Documenti informatici: ecco finalmente le regole tecniche

Dopo la pubblicazione delle Regole tecniche circa la conservazione del documento informatico (DPCM del 3 dicembre 2013), mancavano ancora all’appello le Regole tecniche in materia di formazione e di gestione documentale e le Regole tecniche sulla sicurezza dei dati, dei sistemi e delle infrastrutture. L’assenza di regole tecniche – essenziale punto di partenza per la gestione corretta e in sicurezza dei documenti informatici – non permetteva di procedere con la conservazione digitale dei documenti informatici, obbligatoria per legge, creando non poco disagio ad aziende e privati impegnati con la digitalizzazione dei processi.

Dopo oltre tre anni di attesa, finalmente è stato pubblicato nella Gazzetta Ufficiale n. 8 del 12 gennaio 2015, il tanto atteso DPCM 13 novembre 2014 contenente le Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale, di cui al decreto legislativo n. 82 del 2005.

Tale decreto delinea un quadro unitario di regole tecniche, in grado di garantire che i processi di formazione, gestione e conservazione dei documenti informatici avvengano in maniera corretta e sicura.

Le nuove regole tecniche, specificando concetti insiti nel Codice dell’amministrazione digitale (CAD), ordinano in maniera sistematica la materia della formazione e gestione documentale.

La prima specificazione rilevante riguarda la modalità di formazione del documento informatico. Come risaputo, il documento è definito, nell’art. 1 comma 1 lett. p) del CAD, come la rappresentazione informatica di atti, fatti, dati giuridicamente rilevanti. Lo stesso esiste, dal punto di vista giuridico, solo se reso statico in maniera adeguata e gestito e conservato con idonei sistemi.

Ebbene, l’art. 3 del DPCM appena pubblicato in Gazzetta, precisa che il documento informatico è immodificabile solo se realizzato in modo che forma e contenuto non siano alterabili durante le fasi di tenuta e accesso e ne sia garantita la staticità nella fase di conservazione (art. 3, co. 2).

Questa è la regola principale corollata da ulteriori regole più specifiche le quali scandiscono i procedimenti necessari per garantire i requisiti di integrità e di immodificabilità a seconda delle diverse modalità attraverso cui è stato formato il relativo documento (art. 3, co. 4, 5 e 6 ).

In particolare, il documento informatico può essere formato mediante l’utilizzo di appositi strumenti software. In tale caso le caratteristiche di immodificabilità e di integrità sono determinate, fra le varie alternative operazioni, dalla sottoscrizione con firma digitale ovvero con firma elettronica qualificata, oppure dall’apposizione di una validazione temporale, o ancora dal trasferimento a soggetti terzi con posta elettronica certificata con ricevuta completa, etc. Questo comporta una riduzione della valenza della Firma, la quale non viene più considerata come assolutamente necessaria, ma come una idonea alternativa ad altre operazioni ugualmente idonee a garantire la staticità del documento informatico.

Il Decreto delibera inoltre che il documento informatico può essere formato con l’acquisizione per via telematica o su supporto informatico, oppure mediante l’acquisizione della copia per immagine su supporto informatico di un documento analogico, o quella della copia informatica di un documento analogico. In tale caso, il Decreto stabilisce che le caratteristiche di immodificabilità e di integrità sono determinate dall’operazione di memorizzazione in un sistema di gestione informatica dei documenti che garantisca l’inalterabilità del documento o in un sistema di conservazione.

Infine, il DPCM del 13 novembre 2014 all’articolo 3 individua due modalità ulteriori di formazione del documento informatico per le quali specifica analiticamente le caratteristiche di staticità, di immodificabilità e di integrità.

Tali regole e principi fanno sì che il documento informatico assuma valenza giuridica e, quindi, forma digitale scritta e durevole. Chi sviluppa processi di e-government e di commercio elettronico e chi li utilizza sarà obbligato a rispettarli perché la legge può richiedere la forma scritta documentale ad substantiam o comunque rimanere fondamentale per garantire la prova documentale valida.

Le ulteriori novità e regole tecniche sono state individuate in materia di:

• copie per immagine su supporto informatico di documenti analogici di cui all’art. 4 il quale precisa che la copia è prodotta mediante processi e strumenti che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto, previo raffronto dei documenti o attraverso certificazione di processo;
• duplicati informatici di documenti informatici, i quali, secondo l’art. 5, sono prodotti mediante processi e strumenti che assicurino che il documento informatico ottenuto sullo stesso sistema di memorizzazione, o su un sistema diverso, contenga la stessa sequenza di bit del documento informatico di origine;
• copie ed estratti informatici di documenti informatici, prodotti attraverso l’utilizzo di uno dei formati idonei di cui all’allegato 2 al DPCM, mediante processi e strumenti che assicurino la corrispondenza del contenuto della copia o dell’estratto informatico alle informazioni del documento informatico di origine previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell’originale e della copia.

Quest’ultima è una delle importanti novità da tempo attese, ovvero la possibilità di acquisire automaticamente gli estratti e le copie di documenti originariamente analogici o nativamente informatici. Occorre ricordare tuttavia che tali processi dovranno assicurare che le copie prodotte abbiano forma e contenuto identici a quelli dei documenti da cui sono tratte. Tale garanzia dovrà essere posta in atto attraverso il già previsto “raffronto dei documenti”, oppure tranite la certificazione di processo, nei casi in cui si sia deciso di adottare tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.

Un’ulteriore peculiarità del nuovo DPCM del 13 novembre 2014 è il coordinamento con le precedenti Regole dedicate a protocollo informatico e conservazione DPCM del 3 dicembre 2013 pubblicato nella Gazzetta Ufficiale del 12 marzo 2014. In particolare, i due decreti anzidetti condividono i medesimi allegati (glossario, formati, standard e specifiche tecniche, specifiche tecniche del pacchetto di archiviazione, Metadati). Inoltre, nell’art. 7 si precisa che “il trasferimento dei documenti informatici nel sistema di conservazione avviene generando un pacchetto di versamento nelle modalità e con il formato previsti dal manuale di conservazione di cui all’art. 8 del DPCM del 3 dicembre 2013, in materia di conservazione dei documenti informatici”.

Vi sono inoltre specificazioni ricondotte per i privati. L’art. 8 precisa che i privati possono adottare, per garantire la tenuta del documento informatico di cui all’art. 3, quale modello di riferimento quanto previsto dagli articoli 50-bis e 51 del CAD e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale, sempre e comunque nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del predetto decreto.

Il DPCM del 13 novembre 2014 entrerà in vigore il prossimo 11 febbraio e si applica:

• alle pubbliche amministrazioni;
• alle società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della pubblica amministrazione;
• ai privati;
• nonché, secondo quanto previsto dal comma 4° dell’art. 2, “agli altri soggetti, a cui è eventualmente affidata la gestione o la conservazione dei documenti informatici”, come nel caso di esternalizzazione (outsourcing) dei processi di conservazione dei documenti informatici.

Occorre riferire, però, che con l’art. 17 del DPCM del 13 novembre 2014 il legislatore precisa anche che “le pubbliche amministrazioni adeguano i propri sistemi di gestione informatica dei documenti entro e non oltre 18 mesi dall’entrata in vigore del presente decreto. Fino al completamento di tale processo possono essere applicate le previgenti regole tecniche. Decorso tale termine si applicano le presenti regole tecniche”. Anche se – a parere d chi scrive – non è chiaro a quali “previgenti regole tecniche” faccia riferimento il documento.

L’Europa, come sempre, sembra muoversi più velocemente. Basti pensare al Regolamento 910/2014/UE cosiddetto eIDAS – Electronic Identification and Trust Services for Electronic Transactions in the Internal Market – sull’identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel mercato interno.