domenica 11 ottobre 2015

Protocollo Informatico: istruzioni per l'uso da parte di Agid. Tutto chiaro?

Dal 6 ottobre è stato pubblicato sul sito istituzionale di Agid un documento contenente le istruzioni operative per la produzione e conservazione del registro di protocollo.
Il documento è chiaro in molti suoi punti e coerente con ciò che la normativa richiede (si ricorda che da lunedi prossimo tutte le PA devono essere in linea con quanto prevede il DPCM 3 dicembre 2013 e quindi tutte le PA devono - tra le altre cose - trasferire il registro di protocollo  entro il giorno successivo nel sistema di conservazione). Quindi, senz'altro un documento utile.
Ma...ci sono dei ma.
Il documento pubblicato appare non registrato a protocollo da Agid, non ha un autore preciso e non ha una data e un sigillo elettronico...e forse su questi aspetti Agid dovrebbe cercare di essere più in linea con ciò che la normativa tecnica prevede.
A parte questo aspetto non di poco conto, i metadati indicati mi sembrano eccessivi, ma soprattutto c'è un problema giuridico grande quanto una casa. Nel documento publicato infatti - al punto 3.3 dello stesso - si afferma che il registro di protocollo è generato in via automatica attraverso l’estrazione dal sistema documentale di un insieme di dati, secondo una struttura predeterminata, trasferita in forma statica in un sistema di conservazione, come indicato all'art. 3, comma 1, lettera d), del DPCM 13 novembre 2014. Tale modalità di formazione del registro di protocollo - secondo queste istruzioni - non renderebbe necessaria la sua sottoscrizione con firma digitale né ai fini di garantirne le caratteristiche di immodificabilità ed integrità né, eventualmente, allo scopo di assicurarne la provenienza e l’autenticità, in quanto il registro di protocollo è comunque riferibile al pubblico ufficiale da cui è formato, cioè il responsabile della gestione documentale o responsabile del servizio per la tenuta del protocollo. Alla luce di ciò la sottoscrizione del Registro giornaliero di protocollo con firma digitale o con firma elettronica qualificata sarebbe quindi da ritenersi facoltativa.
Questo ragionamento - ineccepibile da punto di vista strettamente informatico - è pericolosissimo dal punto di vista giuridico-informatico sia nella definizione delle responsabilità e sia nelle garanzie di attribuzione e di "fede pubblica" dell'archivio pubblico digitale.
La registrazione di protocollo è - come sapiamo bene - un atto pubblico di fede privilegiata, garantito, quindi, da un pubblico ufficiale. Ogni documento informatico amministrativo che ha un'efficacia erga omnes va sottoscritto con firma digitale secondo l'art. 24 comma 2 del Codice dell'Amministrazione Digitale (*). Ora il ragionamento di AGID potrebbe essere (forse) giuridicamente ammissibile se il sistema di gestione documentale e il sistema di conservazione siano entrambi "in house" presso l'ente pubblico e i due responsabili della conservazione siano "interni" all'ente e quindi - se uno di essi non provvede a "sigillare" il registro - lo può fare l'altro (e la normativa consente anche che queste due figure coincidano) (**). Ma se il sistema di conservazione invece è in outsourcing presso un conservatore esterno all'ente si genera una fase pericolosissima dove c'è un pacchetto di versamento NON sottoscritto da nessuno che passa da un sistema all'altro, poi viene rielaborato da una parte privata (il conservatore) e poi sottoscritto come pacchetto di archiviazione....da chi? Dal Responsabile interno all'ente o dal Responsabile del servizio di conservazione (come si legge spesso in giro)?
Come si fa a garantire dal punto di vista giuridico-informatico un atto pubblico di fede privilegiata in questo modo??
Su questo non potremo non confrontarci a Roma durante il Dig.eat - www.digeat.it (Centro Congressi Fontana di Trevi, 14 ottobre - a partire dalle 9.00 - ingresso gratuito - registrazione obbligatoria).
A presto. Andrea Lisi
---
(*) Si ricorda che secondo il comma 2 dell'art. 24 "l'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente". Quindi secondo la normativa primaria contenuta nel CAD qualsiasi atto di una PA avente efficacia esterna deve essere garantito con una firma digitale.

(**) Infatti, si devono fare sempre e comunque i conti con qunto previsto dal comma 2 dell'art. 23bis del CAD secondo il quale "le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l'obbligo di conservazione dell'originale informatico". Quindi, l'unica possibilità per garantire all'estratto delle registrazioni giornaliere di avere una valenza formale e probatoria è e rimane quella di essere garantito con la firma digitale di un pubblico ufficiale formalmente designato (quindi o il Responsabile della gestione documentale o eventualmente il Responsabile della conservazione).

lunedì 5 gennaio 2015

Di cosa c’è davvero bisogno per l’Agenda Digitale nel 2015?

No, Non basta “Fare”. Per l’Italia Digitale non bastano neppure l’Entusiasmo, la Bellezza (citata recentemente da Renzi) e la Tenacia (indicata da Alessandra Poggiani) purtroppo, anche se sono importantissimi.
Non basta neppure saper Comunicare bene. Abbiamo ottimi Comunicatori oggi nelle tante (forse troppe) Cabine di Regia del Digitale e abbiamo un esercito di Digital Champion che senz’altro hanno/avranno entusiasmo genuino e speriamo anche tanta tenacia.
Ma senza una strategia precisa rischiano di andare in tante direzioni e soprattutto di comunicare diverse iniziative tra loro scoordinate e confuse nella loro applicazione pratica.
L’Italia invece ha bisogno di una Direzione precisa nelle sue strategie di digitalizzazione per evitare di andare alla deriva.
Questa Direzione l’abbiamo avuta in qualche modo in passato. Forse perfettibile, ma spesso sensata. E spesso siamo stati primi in Europa nella Regolamentazione Tecnica degli strumenti della digitalizzazione. Non possiamo dimenticarlo.
È vero anche che questa nostra “primarietà europea” l’abbiamo spesso ignorata, addirittura derisa e di certo non l’abbiamo comunicata bene. Per questo, a mio modesto avviso, l’odierna attenzione verso il mondo social e i mass media è importantissima, ma non deve essere fine a se stessa. Sarebbe un grave limite e un inganno. Sarebbe scelta opposta rispetto al recente passato, ma altrettanto dannosa per l’Italia Digitale.
Non ci sono e non ci possono essere Open Data, Trasparenza, Accessibilità, Comunicazione Digitale senza Competenze tecniche verticalizzate, Contenuti seri e Strategie precise da seguire. E la bussola qualcuno con autorevolezza deve averla in mano e io penso che finalmente Agid vada rafforzata e debba avere il coraggio di prendere oggi con decisione il timone dell’Agenda Digitale Italiana e conferire così una precisa direzione al caos di iniziative che si avverte e si legge in questi giorni ( o che almeno avverto io ;)).
E allora non c’è Digital Champion che serva a qualcosa se non ha una squadra di Digital Minion pronta a supportarlo. E non c’è Digital Minion che serva se non ha un abile Digital Champion che possa coadiuvarlo nel comunicare le strategie condivise, sviluppate, attuate (o da attuare).
Insomma spero in un 2015 dove ognuno conosca bene e in modo chiaro e ineccepibile il suo ruolo e sappia rispettarlo, favorendo una sana e coesa cooperazione in una precisa direzione (magari tracciata da Agid).
Questo spero e secondo me di questo c’è bisogno.
Questo è anche il senso di questo articolo così tanto letto e così tanto commentato che ho pubblicato qualche giorno fa su Forum Pa (http://saperi.forumpa.it/story/97739/digital-champion-edigital-minion). E come legale rappresentante di ANORC (www.anorc.it), ANORC Professioni (http://www.anorc.it/anorc_professioni/) e  AIFAG (www.aifag.org) cercherò in tutti i modi di avere il timone di queste strutture puntato verso lo sviluppo di serie professionalità (Digital Minion :)) in grado di avviare e prendere in mano concreti progetti di digitalizzazione da  mettere a disposizione di strutturate strategie di comunicazione affidate ai nostri Digital Champion.
Tantissimi Auguri a tutti per uno splendido 2015. Andrea Lisi