Il buono, il brutto, il cattivo nel nuovo CAD

24 feb 2011 · Uncategorized

di Andrea Lisi (www.studiolegalelisi.it) – Una cavalcata nelle lande del Far Web di incertezze nel quale il legislatore ha tentato di imporre delle regole con il Codice dell’Amministrazione Digitale

Roma – Qualche giorno fa ho visto per l’ennesima volta il capolavoro di Sergio Leone “Il buono, il brutto, il cattivo”. Nello spaghetti-western, inventato dal geniale regista italiano, si disegnava uno scenario irreale, decontestualizzato, dove ogni duello era un epico gioco di sguardi e i personaggi somigliavano, più che a straccioni della Frontiera, agli eroi omerici o meglio ai samurai nipponici di Akira Kurosawa. E in un contesto caratterizzato da paesaggi polverosi e assolati, da volti ruvidi e violenti e da saloon pronti ad esplodere, erano i fucili e le pistole a dettare legge.
Che attinenza ha tutto questo con il Codice dell’Amministrazione Digitale?
Probabilmente nessuna, eppure a me è venuto in mente che…Premesse: C’era una volta il Far Web
C’era una volta l’insidioso e desolato web, fatto di pericolosissimi bit e di spietati pionieri della tecnologia a caccia di informazioni che viaggiavano sulle carovane del WWW. Ecco lo scenario che immaginava il nostro legislatore circa vent’anni fa. E, in modo rigido e seguendo le regole del documento cartaceo, ha cercato di porre rimedio con precise norme in materia di firma digitale e documento informatico. Erano questi i fucili e le pistole in mano ai cittadini del web. Mosso da una situazione che sembrava d’emergenza, in un apparato scenico fantastico, il nostro legislatore (nel lontano 1997) è stato comunque tra i primi a livello internazionale a sviluppare regole precise (e spesso così inflessibili da risultare per lo più inapplicabili e comunque non allineate con il contesto europeo).

Piano piano si è cercato di trovare maggiore equilibrio normativo, di sistematizzare, di favorire un processo lento, ma necessario e si è arrivati ad un buon Codice dell’Amministrazione Digitale (D. Lgs. 82/2005 – di seguito CAD). Di certo perfettibile (tant’è che è stato subito modificato con il successivo decreto 159/2006), ma quanto meno dietro il CAD c’era un lavoro di attenta sintesi e una precisa ratio normativa.

In verità, come segnalato tante volte in passato, la nostra legislazione in materia di digitalizzazione documentale ha un peccato originale: è stata pensata per le PP.AA. e le sue rigidità che, se sono spiegabili in un contesto amministrativo dove la forma deve andare a braccetto con la sostanza, fanno invece a cazzotti con le esigenze del mondo privato, dove è l’aformalismo contrattuale a farla da padrona.
Si è arrivati così da una sistemazione normativa perfettibile, ma giustificabile, alle novità degli ultimi due o tre anni.

Lo scenario cinematografico per il nostro legislatore è improvvisamente mutato: il digitale, da strumento guardato con diffidenza, diventava modello di cambiamento, in quanto garantiva semplicità, trasparenza, efficienza. Ogni balzello andava tolto di mezzo. Anche la legge andava sostituita dai comunicati stampa e dalle slide. E comunque, il legislatore, in preda ad una sorta di ossessione normativo-compulsiva, ha provato ad inseguire ogni novità tecnologica e a regolamentare a sproposito ogni aspetto del digitale.
E la parola d’ordine è stata PEC: la PEC è firma elettronica, perché la Firma Digitale è troppo complicata! La firma digitale, forse, è un buon fucile, ma ora ci servono le pistole, maneggevoli, veloci e semplici da usare. Come lo sono anche i certificati medici online e gli albi pretori fai da te!
Mi viene in mente una storica frase di Clint Eastwood il quale, durante la solita guerra di nervi con il messicano Ramon, gli dice: “Quando un uomo con la pistola incontra uno con il fucile quello con la pistola è un uomo morto… avevi detto così?”. Nel film (“Per un pugno di dollari”), la pistola ha la meglio sul fucile, effettivamente. Deve averlo visto anche il nostro legislatore, quel film. Ma il problema è che la firma digitale può essere considerata nel Far Web o una pistola o un fucile, ma la PEC è solo il fodero!
E il legislatore mi sembra che non lo abbia ancora ben chiaro, questo elementare concetto. Concetto essenziale nel mondo delle PP.AA. digitali, se abbiamo a cuore il futuro dei nostri archivi pubblici digitalizzati.

Un paio di estati fa, osservando lo spettacolare caos normativo generato dall’iperattivo legislatore, mi ero permesso di consigliare un minimo di pausa riflessiva, per evitare di fare atterrare il mercato della digitalizzazione su un campo di cactus.

Arriviamo a questi giorni. Il legislatore non ha deciso di acquietarsi. Anzi. Con il Decreto Legislativo 235/2010 ha modificato pesantemente il testo originario del Codice dell’Amministrazione Digitale (D. Lgs. 82/2005), nell’intento di fare ordine e garantire una sistematicità compromessa dal continuo accavallarsi nel tempo di normative confuse e contraddittorie in materia di Società dell’Informazione.

Il nuovo testo del CAD ha modificato molte definizioni e concetti in materia di copie informatiche, firme elettroniche e contiene diversi nuovi adempimenti in materia di sicurezza informatica. Si è riusciti a fare veramente un po’ di chiarezza?
Proviamo, in estrema sintesi, a verificare cosa è successo nel mondo del Far Web.

Per qualche definizione in più
Le prime modifiche che balzano agli occhi sono proprio nelle definizioni! Il legislatore ha voluto aiutarci a confondere i concetti sin da subito, inventando una profonda differenza tra termini che hanno un significato identico nell’usuale vocabolario: da oggi, infatti, copia e duplicato sono cose ben diverse!
È sufficiente andare a leggere le tante, nuove definizioni contenute nell’art. 1 del CAD per rendersi conto di quanto sarà difficile per un docente di diritto spiegare cosa si intenda per “copia informatica di documento analogico”, che è cosa ben diversa della “copia per immagine su supporto informatico del documento analogico” (e ci si chiede: la semplice copia informatica prescinderà, quindi, dal supporto mentre l’altra no?); oppure cosa si intenda per “copia informatica di documento informatico”, che è totalmente differente dal “duplicato informatico”. Non si poteva mantenere la differenza tra riversamento diretto e riversamento sostitutivo contenuta nella delibera CNIPA n. 11/2004 per evitare una confusione inevitabile di terminologia?

Per un pugno di firme
Per continuare con l’epopea delle definizioni ci si accorge che, come esaurientemente spiegato dagli amici Gianni Penzo Doria ed Eugenio Stucchi, adesso in Italia esistono ben quattro tipologie di firma elettronica: la firma elettronica, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale (queste ultime due firme costituiscono un sottoinsieme della firma elettronica avanzata). Inoltre, dalla lettura delle definizioni, la firma digitale non coinciderebbe più con la firma elettronica qualificata in quanto, nella definizione della firma digitale, non c’è traccia del dispositivo sicuro di firma (requisito ancora essenziale per la firma elettronica qualificata). Sono certo che si tratti di una “semplificazione” generata dalle tecniche del “copia-incolla” con cui oggi si fanno le leggi, ma, poiché le conseguenze dal punto di vista sistematico (e del buon senso) possono essere devastanti, spero che il legislatore intervenga con un nuovo decreto correttivo che rettifichi gli “errori materiali” di cui è ricco il “nuovo” CAD (pur se – lo diremo più avanti – le buone intenzioni ci sono state e, in alcuni casi, si sono trasfuse in qualche norma significativa).

Inoltre, se nel nuovo assetto normativo il dispositivo sicuro di firma dovesse ritenersi un requisito superfluo per la firma digitale (e per la firma elettronica avanzata), come si spiegherebbe il contenuto dell’art. 21 comma 2, secondo il quale per tutte le tipologie di firma (digitale, qualificata e avanzata) “l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria“?
Infine, è giusto sottolinearlo, ad oggi la firma elettronica avanzata non esiste e non corrisponde alla “firma elettronica biometrica”, come invece si sente dire in giro con incredibile leggerezza (ma, si sa, nel Far Web tutto è possibile)! La firma elettronica avanzata è definita in modo contorto nel CAD come “l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati“. Sempre secondo l’art. 21, tale tipologia di firma garantirebbe al documento informatico, allo stesso modo della firma elettronica qualificata e della firma digitale, l’efficacia prevista dall’articolo 2702 del codice civile, purché sia formata nel rispetto delle regole tecniche. Ma le regole tecniche non ci sono!
Quindi, senza regole tecniche, la firma elettronica avanzata non esiste e la firma biometrica va utilizzata con la massima attenzione, deve essere giustificata, può essere al massimo accostata ad una firma elettronica semplice e ogni volta va verificata la sua utilizzabilità nel rispetto del Codice per la protezione dei dati personali.

Il procedimento pallido
Degno di nota è anche il comma 2 dell’art. 23-ter che, riesumando questa fantomatica firma elettronica avanzata, precisa che “i documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo sottoscritti con firma elettronica avanzata hanno l’efficacia prevista dall’art. 2702 del codice civile“. Peccato che non sia stato toccato dalla riforma il comma 2 dell’art. 34, secondo il quale “per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all’articolo 71“. Insomma, se nei procedimenti interni le PP.AA. possono comportarsi come vogliono nella loro autonomia organizzativa che senso ha il riferimento alla firma elettronica avanzata contenuto nell’art. 23-ter? Forse, nel Far Web si sente ancora la necessità degli editti superflui ad abundantiam?

Il mio nome è nessuno
A proposito del sopracitato art. 25, al comma 4, al fine di semplificare quello che molto spesso può succedere in un procedimento amministrativo complesso che preveda la partecipazione di diverse PP.AA., esso precisa che “se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell’originale, secondo le disposizioni dell’articolo 23, comma 5“. Peccato che il comma 5 dell’articolo 23 non esista! Può succedere anche questo nel Far Web?

La conquista del Glifo
Sempre in tema di firme, oltre all’introduzione della firma digitale che si fa con le dita davanti al notaio, come previsto dal testé citato art. 25, comma 2 sulla firma autenticata, non si può dimenticare il Glifo, grande novità del CAD. Il comma 5 dell’art. 23-ter specifica che “al fine di assicurare la provenienza e la conformità all’originale, sulle copie analogiche di documenti informatici, è apposto a stampa, sulla base dei criteri definiti con linee guida emanate da DigitPA, un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71 e tale da consentire la verifica automatica della conformità del documento analogico a quello informatico“. Inutile dire che, anche questa volta, delle regole tecniche in merito al rivoluzionario Glifo non c’è traccia, ma intanto fioccano nel Far Web soluzioni proposte da pubbliche amministrazioni che permettono di stampare i documenti informatici direttamente scaricandoli dai siti web istituzionali! Ebbene sì, il Glifo permette nel Far Web la sovversiva stampa del documento informatico quando tutti parlano di dematerializzazione!

Giù la copia
Come ben spiegato da Foglia e Giannuzzi, nelle modifiche al CAD ci sono rilevanti novità in materia di copie informatiche di documenti analogici, di copie analogiche di documenti informatici, di duplicati e copie informatiche di documenti informatici. Pur nel caos di termini e definizioni nuovi, si è cercato di garantire un minimo di sistematicità in una materia delicatissima che comunque meritava di essere inserita nel codice civile.

La chiamavano CEC PAC
Sulla PEC e CEC PAC ho scritto troppo e ormai mi annoio a ripetere cose che dovrebbero essere ovvie a tutti. Sull’onda dell’entusiasmo acritico verso lo strumento della PEC, si continua a confondere maldestramente il documento trasmesso (da sottoscrivere con firma digitale) con lo strumento di trasmissione certificata. Tale confusione si è inevitabilmente riverberata nella modifica del Codice dell’Amministrazione Digitale, nel quale si vogliono obbligare tutte le PP.AA. a ricevere PEC “identificative” (o CEC PAC) quali istanze valide, avendo anche eliminato dall’art. 65 del CAD il potere (proprio delle singole amministrazioni) di autoregolamentare tali processi, pretendendo la firma digitale quando indispensabile per garantire la validità e la autenticità delle istanze e dichiarazioni inoltrate dai cittadini.
Il rischio è di rendere di fatto impossibile per la PA assicurare e attestare l’autenticità di un archivio pubblico. Infatti, se la PEC è “sottoscrizione” elettronica, (liberamente valutabile da un giudice ai sensi dell’art. 21 comma 1 del CAD), come si legge, ad esempio, nel DPCM 6 maggio 2009, allora chi lo spiega al responsabile del procedimento come garantire la corretta fascicolazione e archiviazione di un allegato .doc (con macro attive e non sottoscritto con firma digitale) ricevuto via PEC? O come si farà a protocollare e archiviare correttamente un allegato video in cui il cittadino via PEC “formalizza” solennemente una dichiarazione sostitutiva?

Continuavano a chiamarla PostaCertificat@
Mi permetto di rilevare che non basta cambiare acronimo alla CEC PAC per farla funzionare.
Oggi la PostaCertificat@ (che altro non è che la CEC-PAC, cioè uno strumento di comunicazione gratuito che funziona solo da cittadino a PA e viceversa – info: www.postacertificata.gov.it) sarebbe stata richiesta soltanto da circa 900.000 cittadini (ma non c’è dato di sapere né se è stata effettivamente attivata da tutti i richiedenti e né il numero preciso delle CEC PAC nel frattempo disattivate).
Ci sarà un motivo se questa comunicazione elettronica certificata nel Far Web si è rivelata un fiasco? (* vedi nota in calce)

Il Mucchio Selvaggio
Passiamo ad analizzare brevemente il già citato art. 65 del CAD. Tale articolo, così novellato, prevede varie modalità di invio delle istanze alle PP.AA. da parte dei privati: si passa dalla firma digitale all’id e password con spensieratezza, perché prima o poi “con decreto del Ministro per la pubblica amministrazione e l’innovazione e del Ministro per la semplificazione normativa, su proposta dei Ministri competenti per materia, possono essere individuati i casi in cui è richiesta la sottoscrizione mediante firma digitale“. Intanto, i cittadini italiani possono decidere un po’ come vogliono e inviare le loro istanze via SMS, con post-it telematici, con terrine di sabbia digitale e così via. Ovviamente va bene anche la PEC, ma le istanze saranno valide solo ove le credenziali di accesso alle PEC siano state rilasciate previa identificazione del titolare e ciò sia attestato dal Gestore di PEC nel corpo del messaggio o in un apposito allegato, sempre secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71. Ovviamente anche queste regole tecniche si attendono.

Il Responsabile senza nome
Quando regolamentiamo la tecnologia digitale, ci dimentichiamo delle necessità degli archivi pubblici, i quali devono preservare e garantire nel tempo istanze, dichiarazioni, documenti in genere, assicurando alla collettività quell’esigenza di “pubblica fede” su tutto ciò che da quegli archivi venga acquisito. Per questo una PA protocolla, fascicola, archivia ed è in grado di “autenticare” i propri documenti: tutte queste necessità archivistiche costituiscono un baluardo per qualsiasi sistema democratico, perché garantiscono i cittadini in merito all’autenticità dei documenti conservati dalle PP.AA.

Per questo, l’art. 44 del CAD prevedeva (e prevede tutt’ora) specifiche garanzie per i sistemi di conservazione dei documenti informatici. Tali garanzie erano affidate a una figura che non c’era più, inesorabilmente cancellata sull’onda delle abrogazioni e semplificazioni degli ultimi anni: il Responsabile della conservazione.
Bene, con la modifica del CAD, il Responsabile è tornato e questa è certamente una buona novità inserita nel “nuovo” CAD.
Il nuovo comma 1-bis dell’art. 44 stabilisce, infatti, che il sistema di conservazione deve essere gestito da un responsabile (della conservazione) che lavori d’intesa con il responsabile del trattamento dei dati personali di cui all’art. 29 del D.Lgs. 196/2003 e, ove presente, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi.
Eccolo, quindi, il nostro Sceriffo del Far Web che ha il compito delicatissimo di custodire i nostri dati digitali. Ma, mentre nel Far West gli sceriffi decidevano la taglia dei banditi da acciuffare, oggi è lo sceriffo del Far Web ad avere una taglia sulla sua testa: di 200.000 Euro! Tanto costa accreditarsi al DigitPA per svolgere servizi di conservazione. Il resto lo decideranno le solite regole tecniche che arriveranno prima o poi.
Ha veramente senso selezionare l’affidabilità di un sistema di conservazione decidendo che possono accreditarsi solo coloro che abbiano un capitale sociale non inferiore a € 200.000?
Si aspettano ancora criteri di selezioni più seri e affidabili nel futuro del Far Web…

C’era una volta in America
Vi sembrerà strano o impossibile, ma su certe tematiche dedicate al documento informatico, alla sua formazione e conservazione, al suo valore quale prova informatica, il nostro diritto è molto più avanti rispetto al resto dell’Europa e alla stessa common law. Solo in questi ultimissimi anni, i giudici statunitensi si stanno rendendo conto della “volatilità” del bit e della difficoltà di garantire una memoria nel tempo al dato informatico. Solo un anno fa, l’Università di Stanford ha aperto il primo laboratorio digitale forense negli Stati Uniti.
Per una volta, possiamo dire di essere più avanti con l’approfondimento di questi temi, ma se non continuiamo a procedere con rigidità e serietà rischiamo di andare avanti con il passo del gambero. E non possiamo permettercelo. Le regole tecniche dovranno essere portate avanti aprendosi al confronto e garantendo un approccio multidisciplinare, sistematico e condiviso.
Le buone intenzioni ci sono tutte, ma non bastano per preservare il destino della nostra memoria digitale, anche perché – a maggior ragione nel Far Web – “il destino spesso lo si incontra proprio sulla strada presa per evitarlo” (Terence Hill, da “Il mio nome è nessuno”, di Tonino Valerii).

Andrea Lisi
Digital&Law Department – Studio Legale Lisi

* = Non posso non inserire in questa unica nota al presente articolo la disavventura comunicata via email (semplice!) alla mia segreteria da una dipendente pubblica:
Buongiorno, sono un cittadino ma anche un dipendente pubblico e mi occupo di sistemi informativi e innovazione tecnologica. Ho avuto modo di ascoltare l’avv. Andrea Lisi ad alcuni convegni e volevo condividere con voi questa dis-avventura che ho avuto con la PEC. Mi sono dotata del servizio “Posta certificat@” lanciato da Palazzo Vidoni ed erogato da Poste Italiane e Telecom Italia per risparmiare tempo e denaro ma anche per “utilizzare” questi strumenti sulla mia “pelle”. Ho utilizzato la PEC la prima volta per inviare la domanda di un concorso all’agenzia entrate e ho dovuto procedere a più invii perché la casella di destinazione, unica per tutta l’agenzia centrale (nella mia amministrazione ogni Area organizzativa Omogenea ha una PEC distinta), si saturava e/o non era presidiata a sufficienza rischiando quindi di non rispettare i termini di scadenza imposti dal bando di concorso (si sa che che normalmente si verifica un picco di carico a ridosso delle scadenze e i sistemi devono essere presidiati con un’organizzazione adeguata! Il problema AVVISO DI MANCATA CONSEGNA PER SUP. TEMPO MASSIMO però rimane al cittadino). La seconda volta l’ho voluta utilizzare per il seguente bando pubblicato su GU del 30/12/2011 Concorso pubblico, per esami, per la copertura di n. 3 posti, a tempo pieno ed indeterminato, di cui n. 1 riservato al personale interno, di Dirigente Area Informatica, nel ruolo del personale della Giunta Regionale:

L’ Art. 3 – Presentazione delle domande prevede invio domanda partecipazione tramite PEC
Sul sito della regione sono pubblicate le seguenti PEC
– protocollo-istituzionale@regione.lazio.legalmail.it
– protocollo-territorio@regione.lazio.legalmail.it
– protocollo-sociale@regione.lazio.legalmail.it
– protocollo-economico-occupazionale@regione.lazio.legalmail.it

Ho preparato la domanda, l’ho inviata con la mia PEC ma… la PEC NON è stata ACCETTATA DAL SISTEMA di PEC messo a disposizione dal governo italiano ministero pubblica amministrazione e innovazione (Brunetta…) in quanto il destinatario non è ammesso perché la regione non ha aggiornato la rubrica PA… Inviata segnalazione via mail all’URP regione Lazio segnalando l’anomalia e sollecitando l’aggiornamento della Rubrica PA, ho ricevuto la seguente risposta RISPOSTA REGIONE LAZIO:

Gentile utente,
la ringraziamo per essersi rivolto al nostro ufficio.
In riferimento alla sua richiesta la informiamo che, da contatti presi con la struttura competente le confermiamo che l’indirizzo PEC dove inviare le domande per i concorsi della Giunta regionale è protocollo-istituzionale@regione.lazio.legalmail.it ed è regolarmente funzionante.
Per ulteriori informazioni la informiamo che l’ufficio relazioni con il pubblico è a sua disposizione anche al seguente numero verde 800.012.283
Cordiali saluti

Chiamato il call center PEC PA mi sono sentita rispondere che non si poteva far nulla, loro erano di Poste Italiane e non del governo…

Scritto al servizio di help desk pec pa ho avuto la seguente risposta:
Gentile Cliente,
gli unici indirizzi di posta certificata delle Pubbliche Amministrazioni con cui il Cittadino può dialogare attraverso il dominio postacertificata.gov.it sono quelli disponibili nella Rubrica PA, attualmente in fase di progressivo completamento.
Per effettuare la ricerca dell’indirizzo attraverso la funzionalità dedicata è necessario che si effettui il login sul portale, inserendo USER-ID e password e solo da quella Rubrica PA è possibile identificare le Pubbliche Amministrazioni con cui comunicare. Invece, l’indirizzario centralizzato disponibile dal sito http://www.paginepecpa.gov.it comprensivo di tutti gli indirizzi delle Pubbliche Amministrazioni dotate di PEC, ma con le quali non si può comunicare tramite dominio postacertificata.gov.it, a meno che le stesse non siano già migrate nell’Indirizzario PA della PostaCertificat@.
È per questo che il nostro Indirizzario PA è in progressivo completamento.
RinnovandoLe la nostra piena disponibilità per qualsiasi ulteriore informazione, La invitiamo a visitare il portale www.postacertificata.gov.it o a contattare il nostro servizio di assistenza attivo dalle 8:00 alle 20:00 dal lunedì al sabato (festivi esclusi) ai seguenti numeri:
800.104.464 (da rete Fissa)
199.135.191 (da rete mobile)

Quindi:
o mi dotavo di un’altra PEC a pagamento (tipo Aruba..) interoperabile con quella regione lazio (con dispendio di tempo e denaro e il tempo stringeva…)
o qualcuno in Regione Lazio si prendeva la briga di aggiornare (se mai ne conoscesse esistenza) la rubrica PA
o il DIT – Dipartimento Innovazione Tecnologica della Presidenza del Consiglio “imponeva” a Regione Lazio di aggiornare la rubrica PA
o il DIT – Dipartimento Innovazione Tecnologica della Presidenza del Consiglio rendeva la sua PEC interoperabile con le altre
o facevo la raccomandata alla posta

Risultato: ho fatto la raccomandata per rispettare la scadenza del concorso. Idem una mia amica e collega di un’altra amministrazione pubblica. Mi dicono che non sono la sola ad aver avuto questi problemi…
Grazie dell’attenzione.”

Punto Informatico