La conservazione dei documenti informatici non si fa in cloud o in blockchain

Si leggono in questi giorni molti slanci interpretativi sull’argomento della formazione, gestione e conservazione dei documenti informatici che arrivano a proporre soluzioni miracolose in cloud, o peggio, in blockchain.

Alcune di esse potrebbero apparire persino esilaranti nella loro surrealità, ma il rischio è che – considerata la complessità dell’argomento – possano essere prese in considerazione con una certa serietà a causa del dilagante pressappochismo che sembra caratterizzare purtroppo chi “si occupa di digitale” in Italia.

 

Un atteggiamento pericolosissimo per il futuro della nostra memoria

Credo che sia giusto ricordare invece che per garantire il mantenimento in ambiente digitale della memoria autentica di dati, informazioni e documenti gestiti in un contesto archivistico, il nostro Paese si è attrezzato per tempo con una normativa tecnica che ha le sue radici su principi generali contenuti nella legislazione primaria (nel CAD- Codice dell’amministrazione digitale). E possiamo anche riferire, senza paura di essere smentiti, che da anni siamo all’avanguardia in questo specifico settore, ma ultimamente sembra quasi che dobbiamo vergognarcene, perché occorre in qualche modo far confluire tutti questi argomenti verso le nuove mode tecnologiche del momento.

Questo atteggiamento è evidentemente pericolosissimo.

Dovrebbe essere ormai chiaro che la memoria digitale, secondo la normativa primaria e tecnica che si è evoluta in tutti questi anni, viene assicurata non da un singolo strumento software, non da un applicativo o da una singola soluzione, ma da un sistema complesso che parte dalla formazione coerente dei documenti informatici ed è in grado di preservare il loro legame (meglio noto come vincolo) archivistico per tutto il tempo di conservazione previsto ex lege.

 

L’ ABC della “digitalizzazione”

Proviamo allora a fare sintetica chiarezza su principi basilari che chiunque intenda accostarsi all’abusato termine “digitalizzazione” dovrebbe conoscere a memoria, prima di scrivere (o peggio di guidare le scelte strategiche del Paese) su questi argomenti.

Prima di tutto ci stiamo occupando di un argomento di una incredibile rilevanza, pur se spesso ignorato: il mantenimento della memoria autentica di documenti e fascicoli in ambiente digitale. In poche parole, ci stiamo interessando dello sviluppo in ambiente digitale degli archivi, dai quali – come dovremmo sapere – dipende la nostra stessa democrazia.
Per garantire l’autenticità di un documento occorre preservarne non solo la sua integrità e leggibilità nel tempo, ma anche assicurarne il contesto archivistico. Mi sembra che si stia banalizzando molto invece il concetto di mantenimento della memoria in un contesto ormai dinamico, quello digitale (o ancora social), dove la certezza delle fonti è messa costantemente a dura prova e non si può rischiare di confondere la conservazione di un archivio con un semplice back up assicurato a basso costo da un cloud provider. Procediamo allora con un minimo di ordine.

 

La moda passa. La memoria digitale resta.

Secondo quanto previsto nell’articolo 43 del già citato CAD, “gli obblighi di conservazione e di esibizione di documenti si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le relative procedure sono effettuate in modo tale da garantire la conformità ai documenti originali e sono conformi alle Linee guida[1]” e, ancora più nello specifico, nello stesso articolo viene precisato che “ i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle Linee guida”. Ciò che non è chiaro ai più è che secondo la nostra legislazione (e in realtà secondo qualsiasi logica giuridico-archivistica, oltre che informatica) per conservare documenti e fascicoli in formato digitale occorre predisporre un sistema dinamico, complesso e organizzato in termini di risorse umane e tecnologiche, in grado di rispettare precisi standard, anche di carattere internazionalee non rivolgersi all’app più di moda del momento!

Infatti, l’art. 44 del Codice definisce i requisiti dei sistemi di gestione e conservazione dei documenti e dei fascicoli informatici definendo ruoli e responsabilità per assicurare il mantenimento della memoria autentica nel tempo.

In particolare, il sistema di conservazione dei documenti informatici deve assicurare, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle normative tecniche. Le attuali regole contenute nel DPCM 3 dicembre 2013, in attuazione di quanto previsto dal Codice nell’art. 44, definiscono i requisiti tecnici e organizzativi che i vari responsabili dei sistemi di gestione e di conservazione documentale devono assicurare, coordinandosi in un vero e proprio team di carattere interdisciplinare a disposizione delle organizzazioni pubbliche o private, che ha come compito quello di tutelare il mantenimento della pubblica fede degli archivi digitali.

 

Le strade praticabili (quelle vere)

Quindi ciò che si deve sviluppare per assicurare il mantenimento della memoria digitale nel tempo non è un applicativo che segua certi standard o la predisposizione di una semplice e banale procedura che assicuri uno stabile back up e un disaster recovery a dati informatici, ma occorre mettere in atto e organizzare diversi team di responsabili con professionalità diverse che tra loro collaborino per sviluppare, manutenere e controllare sistemi complessi (di formazione, gestione e conservazione) di documenti e fascicoli informatici.  Questa e solo questa è la conservazione (che va intesa come sistema) che può essere sviluppata internamente da organizzazioni pubbliche e private o essere affidata all’esterno ad outsourcee preparati e affidabili (i cosiddetti conservatori di documenti informatici). Le pubbliche amministrazioni in particolare ex art. 34 del CAD possono procedere alla conservazione dei documenti informatici o sviluppandola all’interno della propria struttura organizzativa oppure affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati accreditati come conservatori presso l’AgID.

Questi soggetti esterni quindi – lo ripetiamo – devono sviluppare non una semplice soluzione software da mettere a disposizione di una PA (o di un’impresa), ma devono garantire la predisposizione di un sistema complesso di conservazione in termini di risorse umane, tecnologiche e organizzative in grado di garantire tutto ciò che le normative primaria e secondaria prevedono e naturalmente essere compliant con gli standard (normative tecniche ISO ed ETSI) da esse richiamati.

 

La Blockchain: fuori una

Quindi è ridicolo anche solo pensare di poter offrire la conservazione in blockchain. È proprio sbagliato concettualmente il punto di partenza di tale affermazione[2].

Al massimo, ci si può interrogare su come una soluzione basata su registri distribuiti possa tecnologicamente garantire alcune specifiche esigenze (nella corretta formazione del documento) che i sistemi di gestione e conservazione devono poi assicurare. Questo è il termine giusto con cui possiamo rapportarci a uno strumento tecnologico nuovo e che può – come qualsiasi strumento utile a garantire integrità e staticità a dati di natura digitale – essere utile, appunto, nelle fasi dinamiche di formazione di un documento informatico.

 

Il Cloud: il (dis)orientamento della PA

Altra precisazione va fatta sul cloud, soprattutto nel mondo delle PA dove la confusione è imperante. Come sappiamo – o dovremmo sapere – ex art. 68 del CAD le pubbliche amministrazioni devono acquisire programmi informatici o parti di essi nel rispetto dei principi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:

  1. a) software sviluppato per conto della pubblica amministrazione;
  2. b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
  3. c) software libero o a codice sorgente aperto;
  4. d) software fruibile in modalità cloud computing;
  5. e) software di tipo proprietario mediante ricorso a licenza d’uso;
  6. f) software combinazione delle precedenti soluzioni.

Il cloud (nelle sue differenti accezioni IaaS, PaaS o SaaS) quindi ex lege va considerato come una soluzione informatica offerta “a catalogo” in modalità cloud, e non può certo assumere le connotazioni di un sistema complesso di gestione documentale e conservazione.

Sappiamo anche che a livello Sistema Paese, accanto ai Poli Strategici Nazionali (PNS)[3], c’è una precisa strategia Cloud della PA che è nata nei suoi intenti programmatici per favorire l’adozione del modello del cloud computing nelle pubbliche amministrazioni italiane, in linea con le indicazioni della Strategia per la Crescita digitale del Paese e con le previsioni del Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019 – 2021.

Tale strategia delineata da AgID prevede un percorso di qualificazione per i soggetti pubblici e privati che intendono fornire infrastrutture e servizi cloud alla pubblica amministrazione, affinché queste ultime possano adottare servizi e infrastrutture di cloud computing omogenei, che rispettino elevati standard di sicurezza, efficienza ed affidabilità, in linea con le previsioni delle circolari AgID n.2 e n. 3 del 9 aprile 2018.

Ma non si può confondere ancora oggi il cloud provider qualificato con il conservatore accreditato[4]. Sono soggetti distinti, che offrono attività completamente diverse. Un cloud provider qualificato offre un qualsiasi servizio in modalità cloud SaaS, PaaS e IaaS, mentre il conservatore accreditato offre un complesso sistema basato su risorse umane, organizzative e tecniche, che di fatto sostituisce in tutto o in parte il sistema di conservazione dell’ente pubblico. Non si possono confondere concetti così elementari dal punto di vista tecnico-giuridico almeno per chi conosce la materia da tanto tempo e non ci possiamo permettere ancora di navigare a vista su certi concetti fondamentali.

Ovvio quindi che una PA potrà decidere di sviluppare in house (quindi internamente) il proprio sistema di conservazione e utilizzare così per lo sviluppo dello stesso un applicativo che ex art. 68 CAD potrà essere offerto da un fornitore con licenza proprietaria, open source o fruibile in modalità cloud computing e in quest’ultimo caso il cloud provider dovrà essere necessariamente qualificato da AgID.

Oppure la stessa PA potrà decidere di affidare in outsourcing (quindi all’esterno) il proprio sistema di conservazione a un conservatore che dovrà essere accreditato da AgID, ma questa forma non è e non può ritenersi una modalità cloud! Sarebbe un controsenso giuridico oltre che rivelarsi totalmente illogico! Ovvio anche che quel conservatore accreditato nel predisporre il suo sistema potrebbe avvalersi di risorse tecnologiche in cloud e, in questo caso, rivolgendosi a un mercato pubblico, potrà ritrovarle solo avvalendosi di cloud provider qualificati AgID.

 

Attenzione alle differenze e ai giochi di prestigio

Chi si presenta sul mercato come conservatore accreditato e per tale stesso motivo si qualifica anche come cloud provider (o peggio chi addirittura pretende tutto questo per poter fornire un servizio di conservazione alla PA) sta affermando il falso e sta distorcendo non solo l’interpretazione giuridica, ma il buon senso.

Insomma, lo dico al mercato e chi lo dovrebbe sostenere con regole precise, rigorose, ma logiche: studiamo le norme  (primarie e secondarie) con attenzione, evitiamo la confusione che è già imperante, iniziamo a offrire servizi reali e non inventiamo ciò che non c’è, piuttosto impegniamoci tutti perché sia sempre garantito un percorso davvero serio, rigoroso e affidabile per i nostri documenti informatici che parta dalla loro formazione (a prescindere dai tanti applicativi o soluzioni utilizzabili per assicurarne l’integrità e immodificabilità), ne garantisca una corretta fascicolazione (in un sistema affidabile di gestione) fino a garantirne la memoria autentica nel tempo preservandone il contesto archivistico (attraverso un rigoroso sistema di conservazione).

La bacchetta magica del cloud o della tecnologia blockchain almeno in questo caso lasciamola ai prestigiatori.

 

[1] Oggi Regole Tecniche contenute nel DPCM 3 dicembre 2013.

[2] La tecnologia blockchain non è utile a garantire la custodia dei documenti informatici al pari di un sistema di conservazione documentale, ma semplicemente potrebbe garantirne l’integrità tramite il versamento nei registri distribuiti delle impronte degli stessi.

[3] Di cui si è persa incredibilmente traccia

[4] Sui complessi rapporti tra conservazione e cloud è intervenuto anche l’Avv. Luigi Foglia sulle pagine di Agenda Digitale