Recentemente sono state sollevate delle osservazioni, da parte delle Associazioni che raggruppano gli operatori della conservazione a norma, sul modo in cui si procede, in Italia, all’accreditamento di Conservatori Digitali. Si tratta di osservazioni non prive di fondamento, in particolare riportate nell’articolo a firma di Nicola Savino, Rossella Ragosta e Alfonso Pisani, che inducono a una risposta, necessaria per fare chiarezza sui ruoli e sugli intenti di tale importante processo.
Come noto ACCREDIA non opera di propria iniziativa, nel definire e rendere disponibile al mercato uno schema di accreditamento. Sono sempre le cosiddette Parti Interessate che ne promuovono l’attivazione. ACCREDIA non elabora norme, ma applica quelle definite o validate da altre parti interessate, come le Amministrazioni competenti, o gli enti di normazione. Nella fattispecie della conservazione a norma, il legislatore ha previsto l’equiparazione di questo servizio a un servizio fiduciario a livello nazionale. Si tratta di una decisione che non sta ad ACCREDIA discutere. Peraltro, in modo del tutto coerente con la finalità di questo articolo, si può dire che il concetto di conservazione ha assunto un ruolo di crescente importanza nel Paese e, probabilmente, non era possibile che tale servizio sfuggisse alla identificazione di una disciplina adeguata per garantire il mercato.
Proprio il mercato che fa riferimento ai servizi di conservazione, grazie alle previsioni di legge anche del nuovo CAD, si sta allargando ad ambiti sempre più ampi e molto delicati. Si pensi alla conservazione non solo delle fatture per la PA, ma di quelle B2B, che è prevedibile non tarderà molto a divenire realtà. Si pensi, ancora, alla conservazione di atti giudiziari, piuttosto che di dati sanitari (cartelle cliniche), sicuramente ascrivibili alla categoria dei dati sensibili, così come identificati dalla normativa per la privacy.
Ed a proposito di privacy, si pensi a tutti i trattamenti che saranno fatti, nel tempo, avvalendosi di servizi di conservazione, non ultimo per le esigenze di correlate con gli altri servizi fiduciari nazionali, quali, ad esempio SPID. Già si vedono dunque evidenti segnali, di come il servizio di conservazione diverrà strategico per il cosiddetto Sistema Paese. Ebbene, pensare che tale criticità per la sicurezza del Paese sfuggisse all’attenzione del legislatore, francamente appare una valutazione fuori misura. Desiderarlo, per rendere più semplice l’attività imprenditoriale correlata a tale servizio, appare poco prudente, per la rilevanza degli interessi in gioco.
Trattandosi del livello di sicurezza atteso per un servizio che ha una forte rilevanza per gli interessi del Paese, occorre sempre correlare le considerazioni di utilità immediata con i rischi derivanti da malfunzionamenti e con tutte le vulnerabilità che degli specialisti di settore non dovrebbero ignorare. Si tratta di vulnerabilità di vario tipo: dalle problematiche legate alla “ingegneria sociale” fino a quelle per la cosiddetta “Cyber Security” della quale sempre più dovremmo interessarci e divenire consapevoli.
Per i motivi sopra esposti, si ritiene che la scelta del legislatore non sia ascrivibile ad un “errore”, come da altri affermato. Al contrario, a nostro avviso si è trattato di una scelta prudenziale ampiamente condivisibile, nell’interesse del Sistema Paese.
Certo, si può capire che si tratti di una scelta destinata ad provocare maggiori costi di gestione per i conservatori. Costi che però sarebbero ampiamente motivati, nell’ottica di fornire una garanzia di robustezza sul fronte organizzativo e tecnico. Si può anche dire che, stante la correttezza di tale scelta, la decisione di stare o non stare in un certo business non può essere ascrivibile a nessun altro che al management ed alla proprietà dell’impresa, cui sta la responsabilità di predisporre e di approvare il relativo piano di business.
Sono proprio queste considerazioni che, a partire dalla fine del mese di settembre, hanno condotto AgID a definire dei principi, che tenevano conto delle indicazioni del disposto del D. Lgs. 176/2016 in merito alla sensibilità per gli interessi del Paese del servizio della conservazione a norma. ACCREDIA, ha voluto, nell’occasione, riconfermare il proprio ruolo di supporto alla PA, sancito anche dalla convenzione siglata con AgID, così come avviene con molteplici altre PA. Si tratta di un ruolo che discende dal Regolamento (CE) 765/2008 e da quanto disposto dal Governo, a mezzo del Decreto Interministeriale del 22 Dic. 2009, che riconosce ACCREDIA come Ente Unico di Accreditamento Nazionale. In tale veste, ACCREDIA supporta le PA nella interpretazione e applicazione delle regole di accreditamento che, di volta in volta, sono indicate dal legislatore per disciplinare e vigilare il mercato, in armonia con tutte le altre norme cogenti esistenti a livello comunitario.
La Circolare n° 36/2016 è uno strumento destinato agli Organismi di Certificazione e non alle associazioni, disciplinando il modo con il quale gli stessi Organismi di Certificazione opereranno per qualificare i conservatori. Quindi, il fatto che siano richiamate delle Norme non ben note agli stessi conservatori e/o che le stesse e la loro interazione non risultino immediatamente chiare ai conservatori è un problema minore – e comunque facilmente risolvibile – dato che la Circolare risulta ben chiara a coloro che saranno destinati ad applicarla. Dispiace per la presenza di un paio di refusi, frutto della fretta con la quale sia AgID, sia ACCREDIA hanno dovuto lavorare, per ridurre al minimo il disagio legato alla sospensione del processo di “accreditamento pubblico” operato da AgID.
ACCREDIA rispetta i criteri indicati da AgID per lo svolgimento del processo “istruttorio” finalizzato all’ottenimento dell’ accreditamento pubblico. Le regole di accreditamento degli Organismi di Certificazione per il processo di conservazione a norma si basano esplicitamente e solamente su questi principi.
Il cosiddetto “accreditamento pubblico” dei conservatori, occorre ricordarlo, è una responsabilità della sola AgID e non degli Organismi di Certificazione. Questi, possono e devono essere considerati responsabili della diligenza qualificata e della esaustività (seppur su base campionaria) dello svolgimento del processo istruttorio. Quest’ultimo fornirà evidenza di una maggiore o minore schermatura dai rischi legati alle minacce alle infrastrutture dei conservatori, a seconda della robustezza delle analisi e degli approfondimenti che la stessa Agenzia per l’Italia Digitale richiederà che vengano eseguiti.
In conclusione, ACCREDIA applica le regole che le PA competenti le indicano. Oggi, sulla base delle nuove indicazioni provenienti da AgID, stiamo rivedendo la Circolare n° 36/2016 già citata. Non sta ad ACCREDIA decidere se tale revisione sarà una cosa giusta e utile al Paese, anche se non possiamo non rilevare che si vanno ad alleggerire dei presidi importanti, che erano stati progettati per garantire il mercato sul fronte della sicurezza delle informazioni e dell’operatività dei conservatori. Le conseguenze delle citate di queste scelte politiche saranno di pertinenza di tutti i Cittadini e di tutte le Imprese, Associazioni e Istituzioni che si appoggeranno, volontariamente o meno, ai processi di conservazione.