Conservatori elettronici, terremoto in vista

15/11/2017

È ormai passato circa un anno dalla pubblicazione dello schema di accreditamento degli Organismi di Certificazione destinati a certificare i cosiddetti Conservatori di documenti informatici, ai sensi dell’art. 29, comma 1, del D.lgs. 7 marzo 2005, n. 82.

Tale attività fu richiesta pressantemente da AgID ad Accredia in risposta alla richiesta tassativa presente nel D. Lgs. 179/2016, che ne prevedeva esplicitamente l’attuazione, garantendo anche la conformità all’Art. 24 del Regolamento UE 910/2014 “eIDAS”.

Lo schema è stato pensato fin da subito come strumento per offrire fiduciasia a fronte del rispetto dei livelli di servizio dei conservatori, sia, in modo ancor più significativo, per fornire fiducia alla PA e ai cittadini tutti sulla robustezza delle infrastrutture ICT deputate allo svolgimento di tale processo. Non si può ignorare, infatti, che già oggi e sempre più nel futuro i conservatori di documenti informatici avranno la responsabilità di garantire una vera e propria “resilienza” nei confronti di tutte le minacce che insistono sulla propria infrastruttura e, di riflesso, sui servizi offerti. Ciò significa che un conservatore deve avere una particolare attenzione alla capacità della propria infrastruttura e della organizzazione che la governa, di rispondere agli effetti delle minacce che insistono su tale “macchina operativa” in modo adeguato e coerente con gli SLA definiti sia contrattualmente, sia per legge. Quindi, dovranno essere garantite la disponibilità, l’integrità e l’accessibilità dei dati e delle informazioni che questi materializzano.

Parlare di “resilienza” è sia tecnicamente corretto, sia un riferimento giuridico applicabile. Infatti, la conservazione dei documenti informatici sarà rivolta anche alle informazioni di privati cittadini, talora dati sensibili, che in quanto “persone interessate” si attenderanno legittimamente l’applicazione del Regolamento UE 679/2016 in merito alla Protezione dei Dati Personali(GDPR). Lo stesso Regolamento, all’Art. 32 cita proprio la caratteristica della “resilienza” quale fattore di qualificazione dei trattamenti dei dati e quale responsabilità afferente all’ambito della cosiddetta “accountability” di coloro che, in quanto conservatori, dovranno sentirsi e ritenersi coinvolti a pieno titolo nel processo di trattamento di tali dati e conseguenti informazioni. Anche la Direttiva NIS riporta il concetto di resilienza, che ormai appare destinato a contenere e sostanziare quello di sicurezza delle informazioni e di capacità di garantire la sopravvivenza di un’attività istituzionale o d’affari, conglobando a pieno diritto i principi di continuità operativa e capacità di ripristino dei dati e relative informazioni.

In questo periodo è in corso l’ennesima revisione del Codice dell’Amministrazione Digitale, che fa tabula rasa del processo di accreditamento così come lo conosciamo, e rinvia a linee guida future per definire come sarà il nuovo processo. 

Ecco perché vale la pena di trarre le somme di un anno di attività, nata in sordina e piano piano cresciuta, sulla base delle indicazioni cogenti del processo di certificazione, indicate dalla stessa AgID al mercato dei conservatori. Oggi, il drappello di conservatori a norma già in possesso di una certificazione di conformità ai requisiti definiti da AgID e riportati nello schema di accreditamento può essere considerato un campione significativo di tutti i conservatori esistenti e i dati e le analisi condotte su tale processo hanno un significato che va oltre il mero parere personale di chi scrive.

Qualcuno, sulla scorta di dicerie o di pregiudizi culturali, magari alimentati da altre esperienze di certificazione, che nulla hanno a che vedere con l’argomento qui trattato, potrebbe essere portato a pensare che questo processo (accreditamento e certificazione) sia stato solo un orpello burocratico. Oggi possiamo dimostrare l’utilità e il grande valore che garantisce la certificazione accreditata da Accredia del processo di conservazione di documenti informatici a norma di legge.
Per esercizio e per opportuna rendicontazione abbiamo fatto una sintesi delle molteplici anomalie riscontrate nei processi di certificazione condotti dagli Organismi di certificazione accreditati sui processi gestiti dai conservatori a norma. Di seguito una sintesi – davvero ridotta all’essenziale, senza riferimenti e con il testo dei rilievi estremamente sintetizzato – di tali aree di debolezza, talora anche significativamente ripetitive. (Fonte: https://www.agendadigitale.eu)