Con l’emanazione della Circolare Accredia n° 36/2016 è stato reso pubblico il nuovo “Schema di accreditamento degli Organismi di Certificazione, per il processo di certificazione dei Conservatori a Norma, secondo le disposizioni dell’Agenzia per l’Italia Digitale”.
Di fatto nel mercato della Conservazione, la procedura di accreditamento era già stata disciplinata dall’Agenzia per l’Italia Digitale con la circolare n. 65 del 2014, i cui requisiti per la valutazione erano stati elaborati sulla base degli standard ISO 14721 (OAIS) e ETSI 101 533. Schema rimasto valido almeno fino al 14 settembre 2016: l’introduzione del Regolamento UE n° 910/2014 – eIDAS, in tema di servizi fiduciari, ha comportato -tra l’altro- la riforma del Codice dell’Amministrazione Digitale, intervenuta con il D.Lgs. 179/2016 e dunque la sospensione della procedura “tradizionale” di certificazione.
La sua riformulazione è di fatto derivata dall’errata inclusione, all’art.29 del CAD, dei servizi di conservazione tra la fattispecie dei servizi fiduciari, refuso che ha generato inevitabilmente l’allargamento del perimetro delle attività di valutazione ritenute “obbligatorie” per l’ottenimento o il rinnovo dello status di “Conservatore Accreditato”, con l’aggiunta di ulteriori requisiti, previsti dal Regolamento eIDAS, portando all’elaborazione di un nuovo processo di certificazione basato sulla Circolare n. 36/2016 emanata da Accredia.
Proprio questo allargamento ha però suscitato forti perplessità nella Coalizione ANORC -AIFAG dei Conservatori accreditati, un progetto interassociativo che fin dal 2015 riunisce sotto un’unica egida i conservatori associati e accreditati dall’Agenzia per l’Italia Digitale.
La Coalizione ha così fatto pervenire ad AgID e ad ACCREDIA una lettera ufficiale per richiedere la modifica alla Circolare 36/2016 e per sollecitare una valutazione attenta delle implicazioni che la procedura attualmente comporta. La prima perplessità riguarda una vera e propria sovrapposizione tra la procedura “semplificata” di accreditamento precedentemente disciplinata da AgID e il processo “aggravato” di certificazione definito dalla Circolare ACCREDIA.
Quest’ultima prevede, nello specifico, che la valutazione di un conservatore si svolga in due distinti momenti:
• prima valutazione e/o rinnovo;
• sorveglianza periodica, secondo un ciclo biennale.
Le verifiche, si basano, in totale, su tre blocchi principali:
1. verifica di conformità del conservatore allo schema eIDAS; (almeno 2 gg)
2. accertamento dell’applicazione dei requisiti sistemici e dei controlli operativi della ETSI EN 319 401; (almeno 5 gg iniziali e almeno 3 gg per la sorveglianza)
3. verifica dell’adeguamento alla Lista di Riscontro predisposta da AgID (almeno 6 gg-uomo iniziali e almeno 3 gg-uomo per la sorveglianza).
I tempi della certificazione (che corrispondono complessivamente a 30 giorni in 2 anni), non solo non possono essere in alcun modo riducibili, ma possono peraltro aumentare a discrezione dello stesso Organismo di valutazione, senza contare i costi elevati -anche in termini di risorse umane- da dedicare alle attività di audit, da parte del Conservatore.
La procedura di accreditamento dovrebbe essere, ad avviso della Colazione, rimodulata al fine di non incidere in modo gravoso e negativo sull’evoluzione del mercato della conservazione digitale dei dati e dei documenti, provvedendo fondamentalmente a:
1. correggere il testo della Circolare ACCREDIA 36/2016 per eliminare alcuni refusi e alcuni riferimenti a SPID e ai relativi requisiti individuati con Regolamento di esecuzione 1502/2015;
2. prevedere la riduzione delle tempistiche dell’accertamento permettendo agli Organismi di Valutazione di definire, entro i limiti temporali indicati, verifiche anche più brevi in ragione di:
· dimensioni del richiedente la valutazione di conformità,
· complessità dei sistemi utilizzati dal conservatore (spesso anche in parte affidati all’esterno),
· esistenza di pregresse certificazioni;
3. considerare la necessaria conformità allo standard ETSI EN 319 401, valutare l’opportunità di continuare a richiedere anche una certificazione ISO 27001 in quanto entrambe si rifanno a quanto previsto dalla ISO 27002;
4. pubblicare una lista di riscontro predisposta da AgID per la valutazione del servizio di conservazione.
Occorre considerare inoltre che gli adempimenti richiesti dalla Circolare (così come è attualmente disciplinata), sono di gran lunga più onerosi rispetto a quelli previsti per situazioni analoghe, regolarizzate prima del 14 settembre 2016. L’aggravio del procedimento di accreditamento potrebbe innescare, di fatto, una difformità di trattamento tra le imprese che hanno ottenuto l’Accreditamento dall’Agenzia per l’Italia Digitale prima della sospensione, comportando una violazione delle norme sulla concorrenza.
Nell’interesse dei Conservatori già accreditati (ma anche di quelli che intendono intraprendere il processo di accreditamento nel prossimo futuro) la Coalizione ha fatto pervenire all’Agenzia per l’Italia Digitale e ad ACCREDIA le proprie osservazioni, al fine non solo di garantire la protezione della memoria digitale delle nostre amministrazioni pubbliche nel lungo periodo, ma anche e soprattutto di scongiurare l’esodo degli operatori da questo settore strategico per il Paese, garantendo i parametri di correttezza nella fornitura del servizio.
