I conservatori avranno sempre più la responsabilità di garantire la resilienza nei confronti di tutte le minacce che insistono sulla propria infrastruttura e di riflesso sui servizi offerti. Servizi, ricordiamolo, che rappresentano una reale criticità per la PA e per il funzionamento dello Stato. In questo contesto, l’attività di certificazione portata avanti da Accredia ha permesso ai conservatori di operare in compliance alle indicazioni di Agid, accrescendo la sicurezza.
Infatti, in un’ottica di interesse strategico per il Sistema Paese, quello dei conservatori dei documenti informatici rappresenta un’attività ad alto contenuto organizzativo e tecnologico sempre più richiesta e importante. Ciò in virtù della riorganizzazione in ottica digitale dei processi della PA e della necessità di salvaguardare questi documenti. Come dimostrato dalle ultime vicende di attualità, che hanno coinvolto alcune istituzioni, le minacce in ambito informatico sono sempre più frequenti e virulente e possono portare a blocchi gravissimi dell’erogazione di servizi essenziali da parte delle istituzioni verso i cittadini e le imprese.
Di conseguenza, tali situazioni possono essere caratterizzate anche da una perdita totale o parziale di dati, anche sensibili, alla esfiltrazione degli stessi dati, con il possibile utilizzo fraudolento e con danno sicuro per le libertà fondamentali dei cittadini. Da ultimo, queste situazioni si concretizzano in danni organizzativi e tecnici, ma oltremodo in danni reputazionali per le PA e le istituzioni coinvolte.
Cosa fa Accredia
Accredia, l’ ente unico di accreditamento italiano, opera a fronte del Regolamento UE 765/08 con il compito di accreditare Organismi di certificazione e ispezione, Laboratori di prova e di taratura. La sua finalità è quella di contribuire a migliorare la competitività e a promuovere il progresso tecnico ed economico, favorendo la libera circolazione delle merci, lo sviluppo sostenibile, la leale concorrenza tra gli operatori sul mercato, la trasparenza nei rapporti tra produttori, utenti e consumatori, nonché il miglioramento dei prodotti e degli ambienti di vita e di lavoro. L’Ente svolge l’attività di accreditamento sulla base dei criteri tecnici e scientifici, in conformità alle norme emanate a livello internazionale, europeo e nazionale, nel rispetto dei principi di indipendenza, imparzialità e competenza tecnica.
L’attività di accreditamento di Organismi che effettuano valutazioni di conformità si svolge anche nei settori riservati, secondo le disposizioni legislative e regolamentari in materia, ad attività delle Pubbliche Amministrazioni, sulla base di specifici mandati e specifiche convenzioni, sempre su formale iniziativa delle Amministrazioni competenti.
Proroga linee guida Agid su conservazione documenti informatici: ecco gli impatti
Gli obiettivi delle certificazioni
Sulla base di quanto appena indicato, le attività di Accredia sono finalizzate a fornire garanzia e fiducia, alla Pubblica Amministrazione e ai cittadini, sulla solidità e l’integrità di quanto oggetto di Certificazione Accreditata di sistemi di gestione, di professionisti e di prodotti, ma anche delle ispezioni e delle prove e delle tarature svolte dai laboratori accreditati. Nell’ambito di tali servizi offerti sia nel dominio “volontario”, sia in quello “regolamentato”, ricadono le attività di certificazione di specifiche infrastrutture che offrono servizi in logica digitale, basati su tecnologie informatiche. Si tratta di Certificazioni orientate a garantire la qualità dei servizi e il mantenimento di un livello adeguato di sicurezza delle informazioni, la cosiddetta “cyber-security”: cioè la disponibilità, integrità e riservatezza delle informazioni (e dei dati e mezzi che le supportano). Tutto ciò avviene nei domini fisico, organizzativo e di governance, nonché logico, delle entità che svolgono tali processi.
Di fatto, queste entità, ad esempio i cosiddetti Trust Service Provider (ad esempio quelli richiamati dal Regolamento UE 910/2014, cosiddetto eIDAS), sono chiamati a richiedere un servizio di audit a Organismi di Certificazione che Accredia ha provveduto ad accreditare. Tale accreditamento avviene a fronte di un percorso molto rigoroso; a partire dalla qualifica degli auditor che tali organismi impiegano per svolgere le proprie attività di audit/valutazione. Con questa logica è nata anche la certificazione accreditata dei conservatori di documenti informatici.
La certificazione dei Conservatori: come funziona
Accredia fu invitata da AgID a sostanziare quanto previsto dalla Circolare n. 65 del 10 aprile 2014 con la quale la stessa Agenzia definiva le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82. Tale richiesta prendeva le mosse da quanto previsto dal Decreto Legislativo n.179/2016 [Art. 25.1.b].
L’utilità della Certificazione
In uno scenario di crescente minaccia alla sicurezza con, secondo i dati forniti dalla Polizia Postale, 3.421 attacchi nel 2020 per i privati e per le aziende e prevedendo nel 2021 un aumento del 50%, si è inserita su richiesta di AgID l’attività degli organismi di certificazione, operanti nel rispetto dei criteri internazionali di accreditamento garantiti dal monitoraggio di Accredia. La dimostrazione di quanto sia stata utile ed efficace la certificazione è data dal fatto che grazie al lavoro degli prganismi accreditati – sia in fase di certificazione che di sorveglianza o rinnovo – è stato possibile riscontrare e far correggere delle non-conformità anche maggiori, che innalzavano in modo esponenziale il rischio corso dalle infrastrutture IT dei diversi Trust service providers, tra i quali possiamo annoverare proprio i conservatori.
Questo processo di miglioramento ha permesso ai Conservatori di rendere le propria attività sempre più conformi ai requisiti di AgID e sempre più sicure. Tutto ciò a tutela anche della PA, visto che talora, essendo realtà già operative, avevano delle carenze tali da mettere a repentaglio la sicurezza del processo di conservazione. Un altro elemento a supporto dell’utilità del processo di Certificazione Accreditata, e del parallelo lavoro svolto dagli stessi Conservatori, è testimoniato dalla riduzione sostanziale del tasso di anomalie riscontrate dalla vigilanza AgID, per come documentato negli ultimi quattro anni. Questo miglioramento continuo è da correlare all’approccio sistemico adottato dagli organismi di certificazione e quindi dai Conservatori che hanno valorizzato adeguatamente le informazioni derivanti dagli Audit ai quali sono stati sottoposti. Si tratta infatti di uno schema di certificazione volutamente molto robusto e impegnativo, che ha permesso il rilevamento e la “misurazione”, anno dopo anno, del livello di conformità raggiunto dagli stessi Conservatori.
A questo proposito vale la pena ricordare che Accredia ha sviluppato uno schema di accreditamento dedicato ai laboratori destinati a svolgere la funzione vitale di Vulnerability assessment, resa obbligatoria dalle Circolari di Accreditamento sviluppate per i servizi “trusted”. A questo accreditamento si affiancherà auspicabilmente entro l’anno in corso quello relativo ai penetration test, con grande vantaggio per gli operatori chiamati a far valutare il livello di impervietà delle proprie strutture nei confronti di tentativi di effrazione informatica.
Certificazione conservatori, lo stato dell’arte
A fronte dei vantaggi oggettivi riscontrati in ottica di migliore tutela della sicurezza delle informazioni, AgID ha colmato il vuoto normativo, determinatosi a seguito dalle modifiche al Codice dell’Amministrazione digitale avvenute nel 2017, che hanno rimosso l’obbligatorietà della certificazione accreditata, adottando un approccio basato sulla continuità delle prassi in essere. Infatti, in attesa delle nuove regole del legislatore, l’Agenzia ha continuato a considerare efficaci quelle definite con Accredia. Non si trattava più di un impianto previsto dalla legge ma di una che ha consentito ad AgID di intervenire solo a fronte di valutazioni interne tramite la propria Vigilanza e non con atto preventivo, tipico di un processo ispettivo finalizzato all’istruttoria di accreditamento pubblico. Di fatto, come nel periodo trascorso, AgID ha continuato a considerare qualificante la presentazione dei rapporti di verifica degli Organismi di certificazione.
Il legislatore è poi intervenuto con la legge n. 120 del 2020 “Misure urgenti per la semplificazione e l’innovazione digitale” che ha nuovamente modificato il Codice dell’Amministrazione digitale, dando incarico ad AgID di ridefinire le regole di qualificazione dei Conservatori, in modo da esser compatibili con la libera circolazione dei servizi nell’Unione europea. L’Agenzia ha quindi adottato con Determinazione n. 445/2021, il Regolamento per il nuovo processo di qualifica dei Conservatori, in vigore dal primo gennaio 2022, che prevede il ricorso ad altri tipi di Certificazione, sempre sotto accreditamento, per ottenere il riconoscimento di AgID.
Fino a quel momento però, come recita la stessa Legge, “si applicano le disposizioni vigenti prima della data di entrata in vigore del presente decreto”. Ciò ha fatto sì che nel vuoto dei provvedimenti dovuti e attesi, sia stato “non deciso” di lasciare in vigore l’attuale consuetudine. Per questo, alla pubblicazione del nuovo Regolamento, Accredia è intervenuta con una nuova Circolare tecnica del Dipartimento Certificazione n. 28 del 2021, finalizzata ad accompagnare e supportare la validità delle certificazioni esistenti dei Conservatori, assicurandone la validità giuridica fino al 31 dicembre 2021.
Nella circolare viene ribadito che i soggetti che intendono mantenere la qualifica di conservatori presso AgID fino alla fine dell’anno dovranno dimostrare il possesso dei requisiti stabiliti dalle norme specifiche. Uno dei modi, per la consuetudine già citata, è quello di garantire ad AgID il possesso della certificazione accreditata. Ove mantenuta attiva, i Conservatori non potranno negarsi alle verifiche di sorveglianze svolte dagli Organismi a questo preposti e con i quali, occorre ricordarlo, sono in vigore degli accordi contrattuali precisi, pena la sospensione ed eventuale revoca della certificazione. Si è trattato quindi di un utile intervento ‘ponte’, finalizzato a dare continuità e a garantire sui requisiti e le garanzie offerte dai Conservatori.
Cosa ci riserva il futuro
Come previsto dall’Allegato “A” del Regolamento di AgID, sopra citato e intitolato “requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni“, a partire dal 1° gennaio 2022 i Conservatori di documenti informatici dovranno offrire comunque delle garanzia ad AgID. Tra queste si annoverano alcune Certificazioni del proprio sistema di gestione a fronte delle seguenti Norme: la ISO 9001:2015 per la qualità dei servizi o, in alternativa, la ISO/IEC 20000-1:2018 (scelta che lascia qualche dubbio, visto che la seconda Norma è quella maggiormente adatta per la gestione della qualità nei servizi IT); la ISO/IEC 27001:2013 (e aggiornamenti) con riguardo alla sicurezza delle informazioni e la ISO 37001:2016 con riferimento alla prevenzione della corruzione.
Quindi, AgID ha stabilito nuovamente di ricorrere all’operato di organismi di certificazione accreditati per qualificare la capacità dei Conservatori di dare evidenza del rispetto di requisiti normativi stringenti. Questa decisione, fatta salva l’individuazione di alcune delle norme, appare un esercizio legittimo da parte dell’agenzia e sarà una nuova sfida per gli organismi di certificazione e per Accredia. Infatti, non sarà possibile dimenticare che gli organismi interessati dovranno operare con una specifica attenzione e professionalità nell’analisi e valutazione dei processi di conservazione, a fronte di requisiti che debbono essere letti nell’ottica di creazione di valore per tutte le parti interessate.
Auguriamoci, quindi, buon lavoro, con spirito costruttivo e con la consueta logica di rigore, ma anche di collaborazione per il miglioramento delle prestazioni di tutti i soggetti coinvolti. Infatti, quando è in essere un processo di certificazione accreditato, il flusso delle informazioni sulle modalità per rendere tale processo sempre più efficace è sempre e comunque bidirezionale, a vantaggio dei Conservatori, ma anche degli Auditor, degli Organismi di Certificazione e dello stesso Ente di Accreditamento.
