La formazione e conservazione degli atti amministrativi rappresenta l’attività peculiare della Pa. Per questo deve essere realizzata interamente in forma elettronica, con quattro pilastriprotocollo informaticofirma digitaleposta elettronica certificata e archiviazione.

Il documento informatico è al centro dell’intero impianto normativo del Codice della PA digitale. Non si può infatti avere una PA veramente “digitale” senza che la sua attività peculiare – cioè la formazione, trasmissione e conservazione della documentazione amministrativa – sia realizzata interamente in forma elettronica, anche perché la prospettiva, o per lo meno la speranza, è una drastica riduzione della carta. Ma il processo di digitalizzazione necessita di una serie di irrinunciabili requisiti, tecnologici ed organizzativi, che il Codice prende in considerazione, pur concentrandosi soprattutto su alcuni aspetti.

Se adottiamo la classica suddivisione dei processi di lavoro in “front-office” e “back-office”, possiamo separare, sia logicamente che funzionalmente, le due diverse facce della digitalizzazione: quella che consente di rapportarsi in nuova e più efficace ai propri “clienti”, cioè i cittadini e le imprese   , e quella che permette di gestire tutti i procedimenti, applicando al documento informatico i vari requisiti legali che sono richiesti per una piena validità.

Le varie questioni inerenti il front-office sono ampiamente trattate, nel Codice: introduzione di nuovi diritti, modalità di accesso ai dati, caratteristiche dei siti, eccetera. Ma ciò che prioritariamente vanno considerate sono le condizioni che abilitano all’offerta verso l’esterno di nuovi servizi, le quali sono tutte interne. Attinenti, cioè al back-office.

Semplificando, possiamo dire che siano quattro, i pilastri su cui poggia il back-office elettronico:

  • la firma digitale;
  • il protocollo informatico;
  • la posta elettronica certificata (PEC);
  • l’archiviazione digitale.

La firma digitale consente l’inequivocabile attribuzione della paternità degli atti; il protocollo informatico permette di assegnare loro un posto preciso, nei sistemi informativi, tracciandone ogni movimento; grazie alla PEC, è possibile invece trasmetterli con certezza da un’amministrazione all’altra; l’archiviazione digitale consente infine di conservare adeguatamente tutta la documentazione prodotta.

Il combinato disposto dei quattro rende possibile il passaggio del documento informatico, diventato valido e rilevante a tutti gli effetti di legge, dalla teoria della normativa alla pratica dell’attività amministrativa. E’ importante sottolineare che, a parte l’ipotetica riduzione del volume di carta consumata, ciò che lo rende realmente insostituibile, rispetto all’equivalente cartaceo, è la sua tracciabilità. Infatti, in tutte le operazioni che lo riguardano (produzione, immissione, conservazione, riproduzione e trasmissione di dati, documenti o atti amministrativi) devono essere indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate, sia il soggetto che ha effettuato ciascuna operazione. Lo stesso vale per il sistema di conservazione dei documenti. In questo modo, sarà possibile non solo garantire la massima trasparenza dei procedimenti, ma anche velocizzarli notevolmente.

La firma digitale

La firma digitale è uno dei più complessi e controversi argomenti, tra quelli proposti dal nuovo Codice, oggetto anche di modifiche rispetto alla prima versione del Decreto legislativo pubblicata in Gazzetta Ufficiale. Prevista nella nostra legislazione sin dal 1997 (con la prima delle leggi Bassanini), è stata però sinora molto poco applicata, a causa del fatto, probabilmente, che questa tecnologia permette di compiere il maggiore balzo in avanti.

Il Codice ha dovuto tenere conto anche delle norme di applicazione della europea in materia (1999/93/CE), più aperta – rispetto all’impianto normativo precedente – specialmente nei confronti del commercio elettronico (che ha bisogno di molti meno vincoli, rispetto alla Pa). Il Codice, in sostanza, opera una sintesi tra le due impostazioni, e distingue solo tra due tipi di sottoscrizione: “firma elettronica” e “firma digitale”.

La firma elettronica è la forma più “leggera”, equivalente a tante pratiche di autenticazione già adottate in rete, come la semplice password, il PIN, il riconoscimento biometrico (iride, impronta digitale), lo stesso invio di posta elettronica. Quindi senza una certificazione accreditata. Come valore di prova, un documento informatico così firmato è liberamente valutabile dal giudice, tenuto conto delle sue caratteristiche specifiche. La firma digitale vera e propria (o firma elettronica qualificata) ha invece l’efficacia della “scrittura privata”: l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria. Pertanto essa serve a conferire piena efficacia ai documenti informatici ed alle loro copie, secondo le prescrizioni del codice civile sulle copie degli atti. Le copie così sottoscritte sostituiscono anzi gli originali, ad ogni effetto di legge, e così è possibile rinunciare completamente a tutte le forme di validazione che sono legate alla carta: firma autografa, sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.

La firma digitale è strettamente personale, e deve riferirsi in maniera univoca ad una sola persona, la quale deve custodirne il dispositivo con diligenza, per evitare furti, smarrimenti o anche solo danneggiamenti. Per la sua generazione, serve un “certificato qualificato”, il quale viene fornito da un certificatore accreditato presso il Cnipa. Concretamente, questa tecnologia si basa su un sistema di cifratura a doppia chiave, costituito da una chiave privata – custodita all’interno di una carta dotata di microchip, assieme ai dati del titolare – e da una chiave pubblica, liberamente accessibile. Nel momento in cui c’è una trasmissione di documenti, mittente e destinatario possono verificare l’identità reciproca, grazie all’utilizzo delle rispettive chiavi, poiché lo scambio riesce solo se si combinano chiave pubblica e chiave privata di ciascuno.

Per il Codice della PA digitale, negli scambi tra o con pubbliche amministrazioni, gli unici tipi di carte consentiti sono la Carta d’Identità Elettronica e la Carta Nazionale dei Servizi, ed entrambe possono essere utilizzate anche con enti diversi da quelli che le hanno emesse. Dal 1° gennaio 2008, l’unica forma di autenticazione consentita, per accedere ai servizi in rete delle PA, sarà proprio tramite una delle due carte, ad eccezione dei servizi on line del Ministero delle Finanze, che attualmente richiedono solo la digitazione del PIN, cioè una firma elettronica “leggera”.

Lo scenario che si profila è dunque quello di una PA “blindata”, rispetto all’autenticazione informatica: di fatto saranno legittime solo le azioni sottoscritte con firma digitale, che si tratti di formare un documento, di inviarlo con la PEC (una forma di cifratura della spedizione, anziché del documento) o anche solo di accedere ai servizi di un certo sito web. I privati, invece, saranno liberi di usare le formule che preferiscono. E per quanto riguarda il commercio elettronico, per lo meno quello rivolto ai consumatori (“B2C”) continuerà a prevalere, con ogni probabilità, l’autenticazione mediante firma “leggera”.

Il protocollo informatico

Il protocollo informatico è l’elemento sul quale l’intervento del Codice della Pa digitale è stato più leggero. E’ anzi l’unico elemento di rilevo sopravvissuto, tra quelli contenuti nella più importante norma in maniera di digitalizzazione emanata prima del Codice – ovvero il DPR 445/2000, noto anche come Testo unico sulla documentazione amministrativa – col quale si integra a formare un unico quadro inscindibile. Il protocollo informatico è molto più della mera digitalizzazione del lavoro svolto dall’ufficio protocollo. Esso è infatti definito dal legislatore come “l’insieme delle risorse di calcolo, degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati dalle amministrazioni per la gestione dei documenti”, ovvero, tutte le risorse tecnologiche necessarie alla realizzazione di un sistema automatico per la gestione elettronica dei flussi documentali.

L’origine di queste disposizioni va fatta risalire alla Legge 241/1990 sulla trasparenza amministrativa, la quale, unita alla validità giuridica del documento elettronico sancita dalla Legge 59/1997, ha dato la spinta a quella che, seppure largamente incompiuta, viene definita come la “rivoluzione digitale nella P.A.”. Essa si è poi concretizzata con l’emanazione delle norme relative alla firma digitale (DPR 513/97) e al protocollo informatico (DPR 428/98). Tali norme sono state successivamente inserite nel DPR 445/200, il quale ha anche fissato al 1 gennaio 2004 la data entro la quale le amministrazioni erano tenute alla gestione automatizzata del sistema di protocollo. Una scadenza in buona parte disattesa (anche se mancano statistiche ufficiali in proposito), ma che ha anche consentito di accelerare i processo generale che qui stiamo descrivendo. Altre norme (il DPCM 31/10/2000 sulle regole tecniche e la circolare AIPA/CR/28), hanno infine reso possibile l’interoperabilità tra sistemi di protocollo indipendenti, oltre che di integrare il protocollo informatico con altri strumenti come la firma digitale e la posta elettronica, anche se la soluzione definitiva si è avuta solo con l’introduzione delle norme sulla posta elettronica certificata.

Il protocollo informatico, secondo il DPR445/2000, è il “motore” attorno al quale ruota il sistema di gestione documentale, poiché esso consente di creare in tempo reale un data base contenente i dati essenziali (numero di protocollo, data di registrazione, mittente o destinatario, oggetto, impronta) di ciascun documento, assieme alla sua segnatura, ovvero all’apposizione all’originale delle informazioni riguardanti il documento stesso, consentendone un’identificazione univoca e, quindi la possibilità di trattarlo in maniera del tutto automatizzata. Si tratta della “gestione automatizzata del flusso dei documenti”, o “workflow”: ciascun documento, dopo essere stato acquisito da email o disco, viene classificato, virtualmente “fascicolato”, in base al titolario di archivio, e certificato. Il titolario di classificazione permettere all’Ente di archiviare i documenti protocollati a seconda dell’argomento o degli argomenti cui essi fanno riferimento, ponendo così le basi per una gestione dell’intero patrimonio documentale dell’amministrazione.

Ogni amministrazione deve individuare al proprio interno un insieme di “Aree organizzative omogenee” (AOO), per ciascuna delle quali deve dotarsi di un sistema di protocollo informatico che realizzi alcune funzionalità di base (nucleo minimo), per fornire almeno il servizio di certificazione. L’effettuazione di una registrazione di protocollo (ovvero l’operazione con la quale si memorizzano le informazioni principali relative al documento nel registro di protocollo) corrisponde alla assunzione di responsabilità da parte dell’amministrazione, consentendo così di certificare l’esistenza del documento a partire da una certa data. Tutto ciò ha un valore probatorio. Ad esempio, l’Amministrazione non può negare di aver ricevuto un determinato documento, se ciò è avvenuto, così come può eventualmente dimostrare di aver prodotto un certo atto, qualora necessario.

La posta elettronica certificata (PEC)

L’adozione della posta elettronica certificata è forse la maggiore novità del Codice, rispetto al Testo Unico sulla documentazione amministrativa (DPR 445/2000), per quanto riguarda la gestione dei procedimenti. L’idea è semplice e geniale: inserire in una “busta di trasporto”, ovviamente virtuale, i documenti digitali, gestita da un certificatore accreditato, in modo da garantire la certezza del mittente, del destinatario e dell’ora di invio. La PEC è dunque destinata a diventare lo standard delle comunicazioni ufficiali tra le amministrazioni pubbliche, oltre che con queste e gli altri soggetti. Secondo il Codice, infatti, le amministrazioni utilizzano la PEC per ogni scambio di documenti e informazioni con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo.

La PEC – che è regolamentata dal DPR 11 febbraio 2005, n. 68 – va utilizzata, in particolare, per tutte le comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. Il suo uso equivale alla notificazione per mezzo della posta e il suo valore è tale che la data e l’ora di trasmissione e di ricezione di un documento informatico trasmesso per mezzo di essa sono opponibili a terzi. Tale strumento diventa pertanto obbligatorio per tutti gli enti pubblici, i quali dovranno istituire almeno una casella di posta elettronica istituzionale ed una casella di posta elettronica certificata per ciascun registro di protocollo. Dovranno inoltre utilizzare la posta elettronica per tutte le comunicazioni con i propri dipendenti.

Dal punto di vista funzionale, si tratta di un sistema che sfrutta una caratteristica già presente nei software che gestiscono l’email, i quali generano automaticamente le ricevute dei messaggi da parte dei server. In pratica, i messaggi email producono automaticamente delle informazioni sui movimenti che compiono. Il DPR 68/2005 prescrive di accompagnare tali messaggi, nel caso si voglia ricorrere alla PEC, con una “busta di trasporto”, sottoscritta con firma elettronica, che garantisca la provenienza, l’integrità e l’autenticità del messaggio e che certifichi anche data ed ora di spedizione e di ricezione. Quindi viaggeranno, in un unico insieme, sia il messaggio che i dati relativi al suo trasporto. In questo modo, il gestore del sistema (cioè il provider dell’email) può validare i dati che compongono la busta, tramite la propria firma digitale, consentendo di accertare che il tutto sia integro. Analoga validazione può essere compiuta dal gestore del sistema di posta del ricevente, per certificare l’avvenuta ricezione. Le informazioni relative ai messaggi trasmessi – chiamate in gergo tecnico “log” – devono essere conservate dal gestore del sistema per trenta mesi, tutelando così gli utenti da eventuali cancellazioni accidentali.

Per poter utilizzare il sistema, bisogna disporre di una casella email presso un provider PEC. Ma affinché si possa usufruire delle ricevute di avvenuta consegna (o di mancata consegna), anche il destinatario deve essere dotato di casella PEC. I prerequisiti per poter utilizzare questo innovativo sistema sono dunque due:

1) essere inseriti in una rete di interlocutori che adottino la posta elettronica certificata;

2) disporre di un gestore di posta abilitato al servizio.

Rispetto al primo punto, è già in vigore l’obbligo di comunicare gli indirizzi PEC delle Aree Organizzative Omogenee di ogni ente all’Indice delle Pubbliche Amministrazioni (www.indicepa.gov.it), una prescrizione per ora largamente disattesa, ma destinata a diventare lo standard. Per quanto riguarda il secondo punto, è necessario rivolgersi ad un gestore di PEC abilitato, incluso in un apposito elenco tenuto dal Cnipa, proprio come avviene per la firma digitale. La gamma dei gestori di posta è dunque destinata a restringersi molto, dovendo necessariamente essere limitata ai pochi soggetti che soddisferanno gli stringenti requisiti richiesti.

L’archiviazione digitale

La conservazione digitale dei documenti – ormai da annoverare tra le funzioni che le amministrazioni dovranno garantire – rappresenta una delle più grosse opportunità che il Codice offre loro, ed al tempo stesso anche uno dei maggiori problemi.

L’opportunità si capisce subito: grazie alla digitalizzazione, si potranno evitare – o per lo meno ridurre di molto – gli ingombranti archivi che occupano sedi e scantinati, che si espandono sempre più e rendono via via arduo il reperimento dei documenti. Oltre tutto, gli archivi digitali si possono anche moltiplicare su più sedi, mettendoli così al sicuro anche da eventi catastrofici. Ma non solo: un documento digitale è velocemente rintracciabile in ogni momento, ed inoltre conserva memoria di tutto il percorso che ha compiuto e di tutte le azioni svolte su di esso, comprese le consultazioni. Ciò rende realmente trasparente qualsiasi procedimento: si pensi solo al fatto che – a differenza di quanto avviene nel cartaceo – nessuno può prendere visione di un documento senza lasciare traccia.

I problemi però non mancheranno. Innanzi tutto, bisognerà decidere cosa fare di tutti i documenti cartacei già in archivio. Qualsiasi originale cartaceo può essere digitalizzato e archiviato; se sottoscritto con la firma digitale, il file risultante potrà tranquillamente sostituire l’originale. L’incognita principale sta però nei costi. Passare con lo scanner i documenti, firmarli digitalmente, registrali su un supporto adeguato, farne almeno una copia di sicurezza in un’altra sede: la “dematerializzazione” è un insieme di operazioni oneroso, per il quale il Codice stesso suggerisce di valutare il rapporto tra costi e benefici. Inoltre, alla base di tutto, c’è proprio un dilemma tecnico: i supporti informatici cambiano nel tempo, e così pure i formati, e pertanto, archiviando un file oggi su un certo tipo di disco (si pensi a quanto velocemente si è passato da floppy a CD-Rom ed ora a DVD), non si è affatto sicuri di poterlo utilizzare domani, perché magari non sarà più disponibile quel tipo di lettore e quel formato di file sarà di sicuro superato. E così bisognerà attrezzarsi con nuove procedure per il rinnovo periodico degli archivi.

Allo stato attuale, caratterizzato da una fase di transizione dal cartaceo al digitale, possiamo trovarci di fronte ad una casistica varia.

1) Il primo caso è quello concettualmente più semplice: la conservazione dei documenti già digitali. Secondo il Codice, “gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni costituiscono informazione primaria ed originale, da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge”. La formazione di ciascun documento richiede naturalmente la firma digitale, ed è anche necessario che siano indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate, sia il soggetto che ha effettuato l’operazione.

2) Può invece capitare di creare copie digitali di documenti originali cartacei: Se non sono unici, tali copie sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte, ma solo se la loro conformità all’originale è assicurata dal responsabile della conservazione mediante l’utilizzo della propria firma digitale.

3) Quando i documenti cartacei originali sono unici, la sostituzione valida con una copia informatica si ha nel caso in cui la conformità all’originale sia autenticata da un notaio o da altro pubblico ufficiale autorizzato, con dichiarazione allegata al documento informatico.

4) Infine, servirà senz’altro di poter disporre di copie cartacee da originali digitali, per poterci lavorare più agevolmente. Tali documenti “possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali”.

Ciascuna amministrazione dovrà dotarsi di un Sistema di conservazione dei documenti informatici, con relativo responsabile. Tale sistema deve garantire:

  • l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento;
  • l’integrità del documento;
  • la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative;
  • il rispetto delle misure di sicurezza previste dal Codice della privacy.

I quattro pilastri del procedimento informatizzato

Protocollo informatico – Le quattro fasi di progetto

1 – Preparazione al progetto

Va dall’attività di sensibilizzazione a quella di programmazione, evidenziando una fase iniziale di start-up, la creazione del gruppo di lavoro e la definizione del “pert” del progetto.

2 – Riprogettazione dei processi

Include la rilevazione, l’analisi organizzativa e le proposte di razionalizzazione e si conclude con l’approvazione da parte del vertice dell’architettura proposta.

3 – Realizzazione del progetto informatico

Parte dallo studio di fattibilità del sistema informativo (a supporto della razionalizzazione organizzativa), comprendendo anche l’eventuale capitolato e gara, e termina con la realizzazione, l’installazione ed il collaudo dell’applicazione software individuata.

4 – Verifica dei risultati

Inizia con il test sull’eventuale unità pilota (con i necessari aggiustamenti), si sviluppa con la diffusione del progetto sull’intera struttura organizzativa e prevede, in conclusione, l’implementazione di un sistema di monitoraggio sull’andamento delle attività, al fine di rilevare e correggere gli eventuali scostamenti, nonché cogliere nuove esigenze ed opportunità di gestione.

Firma autografa e firma digitale

Firma autografa Firma digitale
Riconducibile al soggetto Direttamente Riconducibile al soggetto solo attraverso il possesso di un segreto
Legata al documento attraverso il supporto fisico Legata indissolubilmente al contenuto del documento
Verifica diretta e soggettiva (attraverso il campione) Verifica indiretta e oggettiva (tramite una terza parte fidata
Facilmente falsificabile, ma il falso è riconoscibile Non falsificabile senza conoscere il segreto, ma falso irriconoscibile
Deve essere autentica per impedire il ripudio Ripudio impossibile

Fonte: InfoCamere

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here