eIDAS2: dalla conservazione all’e-archiving
In virtù del nuovo Regolamento eIDAS 2.0 si assiste al passaggio dalla conservazione digitale intesa “in senso italiano” all’e-archiving.
Fondamentale è analizzare: cosa cambia, come cambia, quali impatti ha il cambiamento e soprattutto quali sono gli effetti legali di questo passaggio.
La conservazione digitale “italiana” attualmente prevede ai sensi dell’Art. 44 1-ter CAD (Codice dell’Amministrazione Digitale – Dl.gs 82/2005 e successive modifiche ed integrazioni) che il sistema di conservazione dei documenti informatici assicuri, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida. Il Glossario (Allegato 1) delle Linee Guida Agid sulla formazione, gestione e conservazione dei documenti informatici definisce la ‘conservazione’ come “l’insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizzativo adottato, garantendo nel tempo le caratteristiche di autenticità, integrità, leggibilità, reperibilità dei documenti”.
Nel Regolamento eIDAS 2.0 compare il concetto di archiviazione elettronica e del relativo servizio qualificato o non qualificato e per comprenderne gli elementi essenziali è fondamentale la lettura del considerando 66 del Regolamento stesso nella parte in cui prevede : “Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. … Tali disposizioni dovrebbero applicarsi ai documenti creati in formato digitale e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando nel contempo, nella misura del possibile, le perdite e le alterazioni.
Altrettanto rilevanti sono le definizioni contenute nei punti 48) e 49) a modifica dell’articolo 3 del Regolamento che individuano in maniera precisa gli obbiettivi che il servizio di archiviazione elettronica deve raggiungere.
Il punto 48 recita infatti:
48) “archiviazione elettronica”: un servizio che garantisce la ricezione, l’archiviazione, il recupero e la cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, la riservatezza e la prova dell’origine durante tutto il periodo di conservazione;
Si nota immediatamente come vi sia una grande attenzione ad alcuni concetti essenziali già presenti nella normativa italiana sia con riferimento alla gestione documentale che alla conservazione:
- sicurezza
- affidabilità
- certezza giuridica
- reperibilità del documento
- fruibilità
- gestione dello scarto documentale
- leggibilità
- mantenimento del suo valore probatorio
- integrità
- riservatezza
- origine ed autenticità.
L’articolo 45 undecies dello stesso Regolamento prevede e chiarisce oggettivamente i requisiti per i servizi di archiviazione elettronica qualificata così definiti:
(a) Articolo 45 undecies
Requisiti per i servizi di archiviazione elettronica qualificati
1. I servizi di archiviazione elettronica qualificati soddisfano i requisiti seguenti:
a) sono forniti da prestatori di servizi fiduciari qualificati;
b) utilizzano procedure e tecnologie in grado di garantire la durabilità e la leggibilità dei dati elettronici oltre il periodo di validità tecnologica e almeno per tutto il periodo di conservazione legale o contrattuale, preservandone nel contempo l’integrità e l’esattezza dell’origine;
c) assicurano che i dati elettronici siano conservati in modo tale da essere protetti dal rischio di perdita e alterazione, ad eccezione delle modifiche riguardanti il loro supporto o il loro formato elettronico;
d) consentono alle parti autorizzate facenti affidamento sulla certificazione di ricevere una relazione in un modo automatizzato in cui si conferma che i dati elettronici consultati da un archivio elettronico qualificato godono della presunzione di integrità dei dati dall’inizio del periodo di conservazione fino al momento della consultazione; tale relazione è fornita in modo affidabile ed efficiente e reca la firma elettronica qualificata o il sigillo elettronico qualificato del prestatore del servizio di archiviazione elettronica qualificato.
Se partiamo dall’assunto che la Conservazione ho come scopo quello di tutelare la memoria storica dell’informazione e mantenere inalterato il valore probatorio del documento, comprendiamo perché finalmente anche a livello europeo hanno perfettamente compreso che non era più sufficiente mantenere inalterato solo il valore probatorio della firma ma diventava indispensabile custodire l’oggetto informatico. Altrettanto rilevante è analizzare gli effetti legali dell’eArchiving previsti dall’art. 45 decies del Regolamento.
Nello specifico con riferimento alla portata giuridica dei servizi di archiviazione elettronica si prevede che:
1. Ai dati e ai documenti informatici conservati mediante un servizio di archiviazione elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in giudizio per il solo motivo che sono in formato elettronico o non sono conservati mediante un servizio di archiviazione elettronica qualificato.
2. I dati informatici e i documenti informatici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione di integrità e di provenienza per tutta la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato.
i dati elettronici archiviati mediante un servizio di e-archiving non possono essere negati come elementi di prova nei procedimenti giudiziari solo per il fatto che sono in forma elettronica o che non sono conservati utilizzando un servizio qualificato di e-archiving.
Si ricavano alcuni principi essenziali tipici del Regolamento eIDAS: non discriminazione, per un servizio qualificato presunzione forte di integrità e di origine per la durata del periodo di conservazione per un servizio fiduciario qualificato, portabilità. Inoltre, si evidenzia come con riferimento all’archiviazione si disciplinino sia i dati che i documenti. L’armonizzazione normativa tra Italia ed Europa sarà determinante per questo servizio.
L’approccio comunitario e quello nazionale hanno componenti operative sovrapponibili ma fondamentale sarà definire regole chiare per evitare contraddizioni tra norme comunitarie e nazionali, evitare equivoci che possano portare gli operatori verso procedure di infrazione e sanzioni, interagire attivamente con l’organismo di standardizzazione al fine di definire regole tecniche da armonizzare con la situazione nazionale esistente.
Il nuovo servizio fiduciario di e-archiving ha un impatto sulla conservazione nazionale dei documenti informatici che deve essere gestito opportunamente, anche aggiornando le norme nazionali, per evitare disparità tra soggetti nazionali e comunitari (si pensi ai 5 milioni di euro di capitale sociale richiesti per ottenere la qualifica in Italia che rappresentano una barriera di ingresso rispetto ai soggetti qualificati nell’Unione), ma anche per mantenere l’equilibrio tra norme nazionali, che hanno scopi specifici per il patrimonio documentale pubblico e norme europee che essendo di rango normativo superiore non possono essere messe a rischio sul tema della applicabilità da norme nazionali non conformi a quelle comunitarie e quindi abrogate de jure.
Inevitabilmente si va a configurare un nuovo scenario competitivo. L’introduzione del mutuo riconoscimento tra gli Stati membri, nell’ambito dei servizi di conservazione realizza quello che il primo Regolamento eIDAS ha fatto per le firme qualificate: l’azzeramento delle barriere tra Paesi e un unico singolo mercato europeo comune a tutti. È un cambiamento rilevante dello scenario competitivo che, come sempre, porta con sé rischi ma anche grandi opportunità per il Sistema Paese: l’Italia è da sempre all’avanguardia nella scienza archivistica digitale, anche nella sua implementazione concreta, a supporto dei processi di trasformazione digitale di PPAA e imprese. Questa posizione può consentire la costruzione di campioni nazionali che possano esportare in altri Paesi l’eccellenza archivistica italiana. Al contempo, il digital single market crea un abbassamento delle barriere all’ingresso, consentendo l’arrivo sul mercato domestico di provider stranieri, aumentando il già elevato tasso di competitività sul mercato dell’archiviazione e della conservazione digitale.
Allo stato attuale in tema di e-archiving come evoluzione della conservazione digitale, l’Italia è all’avanguardia e c’è un’opportunità da cogliere e da non lasciarsi sfuggire.
Negli altri Paesi europei non sussiste al momento un livello analogo di regolamentazione. In particolare, la previsione dell’elenco dei Conservatori Accreditati presso AgID istituito nel 2014 ed ora riqualificato in qualche modo come Marketplace AgID dei servizi di conservazione, con una serie di requisiti puntuali sotto vari profili (sicurezza, organizzazione, competente tecniche ed archivistiche), ha consentito ai Conservatori di sviluppare una competenza estremamente consolidata e verticale attraverso studio, formazione e, non ultimo, un notevole impegno di risorse sia umane che economiche.
Il nuovo Regolamento eIDAS 2.0 avrà un impatto significativo sul panorama dei servizi fiduciari: ci sarà un aumento dell’offerta di servizi: l’introduzione di nuovi servizi fiduciari qualificati e la distinzione tra qualificati e non qualificati amplierà l’offerta di soluzioni per le aziende e i cittadini ma anche per la Pubblica Amministrazione.
Il nuovo Regolamento offre molte opportunità per le aziende e i cittadini di beneficiare di un ecosistema di servizi fiduciari più sicuro, affidabile e interoperabile. Al fine di garantire maggiore sicurezza e affidabilità, i prestatori di servizi fiduciari dovranno rispondere anche alle previsioni di cui alla Direttiva NIS 2 (o Direttiva UE 2022/2555) che aggiunge all’elenco dei soggetti già inclusi nella sua precedente versione (Direttiva NIS 1 del 2016, adottata in Italia con il D.L. n.65 del 18 maggio 2018) proprio quegli stessi prestatori di servizi fiduciari definiti dal regolamento eIDAS. L’aggiunta di nuovi servizi all’elenco di quelli già considerati come “fiduciari” estende dunque l’ambito di applicazione della Direttiva NIS 2, includendo ulteriori soggetti tenuti a innalzare e rivedere i propri standard di cybersecurity e a rispettare stringenti obblighi di segnalazione in caso di incidente.
Il Regolamento rafforza la fiducia nelle transazioni elettroniche e facilita la digitalizzazione dei processi, rappresenta un passo avanti significativo per l’Europa in materia di identità digitale e servizi fiduciari.
Ma come si porrà la PA italiana verso il Regolamento? Potrà permettersi di non rispettarlo o dovrà ove necessario, qualora a livello europeo non vengano adottati in modo adeguato, adottare standard archivistici in grado di tutelare più che compiutamente il patrimonio documentale?
È un cambiamento importante di scenario per il mercato ed è un’occasione unica per i provider italiani da sempre tra i più accreditati nell’ambito dell’archivistica digitale a supporto dei processi di transizione digitale della PA e delle imprese, di affermare la propria leadership.
by Patrizia Sormani