Articoli

I documenti amministrativi informatici. PARTE I.

Iniziamo con questo post un breve discorso preparatorio all’adozione delle regole tecniche di cui all’articolo 71 del CAD, che dovranno essere completamente adottate entro il 07/06/2021 .

Nelle varie parti si tratterà del documento, del fascicolo, degli albi e dei repertori, non tralasciando ovviamente le tre stratificazione degli ARCHIVI.

Per prima cosa ricordo l’inutilità, e l’inefficacia, della barbara usanza della stampigliatura ( v. art 20 e 40 del CAD ed art 3 c 2 D.lgs 39/93), vi lascio un vecchio post

A semplificare la firma contribuisce la determinazione 157/2020 AGID che attribuisce i requisiti della forma scritta del 2702 cod.civ anche ai documenti firmati con lo SPID.

Ora analizziamo l’elemento portante , l’articolo 40 del D.Lgs 82/05

 Art. 40. 
             Formazione di documenti informatici 

Le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici secondo le disposizioni di cui al presente codice e le ((Linee guida))

Una norma di una semplicità disarmante ed intanto disattesa, purtroppo non ci si rende conto di quanto sia devastante non applicarla, semplicemente i documenti della PA difformi non sono validi.

Vediamo ora alcune definizioni di pubblicazione (albo e trasparenza) che vengono usate come sinonimi , formato aperto e dati di tipo aperto.

FORMATO APERTO : art.1 comma 1 lett l-bis

formato aperto: un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi

FORMATO DI TIPO APERTO : art 1 c. 1 lett l-ter

l-ter) dati di tipo aperto: i dati che presentano le seguenti caratteristiche:
1) sono disponibili secondo i termini di una licenza o di una previsione normativa che ne permetta l’utilizzo da parte di chiunque, anche per finalita’ commerciali, in formato disaggregato

In estrema sintesi i secondi devono avere una previsione normativa (che può anche essere il D.Lgs 518/92) e sono essenzialmente, a differenza dei primi, machine readable, si pensi al file anac dell’articolo 1 comma 2 L. 190/12).

Ora ci tocca però capire come creare documenti amministrativi informatici (sapendo che non possiamo usare la dicitura firma autografa sostituita ai sensi dell’art 3 c 2 D.Lgs 39/93).

Posso darvi una risposta disarmante ? ….

…. suspance…ansia…..terrore…..

Vediamo per la prima volta le regole tecniche dell’articolo 71 .

Punto 2.1.1 delle LLGG.

Il contenuto del presente capitolo si applica, salvo ove diversamente specificato, ai soggetti di cui all’art. 2 commi 2 e 3 del CAD.
Il documento informatico è formato mediante una delle seguenti modalità:
a) creazione tramite l’utilizzo di strumenti software o servizi cloud qualificati che assicurino la
produzione di documenti nei formati e nel rispetto delle regole di interoperabilità di cui
all’allegato 2;
b) acquisizione di un documento informatico per via telematica o su supporto informatico,
acquisizione della copia per immagine su supporto informatico di un documento analogico,
acquisizione della copia informatica di un documento analogico;
c) memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da
transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli
o formulari resi disponibili all’utente;
d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni,
provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti,
secondo una struttura logica predeterminata e memorizzata in forma statica.

Soffermiamoci sulla prima parte ( attenzione le regole tecniche sostituiscono non modificando niente il DPCM 13.11.14, almeno per la creazione dei documenti )

Il documento informatico è formato mediante una delle seguenti modalità:
a) creazione tramite l’utilizzo di strumenti software o servizi cloud qualificati che assicurino la
produzione di documenti nei formati e nel rispetto delle regole di interoperabilità di cui
all’allegato 2;

Ah…..prima di continuare devo farvi una domanda, ” Ricordate quando si andava allo sportello della banca a prelevare avanti allo sportellista ? Buongiorno sono Vincenzo De Prisco, questo è il modulo FIRMATO, devo prelevare 100 euro . Buongiorno Sig. De Prisco, ecco i suoi 100 EURO “

Invece nel prelievo al bancomat cosa manca ?

LA FIRMA ?

Non proprio, infatti la digitazione del PIN equivale a firma elettronica (la più debole delle firme ), l a stessa che dopo l’autentificazione ad un sistema documentale ben fatto (il portale web dell’ ISTITUZIONE) ci permette di editare i POST.

Invece se piuttosto che accedere con credenziali semplici accedessimo con lo SPID (o CNS o CIE) ai sensi della determinazione 157/20, la firma da elettronica diverrebbe DIGITALE, quindi sarebbe il MASSIMO !!!

Seguendo questo iter (e credetemi è solo questione di abitudini) in un solo colpo il risultato sarebbe avere documenti INFORMATICI di tipo aperto conformi all’articolo 2702 del cc, 20, 23 ter e 40 del CAD) e LL.GG sulla creazione dei documenti…. alla prossima.

Solo per comodità vi porto le definizioni delle varie firme …

  • Firma Elettronica: per definizione è “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Si va quindi dal PIN delle carte magnetiche, come per esempio il Bancomat, alle credenziali di accesso web, come nome utente e password.
  • Firma Elettronica Avanzata: di più recente introduzione rispetto alle altre firme, è definita “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. Di fatto potremmo definirla come una firma elettronica con alcune caratteristiche di sicurezza aggiuntive. Un esempio di Firma Elettronica Avanzata è quella su tablet.
  • Firma Elettronica Qualificata: attraverso mezzi di cui il firmatario detiene il controllo esclusivo permette di identificare in modo univoco il titolare. Questo tipo di firma si basa su un certificato qualificato ed è realizzata tramite un dispositivo sicuro quale il token o la smart card.
  • Firma Digitale: è definita come “un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“. Questa tipologia di firma richiede dunque una particolare modalità tecnologica: crittografia a chiavi asimmetriche. I mezzi più diffusi per apporre la firma digitale sono, come nel caso di quella elettronica qualificata, il token e la smart card.

…ed un vecchio post…..

Linee Guida articolo 71 CAD. Buon Viaggio.

Tra qualche giorno inizieranno gli approfondimenti sull’articolo 71, per essere pronti rivediamo qualche post vecchio.

E’ necessario avere come immagine dell’articolo questo richiamo alla letteratura cinematografica che parla di viaggi impossibili ma COMPIUTI. E’ necessario dire che questo progetto è stato ritenuto VALIDO dal TEAM della TRASFORMAZIONE DIGITALE del GOVERNO ITALIANO, ma vi arriverà un POST SPECIFICO, è necessario RICORDARE che sono disponibili per WORKSHOP nei vostri ENTI… ma ora …

 

…iniziamo un focus importantissimo, cruciale, sulla dematerializzazione della PA.

Tra poco troveremo in GU le LLGG dell’AGID sulla FORMAZIONE, GESTIONE e CONSERVAZIONE del DOCUMENTO INFORMATICO e del DOCUMENTO AMMINISTRATIVO INFORMATICO.

Per buona pace di tutti coloro che ERANO AVANTI e che hanno commesso reati non rispettando l’articolo 61 del D.lg 179/16 e che dovranno iniziare a SISTEMARE i sistemi documentali INFORMATICI.

Ai MASTER universitari ho sempre chiesto ai miei ragazzi   la definizione di MITO , tutti troppo colti e poetici, la risposta esatta che mi attendevo, che ora scrivo sarebbe stata ARTICOLO 71 del D.Lgs 82/05.

Ora che abbiamo ( quasi ufficialmente ) le regole tecniche vediamo cosa vanno a toccare del CAD, in particolare quali articoli :

  • 20 Validita’ ed efficacia probatoria dei documenti informatici
  • 21 Ulteriori disposizioni relative ai documenti informatici, sottoscritti con firma elettronica avanzata, qualificata o digitale
  • 22 c 2,3 Copie informatiche di documenti analogici
  • 23 Copie analogiche di documenti informatici
  • 23 bis Duplicati e copie informatiche di documenti informatici
  • 23 ter Documenti amministrativi informatici
  • 23 quater Riproduzioni informatiche
  • 34 Norme particolari per le pubbliche amministrazioni
  • 40 Formazione di documenti informatici
  • 40 bis Protocollo informatico
  • 41 Procedimento e fascicolo informatico
  • 42 Procedimento e fascicolo informatico
  • 43 Conservazione ed esibizione dei documenti
  • 44 Requisiti per la gestione e conservazione dei documenti informatici
  • 45 Valore giuridico della trasmissione
  • 46 Dati particolari contenuti nei documenti trasmessi
  • 47 Trasmissione dei documenti tra le pubbliche amministrazioni
  • 49 Segretezza della corrispondenza trasmessa per via telematica
  • 50 Disponibilita’ dei dati delle pubbliche amministrazioni
  • 51 Sicurezza e disponibilita’ dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni
  • 64 bis Accesso telematico ai servizi della Pubblica Amministrazione
  • 65 Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica

Detto questo prima di iniziare questo FOCUS che durerà circa un anno vi invito a leggere i post preparatori.

 

Linee Guida articolo 71 CAD. Buon Viaggio.

E’ necessario avere come immagine dell’articolo questo richiamo alla letteratura cinematografica che parla di viaggi impossibili ma COMPIUTI. E’ necessario dire che questo progetto è stato ritenuto VALIDO dal TEAM della TRASFORMAZIONE DIGITALE del GOVERNO ITALIANO, ma vi arriverà un POST SPECIFICO, è necessario RICORDARE che sono disponibili per WORKSHOP nei vostri ENTI… ma ora …

 

…iniziamo un focus importantissimo, cruciale, sulla dematerializzazione della PA.

Tra poco troveremo in GU le LLGG dell’AGID sulla FORMAZIONE, GESTIONE e CONSERVAZIONE del DOCUMENTO INFORMATICO e del DOCUMENTO AMMINISTRATIVO INFORMATICO.

Per buona pace di tutti coloro che ERANO AVANTI e che hanno commesso reati non rispettando l’articolo 61 del D.lg 179/16 e che dovranno iniziare a SISTEMARE i sistemi documentali INFORMATICI.

Ai MASTER universitari ho sempre chiesto ai miei ragazzi   la definizione di MITO , tutti troppo colti e poetici, la risposta esatta che mi attendevo, che ora scrivo sarebbe stata ARTICOLO 71 del D.Lgs 82/05.

Ora che abbiamo ( quasi ufficialmente ) le regole tecniche vediamo cosa vanno a toccare del CAD, in particolare quali articoli :

  • 20 Validita’ ed efficacia probatoria dei documenti informatici
  • 21 Ulteriori disposizioni relative ai documenti informatici, sottoscritti con firma elettronica avanzata, qualificata o digitale
  • 22 c 2,3 Copie informatiche di documenti analogici
  • 23 Copie analogiche di documenti informatici
  • 23 bis Duplicati e copie informatiche di documenti informatici
  • 23 ter Documenti amministrativi informatici
  • 23 quater Riproduzioni informatiche
  • 34 Norme particolari per le pubbliche amministrazioni
  • 40 Formazione di documenti informatici
  • 40 bis Protocollo informatico
  • 41 Procedimento e fascicolo informatico
  • 42 Procedimento e fascicolo informatico
  • 43 Conservazione ed esibizione dei documenti
  • 44 Requisiti per la gestione e conservazione dei documenti informatici
  • 45 Valore giuridico della trasmissione
  • 46 Dati particolari contenuti nei documenti trasmessi
  • 47 Trasmissione dei documenti tra le pubbliche amministrazioni
  • 49 Segretezza della corrispondenza trasmessa per via telematica
  • 50 Disponibilita’ dei dati delle pubbliche amministrazioni
  • 51 Sicurezza e disponibilita’ dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni
  • 64 bis Accesso telematico ai servizi della Pubblica Amministrazione
  • 65 Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica

Detto questo prima di iniziare questo FOCUS che durerà circa un anno vi invito a leggere i post preparatori.

 

LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.