Cerco un protocollo "a norma"

MDiogeneUna legge del 1997 che resta moderna

Quasi diciotto anni fa, l'art. 21 del Decreto del Presidente della Repubblica 10-11-1997, n.513 recitava:

Entro il 31 dicembre 1998 le pubbliche amministrazioni dispongono per la tenuta del protocollo amministrativo e per la gestione dei documenti con procedura informatica al fine di consentire il reperimento immediato, la disponibilità degli atti archiviati e l'accesso ai documenti amministrativi per via telematica tra pubbliche amministrazioni e tra queste ed i soggetti privati aventi diritto.

Leggendo i documenti, le circolari e le regole tecniche scritti in quegli anni mi sono convinto che siano stati redatti da visionari ma, come spesso avviene, gli idealisti non sono compresi (quando non subiscono un destino peggiore). È evidente che chi ha scritto quei testi aveva già in mente un documento informatico, ma chi doveva attuarli ne ha spesso data una lettura al ribasso, considerando il protocollo informatico alla stregua della conversione in Excel del tradizionale librone cartaceo.

È da quindici anni che le norme chiedono al protocollo informatico di essere la porta d'ingresso del documento digitale nella PA, ma ancora oggi è molto difficile trovare un sistema di protocollo e gestione documentale che sia adeguato alle esigenze di una PA sempre più digitalizzata.

Pratiche telematiche e protocollo informatico

Il Decreto Legge 24/06/2014, art. 24, c.3-bis impone alle pubbliche amministrazioni di dotarsi di un piano d'informatizzazione delle procedure per la presentazione di istanze, dichiarazioni e segnalazioni che permetta la compilazione on line con procedure guidate accessibili tramite autenticazione SPID. Il piano deve prevedere la completa informatizzazione. Ma che fine faranno le istanze telematiche?

L'art. 40-bis del CAD impone l'obbligo di sottoporre a registrazione di protocollo le comunicazioni ricevute o inviate tramite posta elettronica e le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell'art. 65 del CAD.

Nella gestione informatizzata dei procedimenti amministrativi il sistema di protocollo riveste un ruolo estremamente importante, perché è un atto pubblico di fede privilegiata che fa fede fino a querela di falso circa la data e il contenuto delle comunicazioni in entrata e in uscita dalla pubblica amministrazione. Non si deve poi dimenticare che il DPCM 22 febbraio 2013, art.41, c.4 mette la segnatura di protocollo tra i riferimenti temporali opponibili ai terzi.

Il protocollo che sto cercando:

Usa le informazioni contenute nel file di segnatura

Può sembrare superfluo dirlo, ma spesso per identificare il mittente ho visto utilizzare l'indirizzo mail, invece di leggere il relativo elemento nel file di segnatura!

Esegue una corretta registrazione d'archivio

La corretta registrazione d'archivio garantisce la PA e i cittadini in merito all'efficacia dell'atto ed è descritta dall'art. 53 del TUDA.

È importante accertarsi che:

  • l'impronta sia calcolata per ciascun documento informatico associato alla registrazione di protocollo e che l'algoritmo usato sia quello vigente (Regole tecniche, art. 19)
  • i contenuti che la norma individua come immodificabili siano effettivamente tali
  • il registro giornaliero di protocollo contenga tutte le informazioni inserite con la registrazione, ivi comprese le impronte dei documenti
  • il registro giornaliero di protocollo sia prodotto in un formato adatto alla conservazione (PDF/A).

Gestisce i riferimenti esterni sia in entrata che in uscita

Già nella circolare AIPA/CR/28 del 2001 era prevista la gestione dei cosiddetti riferimenti esterni, che sono pensati apposta per consentire di trasmettere in modo sicuro files di grandi dimensioni senza allegarli al messaggio MIME. Il documento AIPA L'interoperabilità dei sistemi di protocollo informatico in ambiente distribuito del 18/10/2000 chiarisce senza ombra di dubbio la funzione dei riferimenti esterni in un messaggio protocollato. La Circolare AgID 23-1-2013, n.60 conferma la necessità di gestione dei riferimenti esterni.

È importante accertarsi che:

  • alla ricezione di un messaggio nella cui segnatura siano presenti riferimenti esterni, il sistema di protocollo provveda prima della protocollazione a scaricare localmente i documenti e a confrontarne l'impronta con quella contenuta nella segnatura. Nel caso in cui sia impossibile scaricare i documenti o le impronte non coincidano, il sistema deve inviare al mittente un messaggio di eccezione
  • in fase di invio il sistema di protocollo consenta di identificare quei documenti che, anziché essere inseriti nel corpo del messaggio, debbano essere collocati in un repository esterno; esegua la copia dei documenti nel repository (che deve avere adeguate caratteristiche di sicurezza); componga correttamente il file di segnatura e invii il messaggio.

Gestisce la fascicolazione per procedimento

Sono ormai passati nove anni da quando l'art. 18 del Decreto Legislativo 4/04/2006, n.159 ha modificato l' art.41 del CAD introducendo il concetto di fascicolo informatico così come lo conosciamo oggi. L'art. 28 del Decreto Legislativo 30/12/2010, n. 235 ha modificato, rafforzandole, le disposizioni relative al vincolo di fascicolazione.

A ogni procedimento amministrativo deve corrispondere un fascicolo!

In questo caso, la norma esprime un requisito più organizzativo che tecnico. È importante accertarsi che il sistema di protocollo governi correttamente la fascicolazione e che questa sia correttamente eseguita dai funzionari.

Garantisce l'accesso telematico al fascicolo

L'art.41 del CAD ci descrive un fascicolo informatico che garantisce i più evoluti criteri di efficienza e di trasparenza. Il sistema di gestione documentale associato al protocollo informatico deve consentire:

  • la consultazione per via telematica del fascicolo relativo al procedimento a tutti i soggetti interessati (c.2)
  • la consultazione e il popolamento per via telematica del fascicolo relativo al procedimento a tutte le amministrazioni coinvolte nel procedimento (c. 2-bis e c. 3)
  • l'accesso agli atti ai sensi della Legge 7/08/1990, n. 241 (c. 2-quater)
  • lo svolgimento di una conferenza di servizi "telematica" ai sensi della Legge 7/08/1990, n. 241 (c. 3).

Sembra superfluo sottolineare che il sistema di gestione documentale debba prevedere la definizione e la gestione di Access Control List (ACL) sui singoli documenti e sui fascicoli.
La definizione e la gestione di ACL devono consentire il controllo differenziato dell’accesso ai documenti per ciascun utente o gruppo di utenti in condizioni di sicurezza nel rispetto delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.

Gli inadempienti

Compilare un elenco di amministrazioni inadempienti sarebbe uno sforzo titanico, ne cito una per tutte.

Il fatto che le PEC ricevute dalle CCIAA non contengano il file di segnatura mi fa sospettare che il loro protocollo non sia "a norma". D'altra parte, se il sistema di protocollo e gestione documentale delle CCIAA fosse "a norma", che bisogno ci sarebbe di lavorare al fascicolo d'impresa previsto dal art. 43-bis del TUDA? L'accesso sarebbe garantito dal rispetto dell'art. 41.

Cosa dovrebbe fare AgID (secondo me)

Certificare i software di protocollo

AgID non certifica i software di protocollo: perché mai? Dice che non rientra nei suoi compiti istituzionali. Per la verità, se si legge in modo non miope la pagina Competenze e funzioni del sito AgID, numerose tra queste sarebbero buoni motivi per erogare servizi di certificazione dei software di protocollo. Stanti così le cose, la PA si deve accontentare di "un'autocertificazione" del produttore del software (nemmeno ai sensi dell'art. 47 del TUDA, che non prevede l'autocertificazione del software...).

In mancanza di servizi di certificazione, il CNIPA aveva pubblicato una checklist per permettere alle PA di verificare la rispondenza dei prodotti software con le normative. Con l'evolversi delle normative la checklist è diventata obsoleta ma, come evidenziato in una FAQ pubblicata sul sito AgID non c'è alcuna intenzione di aggiornarla.

Non sarebbe un grande servizio a PA e a imprese, se AgID rilasciasse delle certificazioni? Porterebbe a enormi risparmi per la PA e l'attività di certificazione e auditing potrebbe essere un canale di finanziamento per l'Agenzia.

Mantenere adeguatamente le regole tecniche

Al capitolo 1 della Circolare AgID 23-1-2013, n.60 (quella che descrive la nuova struttura del file di segnatura) è scritto:

Tale schema viene applicato anche nel caso di trasmissione di documenti informatici da parte delle pubbliche amministrazioni a privati. Può altresì rappresentare riferimento per i privati per lo scambio in automatico di documenti informatici con le pubbliche amministrazioni.

Quindi anche i privati possono usare la segnatura (e ci mancherebbe anche che me lo proibissero!) quando scrivono alla PA.

Ma cosa deve mettere un privato nell'elemento CodiceAmministrazione? Ho inviato una PEC con il quesito nel febbraio 2014, ma sto ancora aspettando una risposta.

Gli schemi XML dovrebbero essere resi pubblicati sul sito di AgID, come previsto dall'art. 20 delle Regole tecniche sul protocollo informatico, nel rispetto della specifica W3C XMLSchema, alla quale viene fatto esplicito riferimento nella circolare 60. Tutto quello che si trova sul sito AgID è la versione PDF della circolare 60. Chi volesse farsi un'idea di come si pubblicano gli schemi XML può fare un giro sul sito del W3C.
Ho segnalato l'inadempienza con una PEC nel gennaio 2014, ma sto ancora aspettando una risposta.

Per concludere

Alessandro Manzoni, scrivendo nel 1827 "I promessi sposi", rifletteva con amarezza sul fatto che, già nel 1584 si facessero gride contro i bravi e restando queste inapplicate se ne facessero di nuove e ancor più vigorose e notabili.

Oggi, come allora, le leggi ci sono, ci sono da ormai diciotto anni, basterebbe che le PA le applicassero e che noi cittadini pretendessimo la loro applicazione.