AVCPass o AVCPec? Un obiettivo condivisibile, un dispositivo da riformulare

Home PA Digitale Gestione Documentale AVCPass o AVCPec? Un obiettivo condivisibile, un dispositivo da riformulare

Un articolo a sei mani a firma ANORC che, partendo da un caso concreto, invita ad una riflessione più generale sul percorso che si sta imprimendo alla digitalizzazione delle procedure amministrative. L’AVCPass, strumento pensato per semplificare le procedure dei bandi di gara, rischia, infatti, di rivelarsi un boomerang e dare il via ad una proliferazione poco utile di PEC, che potrebbe essere evitata se si facesse ricorso, ad esempio, a sistemi di archiviazione ed accesso sicuro come avviere per il resto del mercato elettronico privato.

26 Novembre 2013

P

Pietro Di Benedetto, Andrea Lisi e Gianni Penzo Doria*

Articolo FPA

Un articolo a sei mani a firma ANORC che, partendo da un caso concreto, invita ad una riflessione più generale sul percorso che si sta imprimendo alla digitalizzazione delle procedure amministrative. L’AVCPass, strumento pensato per semplificare le procedure dei bandi di gara, rischia, infatti, di rivelarsi un boomerang e dare il via ad una proliferazione poco utile di PEC, che potrebbe essere evitata se si facesse ricorso, ad esempio, a sistemi di archiviazione ed accesso sicuro come avviere per il resto del mercato elettronico privato.

Premessa

L’Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture (AVCP), con Deliberazione 20 dicembre 2012, n. 111, ha introdotto per le amministrazioni pubbliche il sistema AVCPass. L’acronimo sta per “Authority Virtual Company Passport” e si tratta, in buona sostanza, di un servizio telematico di verifica dei requisiti di partecipazione alle gare pubbliche degli operatori economici in cui è richiesto il codice identificativo gara – CIG (dal 1° gennaio 2013).

L’operazione ha un obiettivo condivisibile. Essa, infatti, si pone come fine la semplificazione complessiva, l’accelerazione delle procedure e la dematerializzazione dei documenti cartacei. Quest’ultima, associata alla riduzione degli adempimenti connessi, anche iterati e ipertrofici, porterà a una diminuzione complessiva dei costi per il nostro Paese. Inoltre, in virtù di una maggiore trasparenza, è facilmente prevedibile anche la diminuzione del contenzioso.
La Deliberazione, tuttavia, introduce una criticità non trascurabile, soprattutto se affrontata in chiave economica e organizzativa. Si tratta della proliferazione esponenziale delle caselle di posta elettronica certificata (PEC).

Da un punto di vista metodologico siamo, dunque, di fronte a una soluzione sostanzialmente corretta, ma da ripensare sotto il profilo organizzativo, come esamineremo nel paragrafo seguente.

La proliferazione esponenziale delle caselle di PEC: come complicarsi la vita (e complicarla alle amministrazioni pubbliche)

L’art. 77, comma 5, del D.Lgs. n. 163/2006 ha stabilito che «Quando le stazioni appaltanti chiedano o acconsentano alle comunicazioni per via elettronica, gli strumenti da utilizzare per comunicare per via elettronica, nonché le relative caratteristiche tecniche, devono essere di carattere non discriminatorio, comunemente disponibili al pubblico e compatibili con i prodotti della tecnologia dell’informazione e della comunicazione generalmente in uso. Le stazioni appaltanti che siano soggetti tenuti all’osservanza del decreto legislativo 7 marzo 2005, n. 82 (codice dell’amministrazione digitale), operano nel rispetto delle previsioni di tali atti legislativi e successive modificazioni, e delle relative norme di attuazione ed esecuzione. In particolare, gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve avvenire tramite posta elettronica certificata, ai sensi dell’articolo 48, del decreto legislativo 7 marzo 2005, n. 82, del d.P.R. 11 febbraio 2005, n. 68 e del d.P.R. 28 dicembre 2000, n. 445». Applicando rigidamente la frase “gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve [rectius, devono] avvenire tramite posta elettronica certificata”, l’art. 3, comma 2, della Deliberazione in commento prevede, in capo alle amministrazioni pubbliche, l’attivazione di una serie di caselle PEC. Infatti, nel dispositivo sono previste per:

a) stazione appaltante/ente aggiudicatore (PEC relativa all’area organizzativa omogenea di protocollo di appartenenza);

b) responsabile del procedimento (casella PEC personale);

c) almeno un amministratore/legale rappresentante di ogni operatore economico (casella PEC personale dell’amministratore e casella PEC dell’operatore economico); nel caso di operatore economico persona fisica casella PEC personale;

d) eventuale delegato dall’operatore economico (casella PEC personale del delegato e casella PEC dell’operatore economico);

e) Presidente di Commissione e Commissari di gara chiamati ad operare tramite il sistema AVCPass (casella PEC personale).

La PEC nell’ordinamento giuridico italiano

L’Autorità giustifica tale proliferazione con la necessità di effettuare le comunicazioni nell’ambito del sistema AVCPass tramite PEC, assicurando così un sistema il più possibile “coerente” con quanto previsto dall’art. 77, comma 5 del Codice dei contratti pubblici, nonché con la Circolare della Presidenza del Consiglio dei Ministri n. 1/2010. Quest’ultima ha sensibilizzato le amministrazioni pubbliche all’utilizzo della posta elettronica certificata, in ossequio al D.Lgs. 82/2005, alla legge 69/2009 e alla legge 102/2009.
Più che lodevole, dunque, l’intento dell’Autorità di applicare quanto previsto dalla citata normativa, anche in considerazione di quanto previsto dal DPCM 6 maggio 2009[1]. Quest’ultimo provvedimento prevede da un lato che le amministrazioni pubbliche istituiscano una sola casella di PEC per ogni registro di protocollo (art. 4), dall’altro che, per le comunicazioni tra amministrazioni pubbliche e il proprio personale, ai dipendenti pubblici venga assegnata una casella di PEC da parte dell’amministrazione di appartenenza nelle modalità che questa definirà autonomamente (art. 9).
In realtà, tale ultima volontà legislativa di assegnare la PEC a ogni dipendente pubblico è stata implicitamente abrogata dalle successive modifiche al CAD[2].
Inoltre, una scelta di tale calibro appalesa una certa diffidenza da parte di AVCP nei confronti delle altre tipologie di comunicazione informatica e, soprattutto, delle garanzie che comunque offrono il Codice dell’amministrazione digitale (D.Lgs. 82/2005) e il Testo unico sulla documentazione amministrativa (DPR 445/2000 – TUDA).
Non si può dimenticare, infatti, come il TUDA, all’art. 53, comma 5, prescriva l’assoggettabilità alla registrazione «dei documenti ricevuti e spediti dall’amministrazione e di tutti i documenti informatici», senza specificare le modalità con cui i documenti debbano essere trasmessi, né il formato degli stessi. Infatti, considerato che il messaggio di PEC è un documento informatico sottoscritto con firma elettronica avanzata (DPCM 22 febbraio 2013, art. 61), ciò comporta che qualsiasi scambio di messaggi tra AVCP, privati e stazioni appaltanti debba obbligatoriamente essere registrato nel sistema di gestione informatica dei documenti (cd “protocollo informatico”).
A conferma di ciò si ricorda che l’art. 40-bis del CAD sancisce l’obbligo di registrare ai sensi del citato art. 53 del TUDA «le comunicazioni che pervengono o sono inviate dalle caselle di posta elettronica di cui agli articoli 47, commi 1 e 3[3], 54, comma 2-ter[4] e 57-bis[5], comma 1, nonché le istanze e le dichiarazioni di cui all’articolo 65 in conformità alle regole tecniche di cui all’articolo 71».

Metodi e strumenti per la comunicazione “affidabile” all’interno del principio di economicità dell’azione amministrativa

Se l’intento dell’Autorità era di estendere il più possibile l’utilizzo della PEC ai fini della tracciabilità delle comunicazioni e della registrazione delle stesse, è innegabile come tale obiettivo sia comunque raggiungibile indipendentemente da un eccesso di zelo. Né obbligare tanti soggetti a dotarsi di PEC può ritenersi una forma di tutela nei rapporti tra stazione appaltante e soggetto economico che partecipa alla gara. Infatti, norme alla mano, se il documento informatico viene trasmesso per via telematica all’indirizzo elettronico dichiarato dal destinatario, questo si deve intendere inviato e pervenuto allo stesso (art. 14 del DPR 445/2000).
Le norme di riferimento per gli obiettivi di AVCP ci sono, funzionano da tempo e non paiono sussistere motivi di aggravio di adempimenti procedimentali. Serve, quindi, una burocrazia più leggera e un’azione amministrativa votata all’economicità, che rimane uno dei più importanti principi stabiliti della legge 241/1990.

Da questa prima disamina, non è arduo comprendere come la deliberazione di AVCP, se in prima battuta potrebbe sembrare di essere in linea con i dettami del D.Lgs. 163/2006, in realtà evidenzi l’intento di fornire quelle garanzie ai soggetti operanti nell’ambito del procedimento di evidenza pubblica di cui gli stessi sono già in possesso e ciò, si badi bene, indipendentemente dal possesso di una pluralità di indirizzi di posta elettronica certificata.
La scelta dell’Autorità  rivela i suoi risvolti critici soprattutto quando si considerano le conseguenze pratiche, organizzative e giuridiche. Infatti, costringere cumulativamente i soggetti indicati all’art. 3 della deliberazione a dotarsi di un indirizzo di posta elettronica certificata comporta un proliferare ingiustificato rispetto al fine che si vuole raggiungere.
Verrebbe infatti meno l’unicità della PEC dell’ente e coincidente con la AOO e, al contrario, l’indirizzo di PEC sarebbe collegato ai diversi soggetti elencati in deliberazione, con la conseguenza che, in caso di mutamenti contrattuali o di cessazioni, occorrerebbe procedere tempestivamente all’aggiornamento delle anagrafiche del protocollo e intervenire sul relativo database di gestione documentale, anche per gli smistamenti, che avvengono di norma in maniera non presidiata, grazie alla tabella dei procedimenti amministrativi e alle informazioni previste dall’art. 35 del D.Lgs. 33/2013.

L’impatto economico-organizzativo sulle amministrazioni pubbliche

Di impatto non trascurabile sono le conseguenze dal punto di vista economico-organizzativo per le amministrazioni pubbliche scaturenti dalla scelta di dotare una pluralità di soggetti, all’interno della stessa PA interessata dal procedimento di evidenza pubblica, di indirizzi PEC.
Questa previsione dell’Autorità è stata deliberata in difformità ai principi che devono reggere l’attività amministrativa, con particolare riferimento all’economicità per i fini che qui rilevano, oltre all’efficacia, l’imparzialità, la pubblicità e la trasparenza.
Non è in rilievo il singolo costo di una casella PEC (da 6 a 20 euro), ma gli adempimenti organizzativi e giuridici connessi, anche per account temporanei. Nel caso di nomina di un presidente e dei componenti della commissione di gara esterno alla stazione appaltante, si prefigura il rilascio di una casella per un periodo in alcuni casi limitato a pochi giorni. Per un ente di medie dimensioni, la proliferazione di PEC potrebbe passare a una/due a oltre un centinaio, con aggravio ingiustificato di costi e di adempimenti connessi (verifica account, assistenza, rilascio password, etc.).

I messaggi PEC sono documenti informatici e, per legge, devono essere registrati e conservati

Un altro problema che la prescrizione contenuta nella deliberazione di AVCP pone è la conservazione dei messaggi e dei documenti trasmessi a mezzo PEC. Non v’è dubbio che tali documenti debbano essere protocollati dai soggetti di cui all’art. 3 della deliberazione AVCP, ai sensi del combinato disposto dell’art. 53, comma 5 del DPR 445/2000 e dell’art. 40-bis del D.Lgs. 82/2005 e, conseguentemente, preservati dal Responsabile della conservazione con le procedure indicate negli artt. 43, 44 e 44-bis del CAD. Parimenti, è obbligatoria la conservazione anche delle relative ricevute, pur senza registrazione, trattandosi di documenti informatici opponibili a terzi e di tutti gli elementi descritti negli artt. 56 e 57 del DPCM 22 febbraio 2013.

Ma il vero problema che attanaglia gli operatori si riferisce al fatto che i documenti ricevuti sulla casella di PEC “personale” del soggetto individuato dalla delibera debbano essere registrati direttamente da quest’ultimo, creando una sorta di decentramento della protocollazione (purché il software di gestione del protocollo sia multiPEC), oppure debbano essere inoltrati alla PEC istituzionale per garantirne la protocollazione e la conseguente conservazione. In definitiva, si tratta di complicazioni inutili.

In conclusione, la previsione del Codice appalti è corretta negli obiettivi e nella formulazione del legislatore, ma deve essere rapidamente corretto il modus operandi prefigurato da AVCP. In altre parole, è come se i dipendenti pubblici che devono attestare la presenza in servizio con il badge avessero ciascuno un apparecchio proprio nel quale timbrare e non venisse utilizzato un apparecchio comune. La condivisione anche della tecnologia rappresenta sempre un fattore di economicità e di diligenza dell’azione amministrativa.
In coerenza con quanto appena esposto, l’ultimo periodo del comma 2, dell’art. 3, della Deliberazione 20 dicembre 2012, n. 111, che recita “Pertanto, è necessario che ciascuno dei seguenti soggetti possieda un indirizzo PEC” dovrebbe essere riformulato parzialmente in “Pertanto, è necessario che ciascuno dei seguenti soggetti utilizzi un indirizzo PEC” (errata: possieda; corrige: utilizzi).
In questa riformulazione del dispositivo, il cambio di verbo – da “possieda” a “utilizzi” – garantirà, a parità di affidabilità giuridica della comunicazione, la non proliferazione delle caselle PEC, un notevole risparmio in termini organizzativi e finanziari.

Le FAQ di AVCPass

Sul sito dell’Autorità sono state opportunamente esposte le FAQ per il servizio AVCPass.
Tuttavia, al punto M.1, alla domanda «Cosa accade in caso di indisponibilità di una casella di posta elettronica certificata (PEC) personale?», l’Autorità risponde testualmente che «La richiesta di una casella PEC personale è finalizzata ad assicurare il giusto grado di sicurezza e rispetto degli adempimenti in materia di privacy; attraverso tale canale, è previsto infatti lo scambio di informazioni confidenziali (password, credenziali di accesso, etc.) che non sarebbero “trasmesse in sicurezza” in caso di inoltro mediante la casella PEC istituzionale della SA. In caso di impossibilità da parte della SA di procedere all’assegnazione per i soggetti richiamati in Delibera di caselle PEC personali, l’Autorità: è disponibile ad accettare le caselle ‘CEC PAC’ personali per le comunicazioni da AVCP verso l’utente».

In primo luogo, risulta necessario sgomberare il campo da un equivoco fondamentale: la privacy, agitata spesso dalle amministrazioni pubbliche come vessillo del non-agire, qui non rileva.
Una password non contiene di per sé dati personali né dati sensibili, ma deve essere considerata uno strumento di identificazione (authentication) per la quale risulta necessaria l’assoluta disponibilità del soggetto titolare, al quale, quindi, al primo utilizzo della stessa deve essere consentito di modificarla.
Inoltre, la comunicazione via PEC (come la comunicazione via e-mail semplice) non garantisce una riservatezza assoluta nel canale di trasmissione utilizzato, tanto che l’art. 46 del CAD (rubricato “dati particolari contenuti nei documenti trasmessi”) specifica che «al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all’articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite».
Quindi, la trasmissione di ID e password via e-mail o PEC è un sistema inadeguato se non associato a ulteriori garanzie a tutela dell’interessato, quali tecniche di cifratura del messaggio trasmesso e/o possibilità di successiva e immediata modifica delle credenziali di identificazione.
In ogni caso, il sistema di protocollo, (che è e deve essere gestito da pubblici ufficiali, a tutela anche della riservatezza di fatti, stati e qualità), è giuridicamente ed efficacemente in grado di garantire il livello di sicurezza. In seconda battuta, all’atto della ricezione di qualsiasi password, è buona norma per l’utente cambiarla e personalizzarla (e ovviamente – come già riferito – il sistema deve consentire questo tipo di operazione).

Quanto emerge dalla FAQ, pertanto, è organizzativamente e giuridicamente infondato.

Conclusioni

Ci permettiamo di esprimere delle considerazioni finali più generali e legate alle strategie legislative di digitalizzazione nella PA. Esse non dovrebbero puntare solo e soltanto sulla PEC come strumento di trasmissione di documenti informatici, ma tenere in maggiore considerazione la natura del documento “privo di peso” e, quindi, potenzialmente accessibile in modo diretto dagli archivi digitali attraverso tecniche di “strong authentication”.
Ci chiediamo, infatti, se abbia senso questa complicazione informatica nella gestione documentale finalizzata soltanto a trasmettere con certezza documenti informatici. Siamo sicuri che i documenti informatici delle PA meritino davvero di essere trasmessi attraverso “postini” e non di essere, invece, più propriamente gestiti e condivisi in archivi messi a disposizione dalle PA procedenti? Non sarebbe utile iniziare a ripensare la complessa burocrazia informatica che stiamo edificando?
Un’ulteriore considerazione: siamo sicuri che il potere di un’Autorità indipendente possa spingersi fino a condizionare gli assetti organizzativi e l’impegno di risorse umane e finanziarie di una amministrazione pubblica?
Vero è che ai sensi dell’articolo 6-bis, comma 4, del Codice dei contratti i soggetti pubblici e privati e gli operatori economici che detengono i dati e la documentazione relativi ai requisiti di partecipazione sono tenuti a metterli a disposizione dell’Autorità entro i termini e secondo le modalità previste dalla deliberazione in commento, ma è corretto che questo avvenga senza un effettivo beneficio procedimentale o di sicurezza, imponendo modalità con aggravio di spesa e aggravio del procedimento?
Le amministrazioni, sono tenute per legge a dotarsi almeno di una casella di posta elettronica istituzionale e di una casella di PEC per ciascun registro di protocollo: tutto il resto è eventuale, ulteriore e richiede una attenta considerazione del rapporto costi/benefici. Va bene il metodo generale, ma il “come” deve essere lasciato all’autonomia organizzativa delle amministrazioni pubbliche.

* dott. Pietro Di Benedetto – Comitato dei Saggi ANORC; avv. Andrea Lisi – Presidente ANORC e Coordinatore Digital&Law Department; dott. Gianni Penzo Doria – Presidente ANORC Professioni

 

 


[1] DPCM 6 maggio 2009, Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini.

[2] Si fa riferimento, in particolare, al comma 3 dell’art 47, il quale in seguito alla modifica introdotta dall’art. 32, D.Lgs. 30 dicembre 2010, n. 235, così recita: «[…] le pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati».

[3] L’art 47 del CAD al comma 1 statuisce che «le comunicazioni di documenti tra le pubbliche amministrazioni avvengono [di norma] mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza» e al comma 3 prescrive che «Le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, provvedono ad istituire e pubblicare nell’Indice PA almeno una casella di posta elettronica certificata per ciascun registro di protocollo. La pubbliche amministrazioni utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati».

[4] L’art. 54 del CAD al comma 2-ter prevede che «le amministrazioni pubbliche e i gestori di servizi pubblici pubblicano nei propri siti un indirizzo istituzionale di posta elettronica certificata a cui il cittadino possa rivolgersi per qualsiasi richiesta ai sensi del presente codice».

[5] L’art. 57-bis al comma 1 prescrive che «Al fine di assicurare la pubblicità dei riferimenti telematici delle pubbliche amministrazioni e dei gestori dei pubblici servizi è istituito l’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi, nel quale sono indicati gli indirizzi di posta elettronica certificata da utilizzare per le comunicazioni e per lo scambio di informazioni e per l’invio di documenti a tutti gli effetti di legge tra le pubbliche amministrazioni, i gestori di pubblici servizi ed i privati».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!