L’articolo 44-bis del Codice dell’Amministrazione Digitale, come modificato dal D.lgs. 179/2016, ha determinato che:
I soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso ((AgID)) ((secondo le regole tecniche di cui all’articolo 71.
A seguito del nuovo Codice dell’Amministrazione Digitale, l’Agenzia per l’Italia Digitale ha sospeso a decorrere dal 14 settembre 2016, l’accreditamento dei soggetti che svolgono l’attività di conservazione dei documenti informatici, stabilendo che in caso di richiesta di accreditamento presso AGID, i conservatori hanno l’obbligo di ottenere una relazione di valutazione della conformità, rilasciata da un organismo di Certificazione accreditato da Accredia che è l’unico organismo nazionale autorizzato dallo Stato a svolgere attività di accreditamento. Argomento per altro già trattato.
In applicazione, quindi, della sospensione dal 14 settembre 2016, Accredia ha emesso il 16.12.2016 la Circolare n. 36/2016, determinando lo “Schema di accreditamento degli Organismi di Certificazione, per il processo di certificazione dei Conservatori a Norma, secondo le disposizioni dell’Agenzia per l’Italia Digitale”. Una circolare confusa e ambigua.
Lo scopo della circolare dovrebbe essere quello di descrivere il processo da seguire per gli aspiranti Organismi di Certificazione per farsi accreditare come tali da Accredia e svolgere, quindi, attività di certificazione dei conservatori a norma.
Purtroppo lo scopo non è, a nostro avviso, affatto raggiunto essendo la circolare stessa una mistura di requisiti sia per l’aspirante certificatore che per il conservatore peraltro per niente ben distinti nelle tabelle riportate all’interno della circolare e nei riferimenti agli standard spesso richiamati senza spiegarne bene a chi siano applicati (conservatore o Organismo di Certificazione). Le società specializzate nell’ICT sanno bene che i requisiti e la non ambiguità degli stessi sono essenziali per il buon funzionamento delle soluzioni e dei processi: ogni requisito andrebbe come minimo taggato, riferito all’attore interessato e andrebbe precisato se è mandatorio o opzionale.
A dire il vero bisogna sottolineare come sia lo stesso Codice dell’Amministrazione Digitale a creare confusione nel tentativo di trattare come un tutt’uno le figure descritte in Eidas (fornitori di servizi di autenticazione e di servizi fiduciari) con i conservatori che, come si dettaglierà nel seguito, Eidas non tratta affatto. L’articolo 29 del CAD di cui riportiamo uno stralcio recita:
Art. 29.
((Qualificazione e accreditamento))
((1. I soggetti che intendono avviare la prestazione di servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata, di gestore dell’identità digitale di cui all’articolo 64, di conservatore di documenti informatici di cui all’articolo 44-bis presentano all’AgID domanda, rispettivamente, di qualificazione o di accreditamento, allegando alla stessa una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità accreditato dall’organo designato ai sensi del Regolamento CE 765/2008 del Parlamento europeo e del Consiglio del 9 luglio 2008 e dell’articolo 4, comma 2, della legge 23 luglio 2009, n. 99.))
((2. Il richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS)).
Ora se già il modo in cui è scritto il primo comma lascia a desiderare in quanto sarebbe stato più comodo trattare i conservatori in un articolo o comma a parte lascia molto perplessi il secondo in cui si vuole che il richiedente, e quindi tutti i soggetti del primo comma, siano nelle condizioni dell’articolo 24 del regolamento EiDAS che recita:
Articolo 24
Requisiti per i prestatori di servizi fiduciari qualificati
1. Allorché rilascia un certificato qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.
Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:
a) | mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica; o |
b) | a distanza, mediante mezzi di identificazione elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; o |
c) | mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato a norma della lettera a) o b); o |
d) | mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’affidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo di valutazione della conformità. |
2. Un prestatore di servizi fiduciari qualificato che presta servizi fiduciari qualificati:
a) | informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività; |
b) | impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali; |
c) | riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale; |
d) | prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo; |
e) | utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano; |
f) | utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:
|
g) | adotta misure adeguate contro le falsificazioni e i furti di dati; |
h) | registra e mantiene accessibili per un congruo periodo di tempo, anche dopo la cessazione delle attività del prestatore di servizi fiduciari qualificato, tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore di servizi fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche; |
i) | dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i); |
j) | garantisce il trattamento lecito dei dati personali a norma della direttiva 95/46/CE; |
k) | se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata. |
3. Se un prestatore di servizi fiduciari qualificato che rilascia certificati qualificati decide di revocare un certificato, registra tale revoca nella propria banca dati dei certificati e pubblica la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta. La revoca diventa immediatamente effettiva all’atto della pubblicazione.
4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili almeno per ogni certificato rilasciato in qualsiasi momento e oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente.
5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili, che soddisfano i requisiti di cui al paragrafo 2, lettere e) ed f), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Difficile pensare a come tali requisiti si applichino ad un conservatore che è un soggetto di sicuro avente grosse responsabilità, ma, evidentemente, in una posizione diversa rispetto ad un prestatore di servizi fiduciari qualificati.
In aggiunta a ciò la circolare effettua dei richiami UNI CEI ISO/IEC 27001:2014 e Norma ETSI EN 319 401 V2.1.1, con scopo di certificazione comprendente i servizi SPID e qui la matassa diventa ancora più intricata non essendo chiaro come SPID possa essere coinvolto con gli OdC o, peggio ancora, con i conservatori a meno che non sia latente un requisito di poter accedere ai sistemi di conservazione tramite SPID da qualche parte.
Siamo così impressionati dalla circolare in commento che ci troviamo nella condizione di dover farne un po’ di chiarezza, precisando, fin da subito, che il nostro è un tentativo di interpretazione della circolare stessa ed in particolare di estrazione dalla stessa di quelli che possono essere i requisiti per un aspirante conservatore accreditato. A tal proposito ricordiamo anche che nella circolare si parla di una “lista di riscontro” di AGID senza mai specificare cosa sia o dove sia reperibile sul web (una possibile interpretazione è che essa potrebbe coincidere con i “requisiti di qualità e sicurezza” riportati nelle pagine di AGID qui).
Si osserva, , che Accredia, nella Circolare del 2016 ha individuato il contesto di riferimento, analizzando specifiche norme tecniche di seguito riportate:
– ISO 14721:2012 “Sistema Informativo aperto per l’archiviazione”;
– UNI CEI EN ISO/IEC 27001:2014 “Sistema di gestione per la sicurezza delle informazioni”
– ETSI TS 101 533-1 V1.1.1 “Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni”
– ETSI TR 101 533-2 V1.1.1 “Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni”
– UNI 11386:2010 Standard Sincro “Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali”
– ISO 15836:2009 “Sistema dei metadata del Dublin Core”
– ETSI EN 319 401 V2 .1.1.
Viste le norme di riferimento e la complessità dell’interpretazione ai fini della qualificazione sia tecnica che normativa, ci chiediamo cosa è cambiato rispetto alla precedente domanda di accreditamento presso AGID? Perché dobbiamo essere allineati con tutte queste norme? I conservatori che intendano essere accreditati da AGID, per la conservazione a norma dei documenti informatici, necessitano di pianificare proprie attività sulla base dei requisiti presentati e desumibili dalla Circolare del 2016, al fine dell’ottenimento del certificato di conformità.
Vediamo alcuni di questi requisiti per il conservatore
In particolare:
a) in merito all’uso di infrastrutture cloud il conservatore dovrà dare evidenza della capacità di reale controllo operativo di tali servizi e della adesione alle eventuali indicazioni AGID in merito all’ubicazione dei server fisici e sui sistemi di memorizzazione;
b) dovranno essere effettuati controlli operativi basati sulla ISO 27001:2014 – ETSI EN 319 401sui processi di assessment della vulnerabilità e penetrabilità dei sistemi. Tali controlli devono essere effettuati da strutture, qualificate a partire dal 1 giugno 2017 in riferimento alla ISO 17025 ( “Requisiti generali per la competenza dei laboratori di prova e di taratura), interne e/o esterne al conservatore o agli organismi di certificazione .Per i controlli in questione le suddette strutture devono fornire l’evidenza che:
– Siano stati individuati ed applicati i requisiti relativi alla metodologia di valutazione tecnica adottata, richiamando preferibilmente la ISO 27008(che definisce degli standard legati al campo dell’information technology e delle security techniques, stabilendo le “Guidelines for auditors on information security controls”.);
– Siano state impiegate risorse umane qualificate specificando quali sono le qualifiche, da chi sono state rilasciate e quali sono le competenze pregresse;
– Siano stati impiegati dei SW certificati per i quali siano state adoperate versioni compatibili e aggiornate con i SW del sistema operativo e delle applicazioni in uso nel sistema del conservatore.
Se la struttura addetta ai citati controlli viene scelta dal conservatore, allora i controlli fatti da tale struttura saranno oggetto di valutazione nel corso dell’audit da parte dell’organismo di certificazione; differentemente, se la struttura per i test viene scelta dall’organismo di certificazione, essa dovrà rispettare le regole della ISO 17065: 2012 (Conformity assessment Requirements for bodies certifying products, processes and services).
La circolare parla quindi dei casi di non conformità (NC) maggiori registrate durante il processo di auditing. In caso di rilevamento di NC maggiori sul:
1. Sistema del conservatore
2. Sui controlli operativi UNI CEI ISO/IEC 27001:2014 e/o ETSI EN 319 401V2.0.0
3. Sulla lista di riscontro AGID
Se una NC maggiore pregiudica il corretto svolgimento dei servizi di conservazione a norma il Certificato di conformità verrà revocato o sospeso, e ciò sarà comunicato formalmente da parte del conservatore stesso ad AGID e ACCREDIA. In caso di rilevamento di NC maggiore per un certificatore già accreditato, quest’ultimo dovrà:
1. fornire entro 5 giorni lavorativi una soluzione tampone (cosiddetti workaround nel gergo) per risolvere le criticità nel breve periodo e
2. fornire un’analisi delle cause del problema rilevato e la pianificazione di una soluzione sistematizzata entro altri 5 giorni.
La circolare di ACCREDIA n. 36/2016 non specifica esplicitamente quali sono tutte le possibili NC maggiori, ma ne identifica in particolare 3:
1. Primo caso di NC maggiore: la mancata comunicazione delle modifiche dell’organizzazione o dell’infrastruttura IT, da parte del conservatore, che impattino la sicurezza delle informazioni Il conservatore dovrà collaborare con l’Organismo di Certificazione per verificare se dopo tale modifiche ci possano essere delle brecce di sicurezza e degradamenti del servizio di conservazione. In particolare dovrà essere verificato se il servizio possa essere sceso al di sotto dei livelli descritti nel Manuale di Conservazione che costituisce il Service Level Agreement con il cliente. Durante l’operazione di Audit, l’organismo di certificazione dovrà, evidenziare nel rapporto di audit, le NC maggiori. E’ da rilevare che nei casi più gravi, la cui gravità è evidentemente a valle dell’analisi congiunta Conservatore-Organismo di Certificazione, quest’ultimo date le sue responsabilità in vigilando, dovrà inviare una apposita segnalazione sia ad ACCREDIA che ad AGID relativamente alla NC maggiore evidenziata attendendo di ricevere specifiche istruzioni sulle misure di vigilanza da adottare Un caso grave, a nostro avviso e a puro titolo di esempio, potrebbe essere il cambio di figure cruciali negli organigrammi a causa di licenziamenti disciplinari e la mancata comunicazione ai clienti e il conseguente aggiornamento del Manuale di Conservazione.
2. Altro caso di NC maggiore: è genericamente una carenza inerente la sicurezza delle informazioni che possa compromettere i servizi.
3. Un ultimo caso di NC maggiore: si ha rispetto al campionamento. La circolare distingue tra:
a. campionamento dei processi di conservazione edi supporto del conservatore. Tale campionamento deve essere completo cioè comprendere tutti i processi, e ciò implica l’assoggettamento dei c.d. elenco dei documenti soggetti a registrazione.
b. Campionamento degli oggetti di conservazione (documenti, fascicoli ecc.) il quale campionamento deve essere fatto secondo la norma ISO 2859-1 con LQA=0.,
ogni non conformità rilevata durante il campionamento degli oggetti di conservazione sarà da ritenersi maggiore e dovrà prevedere un follow-up durante il quale si allargherà il campionamento evidentemente prevedendo anche il campionamento di ulteriori oggetti di conservazione.
-TEMPI DI VERICA
Per consentire una valutazione sulla successiva qualificazione di conservatore accreditato, Accredia distingue due momenti:
– “Prima valutazione e/o rinnovo”;
– “Sorveglianza periodica, secondo un ciclo biennale”.
In base a questi due momenti Accredia, , distingue i tempi di verifica in base ai requisiti posseduti dallo stesso “soggetto- conservatore” in relazione alla “certificazione” EIDAS.
Ciò può sembrare a prima vista di difficile comprensione.
Anzitutto il termine “certificazione EIDAS” usato nella circolare ci lascia abbastanza dubbiosi, per cui lo abbiamo interpretato come “qualificato” applicando la terminologia di EIDAS stesso.
Ricordiamo, infatti, che la conservazione dei documenti elettronici non è nello scopo di EiDAS che parla solo di conservazione delle firme (riferendosi evidentemente a tutti quei processi come la marcatura temporale che permettono di estendere naturalmente la validità di una firma oltre la scadenza del relativo certificato)
A tal proposito, al fine di focalizzare l’attenzione su questo ultimo aspetto, di seguito un piccolo schema che riassume i servizi rientranti nello scopo di EIDAS che ci ha condotto ad una possibile chiave interpretativa, si spera valida, e quindi ad una corretta valutazione della circolare in commento:
Ebbene dalla lettura della circolare emerge che ci saranno delle differenziazioni nella tempistica dell’auditing a seconda che il Conservatore sia o meno un TSP qualificato EIDAS.
Ci siamo spiegati tale differenza con la motivazione che un conservatore deve, evidentemente, adoperare i servizi di un TSP qualificato come firma elettronica, marcatura temporale e, perché no, anche servizi di recapito qualificato (ad oggi non presenti a livello nazionale) per le comunicazioni con i propri clienti per condurre i propri processi.
Con questa assunzione diventa plausibile che se un Conservatore è esso stesso un TSP qualificato necessariamente alcuni passi del processo di auditing potranno essere abbreviati.
Detto questo, per i tempi di verifica, e in applicazione con quanto osservato nella circolare in argomento, abbiamo ricavato una piccola tabella inerente la valutazione in due specifici momenti. Nella tabella si distinguono i due casi in cui il Conservatore soggetto a verifica sia o meno un TSP qualificato EIDAS:
Cosa ci aspettiamo adesso?
In realtà non scherzavamo affatto sulla confusione e ambiguità della circolare.
Per questo siamo convinti che AGID in collaborazione con ACCREDIA, emetta pubblicamente e quanto prima, una circolare con uno schema di perfezionamento non ambiguo, né fuorviante al fine di illustrare in maniera chiara i requisiti ed un percorso da seguire per il conservatore che intenda conseguire una valutazione positiva dagli Organismi di Certificazione per essere riconosciuto “conservatore accreditato” a tutti gli effetti.
