L’AgID ha completato il percorso delle modifiche normative sulla conservazione dei documenti informatici. Il documento di riferimento è la Determinazione numero 455 del 25 giugno 2021 recante la “Adozione del Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici e relativi allegati, ai sensi dell’art. 34, comma 1bis, lett. b)”.
L’articolo al quale si fa riferimento è nel CAD come modificato dal D.L. 76/2020, convertito con Legge n. 120/2020 e in particolare ad alcune regole relative al servizio di conservazione dei documenti informatici.
Conservazione, perché il regolamento Agid distrugge il mercato
Cos’è il regolamento Agid su conservazione dei documenti informatici
Il sopra citato Regolamento conservazione dei documenti informatici. è parte coordinata e integrante delle “Linee guida per la formazione, gestione e conservazione dei documenti informatici” che come è noto sarà da attuare completamente dal primo gennaio 2022.
Nel seguito, sinteticamente, si commentano gli aspetti principali del citato Regolamento.
Per cominciare è utile ricordare che il Regolamento del quale trattiamo è stabilito nell’articolo 34, comma 1-bis, del quale, per comodità del lettore, si riporta di seguito il testo:
“Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici:
a) all’interno della propria struttura organizzativa;
b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all’art 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione”.
Nelle Linee guida sopra citate, per uniformarsi alla disciplina comunitaria, è stato abrogato l’obbligo per le pubbliche amministrazioni di utilizzare fornitori iscritti in un elenco tenuto da AgID a seguito della procedura nota come accreditamento.
Il regolamento determina quindi “i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, fissando in un apposito allegato i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio, ad integrazione quanto già definito nell’ambito delle Linee guida sulla formazione, gestione e conservazione del documento informatico, emanate a settembre 2020”.
Il documento è strutturato in un testo principale e in due allegati.
Allegato A, erogazione per conto delle PA
L’allegato A tratta dei “Requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni”, l’allegato B del “Piano di cessazione del servizio di conservazione dei documenti digitali”. Il regolamento è composto di 9 articoli. Il possesso dei requisiti previsti dalla normativa specifica è demandato all’iscrizione al marketplace per i servizi di conservazione, che sarà istituito da AgID come sezione autonoma del Cloud Marketplace, disciplinato dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018.
L’iscrizione alla sezione servizi di conservazione del Cloud Marketplace non è obbligatoria. Le amministrazioni possono avvalersi di conservatori non iscritti nel rispetto di quanto previsto all’articolo 7 del regolamento. 1Negli articoli precedenti si stabiliscono le regole di iscrizione e cancellazione allo specifico marketplace, inoltre l’articolo 7 stabilisce che:
“1) Le amministrazioni che affidano il servizio di conservazione dei documenti informatici a soggetti non iscritti nella sezione “servizi di conservazione” del Cloud Marketplace hanno l’obbligo di trasmettere ad AgID i relativi contratti entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le attività di verifica dei requisiti generali nonché dei requisiti di qualità, di sicurezza e organizzazione di cui all’allegato A al presente regolamento.
2) L’Agenzia, fatte salve le sanzioni comminabili ai sensi dell’art. 32-bis del CAD, comunica senza indugio l’esito delle verifiche di cui al comma precedente all’amministrazione interessata che adotterà i provvedimenti conseguenti.”
Il regolamento si conclude con le disposizioni sulla cessazione del servizio di conservazione (facendo riferimento all’allegato B) e con le disposizioni transitorie e finali.
Importante la seguente regola:
“I contratti in essere alla data di entrata in vigore del presente regolamento, rimangono validi sino al termine di scadenza previsto, fatta salva la facoltà dell’amministrazione di verificare il possesso dei requisiti di cui all’allegato A al presente regolamento e richiedere ai conservatori di acquisire, entro un congruo termine, uno o più requisiti eventualmente mancanti”.
Il regolamento entra in vigore, in contemporanea con le Linee guida citate il 1 gennaio 2022.
Il già citato allegato A stabilisce in dettaglio i requisiti che il fornitore deve possedere per l’iscrizione al marketplace.
Molti di questi requisiti sono ripresi dalla certificazione dei servizi cloud di tipo SaaS con i requisiti stabiliti nelle sopra citate circolari del 9 aprile 2018.
L’allegato A è auto esplicativo ma qualche requisito non è chiaro rispetto agli obiettivi che vuole raggiungere.
In particolare il requisito RG2:
“Il servizio di conservazione è integrato con il Servizio Pubblico di Identità Digitale o Carta di Identità Elettronica o altre identità digitali europee notificate;”
lascia perplessi in relazione allo scopo, a seguito del quale, un soggetto debba accedere al servizio di conservazione visto che tale servizio non prevede funzionalità di accesso diretto alla banca dati dei documenti.
Il requisito RG4:
“Il servizio erogato è conforme al modello di riferimento OAIS Reference Model for an Open Archivial Information System definito nello standard ISO 14721;”
Il servizio fa riferimento ad una conformità ad una standard che è un modello di riferimento quindi può essere complesso determinare l’effettiva conformità di una specifica realizzazione. Il buon senso può supportare la reale realizzazione.
I requisiti RG6 e RG7 sono orientati verso le regole di una conservatoria europea:
“RG6. Fino al 31/12/2022, il servizio erogato dovrà essere conforme allo standard ETSI TS 101 533-1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. Il requisito del supporto della TS 101 533-1 si considera soddisfatto se il conservatore è conforme alla TS 119 511.
RG7. Il servizio erogato è conforme allo standard ETSI EN 319 401, con l’adozione di criteri derivanti dallo standard ETSI TS 119 511 e da tutte le norme richiamate applicabili.
In particolare ETSI EN 319 401 stabilisce le regole comunitarie di base per l’ottenimento della qualifica di prestatore di servizi fiduciari ai sensi del Regolamento 910/2014 (eIDAS).
Molto importante anche l’esplicita citazione di ETSI TS 119 511 e dei criteri specifici per la conservazione di lungo periodo stabilite nel Regolamento eIDAS.
Negli articoli disponibili ai collegamenti seguenti sono disponibili alcuni approfondimenti sul tema.
Al conservatore si chiedono anche conformità alla gestione anticorruzione e altre conformità di qualità e sicurezza tradizionali come ISO 9001 e ISO 27001 ma anche OWASP.
Le regole stabilite in questo senso sono più generali, ove corrispondenti, rispetto alla circolare AgID 10 aprile 2014, n. 65 (correttamente abrogata all’entrata in vigore del regolamento qui trattato). Questa circostanza, soprattutto nel caso della certificazione ISO 27001 ma anche nell’applicazione delle specifiche ETSI TS 119 511 e ETSI EN 319 401 e dell’obsoleta ETSI TS 533-1 crea significative duplicazioni di controlli da parte del certificatore di conformità che costituiscono un maggior onere economico per il potenziale fornitore.
Peraltro questa situazione era già presente con la circolare 65/2014 e le richieste di semplificazione delle due associazioni di riferimento per questo mercato ad AgID non hanno prodotto alcun risultato.
L’allegato A stabilisce anche i requisiti per i profili professionali del Responsabile del servizio di conservazione e del Responsabile della funzione archivistica di conservazione. Quest’ultima figura richiede una specifica cultura archivistica che è cruciale per la documentazione amministrativa.
Allegato B
Il riferimento del regolamento all’allegato B per la cessazione del servizio è di contenuti auto esplicativi. Su questo tema è comunque utile sottolineare che viene dato adeguato rilievo al tema del passaggio dei dati da un conservatore cessato a quello necessariamente subentrante.
In conclusione di questa sintetica analisi sul regolamento AgID relativo ai criteri di fornitura del servizio di conservazione dei documenti informatici alle pubbliche amministrazioni possiamo dire che l’abrogazione dell’istituto dell’accreditamento porta a un periodo transitorio per il mercato di riferimento che porterà a nuovi equilibri dopo un periodo di assestamento.
L’iscrizione al marketplace è senz’altro una vetrina per le aziende ma l’ovvia (nel senso delle regole comunitarie) mancanza dell’obbligo delle pubbliche amministrazioni di utilizzare gli iscritti in esso è un’incognita.
Un elemento cruciale per un adeguato funzionamento del sistema è nella trasmissione ad AgID da parte delle amministrazioni che utilizzano soggetti non iscritti al marketplace dei contratti di fornitura del servizio di conservazione. Questa prescrizione deve essere gestita con attenzione da parte dell’amministrazione in sede di procedura di acquisizione della fornitura.
L’eventuale richiesta da parte dell’amministrazione, in sede di procedura di acquisizione della fornitura, dell’iscrizione al marketplace non sarebbe conforme alla normativa comunitaria in quanto di fatto duplicazione dell’abrogato (dal 1 gennaio 2022) elenco dei conservatori accreditati.
Per quanto relativo ai requisiti per l’iscrizione al marketplace, gli oneri di certificazione per le aziende sono superiori a quelli già previsti per l’accreditamento e le stesse dovrebbero valutare se non sia più conveniente una qualifica per i servizi di conservazione come approfondito nei sopra citati articoli.
A tal proposito è bene ricordare che la proposta di modifica del Regolamento eIDAS recentemente pubblicata dalla Commissione Europea prevede un nuovo servizio fiduciario denominato “archiviazione elettronica dei documenti informatici”.
Iniziare a ragionare in ottica comunitaria è una cosa auspicabile anche se alcuni specifiche questioni relative a questa proposta di modifica sono all’inizio del dibattito europeo e quindi potrebbero essere modificate in corso d’opera.