare solo su quegli obblighi per i quali effettivamente le amministrazioni di controllo – finanziaria, giuslavoristica, amministrativa, etc. etc. – hanno delle esigenze e delle necessità particolari; mentre in tutti gli altri casi, fatti salvi dei principi base sulla formazione, gestione e conservazione, ci dovrebbero essere solo delle regole minime, lasciando poi libere le aziende di scegliere come e con quali strumenti gestire tutti gli altri documenti proprio per evitare oneri, anche economici, troppo pesanti. Semmai poi sarà il singolo soggetto a rispondere se non ha garantito l’esibizione di un determinato documento o la disponibilità di un’informazione che la legge stabilisce come obbligatoria.
Un esempio lampante di questa necessaria differenziazione di regole tra pubblico e privato, viene dalla complessa tematica dei metadati obbligatori per i documenti informatici: un corretto utilizzo di metadati da parte delle PA può far sperare in un futuro in cui tali metadati, espressi tramite formati e sintassi comuni, possano portare a un trattamento realmente automatizzato di molte fasi dei procedimenti amministrativi informatici. Al contrario, imporre tale obbligo anche ai privati, che difficilmente potranno avvantaggiarsi di tali metadati, soprattutto se formati senza regole comuni da altri soggetti, rappresenta uno sforzo che viene, al momento, giustamente percepito come davvero poco utile, soprattutto rispetto allo sforzo che una loro corretta gestione richiederebbe.
Alessandro Selam. Il problema in realtà sta anche nel fatto che obblighi uguali non creano parità tra i diversi soggetti nel rapporto privato-pubblico. Mentre alcuni privati posso avere l’interesse ad adeguarsi a determinate norme per non essere, per esempio, esclusi dalle gare d’appalto pubbliche, il pubblico nella realtà non si sente così obbligato poiché nel momento in cui non adempie a questi obblighi nella pratica rischia poco o nulla.
Siamo quindi al paradosso: una normativa, quelle delle Linee Guida, sviluppata prevalentemente pensando che venisse adottata rapidamente in tutto il settore pubblico, è nella realtà adottata prevalentemente, con non pochi sforzi, da quei privati che non possono evitarla in quanto fornitori di soluzioni ‘a norma’ proprio per le PA. Quando però questi fornitori devono interloquire con i loro referenti nelle PA è altamente probabile che non trovino adeguato riscontro, poichè l’ente interpellato non ha ancora adottato le Linee Guida, non sa come e quanto adottarle e non riesce a percepire correttamente il valore aggiunto di una soluzione già adeguata a tali LLGG. Ossia: oggi i privati ‘interessati’ sono più avanti del pubblico.
Cosa si può fare per uscire da questa situazione?
A.S. Come Anorc ci siamo da subito confrontati con AgID per manifestare le istanze del mercato rispetto a un testo che nella sua genesi non ha tenuto debitamente conto delle istanze dei privati chiamati ad adottarle in prima persona o per fornire soluzioni adeguate ai propri clienti/PA.
Nella fase di redazione delle Linee Guide crediamo che abbia prevalso una visione più ‘accademica’ che è andata a discapito della semplicità e che ha tenuto poco conto di quante alcune PA avevano già fatto o stavano portando avanti al loro interno con dei progetti di innovazione. Una visione d’insieme più strutturata avrebbe anche evitato di duplicare gli oneri per la trasmissione dati che alcune PA oggi subiscono perché utilizzano sistemi di comunicazione differenti e non interoperabili.
Che effetto ha prodotto sul mercato il passaggio da conservatori accreditati a conservatori qualificati?
L.F. Il principale effetto è stato quello di compromettere un lavoro di anni da parte degli operatori, e dello stesso ente accreditante ossia AgID, volto a migliorare le soluzioni offerte nell’ambito della conservazione dei documenti.
La qualificazione dei conservatori, così come è prevista attualmente, si ottiene con una semplice autocertificazione del possesso di un insieme di requisiti previsti con un Regolamento sui Criteri di fornitura dei servizi di conservazione. All’autodichiarazione dovrebbe poi far seguito un’attività di vigilanza sul concreto possesso e rispetto di tali requisiti: vigilanza che, però, non sembrerebbe essere adeguatamente strutturata in quanto già oberata dalle più delicate e complesse attività di vigilanza sui fornitori di servizi qualificati ai sensi del Reg. UE 910/2014 – eIDAS. L’accreditamento invece con una verifica preventiva, pur se solo documentale, forniva delle garanzie maggiori rispetto al concreto rispetto dei requisiti di qualità e sicurezza richiesti. Oggi non dobbiamo nascondere il fatto che diversi soggetti, prima non accreditati, si sono qualificati come ‘conservatori’ dichiarando il possesso di requisiti la cui eventuale mancanza probabilmente emergerà solo a seguito di eventuali incidenti ricevendo, nel frattempo, vantaggi commerciali non sempre giustificati da reali livelli di qualità e sicurezza particolarmente elevati.
A.S. Il nuovo sistema non credo che poi risolva anche il problema che la Comunità Europea aveva individuato nel processo di accreditamento precedente, ossia quello di rendere il mercato della conservazione più aperto.
Oggi in realtà i bandi di gara prevedono che i soggetti siano iscritti al marketplace, quindi, non è stato risolto il problema che era stato sollevato dalla Commissione Europea e relativo alla presenza di ostacoli alla libera circolazione dei servizi informatici all’interno del territorio dell’UE.
Vedremo se le prossime evoluzioni del Regolamento eIDAS, elimineranno del tutto la qualificazione e la relativa sezione del marketplace di AgID. Lasciatemi dire che anche questa denominazione ‘sezione speciale del marketplace cloud’ genera molta confusione: Cosa vuol dire?… Che il conservatore è anche un cloud provider? Che un cloud provider è anche un conservatore?… È una situazione poco chiara che potrebbe anche generare dei comportamenti non conformi da parte degli operatori meno seri.
Avete accennato a eIDAS, cosa sta evolvendo a livello europeo su questi temi?
A.S. All’interno della nuova bozza del Regolamento eIDAS (per saperne di più vedi riquadro in questa pagina), quella che introdurrà il ‘portafoglio d’identità (conosciuto come Digital ID wallet, ndr), è stato proposto di inserire anche un nuovo servizio fiduciario relativo alla conservazione dei dati e dei documenti informatici. Siamo in attesa di capire se e come questa proposta verrà accettata.
Chi vorrà fornire i servizi di conservazione secondo il regolamento eIDAS dovrà accreditarsi come fornitore qualificato di servizi fiduciari (Qualified Trust Service Provider).
Inoltre, con l’approvazione della nuova versione del Regolamento eIDAS, speriamo si riesca finalmente a superare il contestato requisito del capitale sociale attualmente ancora richiesto per la qualifica dei TSP in Italia.
In ogni caso, Anorc ritiene che quanto fino a ieri fatto dai conservatori accreditati italiani rappresenta un bagaglio di esperienza e competenza di altissimo livello per la corretta conservazione a norma dei documenti informatici e si sta impegnando per far percepire tale importanza anche in sede europea, partecipando attivamente ai tavoli che, in ambito di normazione tecnica, sono al lavoro per individuare i futuri requisiti per quelli che saranno i futuri servizi fiduciari di e-archiving.
Altro tema importante è quello di far collimare nel miglior modo possibile le esigenze del regolamento eIDAS con i regolamenti europei in tema di cybersicurezza, come per esempio, la Direttiva NIS 2 legata alla sicurezza delle informazioni; e qui è ancora tutto da decidere su come verrà affrontato questo processo.
Su che tempi si sta ragionando?
L.F. È ormai passato un anno da quando la Commissione Europea ha proposto alcune modifiche al regolamento eIDAS sulle quali le parti in gioco si stanno confrontando.
Nell’attuale fase c’è un dialogo a tre (cd. trilogo) tra Consiglio, Commissione e Parlamento Europeo e sembra che ora stia emergendo la volontà di accelerare i tempi di approvazione del regolamento che potrebbe arrivare anche prima della fine dell’anno. Questo perché c’è la necessità di mettere quanto prima in operatività il Digital ID Wallet. Con l’approvazione delle modifiche e integrazioni al Regolamento eIDAS, sarà poi individuato un tempo tecnico di 12/18 o al massimo 24 mesi per adeguarsi alle nuove prescrizioni.
A oggi sulla conservazione sono in campo due definizioni in parte diverse tra loro, ma a nostro avviso facilmente aggregabili.
La vera partita però si giocherà quando, dopo l’approvazione delle modifiche al Regolamento, la Commissione – e qui speriamo che la ‘politica’ sia presente e proattiva – attraverso degli atti esecutivi potrà individuare specifici standard di riferimento per la realizzazione dei servizi qualificati di conservazione.
Approfondisca questo tema
L.F. Al momento l’unico standard che si occupa di conservazione in Europa è quello limitato all’attuale servizio fiduciario della conservazione delle firme, delle marche e dei sigilli apposti ai documenti informatici. È uno standard che non ha come obiettivo principale quello di preservare il contenuto informativo dei documenti informatici ma piuttosto quello di garantire validità giuridica e probatoria a firme, marche e sigilli. Ciò nonostante, ritengo che possa rappresentare, occupandosi comunque incidentalmente anche della conservazione dei documenti ai cui sono apposte firma, marche e sigilli, un buon punto di partenza per individuare delle regole tecniche sulla conservazione dei documenti simili, e comunque non in contrasto, con quelle attuali italiane. Questa è la speranza che vorremmo che si trasformasse in realtà, ma non è assolutamente detto che vada a finire così.
Tale importante partita si giocherà dunque subito dopo l’approvazione delle modifiche al Regolamento eIDAS: non si sa se ci sarà la possibilità per ogni Paese di scegliere liberamente gli standard di riferimento oppure se invece verranno individuate delle specifiche comuni per tutti, e che, in questo caso, speriamo siano compatibili con le regole italiane.
Che previsioni fa Anorc?
L.F. Non ne facciamo. Oggi ci sono diversi tavoli aperti dove Anorc partecipa in prima persona per portare avanti anche in Europa l’esperienza positiva fatta in tutti questi anni dai conservatori italiani. La partita non è di poco conto, e speriamo che la politica sia presente in modo adeguato, i tecnici ci sono e stanno lavorando bene.
Chi è Anorc
L’Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali (Anorc) si esprime in due associazioni no profit, Anorc Mercato, rappresentativa del mondo aziendale, e Anorc Professioni, punto di riferimento per i professionisti. Anorc Mercato e Anorc Professioni sono due associazioni impegnate nel campo della digitalizzazione e della protezione del patrimonio informativo e documentale in ambito pubblico e privato, promuovono il dialogo istituzionale, la formazione e l’aggiornamento professionale, l’organizzazione di eventi, nonché lo sviluppo di attività informative e di comunicazione del settore.
Oggi Anorc conta complessivamente sul territorio nazionale circa 500 associati tra società e professionisti.
Il Regolamento eIDAS
Il Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abbreviato in eIDAS, acronimo di electronic IDentification, Authentication and trust Services, ufficialmente regolamento (UE) n. 910/2014), è un regolamento dell’Unione europea, che riguarda l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel Mercato europeo comune.