La cyber security costituisce la componente fondamentale per assicurare la disponibilità, l’integrità e la riservatezza dei sistemi informativi ed informatici della pubblica amministrazione. Tali elementi, a loro volta, costituiscono il presupposto per l’edificazione dell’Amministrazione digitale, rendendo possibile il successo dei servizi di e-Government, andando ad aumentare la fiducia e l’usabilità di questi ultimi da parte dei cittadini.
Per rendersi conto della rilevanza che in concreto tale problematica assume, basti pensare che dal 2015 al 2018 sono state ben 1549 le segnalazioni effettuate al CERT-PA dalle varie amministrazioni. All’interno di tale contesto, l’AgID è chiamata a svolgere un ruolo da protagonista, assicurando la sicurezza, ed il conseguente successo, dell’Amministrazione digitale. In questo contesto si pone la necessità di Linee Guida per regolare i rapporti tra norme, PA e cittadini a tutela dei dati personali. .
Digitalizzazione e cyber security, un excursus
La diffusione delle tecnologie ICT ha riguardato le pubbliche amministrazioni di tutto il mondo, ed è una diretta conseguenza della Digital Revolution che, a partire dagli anni Ottanta, ha portato alla nascita di un nuovo spazio, il cyber space, e di una nuova tipologia di società, la società dell’informazione, con cui l’amministrazione deve oggi interfacciarsi quotidianamente.
In particolare, la diffusione delle ICT nel settore pubblico è divenuta sinonimo di efficienza, innovazione, trasparenza e riduzione dei costi, ed ha portato all’affermarsi del paradigma dell’e-Government, ossia della gestione digitalizzata delle pubbliche amministrazioni, intesa attualmente non solo come office automation, ma come erogazione di servizi online, trasformando dunque sia le relazioni interne che quelle esterne della PA, ed edificando un nuovo tipo di rapporto con il cittadino. In questo panorama, il cittadino non è più visto come un consumatore o un utente (come succedeva durante gli anni Novanta, secondo il modello di amministrazione del New Public Management, in cui il settore pubblico era assimilato ad un’azienda), ma al contrario, come una risorsa o un collaboratore, secondo il nuovo paradigma della Digital Era Governance, nato negli anni 2000, che pone al centro il concetto di Open Government, ossia di un’amministrazione i cui cardini siano la trasparenza, la partecipazione dei cittadini e la collaborazione tanto fra istituzioni quanto fra cittadino e PA.
L’articolo 51 CAD
Il primario corpus normativo su cui l’Amministrazione digitale si fonda, è costituito dal Codice dell’Amministrazione Digitale (CAD), emanato con il D.lgs. 7 marzo 2005, n. 82, la cui storia è stata segnata da continui interventi legislativi, che hanno a mano a mano scandito le tappe del processo di digitalizzazione ed innovazione tecnologica della Pubblica Amministrazione, modificandone, correggendone ed integrandone la disciplina. Tale circostanza non deve stupire: in un settore dinamico come quello tecnologico, sottoposto a continue ed incessanti evoluzioni, la staticità, tipica di solito dei provvedimenti legislativi, deve inevitabilmente cedere il passo al costante aggiornamento delle singole disposizioni.
All’interno del Codice, la tematica della sicurezza, a causa delle ragioni sopra evidenziate, costituisce un problema immanente, anche se spesso tenuto poco in conto, con il quale tutti gli istituti disciplinati devono a loro modo confrontarsi. Basti pensare al fatto che, all’interno dei 92 articoli che in totale compongono il CAD, il termine “sicurezza”, compare più di cinquanta volte (tenendo conto anche degli articoli attualmente abrogati). Tuttavia, proprio a causa della dinamicità intrinseca all’innovazione tecnologica, in tale ambito a maggior ragione si percepisce la necessità di garantire un costante aggiornamento ed adeguamento delle varie misure adottate alle più recenti tendenze evolutive degli attacchi informatici. In tale ottica, in molti casi il CAD, non può far altro che rinviare a fonti secondarie per la predisposizione di misure e procedure di sicurezza. Anche il legislatore dunque, nella costruzione dell’Amministrazione digitale, ha tenuto conto di tale necessità, mostrandosi consapevole del fatto che ad una fonte primaria, quale il CAD, spetti la fissazione dei principi fondamentali, mentre al contrario, per la definizione specifica delle misure e delle procedure, sembri molto più appropriato ricorrere ad una regolamentazione sub-primaria, mediante la definizione di standard e Linee Guida.
Così, l’art. 51 del CAD, rubricato “Sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”, prescrive ad AgID, al comma 1, il compito di adottare Linee Guida, ai sensi dell’art. 71 del CAD, al fine di individuare le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità, la riservatezza dei dati e, da ultimo, anche la continuità operativa dei sistemi e delle infrastrutture. Tale disposizione, costituisce una specificazione rispetto alla generale funzione concernente l’emanazione di Linee Guida in materia di sicurezza informatica, attribuita ad AgID dall’art. 14-bis, comma 2, lett. a), del CAD. Volendo andare ancora più a ritroso, l’art. 14-bis trova a sua volta fondamento nella disposizione di cui all’art. 14, comma 1 del CAD, che, in attuazione della disciplina del coordinamento informatico, riservata allo Stato ai sensi dell’art. 117, comma 2, lett. r), della Costituzione, prescrive che sempre a livello statale siano dettate “le regole tecniche necessarie a garantire la sicurezza e l’interoperabilità dei sistemi e dei flussi informativi per la circolazione e lo scambio dei dati e per l’accesso ai servizi erogati in rete dalle amministrazioni medesime”. La medesima disposizione, al comma 2, assegna ad AgID il compito di assicurare tale coordinamento informatico. La ratio di tale previsione, è quella di rafforzare le funzioni di direzione e coordinamento tecnico a livello centrale, favorendo in tal modo l’uniformità dell’Amministrazione digitale su tutto il territorio italiano.
Le competenze
A conferma di ciò, deve essere inoltre rilevato che AgID non è l’unico soggetto cui il CAD attribuisce funzioni in materia di sicurezza informatica. Infatti, ad un livello superiore, l’art. 16, comma 1, lett. e) del CAD, assegna al Presidente del Consiglio dei Ministri una funzione di indirizzo generale, prevedendo che a quest’ultimo spetti il compito di stabilire i criteri generali anche in materia di sicurezza dei sistemi informativi automatizzati delle pubbliche amministrazioni centrali e delle relative interconnessioni. Peraltro, prima della modifica da parte del D.lgs. 26 agosto 2016, n. 179, tale disposizione assegnava al Presidente del Consiglio dei Ministri il compito di dettare anche le norme tecniche ai sensi dell’art. 71 CAD, funzione che ad oggi, al contrario, è espressamente riservata ad AgID, seppur nel rispetto di uno specifico procedimento, di cui si dirà più avanti. A livello di singola amministrazione invece, l’art. 17, comma 1, lett. c) del CAD, assegna al Responsabile per la transizione al digitale, ossia l’ufficio dirigenziale istituito presso ciascuna amministrazione con competenze in materia di digitalizzazione, l’esercizio di compiti di indirizzo, pianificazione e monitoraggio della sicurezza informatica, assicurando, al contempo, il rispetto delle Linee Guida di AgID.
Tornando all’art. 51 CAD, occorre innanzitutto fare una premessa sulla genesi di quest’ultimo, in quanto la versione originale differiva in modo sostanziale dalla sua formulazione attuale. Inizialmente infatti, all’interno del D.lgs. n. 82/2005, l’art. 51 era rubricato semplicemente “Sicurezza dei dati”, e si limitava a prescrivere alle pubbliche amministrazioni un generico obbligo di custodia e controllo rispetto alla conservazione dei documenti informatici, da esercitarsi in modo tale da limitare i rischi di distruzione, perdita ed accesso non autorizzato, seguendo le procedure previste dall’art. 71, nella formulazione vigente all’epoca. In seguito, l’art. 35 del D.lgs. n. 235/2010 ha modificato l’art. 51, incidendo nettamente sulla sua disciplina, affiancando al profilo della “sicurezza dei dati”, anche quello della sicurezza “dei sistemi e delle infrastrutture delle pubbliche amministrazioni”. Più in particolare, tale intervento legislativo, ha comportato la riformulazione integrale del comma 1 dell’articolo in esame, specificando l’ambito di applicazione delle regole tecniche di cui al previgente art. 71 CAD, ed introducendo il comma 1-bis, relativo alle funzioni in materia di cybersecurity di AgID (allora DigitPA), ed il comma 2-bis, oggi peraltro abrogato in quanto ritenuto non conferente rispetto all’oggetto dell’articolo in esame, avendo previsto l’obbligo per le amministrazioni di aggiornare tempestivamente i dati all’interno dei propri archivi, nel caso in cui fossero venute a conoscenza della loro inesattezza.
Le riforme
La disciplina recata dall’art. 51 è stata poi ulteriormente specificata e potenziata dalle novità introdotte con i più recenti interventi di riforma, in particolare dal D.lgs. 26 agosto 2016, n. 179, e dal D.lgs. 13 dicembre 2017, n. 217. Il primo, con l’art. 41, ha innanzitutto ovviato all’abrogazione dall’art. 50-bis, prevedendo, al comma 1 dell’art. 51, che le regole tecniche adottate ai sensi dell’art. 71, debbano individuare anche le soluzioni idonee a garantire la continuità operativa dei sistemi e delle infrastrutture delle pubbliche amministrazioni. Inoltre, sempre l’art. 41 del D.lgs. 26 agosto 2016, n. 179, ha modificato il comma 1-bis dell’art. 51, sia al fine di prendere atto della trasformazione di DigitPA in AgID, sia al fine di inserire, all’interno dell’articolo in esame, un richiamo specifico al dovere di attuazione, da parte di quest’ultima, del Quadro strategico nazionale per la sicurezza dello spazio cibernetico e del Piano nazionale per la sicurezza cibernetica e la sicurezza informatica, nel frattempo adottati. Così facendo, il D.lgs. 26 agosto 2016, n. 179, ha peraltro chiarito anche il ruolo rivestito dall’art. 51 CAD all’interno del contesto della sicurezza cibernetica della Pubblica Amministrazione.
In particolare, di fronte all’architrave del sistema di cyber security nazionale, costituita dal Quadro strategico, dal Piano Nazionale, ed anche se non espressamente richiamato, dal D.P.C.M. 17 febbraio 2017, l’art. 51 CAD, sebbene molto importante per il settore pubblico, non sembra assumere un rilevo centrale, neanche alla luce delle recenti riforme, dovendo necessariamente essere letto in combinato-disposto con tali suddette complesse previsioni di ordine sub-primario. Ciononostante, soprattutto per ciò che concerne la definizione dei compiti specifici di AgID in materia, la disciplina apportata dall’art. 51, comma 1-bis del CAD, risulta essere molto importante dal momento che, all’interno di una norma di rango primario, si attribuisce espressamente all’Agenzia l’operatività ed il coordinamento del CERT-PA, la promozione di intese con le analoghe strutture internazionali, ed infine, il potere di segnalare al Ministro per la semplificazione e la pubblica amministrazione il mancato rispetto delle Linee Guida adottate in materia di sicurezza da parte delle PA tenute ad attuarle.
Passando poi alle novità da ultimo introdotte con il recente D.lgs. 13 dicembre 2017, n. 217, va evidenziato da subito come quest’ultimo abbia innanzitutto provveduto ad integrare la rubrica dell’art. 51, inserendo, accanto al profilo della sicurezza, anche un richiamo alla disponibilità dei dati. La ratio che in generale ha ispirato la riforma del 2017, portando di fatto ad un incremento del livello di sicurezza generale, è da rinvenirsi nei potenziali aggravi per la finanza pubblica che inevitabilmente derivano dalle falle nella sicurezza della PA, soprattutto prendendo in considerazione i frequenti incidenti che possono verificarsi nelle piccole strutture, come ad esempio gli ospedali. Tenuto poi conto della contestuale modifica apportata all’art. 71 CAD, il D.lgs. n. 217/2017 ha provveduto a sostituire, all’interno dell’art. 51, comma 1 del CAD, il richiamo alle regole tecniche, con quello alle Linee Guida.
Il D.lgs. 13 dicembre 2017, n. 217, ha inoltre introdotto due nuovi commi (2-ter e 2-quater) nell’impianto dell’art. 51 CAD, potenziando il ruolo di AgID in relazione alla definizione dei piani di sicurezza preventiva e dei piani di emergenza in grado di assicurare la continuità operativa ed il ripristino della funzionalità dei servizi e dei sistemi della PA. Nello specifico, il comma 2-ter dell’art. 51 CAD, prescrive alle Pubbliche Amministrazioni elencate all’art. 2, comma 2 CAD, di aderire annualmente ai programmi di sicurezza preventiva promossi da AgID, ossia agli standard minimi di sicurezza informatica via via individuati dall’Agenzia, seguendo quanto disposto dalle Linee Guida. L’introduzione del comma 2-quater, invece, risponde all’esigenza di colmare il vuoto che l’abrogazione del previgente art. 50-bis CAD avrebbe altrimenti comportato. L’art. 51 CAD, comma 2-quater, obbliga le pubbliche amministrazioni tenute all’attuazione del CAD, alla predisposizione di piani di emergenza, conformi alle Linee guida di AgID, in grado di assicurare sia la continuità operativa delle operazioni indispensabili a garantire la fruibilità dei servizi, sia il ritorno alla normale operatività. Nel far questo, si prevede la possibilità di ricorrere allo strumento degli accordi fra le pubbliche amministrazioni (art. 15, L. 7 agosto 1990, n. 241), con ristoro dei soli costi di funzionamento.
La ratio di tale disposizione è quella di assicurare che anche gli enti che non dispongono di particolari risorse umane ed economiche, possano comunque garantire gli standard minimi di sicurezza, la continuità operativa ed il disaster recovery dei propri sistemi e servizi. Infatti, sono proprio le amministrazioni di minori dimensioni a rappresentare l’anello debole della catena di cyber security del settore pubblico, non essendo spesso in grado di garantire un livello adeguato di sicurezza informatica. Dunque, il ricorso, da parte di queste ultime, ai servizi erogabili ai poli di eccellenza, consente l’innalzamento della sicurezza complessiva della Pubblica Amministrazione.
Il principio generale
Infine, l’art. 51, comma 2, sostanzialmente rimasto invariato, continua a recare l’unico principio generale originariamente previsto da tale norma, secondo cui le PA devono custodire e controllare i documenti informatici in proprio possesso, con modalità che riducano al minimo i rischi di distruzione, perdita ed accesso non autorizzato, non consentito o non conforme alle finalità della raccolta. Sebbene ad oggi, tale disposizione non sia più del tutto conferente rispetto all’oggetto dell’art. 51 CAD, dal momento che la corretta gestione e conservazione dei documenti informatici è un principio connesso alla cybersicurezza solamente in senso lato, tuttavia è innegabile la rilevanza che questo principio ha assunto, quantomeno a livello giurisprudenziale.
Infatti, sulla base dell’art. 51, comma 2, è stata ritenuta antigiuridica la condotta della Pubblica Amministrazione che non abbia attuato modalità di controllo tali da garantire la sicurezza e l’integrità dei documenti informatici da essa detenuti (TAR Lazio, Roma, Sez. III, 25 novembre 2016, n. 11786). In conseguenza di ciò, si ritiene che le PA non siano obbligate solamente alla corretta custodia dei documenti cartacei, ma siano sottoposte allo stesso obbligo anche per quanto concerne i documenti informatici (Consiglio di Stato, Sezione III, 5 febbraio 2013, n. 688).
Il procedimento di adozione delle Linee Guida AgID
La disciplina del procedimento di adozione della regolamentazione sub primaria da parte di AgID, come già detto, è contenuta all’interno dell’art. 71 CAD, il quale peraltro è stato oggetto di alcune recenti revisioni, operate dapprima con il D.lgs. 26 agosto 2016, n. 179, poi con il D.lgs. 13 dicembre 2017, n. 217. Il procedimento precedentemente in vigore, prevedeva la concertazione di AgID con i vari ministeri interessati, sentita la Conferenza Unificata e l’Autorità Garante per la protezione dei dati personali. Le regole tecniche erano poi emanate con Decreto del Ministro per la semplificazione e la pubblica amministrazione, su proposta di AgID. Al contrario, il nuovo procedimento, così come risultante dalla riscrittura dell’art. 71, comma 1 CAD ad opera del D.lgs. 13 dicembre 2017, n. 217, prevede che sia direttamente l’AgID ad adottare le Linee Guida, contenenti regole tecniche e di indirizzo per l’attuazione del CAD, dopo aver svolto una consultazione pubblica ed aver sentito le amministrazioni competenti, la Conferenza Unificata e l’Autorità Garante per la protezione dei dati personali. Tali Linee Guida, divengono efficaci dopo la loro pubblicazione nell’apposita area del sito web dell’AgID, e di quest’ultima, ne deve essere data notizia anche in Gazzetta Ufficiale.
La ratio di tale innovazione consiste nello snellimento del previgente procedimento, al fine di consentire un’attuazione più rapida delle misure del CAD da parte dell’AgID, anche in risposta all’intrinseco dinamismo che contraddistingue l’innovazione tecnologica. Allo stesso tempo inoltre, come rilevato anche nel parere del Consiglio di Stato, Comm. Spec., 10 ottobre 2017, n. 2122, la scelta di introdurre uno strumento di regolazione flessibile, quale quello delle Linee Guida, a discapito, invece, delle regole tecniche, risulta essere in linea con quanto indicato dai criteri contenuti nella Legge di delega (Legge n. 124/2015), che all’art. 1, comma 1, lett. m), prescrive la semplificazione delle modalità di adozione delle regole tecniche, nell’ottica di una razionalizzazione più generale del CAD intero, affinché quest’ultimo finisca per contenere esclusivamente principi di carattere generale, ed essere, di conseguenza, neutro dal punto di vista tecnologico. Tutto ciò, al fine di evitare il rischio che le norme del CAD comportino la necessità di ricorrere a soluzioni e servizi non più in linea con il rapido sviluppo del settore. Le Linee Guida hanno poi una valenza erga omnes ed un carattere di vincolatività, in modo da favorire un’attuazione del CAD uniforme su tutto il territorio nazionale. All’interno della gerarchia delle fonti, possono essere inquadrate nella categoria degli atti di regolazione, seppur di natura tecnica. Tale collocazione, fra l’altro, consente anche la loro sottoponibilità al vaglio del giudice amministrativo, essendosi già pronunciato in tal senso il Consiglio di Stato, seppur in relazione alle Linee Guida vincolanti dettate dall’ANAC (Consiglio di Stato, Commissione Speciale, 1 aprile 2016, parere n. 855/2016).
Due tipi di Linee Guida
Le Linee Guida in tal modo adottate, possono poi essere suddivise in due tipologie:
- Linee guida di indirizzo: contenenti regole generali la cui definizione degli aspetti di dettaglio è demandata alla singola Amministrazione.
- Linee guida contenenti regole tecniche: contenenti le regole generali di cui sopra, e la definizione degli aspetti di dettaglio, all’interno di un apposito Allegato tecnico.
Il comma 1-ter dell’art. 71 CAD poi, prescrive che le Linee guida siano dettate in conformità alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale, alle normative dell’Unione Europea, ed alle disposizioni prescritte per favorire l’accesso dei soggetti disabili agli strumenti informatici (L. n. 4 del 2004). Tuttavia, in relazione alla sostituzione delle regole tecniche con le Linee Guida, bisogna infine rammentare le preoccupazioni espresse dal Garante per la privacy all’interno del parere del 26 ottobre 2017, n. 7221785. Nello specifico, in tale atto il Garante, al contrario del Consiglio di Stato, ha criticato il nuovo strumento delle Linee Guida, in relazione alla capacità di fornire prescrizioni effettivamente cogenti in tema di sicurezza e di protezione dei dati personali, ritenendo il precedente strumento delle regole tecniche più appropriato alla regolazione di tale ambito.
