L’odissea dei conservatori accreditati

L’odissea dei conservatori digitali accreditati ha inizio il 14 settembre 2016 quando AgID, sulla base dell’articolo 29 del CAD vigente, sospende gli accreditamenti dei conservatori digitali. Questo perché, nell’articolo 29, viene richiesto ai soggetti che intendono ottenere l’accreditamento di allegare, tra l’altro, una relazione di valutazione della conformità rilasciata da un organismo di valutazione accreditato da ACCREDIA, unico organismo nazionale autorizzato a svolgere attività di accreditamento (determinazione normativa derivante da un Regolamento europeo del 2008).

ACCREDIA emette rapidamente – il 16/12/2016 – la Circolare 36/2016, stabilendo lo Schema di accreditamento degli Organismi di Certificazione, per il processo di certificazione dei Conservatori a Norma, secondo le disposizioni dell’Agenzia per l’Italia Digitale. Queste regole l’AgID le ha associate anche al perfezionamento dei procedimenti di accreditamento (circa 70) già completati. Questo significa che i soggetti già accreditati devono anch’essi presentare queste relazioni di conformità.

ACCREDIA poi distingue la valutazione sul conservatore accreditato in due fasi: prima valutazione e/o rinnovo e sorveglianza periodica, secondo un ciclo biennale. Per le due fasi ACCREDIA distingue i tempi di verifica in base ai requisiti posseduti dallo stesso soggetto-conservatore in relazione allo schema eIDAS ovvero il Regolamento UE 910/2014.

Qui sorge la prima perplessità, visto che ACCREDIA stabilisce che: se il TSP (nota: Trust Service Provider – Prestatore di servizi fiduciari) che intende essere certificato come operatore conservatore è già certificato per lo schema eIDAS, la verifica sarà limitata all’accertamento dell’applicazione dei requisiti sistemici e dei controlli operativi della ETSI EN 319 401 e della Lista di Riscontro predisposta da AgID. Inoltre, l’Organismo di Certificazione prenderà atto in tutte le verifiche, dell’esito delle valutazioni a fronte della Norma UNI CEI ISO/IEC 27001:2014 registrando eventuali NC maggiori (casistiche di non conformità) da dover investigare con un tempo aggiuntivo uguale al tempo per una sorveglianza su tale norma. Per tali operatori, già accreditati eIDAS, la verifica a fronte della Norma ETSI EN 319 401 richiederà 5 giorni in sede iniziale e di rinnovo e 3 giorni in sede di sorveglianza. Non sono previste riduzioni di alcun tipo su tali livelli minimi di tempo.

Per gli operatori non già certificati eIDAS, la verifica richiederà due giorni aggiuntivi per la verifica della conformità al regolamento citato.

Per la valutazione dei requisiti individuati dalla lista di riscontro predisposta da AgID sulla applicazione delle norme di cui ai precedenti §§ 2.a e 2.b, se in sede di valutazione iniziale o di rinnovo saranno necessari almeno 6 giorni uomo, mentre in sede di sorveglianza, saranno necessari almeno 3 giorni-uomo. Non sono previste riduzioni di alcun tipo su tali livelli minimi di tempo. Gli Organismi di Certificazione potranno valutare, caso per caso, l’esigenza di tempo aggiuntivo, sulla base della complessità del processo di conservazione.

Salta agli occhi che 13 giorni-persona per le verifiche sono un numero che appare immediatamente elevato.

L’applicazione della filosofia dei TSP e dell’EN 319 401 sembra quindi essere sproporzionata. Questo perché l’articolo 24 di eIDAS fa riferimento a principi che si riferiscono all’emissione di certificati qualificati. Quando le regole stabilite in tale articolo sono di carattere organizzativo generale esse sono duplicati di altri requisiti richiesti in termini di qualità e sicurezza nella Circolare AgID n. 65 del 10 aprile 2014 sull’accreditamento dei conservatori digitali. Tra l’altro in questa circolare si richiede obbligatoriamente la certificazione ISO 27001 e i soggetti che hanno già ottenuto l’accreditamento sono certificati sulla base di SOA (Statement Of Applicability).

Questo aspetto fa ipotizzare la presenza di ulteriori controlli doppione con conseguenti oneri per le aziende coinvolte. Non sarebbe stato sbagliato valutare anche le dimensioni del soggetto coinvolto in termini di volumi di documenti trattati, perché una serie di verifiche, soprattutto per le questioni archivistiche, dipendono significativamente da quanti documenti vengono elaborati.

Fortunatamente il 27 febbraio 2017 viene pubblicata una nuova circolare che riduce le giornate di vigilanza in funzione della non applicazione della 319 401 e si passa a 8 giorni-persona nei casi standard. Per il resto nessuna novità. Compresa una lista di riscontro che circola tra gli addetti ai lavori in modo informale. Sarà mai resa pubblica visto che di fatto lo è già?

Riflessioni sul tema saranno fatte il prossimo 23 marzo a Roma, in occasione dell’evento nazionale DIG.Eat.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here