Lo snellimento burocratico nella PA e la razionalizzazione dei processi nelle aziende passano anche per un’adeguata conservazione dei documenti informatici. In questo ambito le nuove “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” di AgID, in attuazione dal primo gennaio 2022, rappresentano un testo unico che si applica, in base al Codice dell’Amministrazione digitale (CAD), sia a soggetti pubblici che privati.
«Il documento informatico è un documento elettronico che rappresenti atti, fatti e dati giuridicamente rilevanti. Hanno cioè valenza probatoria. Può includere contratti, fatture elettroniche, PEC, ma anche la posta ordinaria e persino le chat. Le aziende devono perciò essere preparate per conservare tutti i documenti informatici rilevanti», afferma Luciano Quartarone, CISO e Data Protection Director di Archiva Group, gruppo di aziende specializzate in questo ambito. Come farlo a norma? «Con sistemi informatici adeguati e con le giuste competenze».
Who's Who
Luciano Quartarone
CISO e Data Protection Director di Archiva Group
Il ruolo dei metadati
L’adeguamento alle nuove Linee guida è stato un lungo “tira e molla” col legislatore da parte delle imprese. La normativa è infatti in vigore dal settembre del 2020 ma è diventata attuativa solo dal 1 gennaio di quest’anno dopo una proroga per consentire ai soggetti privati di farsi trovare pronti. E alcuni avrebbero desiderato un ulteriore rinvio.
La maggior difficoltà incontrata è legata al fatto che queste «linee guida hanno valenza erga omnes; in sostanza rappresentano un obbligo», dichiara Quartarone. «L’adeguamento non è senza costi, sia per il titolare dei documenti che per il conservatore, perché richiede l’aggiornamento dei sistemi informatici e la raccolta dei metadati. I metadati accompagnano il documento informatico nel suo intero ciclo di vita ma è più facile per la PA che per i privati disporne. Pensiamo al numero di protocollo di un documento: è un metadato che le aziende spesso non hanno».
Per garantire l’efficacia probatoria dei documenti le Linee Guida richiedono una corretta compilazione dei metadati da associare a partire dalla generazione del documento e per tutta fase di gestione, conservazione inclusa. Il documento menziona 18 tipi di metadati, di cui solo 4 facoltativi e alcuni altri sono opzionali in base a precedenti valorizzazioni, che le aziende devono avere a corredo del documento informatico per permetterne la gestione, l’indicizzazione e la ricercabilità.
Le 5 classi documentali più a rischio di mancata compliance
Tra tutti i documenti informatici, nota Archiva, ce ne sono alcuni più tipicamente a rischio di non conformità. Il primo sono i contratti. Per fare un esempio, nel momento in cui il primo contraente appone una firma elettronica, necessariamente anche le altre parti contraenti, per non interrompere la catena di validità delle firme, devono sottoscrivere il contratto con uguale modalità (firma elettronica o sigillo elettronico). Si ha dunque un documento informatico per il quale scatta in automatico l’obbligo di conservazione per tutti i soggetti contraenti.
Una seconda tipologia è la PEC: serve organizzare la conservazione se si vuole preservare l’efficacia probatoria oltre il 30mo mese, periodo obbligatorio previsto dalla normativa per il gestore del servizio di PEC.
Un terzo caso è rappresentato dal LUL (Libro Unico del Lavoro): nella conservazione dei documenti delle HR bisogna valutare di quali basta la copia cartacea e di quali serve il documento informatico.
Un quarto tipo sono le Note Spese: occorre verificare quali sono le applicazioni il cui processo di elaborazione non richiede il recupero del giustificativo originario su carta.
Infine, non vanno dimenticati i Report Finanziari e di Controllo: se l’azienda vuole che specifici documenti assumano rilevanza per l’autorità dovrà conservarli “a norma”.
Come garantire l’adeguamento alle norme
Che cosa fare, dunque, per le aziende che non si sono ancora pienamente adeguate alle Linee Guida AgID? «Servono sicuramente competenze e risorse per vagliare la normativa, assegnare e interpretare i diversi ruoli. Nel caso le competenze non siano presenti può essere utile rivolgersi a un soggetto esterno. Per esempio, il Responsabile della conservazione deve avere tre competenze fondamentali: giuridiche, archivistiche e informatiche. Ovviamente sono competenze che si possono formare con dei corsi, ma non si possono improvvisare dall’oggi al domani».
La conservazione può essere realizzata internamente al soggetto produttore dei documenti informatici da conservare, oppure affidata, in modo totale o parziale, ad altri soggetti, pubblici o privati che offrono idonee garanzie organizzative e tecnologiche.
«Come conservatore Archiva è in grado di occuparsi, dietro apposito incarico, di tutto il processo di conservazione dei documenti informatici: dalla prese in carico del Pacchetto di Versamento, alla generazione del Pacchetto di Archiviazione fino alla produzione del Pacchetto di Distribuzione e, quando richiesto e previsto, allo scarto dal Sistema di Conservazione», afferma Quartarone. «Rispondiamo a tutti i requisiti richiesti, tra cui qualità, sicurezza, continuità operativa, affidabilità organizzativa, tecnica e finanziaria, necessari per svolgere l’attività di conservazione. Siamo stati iscritti nell’Albo dei conservatori accreditati da AgID dal 2014 fino all’abrogazione dello stesso albo lo scorso dicembre. Ora siamo presenti nel Marketplace dei Conservatori attivato da AgID a gennaio. Si tratta di un registro di soggetti che possono erogare il servizio di conservazione alla PA».
Con un conservatore esperto le aziende hanno la certezza di aumentare la sicurezza dei loro dati e degli accessi. In particolare Archiva garantisce il pieno e costante rispetto degli aspetti normativi sia per via delle numerose certificazioni conseguite (Archiva ad oggi ha certificazioni basate su 8 standard differenti, nazionali e internazionali e ha in corso ulteriori attività di certificazione) sia grazie alla partecipazione attiva ai tavoli di normazione, sapendo quindi anticipare i processi di cambiamento normativo futuri. Un altro valore aggiunto proposto è l’attività di consulenza, che aiuta le aziende a mitigare il rischio di sanzioni e ad assicurare la compliance.
«Ma non ci fermiamo qui», prosegue Quartarone. «Per Archiva, infatti, la conservazione è come l’ultimo miglio del viaggio del documento informatico e rappresenta un’occasione per creare efficienza nei processi che formano il documento».
La transizione digitale si trasforma così da onere a occasione: «Se i documenti arrivano tutti nella stessa forma possono essere pienamente sfruttati per il business. Pensiamo alle informazioni contenute nelle email», evidenzia Quartarone. «Andare oltre il perimetro della norma vuol dire riuscire a valorizzare il patrimonio informativo aziendale rendendolo memoria dell’attività istituzionale svolta. Dobbiamo pensare all’archivio digitale come al “salotto bello” dove accogliere i nostri clienti».
La firma elettronica: sicurezza e affidabilità
Archiva offre anche, tramite il brand Requiro, una soluzione di firma e la gestione dell’intero processo di firma. Il prodotto di firma elettronica Requiro Sign è integrato con la piattaforma DMS del gruppo Archiva, Requiro Coud, dove si può attivare il tool di firma, è integrabile con un BPM (Requiro propone Kissflow, piattaforma no-code che unifica i flussi aziendali) e si collega al servizio di conservazione di Archiva.
«L’ordinamento italiano, riprendendo il Regolamento europeo eIDAS, prevede una definizione generica della firma elettronica, che non specifica requisiti tecnici né prevede misure particolari per garantire la connessione univoca tra il firmatario e i mezzi utilizzati per la creazione della firma. C’è dunque spazio per la creazione di soluzioni diverse ed è importante ricercare un provider che offra un servizio di firma e conservazione con elevate caratteristiche di sicurezza, integrità e immodificabilità», conclude Quartarone.