Visions

Il nuovo CAD è fatto, ora bisogna fare l’amministrazione digitale

Dopo un iter complesso che abbiamo seguito da vicino con le nostre associazioni (ANORC, ANORC Professioni e AIFAG) abbiamo finalmente tra le mani il testo ufficiale delle modifiche al Codice dell’Amministrazione Digitale (contenute nel decreto legislativo 26 agosto 2016, n. 179, pubblicato ieri in GU). Parto col dire che questo ulteriore intervento di modifica del , peraltro piuttosto esteso, non era a mio parere necessario: è vero che c’era la necessità di aggiornarlo in seguito all’entrata in vigore del nuovo Regolamento europeo eIDAS, ma sarebbe stato più che sufficiente e meno invasivo un semplice coordinamento tra le due normative.

Tra le più rilevanti novità introdotte dal “nuovo CAD” è certamente da segnalare la sospensione dell’obbligatorietà del DPCM 13 novembre 2014 sulla formazione dei documenti, norma – occorre ricordarlo – da tempo già in vigore e alla quale qualsiasi PA si sarebbe dovuta obbligatoriamente adeguare entro la data, ormai trascorsa, del 12 agosto. Quella data avrebbe dovuto segnare l’avvio del così detto “digital first”, un definitivo cambio di rotta della PA italiana, l’abbandono della carta a favore di una completa digitalizzazione delle comunicazioni. Su questa scadenza è stato fatto a mio parere un inutile terrorismo, sollevando eccessivi timori sulla possibile paralisi che avrebbe colpito l’amministrazione italiana e sulle eventuali sanzioni per le amministrazioni inadempienti, dimenticando, invece, che si trattava di rispettare delle regole tecniche già da tempo in vigore. L’obbligo di digitalizzazione delle PA c’era, infatti, già prima, e ora con questa proroga si rischia di vanificare anche i risultati positivi ottenuti dalle tante PA che intanto hanno iniziato a digitalizzare i propri documenti, proprio sulla base delle indicazioni contenute nel sospeso DPCM 13 novembre 2014.

All’art. 61 (Disposizioni di coordinamento) del nuovo CAD si stabilisce tra l’altro che: “Fino all’adozione del suddetto decreto ministeriale, l’obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all’articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, è sospeso, salva la facoltà per le amministrazioni medesime di adeguarsi anteriormente”. Quindi, alla luce della lettera della norma, sembrerebbe che le regole tecniche sulla formazione del documento informatico (come del resto le altre regole tecniche) rimangano pienamente in vigore: a essere sospesa è soltanto la loro obbligatorietà nell’adeguamento dei sistemi di gestione. È estremamente importante che questa distinzione venga correttamente compresa dagli operatori delle PA e che non si creda superficialmente che tutta l’innovazione digitale sia rimandata a data da destinarsi e si possa tranquillamente tornare, nel frattempo, alla carta e alle vecchie abitudini analogiche, stoppando quei processi virtuosi già avviati.

Non si può inoltre non notare che nel testo del nuovo CAD sono riscontrabili alcune inesattezze e imprecisioni, potenzialmente pericolose.

Infatti, nel nuovo articolo 1 comma 1-ter, introdotto dal d.lgs.26 agosto 2016, n. 179 si legge: “Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato”. La scelta dell’aggettivo “certificato” al posto di “qualificato” in relazione a un servizio di recapito non è di poco conto e sembra aprire la porta all’utilizzo, accanto alla pec, di tutta una serie di servizi fiduciari “semplici” con caratteristiche e garanzie (in termini di vigilanza, sicurezza, certezza, rispetto degli standard) inferiori rispetto a quelli qualificati. Sembra quasi di tornare al passato e a vecchie polemiche già consumatesi in precedenza: infatti già nella Legge 2/2009 (Legge di conversione del DL 29 novembre 2008, n. 185) era stato reso astrattamente possibile per pubbliche amministrazioni, società e professionisti, l’utilizzo, accanto alla PEC, di altri sistemi alternativi di trasmissione elettronica dei messaggi che certificassero la data e l’ora dell’invio e della ricezione delle comunicazioni e garantissero l’integrità del contenuto delle stesse, assicurando l’interoperabilità con analoghi sistemi internazionali di posta elettronica certificata assegnati ai cittadini. Quella previsione – pur più precisa di questa attualmente contenuta nel nuovo articolo 1, ed emanata per ragioni profondamente diverse – ebbe come unico effetto quello di introdurre la CEC PAC (il sistema gratuito di “pec di stato” che ironicamente tempo fa ribattezzai “CEC PACCO”), la cui scarsa utilizzabilità ha portato alla sua completa sospensione. Sarebbe estremamente importante, quindi, che il legislatore nel regolamentare la materia avesse le idee chiare e utilizzasse la corretta terminologia, per non dare adito a confusione e interpretazioni divergenti.

Altre imprecisioni sono rinvenibili anche nell’art. 44, dove sembra esserci un passo indietro nei modelli di gestione elettronica dei documenti e loro conservazione, generando una evidente confusione interpretativa e anche un difficile coordinamento con le regole tecniche in vigore.

Per il resto, riassumo brevemente i punti su cui “l’operazione nuovo CAD” mi trova in accordo e in disaccordo.

Mi sembra cosa ottima l’ampliamento dei poteri (anche consultivi) di AgID e l’introduzione di una Commissione permanente sulla digitalizzazione, in cui mi auguro vengano coinvolti in modo trasversale i veri attori della digitalizzazione nel nostro Paese. Concordo sul fatto che il nuovo testo normativo si soffermi significativamente sull’importanza delle ‘competenze’ specifiche che gli operatori della devono possedere: l’articolo 12, per esempio, sostiene – finalmente! – che tutti i dipendenti della Pubblica Amministrazione dovrebbero ricevere anche nozioni di informatica giuridica; mentre l’articolo 17 prevede espressamente la presenza all’interno delle PA di figure manageriali che garantiscano e controllino lo stato di digitalizzazione degli enti di appartenenza, i futuri Chief Digital Officer. Non si può pensare di fare innovazione digitale in un ente, pubblico o privato che sia, se gli operatori al suo interno non sanno come gestire e ottimizzare i nuovi processi.

Ora passiamo al disaccordo. Fortunatamente alcuni punti della bozza precedente del decreto, sui quali abbiamo avuto modo di esprimere il dissenso delle nostre associazioni durante i confronti istituzionali attivati presso la Camera dei deputati, sono stati “aggiustati” nella versione finale e molte delle nostre proposte sono state accolte: penso agli articoli 20 e 21 del Codice per i quali abbiamo chiesto che il valore formale e probatorio delle firme elettroniche non fosse modificato in modo significativo (e così è stato) e al capitale sociale per i “gestori di servizi digitali” (si fa riferimento ovviamente ai prestatori di servizi fiduciari qualificati e ai gestori di pec), fissato nella prima bozza alla cifra (decisamente troppo elevata) di 5 milioni di euro, mentre nel testo finale si rimanda alla promulgazione di un Dpcm per chiarire e spiegare nuovamente i requisiti che verranno richiesti ai fornitori; mentre per i conservatori accreditati si prevede espressamente che il capitale sociale rimanga di “soli” 200.000 euro.

Continuo invece a non essere d’accordo sull’abrogazione nel CAD dell’art. 50 bis che statuiva l’obbligatorietà per la PA dei piani di business continuity e di disaster recovery (a mio parere strumenti fondamentali per garantire la sicurezza informatica nelle pubbliche amministrazioni); sulle modifiche dell’art. 51 (che continua a prevedere l’emanazione di regole tecniche sulla sicurezza informatica da adottare all’interno delle pubbliche amministrazioni, ma delega ad AgID e altre Autorità compiti piuttosto “evanescenti” in materia), e sul nuovo comma, inserito nell’articolo 43, in base al quale se un documento informatico è conservato da una Pubblica Amministrazione cessa l’obbligo di conservazione da parte dell’utente, che comunque può chiedere in ogni momento di avere accesso al suo documento: questo rende la PA unica depositaria dei documenti dei cittadini e mette questi ultimi in una posizione di “dipendenza” verso la PA, un rapporto squilibrato che potrebbe diventare particolarmente rognoso in caso di contenzioso tra le due parti. Inoltre, a essere realisti, quante Pubbliche Amministrazioni possono garantire attualmente di avere dei sistemi di conservazione pienamente sicuri ed efficienti, che mettano al riparo i documenti dell’utente da tutti i possibili rischi (smarrimento, modifica etc)?

Al netto di luci e ombre, parafrasando D’Azeglio (o chi per lui), ora che il nuovo Codice dell’Amministrazione digitale è fatto, bisogna fare, appunto, l’amministrazione digitale. Ovvero, la parte più difficile del lavoro.

Andrea Lisi

Andrea Lisi

Avvocato esperto in diritto delle nuove tecnologie, Presidente ANORC Professioni, Segretario Generale ANORC (Associazione Nazionale per Operatori e Responsabili della Conservazione digitale dei documenti), Segretario generale AIFAG (Associazione Italiana Firma elettronica avanzata biometrica e Grafometrica) e Coordinatore del Digital & Law Department dello Studio Legale Lisi. È Docente presso la Document Management Academy e la MIS Academy della SDA Bocconi. Direttore scientifico di Know IT, piattaforma di formazione e informazione dedicata ai professionisti dell’era digitale.

Facebook Twitter 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This