D:Il CAD, il Codice dell Amministrazione Digitale, cos è? D:Quali sono i principi guida del nuovo CAD?

Transcript

1 D:Il CAD, il Codice dell Amministrazione Digitale, cos è? R:Con il codice dell Amministrazione digitale i cittadini e le imprese hanno nuovi diritti che la normativa precisa e definisce e che rende quindi effettivamente esigibili; essi sono basati su strumenti che aiutano anche le amministrazioni a lavorare meglio e a spendere meno. Con il Decreto del Presidente del Consiglio dei Ministri del 9 febbraio 2011 sono stabilite le modalità, i limiti ed i tempi di applicazione del Codice dell'amministrazione digitale. Il provvedimento, pubblicato sulla G.U. del 4 aprile 2011, n.77, è stato emanato ai sensi dell'art. 2, comma 6, ultimo periodo, dello stesso Codice (decreto legislativo n. 82 del 2005), che ha previsto l'emanazione di uno o più Dpcm che regolino l'applicazione di specifiche norme del CAD demandando alla competenza della Presidenza del Consiglio qualora risultino non compatibili con il suo particolare assetto organizzativo e con le sue particolari funzioni istituzionali. D:Quali sono i principi guida del nuovo CAD? R:Come ogni provvedimento legislativo il CAD si propone di sancire nuovi diritti, nuove opportunità, nuovi doveri per i cittadini e la P.A., offrendo chiarezza e validità degli strumenti operativi all innovazione,in un ottica orientata alla massimizzazione della performance e della meritocrazia. Le linee guida possono essere così sinteticamente riportate: Diritto all uso delle tecnologie verso amministrazioni e gestori di servizi pubblici Opportunità per le amministrazioni di capitalizzare il dividendo dell efficienza che l innovazione digitale consente Obbligo di coordinarsi, di lavorare insieme, di fare sistema Più stringente definizione della validità dei documenti e dei procedimenti Maggiore sostenibilità organizzativa per l innovazione Creare un collegamento stretto con il ciclo della performance e la valutazione del merito D:Cosa si intende per Diritto all uso delle tecnologie verso amministrazioni e gestori di servizi pubblici? R:L art. 3 del CAD dispone le modalità con cui i cittadini e le imprese hanno diritto di usare le tecnologie informatiche per tutti i rapporti con qualsiasi amministrazione pubblica. Non sarà più possibile quindi per un amministrazione o per un gestore di pubblico servizio obbligare i cittadini a recarsi agli sportelli per presentare documenti cartacei, per firmare fisicamente domande o istanze, per fornire chiarimenti: per tutto questo deve essere sempre e dovunque disponibile un canale digitale sicuro (nella maggior parte dei casi costituito dalla PEC Posta Elettronica Certificata), certificato e con piena validità giuridica che permetta di dialogare con la PA dal proprio computer. Il nuovo codice amplia questo diritto anche verso i gestori di servizi pubblici. Il complesso della riforma della PA permette poi di esigere questo diritto anche mediante l uso

2 dell azione collettiva e introduce l effettiva disponibilità degli strumenti necessari nella valutazione dei dirigenti e delle organizzazioni. D:Che vuol dire capitalizzare il dividendo dell efficienza che l innovazione digitale consente? R:L art.15 del CDA regola le modalità da seguire per far si che i risparmi ottenuti attraverso l innovazione tecnologica e organizzativa (reingegnerizzazione dei processi) possano essere effettivamente misurati e così destinati in parte ad incentivare il personale interessato, secondo le norme del d.lgs. 150/09 ed in parte a finanziare nuova innovazione. D:Cosa si intende per obbligo di coordinarsi, di lavorare insieme e di fare sistema? R:Così come disposto dall art. 14 l amministrazione digitale non può lavorare a compartimenti stagni: se lo Sato ha l obbligo del coordinamento dell intero sistema, il nuovo codice impone alle regioni di promuovere un processo di digitalizzazione dell azione amministrativa coordinato e condiviso con le autonomie locali e dà il compito allo Stato di favorire la collaborazione interregionale. D:Com è prevista la definizione della validità dei documenti e dei procedimenti? R:Un intera sezione del nuovo CAD, e precisamente dagli art. 20 al 23-quater, prevede una radicale rivisitazione delle tematiche rispetto alla vecchia versione, diradando quel velo d incertezza l incertezza sul complesso processo di dematerializzazione dei documenti, disponendo le regole che rendono effettivamente praticabile l obiettivo di una PA senza carta. D:Cosa si intende per maggiore sostenibilità organizzativa per l innovazione? R:L innovazione non si fa da sola: richiede di essere sostenuta da una robusta organizzazione. Nel disposto dell art.17 il codice impone a tutte le amministrazioni centrali ( e suggerisce alle regioni e agli Enti locali) di costituire una nuova posizione di dirigente generale responsabile in toto dei processi di informatizzazione e crea una Conferenza perché questi soggetti si parlino, si confrontino, imparino a collaborare tra loro. D:Come viene regolato il ciclo della performance e la valutazione del merito all interno della P.A. digitale? R:Così come previsto dall art. 12 l attuazione delle disposizioni del CAD è comunque rilevante ai fini della misurazione e della valutazione della performance organizzativa e individuale dei dirigenti. Alle opportunità si accompagnano quindi sia gli incentivi, sia le sanzioni. L innovazione diventa per la prima volta materia di valutazione del personale, da cui dipendono sanzioni ed incentivi.

3 D:Il CAD è già operativo? R:A ben vedere il Decreto del Presidente del Consiglio dei Ministri del 9 febbraio 2011 ha dato il via ad un processo che consentirà di avere entro i prossimi 3 anni (in linea quindi con il Piano e-gov 2012) un'amministrazione nuova, digitale e sburocratizzata, individuando la seguente tempistica: Nei tre mesi alla entrata in vigore del DPCM, la PA utilizzerà soltanto la pec o altre soluzioni tecnologiche equivalenti per tutte le comunicazioni che richiedono una ricevuta di consegna ai soggetti che preventivamente hanno dichiarato il proprio indirizzo; o Nello stesso periodo saranno individuate le regole tecniche emanate da DigitPA sulla base delle quali potrà essere effettuata la consultazione degli indirizzi di posta elettronica certificata e l'estrazione di elenchi dei suddetti indirizzi da parte delle pubbliche amministrazioni. o Nello stesso termine saranno nominate le linee guida secondo cui le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, apposite convenzioni aperte all'adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. entro 4 mesi le PA individueranno un unico ufficio responsabile delle attività Ict; In altri termini, dovranno essere predisposti gli atti organizzativi propri delle pubbliche amministrazioni centrali con cui individuare l'ufficio dirigenziale generale, che sostituisce il centro di competenza di cui alla normativa previgente, e il responsabile dei sistemi informativi automatizzati. entro sei mesi i bandi di concorso saranno pubblicati sui siti istituzionali; Il decreto del Ministro per la pubblica amministrazione e l'innovazione ed i Ministri competenti per materia, di concerto con il Ministro dell'economia e delle finanze (che individua le operazioni di pagamento che i contribuenti potranno effettuare tramite tecnologie informatiche e della comunicazione) detta i tempi e le modalità per il riversamento, la rendicontazione da parte del prestatore dei servizi di pagamento e l'interazione tra i sistemi e i soggetti coinvolti nel pagamento, nonché il modello di convenzione che il prestatore di servizi di pagamento deve sottoscrivere per effettuare il servizio. Dovrà essere predisposto un Dpcm con cui sono fissati i termini e adottate le modalità secondo cui le PA comunicano atti e provvedimenti amministrativi nei confronti delle imprese. I siti web delle PA dovranno pubblicare tutti i dati indicati nell'art.54 c.1. entro 12 mesi saranno emanate le regole tecniche per dare piena validità alle copie cartacee e digitali dei documenti informatici e per l effetto saranno individuate: Le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche, salvo quanto gia' disposto in materia di firma digitale. o Le regole tecniche per la creazione di copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico.

4 o Le regole tecniche di creazione delle copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale. o Il dpcm sui certificati qualificati. o Le convenzioni aperte all'adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. o Il Dpcm che individua le basi di dati di interesse nazionale (insieme delle informazioni raccolte e gestite digitalmente dalle pubbliche amministrazioni, omogenee per tipologia e contenuto e la cui conoscenza è utilizzabile dalle pubbliche amministrazioni, anche per fini statistici, per l'esercizio delle proprie funzioni e nel rispetto delle competenze e delle normative vigenti). o Inoltre, la PA non potrà richiedere l'uso di moduli e formulari che non siano stati pubblicati sui propri siti e il cittadino fornirà una sola volta i propri dati: sarà onere delle amministrazioni (in possesso dei dati) assicurare,tramite convenzioni, l accessibilità delle informazioni alle altre PA richiedenti; entro 15 mesi le PA predisporranno appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili a fornire servizi e il ritorno alla normale operatività,così come previsti all'articolo 50-bis del decreto legislativo 7 marzo 2005, n. 8. D:Come saranno utilizzate le economie ottenute con l implementazione del nuovo CAD? R:Così come disposto dall art. 15 c.2-ter del CAD Le pubbliche amministrazioni, quantificano annualmente i risparmi effettivamente conseguiti in attuazione della riorganizzazione e digitalizzazione dell'azione amministrativa. Tali risparmi sono utilizzati, per due terzi per premiare, secondo criteri generali definiti dalla contrattazione collettiva integrativa, il personale direttamente e proficuamente coinvolto e per la parte residua ad incrementare le somme disponibili per la contrattazione stessa, e in misura pari ad un terzo per il finanziamento di ulteriori progetti di innovazione. D:Cosa si intende per copia informatica? R:Con l'introduzione delle lett. i-bis, i-ter, i-quater e i-quinques nell'art. 1 del CAD si è messo finalmente ordine nel dibattuto concetto di copia informatica. Partendo dall'assunto che forma informatica e contenuto del documento informatico sono due concetti da tenere distinti, si è arrivati a individuare varie categorie di copia informatica. Ulteriore elemento distintivo è la forma originariamente assunta dal documento copiato. La norma così dispone: i-bis) copia informatica di documento analogico: il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto; i-ter) copia per immagine su supporto informatico di documento analogico: il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto;

5 i-quater) copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari; i-quinquies) duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario; D:Cosa si intende per firma elettronica avanzata? R:Con l'aggiunta della nuova lettera q-bis dell'art 1, comma 1 del D.lgs. 82/2005 è stato reintrodotto, in Italia, il concetto di firma elettronica avanzata: q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. Tale firma, già presente in Italia in seguito al recepimento della direttiva comunitaria 1999/93/CE, è stata eliminata nel 2005 con l'introduzione della prima stesura del CAD che non ne faceva più menzione, contenendo solo i concetti di firma elettronica, firma elettronica qualificata e firma digitale. Con l'introduzione della firma elettronica avanzata si ha ora, finalmente, un quadro completo di firme elettroniche che tiene conto delle differenti soluzioni tecnologiche utilizzabili ai fini di garantire la corretta associazione di un documento ad un soggetto e l'integrità del documento stesso. A prescindere dagli scopi alla base di tale reintroduzione, per capirne di più bisognerà attendere le Regole Tecniche richiamate dall'art. 20 comma 3 e stabilite ai sensi dell'art. 71 del CAD. Risulta molto probabile che si sia voluto dare un concreto valore giuridico a strumenti di firma che non prevedono l'uso di certificati qualificati ma che, comunque, garantiscano l'univoca interconnessione con il firmatario, ne permettano la corretta identificazione e consentano l'individuazione di eventuali modifiche ai dati firmati. Tali strumenti, in effetti, potrebbero risultare utili in tantissimi casi in cui, più che di vera e propria firma/sottoscrizione, sia necessario ricorrere ad una firma/visto che assolva esigenze di sicurezza e integrità del documento piuttosto che di paternità e/o appropriazione del contenuto. Quel che per il momento è certo è che, al pari della firma digitale e delle altre firme elettroniche qualificate, la firma elettronica avanzata permetterà ai documenti firmati di avere lo stesso valore probatorio riconosciuto alle scrittura private ex art cod. civ.. D:Quali sono le nuove regole per il documento digitale? R:Con la modifica degli articoli 20 e seguenti del CAD è stata rivista la sistematica complessiva delle norme relative al valore giuridico e probatorio del documento informatico e delle sue copie.

6 La ricca attività normativa ha avuto lo scopo, a quanto si legge nella Relazione illustrativa del D.Lgs 235/2010, di dare al Codice una struttura più organica, completa e fruibile. Le riforme sono, inoltre, state dettate dall'evoluzione tecnologica e prendono in considerazione le modifiche dell'art. 1 relative alle copie informatiche dei documenti e alla firma elettronica avanzata. L'idoneità a soddisfare il requisito della forma scritta e il valore probatorio del documento informatico sottoscritto con firma elettronica semplice restano sempre liberamente valutabili in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento, mentre il successivo richiamo alle regole tecniche stabilite ai sensi dell'art. 71 viene allargato anche alla firma elettronica avanzata. Proprio la necessità di aggiungere, accanto alla firma elettronica qualificata e alla firma digitale, la nuova firma elettronica avanzata ha dettato le modifiche dell'art. 21, che parifica le tre tipologie di firma relativamente al loro valore giuridico, stabilendo che solo per le scritture private di cui all'art (primo comma, numeri 1-12) del codice civile è necessario ricorrere a una firma elettronica qualificata o alla firma digitale. D:Qual è il valore giuridico delle copie informatiche di documenti analogici? R:Il nuovo art. 22, poi, prevede grosse modifiche nell'assetto normativo relativo al valore giuridico delle copie informatiche di documenti analogici. Viene eliminata la debole figura del detentore e tutta la materia viene riequilibrata rispetto alle norme del codice civile che regolano le copie analogiche. L'attuale assetto normativo prevede, infatti, che le copie informatiche di atti pubblici, scritture private e documenti in genere, compresi atti e documenti amministrativi, spedite o rilasciate dai depositari pubblici autorizzati e dai pubblici ufficiali, abbiano la stessa efficacia degli originali analogici da cui sono tratte, purché ad esse sia apposta o associata una firma digitale o altra firma elettronica qualificata da parte di colui che li spedisce o li rilascia, richiamando espressamente gli artt e 2715 del codice civile. Le copie per immagine di documenti analogici non depositati hanno, invece, la stessa efficacia degli originali da cui sono tratte solo se la loro conformità all'originale è attestata da un notaio o altro pubblico ufficiale a ciò autorizzato. In assenza di tale attestazione, tali copie per immagine avranno comunque, così come accade per le copie analogiche, efficacia probatoria pari agli originali da cui sono tratte, a meno che non vengano disconosciute. Le copie per immagine formate nei modi appena richiamati, e comunque sempre nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71 del CAD, sono idonee anche ad assolvere gli obblighi di conservazione previsti per legge. Per la distruzione degli originali, però, nel caso di documenti unici, si dovrà comunque attendere ancora un decreto che, sulla base di ragioni di ordine pubblicistico, individui categorie di documenti per i quali sarà obbligatoria la conservazione dell'originale analogico (art. 22 CAD).

7 D:Qual è l efficacia probatoria dei documenti informatici? R:Per quanto riguarda le copie analogiche di documenti informatici, l'art. 23 riconosce loro la stessa efficacia probatoria degli originali da cui sono tratte, a meno che la loro conformità non sia espressamente disconosciuta. Al fine di evitare il rischio del disconoscimento in giudizio, si potrà richiedere ad un pubblico ufficiale a ciò autorizzato un'attestazione della loro conformità, in ogni loro componente, all'originale da cui sono tratte. D:Si possono ottenere duplicati informatici dei documenti informatici? R:L art. 23-bis stabilisce che, per ottenere duplicati informatici aventi lo stesso valore giuridico degli originali da cui sono tratti, basterà rispettare le regole tecniche stabilite ai sensi dell'art. 71 del CAD. Relativamente alle copie informatiche e agli estratti di documenti informatici sarà, invece, necessario ricorrere ad un pubblico ufficiale qualora si voglia evitare il rischio di un loro disconoscimento in giudizio. D:Cosa si intende per Documenti amministrativi informatici? R:Le novità in tema di documento amministrativo informatico sono contenute nel nuovo art. 23-ter: Gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. Continua, poi, al comma II, disponendo nuove indicazioni su come i documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo sottoscritti con firma elettronica avanzata acquisiscano l'efficacia prevista dall'art del codice civile. D:E possibile ottenere delle copie dei documenti amministrativi informatici? R:Per le copie informatiche di tali documenti, originariamente analogici, sarà necessaria un'attestazione di conformità rilasciata da un funzionario a ciò autorizzato. Per le copie analogiche di documenti informatici, invece, viene introdotto il Timbro Digitale (detto Glifo ), ovvero un contrassegno generato elettronicamente e apposto in fase di stampa che consente la verifica automatica della conformità del documento analogico a quello informatico. Infine, l'art. 23-quater conferma la modifica all'art del Codice Civile, inserendo nel novero delle riproduzioni meccaniche anche quelle informatiche. D:Quali sono i dispositivi sicuri di firma? R:Relativamente ai dispositivi sicuri di firma, sono state apportate alcune modifiche così da permetterne un più disteso utilizzo e rendere più solido l'impianto normativo. Con la modifica dell'art. 35 del CAD, infatti, è stata ribadita la necessità che ogni dispositivo sia dotato di certificazione di sicurezza ed è stato individuato, nell'organismo di

8 Certificazione di Sicurezza (OCSI), l'ente deputato ad accertare la conformità di tali dispositivi ai requisiti di sicurezza richiesti per la creazione di una firma qualificata. D:Cosa si intende per procedure automatiche di firma? R:Le modifiche apportate ex art. 35 hanno reso più semplice il ricorso alle procedure automatiche di firma, che oggi potranno essere validamente utilizzate previo consenso del Titolare del certificato di firma utilizzato. In pratica, si potrà tranquillamente utilizzare una procedura automatica di firma certificata senza presentare volta per volta il documento da firmare al titolare del certificato di firma, essendo sufficiente il suo consenso preventivo all'utilizzo di tale procedura. In altri termini, poi, è stata esplicitamente riconosciuta la validità delle certificazioni di sicurezza rilasciate da organismi all'uopo designati da un altro degli Stati membri e la cui investitura sia stata correttamente notificata alla Commissione Europea ai sensi dell'art. 11, paragrafo 1, lett. b, della Direttiva 1999/93/CE. D:Come si effettua la conservazione dei documenti digitali? R:Il D.lgs. 235/2010 ha introdotto alcune interessanti modifiche anche in tema di conservazione digitale. Il nuovo comma 1-bis dell'art. 44 stabilisce, infatti, che il sistema di conservazione deve essere gestito da un responsabile [della conservazione] che lavori d'intesa con il responsabile del trattamento dei dati personali di cui all'art. 29 del D.Lgs. 196/2003 e, ove presente, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi. Inoltre, il successivo comma 1-ter, oltre a ribadire la possibilità che il processo di conservazione sia affidato in outsourcing, riconosce anche la possibilità che soggetti terzi certifichino la conformità di tale processo a quanto stabilito dall'art. 43 del CAD (Riproduzione e conservazione dei documenti) e dalle regole tecniche stabilite ai sensi dell'art.71 del codice medesimo. D:Chi sono i Conservatori? R:Secondo quanto stabilito dall art. 44/Bis, i soggetti pubblici e privati che svolgono attività di conservazione dei documenti e di certificazione dei relativi processi, possono accreditarsi presso il DigitPa per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità e sicurezza. I soggetti privati che decidono di dedicarsi a tale attività sono costituiti in società di capitali con capitale sociale non inferiore a euro D:Cosa si intende per continuità operativa? R:L'articolo 50-bis introduce una piccola rivoluzione all'interno della PA italiana rendendo obbligatoria la definizione di un piano di continuità operativa e di un piano di disaster recovery.

9 In relazione ai nuovi scenari di rischio e alla crescente complessità dell attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell informazione, le pubbliche amministrazioni dovranno, quindi, predisporre piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. Fino a questo momento, in Italia ci si è posti esclusivamente il problema di stabilire procedure onde ovviare ai rischi di una possibile perdita, cancellazione, distruzione o danneggiamento di tutti i dati, principalmente dati personali, che fossero di notevole rilevanza per cittadini, aziende, enti e amministrazioni. A tale scopo sono state sviluppate svariate tecniche di back-up che permettono di duplicare su differenti supporti di memoria le informazioni e, quindi, mettere al sicuro tali dati. Nel caso in cui si dovessero verificare guasti o manomissioni, è vero che il backup consente di recuperare i dati, ma è altrettanto vero che lo stesso non prevede anche la duplicazione delle risorse informatiche necessarie per utilizzare questi dati; considerato, inoltre, che a seguito di eventi di maggiore impatto non è possibile ripristinare in tempi brevi l operatività, si può ben comprendere quanto sia importante il disagio creato. D:Cosa si intende per Business Continuity? R:Oggi viene definita Business Continuity quel complesso di regole, metodi e tecnologie da implementare per garantire il ripristino non solo dei dati, ma anche dei sistemi informativi, delle risorse umane e strutturali colpiti da un evento disastroso. Come deve essere organizzata la continuità operativa all interno della P.A.? Con l introduzione del CAD diventa, quindi, obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : a) un piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. D:Quali sono le modifiche in tema di PEC nei rapporti con la PA? R:L art. 6 del CAD viene integralmente riscritto dalla novella, al fine di allinearne il contenuto alle modifiche che, di volta in volta, ne hanno ritoccato il testo fino quasi a renderlo una rappresentazione stratificata delle volontà del legislatore succedutesi nel

10 tempo. Viene ulteriormente rafforzato l'obbligo per le pubbliche amministrazioni di utilizzare la posta elettronica certificata per tutte le comunicazioni in cui sia necessaria una ricevuta di invio e una di consegna con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata. La comunicazione alla PA del proprio indirizzo di posta elettronica certificata comporta, infatti, due ordini di conseguenze: in primo luogo, essa costituisce espressa accettazione del dichiarante dell invio degli atti e documenti che lo riguardano da parte dell amministrazione; in secondo luogo, comporta un vincolo, solo per il soggetto, a ricevere tali atti di cui è necessaria la conferma di avvenuta consegna e ricezione presso quella casella di posta. Inoltre, al fine di razionalizzare e uniformare il sistema di consultazione degli indirizzi di posta elettronica, viene disposta l'emanazione di un apposito regolamento a cura di DigitPA, sentito il Garante Privacy. A tal riguardo assumono fondamentale importanza le modifiche dell'art. 48 del codice che hanno lo scopo di allineare il CAD su vari aspetti della posta elettronica certificata regolati successivamente al 2005 in altri atti normativi e regolamentari. In altri termini, l'unica vera novità è l'equiparazione dell'invio tramite PEC alla Notificazione per mezzo della posta salvo che la legge disponga diversamente e non più nei soli casi previsti dalla legge. D:Possono presentarsi istanze e dichiarazioni tramite PEC? R:Con la modifica dell'art. 65 del CAD si riconosce la Posta Elettronica Certificata come valido sistema di presentazione telematica di istanze e dichiarazioni alla PA: le istanze saranno valide, però, solo ove le credenziali di accesso alle PEC siano state rilasciate previa identificazione del titolare e ciò sia attestato dal Gestore di PEC nel corpo del messaggio o in un apposito allegato. La precedente formulazione della lett. c-bis), del comma 1 dell'art. 65 del CAD, invece, faceva riferimento alle sole istanze inviate tramite la posta elettronica certificata rilasciati gratuitamente dalla PA ai cittadini ai sensi dell'art. 16 della Legge 2/2009 (la cosiddetta CEC) D:Qual è la differenza tra firma digitale e firma autenticata? R:Nella nuova definizione di firma digitale cambia l'inquadramento di genere: la firma digitale non è più un particolare tipo di firma elettronica qualificata, ma di firma elettronica avanzata. Nell'incrocio delle tre definizioni si perde, a livello definitorio, il riferimento della firma digitale al dispositivo sicuro, contenuto solo nella definizione di firma elettronica qualificata. Inalterate rimangono le definizioni di chiave privata e chiave pubblica, nonché di certificato qualificato, tutti connessi alla firma digitale che, pertanto, già a livello

11 definitorio, continua ad essere l'unico tipo di firma elettronica legata ad una determinata tecnologia. Così come previsto dall art. 24 la firma digitale continua a riferirsi univocamente a un solo soggetto e a un documento o insieme di documenti, ed è imprescindibilmente subordinata alla validità e completezza del certificato qualificato, secondo quanto disciplinato nelle relative regole tecniche. La rilevante novità disposta nell art. 25 (dedicato alla firma autenticata), consiste nell'aver allargato l'area delle firme autenticabili, sganciandole dalla necessaria sussistenza di un certificato qualificato (o addirittura da qualsivoglia certificato elettronico). Nella precedente stesura della norma l'autenticazione poteva avere ad oggetto solo la firma digitale o elettronica qualificata, con una verifica del relativo certificato da parte del notaio. La nuova autenticazione, invece, può riguardare qualsiasi firma elettronica, inclusa l'acquisizione digitale della sottoscrizione autografa. D'altro canto, il nuovo art. 52 bis della legge 89/1913 (come introdotto dal D.Lgs. n. 110/2010 sull'atto pubblico informatico notarile) ha già previsto che le parti possano sottoscrivere l'atto pubblico informatico, in presenza del notaio, anche con una semplice firma elettronica consistente nell'acquisizione digitale della sottoscrizione autografa. Occorre rilevare, inoltre, che il nuovo art. 68 bis della legge 89/1913 rimanda a successivi decreti per individuare le tipologie di ulteriori firme elettroniche che potranno essere utilizzate per la firma dell'atto pubblico. In mancanza di tali decreti, l'area di tali firme elettroniche non appare concretamente identificabile; analogamente potrebbe ritenersi per le firme elettroniche prive di certificato qualificato o elettronico di cui all'art. 25 del nuovo CAD. D:Quali sono i dispositivi sicuri e procedure per la generazione della firma? R:L art. 35 individua i dispositivi sicuri e le procedure utilizzate per la generazione delle firme stabilendo i requisiti di sicurezza tali da garantire che la chiave privata: a) sia riservata; b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni; c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi. I dispositivi sicuri e le procedure di cui devono garantire l'integrità dei documenti informatici a cui la firma si riferisce. I documenti informatici devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma secondo quanto previsto dalle regole tecniche di cui all' articolo 71. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall'allegato III della direttiva 1999/93/CE è accertata, in Italia, dall'organismo di certificazione della sicurezza informatica in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. L'attuazione dello schema nazionale non deve determinare nuovi o maggiori oneri per il bilancio dello

12 Stato. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto. La conformità di cui sopra è altresì riconosciuta se accertata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE. D:Come si intende migliorare la qualità dei servizi e delle informazioni on line nei siti della P.A.? R:Con l emanazione della direttiva n. 8/2009 del Ministero per la pubblica amministrazione e l innovazione per la riduzione dei siti web delle PA e per il miglioramento della qualità dei servizi e delle informazioni on line al cittadino, il Governo ha voluto fornire alle PA un indirizzo utile a realizzare il loro processo di digitalizzazione, così come previsto dal Codice dell Amministrazione Digitale, che, all art. 12, stabilisce: le pubbliche amministrazioni adottano le tecnologie dell informazione e della comunicazione nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati, con misure informatiche, tecnologiche, e procedurali di sicurezza, secondo le regole tecniche di cui all art. 7. L art. 15, inoltre, evidenzia che: la riorganizzazione delle pubbliche amministrazioni avviene attraverso il migliore e più esteso utilizzo delle tecnologie dell informazione e della comunicazione nell ambito di una coordinata strategia che garantisca il coerente sviluppo del processo di digitalizzazione tenendo conto degli effettivi risparmi derivanti da tale razionalizzazione in considerazione dei progetti di investimento in materia di innovazione tecnologica. La direttiva intende sviluppare, promuovere e diffondere nelle PA un processo volto a fornire, attraverso i propri siti web, un accesso diretto, semplificato e qualitativamente valido alle informazioni e ai servizi resi all utenza, migliorandone la fruibilità. Di conseguenza, la direttiva ha voluto porre in evidenza come, nell ambito della riorganizzazione delle PA, assuma un ruolo rilevante l adozione di iniziative e strumenti di trasparenza proiettati alla costruzione di un rapporto efficace con i cittadini. Per realizzare questi obiettivi gli strumenti più idonei e di immediata percettibilità sono sicuramente i siti web delle PA, attraverso i quali è possibile diffondere in maniera veloce e proficua le informazioni e l accessibilità ai servizi per i cittadini. Attraverso l emanazione della direttiva n. 8 del 2009, e in particolare in base all art. 4, che stabilisce: al fine di assicurare la pubblicazione e l aggiornamento dei contenuti dei siti secondo criteri che favoriscano il pieno raggiungimento degli obiettivi di conoscenza e di servizio al cittadino e di favorire l applicazione del decreto legislativo n. 82 del 7 marzo 2005 recante codice dell amministrazione digitale, il ministro per la pubblica amministrazione e l innovazione, entro 90 giorni dall emanazione della presente direttiva, rende disponibile, per la consultazione pubblica, sul proprio sito un documento denominato Linee guida per i siti web della PA, si è voluto dare un indirizzo omogeneo alle PA sulle modalità di costruzione dei siti web, che fino ad ora erano rimaste all iniziativa dei singoli enti, col conseguente utilizzo di modalità differenti a seconda della discrezionalità di ogni singola pubblica amministrazione. Le stesse linee guida intendono, quindi, fornire le indicazioni necessarie alla razionalizzazione dei contenuti on line, la riduzione dei siti web pubblici obsoleti e il miglioramento della qualità dei servizi anche attraverso la riduzione dei costi di gestione

13 degli stessi. I criteri che le linee guida intendono regolamentare riguardano, dunque, aspetti tecnici, normativi e relativi alle modalità di sviluppo e diffusione dei siti web delle PA. Attraverso le linee guida per i siti web della PA si intende raggiungere non solo l obiettivo dell efficacia e dell efficienza dell azione amministrativa, ma anche la customer satisfaction, intesa come soddisfazione del cittadino (che tutte le pubbliche amministrazioni dovrebbero assicurare) attraverso la omogeneizzazione e la standardizzazione dei processi che conducono alla fruibilità dell informazione in modalità digitale nei servizi delle PA. In tal modo, si riuscirebbe a rendere applicabili ai siti web le caratteristiche di qualità intese come accertata utilità, semplificazione dell interazione tra amministrazione e utenza, trasparenza dell azione amministrativa, facile reperibilità e fruibilità dei contenuti, costante aggiornamento e si concretizzerebbe il progetto di digitalizzazione attraverso le regole del Codice dell Amministrazione Digitale consentendo l accesso telematico ai dati e ai documenti delle pubbliche amministrazioni. Le Linee guida del 6 maggio 2011, aggiornate al D.Lgs. 235/10, insieme alle Linee guida per la predisposizione del Programma triennale per la trasparenza e l'integrità della Commissione indipendente per la Valutazione, la Trasparenza e l'integrità delle amministrazioni pubbliche-civit (Delibera n. 105/2010) e alle Linee guida emanate dal Garante della Privacy in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web (Deliberazione del 2 marzo 2011), forniscono, inoltre, le operazioni utili a realizzare le diverse tipologie di siti (siti istituzionali e siti tematici), le indicazioni per la riduzione e l aggiornamento dei siti obsoleti e per la migliore qualità dei servizi resi ai cittadini. Le linee guida contengono, anche, le regole da applicare per il trattamento dei dati e dei documenti pubblici e infine forniscono gli orientamenti e principi generali utili a offrire elementi di indirizzo per le pubbliche amministrazioni interessate a confrontarsi su temi innovativi come la valutazione da parte degli utenti, le rilevazioni di qualità attraverso il benchmark tra amministrazioni, il confronto e l'interazione dei cittadini. D:Quali sono le modalità previste per la fruizione del dato informatico? R:Stando a quanto contenuto nel Codice della PA Digitale (CAD) le amministrazioni devono stipulare - attenendosi alle linee guida emanate da DigitPA - delle convenzioni per consentire l accesso alle banche dati di cui sono titolari. In realtà già la versione precedente del CAD prevedeva qualcosa di simile, ma ciò che cambia è l esistenza di linee guida specifiche a cui le amministrazioni devono adeguarsi. La modifica dell art. 58, comma 2, del CAD introdotta dal D. Lgs. 235/10 prevede che ai sensi dell articolo 50, comma 2, nonché al fine di agevolare l acquisizione d ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, sulla base delle linee guida redatte da DigitPA, sentito il Garante per la protezione dei dati personali, apposite convenzioni aperte all adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. Le convenzioni

14 valgono anche quale autorizzazione ai sensi dell articolo 43, comma 2, del citato decreto del Presidente della Repubblica n. 445 del Ai sensi dell art. 58 comma 2 dunque, le amministrazioni devono stipulare - attenendosi alle linee guida emanate da DigitPA - delle convenzioni per consentire l accesso alle banche dati di cui sono titolari. Le linee guida pubblicate sul sito di DigitPa costituiscono una prima bozza di indicazioni volte a regolamentare le convenzioni tra pubbliche amministrazioni titolari e amministrazioni richiedenti, al fine di mettere a disposizione tra PA banche dati accessibili per via telematica. Il testo è stato sottoposto al Garante per la protezione dei dati personali, con lo scopo di rappresentare delle regole quanto più corrispondenti alla disciplina in materia di privacy. Il testo sarà aggiornato da DigitPA. A ben vedere la norma di cui all art. 58 non è una novità assoluta, nel senso che il testo precedente alla modifica prevedeva: Le pubbliche amministrazioni possono stipulare tra loro convenzioni finalizzate alla fruibilità informatica dei dati di cui sono titolari. Il CNIPA, sentito il Garante per la protezione dei dati personali, definisce schemi generali di convenzioni finalizzate a favorire la fruibilità informatica dei dati tra le pubbliche amministrazioni centrali e, d intesa con la conferenza unificata di cui all art. 8 del decreto legislativo 28 agosto del 97 n. 281, tra le Amministrazioni centrali medesime, le regioni e le autonomie locali. La novità introdotta dal D.Lgs. 235/10 non è però di poco conto, stabilisce infatti che le Amministrazioni si adeguino a tale precetto del Codice dell Amministrazione Digitale (D.Lgs. 82/05) rispettando le linee guida emanate da DigitPa. Inoltre, il comma 3 dell art. 58, sempre introdotto dal D.Lgs. 235/10, prevede un monitoraggio da parte di DigitPa per verificare che le PA diano applicazione alla norma. In conseguenza di tale controllo, DigitPa dovrà riferire annualmente al Ministero per la pubblica amministrazione e l innovazione e alla commissione per la valutazione, la trasparenza e l integrità delle amministrazioni pubbliche l effettivo rispetto della norma. Qualora ciò non avvenga sarà lo stesso Presidente del Consiglio dei Ministri - in base all art. 58, comma 3 bis - a prevedere un termine entro il quale le amministrazioni interessate debbano stipulare tali convenzioni. Decorso inutilmente il termine, il Presidente del Consiglio dei Ministri può nominare un commissario ad acta incaricato di predisporre le predette convenzioni. È stata dunque introdotta dal legislatore una forma di controllo fino ad ora inesistente. Si consideri che nel vecchio articolo non erano prescritti dei tempi relativi alla stipulazione di dette convenzioni, tanto è vero che molte pubbliche amministrazioni non si sono ancora adeguate; si pensi, inoltre, che il Codice dell Amministrazione Digitale risale al 2005 e che nel corso di questi anni si sono verificati non pochi problemi di coordinamento tra le pubbliche amministrazioni, relativi proprio alla possibilità di rendere accessibili banche dati fra Enti. Addirittura lo scambio di informazioni non è stato possibile, spesso, proprio per mancanza di direttive regolanti il trasferimento dei dati. D:Quali sono le linee guida da seguire per garantire la fruibilità dei dati delle P.A.?

15 R:L ultimo intervento in ordine temporale so certamente Le linee guida del 22 aprile 2011, per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni ex art. 58, comma 2, D.Lgs 82/05, che hanno lo scopo di dare le indicazioni necessarie a predisporre le convenzioni per la corretta ed efficiente fruibilità dei dati tra le PA. In particolare, le linee guida prevedono: l individuazione dei destinatari, con i termini di adempimento previsti dal recente D. Lgs. 235/2010, oltre che la normativa cui ci si riferisce; il contesto di riferimento; le modalità di raccolta e formazione dei dati, con le indicazioni per la raccolta dei dati anche ai fini statistici, come previsto dalla normativa vigente in materia; i servizi messi a disposizione e le modalità di accesso che dovranno essere utilizzate per l accesso ai dati delle pubbliche amministrazioni, prevedendo modalità residuali per casi particolari; gli aspetti di sicurezza e privacy per l accesso ai dati delle pubbliche amministrazioni; i criteri per la definizione dei livelli di servizio che le convenzioni potranno stabilire; uno schema di convenzione, con un contenuto minimo delle disposizioni che dovranno essere previste; le modalità di pubblicazione della convenzione, anche ai fini delle attività di monitoraggio poste in capo a DigitPA. I destinatari sono tutti i soggetti di cui all art. 2, commi 2 e 4, del D.Lgs. 82/2005 che hanno la necessità di accedere ai dati di altre amministrazioni per svolgere adempimenti istituzionali. Le Amministrazioni aderiscono alle regole di cui alle linee guida, facendo riferimento al Sistema Pubblico di Connettività (SPC) che ai sensi dell art. 73 del CAD, consente di assicurare il coordinamento informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l omogeneità nella elaborazione e trasmissione dei dati stessi, finalizzati allo scambio e diffusione tra le Pubbliche Amministrazioni e alla realizzazione di servizi integrati. I soggetti che invece non aderiscono al SPC dovranno comunque prevedere misure di sicurezza all interno delle convenzioni, in grado di rispettare le indicazioni previste dalle linee guida. La raccolta delle informazioni deve avvenire verificando che le informazioni possano essere acquisite attraverso la fruibilità dei dati in possesso di altre pubbliche amministrazioni o soggetti pubblici. Le modalità di accesso per la fruibilità dei dati sono: la cooperazione applicativa e l accesso via web. In particolari casi le pubbliche amministrazioni potranno utilizzare modalità di accesso alternative: soluzioni di trasferimento di file in modalità FPT e posta elettronica certificata Sarà necessario porre particolare attenzione alla tutela dei dati personali: le convenzioni, infatti, dovranno prevedere una policy sul corretto trattamento dei dati ed evitare attraverso opportune regole di sicurezza la possibilità di duplicazione dei dati. Le convenzioni redatte in base alle linee guida sopra descritte, dovranno contenere in allegato anche le regole tecniche relative alle specifiche banche dati oggetto della

16 convenzione, e dovranno contenere le indicazioni relative all amministrazione erogatrice che mette a disposizione l acceso ai dati di cui è titolare, le indicazioni relative all amministrazione richiedente che accede ai dati di un amministrazione erogatrice, le norme di riferimento in base alle quali viene stipulata la convenzione e, infine, gli obiettivi specifici per i quali si stipula la convenzione. Dovrà, inoltre, essere data comunicazione della stipulazione della convenzione all ufficio dati pubblici di DigitPa da parte dell Amministrazione erogatrice. D:Con il nuovo CAD è stato predisposto un servizio di pagamento per i contribuenti digitali? R:L art. 5 del nuovo CAD affronta un nodo cruciale per le vite di cittadini ergo contribuenti digitali: i pagamenti alla pubbliche amministrazioni. Già previsti nel 2005, hanno faticato a decollare per la mancanza di regole tecniche e per il mancato coraggio dello switch-off che in generale rende sofferta e prolungata la transizione verso l amministrazione digitale. Nella stesura della normativa è possibile riscontrare tre novità introdotte dall articolo in questione: l estensione a regioni e enti locali, l indicazione di strumenti operativi di pagamento elettronico, l apertura a soggetti privati per la riscossione, in qualità di payment service provider. Ad ogni modo, per una migliore comprensione, si riporta il testo integrale dell art. 5 del nuovo CAD che così dispone: Le pubbliche amministrazioni consentono, sul territorio nazionale, l'effettuazione dei pagamenti ad esse spettanti, a qualsiasi titolo dovuti, fatte salve le attività di riscossione dei tributi regolate da specifiche normative, con l'uso delle tecnologie dell'informazione e della comunicazione. Le pubbliche amministrazioni centrali possono avvalersi, senza nuovi o maggiori oneri per la finanza pubblica, di prestatori di servizi di pagamento per consentire ai privati di effettuare i pagamenti in loro favore attraverso l utilizzo di carte di debito, di credito o prepagate e di ogni altro strumento di pagamento elettronico disponibile. Il prestatore dei servizi di pagamento che riceve l importo dell operazione di pagamento, effettua il riversamento dell importo trasferito al tesoriere dell ente, registrando in apposito sistema informatico, a disposizione dell amministrazione, il pagamento eseguito e la relativa causale, la corrispondenza di ciascun pagamento, i capitoli e gli articoli d entrata oppure le contabilità speciali interessate. Con decreto del Ministro per la pubblica amministrazione e l innovazione ed i Ministri competenti per materia, di concerto con il Ministro dell economia e delle finanze, sentito DigitPA sono individuate le operazioni di pagamento interessate dai commi 1 e 2, i tempi da cui decorre la disposizione di cui al comma 1, le relative modalità per il riversamento, la rendicontazione da parte del prestatore dei servizi di pagamento e l interazione tra i sistemi e i soggetti coinvolti nel pagamento, nonché il modello di convenzione che il prestatore di servizi di pagamento deve sottoscrivere per effettuare il servizio. (Il decreto in questione dovrà essere adottato entro sei mesi dall entrata in vigore del D. Lgs. n. 235/2010, dunque il prossimo giugno, ndr).

17 Le regioni, anche per quanto concerne i propri enti e le amministrazioni del Servizio sanitario nazionale, e gli enti locali adeguano i propri ordinamenti al principio di cui al comma 1. (cioè anche questi enti devono consentire i pagamenti elettronici, ndr) D:Quali sono le regole da seguire per organizzare il Disaster Recovery secondo la vigente normativa? R:Richiamando quanto già espresso affrontando analoghe questioni, fino all entrata in vigore del CAD, in Italia ci si era posti esclusivamente il problema di stabilire procedure onde ovviare i rischi di una possibile perdita, cancellazione, distruzione o danneggiamento di tutti i dati, principalmente dati personali, che fossero di notevole rilevanza per cittadini, aziende, enti e amministrazioni. Il D.Lgs. 196/2003, infatti, tra le misure minime di sicurezza, prevede (al numero 18 dell'allegato B) che il titolare fornisca agli incaricati istruzioni relative al salvataggio almeno settimanale dei dati. L'unico obbligo, quindi, era quello di prevedere opportuni sistemi di back-up che permettono di duplicare su differenti supporti di memoria le informazioni e, quindi, mettere al sicuro tali dati. In seguito a guasti, manomissioni, o disastri il backup consente però di recuperare solo i dati salvati, ma non prevede anche la duplicazione delle risorse informatiche necessarie per utilizzare questi dati e a seguito di eventi di maggiore impatto non è possibile ripristinare in tempi brevi l operatività dell Ente, mettendo così in serio pericolo il suo ruolo istituzionale. Il discorso si è così evoluto in quello che oggi viene definito Disaster Recovery ovvero quel complesso di regole, metodi e tecnologie da implementare per garantire il ripristino non solo dei dati ma anche dei sistemi informativi colpiti da un evento disastroso. Ovviamente, un buon Piano di disaster recovery che permetta di preservare dati e tecnologie, non assicura, però, una veloce ripresa delle attività lavorative. Occorre fare un ulteriore passo in avanti e parlare di continuità operativa, cioè garantire il ripristino non solo dei dati ed i sistemi informativi, ma anche le risorse umane e strutturali colpite da un evento disastroso. Ecco come il disaster recovery diventa solo una parte di un più complesso insieme di regole per gestire i danni provocati da eventi disastrosi e permettere un rapido ripristino delle attività istituzionali. La realizzazione di un processo di continuità operativa e di disaster recovery prevede varie fasi per la sua realizzazione e la redazione dei rispettivi piani è solo una delle attività da compiere. Facendo espresso riferimento alle risultanze dei lavori realizzati da esperti del settore, alcune delle fasi più importanti nella predisposizione di una soluzione che permetta di gestire la continuità operativa (BCM business continuity management) possono essere così sintetizzate: Analisi dell'organizzazione e analisi dell'impatto scelta della strategia

18 Implementazione della strategia Manutenzione Verifica Aggiornamento continuo D:Cosa si intende per analisi dell organizzazione e analisi dell'impatto nell ambito del Disaster Recovery? R:Per poter sviluppare un adeguata soluzione di continuità operativa e disaster recovery occorre innanzitutto comprendere la propria organizzazione, individuando tutti i processi di cui si compone. Subito dopo occorre stabilire l importanza di ogni singolo processo nel complesso dell attività istituzionale. Strumento essenziale in questa fase è la BIA (Business Impact Analisys), ovvero un analisi dell impatto prodotto nel tempo dall interruzione di ogni singolo processo. Tale analisi permette, quindi, di identificare, quantificare e qualificare gli impatti sull attività in caso di perdita, interruzione o arresto dei processi aziendali, fornendo le basi sulle quali definire un appropriata strategia di continuità operativa e Disaster Recovery. L'analisi di impatto andrà, poi, incrociata con l'analisi dei rischi (la probabilità che un determinato evento disastroso possa colpire l'ente) per valutare correttamente quali siano le risorse e le strutture più a rischio. È ovvio che le possibili variante di queste analisi sono numerose; in queste poche righe offriamo alcuni spunti relativi al disaster recovery (approntati da esperti del settore), che possono essere mutuati anche per la continuità operativa. D:Esistono delle strategie già elaborate e delle modalità predefinite per la BIA? R:Relativamente al disaster recovery sono numerose le strategie elaborate e una corretta BIA permetterà di valutare la strategia migliore da seguire. L analisi d impatto dovrà permettere di classificare ogni singolo processo sulla base di due parametri fondamentali: RTO (Recovery Time Objective), tempo massimo per cui è possibile tollerare la sospensione del processo; RPO (Recovery Point Objective), tempo massimo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di un guasto improvviso. Sulla base di questi parametri si potrà valutare quale tra le strategie attualmente esistenti scegliere: è possibile, infatti, classificarne vari livelli differenti che si differenziano per tempi di ripristino e costi da sostenere per la loro realizzazione. Soluzioni cd. Cold site (predisposizione di un secondo sito senza un sito non immediatamente operativo), permettono, ad esempio, di contenere i costi, ma allungano i tempi di ripristino. D altro canto soluzioni cd. di Mirror Site (soluzioni che prevedono la creazione di un sito informatico identico a quello di produzione con un mirroring dei

19 dati in tempo reale e quindi immediatamente operativo) permettono il ripristino dei processi in tempi brevissimi ma a costi molto alti. La strategia più adatta sarà quindi quella in grado di garantire il rispetto dei parametri di RTO ed RPO individuati nella fase di analisi dell attività, con il minor costo. D:Quali sono le caratteristiche delle fasi di implementazione e collaudo nel Disaster Recovery? R:Una volta individuata la Strategia più adatta alle esigenze dell amministrazione potrà iniziare la fase di Implementazione. Tale fase si svolge attraverso due momenti che procedono in modo parallelo: la predisposizione delle strutture di continuità operativa e disaster recovery; la predisposizione di un'adeguata organizzazione del personale per la gestione dell'evento disastroso; la redazione di un Piano di continuità operativa e disaster recovery. In particolare, in una fase iniziale di adeguamento delle strutture, i piani di Continuità operativa e Disaster Recovery consisteranno in procedure minimali atte ad evidenziare soprattutto ruoli e macroprocessi; un maggior dettaglio del Piano sarà fornito in parallelo alla predisposizione delle strutture e verrà completato al termine degli interventi previsti dalla strategia selezionata. A valle di questi due momenti paralleli, un momento conclusivo avrà l obiettivo di collaudare la validità e l efficacia delle soluzioni implementate. Nella fase di implementazione sarà indispensabile anche definire la struttura organizzativa (unità organizzative e loro composizione, autonomie decisionali e livelli gerarchici) che meglio si adatta a governare lo stato di crisi in cui l'ente potrebbe venire a trovarsi. Scopo della struttura organizzativa per la continuità sarà quello di assicurare la corretta esecuzione dei Piani, l attivazione e l utilizzo delle strutture di continuità ed il coordinamento delle attività pianificate e delle eccezioni da adottare nello stato di crisi. D:Cosa si intende per stato di crisi? R:Tra le varie attività del recovery occorrerà definire il processo che porta alla dichiarazione dello stato di crisi. Sarà necessario, infatti, definire il processo attraverso il quale si articola la gestione della crisi: i criteri di valutazione della crisi (portata dei danni e perimetro dei processi coinvolti) e di identificazione degli scenari di riferimento previsti nella strategia di continuità; le modalità di dichiarazione dello stato di crisi e di ripristino della normale operatività. D:Esistono regole codificate per una corretta manutenzione, per la verifica e per aggiornamento continuo del sistema? R:L insieme di soluzioni e interventi implementati dall'ente a supporto della continuità operativa possono mantenere reale validità ed efficacia solo se, a seguito dell'implementazione iniziale, viene mantenuta un ottica di miglioramento continuo del processo di continuità.

20 Da un lato occorrerà mantenere il Piano e la stratregia di continuità costantemente allineati all evoluzione dell'ente; dall'altro si dovrà continuamente testare il piano per verificare che sia il personale, che le strutture siano sempre in grado di rispondere con efficacia agli eventi disastrosi. Ogni verifica comporterà una successiva fase di adeguamento e miglioramento del processo sulla base delle criticità riscontrate. Sono numerosi gli standard internazionali in tema di disaster recovery e continuità operativa ai quali le Amministrazioni Pubbliche possono fare riferimento per avere una guida nell'implementazione di idonee soluzioni. Citiamo, ad esempio, lo standard BS per la gestione della continuità operativa o lo standard ISO/IEC per il disaster recovery delle infrastrutture tecnologiche. Soprattutto nell'individuazione di adeguate soluzioni tecnologiche sarà fondamentale il ruolo di DigitPa (di concerto con il Garante per la protezione dei dati personali) che, secondo quanto previsto dall'art. 50-bis del CAD, dovrà definire delle "linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche" e monitorarne la corretta implementazione. D:Che cos è il Glifo? R:Grande novità del CAD. Il comma 5 dell art. 23-ter specifica che al fine di assicurare la provenienza e la conformità all originale, sulle copie analogiche di documenti informatici, è apposto a stampa, sulla base dei criteri definiti con linee guida emanate da DigitPA, un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell articolo 71 e tale da consentire la verifica automatica della conformità del documento analogico a quello informatico. A tal riguardo è opportuno evidenziare la mancanza di regole tecniche in merito al rivoluzionario Glifo ma nel frattempo diverse sono le soluzioni proposte da pubbliche amministrazioni che così permettono di stampare i documenti informatici direttamente scaricandoli dai siti web istituzionali. D:Quale valore assume una comunicazione a mezzo fax con l entrata in vigore del CAD? R:Una recente sentenza del TAR di Lecce riabilita il FAX come strumento "idoneo" e giuridicamente valido, per le comunicazioni tra pubbliche amministrazioni. Un autorevole indirizzo della Giurisprudenza, commenta la sentenza alla luce delle indicazioni sulla Posta elettronica certificata contenute nel Codice della PA Digitale. LA recentissima sentenza del TAR Lecce Sez. I, n del , che si inserisce nel solco di un orientamento giurisprudenziale consolidato (ex multis Cons. di Stato, sez. V, sent. del , n. 5213; T.A.R. Sicilia Catania, sez. III, sent. del , n. 861; T.A.R. Lombardia Brescia, sez. II, sent. del , n. 247), ripropone l assunto che le comunicazioni a mezzo fax, poste in essere tra diverse pubbliche amministrazioni siano idonee a determinare conoscenza legale da parte del soggetto pubblico destinatario. Premesso l indiscusso obbligo di accettazione delle Pubbliche Amminsitrazioni delle istanze inviate via fax dai privati cittadini, pare opportuno rilevare tuttavia come, sebbene alla luce dell art. 47 CAD (d. lgs. n. 82/2005), così come novellato dal d. lgs. 235/2010, il Legislatore sembri prediligere la strada maestra delle comunicazioni