Le novità contenute nel nuovo CAD – Codice dell’Amministrazione Digitale
Con l’entrata in vigore del D.Lgs. 235/2010 diventano operative le modifiche al CAD predisposte dal Ministero per la Pubblica Amministrazione e l’Innovazione.
Tali modifiche sono frutto della delega contenuta nell’art. 33 della Legge 18 giugno 2009, n. 69, con la quale il Parlamento ha dettato i principi e i criteri direttivi per una riforma del Codice dell’Amministrazione Digitale.
La riforma si era posta 2 obiettivi principali: da un lato, adeguare il codice al velocissimo sviluppo tecnologico intervenuto negli ultimi 5 anni; dall’altro, dare maggiore efficacia a molte norme fino a questo momento rimaste disattese.
Il risultato è, per molti versi, lodevole anche se qualche perplessità rimane.
Nei paragrafi seguenti abbiamo cercato di sintetizzare alcune delle novità che ci interessano più da vicino.
9 Febbraio 2011
Luigi Foglia e Francesca Giannuzzi*
- 0.1 1) La copia informatica
- 0.2 2) La firma elettronica avanzata
- 0.3 3) Le nuove regole per il documento digitale (Artt. 20, 21, 22, 23-bis, 23-ter, 23-quater, 25 e 40)
- 0.4 4) I dispositivi sicuri di firma e le procedure automatiche (Art. 35)
- 0.5 5) La conservazione dei documenti digitali (Artt. 44 e 44-bis)
- 0.6 6) La Continuità operativa (Art. 50 bis)
- 0.7 7) PEC e invio di istanze e dichiarazioni alla PA (Artt. 6, 48, 65)
Con l’entrata in vigore del D.Lgs. 235/2010 diventano operative le modifiche al CAD predisposte dal Ministero per la Pubblica Amministrazione e l’Innovazione.
Tali modifiche sono frutto della delega contenuta nell’art. 33 della Legge 18 giugno 2009, n. 69, con la quale il Parlamento ha dettato i principi e i criteri direttivi per una riforma del Codice dell’Amministrazione Digitale.
La riforma si era posta 2 obiettivi principali: da un lato, adeguare il codice al velocissimo sviluppo tecnologico intervenuto negli ultimi 5 anni; dall’altro, dare maggiore efficacia a molte norme fino a questo momento rimaste disattese.
Il risultato è, per molti versi, lodevole anche se qualche perplessità rimane.
Nei paragrafi seguenti abbiamo cercato di sintetizzare alcune delle novità che ci interessano più da vicino.
1) La copia informatica
Con l’introduzione delle lett. i-bis, i-ter, i-quater e i-quinques nell’art. 1 del CAD si è messo finalmente ordine nel dibattuto[1] concetto di copia informatica. Partendo dall’assunto che forma “informatica” e contenuto del documento informatico sono due concetti da tenere distinti, si è arrivati a individuare varie categorie di copia informatica. Ulteriore elemento distintivo è la forma originariamente assunta dal documento copiato.
- i-bis) copia informatica di documento analogico: il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto;
- i-ter) copia per immagine su supporto informatico di documento analogico: il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto;
- i-quater) copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari;
- i-quinquies) duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario;
2) La firma elettronica avanzata
q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
Con l’aggiunta della nuova lettera q-bis dell’art 1, comma 1 del D.lgs. 82/2005 è stato reintrodotto, in Italia, il concetto di firma elettronica avanzata.
Tale firma, già presente in Italia[2] in seguito al recepimento della direttiva comunitaria 1999/93/CE, è stata eliminata nel 2005 con l’introduzione del CAD che non ne faceva più menzione, contenendo solo i concetti di firma elettronica, firma elettronica qualificata e firma digitale.
Con l’introduzione della firma elettronica avanzata si ha ora, finalmente, un quadro completo di firme elettroniche che tiene conto delle differenti soluzioni tecnologiche utilizzabili ai fini di garantire la corretta associazione di un documento ad un soggetto e l’integrità del documento stesso.
A prescindere dagli scopi alla base di tale reintroduzione, per capirne di più bisognerà attendere le Regole Tecniche richiamate dall’art. 20 comma 3 e stabilite ai sensi dell’art. 71 del CAD.
Risulta molto probabile che si sia voluto dare un concreto valore giuridico a strumenti di firma che non prevedono l’uso di certificati qualificati ma che, comunque, garantiscano l’univoca interconnessione con il firmatario, ne permettano la corretta identificazione e consentano l’individuazione di eventuali modifiche ai dati firmati. Tali strumenti, in effetti, potrebbero risultare utili in tantissimi casi in cui, più che di vera e propria firma/sottoscrizione, sia necessario ricorrere ad una firma/visto che assolva esigenze di sicurezza e integrità del documento piuttosto che di paternità e/o appropriazione del contenuto.
Quel che per il momento è certo è che, al pari della firma digitale e delle altre firme elettroniche qualificate, la firma elettronica avanzata permetterà ai documenti firmati di avere lo stesso valore probatorio riconosciuto alle scrittura private[3] (art. 2702 cod. civ.).
3) Le nuove regole per il documento digitale (Artt. 20, 21, 22, 23-bis, 23-ter, 23-quater, 25 e 40)
Con la modifica degli articoli 20 e seguenti del CAD è stata rivista la sistematica complessiva delle norme relative al valore giuridico e probatorio del documento informatico e delle sue copie.
La ricca attività normativa ha avuto lo scopo, a quanto si legge nella Relazione illustrativa del D.Lgs 235/2010, di dare al Codice una struttura più organica, completa e fruibile.
Le riforme sono, inoltre, state dettate dall’evoluzione tecnologica e prendono in considerazione le modifiche dell’art. 1 relative alle copie informatiche dei documenti e alla firma elettronica avanzata.
L’idoneità a soddisfare il requisito della forma scritta e il valore probatorio del documento informatico sottoscritto con firma elettronica “semplice” restano sempre liberamente valutabili in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento, mentre il successivo richiamo alle regole tecniche stabilite ai sensi dell’art. 71 viene allargato anche alla firma elettronica avanzata.
Proprio la necessità di aggiungere, accanto alla firma elettronica qualificata e alla firma digitale, la “nuova” firma elettronica avanzata ha dettato le modifiche dell’art. 21, che parifica le tre tipologie di firma relativamente al loro valore giuridico, stabilendo che solo per le scritture private di cui all’art. 1350 (primo comma, numeri 1-12) del codice civile è necessario ricorrere a una firma elettronica qualificata o alla firma digitale.
Il nuovo art. 22, poi, prevede grosse modifiche nell’assetto normativo relativo al valore giuridico delle copie informatiche di documenti analogici. Viene eliminata la “debole” figura del detentore e tutta la materia viene riequilibrata rispetto alle norme del codice civile che regolano le copie analogiche. L’attuale assetto normativo prevede, infatti, che le copie informatiche di atti pubblici, scritture private e documenti in genere, compresi atti e documenti amministrativi, spedite o rilasciate dai depositari pubblici autorizzati e dai pubblici ufficiali, abbiano la stessa efficacia degli originali analogici da cui sono tratte, purché ad esse sia apposta o associata una firma digitale o altra firma elettronica qualificata da parte di colui che li spedisce o li rilascia, richiamando espressamente gli artt. 2714 e 2715 del codice civile.
Le copie per immagine di documenti analogici non depositati hanno, invece, la stessa efficacia degli originali da cui sono tratte solo se la loro conformità all’originale è attestata da un notaio o altro pubblico ufficiale a ciò autorizzato. In assenza di tale attestazione, tali copie per immagine avranno comunque, così come accade per le copie analogiche, efficacia probatoria pari agli originali da cui sono tratte, a meno che non vengano disconosciute.
Le copie per immagine formate nei modi appena richiamati, e comunque sempre nel rispetto delle regole tecniche stabilite ai sensi dell’art. 71 del CAD, sono idonee anche ad assolvere gli obblighi di conservazione previsti per legge. Per la distruzione degli originali, però, nel caso di documenti unici, si dovrà comunque attendere ancora un decreto[4] che, sulla base di ragioni di ordine pubblicistico, individui categorie di documenti per i quali sarà obbligatoria la conservazione dell’originale analogico (art. 22 CAD).
Per quanto riguarda le copie analogiche di documenti informatici, l’art. 23 riconosce loro la stessa efficacia probatoria degli originali da cui sono tratte, a meno che la loro conformità non sia espressamente disconosciuta. Al fine di evitare il rischio del disconoscimento in giudizio, si potrà richiedere ad un pubblico ufficiale a ciò autorizzato un’attestazione della loro conformità, in ogni loro componente[5], all’originale da cui sono tratte.
Il successivo art. 23-bis stabilisce che, per ottenere duplicati informatici aventi lo stesso valore giuridico degli originali da cui sono tratti, basterà rispettare le regole tecniche stabilite ai sensi dell’art. 71 del CAD.
Relativamente alle copie informatiche e agli estratti di documenti informatici sarà, invece, necessario ricorrere ad un pubblico ufficiale qualora si voglia evitare il rischio di un loro disconoscimento in giudizio.
Interessanti, poi, sono le novità in tema di documento amministrativo informatico contenute nel nuovo art. 23-ter. Per le copie informatiche di tali documenti, originariamente analogici, sarà necessaria un’attestazione di conformità rilasciata da un funzionario a ciò autorizzato.
Per le copie analogiche di documenti informatici, invece, viene introdotto il Timbro Digitale[6], ovvero un contrassegno generato elettronicamente e apposto in fase di stampa che consente la verifica automatica della conformità del documento analogico a quello informatico.
Infine, l’art. 23-quater conferma la modifica all’art. 2712 del Codice Civile, inserendo nel novero delle riproduzioni meccaniche anche quelle informatiche.
4) I dispositivi sicuri di firma e le procedure automatiche (Art. 35)
Relativamente ai dispositivi sicuri di firma, sono state apportate alcune modifiche così da permetterne un più “disteso” utilizzo e rendere più solido l’impianto normativo. Con la modifica dell’art. 35 del CAD, infatti, è stata ribadita la necessità che ogni dispositivo sia dotato di certificazione di sicurezza[7] ed è stato individuato, nell’Organismo di Certificazione di Sicurezza (OCSI), l’ente deputato ad accertare la conformità di tali dispositivi ai requisiti di sicurezza richiesti per la creazione di una firma qualificata.
Inoltre, le modifiche apportate hanno reso più semplice il ricorso alle procedure automatiche di firma, che potranno essere validamente utilizzate previo consenso del Titolare del certificato di firma utilizzato.
In pratica, si potrà tranquillamente utilizzare una procedura automatica di firma “certificata” senza presentare volta per volta il documento da firmare al titolare del certificato di firma, essendo sufficiente il suo consenso preventivo all’utilizzo di tale procedura.
Infine, è stata esplicitamente riconosciuta la validità delle certificazioni di sicurezza rilasciate da organismi all’uopo designati da un altro degli Stati membri e la cui investitura sia stata correttamente notificata alla Commissione Europea ai sensi dell’art. 11, paragrafo 1, lett. b, della Direttiva 1999/93/CE.
5) La conservazione dei documenti digitali (Artt. 44 e 44-bis)
Il D.lgs. 235/2010 ha introdotto alcune interessanti modifiche anche in tema di conservazione digitale.
Il nuovo comma 1-bis dell’art. 44 stabilisce, infatti, che il sistema di conservazione deve essere gestito da un responsabile [della conservazione] che lavori d’intesa con il responsabile del trattamento dei dati personali di cui all’art. 29 del D.Lgs. 196/2003 e, ove presente, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi.
Inoltre, il successivo comma 1-ter, oltre a ribadire la possibilità che il processo di conservazione sia affidato in outsourcing, riconosce anche la possibilità che soggetti terzi certifichino la conformità di tale processo a quanto stabilito dall’art. 43 del CAD (Riproduzione e conservazione dei documenti) e dalle regole tecniche stabilite ai sensi dell’art.71 del codice medesimo.
Novità molto interessanti, ma che, diciamolo subito, ci lasciano qualche grosso dubbio, sono anche quelle introdotte dall’art. 44-bis. Secondo quanto stabilito da tale norma, i soggetti pubblici e privati che svolgono attività di conservazione dei documenti e di certificazione dei relativi processi, possono accreditarsi presso il DigitPa per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità e sicurezza.
Sulla necessità di prevedere sistemi di certificazione di processi così delicati e complessi come quelli di conservazione non vi sono dubbi. Ma, nell’attesa di conoscere i requisiti e le modalità di accreditamento presso il DigitPA, segnaliamo subito la difficoltà di comprendere il perché, in un’unica norma, si siano voluti sovrapporre due concetti che dovrebbero sempre rimanere distinti: i soggetti che svolgono attività di conservazione, infatti, dovrebbero essere diversi da quelli che, successivamente all’accreditamento presso DigitPA, rilasciano una certificazione di tali processi.
Da un lato, non fornisce garanzie di obiettività e trasparenza un soggetto che “auto-certifichi” il proprio sistema di conservazione (o, peggio ancora, che certifichi il processo da lui sviluppato per conto di un terzo); dall’altro, non convince il fatto che un soggetto che sviluppa processi di conservazione possa certificare in maniera imparziale il processo sviluppato da un suo potenziale cliente o peggio un suo concorrente. Probabilmente sarebbe stato opportuno distinguere e tenere separati i due profili, quello del conservatore (eventualmente accreditato) e quello del certificatore dei sistemi di conservazione (anch’esso riconosciuto).
6) La Continuità operativa (Art. 50 bis)
L’articolo 50-bis introduce una piccola rivoluzione all’interno della PA italiana rendendo obbligatoria la definizione di un piano di continuità operativa e di un piano di disaster recovery.
In relazione ai nuovi scenari di rischio e alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni dovranno, quindi, predisporre piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
Fino a questo momento, in Italia ci si è posti esclusivamente il problema di stabilire procedure onde ovviare ai rischi di una possibile perdita, cancellazione, distruzione o danneggiamento di tutti i dati, principalmente dati personali, che fossero di notevole rilevanza per cittadini, aziende, enti e amministrazioni.
A tale scopo sono state sviluppate svariate tecniche di back-up che permettono di duplicare su differenti supporti di memoria le informazioni e, quindi, mettere al sicuro tali dati.
Nel caso in cui si dovessero verificare guasti o manomissioni, è vero che il backup consente di recuperare i dati, ma è altrettanto vero che lo stesso non prevede anche la duplicazione delle risorse informatiche necessarie per utilizzare questi dati; considerato, inoltre, che a seguito di eventi di maggiore impatto non è possibile ripristinare in tempi brevi l’operatività, si può ben comprendere quanto sia importante il disagio creato.
Il discorso si è così evoluto in quello che oggi viene definita Business Continuity, ovvero quel complesso di regole, metodi e tecnologie da implementare per garantire il ripristino non solo dei dati, ma anche dei sistemi informativi, delle risorse umane e strutturali colpiti da un evento disastroso.
In America il Sarbanes-Oxley Act, anche conosciuto come Public Company Accounting Reform and Investor Protection Act of 2002, prevede già da tempo che le aziende pubbliche si dotino di piani di Business Continuity (di cui parte fondamentale sono i Piani di Disaster recovery) per ridurre quanto più possibile l’impatto che eventi disastrosi possono avere sull’attività aziendale; interventi, questi, messi in atto per salvaguardare gli interessi dell’amministrazione, degli investitori e della macchina economica in generale.
In Europa ed in Italia, sono stati i gruppi bancari ad accusare maggiormente il problema; il Basil act II richiede, infatti, alle banche europee una riduzione del rischio operativo e, conseguentemente, anche una riduzione dei rischi derivanti da eventi disastrosi.
In Italia, fino a questo momento, solo la Banca d’Italia con le “linee guida sulla continuità operativa”[8] aveva reso obbligatorio, per le banche, la redazione di appositi piani di continuità aziendale e di piani di disaster recovery.
Diventa, quindi, obbligatorio per le Pubbliche Amministrazioni italiane la definizione di :
a) un piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
7) PEC e invio di istanze e dichiarazioni alla PA (Artt. 6, 48, 65)
L’art. 6 del CAD viene integralmente riscritto dalla novella, al fine di allinearne il contenuto alle modifiche che, di volta in volta, ne hanno ritoccato il testo fino quasi a renderlo una rappresentazione stratificata delle volontà del legislatore succedutesi nel tempo.
Viene ulteriormente rafforzato l’obbligo per le pubbliche amministrazioni di utilizzare la posta elettronica certificata per tutte le comunicazioni in cui sia necessaria una ricevuta di invio e una di consegna con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata.
La comunicazione alla PA del proprio indirizzo di posta elettronica certificata comporta, infatti, due ordini di conseguenze:
- in primo luogo, essa costituisce espressa accettazione del dichiarante dell’invio degli atti e documenti che lo riguardano da parte dell’amministrazione;
- in secondo luogo, comporta un vincolo, solo per il soggetto, a ricevere tali atti di cui è necessaria la conferma di avvenuta consegna e ricezione presso quella casella di posta.
Inoltre, al fine di razionalizzare e uniformare il sistema di consultazione degli indirizzi di posta elettronica, viene disposta l’emanazione di un apposito regolamento a cura di DigitPA, sentito il Garante Privacy.
Anche le modifiche dell’art. 48 del CAD hanno lo scopo di allineare il CAD su vari aspetti della posta elettronica certificata regolati successivamente al 2005 in altri atti normativi e regolamentari.
L’unica vera novità è l’equiparazione dell’invio tramite PEC alla Notificazione per mezzo della posta “salvo che la legge disponga diversamente” e non più nei soli casi previsti dalla legge.
Infine, con la modifica dell’art. 65 del CAD si riconosce la Posta Elettronica Certificata come valido sistema di presentazione telematica di istanze e dichiarazioni alla PA: le istanze saranno valide, però, solo ove le credenziali di accesso alle PEC siano state rilasciate previa identificazione del titolare e ciò sia attestato dal Gestore di PEC nel corpo del messaggio o in un apposito allegato.
La precedente formulazione della lett. c-bis), del comma 1 dell’art. 65 del CAD, invece, faceva riferimento alle sole istanze inviate tramite la posta elettronica certificata rilasciati gratuitamente dalla PA ai cittadini ai sensi dell’art. 16 della Legge 2/2009 (la cosiddetta CEC
*Avv.ti Luigi Foglia e Francesca Giannuzzi – Digital & Law Department (www.studiolegalelisi.it)