DL semplificazioni 2020: le modifiche al CAD sulla conservazione digitale. L’analisi di Giovanni Manca

Il DL semplificazioni 2020 ha apportato numerose modifiche al Codice dell’amministrazione digitale (CAD). Queste riguardano il domicilio e l’identità digitale, l’interoperabilità dei sistemi informativi della pubblica amministrazione, l’aggiornamento dell’organizzazione operativa della stessa e altro.

In questo articolo presentiamo e commentiamo le nuove regole che riguardano la conservatoria digitale. Le nuove regole incidono sulle modalità di avviamento del servizio e su alcuni aspetti operativi. Per una maggiore comprensione dei temi, gli articoli modificati sono pubblicati integralmente. Il carattere barrato indica il testo abrogato, il carattere grassetto indica le novità introdotte.

 

Articolo 29Qualificazione e accreditamento Qualificazione dei fornitori di servizi

  1. I soggetti che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale di cui all’articolo 64 presentano all’AgID domanda di qualificazione, secondo le modalità fissate dalle Linee guida.

I soggetti che intendono svolgere l’attività di conservatori di documenti informatici presentano all’AgID domanda di accreditamento, secondo le modalità fissate dalle Linee guida.

Viene abrogato l’istituto dell’accreditamento per i soggetti che intendono svolgere l’attività di conservatori di documenti informatici. In questa comma non viene fornita una esplicita nuova collocazione per i conservatori.

  1. Il richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eiDAS, deve avere natura giuridica di società di capitali e deve disporre dei requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati, nel rispetto della disciplina europea, con decreto del Presidente del Consiglio dei ministri, sentita l’AgID.

 

I soggetti di cui al comma 1 devono possedere i requisiti di cui all’articolo 24 del Regolamento (UE) 23 luglio 2014, n. 910/2014, disporre di requisiti di onorabilità, affidabilità, tecnologici e organizzativi compatibili con la disciplina europea, nonché di garanzie assicurative adeguate rispetto all’attività svolta. Con decreto del Presidente del Consiglio dei ministri, o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione, sentita l’AgID, nel rispetto della disciplina europea, sono definiti i predetti requisiti in relazione alla specifica attività che i soggetti di cui al comma 1 intendono svolgere. Il predetto decreto determina altresì i criteri per la fissazione delle tariffe dovute all’AgID per lo svolgimento delle predette attività, nonché i requisiti e le condizioni per lo svolgimento delle attività di cui al comma 1 da parte delle amministrazioni pubbliche.

Anche la nuova formulazione del comma 2 non stabilisce alcuna collocazione per i conservatori di documenti informatici. Il comma comunque, pur con un linguaggio diverso, conferma quanto già stabilito nel testo novellato ovvero che tali soggetti devono essere in possesso anche di ulteriori requisiti che devono essere compatibili con la disciplina europea e fornire adeguate garanzie assicurative rispetto all’attività svolta. Per rendere operativa questa previsione normativa deve essere emesso un DPCM. Dall’ultimo capoverso si evince che questo DPCM introduce anche tariffe dovute all’AgID per le attività di qualifica, di conferma della stessa e di vigilanza sui prestatori si servizi fiduciari qualificati.

  1. La domanda di qualificazione o di accreditamento si considera accolta qualora non venga comunicato all’interessato il provvedimento di diniego entro novanta giorni dalla di presentazione della stessa.

Questa comma elimina, ovviamente, l’istituto dell’accreditamento.

Il comma 5 e il comma 6 non sono modificati. Il comma 6 viene riportato di seguito perché citato in una modifica riportata nel seguito.

  1. A seguito dell’accoglimento della domanda, AgID dispone l’iscrizione del richiedente in un apposito elenco di fiducia pubblico, tenuto da AgID stesso e consultabile anche in via telematica, ai fini dell’applicazione della disciplina in questione.

 

Articolo 30, comma 1

  1. I prestatori di servizi fiduciari qualificati e i gestori di posta elettronica certificata, iscritti nell’elenco di cui all’articolo 29, comma 6, nonché i gestori dell’identità digitale e i conservatori di documenti informatici, che cagionano danno ad altri nello svolgimento della loro attività sono tenuti al risarcimento, se non provano di avere adottato tutte le misure idonee a evitare il danno.

In questa comma vengono riformulati i responsabili per il risarcimento di eventuali danni. Ci sono anche i soggetti che rilasciano le credenziali per il sistema SPID. Si noti che per tali soggetti e i conservatori di documenti informatici non si fa riferimento all’elenco pubblico di cui all’articolo 29, comma 6; quindi non sono necessariamente prestatori di servizi fiduciari qualificati visto, per questi soggetti, l’obbligo di iscrizione nel sopra citato elenco pubblico.

Articolo 32-bis, comma 1 – Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestori di posta elettronica certificata, per i gestori dell’identità digitale e per i conservatori.

  1. L’AgID può irrogare ai prestatori di servizi fiduciari qualificati, ai gestori di posta elettronica certificata, ai gestori dell’identità digitale e ai soggetti di cui all’articolo 34, comma 1-bis, lettera b), che abbiano violato gli obblighi del Regolamento eIDAS o del presente Codice relativa alla prestazione dei predetti servizi, sanzioni amministrative in relazione alla gravità della violazione accertata e all’entità del danno provocato all’utenza, per importi da un minimo di euro 40.000 a un massimo di euro 400.000, fermo restando il diritto al risarcimento del maggior danno. Le sanzioni erogate per le violazioni commesse dai soggetti di cui l’articolo 34, comma 1-bis, lettera b), sono fissate nel minimo in euro 4.000,00 e nel massimo in euro 40.000,00.

Le violazioni del presente Codice idonee a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relative a significative carenze infrastrutturali o di processo del fornitore di servizio si considerano gravi. AgID, laddove accerti tali gravi violazioni, dispone altresì la cancellazione del fornitore del servizio dall’elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino ad un massimo di due anni.

Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689.

Viene stabilita una significativa modifica all’apparato sanzionatorio. Ci si riferisce ai conservatori di documenti informatici per la pubblica amministrazione come “soggetti di cui all’articolo 34, comma 1-bis, lettera b)”. Per questi soggetti viene modificata la sanzione minima e quella massima riducendole rispettivamente da 40.000 a 4.000 euro e da 400.000 a 40.000. Chi fornisce servizi ai soggetti privati non è soggetto a sanzioni salvo l’eventuale risarcimento del danno causato.

Non è stato eliminato “il divieto di accreditamento” per un errore materiale. Infatti l’accreditamento è stato eliminato e quindi non ha più ragione di esistere nel testo normativo.

Articolo 34, comma 1-bis, lettera b)

1-bis. Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici:

  1. a) all’interno della propria struttura organizzativa;
  2. b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all’art 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.

 Nulla cambia per le pubbliche amministrazioni che procedono alla conservazione dei documenti informatici all’interno della propria struttura organizzativa.

Se procedono ad un affidamento, totale o parziale a soggetti esterni, pubblici o privati questi devono possedere requisiti di qualità, di sicurezza e organizzazione che sono stabiliti da AgID con le Linee guida previste all’art. 71 del CAD. Deve essere rispettata la disciplina europea; non si fa riferimento esplicito al regolamento eIDAS ma è presumibile che questo sia un provvedimento del quale tener conto in modo adeguato.

Deve essere emesso da AgID anche un regolamento (non è chiara la natura legislativa di questo provvedimento, in genere il termine regolamento è usato per un decreto del Presidente della Repubblica) sui criteri per la fornitura dei servizi di conservazione di documenti informatici.

Questo regolamento stabilisce come operare per assicurare la conformità dei documenti conservati agli originali, nonché la qualità e la sicurezza del sistema di conservazione.

Per tentare di ipotizzare alcuni principi di queste Linee guida e del citato regolamento è opportuno ricordare le differenze tra la conservazione dei documenti informatici in Italia e in Europa.

Il servizio fiduciario europeo (spesso indicato come Conservazione dei Dati a Lungo Termine – Long Term Data Preservation) ha lo scopo di utilizzare procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata (o un sigillo elettronico qualificato) oltre il periodo di validità tecnologica (un esempio è la scadenza del certificato digitale per la sottoscrizione).

Il conservatore nazionale ha lo scopo di preservare la memoria digitale anche garantendo nel lungo periodo l’esibizione a norma di legge di documenti informatici per soggetti pubblici e privati.

Per questo motivo è corretto individuare, senza contraddire la normativa comunitaria, criteri nazionali in relazione a quanto stabilito nella parte finale del comma.

Articolo 44, comma 1-ter – Requisiti per la gestione e conservazione dei documenti informatici

1-ter. In tutti i casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati, il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida.

 I principi stabiliti nel comma si estendono ai soggetti privati in tutti i casi in cui la legge prescrive obblighi di conservazione dei documenti informatici.

Per l’evoluzione di queste fattispecie è utile ricordare che nel DL semplificazioni si stabilisce che:

Fino all’adozione delle Linee guida e del regolamento di cui al comma 1, lettera e), (nota: come stabilito nella novella dell’articolo 34, comma 1-bis, lettera e)  ) in materia di conservazione dei documenti informatici, si applicano le disposizioni previgenti all’entrata in vigore del presente articolo.

Questo significa che, al momento, nulla cambia.

E’ anche opportuno segnalare che per la domanda di qualificazione di servizi fiduciari è ancora in vigore la Determinazione AgID 185/2017 – Modalità per la qualificazione di servizi eIDAS.

Per questi temi bisogna anche tenere in conto l’aggiornamento delle regole in capo ad ACCREDIA stabilite con la Circolare tecnica n.5/2020 del 16 marzo 2020 reperibile al segente link.

In questa circolare sono stabiliti gli standard di riferimento per l’accreditamento dei soggetti autorizzati ad emettere i rapporti di conformità per i prestatori di servizi fiduciari che intendono qualificare i servizi.

Per la Conservazione europea (Long Term Data Preservation) la circolare ACCREDIA fa riferimento alla specifica ETSI TS 119 511 – Electronic Signatures and Infrastructure (ESI); Policy and Security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques.

Per completezza sul tema della conservazione di documenti informatici è opportuno citare anche la modifica all’articolo 14-bis, comma 2, lettera i) che aggiorna al nuovo scenario la specifica funzione dell’Agenzia per l’Italia Digitale.

 

Articolo 14-bis – Agenzia per l’Italia Digitale

Comma 2, lettera i)

  1. i) Vigilanza sui servizi fiduciari ai sensi dell’articolo 17 del regolamento UE 910/2014 in qualità di organismo a tal fine designato, sui gestori di posta elettronica certificata, sui conservatori di documenti informatici accreditati soggetti di cui all’articolo 34, comma 1-bis, lettera b), nonché sui soggetti, pubblici e privati, che partecipano a SPID di cui all’articolo 64; nell’esercizio di tale funzione l’Agenzia può irrogare per le violazioni accertate a carico dei soggetti vigilati le sanzioni amministrative di cui all’articolo 32-bis in relazione alla gravità della violazione accertata e all’entità del danno provocato all’utenza.

 La vigilanza è limitata ai soggetti pubblici o privati che forniscono i servizi di conservazione alla pubblica amministrazione. Questo approccio, del quale i giuristi valuteranno la conformità alla disciplina europea. Costringe comunque gli operatori a un doppio binario; quello nazionale dove le regole saranno emesse da AgID e quello comunitario che nel nuovo testo di legge appare differente, essendo comunque quest’ultimo al regolamento eIDAS e, ad oggi, alle regole di ACCREDIA sopra citate.

Concludendo possiamo affermare che queste modifiche al CAD determinano poche certezze sulla nuova organizzazione della conservatoria. Sicuramente è abolito l’accreditamento e viene rimodulato l’ammontare delle sanzioni, quindi la vigilanza è ancora presente. Se ci si riferisce al regolamento eIDAS questo è applicabile esclusivamente ai prestatori di servizi fiduciari qualificati.

La qualifica dei prestatori è comunque volontaria e non dovrebbe essere conforme alla disciplina europea l’obbligo di qualifica.

I servizi di conservazione dei documenti informatici offerti alla pubblica amministrazione saranno soggetti a vincoli operativi e organizzativi che, ovviamente, non possono riproporre procedimenti analoghi all’accreditamento. Un’ipotesi è che l’Amministrazione che fruisce del servizio verifichi il possesso di questi requisiti in fase di acquisizione della fornitura anche attraverso una certificazione specifica rilasciata da un organismo accreditato da ACCREDIA. I soggetti che forniscono servizi di conservatoria digitale per soggetti privati devono applicare quanto stabilito ove abbiano l’obbligo di legge di conservazione dei documenti informatici come ad esempio le fatture elettroniche e AgID non ha potere sanzionatorio su di essi.

Le previste norme AgID dovranno stabilire quali regole della disciplina europea saranno applicate, in particolare in che modo si applica la vigilanza a soggetti non qualificati in base al regolamento eIDAS.

Il CAD così modificato lascia spazio a varie ipotesi sulle regole complete per la conservazione dei documenti informatici della pubblica amministrazione. Quest’ultima dovrà certamente avere un maggior ruolo nel controllo della fornitura, a meno di nuovi poteri di controllo di AgID, comunque da collocare nello scenario della disciplina europea.

Mastercourse: Formazione, gestione, conservazione e protezione dei contenuti digitali

Le modifiche al CAD introdotte dal Decreto Semplificazioni saranno oggetto del Mastercourse, il percorso d’eccellenza di ANORC, pensato per soddisfare il fabbisogno formativo di Imprese, PA e Professionisti. Tra i docenti altamente specializzati, ci sarà l’ing. Giovanni Manca.

Per la sua XXII edizione, si svolgerà sia in presenza, presso la sede di Milano, che in diretta streaming, su Piattaforma Digital & Law Academy.

Visita la pagina ufficiale del corso