Analisi tecnica del nuovo CAD. Decreto legislativo 30 dicembre 2010 n 235

Il Nuovo Codice dell’Amministrazione Digitale approvato a Dicembre 2010 dal Consiglio dei Ministri, è sicuramente un importante passo in avanti per il piano di e-Government 2012 e per attuare la completa digitalizzazione della pubblica amministrazione, ma non solo. Il nuovo CAD rappresenta anche il riconoscimento, come avvenne per il CAD del 2005, del valore probatorio del documento informatico. Nel seguito farò una breve analisi tecnica del nuovo CAD almeno nei suoi articoli più importanti. Citerò prima gli articoli del nuovo codice dell’amministrazione digitale ed in seguito in corsivo la mai analisi. Bene, iniziamo.

L’articolo 1 afferma nella lettera «b) autenticazione del documento informatico: la validazione del documento informatico attraverso l’associazione di dati informatici relativi all’autore o alle circostanze, anche temporali, della redazione;»;

” L’autenticazione per un documento informatico può avvenire in diversi modi e per mezzo di diverse tecnologie. L’ importante è che queste tecnologie permettano di associare l’informazione del contenuto di un documento informatico al proprio autore. E’ chiaro dunque che quando si parla di redazione di un documento informatico, esiste la possibilità che già al momento di formazione del documento, esso possa essere riferito ad una persona fisica. Diversamente invece, accede quando su un documento informatico già creato, viene posto in un momento successivo, anche lontano, una firma digitale. In quest’ultimo caso è la firma digitale che ne attesta la proprietà verso la persona che possiede il dispositivo di firma “.

Ancora i seguenti comma dicono che :

1) «i-bis) copia informatica di documento analogico: il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto;»;

2) «i-ter) copia per immagine su supporto informatico di documento analogico: il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto;»;

3) «i-quater) copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari;»;

4) «i-quinquies) duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario;»;

L’i-bis permette la copia di un contenuto di un documento analogico su un documento informatico, anche se quest’ultimo non ha la stessa forma del documento da cui è tratto. Quindi in questo caso si può pensare che il documento informatico sia una copia esatta di quello analogico, anche se viene formato in una forma diversa, purchè ne rispetti l’informazione contenuta. L’i-ter è semplicemente ed in poche parole la scansione di un documento analogico. L’i-quater specifica la coesistenza di una copia di un documento informatico che non ha un’impronta informatica uguale a quello originale. Purtroppo il legislatore ha fatto un “errore tecnico” in questo caso paragonando il documento informatico ad un documento cartaceo. Cerchiamo comunque di capire cosa il legislatore ha voluto intendere con l’i-quater. Praticamente è come se avessi due file e quindi due documenti informatici, con lo stesso contenuto, ma con due hash diversi. Invece l’i-quinquies definisce duplicato informatico, un documento informatico che ha la stessa impronta e quindi hash del documento originale.

Sempre nell’articolo 1 ci sono :

«q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento  informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;»;

«v-bis) posta elettronica certificata: sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi;».

Il q-bis offre una definizione della firma elettronica avanzata, che ricordiamo non è la nostra firma digitale che utilizziamo tutti i giorni per firmare i documenti informatici, che è invece un particolare tipo di firma elettronica avanzata. Il legislatore parla di firma elettronica avanzata perchè come vedremo è ammessa come firma dei documenti informatici. Il v-bis riconferma il valore probatorio della PEC.

Nell’articolo 4 è presente l’ articolo :

«Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). – 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalità le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese.

Questo articolo è importante perchè obbliga le pubbliche amministrazioni e tutti gli operatori che scambiano dati con esse, ad utilizzare l’ICT , l’information e Communication Technology. Sembra una cosa quasi ovvia, ma fin ora non esisteva ancora un articolo che permettesse di avere una PA più informatizzata e meno burocratizzata.

L’articolo 13 afferma :

«1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21.»;

Ancora una volta si elencano le qualità di un documento informatico, per dargli valore probatorio : qualità, sicurezza, integrità ed immodificabilità. Attributi che nell’informatica possono essere raggiunti solo e soltanto con adeguate ed attente procedure tecniche.

L’articolo 14 recita :

«2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

2-bis). Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale.».

Quindi si ribadisce che il documento informatico, se provvisto di alcune tipologie di firme elettroniche, può avere l’efficacia prevista dall’articolo 2702 e 1350 del c.c. Come notiamo vi è ovviamente anche una differenza tra un documento sottoscritto con firma elettronica avanzata e firma elettronica qualificate e quindi firma digitale. In verità la validità della firma elettronica avanzata è stata inserita perchè presente nelle direttive europee.

L’articolo 15 è molto corposo e importante :

«Art. 22 (Copie informatiche di documenti analogici). – 1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. La loro esibizione e produzione sostituisce quella dell’originale.
2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell’articolo 71.
3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle regole tecniche di cui all’articolo 71 hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale non è espressamente disconosciuta.
4. Le copie formate ai sensi dei commi 1, 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5.
5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformità all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico.
6. Fino alla data di emanazione del decreto di cui al comma 5r per tutti i documenti analogici originali unici permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformità all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da
questi firmata digitalmente ed allegata al documento informatico.».

L‘articolo 15 è un articolo molto importante per i processi di conservazione sostitutiva, perchè modifica l’articolo 22 del vecchio CAD. L’art. 22 afferma che un documento informatico, “nato” da una copia di un documento analogico, per avere l’efficacia degli articoli 2714 e 2715 del codice civile, deve avere obbligatoriamente la firma digitale o altra firma elettronica qualificata, anche senza l’intervento di un pubblico ufficiale (per i privati il notaio), poichè in questo caso si tratta di un documento analogico non unico. Diversamente nel comma 2 è richiesto per forza di cose l’intervento del pubblico ufficiale, poichè trattasi di documenti analogici unici. Ma il comma 2 non dice solo questo. Infatti a leggere attentamente, si parla di “copie per immagine” (come si legge anche nel comma 3), quindi affinchè un documento informatico possa sostituire un documento analogico, può essere solo e soltanto scansionato. Sarebbe stato meglio se, visto comunque la presenza del notaio, fosse stato ammissibile avere una copia informatica del contenuto di un documento analogico e non anche obbligatoriamente della forma di quest’ultimo. Il comma 4 dice semplicemente che con i documenti informatici possono essere assolti gli obblighi di conservazione, ma solo se vengono rispettati i comma 1,2 e 3. I commi 5 e 6 , invece, indicano che esiste una particolare tipologia documentale analogica (penso ad esempio agli archivi storici o quelli delle PA) che al momento non potrebbero essere dematerializzati, o comunque nel caso fossero dematerializzati,  permane l’obbligo per questa tipologia documentale dell’intervento del notaio nei processi di conservazione sostitutiva.

L’articolo 16 tratta dei documenti informatici :

«Art. 23 (Copie analogiche di documenti informatici). – 1. Le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato.
2. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loto conformità non è espressamente disconosciuta. Resta fermo, ove previsto l’obbligo di conservazione dell’originale informatico.».
2. Dopo l’articolo 23 sono inseriti i seguenti:
a) «Art. 23-bis (Duplicati e copie informatiche di documenti informatici). – 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformità alle regole tecniche di cui all’articolo 71.
2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all’articolo 71, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è
espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

e ancora :

5. Al fine di assicurare la provenienza e la conformità all’originale, sulle copie analogiche di documenti informatici, è apposto a stampa, sulla base dei criteri definiti con linee guida emanate da DigitPA, un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71 e tale da consentire la verifica automatica della conformità del documento analogico a quello informatico.

In breve, l’articolo 16 che modifica l’articolo 23 del vecchio Cad, afferma che un documento informatico può essere  trasformato in un documento analogico, con lo stesso valore probatorio, solo se la copia analogica è attestata da un pubblico ufficiale. Questa considerazione deriva dal semplice fatto che quando si effettua la stampa di un documento nativo informatico con oltretutto apposta una firma digitale, tale stampa perde ovviamente le proprietà di integrità, immodificabilità, sicurezza e qualità. Come ben si può comprendere la firma digitale esiste solo e soltanto in un ambiente informatico e non certo su un supporto analogico.Inoltre l’articolo 16 richiama ancora una volta la figura del notaio anche nel caso in cui si effettui una copia informatica di un altro documento informatico originale, ma che abbia un’impronta diversa rispetto proprio a quella dell’originale. Quindi se l’hash di una copia di un documento informatico varia, allora essa non è conforme all’originale o, per usare un termine legislativo, non viene riconosciuto come duplicato. Una considerazione da fare molto importante è sul comma 5, riferito ai documenti amministrativi informatici. Tale comma infatti, permette in fase di stampa di un documento informatico, il riconoscimento del cosiddetto timbro digitale. Tale timbro digitale infatti, risolve in maniera sicura e certa, il problema di copia analogica di un documento informatico con firma digitale. Infatti con un contrassegno elettronico, sarà sempre possibile risalire all’unico documento informati originale.

Ancora l’Art. 24 afferma :

«3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica. La firma con procedura automatica è valida se apposta previo consenso del titolare all’adozione della procedura medesima.

Quindi questo articolo che modifica l’articolo 35 del vecchio cad, ammette l’utilizzo della firma automatica massiva o firma automatica semplice, solo e soltanto se il soggetto che sta utilizzando il certificato di firma, dà il proprio consenso per l’adozione della procedura. Tra le altre cose questa procedura è utilizzata da moltissime grandi aziende, multinazionali e PA, perchè permette di sottoscrivere contemporaneamente un grande volume di documenti informatici.

L’articolo 30 invece dice :

«1-bis. Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza.

1-ter. Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivi previste, nonchè dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.».

«44-bis (Conservatori accreditati). – 1. I soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso DigitPA.

3. I soggetti privati di cui al comma 1 sono costituiti in società di capitali con capitale sociale non inferiore a euro 200.000.».

L’articolo 30 del nuovo CAD è certamente molto molto importante, perchè per la prima volta nella normativa italiana si parla finalmente (come fece già a suo tempo il CNIPA nel 2004) del Responsabile della conservazione sostitutiva, figura essenziale ed importantissima per tutti i processi di conservazione sostitutiva. Non spenderò altre parole sul RCS perchè in questo Blog se n’è già parlato moltissimo. E’ importante invece sottolineare che il responsabile della conservazione opera insieme ad altri responsabili al fine di controllare adeguatamente un intero e complesso sistema informativo di conservazione dei documenti informatici. Chiaramente non poteva mancare il Responsabile della Privacy, che ricordiamo in alcune condizioni, può anche coincidere con il RCS, così come non può mancare il responsabile del servizio (amministratore di rete?, di sistema?, di software?), essenziale per la manutenzione del software. Oltre a queste tre figure, il nuovo CAD parla anche del Responsabile della tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi. Certamente tale figura coincide con il Records e Document Manager (o Archivista), secondo il mio modesto parere. Chi meglio di lui infatti può comprendere appieno il concetto non banale di Workflow e BPM ?

L’ultima considerazione da fare su questo articolo è quella inerente l’accreditamento delle aziende presso il DigitPA per fornire servizi di conservazione sostitutiva. Il nuovo CAD li chiama Conservatori Accreditati, i quali ottengono da parte del DigitPA un certificato di riconoscimento per attuare correttamente i processi di conservazione del digitale. Questo accreditamento non è obbligatorio, ma è  comunque consigliato dallo stesso CAD al fine di offrire idonee garanzie organizzative e tecnologiche. Il tutto ovviamente, se si hanno a disposizione ben 200.000 euro di capitale sociale. Il RCS può infatti richiedere a tali soggetti accreditati, di conservare i documenti informatici trattati.

Come promesso chiudiamo il discorso sul nuovo CAD commentando gli ultimi articoli interessanti .

L’articolo 34, afferma una cosa molto importante , ovvero :

«Art. 50-bis (Continuità operativa). – 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

3. A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

Questo articolo riafferma l’importanza della continuità operative per le PA, ma in più la rende obbligatoria visto il crescente utilizzo di documenti informatici e quindi gli annessi sistemi informativi utilizzati per gestire tali documenti. Il “vecchio” CNIPA ha prodotto tantissimi documenti sulla continuità operativa, compreso il disaster recovery, ma solo grazie al nuovo CAD si definisce un vero piano di Business Continuity. Importante anche il riferimento al Garante della Privacy che deve in qualche modo certificare e monitorare le soluzioni adottate per garantire la continuità operative ed allo stesso tempo garantire la corretta protezione dei dati personali. Le PA si troveranno nei prossimi mesi ad affrontare dunque un cambiamento radicali e a dover per forza di cose informatizzarsi completamente a 360°. Resterà da capire se in materia di continuità operativa, sarà ciascuna PA a dover realizzare un progetto specifico di disaster recovery oppure il DigitPA rendere pubblica una procedura comune a tutte le amministrazioni.

L’Art. 49 invece parla di software nella PA, ovvero :

«2. Le pubbliche amministrazioni nella predisposizione o nell’acquisizione dei programmi informatici, adottano soluzioni informatiche, quando possibile modulari, basate sui sistemi funzionali resi noti ai sensi dell’articolo 70, che assicurino l’interoperabilità e la cooperazione applicativa e consentano la rappresentazione dei dati e documenti in più
formati, di cui almeno uno di tipo aperto, salvo che ricorrano motivate ed eccezionali esigenze.»;

Finalmente si parla di Interoperabilità nella PA. Quante PA utilizzano ad oggi strumenti e software proprietari ? Forse più del 60%. Questo articolo invece obbliga alle PA l’utilizzo di software che possano cooperare con altri sistemi informativi e che siano conformi agli standard europei o internazionali. Se pensiamo alla conservazione sostitutiva e alla fatturazione elettronica, allora come ho sempre ribadito nei miei articoli, l’interoperabilità e l’utilizzo di standard riconosciuti sono concetti essenziali. Basti pensare alla condivisione di tutti i documenti amministrativi delle singole PA e al modo con cui questi documenti verranno scambiati tra le varie OOA interne o esterne alla PA. Insomma se la PA vuole davvero rispondere ai requisiti dell’interoperabilità, chi meglio dell’Open Source lo può fare ?.