CAD, dlgs. 82/2005: riassunto e aggiornato

Il Codice dell'amministrazione digitale (CAD) approvato con decreto legislativo del 7 marzo 2005, n. 82 (dlgs. 82/2005), si pone lo scopo di incentivare l'innovazione digitale nell'amministrazione pubblica, incentivando l'efficienza, la trasparenza e l'accessibilità dei servizi offerti.

Principi, finalità e ambito di applicazione del CAD, dlgs. 82/2005

   Posto che Stato, Regioni e autonomie locali devono assicurare disponibilità, gestione, accesso, trasmissione, conservazione e fruibilità delle informazioni in modalità digitale, facendo uso delle tecnologie dell'informazione e della comunicazione in modo adeguato per soddisfare gli interessi degli utenti (art. 2, comma 1), si stabilisce che le disposizioni del Codice dell'amministrazione digitale si applicano:

1. alle pubbliche amministrazioni, alle autorità di sistema portuale, alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione, ai gestori di servizi pubblici, alle società a controllo pubblico, escluse alcune categorie, e agli organismi di diritto pubblico (art. 2, comma 2), i quali:

• utilizzano le tecnologie dell'informazione e della comunicazione per le comunicazioni interne, con altre amministrazioni e con privati, garantendo l'interoperabilità dei sistemi e l'integrazione dei processi di servizio (art. 12, comma 2). Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione applicativa, e sono valide ai fini del procedimento amministrativo (art. 47, comma 1). È inoltre disposto che le comunicazioni tra imprese e pubbliche amministrazioni debbano avvenire esclusivamente tramite tecnologie dell'informazione e della comunicazione (art. 5bis, comma 1);

• devono fornire servizi digitali semplici e integrati, con la possibilità per gli utenti di valutarne la qualità. In caso di violazioni, gli utenti possono ricorrere in giudizio (art. 7).

2. a diversi ambiti quali il processo civile, penale, amministrativo, contabile e tributario, a meno che non siano previste diverse disposizioni per il processo telematico (art. 2, comma 6);

3. ai privati, salvo diversa previsione, per quanto riguarda il documento informatico, le firme elettroniche, i servizi fiduciari, la riproduzione e conservazione dei documenti, il domicilio digitale e le comunicazioni elettroniche (art. 2, comma 3).

   La finalità del Codice è, in sintesi, sia quella di far transitare i soggetti sopraindicati verso il digitale, sia quella di soddisfare il “diritto [di chiunque] di usare, in modo accessibile ed efficace, le soluzioni e gli strumenti” previsti dal Codice nei rapporti con le entità indicate nell'art. 2, comma 2 (PA, etc). Questo diritto include l'accesso ai servizi online (art. 7) e la partecipazione al procedimento amministrativo, ferma restando la tutela dei diritti delle minoranze linguistiche riconosciute (art. 3). Il riferimento alle minoranze linguistiche è legato all'obbligo di garantire l'accessibilità e l'efficacia delle soluzioni e degli strumenti anche per le persone che appartengono, appunto, a quelle minoranze linguistiche riconosciute dallo Stato italiano, e che possono essere identificate quali “categorie a rischio di esclusione” ai sensi dell'art. 8, dlgs. 82/2005 (v. infra, Alfabetizzazione digitale).

   Al fine di rendere effettivi tali diritti, le pubbliche amministrazioni e i fornitori di identità digitali progettano e sviluppano i propri sistemi e servizi in modo da garantire l'integrazione e l'interoperabilità tra i diversi sistemi e servizi (art. 64bis). Si vuol fare notare che, benché non affermato dal Codice, tale disposizione si pone in forte conformità con l'art. 20, para. 2, del General Data Protection Regulation (GDPR), in cui si dispone il diritto dei fruitori di servizi (interessato) di ottenere la trasmissione diretta dei propri dati personali da un fornitore di servizi (titolare del trattamento) all'altro, quando tecnicamente possibile.

Identità digitale e domicilio digitale

   Mentre “chiunque” ha il diritto di accedere ai servizi online offerti dalle pubbliche amministrazioni tramite la propria identità digitale (art. 3bis, comma 01), le entità pubbliche e i professionisti iscritti ad albi ed elenchi hanno l'obbligo di dotarsi di un domicilio digitale registrato in uno degli indici nazionali dei domicili digitali (art. 3bis, comma 1; v. infra). Le definizioni date dal Codice inerenti l'identità digitale e il domicilio digitale, sono:

• identità digitale (art. 1, comma 1ter, lett. u-quater): la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale. L'articolo in questione rimanda all'art. 64, dove in materia di identità digitale si fa particolare riferimento al Sistema pubblico di identità digitale (SPID).

• domicilio digitale (art. 1, comma 1ter, lett. n-ter): l'indirizzo elettronico eletto presso un servizio di Posta elettronica certificata (PEC) o un servizio elettronico di recapito certificato qualificato, valido ai fini delle comunicazioni elettroniche aventi valore legale.

L'Indice nazionale dei domicili digitali (INI-PEC)

   Sono istituiti i seguenti indici nazionali dei domicili digitali, che possono essere consultati online da chiunque senza autenticazione, fermo restando il divieto di utilizzarli per l'invio di comunicazioni commerciali senza l'autorizzazione del titolare dell'indirizzo (art. 6quater):

• Indice dei domicili digitali delle imprese e dei professionisti (art. 6bis), creato dagli elenchi di indirizzi PEC presenti presso il registro delle imprese e gli ordini o collegi professionali. I domicili digitali inclusi nell'Indice nazionale costituiscono l'unico mezzo di comunicazione e notifica con i soggetti indicati all'art. 2, comma 2 (art. 6bis comma 2). Il Ministero per lo sviluppo economico collabora con l'Agenzia per l'Italia Digitale (AgID) per realizzare e gestire l'Indice nazionale. Per fare ciò, si avvale delle strutture informatiche delle Camere di commercio, che sono incaricate della gestione del registro delle imprese (art. 6bis, comma 4).;

• Indice dei domicili digitali della pubblica amministrazione e dei gestori di pubblici servizi (art. 6ter), nel quale sono indicati i domicili digitali da utilizzare per le comunicazioni e per lo scambio di informazioni a tutti gli effetti di legge tra le pubbliche amministrazioni, i gestori di pubblici servizi e i privati (art. 6ter, comma 1). L'Indice è realizzato e gestito dall'AgID (art. 6ter, comma 2). Le amministrazioni e i gestori devono aggiornare l'Indice tempestivamente, e la mancata comunicazione può comportare responsabilità dirigenziali (art. 6ter, comma 3);

• Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non iscritti in albi, elenchi o registri professionali o nel registro delle imprese (art. 6quater), realizzato e gestito dall'AgID. I professionisti iscritti in albi ed elenchi utilizzano il domicilio digitale presente nell'elenco di cui all'art. 6-bis, ma hanno il diritto di eleggerne uno diverso.

Alfabetizzazione digitale

   Lo Stato e gli enti pubblici promuovono iniziative per diffondere la cultura digitale tra i cittadini, specialmente tra i minori e le categorie a rischio di esclusione (art. 8). Le pubbliche amministrazioni, tenute a utilizzare le tecnologie dell'informazione per raggiungere obiettivi di efficienza e trasparenza (art. 12), promuovono politiche di reclutamento e formazione del personale per favorire l'utilizzo delle tecnologie dell'informazione e della comunicazione (art. 13). Oltre a ciò, le pubbliche amministrazioni mettono a disposizione degli utenti connessioni a banda larga per l'accesso a internet, secondo la disponibilità di banda e le modalità definite dall'AgID (art. 8bis), favorendo l'uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini nel processo democratico e per agevolare l'esercizio dei diritti politici e civili, anche se residenti all'estero (art. 9).

   Un ulteriore aspetto riguarda lo sviluppo delle competenze tecnologiche, informatiche giuridiche e manageriali dei dirigenti, in vista della transizione al lavoro digitale. I dirigenti sono responsabili dell'osservanza e dell'attuazione del Codice, con possibili responsabilità penali, civili e contabili previste dalla legge. L'attuazione del Codice è rilevante per la valutazione delle performance organizzative e individuali dei dirigenti (art. 12, 1ter).

Codice dell'amministrazione digitale, dlgs. 82/2005, schema

Codice di condotta tecnologica

Le pubbliche amministrazioni che avviano progetti di sviluppo dei servizi digitali sono tenute a rispettare il codice di condotta tecnologica (art. 13bis, comma 3)¹, il quale “disciplina le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto del principio di non discriminazione, dei diritti e delle libertà fondamentali delle persone e della disciplina in materia di perimetro nazionale di sicurezza cibernetica” (art. 13bis, comma 2). Il codice di condotta tecnologica è adottato dal Capo dipartimento della struttura della Presidenza del Consiglio dei ministri competente per la trasformazione digitale.

   L'Agenzia per l'Italia Digitale (AgID) è responsabile della verifica del rispetto del codice di condotta tecnologica e, in caso di violazioni, può diffidare i soggetti a conformare la propria condotta agli obblighi previsti dal codice. Inoltre, la progettazione, la realizzazione e lo sviluppo di servizi digitali e sistemi informatici in violazione del codice di condotta tecnologica è considerato un fallimento nel raggiungimento di obiettivi importanti da parte dei dirigenti responsabili delle strutture coinvolte. Come conseguenza, tali dirigenti possono subire una riduzione pari almeno al 30% della retribuzione di risultato e del trattamento accessorio collegato alla loro performance individuale (art. 13bis, comma 5).

Agenzia per l'Italia Digitale (AgID): le funzioni ai sensi del dlgs 82/2005

   L'Agenzia per l'Italia Digitale (AgID) si occupa di promuovere l'innovazione digitale nel Paese, nonché l'utilizzo delle tecnologie digitali nella pubblica amministrazione e il rapporto tra amministrazione, cittadini e imprese (art. 14bis, comma 1). Svolge diverse funzioni, tra cui l'emissione di linee guida per l'attuazione del Codice (art. 71), la programmazione e il coordinamento delle attività delle amministrazioni pubbliche nell'uso delle tecnologie dell'informazione e della comunicazione, il monitoraggio delle attività svolte, la gestione di progetti di innovazione e la promozione della cultura digitale. Inoltre, fornisce pareri tecnici sulle procedure di acquisizione di sistemi informativi automatizzati, esercita la vigilanza su servizi fiduciari, gestori di posta elettronica certificata e soggetti che partecipano a SPID. Infine, l'AgID svolge altre funzioni definite dalla legge e dallo Statuto (art. 14bis, comma 2).

   L'AgID ha il potere di vigilare, controllare e monitorare il rispetto delle disposizioni del Codice e delle norme di digitalizzazione (art. 18bis, comma 1). In caso di violazioni, l'AgID può contestare (art. 18bis, comma 2) e sollecita il trasgressore a conformarsi alle disposizioni del Codice (pena una sanzione da un minimo di 10.000 € a un massimo di 100.000²) , inoltre segnalando le violazioni all'ufficio competente per i procedimenti disciplinari, e pubblicando le predette segnalazioni su apposita area del proprio sito internet istituzionale (art. 18bis, comma 3). Inoltre, l'AgID può segnalare violazioni alla Presidenza del Consiglio dei ministri o del ministro competente, che può adottare misure sostitutive in caso di inottemperanza da parte degli enti responsabili, nominando un commissario ad acta incaricato di provvedere in sostituzione (art. 18bis, comma 6).

   Tra le diverse mansioni svolte, l'AgID riceve le domande di qualificazione dei soggetti che intendono fornire servizi fiduciari e di posta elettronica certificata (art. 29, comma 1). Dopo l'eventuale accettazione della domanda, l'AgID inserisce il richiedente in un apposito elenco pubblico consultabile anche in via telematica (art. 29, comma 6).

   Presso l'AgID è inoltre istituito il difensore civico per il digitale, a cui è possibile presentare segnalazioni di presunte violazioni del codice e delle norme di digitalizzazione. Qualora le segnalazioni risultassero infine fondate, il difensore civico per il digitale le trasmetterà al direttore generale dell'AgID (art. 17, comma 1quater).

   L'AgID è responsabile, di concerto con le altre autorità in materia, dell'attuazione del Quadro strategico nazionale per la sicurezza dello spazio cibernetico e del Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. In questo ambito, l'Agenzia per l'Italia Digitale coordina le iniziative di prevenzione e gestione degli incidenti informatici, promuove la cooperazione internazionale, segnala le violazioni delle regole tecniche da parte delle pubbliche amministrazioni al ministro la semplificazione e la pubblica amministrazione (art. 51, comma 1bis).

   È altresì istituito presso l'AgID il Repertorio nazionale dei dati territoriali (RNDT), che ha lo scopo di facilitare l'accesso a quei dati di interesse generale (dati territoriali, inerenti ai servizi, ma anche relativamente alle condizioni atmosferiche etc) raccolti dalle pubbliche amministrazioni a livello nazionale, regionale e locale (art. 59, comma 3 e art. 60, comma 1). In sostanza, RNDT funge da catalogo nazionale centralizzato, fornendo un punto di accesso unificato per consultare, condividere e scaricare informazioni geografiche.

   L'AgID cura il Sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), istituito dall'art. 64, comma 2bis, dlgs. 82/2005.

Il responsabile per la transizione digitale

   Il Presidente del Consiglio o il ministro delegato per l'innovazione e le tecnologie – relazionando annualmente al parlamento sull'attuazione del Codice – coordina il processo di digitalizzazione, definisce le linee strategiche, valuta l'utilizzo delle risorse finanziarie e promuove progetti innovativi (art. 16).

   Per garantire l'attuazione delle linee strategiche per la digitalizzazione definite dal governo, le pubbliche amministrazioni designano un ufficio per la transizione digitale, che si occupa del coordinamento strategico dello sviluppo dei sistemi informativi, nonché di pianificare la sicurezza informatica, la promozione dell'accessibilità per i diversamente abili e l'analisi della coerenza tra l'organizzazione amministrativa e l'uso delle tecnologie dell'informazione e della comunicazione (art. 17, comma 1).

   Il responsabile dell'ufficio suddetto è “dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla modalità digitale direttamente all'organo di vertice politico” (art. 17, comma 1ter).

Documenti informatici, firma digitale e certificati

   In un percorso di dematerializzazione dei documenti (art. 42), le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici, in conformità al CAD e alle linee guida dell'AgID (art. 40, comma 1).

   L'art. 20 stabilisce infatti che i documenti informatici possono avere validità e valore probatorio se firmati digitalmente o sottoscritti mediante altre forme di firma elettronica qualificata. In caso contrario, la loro validità e il loro valore probatorio sono valutabili in tribunale.

1. Firma digitale, art. 24: che deve essere univocamente associata a un soggetto e al documento sottoscritto. La firma digitale è un tipo di firma qualificata che si basa su un sistema di chiavi crittografiche, composto da una chiave pubblica e una chiave privata. Il titolare della firma digitale utilizza la propria chiave privata per apporre una firma digitale su un documento elettronico specifico, generando così un codice crittografico unico per quel documento. Questo consente a un terzo soggetto di verificare l'autenticità e l'integrità del documento utilizzando la chiave pubblica associata. È necessario utilizzare un certificato qualificato per generare la firma digitale, che deve essere valido al momento della sottoscrizione. L'apposizione di una firma digitale basata su un certificato revocato, scaduto o sospeso equivale a mancata sottoscrizione;

• ai fini della validità, il certificato può includere, oltre alle informazioni previste dal regolamento UE 910/2014 (Regolamento eIDAS )³, il codice fiscale (art. 28, comma 2) o anche informazioni aggiuntive richieste dal titolare o da terzi interessati, come le qualifiche specifiche del titolare, i limiti d'uso del certificato e i limiti del valore degli atti unilaterali e dei contratti (art. 28, comma 3).

2. Firma elettronica (o qualsiasi altro tipo di firma elettronica avanzata autenticata da un notaio o da altro pubblico ufficiale riconosciuto), art. 25: che ha valore legale secondo l'articolo 2703 del codice civile se autenticata da un notaio o altro pubblico ufficiale. L'autenticazione della firma elettronica avviene attraverso l'attestazione da parte del pubblico ufficiale che la firma è stata apposta in sua presenza dal titolare, previa verifica dell'identità del titolare e della validità del certificato utilizzato

   Anche le stesse pubbliche amministrazioni hanno la possibilità di emettere certificati qualificati per la sottoscrizione di documenti informatici, ma limitatamente ai propri organi, uffici e determinate categorie di terzi. In alternativa, possono avvalersi dei servizi di prestatori esterni di firma digitale qualificata, secondo la normativa vigente sui contratti pubblici (art. 34, comma 1).

   I dispositivi sicuri e le procedure utilizzate per generare firme qualificate devono soddisfare requisiti specificati nell'Allegato II del Regolamento eIDAS. Questi requisiti includono la protezione della firma da falsificazioni e il mantenimento della riservatezza della chiave privata, con il titolare della firma che deve essere in grado di proteggere la chiave privata dall'uso effettuato da parte di terzi (art. 35, comma 1 e 1bis).

   I dispositivi sicuri e le procedure devono garantire l'integrità dei documenti informatici ai quali la firma si riferisce. Prima di apporre la firma, i documenti devono essere presentati chiaramente al titolare della firma, richiedendo la conferma della volontà di generare la firma (art. 35, comma 2). Se invece le firme sono apposte con procedura automatica, la stessa è valida solo se il suo titolare ha dato il previo consenso per l'adozione di tale procedura (art. 35, comma 3).

   Per quanto invece concerne gli obblighi di conservazione dei documenti, le pubbliche amministrazioni possono scegliere di conservarli all'interno della propria struttura organizzativa o affidarli, in tutto o in parte, ad altri soggetti, pubblici o privati, che soddisfino determinati requisiti di qualità, sicurezza e organizzazione. Questi requisiti sono stabiliti dalle linee guida dell'AgID e da un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici (art. 34, comma 1bis).

Altri punti importanti del CAD, dlgs. 82/2005

   Il dlgs. 82/2005 dispone che la Piattaforma digitale nazionale dati (PDND) è gestita dalla presidenza del Consiglio dei ministri e permette alle pubbliche amministrazioni di scambiare informazioni in maniera sicura (art. 50ter, comma 2, aggiornato da dl. 77/2021), a eccezione di quelle informazioni e quei dati inerenti l'ordine e la sicurezza pubblica, la difesa e la sicurezza nazionale, la difesa civile e il soccorso pubblico, le indagini preliminari, la polizia giudiziaria e la polizia economico-finanziaria. “Non possono comunque essere conferiti, conservati, né trattati i dati coperti da segreto” (art. 50ter, comma 3, come novellato da dl. 13/2023).

   È istituita presso il Ministero dell'interno l'Anagrafe nazionale della popolazione residente (ANPR), che subentra all'Indice nazionale delle anagrafi (INA) e all'Anagrafe della popolazione italiana residente all'estero (AIRE), ferme restando le attribuzioni del sindaco ai sensi del TUEL in materia di servizi demografici, statistici e anagrafici (art. 62).

   È inoltre istituito il Sistema di gestione deleghe (SDG), posto sotto la responsabilità della struttura (presso la presidenza del Consiglio dei ministri) competente in materia di innovazione tecnologica e transizione digitale. Il Sistema di gestione deleghe permette a chiunque di concedere a un soggetto titolare di SPID o carta di identità elettronica, l'accesso a uno o più servizi (art. 64ter).