Premessa.
L'art. 44-bis del decreto legislativo 7 marzo 2005, n. 82 e s.m.i.
(Codice dell'amministrazione digitale, di seguito "CAD") attribuisce
all' Agenzia per l'Italia Digitale (di seguito "Agenzia") il compito
di accreditare "i soggetti pubblici e privati che svolgono attivita'
di conservazione dei documenti informatici e di certificazione dei
relativi processi anche per conto di terzi e intendono conseguire il
riconoscimento dei requisiti del livello piu' elevato, in termini di
qualita' e sicurezza".
Il predetto articolo, al comma 2, stabilisce che ai conservatori si
applichino " ... in quanto compatibili, gli articoli 26, 27, 29, ad
eccezione del comma 3, lettera a) e 31." riguardanti lo specifico
ambito della firma digitale e della posta elettronica certificata.
Con decreto del Presidente del Consiglio dei ministri del 3
dicembre 2013 (G.U. n. 59 del 12 marzo 2014 - supplemento ordinario
n. 20) sono state emanate le "Regole tecniche in materia di sistema
di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter,
comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1 del CAD", in
vigore dall'11 aprile 2014 (art. 14, comma 1).
In attuazione dell'art. 13 del decreto del Presidente del Consiglio
dei ministri 3 dicembre 2013, sopra richiamato, la presente circolare
definisce le modalita' per l'accreditamento presso l'Agenzia e per la
vigilanza dei soggetti di cui all'art. 44-bis del CAD che svolgono
attivita' di conservazione dei documenti informatici (di seguito
"conservatori") e intendono conseguire il riconoscimento del possesso
dei requisiti del livello piu' elevato, in termini di qualita' e
sicurezza.
1. Accreditamento dei conservatori.
Sulla base delle disposizioni richiamate in premessa, possono
richiedere l'accreditamento i conservatori di cui all'art. 44-bis del
CAD che, al fine di conseguire tale riconoscimento, devono:
1. dimostrare l'affidabilita' organizzativa, tecnica e
finanziaria necessaria per svolgere l'attivita' di conservazione;
2. utilizzare personale dotato delle conoscenze specifiche,
dell'esperienza e delle competenze necessarie per i servizi forniti:
in particolare della competenza a livello gestionale, della
conoscenza specifica nel settore della gestione documentale e
conservazione documenti informatici e che abbia dimestichezza con le
procedure di sicurezza appropriate e che si attenga alle norme del
CAD e al decreto del Presidente del Consiglio dei ministri 3 dicembre
2013 recante le regole tecniche in materia di sistema di
conservazione;
3. applicare procedure e metodi amministrativi e di gestione
adeguati e conformi a tecniche consolidate;
4. utilizzare sistemi affidabili e sicuri di conservazione di
documenti informatici realizzati e gestiti in conformita' alle
disposizioni e ai criteri, standard e specifiche tecniche di
sicurezza e di interoperabilita' contenute nelle regole tecniche
previste dal CAD;
5. adottare adeguate misure di protezione dei documenti idonee a
garantire la riservatezza, l'autenticita', l'immodificabilita',
l'integrita' e la fruibilita' dei documenti informatici oggetto di
conservazione, come descritte nel manuale di conservazione, parte
integrante del contratto/convenzione di servizio.
Il conservatore, se soggetto privato, in aggiunta a quanto previsto
dai precedenti punti, deve inoltre:
1. avere forma giuridica di societa' di capitali e un capitale
sociale di almeno 200.000 euro;
2. garantire il possesso, oltre che da parte dei rappresentanti
legali, anche da parte dei soggetti preposti alla amministrazione e
da parte dei componenti degli organi preposti al controllo, dei
requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni
di amministrazione, direzione e controllo presso banche ai sensi
dell'art. 26 del decreto legislativo 1° settembre 1993, n. 385,
recante "Testo unico delle leggi in materia bancaria e creditizia".
Le modalita' per dimostrare il possesso dei requisiti sopra
indicati, la documentazione richiesta ed i criteri di valutazione
adottati per espletare il processo di accreditamento sono indicati in
appositi documenti consultabili per via telematica, sul sito
istituzionale dell'Agenzia.
Il conservatore puo' affidare ad altro conservatore accreditato le
attivita' a supporto del processo di conservazione limitatamente a
quelle che riguardano le infrastrutture per la memorizzazione,
trasmissione ed elaborazione dei dati. Il Manuale di conservazione,
descritto all'art. 8 del decreto del Presidente del Consiglio dei
ministri 3 dicembre 2013 in materia di sistema di conservazione di
documenti informatici, deve descrivere le modalita' con cui avviene
tale affidamento. Inoltre, il conservatore deve fornire copia del
contratto in virtu' del quale il conservatore accreditato che mette a
disposizioni le infrastrutture, si obbliga nei confronti del primo a
fornire la propria infrastruttura oggetto dell'affidamento.
I conservatori che conseguono l'accreditamento ai sensi della
presente Circolare sono iscritti nell'elenco dei conservatori
accreditati (di seguito "elenco"), pubblicato sul sito istituzionale
dell'Agenzia, che esercita sugli stessi una attivita' di vigilanza,
volta ad assicurare che siano mantenuti nel tempo i requisiti che
hanno consentito l'iscrizione, pena la revoca dell'accreditamento e
la conseguente cancellazione dall'elenco.
In caso vengano riscontrate difformita' nel corso dell'attivita' di
vigilanza, l'Agenzia comunica al conservatore le modalita' e il
termine per la loro risoluzione.
Qualora il conservatore non si adegui nel termine indicato,
l'Agenzia, ove non sussistano adeguate motivazioni per prorogare il
suddetto termine, dispone, con provvedimento motivato, la revoca
dell'accreditamento e la conseguente cancellazione dall'elenco.
Il conservatore per il quale sia stato disposto un provvedimento di
revoca non puo' presentare una nuova domanda di accreditamento se non
siano cessate le cause che hanno dato luogo alla cancellazione
dall'elenco e, in ogni caso, non prima che siano trascorsi 6 mesi
dall'emissione del provvedimento di revoca.
Per espletare le attivita' di accreditamento dei conservatori e per
svolgere le connesse funzioni di vigilanza, l'Agenzia si avvale di
apposita struttura, istituita nell'ambito delle proprie dotazioni
organiche, ovvero puo' avvalersi di terze parti qualificate.
2. Presentazione domanda.
La domanda, redatta in lingua italiana e secondo lo schema
pubblicato sul sito dell'Agenzia, deve essere predisposta in formato
elettronico, o fornita in copia ai sensi dell'art. 22, comma 2, del
CAD, sottoscritta con firma digitale, o firma elettronica
qualificata, dal legale rappresentante del conservatore ed inviata
alla casella di posta elettronica certificata all'indirizzo
protocollo@pec.agid.gov.it. Con le medesime modalita' deve essere
predisposta la documentazione, atta a dimostrare il possesso dei
requisiti richiesti, allegata alla domanda. Tale documentazione e'
elencata nel documento "Documentazione per l'accreditamento",
pubblicato sul sito istituzionale dell'Agenzia.
Si applica quanto disposto dal decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445 e s.m.i. in materia di
dichiarazioni sostitutive e di acquisizione d'ufficio delle
informazioni e di tutti i dati e documenti che siano in possesso di
pubbliche amministrazioni.
La domanda deve indicare:
la denominazione della societa';
la sede legale;
le sedi operative;
il/i rappresentante/i legale/i;
il nominativo e i recapiti (numeri telefonici, indirizzo e
indirizzo di PEC) di uno o piu' referenti tecnici cui rivolgersi in
presenza di problematiche tecnico-operative che possono essere
risolte per le vie brevi;
l'elenco dei documenti allegati, con preciso riferimento a quanto
indicato nel documento "Documentazione per l'accreditamento".
3. Iter istruttorio della domanda.
L'istruttoria relativa alle domande e la valutazione della
documentazione prodotta sono effettuate dall'Agenzia ai sensi
dell'art. 29, ad eccezione del comma 3, lettera a), del CAD. In
particolare:
1. la domanda di accreditamento si considera accolta qualora non
venga comunicato al conservatore il provvedimento di diniego entro
novanta giorni dalla data di presentazione della stessa;
2. il termine di 90 giorni di cui al punto precedente, puo'
essere sospeso una sola volta entro trenta giorni dalla data di
presentazione della domanda, esclusivamente per la motivata richiesta
di documenti che integrino o completino la documentazione presentata
e che non siano gia' nella disponibilita' dell'Agenzia o che questa
non possa acquisire autonomamente. Il periodo di sospensione si
conclude al momento della ricezione della documentazione integrativa
da presentare improrogabilmente entro centottanta giorni dalla data
di sospensione;
3. l'Agenzia si riserva, secondo quanto previsto al precedente
punto 2, di richiedere integrazioni alla documentazione presentata e
di effettuare le opportune verifiche su quanto dichiarato;
4. l'attivita' istruttoria e' svolta sulla base del documento
"Requisiti di qualita' e sicurezza per l'accreditamento", pubblicato
sul sito istituzionale dell'Agenzia. L'Agenzia si riserva la facolta'
di svolgere verifiche presso le strutture dedicate allo svolgimento
del servizio di conservazione;
5. al termine dell'istruttoria, l'Agenzia accoglie la domanda
ovvero la respinge, con provvedimento motivato, e ne da' apposita
comunicazione al conservatore;
6. a seguito dell'accoglimento della domanda, l'Agenzia dispone
l'iscrizione del conservatore nell'apposito elenco, ai fini
dell'applicazione della disciplina in questione;
7. il conservatore accreditato puo' qualificarsi come tale nei
rapporti commerciali e con le pubbliche amministrazioni;
8. il conservatore la cui domanda sia stata respinta non puo'
presentare una nuova domanda se non siano cessate le cause che hanno
determinato il mancato accoglimento della precedente e non prima di 6
mesi.
4. Elenco dei conservatori accreditati.
L'elenco dei conservatori accreditati ai sensi della presente
Circolare, pubblicato sul sito istituzionale dell'Agenzia, contiene
per ogni soggetto iscritto le seguenti informazioni:
a) denominazione della societa';
b) indirizzo della sede legale;
c) nominativo del rappresentante legale;
d) il manuale di conservazione del soggetto;
e) data di iscrizione;
f) stato dell'accreditamento (attivo, se in corso di validita', o
revocato, nel caso in cui sia intervenuta la revoca con indicazione
della data di revoca).
5. Vigilanza.
Nell'ambito delle attivita' di vigilanza di cui all'art. 31 del
CAD, l'Agenzia verifica la persistenza del possesso dei requisiti
previsti per l'accreditamento e della veridicita' di quanto
dichiarato nei documenti depositati.
La vigilanza e' svolta attraverso l'esame della documentazione
aggiornata in possesso dell'Agenzia, l'analisi dei documenti di
riepilogo delle attivita' svolte dal conservatore accreditato, la
verifica del possesso delle previste certificazioni del sistema di
conservazione e l'esecuzione di verifiche ispettive da parte
dell'Agenzia, o di soggetti terzi dalla stessa incaricati.
Ai fini della vigilanza, pertanto, il conservatore accreditato si
obbliga a comunicare tempestivamente all'Agenzia ogni evento che
modifichi i requisiti propri dell'accreditamento indicati nella
documentazione in possesso dell'Agenzia.
A decorrere dal quadrimestre successivo alla data di iscrizione
nell'elenco, il conservatore accreditato e' obbligato a trasmettere
all'Agenzia il rapporto quadrimestrale contenente i dati di riepilogo
delle attivita' svolte, predisposto secondo le indicazioni riportate
nel documento "Schema di rapporto quadrimestrale sulla
conservazione", pubblicato sul sito istituzionale dell'Agenzia.
Alla scadenza del certificato ISO/IEC 27001 il conservatore
accreditato si obbliga a trasmettere all'Agenzia il nuovo certificato
rilasciatogli ed inoltre, nel corso di validita' dello stesso,
annualmente, le risultanze delle verifiche periodiche di
mantenimento.
Almeno ogni 24 mesi, a partire dalla data comunicata dall'Agenzia,
il conservatore accreditato deve presentare un certificato di
conformita' del sistema di conservazione ai requisiti tecnici
organizzativi stabiliti dall'Agenzia, rilasciato da un ente di
certificazione accreditato da ACCREDIA, o da altro ente di
Accreditamento firmatario degli accordi di Mutuo riconoscimento nello
schema specifico. I suddetti requisiti tecnici organizzativi sono
indicati nel documento "Requisiti di qualita' e sicurezza per
l'accreditamento", pubblicato sul sito istituzionale dell'Agenzia.
Per l'esecuzione delle verifiche ispettive, il conservatore
accreditato si obbliga a prestare la massima collaborazione e a
consentire l'accesso all'Agenzia, o a soggetti terzi dalla stessa
incaricati, presso le strutture dedicate allo svolgimento del
servizio di conservazione. L'Agenzia puo' disporre l'esecuzione delle
verifiche ispettive, anche con breve preavviso, condotte secondo le
modalita' indicate in un apposito documento consultabile sul sito
istituzionale dell'Agenzia.
L'Agenzia si riserva, inoltre, la facolta' di richiedere al
conservatore accreditato ogni ulteriore documento correlato
all'espletamento del processo di conservazione, che consideri
necessario per poter svolgere le previste attivita' di vigilanza.
In caso vengano riscontrate difformita' nel corso dell'attivita' di
vigilanza, l'Agenzia indica al conservatore le modalita' e il termine
per la loro risoluzione. In caso di particolare gravita', o nel caso
di mancato rispetto del termine assegnato per l'eliminazione delle
difformita' riscontrate, l'Agenzia dispone l'immediata revoca
dell'accreditamento e la pubblicazione dell'informazione nell'elenco.
6. Disposizioni transitorie e finali.
Ai soggetti che abbiano presentato la domanda di accreditamento ai
sensi della Circolare DigitPA n. 59 del 29 dicembre 2011, prima
dell'entrata in vigore del decreto del Presidente del Consiglio dei
ministri 3 dicembre 2013 in materia di sistema di conservazione di
documenti informatici, e' richiesto di integrare e completare la
documentazione presentata entro centottanta giorni a decorrere dalla
data di pubblicazione in Gazzetta Ufficiale della presente Circolare.
La domanda di accreditamento si considera accolta qualora non venga
comunicato all'interessato il provvedimento di diniego entro novanta
giorni dalla data di presentazione della documentazione integrativa.
La presente Circolare, che sostituisce integralmente ed abroga la
Circolare DigitPA n. 59/2011, entra in vigore alla data di
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 10 aprile 2014
Il direttore generale
in qualita' di Commissario straordinario
Ragosa