Conservazione digitale

Page 1

Conservazione digitale Bisogna organizzarla e farla bene FRANCO RUGGIERI

Con il Decreto cosiddetto anticrisi, il DL 185/2008 poi trasformato nella legge 2/2009, sono state introdotte alcune modifiche molto rilevanti, si potrebbero definire “rivoluzionarie”, tra cui l’art. 16, comma 12 che ha cambiato i commi 4 e 5 dell’art. 23 del Codice dell’amministrazione digitale.1 Con tali modifiche, infatti, viene di

gran lunga agevolata la conservazione digitale2 dei cosiddetti originali analogici unici su carta, microfilm, lastre radiografiche, ecc. Quello che per alcuni era, infatti, un serio ostacolo in quanto faceva aumentare i costi, cioè l’intervento di

un Pubblico Ufficiale, è praticamente sparito. Ora però c’è un altro aspetto da considerare, ma dobbiamo fare un passo indietro nel tempo, un flash back, come in alcuni libri o film. Cominciamo con il ricordare che la

1 Il nuovo testo è:“«4. Le copie su supporto informatico di qualsiasi tipologia di documenti analogici originali, formati in origine su supporto cartaceo o su altro supporto non informatico, sostituiscono ad ogni effetto di legge gli originali da cui sono tratte se la loro conformità all’originale è assicurata da chi lo detiene mediante l’utilizzo della propria firma digitale e nel rispetto delle regole tecniche di cui all’articolo 71. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione ottica sostitutiva, la loro conformità all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico.». 2 Usiamo questo termine al posto di “conservazione ottica sostitutiva” perché è ora di fare un salto mentale: il documento non dovrebbe necessariamente nascere su carta per poi essere convertito in modo sostitutivo: dovrebbe nascere e restare in bit e byte. iged.it online 01.2009

17

validità legale della conservazione digitale si basa sulla firma digitale di colui che la Deliberazione AIPA 11/2004 definisce all’art. 5 “Responsabile della conservazione”, quindi la Conservazione sostitutiva è a tutti gli effetti un “servizio di certificazione”, come da Direttiva 1999/93/ CE, quella sulla firma elettronica. Spieghiamo meglio questo concetto. Tale Direttiva definisce “«prestatore di servizi di certificazione», un’entità o una persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche”. Il nostro Codice dell’Amministrazione Digitale ha preferito usare il termine “certificatore”, che è più breve, di cui dà una definizione sostanzialmente identica: “certificatore: il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime”. Per togliere qualsiasi dubbio residuo citiamo la premessa 9 della Direttiva: “… la definizione di tali prodotti e servizi [cioè di quelli “facenti uso di firme elettroniche o ad esse collegati”] non dovrebbe essere limitata al rilascio e alla gestione di certificati, ma comprenderebbe anche ogni altro servizio e prodotto facente uso di firme elettroniche, o ad esse ausiliario …”. Da questo testo viene confermato quanto asserito prima: la Conservazione sostitutiva è a tutti gli effetti un “servizio di certificazione” che però, ovviamente, non rilascia certificati qualificati. Ne deriva che a tale servizio si applica quanto è previsto dalla Direttiva 1999/93/EC all’art. 3, comma 2: “… gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più ele-

vato…”. Già in molti hanno sottolineato che l’opportunità di tali sistemi di accreditamento, sia pure, si ribadisce, “facoltativi”3, è evidente se si pensa alle conseguenze di un’eventuale conservazione non affidabile. Questo è un argomento che deriva direttamente dagli studi che l’economista George Akerlof pubblicò già nel 19704 e che gli valsero nel 2001 il premio Nobel. In pochissime parole: senza un qualche cosa che metta il consumatore in grado di capire la differenza tra prodotti e servizi di tipo analogo ma

di costo diverso, il consumatore tenderà a scegliere quelli di costo minore a cui però, nella maggior parte dei casi, corrisponde una qualità inferiore. Questo fatto, se da un lato penalizza l’acquirente che si trova per le mani prodotti e servizi meno buoni, alla lunga fa anche sparire dal mercato i prodotti e servizi migliori, il che non è certo quello che tutti auspichiamo. Torniamo al caso in questione. Supponiamo, per esempio, che una azienda non disponga delle competenze necessarie per valutare l’affidabilità tecnico/organizzativa dei vari fornitori di servizi di conservazione digitale. In mancanza di informazioni oggettive, quali quelle che sarebbero fornite appunto dal citato sistema di “accreditamento facoltativo”, tale azienda potrebbe essere tentata di usare il costo come elemento prevalente di scelta, infatti, stante la ipotizzata carenza di competenze, tutti i servizi offerti sembreranno a questa azienda equivalenti. Essa si troverebbe quindi ad affidare a un fornitore, ad esempio, i propri documenti fiscali, fatture e simili, sulla base dei costi del servizio e non di una maggiore o minore affidabilità tecnica. Tale contribuente, in questa situazione, potrebbe correre il rischio che il proprio fornitore non sia in grado di esibire una certa fattura su richiesta della Guardia di Finanza. In tal caso, purtroppo, sarebbe il contribuente, non il fornitore, a “passare i guai” con il Fisco, ma ormai sarebbe troppo tardi per rimediare. Questo concetto, sopra riassunto in

3 Ricordiamo per completezza che per quei certificatori che rilasciano certificati qualificati la supervisione da parte del relativo Stato membro è invece obbligatoria.on dovrebbe necessariamente nascere su carta per poi essere convertito in modo sostitutivo: dovrebbe nascere e restare in bit e byte. 4 “The Market for Lemons: Quality Uncertainty and the Market Mechanism”, pubblicato nel 1970 sulle pagine del Quarterly Journal of Economics. iged.it online 01.2009

18

modo molto succinto ed elementare, lo ritroviamo per fortuna alla base di un’altra Direttiva europea: la oramai famosa Direttiva 2006/123/ CE, cosiddetta Direttiva servizi, la quale all’art. 26 recita, senza possibilità di fraintendimenti, al comma 1: “Gli Stati membri, in collaborazione con la Commissione, adottano misure di accompagnamento volte ad incoraggiare i prestatori a garantire, su base volontaria, la qualità dei servizi, in particolare: a) facendo certificare o valutare le loro attività da organismi indipendenti o accreditati; b) elaborando una carta di qualità propria o aderendo alle carte o ai marchi di qualità messi a punto da organismi e ordini professionali a livello comunitario.” Esaminando i commi successivi si scopre che l’adozione della “carta di qualità” equivale, in buona sostanza, a una forma di certificazione/accreditamento. Insomma, ormai non ci sono più scappatoie: l’Italia deve (il testo inglese della Direttiva è chiaramente esplicito: “shall … take …”) mettere in atto le citate “misure di accompagnamento”. Questa Direttiva deve essere recepita dai 27 stati membri entro il 28/12/20095, quindi non resta più tanto tempo per attuare quanto previsto dal citato art. 26, il che richiede, ad esempio, la definizione delle caratteristiche tecniche e organizzative, l’individuazione di un’eventuale autorità di riferimento, i sistemi di certificazione o valutazione. In conclusione: alcune parole sui principali standard di riferimento. Poiché questi servizi di conservazione sono, ovviamente, di tipo

informatico, l’aspetto principale da prendere in considerazione è la loro sicurezza, appunto, informatica. Non basta la certificazione di qualità, cioè il fatto che i fornitori in questione si attengano alle procedure da essi stessi dichiarate, ma è indispensabile, sì: “indispensabile”, che i sistemi informatici siano valutati in modo oggettivo per quanto riguarda le misure di sicurezza, le modalità con cui i dati sono messi a disposizione dei richiedenti, l’affidabilità organizzativa, ecc. Esiste a questo proposito una famiglia di standard pubblicati e gestiti dallo ISO (International Organization for Standardization) che trae origine da quanto già a metà degli anni ’90 era stato codificato dal British Standards Institute: la famiglia degli ISO/ IEC 27000. Non entriamo nei dettagli, chiariamo solamente che lo ISO/IEC 27001 indica gli argomenti in base ai quali viene valutato e certificato il settore ICT di una azienda, mentre lo ISO/IEC 27002 fornisce un’indicazione delle “Best practices” che tale settore dovrebbe adottare per raggiungere un livello di sicurezza tale da ottenere una positiva valutazione e quindi una certificazione. E’ ovvio che queste Best practices non possono comprendere tutte le possibili forme di servizi forniti, per cui lo ETSI (European Telecommunications Standards Institute, uno dei tre European Standards Organisation riconosciuti dalla Unione Europea) ha prodotto un’integrazione: il Technical Specification ETSI TS 102 573 che, basandosi, appunto, sui citati standard ISO/IEC ed estenden-

doli, indica le politiche di sicurezza da adottare da parte di quei fornitori di servizi affidabili che emettano o conservino documenti contabili basati sulla firma digitale6. Sembrerebbe quindi che sia tutto pronto per consentire ai fornitori di servizi di conservazione digitale di far “certificare o valutare le loro attività da organismi indipendenti o accreditati”. Invece manca ancora un elemento: manca, cioè, quella che possiamo chiamare una “Guida pratica alla realizzazione e alla ispezione”. Questo documento, recependo e interpretando le “Practices” indicate nello ISO/IEC 27002 e nello ETSI TS 102 573, eventualmente integrandole in base alle caratteristiche peculiari di questo tipo di servizio in Italia, sarebbe utilizzato da un lato dai fornitori, per realizzare un sistema in grado di fornire un affidabile servizio di conservazione sostitutiva, e dall’altro dagli “auditor” per valutare in modo oggettivo tale affidabilità. In Italia abbiamo già un documento di tale tipo, sia pure relativo ad altri tipi di certificatori: sono le “Linee guida per la vigilanza sui certificatori qualificati e accreditati7” , in vigore dal 15 gennaio 2007, in base alle quali il CNIPA opera.

FRANCO RUGGIERI

Consulente di firma digitale

5 Art. 44: “Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alle disposizioni della presente direttiva entro il 28 dicembre 2009….” 6 “Policy requirements for trust service providers signing and/or storing data for digital accounting” 7 Reperibili all’indirizzo Internet http://www.cnipa.gov.it/site/_files/CNIPA%20-%20LINEE%20GUIDA%20(vigilanza%20s ui%20certificatori%20qualificati%20e%20accreditati)v1.1%20.pdf iged.it online 01.2009

19

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.