Il DL Semplificazioni nel Titolo III si concentra sulle misure per il sostegno e la diffusione del digitale. Tra tali misure, l’articolo 25 introduce misure di semplificazione in materia di conservazione dei documenti informatici. L’impressione che traspare è quella che scompaia l’obbligo di un preventivo accreditamento ad AgID dei soggetti che intendono fornire i propri servizi di conservazione in favore delle PA. Inoltre, viene ridimensionato il potere sanzionatorio della Vigilanza AgID nei riguardi degli stessi conservatori.
Tuttavia, le modifiche non sono del tutto chiare e intervengono a gamba tesa su un mercato che, nonostante tutto, iniziava a consolidarsi e a fornire servizi di buon livello in favore delle PA committenti. E stiamo trattando peraltro di uno dei pochi servizi che, se esternalizzati, risultava vigilato e controllato da AgID al pari, se non di più degli altri, servizi qualificati eIDAS: lo spirito, a nostro avviso corretto, era quello di riconoscere l’importanza, anche strategica a livello nazionale, della corretta conservazione degli archivi delle nostre pubbliche amministrazioni. Anche per questo si fatica non poco a comprendere gli obiettivi dell’ultima riforma.
Accreditamento dei conservatori prima del DL Semplificazioni
Tutto è iniziato, se si può così dire, con le modifiche apportate al Codice dell’Amministrazione Digitale attraverso il D.Lgs 235/2010: con l’introduzione dell’art. 44-bis si prevedeva che soggetti pubblici e privati che svolgevano attività di conservazione dei documenti informatici per conto di terzi ed intendevano conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, potessero richiedere l’accreditamento presso l’allora DigitPA (poi confluita in AgID).
Successivamente con l’introduzione delle regole tecniche di cui al DPCM 3 dicembre 2013, l’accreditamento, del tutto volontario, è poi stato reso pre-requisito obbligatorio per poter affidare all’esterno la realizzazione del servizio di conservazione. L’art. 5, infatti, chiariva che le PA italiane potessero realizzare la conservazione internamente alla struttura che produce il documento o anche all’esterno, affidandola a conservatori accreditati (e le regole, fino all’introduzione delle nuove Linee guida, resteranno comunque queste!).
La procedura di accreditamento
AgID, con circolare 65/2014, ha poi introdotto una specifica procedura di accreditamento che è stata via via arricchita di ulteriori requisiti di qualità e sicurezza. Nel 2016 è stata introdotta come obbligatoria (per poi non esserlo più dal gennaio 2018…) una valutazione di conformità a tali requisiti individuati da AgID in una Lista di riscontro. Infine, tra i requisiti per l’accreditamento dei conservatori, è stato introdotto anche il rispetto di quanto previsto dall’art. 24 del regolamento eIDAS (per quanto applicabile).
La vigilanza sui conservatori accreditati
Accanto al possesso dei requisiti sopra indicati, è stata avviata anche un’attività di vigilanza del possesso e del mantenimento nel tempo di tali requisiti. Attività portata avanti negli ultimi 3 anni con azioni ispettive presso gli stessi conservatori che, in alcuni casi, ha portato alla cancellazione “spontanea” del conservatore inadempiente dall’elenco dei conservatori accreditati.
Attività di vigilanza, anch’essa cresciuta in efficacia e competenza nel tempo, che ha portato negli ultimi mesi all’irrogazione di alcune sanzioni di notevole importo: se, infatti, la sanzione inizialmente prevista – per le violazioni del CAD e delle regole tecniche da parte dei conservatori accreditati – era quantificabile tra 4.000 e 40.000 euro, con le modifiche introdotte dal D.Lgs 217/2017 tali importi sono stati decuplicati arrivando, nel massimo, a 400mila euro. Un quadro certamente migliorabile e dall’iter non sempre chiaro e lineare, ma che, pur con le sue fisiologiche disfunzioni, aveva ottenuto il risultato di garantire un buon livello medio nei servizi di conservazione erogati in favore delle PA italiane.
Le modifiche del DL Semplificazioni
Come abbiamo anticipato, il DL 16 luglio 2020 è intervenuto sulla conservatoria digitale con delle modifiche sostanziali.
La scomparsa dell’accreditamento
In pratica, ai sensi del novellato art. 34 comma 1bis del CAD, , le PA potranno o conservare internamente o affidare il servizio all’esterno, non più a soggetti accreditati, ma a coloro che possiedano i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all’art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione”. Viene anche modificato l’art. 29 che aveva legato, impropriamente ad avviso degli scriventi, l’accreditamento dei conservatori alle qualificazioni dei servizi fiduciari previsti dal Regolamento eIDAS.
Il regolamento eIDAS, però, è bene ricordarlo, non prevede obblighi diretti per i conservatori in quanto la tipologia di servizio ivi citata è cosa ben diversa da quella prevista dal CAD e realizzata dai conservatori accreditati italiani. Sul punto, è intervenuta da tempo la stessa Commissione EU con una risposta riportata in un documento di FAQ del 2014[1], nella quale distingue nettamente i servizi di conservazione delle firme e dei sigilli elettronici (e le soluzioni tecniche richieste ) dalla conservazione dei documenti (definita come forma di electronic archiving).
Il ridimensionamento della vigilanza
Come accennato, il DL semplificazioni interviene anche sulle attività di Vigilanza da parte di AgID ridimensionando le sanzioni applicabili ai conservatori che offrono servizi alle PA e riportandole ai valori precedenti al 2017 (quindi da 4.000 a 40.000 euro). Per effetto delle altre modifiche, anche i comportamenti sanzionabili si riducono: sparita la relazione tra qualificazione e accreditamento, i conservatori potranno essere sanzionati solo per le violazioni al CAD (e non più anche in relazione al Regolamento eIDAS).
Resta, però, da comprendere come farà AgID, nell’ipotetica assenza di un elenco dei conservatori, ad effettuare la propria attività di vigilanza: non sarebbe, infatti, più ipotizzabile un controllo sistematico e periodico dei conservatori, ma resterebbe solo possibile una verifica a seguito di segnalazione o, nella peggiore delle ipotesi, in conseguenza di un evento che abbia comportato danni per l’Ente produttore dei documenti conservati.
Se, probabilmente, un ridimensionamento delle sanzioni poteva ritenersi necessario e auspicabile, occorrerebbe oggi però fare attenzione a che la vigilanza, in considerazione dell’importanza della corretta preservazione dei nostri archivi pubblici, resti un presidio importante di controllo preventivo e non solo sanzionatorio.
L’analisi
A non voler essere pessimisti effettivamente, oltre alla sparizione della parola accreditamento e dell’accostamento con la qualificazione eIDAS, non sembrerebbe mutare, almeno al momento, molto altro in seguito alle intervenute modifiche di cui stiamo trattando. In effetti, il comma 2 del citato art. 25 del DL semplificazioni ricorda comunque che fino all’adozione delle Linee guida e del regolamento, in materia di conservazione dei documenti informatici si applicheranno le disposizioni vigenti fino alla data di entrata in vigore del presente articolo.
Occorrerà, quindi, attendere la sostituzione della circolare 65/2014 con un nuovo regolamento, sempre a cura di AgID, che individuerà i (nuovi?) requisiti sia organizzativi e sia di qualità e sicurezza che occorrerà possedere per erogare il servizio di conservazione. Allo stesso modo, le nuove Linee guida su formazione, gestione e conservazione del documento informatico andranno a sostituire (com’era già previsto) le attuali regole tecniche.
Solo allora potremo avere un quadro reale delle effettive modifiche volute dal Legislatore: si tratterà, come auspicabile, o di una mera e corretta operazione di sistemazione oppure si avrà un vero e proprio cambio di rotta, con tutte le conseguenze negative per un mercato che, negli anni, si è fatto parte attiva di un miglioramento continuo e costante nell’erogazione di un servizio così delicato e di grande rilievo come quello della conservazione degli archivi pubblici.
Lo stato delle linee guida
Sul Regolamento AgID non sappiamo se e quanto siano già avanti i lavori (dopotutto era da tempo che la circolare 65/2014 necessitava di un aggiornamento non solo formale) mentre per le Linee guida abbiamo avuto modo di vedere, già lo scorso novembre, una bozza posta in consultazione pubblica. Le Linee guida sono poi state trasmesse alla Commissione europea, purtroppo prima ancora che si concludesse la fase di consultazione per eventuali osservazioni sul testo qualora il contenuto potesse avere un impatto sul mercato interno dell’UE ai sensi della direttiva (UE) 2015/1535. Come comunicato dalla stessa AgID, la bozza ha subito uno stop in Commissione europea che ha emanato un parere circostanziato relativo alla presunta violazione da parte delle Linee guida sulla formazione, gestione e conservazione sui documenti informatici delle norme sul commercio elettronico (Direttiva 2000/31/UE) e sulla libera circolazione dei dati non personali all’interno dell’Unione europea (Regolamento (UE) 2018/1807).
Pur non avendo avuto modo di visionare il parere circostanziato della Commissione, possiamo presumere che le violazioni riguardino da un lato, l’introduzione di presunte barriere alla libera circolazione dei servizi società dell’informazione provenienti da un altro Stato membro e dall’altro, la violazione del divieto di localizzazione dei dati: entrambe, però, appaiono più che altro correlate a quanto previsto dal criticato par. 4.9 delle Linee guida piuttosto che alla procedura di accreditamento in sé, laddove viene in esso previsto che “i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell’Agenzia per l’Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale”.
Ma, se davvero fossero queste le motivazioni che hanno portato al paventato blocco delle Linee Guida e alle conseguenti modifiche intervenute con il DL semplificazioni, allora, probabilmente, andrebbe individuata una strada differente per risolvere i delicati problemi di politica legislativa europea, come ad esempio verificare se sia adottabile anche dal nostro Paese la strada francese a tutela del patrimonio informativo pubblico. In particolare, in Francia, facendo leva anche su ragioni di sicurezza nazionale, persiste ancora oggi un rigoroso meccanismo di approvazione preventiva (procédures d’agrément) sui sistemi informatici quali poter affidare la conservazione degli archivi pubblici.
__
Note
- FAQ 4. Preservation of electronic signatures, electronic seals or certificates related to trust servicesThe eIDAS Regulation sets rules for the preservation of electronic signatures, electronic seals or certificates related to trust services. Preservation is different from electronic archiving (which is NOT a trust service under eIDAS). The objectives and targets of the process will make a distinction between the two activities:- Preservation under eIDAS aims at guaranteeing the trustworthiness of a qualified electronic signature or qualified electronic seal through time. The technology underpinning such trust service therefore targets the electronic signature or seal;- Electronic archiving aims at ensuring that a document is stored in order to guarantee its integrity (and other legal features). The technology underpinning electronic archiving therefore targets the document. Electronic archiving remains the competence of Member States.In other words, electronic archiving of documents and preservation of electronic signatures and electronic seals are different in nature, are based on different technical solutions (attached to the document or to the electronic signature/electronic seal) and differ in their finality (conservation of the document vs preservation of electronic signature/electronic seal). ↑
