Il nuovo CAD, con l’ultima revisione approvata a dicembre dal Consiglio dei ministri, introduce diverse novità anche sulla conservazione digitale.
Quella datata dicembre 2017 è la sesta modifica del codice emanato nella sua interezza nel 2005. Visti i tanti anni trascorsi, un’era geologica trattandosi di digitale, sarebbe stata certamente opportuna una nuova legge che recepisse e armonizzasse i tanti concetti totalmente nuovi nati nel frattempo; pensiamo al Cloud, al GDPR, all’identità digitale, ad eIDAS, solo per citarne alcuni, concetti in gran parte sconosciuti nel 2005.
Proprio i riferimenti al regolamento europeo eIDAS, che disciplina e fornisce la base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri, impattano in modo sostanziale sul servizio di conservazione digitale (servizio fiduciario appunto).
Già nel decreto del presidente del consiglio dei ministri del 3 dicembre 2013 (regole tecniche in materia di sistemi di conservazione) era stato introdotto il concetto di conservatore accreditato AgID poi successivamente modificato nel 2016 con la richiesta, da parte di AgID stessa ad Accredia, di istituire un processo di verifica di conformità dei conservatori, sia per quelli già accreditati (da novembre 2014) che per le nuove richieste.
Proprio in merito alle verifiche di conformità, con le modifiche all’Art 32-bis del CAD sono introdotte le seguenti modifiche al comma 1 sulle quali è bene soffermarsi:
“L’AgID può irrogare ai conservatori accreditati che abbiano violato gli obblighi del Regolamento eIDAS o del presente Codice, relative alla prestazione dei predetti servizi, sanzioni amministrative in relazione alla gravità della violazione accertata e all’entità del danno provocato all’utenza, per importi da un minimo di euro 40.000 a un massimo di euro 400.000, fermo restando il diritto al risarcimento del maggior danno. Nei casi di particolare gravità l’AgID può disporre la cancellazione del soggetto dall’elenco dei soggetti qualificati. Le sanzioni vengono irrogate dal direttore generale dell’AgID, sentito il Comitato di indirizzo. Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689.”;
Dalle modifiche al comma 1, risulta evidente come AgID sia fortemente focalizzata nel raggiungimento dell’obiettivo di avere un elenco di Conservatori affidabili e “certificati” in maniera oggettiva, cosa che non era avvenuta fino ad oggi con il solo accreditamento (attivo da fine 2014), essendosi quest’ultimo basato esclusivamente sulla produzione di documentazione amministrativa (tanta) e operativa (poca) sulla quale non vi era quasi alcun controllo di merito ma quasi esclusivamente di forma. Detto in altri termini, il conservatore faceva un’autodichiarazione e se ne assumeva la responsabilità della quale AgID si limitava a prenderne atto.
In questo percorso di adeguamento, nel marzo del 2017, si inserisce l’informativa di AgID inviata a tutti i conservatori presenti nell’elenco, contenente le date limite entro le quali avrebbero dovuto presentare gli attestati di conformità:
Spettabili conservatori accreditati,
in relazione ai certificati di conformità del sistema di conservazione richiamati dal paragrafo 5 della circolare AgID n. 65 del 10 aprile 2014, si informa che i conservatori accreditati dovranno presentare tali documenti secondo il seguente calendario:
- entro il 31 ottobre 2017 per i soggetti accreditati entro il 30 aprile 2015;
- entro il 31 gennaio 2018 per i soggetti accreditati dal 1 maggio 2015 al 31 gennaio 2016;
- entro il 30 aprile 2018 per i soggetti accreditati dopo il 1 febbraio 2016.
Le verifiche Agid
Contestualmente, venivano pubblicate le modalità di effettuazione delle verifiche da parte dell’ente certificatore scelto.
Le verifiche su base documentale vengono condotte con riferimento alla seguente documentazione che dovrà essere in possesso del soggetto accreditato:
- documenti depositati presso AgID ai fini della qualificazione o dell’accreditamento.
- documenti di riscontro indicati nelle norme.
Il certificatore effettuerà la visita ispettiva basandosi, oltre che sulla documentazione sopracitata, su apposite liste di riscontro (check list), contenenti i principali requisiti previsti dalle norme di riferimento rispetto ai quali sono condotte le valutazioni. Proprio in questo caso, oltre che sulla documentazione, la verifica si dovrà spingere anche sui processi, sulle figure di riferimento, sui sistemi e sulle infrastrutture adottate al fine di verificarne l’effettiva adeguatezza.
Oltre alle verifiche programmate, che poi si ripeteranno con cadenza annuale e con rinnovo completo ogni due anni, AgID sta svolgendo (da Settembre 2017) anche una intensa attività di controlli estemporanei presso la lunga (forse troppo) lista dei conservatori accreditati (ad oggi 76 aziende per la maggior parte private) con l’intento di “scoprire” eventuali dichiarazioni mendaci rese al fine dell’ottenimento dell’accreditamento, di fatto, senza averne diritto, per mancanza di requisiti, soprattutto di sicurezza, fondamentali. La visita, della durata di un giorno, viene annunciata e l’Azienda ha un preavviso limitatissimo (max. 5 giorni).
AgID, durante l’ispezione, può rilevare tre diversi gradi di non conformità:
- grave
In questo caso il conservatore ha una settimana di tempo per dimostrare la sistemazione dell’anomalia
- medio
In questo caso il conservatore ha 30 giorni di tempo per dimostrare la sistemazione dell’anomalia
- minore
In questo caso il conservatore ha 90 giorni di tempo per dimostrare la sistemazione dell’anomalia
Proprio in questi casi potrebbero scattare le sopra citate sanzioni che, nei casi più gravi, oltre che alla rimozione dall’elenco delle aziende accreditate, darebbe origine ad un’ammenda fino alla considerevole cifra di 400.000 euro (oltre eventuale maggior danno).
I provvedimenti introdotti dal 2016 dunque, hanno indubbiamente irrobustito l’impianto generale della conservazione digitale, adeguandolo a quelle che sono le caratteristiche che devono essere possedute dalle aziende che erogano servizi fiduciari, così come previsto da eIDAS.
I problemi della conservazione digitale con il Cad
Ci sono anche le note dolenti però; nel testo del nuovo CAD infatti, mancano i provvedimenti tesi a verificare (e sanzionare) la cattiva condotta delle PA, che tutt’oggi producono una grande mole di documenti digitali di cui è previsto l’obbligo di conservazione, ma dei quali viene effettuata una “semplice” archiviazione documentale. Deve essere chiaro che questa condotta, può causare la perdita del valore probatorio dei documenti, nella migliore delle ipotesi, fino al mancato reperimento del documento stesso, con le conseguenze derivanti da cause di richiesta danni “perse a prescindere “. Pensiamo, ad esempio, ai tanti referti prodotti dalle strutture sanitarie direttamente in digitale (con relativa sottoscrizione del medico). Il patrimonio documentale delle PA deve essere salvaguardato e la conservazione digitale è lo step finale necessario che deve essere adottato; non è un’opzione, ma un obbligo.
Si torna all’annoso tema delle norme, tante, forse troppe, anche di discreto livello, ma senza nessun processo che ne verifichi l’effettiva applicazione e di conseguenza i dirigenti non hanno nessun riscontro o incentivo rispetto alla corretta applicazione e neanche il contrario evidentemente.
Si arriva dunque anche al tema delle competenze, soprattutto digitali, che sono fondamentali per recepire le nuove normative. Purtroppo è recente (22 dicembre scorso) l’ennesimo fallimento di innalzare il livello di competenze nella PA con un piano straordinario di assunzioni e di formazione. Nonostante tutti i pareri favorevoli, infatti, la riformulazione finale all’emendamento dell’On. Coppola era stata così depotenziata, che non è stato nemmeno più presentato. Per stessa ammissione dell’On. Coppola, è stata evidente l’opposizione interna, proveniente da chi evidentemente, ha tutto l’interesse a far sì che le cose rimangano come sono.
