Definita nella Convenzione con l’Agenzia per l’Italia Digitale, siglata il 21 luglio scorso, la certificazione dei “conservatori a norma” deve essere rilasciata da organismi verificati da Accredia e accreditati in base agli standard tecnici internazionali applicabili, oltre che alle specifiche regole e provvedimenti definiti insieme ad AgID. Un ruolo importante per l’Ente Unico di Accreditamento Italiano, di supporto alla Pubblica Amministrazione nell’interpretazione e applicazione delle regole di accreditamento indicate dal Legislatore per disciplinare e vigilare il mercato.
A un anno dalla pubblicazione dello schema di accreditamento degli organismi di certificazione dei conservatori di documenti informatici, è tempo di bilanci. Ne parliamo con Riccardo Bianconi, ispettore e responsabile security e controller di Accredia.
Come nasce la richiesta di questo schema di accreditamento?
Questa richiesta è stata fatta espressamente da AgID ad Accredia, in risposta a quanto indicato nel D. Lgs. n. 179/2016, che ne prevedeva l’attuazione, garantendo anche la conformità all’art. 24 del Regolamento UE n. 910/2014 “eIDAS” (Electronic IDentification Authentication and Signature) sull’identità digitale che ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.
Come funziona lo schema di accreditamento?
Lo schema è stato pensato fin da subito come strumento per offrire fiducia sia a fronte del rispetto dei livelli di servizio dei conservatori, sia, in modo ancor più significativo, per trasmettere fiducia alla Pubblica Amministrazione e ai cittadini sulla solidità delle infrastrutture ICT, deputate allo svolgimento di tale processo.
Non si può ignorare infatti che già oggi, e sempre più in futuro, i conservatori di documenti informatici avranno la responsabilità di garantire una vera e propria “resilienza” nei confronti di tutte le minacce che insistono sulla propria infrastruttura e, di riflesso, sui servizi offerti.
Ci spieghi meglio…
Un conservatore deve avere una particolare attenzione alla capacità, della propria infrastruttura e dell’organizzazione che la governa, di rispondere agli effetti delle minacce che insistono su tale “macchina operativa” in modo adeguato e coerente con gli SLA (Service Level Agreement) definiti sia contrattualmente sia per legge. Quindi, dovranno essere garantite la disponibilità, l’integrità e l’accessibilità dei dati e delle informazioni che questi materializzano.
Che cosa comporta una perdita di dati o informazioni?
Considerando che il processo di conservazione di documenti informatici a norma è un processo governato prima ancora che dalle norme tecniche dalle leggi cogenti, il verificarsi di perdite di dati o di crepe sulla riservatezza o sull’integrità di tali dati/informazioni, magari sensibili per il cittadino, rappresenta, prima ancora che un problema tecnico, economico o gestionale, un rischio elevatissimo soprattutto in area compliance, quindi in primo luogo reputazionale.
A un anno dalla pubblicazione dello schema di certificazione, che tipo di bilancio può fare?
Oggi il numero di conservatori a norma, già in possesso di una certificazione di conformità ai requisiti definiti da AgID e riportati nello schema di accreditamento, può essere considerato un campione significativo di tutti i conservatori esistenti e i dati e le analisi condotte su tale processo hanno un significato che va oltre il mero parere personale. Oggi possiamo dimostrare l’utilità e il grande valore che garantisce la certificazione accreditata da Accredia del processo di conservazione di documenti informatici a norma di legge. Possiamo tracciare un bilancio positivo del processo di valutazione e certificazione svolto dagli organismi di certificazione che operano con l’accreditamento di Accredia.
Si ritiene quindi che la scelta operata dal Legislatore nel 2016 si sia dimostrata lungimirante e appropriata ma soprattutto economicamente utile, e non una sovrastruttura burocratica da dover abbandonare sulla base del recente ma importante mantra della semplificazione.
Bilancio positivo quindi. Nessuna anomalia da segnalare?
Ci sono conservatori che hanno dimostrato una professionalità e un’attenzione da subito eccellenti, tanto da non ricevere alcun rilievo, se non delle raccomandazioni e forse neanche quelle. Ce ne sono altri, per la verità, che grazie all’operato degli organismi di certificazione hanno avuto la possibilità di riscontrare oggettivamente l’esistenza di Non Conformità, anche maggiori (bloccanti il processo di certificazione, sino alla loro risoluzione). Proprio grazie a queste risultanze, tali conservatori hanno potuto fare delle riflessioni e irrobustire sia la propria infrastruttura, sia la propria organizzazione, sia il proprio processo decisionale. Un risultato di altissimo valore, se si pensa che, essendo già entità accreditate e operative, avevano delle carenze tali da mettere a repentaglio la sicurezza del processo di conservazione.
Fonte: Accredia