Dal 6 ottobre è stato pubblicato sul sito istituzionale di Agid un documento contenente le istruzioni operative per la produzione e conservazione del registro di protocollo.
Il documento è chiaro in molti suoi punti e coerente con ciò che la normativa richiede (si ricorda che da lunedi prossimo tutte le PA devono essere in linea con quanto prevede il DPCM 3 dicembre 2013 e quindi tutte le PA devono - tra le altre cose - trasferire il registro di protocollo entro il giorno successivo nel sistema di conservazione). Quindi, senz'altro un documento utile.
Ma...ci sono dei ma.
Il documento pubblicato appare non registrato a protocollo da Agid, non ha un autore preciso e non ha una data e un sigillo elettronico...e forse su questi aspetti Agid dovrebbe cercare di essere più in linea con ciò che la normativa tecnica prevede.
A parte questo aspetto non di poco conto, i metadati indicati mi sembrano eccessivi, ma soprattutto c'è un problema giuridico grande quanto una casa. Nel documento publicato infatti - al punto 3.3 dello stesso - si afferma che il registro di protocollo è generato in via automatica attraverso l’estrazione dal sistema documentale di un insieme di dati, secondo una struttura predeterminata, trasferita in forma statica in un sistema di conservazione, come indicato all'art. 3, comma 1, lettera d), del DPCM 13 novembre 2014. Tale modalità di formazione del registro di protocollo - secondo queste istruzioni - non renderebbe necessaria la sua sottoscrizione con firma digitale né ai fini di garantirne le caratteristiche di immodificabilità ed integrità né, eventualmente, allo scopo di assicurarne la provenienza e l’autenticità, in quanto il registro di protocollo è comunque riferibile al pubblico ufficiale da cui è formato, cioè il responsabile della gestione documentale o responsabile del servizio per la tenuta del protocollo. Alla luce di ciò la sottoscrizione del Registro giornaliero di protocollo con firma digitale o con firma elettronica qualificata sarebbe quindi da ritenersi facoltativa.
Questo ragionamento - ineccepibile da punto di vista strettamente informatico - è pericolosissimo dal punto di vista giuridico-informatico sia nella definizione delle responsabilità e sia nelle garanzie di attribuzione e di "fede pubblica" dell'archivio pubblico digitale.
La registrazione di protocollo è - come sapiamo bene - un atto pubblico di fede privilegiata, garantito, quindi, da un pubblico ufficiale. Ogni documento informatico amministrativo che ha un'efficacia erga omnes va sottoscritto con firma digitale secondo l'art. 24 comma 2 del Codice dell'Amministrazione Digitale (*). Ora il ragionamento di AGID potrebbe essere (forse) giuridicamente ammissibile se il sistema di gestione documentale e il sistema di conservazione siano entrambi "in house" presso l'ente pubblico e i due responsabili della conservazione siano "interni" all'ente e quindi - se uno di essi non provvede a "sigillare" il registro - lo può fare l'altro (e la normativa consente anche che queste due figure coincidano) (**). Ma se il sistema di conservazione invece è in outsourcing presso un conservatore esterno all'ente si genera una fase pericolosissima dove c'è un pacchetto di versamento NON sottoscritto da nessuno che passa da un sistema all'altro, poi viene rielaborato da una parte privata (il conservatore) e poi sottoscritto come pacchetto di archiviazione....da chi? Dal Responsabile interno all'ente o dal Responsabile del servizio di conservazione (come si legge spesso in giro)?
Come si fa a garantire dal punto di vista giuridico-informatico un atto pubblico di fede privilegiata in questo modo??
Su questo non potremo non confrontarci a Roma durante il Dig.eat - www.digeat.it (Centro Congressi Fontana di Trevi, 14 ottobre - a partire dalle 9.00 - ingresso gratuito - registrazione obbligatoria).
A presto. Andrea Lisi
---
(*) Si ricorda che secondo il comma 2 dell'art. 24 "l'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente". Quindi secondo la normativa primaria contenuta nel CAD qualsiasi atto di una PA avente efficacia esterna deve essere garantito con una firma digitale.
(**) Infatti, si devono fare sempre e comunque i conti con qunto previsto dal comma 2 dell'art. 23bis del CAD secondo il quale "le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l'obbligo di conservazione dell'originale informatico". Quindi, l'unica possibilità per garantire all'estratto delle registrazioni giornaliere di avere una valenza formale e probatoria è e rimane quella di essere garantito con la firma digitale di un pubblico ufficiale formalmente designato (quindi o il Responsabile della gestione documentale o eventualmente il Responsabile della conservazione).
---
(*) Si ricorda che secondo il comma 2 dell'art. 24 "l'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente". Quindi secondo la normativa primaria contenuta nel CAD qualsiasi atto di una PA avente efficacia esterna deve essere garantito con una firma digitale.
(**) Infatti, si devono fare sempre e comunque i conti con qunto previsto dal comma 2 dell'art. 23bis del CAD secondo il quale "le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l'obbligo di conservazione dell'originale informatico". Quindi, l'unica possibilità per garantire all'estratto delle registrazioni giornaliere di avere una valenza formale e probatoria è e rimane quella di essere garantito con la firma digitale di un pubblico ufficiale formalmente designato (quindi o il Responsabile della gestione documentale o eventualmente il Responsabile della conservazione).