Qualificazione e accreditamento: cosa cambia con il nuovo CAD?

Alla luce delle novità apportate dalla ennesima nuova versione del Codice di Amministrazione Digitale, che verrà definitivamente approvata a dicembre, è opportuno porre massima attenzione sulla modifica dell’art. 29 “Qualificazione e Accreditamento”.

L’attenzione deve essere focalizzata su:

  1. regolamento Eidas, Regolamento UE n° 910/2014

  2. abrogando articolo 44-bis della corrente versione del CAD

  3. nuovo ruolo delle Linee Guida come strumento che da un lato fissa le regole attuative dei requisiti normativi, e dall’altro, almeno nelle intenzioni del legislatore, fornisce un approccio verso uno strumento più elastico rispetto ai tradizionali decreti

  4. articolo 14 comma 3 del DPR 68 del DPR 68/2005 che riguarda i fornitori di servizi di Posta Elettronica Certificata.

Per ciò che concerne il regolamento Eidas ricordiamo brevemente che esso disciplina le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche e stabilisce le norme relative ai servizi fiduciari ovvero:

    1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;

    2. creazione, verifica e convalida di certificati di autenticazione di siti web;

    3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

Sono fuori dal Regolamento Eidas, evidentemente, sia i servizi di conservazione documentale, sia quelli relativi alla PEC, strumento tutto italiano che non rispetta i requisiti per essere un servizio di recapito qualificato certificato ai sensi dello stesso Eidas.

Il legislatore nell’allineare il CAD ad Eidas nel 2016 si è trovato non solo di fronte a un cambiamento di nomenclatura in cui i fornitori di firme elettroniche e marche temporali dovevano essere “qualificati” in conformità alla terminologia Eidas e non più “accreditati”, ma anche a dover tentare di definire un livello di qualità accettabile per i fornitori dei servizi di conservazione documentale e di posta elettronica certificata.

Cos’è un livello di qualità accettabile per i fornitori di servizi di conservazione?

In questo potremmo prendere in prestito l’approccio della normativa sugli appalti pubblici che, nelle sue varie declinazioni, distingue tre tipologie di requisiti:

  1. morali

  2. di capacità economico-finanziaria

  3. tecnico-professionali.

Quindi per i fornitori di servizi di conservazione e di PEC l’articolo 29 e l’articolo 44-bis del CAD attualmente in vigore recitano (si riporta stralcio):

Art. 29. (Qualificazione e accreditamento)

1. I soggetti che intendono avviare la prestazione di servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata, di gestore dell’identità digitale di cui all’articolo 64, di conservatore di documenti informatici di cui all’articolo 44-bis presentano all’AgID domanda, rispettivamente, di qualificazione o di accreditamento, allegando alla stessa una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità accreditato dall’organo designato ai sensi del Regolamento CE 765/2008 del Parlamento europeo e del Consiglio del 9 luglio 2008 e dell’articolo 4, comma 2, della legge 23 luglio 2009, n. 99.

2. Il richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del Regolamento eIDAS.

3. Fatto salvo quanto previsto dall’articolo 44-bis, comma 3, del presente decreto e dall’articolo 14, comma 3, del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.

Art. 44-bis (Conservatori accreditati)

1. I soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso AgID secondo le regole tecniche di cui all’articolo 71.

2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31.

3. I soggetti privati di cui al comma 1 sono costituiti in società di capitali con capitale sociale non inferiore a euro 200.000.

allo stesso tempo il comma 3 dell’art. 14 del DPR 68/2005 recita:

3. I richiedenti l’iscrizione nell’elenco dei gestori di posta elettronica certificata diversi dalle pubbliche amministrazioni devono avere natura giuridica di società di capitali e capitale sociale interamente versato non inferiore a un milione di euro.

Le condizioni dell’articolo 24 del Regolamento Eidas nelle quali devono trovarsi sia gli aspiranti fornitori di servizi fiduciari qualificati che di servizi di conservazione o PEC accreditati ci sembrano tutto sommato regole di buon senso (impiego di personale adeguato, misure di sicurezza adeguate, ecc.) che sicuramente meritano per servizi di conservazione o PEC di essere meglio declinate in documenti attuativi (fino ad oggi regole tecniche o DPR nel caso della PEC).

Per i requisiti di tipo morale resta per la PEC il requisito di onorabilità relativo all’attività bancaria di cui al testo unico delle leggi in materia bancaria e creditizia 385/93 (requisito valido anche per i conservatori accreditati come da Circolare AgID 65 del 10 aprile 2014), mentre questo stesso requisito precedentemente presente anche per i certificatori di soluzioni di firma (art. 26 CAD) è stato di fatto abrogato dal CAD dal D.LGS. 179/2016. Che questo significhi che è più importante la moralità di un fornitore di servizi PEC che garantisce solo una trasmissione riconosciuta nel territorio nazionale rispetto ad uno di servizi di firma digitale qualificata che invece identifica un soggetto utente de visu o con mezzi equivalenti e fornisce uno strumento potentissimo in sede probatoria? Se questo è, già nella corrente versione del CAD sui requisiti morali ci sono delle cose da rivedere.

Quali i requisiti economico-finanziari?

Rispetto ai requisiti di capacità economico-finanziaria, questi si possono sintetizzare in una tabella

Per ciò che concerne i requisiti di tipo tecnico-professionale, sicuramente una parte, ad un livello generico di dettaglio, sono presenti nell’articolo 24 EiDAS, ma per tutti i fornitori sia di servizi che richiedono accreditamento che qualificazione l’attuale CAD richiede una relazione di valutazione della conformità rilasciata da un organismo di valutazione accreditato presso Accredia. Per i fornitori di servizi di conservazione che intendano accreditarsi questo richiede il rispetto dei requisiti della cosiddetta lista di riscontro AgID che riprende, fra l’altro, anche dei concetti della ISO 27001.

Cosa accadrà con il nuovo CAD nella sua formulazione corrente?

L’articolo 44-bis sarà abrogato, mentre l’articolo 29 sarà cambiato come segue:

Nella sostanza avremo due fonti normative di riferimento:

  1. un DPCM per i requisiti di onorabilità, tecnologici e organizzativi, nonché delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi. Si presuppone, che a questo punto anche il capitale sociale sarà oggetto di detto DPCM;

  2. delle linee guida che definiscano le modalità di presentazione all’AgID della domanda, di qualificazione o di accreditamento.

Ai fini delle linee guida di cui al punto 2) ci si chiede che fine farà la relazione di conformità di cui parla il CAD attualmente in vigore. Certo la relazione di conformità per i servizi fiduciari di cui tratta EiDAS (firma digitale, marcatura temporale, recapito certificato qualificato…e quindi non la PEC) continuerà a essere richiesta in quanto requisito di una fonte di rango europeo, ma cosa dire della PEC e dei servizi di conservazione? La prima sparirà dal panorama normativo? Sarà adeguata nei suoi requisiti tecnici ai servizi di recapito certificato qualificato EiDAS…magari modificando il DPR 68/2005 o riformulandone i requisiti nelle “linee guida” dell’articolo 71 CAD che sostituiscono le vecchie “regole tecniche”? E come verrebbe poi eventualmente eliminata la PEC se questo dovesse essere l’approccio dopo i numerosi anni che ci sono voluti per farla digerire alle Pubbliche Amministrazioni? E come faranno le linee guida nel momento in cui si vorrà proporre qualcosa che è in contrasto con un requisito contenuto in un DPCM o DPR? Può una linea guida per quanto strumento ammirevolmente elastico, ma assimilabile grosso modo alle vecchie “circolari” nelle fonti normative, contravvenire a un decreto? Quale sarà la sorte della lista di riscontro AgID per i conservatori che intendano accreditarsi e che costituisce un investimento non di poco conto soprattutto per le piccole e medie imprese? Ci sarà qualcosa a tal proposito nelle linee guida o forse i DPCM, di cui al nuovo comma 2 dell’art. 29 del CAD da approvare, dovranno in tal senso contenere qualcosa in quanto essi devono definire anche i requisiti “tecnologici ed organizzativi” di cui a pieno diritto fanno parte sia la lista di riscontro che la relazione di conformità? Certo queste ultime due sarebbero meglio governate da linee guida in quanto essendo relative a strumenti tecnologici, di organizzazione e di processo avrebbero bisogno di uno strumento normativo molto più “agile”.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here