L’ Agenzia per l’Italia Digitale, ha recentemente pubblicato in Gazzetta Ufficiale due comunicati che annunciano l’emanazione di regolamenti di riferimento in materia di PA Digitale.
Il primo regolamento riguarda l’adozione di Linee Guida per l’attuazione del Codice dell’Amministrazione Digitale – ai sensi degli artt. 14-bis e 71 del Codice dell’Amministrazione Digitale – decreto legislativo 7 marzo 2005, n. 82. Una delle modifiche più interessanti apportate al CAD lo scorso gennaio con il D.Lgs. 217/2017, infatti, è stata quella relativa alla sostituzione delle Regole tecniche previste dall’art. 71 del CAD (da approvare con un Decreto del Presidente del Consiglio dei Ministri) con linee guida (da emanarsi da parte di AgID) risultato di un processo molto più rapido e dunque “al passo con i tempi” di quella stessa innovazione tecnologica, che sono chiamate a regolamentare.
Sono due, essenzialmente, le tipologie di linee guida previste dal regolamento:
- Linee guida di indirizzo: contenenti regole generali, la cui definizione degli aspetti di dettaglio è demandata alla singola Amministrazione.
- Linee guida contenenti regole tecniche: contenenti le vere e proprie regole tecniche, richieste dal CAD.
Di fatto le Linee Guida rappresentano il primo strumento legislativo finalizzato a privilegiare la PA Digitale, in linea con i tempi dell’evoluzione tecnologica. A cosa è dovuto di fatto lo snellimento dell’iter?
Anzitutto l’adozione delle Linee guida avviene sotto la responsabilità di un soggetto, il Referente, designato dal responsabile di struttura AgID. È previsto che quest’ultimo coordini un gruppo di lavoro avente il compito di pianificare le attività necessarie alla preparazione delle linee guida. Una volta redatta la bozza finale, quest’ultima è sottoposta a consultazione pubblica, così come previsto ai sensi dell’art. 71 del CAD. A conclusione della consultazione pubblica il direttore generale procede con la richiesta di pareri alle Amministrazioni competenti, al Garante per la protezione dei dati personali e alla Conferenza unificata e, ove nulla osti, procede alla loro emanazione e pubblicazione sul sito AgID. Le linee guida potranno poi essere oggetto di revisione in caso di qualsiasi variazione normativa e/o obsolescenza dei contenuti.
Il secondo regolamento prevede le modalità per l’esercizio del potere sanzionatorio ai sensi dell’art. 32 bis del d. lgs 7 marzo 2005, n. 82 e successive modificazioni. La vigilanza è volta a verificare che i prestatori di servizi fiduciari eIDAS (ai quali sono di fatto parificati i gestori PEC e i conservatori accreditati) ed i servizi da essi prestati rispondano nel tempo ai requisiti previsti dalla disciplina di riferimento per ciascun elenco; accertare violazioni o irregolarità; rilevare situazioni potenzialmente critiche; favorire il miglioramento continuo dei processi di erogazione dei servizi.
La verifica si avvia a seguito di segnalazione esterna o d’ufficio, secondo un calendario predisposto da AgID. Con apposita comunicazione, AgID è tenuta ad informare l’interessato dell’avvio del procedimento di verifica, rendendo noto il nominativo del Responsabile, l’oggetto e l’indicazione delle tempistiche di conclusione (massimo 180 giorni). La verifica deve essere eseguita conformemente al documento recante le “Modalità di esecuzione delle verifiche sui soggetti qualificati o accreditati”, allegato al Regolamento e pubblicato già da vari mesi sul sito istituzionale di AgID.
Salvo casi di particolare complessità, la verifica deve concludersi entro 30gg dall’avvio del procedimento, mediante l’invio tramite PEC all’interessato di un “Rapporto di verifica” contenente gli eventuali rilievi emersi nel corso delle attività, distinti tra:
- Non conformità: ove si presentassero irregolarità e violazioni rispetto alle norme di riferimento. Si classificano in base al livello di gravità: lieve, media o grave.
- Osservazioni: proposte finalizzate al miglioramento.
- Nel caso in cui non ci fossero rilievi, il procedimento è direttamente sottoposto ad archiviazione.
È dunque possibile che, a seguito degli esiti della verifica, al soggetto si richieda la redazione di un piano di rientro contenete le specifiche azioni correttive da adottare e i tempi previsti per la loro attuazione, da inviare entro 10 giorni.
La non Conformità è considerata “Lieve” se la violazione riscontrata ha un basso impatto sui servizi o sugli utenti e non impedisce di continuare l’erogazione del servizio: dev’essere risolta entro un termine massimo di 60 giorni.
La non conformità è considerata “Media” quando la violazione riscontrata ha un impatto significativo sui servizi o sugli utenti che non impedisce di continuare l’erogazione del servizio: da risolvere entro 30gg.
Nel caso in cui venga rilevata una non conformità “Grave” (violazione idonea a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relativa a significative carenze infrastrutturali o di processo del fornitore di servizio) è invece prevista, ai sensi dell’articolo 32-bis del CAD, la cancellazione del fornitore del servizio dall’elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino ad un massimo di due anni
Sia in caso di non conformità lievi e medie non risolte o non risolte adeguatamente che in caso di non conformità gravi, il Responsabile della verifica trasmette gli atti al Direttore Generale per la contestazione della violazione e l’irrogazione della sanzione che può andare da un minimo di 40000 ad un massimo di 400.000 EURO. La risoluzione della Non Conformità nel termine massimo indicato, positivamente verificata da AgID, conclude il procedimento. Il Responsabile della verifica dispone l’archiviazione degli atti, dandone comunicazione al gestore. La fase sanzionatoria prevede comunque una fase difensiva, in cui si possono presentare scritti difensivi, documenti o la richiesta di essere ascoltati; ed una fase definitiva in cui verrà emesso il provvedimento finale.
All’interno del provvedimento finale saranno presenti:
- l’indicazione della sanzione irrogata;
- le modalità ed i termini per il relativo pagamento;
- l’indicazione che il pagamento in misura ridotta ai sensi dell’articolo 16 della legge 689/1981 determina la conclusione del procedimento;
- l’indicazione del termine per ricorrere e dell’autorità giurisdizionale a cui è possibile fare ricorso.
Il provvedimento sanzionatorio può, altresì, prevedere: la sanzione amministrativa accessoria della pubblicazione sul sito di AgID e nei casi di particolare gravità l’applicazione della sanzione della cancellazione dall’elenco pubblico del gestore. Il Regolamento in commento descrive inoltre anche le modalità di esercizio del potere sanzionatorio, nel caso di interruzioni di servizio o mancata o intempestiva comunicazione di disservizio così come previsto dall’articolo 32-bis, comma 2 del CAD.
A parere degli scriventi, però, tale specifica ipotesi sanzionatoria non viene compiutamente regolamentata nonostante in aggiunta all’irrogazione di una sanzione sia addirittura prevista la cancellazione del gestore dall’Elenco nel caso in cui l’interruzione o la mancata segnalazione siano reiterate nel corso di un biennio.
Non è chiaro, infatti, in quali casi di interruzione del servizio debba procedersi alla segnalazione ad AgID; attraverso quali canali debba essere inoltrata tale segnalazione e con quali tempistiche. Se, infatti, la tematica è particolarmente importante per i servizi fiduciari come firme digitali e marche temporali e per la posta elettronica certificata dove certamente i danni causati da tali disservizi possono essere anche importanti, non si comprende come la stessa sanzione possa essere prevista per i servizi di conservazione laddove, anche un’indisponibilità di qualche ora, non possa causare danni apprezzabili.
Speriamo che con un ulteriore provvedimento chiarisca anche la questione delle interruzioni di servizio e, più in generale, la tematica della segnalazione degli incidenti ad AgID. Infatti una regolamentazione di maggior dettaglio era attesa dal mercato di riferimento, specie in relazione all’eventuale applicazione delle sanzioni previste dall’articolo 32-bis del CAD.
Lo scorso ottobre, infatti, la Coalizione dei conservatori accreditati ANORC-AIFAG ha formalizzato al Parlamento la Richiesta di intervento correttivo sulle proposte di modifica all’art. 32-bis del CAD contenute nel dispositivo dell’art. 29 dello “Schema di decreto legislativo recante disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n. 179”, nella quale si manifestavano forti perplessità sulle modalità di individuazione della sanzione prevista dall’attuale articolo 32-bis del CAD (decuplicata rispetto allo scorso anno: a un minimo di 40.000 euro a un massimo di 400.000 euro).
Pur apprezzando il tentativo di inserire all’interno dell’articolo 17, secondo comma, del Regolamento recante le modalità per la vigilanza, alcuni principi di carattere generale e il richiamo ai generici criteri riportati dall’articolo 11 della legge 689 del 1981, non ci possiamo ritenere per nulla soddisfatti dal risultato raggiunto, ancora troppo aleatorio rispetto al danno che una sanzione di tale portata può provocare al mercato.
Questo il commento di Alessandro Selam, direttore di ANORC