Con Determinazione n. 455/2021 è stato adottato il Regolamento che definisce i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, fissando in un apposito allegato i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione necessari per la fornitura del servizio. Il Regolamento presenta diversi punti controversi e rischia di minare alle radici un mercato, quello della conservazione in favore di soggetti pubblici, già da tempo oggetto di scelte strategiche non sempre comprensibili e spesso ondivaghe.
L’emanazione del Regolamento da parte di AgID è stata comunque prevista dall’articolo 34, comma 1-bis del Decreto legislativo n. 82/2005, come integrato e modificato dal Decreto Semplificazione (D.L. 76/2020), convertito con Legge n. 120/2020 ed entrerà in vigore il 1° gennaio 2022, data a partire dalla quale sarà abrogata la Circolare AgID n. 65/2014.
Proroga linee guida Agid su conservazione documenti informatici: ecco gli impatti
I contratti in essere alla data di entrata in vigore del Regolamento, resteranno validi sino al termine di scadenza previsto, fatta salva la facoltà della PA affidataria di verificare il possesso dei requisiti per la fornitura del servizio e richiedere ai conservatori di acquisire, entro un congruo termine, uno o più requisiti eventualmente mancanti.
La fine dell’accreditamento dei conservatori
Con l’entrata in vigore del Regolamento e la contestuale abrogazione della Circolare AgID 65/2014, verrà, quindi, messa la parola fine sull’accreditamento dei conservatori.
Tale accreditamento era stato previsto per la prima volta dall’art 44-bis del CAD introdotto a sua volta dal D.Lgs 235/2010 e prevedeva che i soggetti pubblici e privati – che svolgevano attività di conservazione dei documenti informatici per conto di terzi e che intendevano conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza – potessero richiedere l’accreditamento presso l’allora DigitPA (poi confluita in AgID).
L’accreditamento, del tutto volontario, è poi stato reso requisito obbligatorio per poter affidare all’esterno la realizzazione del servizio di conservazione con l’introduzione delle regole tecniche di cui al DPCM 3 dicembre 2013: l’art. 5 del decreto, infatti, chiariva che le PA italiane potessero realizzare la conservazione internamente alla struttura che produce il documento o anche all’esterno, affidandola solo a conservatori accreditati.
Con la propria Circolare 65/2014, AgID aveva poi individuato una specifica procedura di accreditamento che prevedeva la dimostrazione del possesso di una serie di requisiti organizzativi, tecnici e finanziari.
Con il DL 16 luglio 2020, il nostro Legislatore è poi intervenuto sulla conservazione e sull’accreditamento dei conservatori con delle modifiche che, sostanzialmente, hanno fatto sparire dal CAD il termine “accreditamento”.
Le modifiche apportate lo scorso luglio si sono rese necessarie alla luce di un parere reso dalla Commissione UE che ha considerato l’accreditamento un illegittimo ostacolo alla libera circolazione dei servizi informatici nel territorio dell’Unione[1].
Per tale motivo, dovendo abbandonare qualsiasi forma di preventiva autorizzazione per lo svolgimento dei servizi di conservazione, il novellato art. 34 comma 1bis del CAD, prevede ora che le PA potranno affidare la conservazione all’esterno non più a soggetti accreditati, ma a soggetti “che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all’art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione”.
Il Regolamento per la fornitura dei servizi di conservazione
La realizzazione dei servizi di conservazione è sostanzialmente regolata dal cap. 4 delle nuove Linee guida AgID in materia di formazione, gestione e conservazione dei documenti informatici.
Chi, però, intende offrire i propri servizi in favore di enti pubblici dovrà garantire anche il possesso degli ulteriori requisiti individuati dal Regolamento. In particolare, il Regolamento, nel suo allegato A, individua una serie di requisiti distinti in: generali, di qualità, di sicurezza e di organizzazione.
Requisiti generali
Tra i requisiti generali, viene richiesto ai conservatori di esporre opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alle funzionalità di versamento ed esibizione. Tale requisito, che già di per sé vincola non poco i possibili accordi di versamento tra PA e conservatore, diviene particolarmente oscuro quando AgID richiede che il servizio di conservazione sia integrato con SPID, CIE o altre identità digitali europee notificate: da un lato, quindi, si chiede di esibire API che automatizzerebbero il dialogo tra sistema di conservazione e i suoi utenti (per la precisione produttore e utenti autorizzati a richiedere un’esibizione), dall’altro si impone l’integrazione con SPID senza che si riesca a comprendere chi dovrebbe (e perché) accedere tramite un eID.
L’accesso ai documenti conservati, infatti, dovrebbe essere sempre mediato dal conservatore che cura la formazione di pacchetti di distribuzione da consegnare dietro opportuna richiesta di esibizione da parte degli utenti autorizzati. Anche laddove tale attività di esibizione fosse il più possibile automatizzata, gli utenti sarebbero comunque in numero ristrettissimo e preventivamente individuato (tale, quindi, da non giustificare il ricorso a un eID) dovendo ogni accesso comunque essere mediato dall’Amministrazione alla quale compete la verifica del diritto di accesso agli atti amministrativi, così come disciplinato dalla Legge 241/90 o rispetto al più generale diritto di accesso civico (cd. FOIA).
Vi è poi il richiamo indiretto a tutta una serie di requisiti specifici non sempre di immediata applicazione per un sistema di conservazione essendo relativi a standard tecnici già da tempo dichiarati obsoleti (ETSI TS 101 533) o ad altri standard realizzati per attività, e quindi con obiettivi, che non riguardano in maniera specifica la conservazione dei documenti informatici (ETSI TS 119 511 e ETSI EN 319 401).
Anche la richiesta di conformità del servizio di conservazione allo standard ISO 16363 appare completamente illogica considerato che tale standard non definisce requisiti per i servizi di conservazione, ma individua le modalità con le quali eventualmente certificare gli archivi digitali.
Viene poi inserito per la prima volta tra i requisiti per i conservatori, la certificazione del sistema di gestione per la prevenzione della corruzione ai sensi della norma UNI 37001 (probabilmente facendo riferimento alla norma UNI ISO 37001).
Come più volte consigliato, sarebbe stato utile effettuare una sintesi degli effettivi requisiti applicabili onde evitare difformità interpretative tra i vari conservatori e ottenere con un’unica certificazione ad hoc per tutto quanto necessario per la fornitura dei servizi di conservazione alle PA. Dopotutto un lavoro in tal senso esisteva già (si fa riferimento alla Lista di riscontro AgID del 14 aprile 2017 relativa ai precedenti requisiti di qualità e sicurezza) e si sarebbe potuto partire da quel documento andando ad aggiornare e specificare i requisiti precedentemente individuati.
Infine, sempre tra i requisiti generali, viene richiesto che il Conservatore possegga “una descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate, delle procedure di gestione e di evoluzione delle medesime, delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie. Inoltre, deve possedere una descrizione delle procedure di accesso, ricerca, recupero e uso, e loro monitoraggio degli archivi nel rispetto della normativa sulla protezione dei dati personali”.
A cosa si fa riferimento? E in cosa differirebbe questa “descrizione del sistema di conservazione” dal manuale di conservazione del conservatore citato nelle Linee guida o da quello citato nel successivo requisito RO7?
Requisiti di qualità, sicurezza, organizzativi
Relativamente ai requisiti di qualità, viene richiesta la certificazione ISO 9001 (che potrebbe eventualmente integrare le misure anticorruzione di cui alla ISO 37001) o, in alternativa, la certificazione di rispondenza allo standard ISO 20000 – Information tecnology – service management – service management system requirement. Viene, poi, ribadita la necessità di stilare un piano di cessazione che descriva le modalità di cessazione volontaria o involontaria del servizio di conservazione con un occhio di riguardo alle modalità di migrazione al conservatore subentrante e alla cancellazione dei documenti conservati. AgID, infine, richiede la disponibilità di un account di test utilizzabile per effettuare ogni tipo di verifica che si renderà necessaria per il mantenimento della qualificazione.
Relativamente ai requisiti di sicurezza, AgID richiede che il conservatore sottoponga le componenti del sistema di conservazione ai test OWASP, così come previsto dalle Linee guida per lo sviluppo del software sicuro nella Pubblica Amministrazione emanate da AgID. Inoltre, si richiede che il conservatore garantisca idonee misure di business continuity in accordo con le buone pratiche presenti nello standard ISO/IEC 22313.
Infine, relativamente ai requisiti organizzativi, AgID – rispetto a quanto previsto dalla Circolare 65/2014 – ha ridotto notevolmente le figure professionali indispensabili per l’erogazione del servizio, essendo oggi richiesti solo i profili del responsabile servizio di conservazione e del responsabile della funzione archivistica di conservazione.
Viene ribadita la necessità di una polizza assicurativa stipulata per la copertura dei rischi dell’attività e dei danni causati a terzi e viene richiesta l’iscrizione al registro delle imprese da almeno 90 giorni rispetto alla presentazione della domanda (anche se non è chiaro a quale domanda si faccia riferimento).
Viene poi richiesto l’adempimento di quanto previsto per il corretto trattamento dei dati personali, soprattutto laddove la localizzazione dei server di conservazione sia all’estero. Qui il regolamento appare davvero incomprensibile e in aperto contrasto con quanto invece richiesto dalle Linee guida laddove nel par. 4.8 prevede (a nostro avviso giustamente) la materiale conservazione dei dati contenuti nei documenti conservati all’interno del territorio UE[2].
Inoltre, viene richiesto al conservatore di possedere un manuale di conservazione (presumibilmente quello di cui al par. 4.6 delle LLGG) anche se non è chiaro – come già in precedenza sottolineato – in cosa poi differisca dalla descrizione del sistema di conservazione richiesta al precedente requisito RG8.
Infine, viene richiesto di allegare a tale manuale un non meglio definito piano di sicurezza: probabilmente si fa riferimento al piano della sicurezza che le PA devono allegare al manuale di gestione documentale, ma un po’ di chiarezza in più (oltre all’utilizzo di nomi uguali per concetti uguali) aiuterebbe alla corretta interpretazione del requisito.
Il marketplace dei servizi di conservazione
Il regolamento, poi, si occupa dell’istituzione di un marketplace nel quale i conservatori possono volontariamente iscriversi con la finalità di dimostrare, a priori, il possesso di tutti i requisiti richiesti dal Regolamento per la fornitura di servizi di conservazioni alle PA.
Il conservatore interessato all’iscrizione alla sezione “servizi di conservazione” del “Cloud Marketplace” provvede a trasmettere apposita richiesta secondo le modalità previste dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018 per l’iscrizione al Cloud Marketplace[3].
AgID potrà procedere in ogni momento alla verifica, da parte dei soggetti iscritti al marketplace, del possesso dei requisiti richiesti dal Regolamento disponendo la cancellazione dei soggetti non conformi ed esercitando il potere sanzionatorio di cui all’art. 32-bis del d. lgs. 7 marzo 2005, n. 82 e successive modificazioni.
Qualora, invece, una PA preferisca rivolgersi a un soggetto non iscritto al marketplace, allora dovrà trasmettere ad AgID i relativi contratti di affidamento del servizio di conservazione, entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le attività di verifica dei requisiti previsti dal Regolamento.
I problemi del regolamento Agid su conservazione documenti informatici
Prime considerazioni: il mercato della conservazione andrebbe tutelato anche a livello europeo e non messo sistematicamente in discussione
Leggendo il Regolamento AgID per la fornitura di servizi di conservazione restano aperti molti dubbi sulla finalità e sulla stessa utilità di tale regolamentazione tecnica che dovrebbe avere lo scopo di sostituire, per quanto possibile, l’accreditamento come conservatori che con tanta fatica e oneri economici alcuni operatori del mercato avevano conseguito prima della richiesta di sua eliminazione giunta dalla Commissione europea (la stessa Commissione che ieri riteneva tali servizi di conservazione dei documenti informatici poco meritevoli di tutela ed oggi approva una proposta di modifica al Regolamento eIDAS che vede tra i nuovi servizi fiduciari proprio la conservazione dei documenti informatici…). Il mercato della conservazione andrebbe tutelato anche a livello europeo e non messo sistematicamente in discussione, come purtroppo sta accadendo in questi ultimi anni.
Nonostante la promessa (reiterata in numerosi convegni) di una tutela degli investimenti posti in essere dai conservatori in questi anni, AgID ha previsto un marketplace dedicato ai “servizi di conservazione” la cui iscrizione, oltre ad essere volontaria, è stata, se possibile, resa ancora più incerta e onerosa rispetto al precedente accreditamento.
Più in generale, a prescindere dall’iscrizione o meno al marketplace, la fornitura di servizi di conservazione alle PA appare sempre più onerosa e complessa laddove resta forse l’unico e comunque il più regolamentato servizio che le PA possono acquisire all’esterno. E tale onerosità non appare neppure giustificata da un reale tentativo di proteggere i documenti delle nostre PA poichè, se effettuato all’interno della PA, eventualmente anche con il supporto di un fornitore di soluzioni software per la conservazione e relativa manutenzione, il servizio di conservazione non deve soddisfare quasi nessuno dei requisiti previsti dal Regolamento per i fornitori esterni. E questo è davvero intollerabile.
Come già sottolineato, in più sedi il mercato era stato rassicurato sul fatto che il Regolamento avrebbe richiesto livelli di qualità e sicurezza non distanti da quelli dell’accreditamento (già tra i più elevati tra i servizi affidabili all’esterno dalle PA). Al contrario, il Regolamento appena pubblicato da AgID riesce a rendere più oneroso e nuovamente incerto un percorso che, nel bene e nel male, qualche certezza iniziava a darla. Perché? Perché richiedere la conformità (spesso impossibile da ottenere) a standard che hanno obiettivi diversi da quelli della conservazione dei documenti informatici? Perché, alla luce delle proposte di revisione al Regolamento, chiedere ulteriori sforzi, non solo economici, ai conservatori con il concreto rischio che quanto sarà fatto faticosamente nei prossimi due anni potrebbe rilvelarsi inutile (come in parte si stanno rivelando inutili gli sforzi fatti negli ultimi anni per l’accreditamento). E poi, a fronte di tanti sforzi, pensiamo veramente che le PA avranno la possibilità di acquistare questi servizi? O preferiranno fare in casa, dove non hanno nessuna di queste regole? Perchè, alla fine, questo è il punto: se questi livelli di qualità e sicurezza sono veramente necessari, allora chiediamoli in generale per la conservazione dei documenti pubblici (interna o esterna che sia) e non solo ai conservatori esterni. E soprattutto apparirebbe più saggio attendere le modifiche previste al Regolamento eIDAS, considerato che avvranno un pesante impatto sui servizi di conservazione.
Occorre procedere urgentemente a un’attenta riflessione su cosa possa e debba essere la conservazione dei documenti informatici e su cosa possa e debba essere richiesto agli operatori della conservazione in Italia evitando che siano i pochi soliti noti a poter operare in un settore così delicato e, al momento, evidentemente senza guida.
[1] Non si può non sottolineare che in quell’occasione l’Italia avrebbe dovuto/potuto insistere nel mantenere un sistema, quello dell’accreditamento, sul quale abbiamo un’esperienza positiva e che avrebbe potuto giustificarsi nella sua struttura sottolineandone l’ambito di tutela in termini di sicurezza del patrimonio informativo pubblico nazionale (come peraltro è accaduto in altri Stati membri). Peraltro, il Regolamento eIDAS (electronic IDentification Authentication and Signature – Regolamento UE n° 910/2014 sull’identità digitale) è in fase di rivisitazione e probabilmente ci saranno importanti novità proprio in materia di conservazione di documenti informatici.
[2] Tale discordanza sembra palesare una mai sopita propensione da parte di AgID verso le soluzioni cloud, propensione che continua a determinare in chi legge (e speriamo non in chi ha materialmente redatto il regolamento) una confusione terminologica tra soluzioni software offerte in cloud (tra le quali ci possono essere software di conservazione) e sistemi di conservazione sviluppati in outsourcing.
[3] Inserire l’offerta in outsourcing dei sistemi di conservazione in un sotto insieme del Cloud Marketplace di AgID contribuisce ad alimentare la pericolosa confusione tra software di conservazione sviluppati in cloud e sistema di conservazione offerto in maniera esternalizzata.