La Nuova PA Digitale UniCassino Webinar - Avv. Michele Morriello
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
La Nuova PA Digitale
UniCassino
Webinar
21 e 28 giugno 2021
Avv. Michele Morriello
m.morriello@studiolegalemorriello.it
Agenda dei lavori
1. Il processo di dematerializzazione informatica: creazione, gestione e conservazione del documento
informatico, in particolare: PEC, FIRMA DIGITALE, PROTOCOLLO informatico,
FASCICOLO Informatico, CICLO DIGITALE COMPLETO con switch off del cartaceo;
2. L'accelerazione del processo di digitalizzazione della Pubblica Amministrazione nell'era del Lavoro
Agile. Raccomandazioni e misure di sicurezza;
3. Gli strumenti previsti e le modalità di attuazione: la programmazione interna delle PA e le più
comuni problematiche organizzative e gestionali.
4. L'Agenda per la semplificazione per la ripresa 2020-2023: la semplificazione intesa quale facilità di
accesso ai servizi digitali della PA.
5. La semplificazione della PA in ottica SMART. Da dove iniziare: priorità o obiettivi del processo di
digitalizzazione.
6. Le piattaforme abilitanti (Spid, CIE, PagoPA, ANPR) e l’APP IO quale strumento di riferimento
nei rapporti tra cittadini e PA.
Le norme che ci accompagneranno
L. 241/1990 (LPA)
D.P.R. 445/2000 (TUDA)
L. 4/2004 (Accesso dei disabili agli strumenti informatici)
D.P.R. 68/2005 (PEC)
D.Lgs 82/2005 (CAD)
L. 69/2009 (Albo online)
L. 190/2012 (anticorruzione PA)
D.Lgs 33/2013 (Trasparenza)
D.L. 76/2020 (conv. in L. 120/2020 - "Decreto Semplificazioni"
D.L. 59/2021 (istituzione del Fondo complementare per il PNRR)
D.L. 77/2021 (Governance PNRR – c.d. semplificazione bis)
Le norme che ci accompagneranno
Reg. UE 2014/910 (eIDAS)
Reg. UE 2016/679 (GDPR)
Reg. UE 2021/241 (art. 18 e ss. «Piani
per la ripresa e la resilienza - PRR»)
Norme ma anche…..
Linee Guida (Agid)
Circolari (Agid)
Documenti programmatici
(es. PTIPA)
Alcune definizioni
Documento elettronico: qualsiasi contenuto conservato in forma elettronica,
in particolare testo o registrazione sonora, visiva o audiovisiva
• (art. 3 comma 1 n. 35, eIDAS)
Documento informatico: il documento elettronico che contiene la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti
• (Art. 1, lett. p), D.Lgs. n. 82/2005)
Documento analogico: la rappresentazione non informatica di atti, fatti o dati
giuridicamente rilevanti
• (Art. 1, lett. p-bis), D.Lgs. n. 82/2005)
Documento amministrativo: ogni rappresentazione, comunque formata, del
contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque,
utilizzati ai fini dell'attività amministrativa.
• (art. 1, comma 1, lett. A, D.P.R. 28-12-2000 n. 445)
Dematerializzazione dei documenti amministrativi Art. 23ter D.Lgs 82/2005 - Documenti amministrativi informatici Gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge.
Dematerializzazione dei documenti amministrativi Art. 40 D.Lgs 82/2005 – Formazione dei documenti informatici Le pubbliche amministrazioni formano gli originali dei propri documenti con mezzi informatici secondo le disposizioni di cui al presente codice e le Linee Guida (...) (...)
La Regolamentazione tecnica dai D.P.C.M. alle Linee Guida
Linee Guida sulla formazione, gestione e
conservazione dei documenti informatici
del 10.09.2020
Pubblicato il 11.09.2020 il documento che fornisce alle Pubbliche
Amministrazioni indicazioni sulla gestione documentale, elemento
centrale per la digitalizzazione delle pratiche amministrative.L’obiettivo è quello di incorporare in un’unica linea guida le regole tecniche e le circolari in materia, addivenendo ad un “unicum” normativo che disciplini gli ambiti concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici. Si applicano a partire dal duecentosettantesimo giorno successivo alla loro entrata in vigore (8 giugno 2021!). A partire da questo termine i soggetti di cui all’ art. 2 commi 2 e 3 del CAD formano i loro documenti esclusivamente in conformità alle citate Linee Guida.
Le Linee Guida sono un classico esempio di c.d. soft law (attuazione
concreta di norme primarie).
Elevato Velocità di
tecnicismo aggiornamento
Sono atti amministrativi generali (non normativi) impugnabili al
TAR (Cons. di Stato – parere n. 2122 del 2017);
Carattere L’atto
vincolante amministrativo
(Cons. Stato, È illegittimo
adottato in
Parere n. violazione
1767/2016)Ambito soggettivo di applicazione: “a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione; b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse; c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b)”. Le disposizioni del Codice e le relative Linee guida “concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all’articolo 3-bis e al Capo IV, l’identità digitale di cui agli articoli 3-bis e 64 si applicano anche ai privati, ove non diversamente previsto”.
Ciclo di vita del documento informatico
La formazione del Documento Informatico
Il documento informatico è formato attraverso una delle seguenti
modalità:
a) creazione tramite l’utilizzo di strumenti software che assicurino la produzione di
documenti nei formati previsti nell’allegato 2;
b) acquisizione di un documento informatico per via telematica o su supporto
informatico, acquisizione della copia per immagine su supporto informatico di un
documento analogico, acquisizione della copia informatica di un documento
analogico;
c) memorizzazione su supporto informatico in formato digitale delle informazioni
risultanti da transazioni o processi informatici o dalla presentazione telematica di dati
attraverso moduli o formulari resi disponibili all’utente;
d) generazione o raggruppamento anche in via automatica di un insieme di dati o
registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti
interoperanti, secondo una struttura logica predeterminata
e memorizzata in forma statica.L’identificazione del documento informatico: - In modo univoco; - Persistente. Il documento informatico è immodificabile se la sua memorizzazione su supporto informatico in formato digitale non può essere alterata nel suo accesso, gestione e conservazione. La certezza dell’autore è la capacità di poter associare in maniera certa e permanente il soggetto che ha sottoscritto al documento stesso.
La validità giuridica del documento informatico Art. 20, comma 1-bis (CAD): validità ed efficacia probatoria dei documenti informatici: Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo 2702 del Codice civile (piena prova fino a querela di falso) quando vi e' apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e' formato, previa identificazione informatica del suo autore (SPID). In tutti gli altri casi, l'idoneita' del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita' e immodificabilita’.
La validità giuridica del documento informatico In ogni caso…….. A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica. (art. 46, eIDAS)
L’impatto delle firme elettroniche sulla validità e ONERE
PROBATORIO
Liberamente valutabile in giudizio
Doc senza Doc con firma
Piena prova fino a querela di falso
firma o con elettronica
firma avanzata,
elettronica qualificata o
debole digitale, o con
SPIDFirme elettroniche
Un importante esempio: In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (c.d. e-mail) privo di firma elettronica non ha l'efficacia della scrittura privata prevista dall'art. 2702 c.c. (piena prova fino a querela di falso) quanto alla riferibilità al suo autore apparente, sicché esso è liberamente valutabile dal giudice. (Cassazione civile, sez. VI, 6 febbraio 2019, n. 3540)
La disciplina delle copie
- copia informatica di documento analogico: il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto. - copia analogica di documento informatico: il documento analogico tratto mediante stampa dal documento nativo digitale da cui è tratto. - copia informatica di documento informatico: è il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari - duplicato informatico: è il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario; il documento informatico avente contenuto identico a quello del documento informatico da cui è tratto.
Copia informatica di documento analogico: Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità e' attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato secondo le linee guida sul documento informatico, oppure se la loro conformita' all'originale non e' espressamente disconosciuta. Le copie così formate sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico. (Art. 22 commi 2, 3 e 4, D. Lgs. n. 82/2005)
Copia informatica di documenti analogici formati dalla PA Le copie su supporto informatico di documenti formati dalla pubblica amministrazione in origine su supporto analogico ovvero da essa detenuti, hanno il medesimo valore giuridico, ad ogni effetto di legge, degli originali da cui sono tratte, se la loro conformità all'originale è assicurata dal funzionario a ciò delegato nell'ambito dell'ordinamento proprio dell'amministrazione di appartenenza, mediante l'utilizzo della firma digitale o di altra firma elettronica qualificata e nel rispetto delle linee guida. (Art. 23-ter comma 3, D. Lgs. n. 82/2005)
Copia analogiche di documenti informatici Le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale in tutte le sue componenti e' attestata da un pubblico ufficiale a ciò autorizzato. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell'originale se la loro conformità non e' espressamente disconosciuta. Sulle copie analogiche di documenti informatici può essere apposto a stampa un contrassegno, sulla base dei criteri definiti con le linee guida, tramite il quale e’ possibile accedere al documento informatico e verificare la corrispondenza allo stesso della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la sottoscrizione autografa del pubblico ufficiale e non può essere richiesta la produzione di altra copia analogica con sottoscrizione autografa del medesimo documento informatico. I soggetti che procedono all'apposizione del contrassegno rendono disponibili gratuitamente sul proprio sito Internet istituzionale idonee soluzioni per la verifica del contrassegno medesimo. (Art. 23, D. Lgs. n. 82/2005)
La Gestione documentale e il manuale di gestione
Il Manuale di gestione documentale Il manuale di gestione documentale descrive il sistema di gestione informatica dei documenti e fornisce le istruzioni per il corretto funzionamento del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi. La Pubblica Amministrazione è tenuta a redigere, adottare con provvedimento formale e pubblicare sul proprio sito istituzionale il Manuale di gestione documentale. La pubblicazione è realizzata in una parte chiaramente identificabile dell’area “Amministrazione trasparente” prevista dall’art. 9 del d.lgs. 33/201337.
Aspetti organizzativi a) le modalità di utilizzo degli strumenti informatici per la formazione dei documenti informatici e per lo scambio degli stessi all’interno ed all’esterno dell’AOO, applicando le modalità di trasmissione indicate nell’allegato 6 “Comunicazione tra AOO di Documenti Amministrativi Protocollati”; b) l’indicazione delle unità organizzative responsabili (UOR) delle attività di registrazione di protocollo, di archiviazione dei documenti all’interno dell’AOO; c) l’indicazione delle regole di assegnazione dei documenti ricevuti con la specifica dei criteri per l’ulteriore eventuale inoltro dei documenti verso aree organizzative omogenee della stessa amministrazione o verso altre amministrazioni; d) i criteri e le modalità per il rilascio delle abilitazioni di accesso, interno ed esterno all’Amministrazione, al sistema di gestione informatica dei documenti;
Formati dei documenti a) l’individuazione dei formati utilizzati per la formazione del documento informatico, come introdotti nel paragrafo 3.6, tra quelli indicati nell’Allegato 2 “Formati di file e riversamento”; b) la descrizione di eventuali ulteriori formati utilizzati per la formazione di documenti in relazione a specifici contesti operativi che non sono individuati nell’Allegato 2 “Formati di file e riversamento”; c) le procedure per la valutazione periodica di interoperabilità dei formati e per le procedure di riversamento previste come indicato al paragrafo 3.7 e nell’Allegato 2 “Formati di file e riversamento”;
Protocollo informatico e alle registrazioni particolari a) le modalità di registrazione delle informazioni annullate o modificate nell’ambito delle attività di registrazione; b) la descrizione completa e puntuale delle modalità di utilizzo della componente «sistema di protocollo informatico» del sistema di gestione informatica dei documenti; c) le modalità di utilizzo del registro di emergenza ai sensi dell’art. 63 del TUDA, inclusa la funzione di recupero dei dati protocollati manualmente; d) l’elenco dei documenti esclusi dalla registrazione di protocollo, per cui è prevista registrazione particolare ai sensi dell’art. 53, comma 5, del TUDA e) determinazione dei metadati da associare ai documenti soggetti a registrazione particolare individuati, assicurando almeno quelli obbligatori previsti per il documento informatico dall’Allegato 5 alle presenti Linee Guida; f) i registri particolari individuati per la gestione del trattamento delle registrazioni particolari informatiche anche associati ad aree organizzative omogenee definite dall’amministrazione sull’intera struttura organizzativa e gli albi, gli elenchi
4. relativamente alle azioni di classificazione e selezione: a) il piano di classificazione adottato dall’Amministrazione, con l’indicazione delle modalità di aggiornamento, integrato con le informazioni relative ai tempi, ai criteri e alle regole di selezione e conservazione, con riferimento alle procedure di scarto; 5. relativamente alla formazione delle aggregazioni documentali a) le modalità di formazione, gestione e archiviazione dei fascicoli informatici e delle aggregazioni documentali informatiche con l’insieme minimo dei metadati ad essi associati; 6. relativamente ai flussi di lavorazione dei documenti in uso: a) la descrizione dei flussi di lavorazione interni all’Amministrazione, anche mediante la rappresentazione formale dei processi attraverso l’uso dei linguaggi indicati da AgID, applicati per la gestione dei documenti ricevuti, inviati o ad uso interno; 7. relativamente alle misure di sicurezza e protezione dei dati personali adottate: a) le opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio anche in materia di protezione dei dati personali;
Conservazione a) per le Pubbliche Amministrazioni il piano di conservazione è allegato al manuale di gestione documentale, con l’indicazione dei tempi entro i quali le diverse tipologie di oggetti digitali devono essere trasferite in conservazione ed eventualmente scartate; b) per i soggetti diversi dalle Pubbliche Amministrazioni che sono sprovvisti di piano di conservazione, qualora si renda necessario redigere un Manuale di gestione per la complessità della struttura organizzativa e della documentazione prodotta, dovrebbero essere definiti i criteri di organizzazione dell'archivio, di selezione periodica e di conservazione dei documenti, ivi compresi i tempi entro i quali le diverse tipologie di oggetti digitali devono essere trasferite in conservazione ed eventualmente scartate.
Trasmissione informatica dei documenti Art. 45 (CAD): Valore giuridico della trasmissione I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, idoneo ad accertarne la provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.
Trasmissione informatica dei documenti Art. 47 (CAD): Trasmissione dei documenti tra le PA Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l'utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento può essere, altresì, reso disponibile previa comunicazione delle modalità di accesso telematico allo stesso. L'inosservanza della disposizione di cui sopra, ferma restando l'eventuale responsabilità per danno erariale, comporta responsabilità dirigenziale e responsabilità disciplinare.
Trasmissione informatica dei documenti Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all'articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle Linee guida. È in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. (…) Le PA utilizzano per le comunicazioni tra l'amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.
40
La nuova responsabilità per violazione degli
obblighi di transizione digitale41
Art. 18-bis (CAD) – «introdotto dal D.L. 77/2021)
Violazione degli obblighi di transizione digitale
1. L'AgID esercita poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto delle disposizioni
del presente Codice e di ogni altra norma in materia di innovazione tecnologica e digitalizzazione della
pubblica amministrazione, ivi comprese quelle contenute nelle Linee guida e nel Piano triennale per
l'informatica nella pubblica amministrazione, e procede, d'ufficio ovvero su segnalazione del difensore
civico digitale, all'accertamento delle relative violazioni da parte dei soggetti di cui all'articolo 2, comma 2.
Nell'esercizio dei poteri di vigilanza, verifica, controllo e monitoraggio, l'AgID richiede e acquisisce presso i
soggetti di cui all'articolo 2, comma 2, dati, documenti e ogni altra informazione strumentale e necessaria. La
mancata ottemperanza alla richiesta di dati, documenti o informazioni di cui al secondo periodo ovvero la
trasmissione di informazioni o dati parziali o non veritieri è punita ai sensi del comma 5, con applicazione della
sanzione ivi prevista ridotta della metà.
2. L'AgID, quando dagli elementi acquisiti risulta che sono state commesse una o più violazioni delle
disposizioni di cui al comma 1, procede alla contestazione nei confronti del trasgressore, assegnandogli un
termine perentorio per inviare scritti difensivi e documentazione e per chiedere di essere sentito.
3. L'AgID, ove accerti la sussistenza delle violazioni contestate, assegna al trasgressore un congruo
termine perentorio, proporzionato rispetto al tipo e alla gravità della violazione, per conformare la
condotta agli obblighi previsti dalla normativa vigente, segnalando le violazioni all'ufficio competente per i
procedimenti disciplinari di ciascuna amministrazione, nonché ai competenti organismi indipendenti di
valutazione. L'AgID pubblica le predette segnalazioni su apposita area del proprio sito internet istituzionale.
4. Le violazioni accertate dall'AgID rilevano ai fini della misurazione e della valutazione della performance
individuale dei dirigenti responsabili e comportano responsabilità dirigenziale e disciplinare ai sensi
degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165. Resta fermo quanto previsto dagli articoli 13-
bis, 50, 50-ter, 64-bis, comma 1-quinquies, del presente Codice e dall'articolo 33-septies del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221.42
Art. 18-bis (CAD) – «introdotto dal D.L. 77/2021)
Violazione degli obblighi di transizione digitale
5. In caso di mancata ottemperanza alla richiesta di dati, documenti o informazioni di cui al comma 1, ultimo periodo,
ovvero di trasmissione di informazioni o dati parziali o non veritieri, nonché di violazione degli obblighi previsti dagli
articoli 5, 50, comma 3-ter, 50-ter, comma 5, 64, comma 3-bis, 64-bis del presente Codice, dall'articolo 65, comma 1, del decreto
legislativo 13 dicembre 2017, n. 217 e dall'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito,
con modificazioni, dalla legge 17 dicembre 2012, n. 221, ove il soggetto di cui all'articolo 2, comma 2, non ottemperi
all'obbligo di conformare la condotta nel termine di cui al comma 3, l'AgID irroga la sanzione amministrativa
pecuniaria nel minimo di euro 10.000 e nel massimo di euro 100.000. Si applica, per quanto non espressamente previsto dal
presente articolo, la disciplina della legge 24 novembre 1981, n. 689. I proventi delle sanzioni sono versati in apposito capitolo di
entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell'economia e delle
finanze a favore per il 50 per cento dell'AgID e per la restante parte al Fondo di cui all'articolo 239 del decreto-legge 19 maggio
2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77
6. Contestualmente all'irrogazione della sanzione nei casi di violazione delle norme specificamente indicate al comma 5,
nonché di violazione degli obblighi di cui all'articolo 13-bis, comma 4, l'AgID segnala la violazione alla struttura della
Presidenza del Consiglio dei ministri competente per l'innovazione tecnologica e la transizione digitale, ricevuta la
segnalazione, diffida ulteriormente il soggetto responsabile a conformare la propria condotta agli obblighi previsti
dalla disciplina vigente entro un congruo termine perentorio, proporzionato al tipo e alla gravità della violazione,
avvisandolo che, in caso di inottemperanza, potranno essere esercitati i poteri sostitutivi del Presidente del Consiglio
dei ministri o del Ministro delegato. Decorso inutilmente il termine, il Presidente del Consiglio dei ministri o il Ministro
delegato per l'innovazione tecnologica e la transizione digitale, valutata la gravità della violazione, può nominare un
commissario ad acta incaricato di provvedere in sostituzione. Al commissario non spettano compensi, indennità o rimborsi.
Nel caso di inerzia o ritardi riguardanti amministrazioni locali, si procede all'esercizio del potere sostitutivo di cui agli articoli
117, comma 5, e 120, comma 2, della Costituzione, ai sensi dell'articolo 8 della legge 5 giugno 2003, n. 131.
7. L'AgID, con proprio regolamento, disciplina le procedure di contestazione, accertamento, segnalazione e irrogazione delle
sanzioni per le violazioni di cui alla presente disposizione.
8. All'attuazione della presente disposizione si provvede con le risorse umane, strumentali e finanziarie già previste a
legislazione vigente.L’APPROCCIO PRIVACY/SECURITY
BY DESIGN.44
Cyber Security - Ambito45
Sicurezza del trattamento – art. 32 GDPR
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura,
dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in
caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi
presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla
modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o
illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di
certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per46
L’evoluzione delle misure di sicurezza ICT
ADEGUATE
MINIMEIl parametro RID R = Riservatezza I = Integrità D = Disponibilità
48
Distruzione;
Perdita;
Modifica;
divulgazione non autorizzata;
accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati.49
Vettori ed esempi di un attacco:
Email (lavoro, personale, PEC);
Social network (Facebook, LinkedIn, etc);
Instant Messaging (Whatsapp, Telegram, Viber, etc.);
Sms (Phishing e furto delle credenziali);
Website e Blog;
Applicazioni a rischio (CCleaner, Teleport);
Dispositivi rimovibili (Usb, CD, DVD);
Altri vettori (QR code, WiFi pubblici).50
I rischi via email
- I c.d. «cryptolocker»;
- Il «phishing»;
I rischi nella gestione cartacea:
- Gestione dei documenti nelle postazioni di
lavoro;
- Distruzione dei documenti non conforme.Misure di sicurezza
Organizzative
• Formazione e istruzione;
• Processi e procedure (security by design);
• Politiche di classificazione delle informazioni;
• Classificazione dei rischi (es. accesso non autorizzato,
perdita, distruzione, modifiche non autorizzate, ecc.).
Tecnologiche
• Data loss prevention;
• Pseudonimizzazione, cifratura;
• Profilazione, autenticazione, autorizzazioni di accesso;
• Politiche di log management.52
Misure minime di sicurezza ICT
per le pubbliche amministrazioni
Circolare AGID del 18 aprile 2017, n. 2/201753
Le misure minime di sicurezza ICT emanate dall’AgID,
sono un riferimento pratico per valutare e migliorare il
livello di sicurezza informatica delle Amministrazioni, al fine
di contrastare le minacce informatiche più frequenti.
In cosa consistono le misure di sicurezza?
Le misure consistono in controlli di natura tecnologica,
organizzativa e procedurale, utili alle Amministrazioni per
valutare il proprio livello di sicurezza informatica.54
«A seconda della complessità del sistema informativo a cui si
riferiscono e della realtà organizzativa dell’Amministrazione, le
misure minime possono essere implementate in modo graduale
seguendo tre livelli di attuazione.»
Minimo Standard Avanzato
è quello al quale ogni è il livello, superiore al deve essere adottato
Pubblica livello minimo, che dalle organizzazioni
Amministrazione, ogni amministrazione maggiormente esposte
indipendentemente deve considerare come a rischi (ad esempio
dalla sua natura e base di riferimento in per la criticità delle
dimensione, deve termini di sicurezza e informazioni trattate o
necessariamente essere rappresenta la maggior dei servizi erogati), ma
o rendersi conforme parte delle realtà della anche visto come
PA italiana obiettivo di
miglioramento da parte
di tutte le altre
organizzazioni.55
Obiettivi delle misure minime
Le misure minime sono un importante supporto metodologico, oltre
che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle
più piccole e che hanno meno possibilità di avvalersi di professionalità
specifiche, possono verificare autonomamente la propria situazione e
avviare un percorso di monitoraggio e miglioramento. Le misure
minime:
forniscono un riferimento operativo direttamente utilizzabile (checklist),
stabiliscono una base comune di misure tecniche ed organizzative
irrinunciabili;
forniscono uno strumento utile a verificare lo stato di protezione contro
le minacce informatiche e poter tracciare un percorso di
miglioramento;
responsabilizzano le Amministrazioni sulla necessità di migliorare e
mantenere adeguato il proprio livello di protezione cibernetica56
La checklist
e i modelli di implementazione57
Sicurezza Informatica – Check List
Sistema di autenticazione;
Sistema di autorizzazione.58
……
Sistema di autenticazione informatica:
Tutte le applicazioni hanno una procedura di autenticazione;
Procedura per l’affidamento delle credenziali agli incaricati.
Istruzioni sulle modalità di conservazione della parola chiave;
Istruzioni sulla composizione della parola chiave;
Istruzioni sull’aggiornamento della parola chiave:
Procedure di controllo sulle credenziali:
Unicità del codice per l’identificazione (non riassegnato);59
……
Disattivazione per perdita del diritto all’accesso;
Attivazione salvaschermo con parola chiave;
Istruzione agli incaricati;
Disposizioni scritte per l’accesso agli strumenti in caso di impedimento
dell’incaricato;
Individuazione dell’incaricato del trattamento delle chiavi;
Modalità di trattamento delle chiavi;60
……
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari:
Installazione di un firewall (IDS/IPS);
Gestione dei supporti removibili;
Istruzioni per la custodia:
Tecniche organizzative;
Istruzioni per il riutilizzo:
procedura di distruzione;
procedura di ri-formattazione;
Ripristino dell’accesso ai dati in caso di danneggiamento:
Ripristino dell’ambiente di elaborazione.61
……
Misure di tutela e garanzia
Nomina Amministratore di Sistema;
Presente Documento con la Lista degli amministratori
di sistema;
Implementazione Log Monitor per gli accessi degli
amministratori di sistema;
Audit periodici sull’operato degli amministratori di
sistema.LE AZIONI DI INTERVENTO
LE AZIONI DI INTERVENTO
LE AZIONI DI INTERVENTO
LE AZIONI DI INTERVENTO
68
69
Per il dato aggiornato clicca qui70
71
IDENTITY PROVIDER ACCREDITATI
Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
78
79
80
81
82
83
Amministrazioni
Aderenti
Prestatori
Servizi di
Pagamento84
AppIO
OBIETTIVI: - offrire servizi ai cittadini in modo sicuro, grazie al sistema di autenticazione che utilizza SPID o la Carta d’identità elettronica; - proporre un’esperienza semplice e intuitiva, allineata con la qualità offerta da altre app con cui il cittadino è abituato a interagire (come ad esempio quelle per i trasporti e la mobilità urbana o per i pagamenti via smartphone).
Clicca sulla tabella per il dato aggiornato
Puoi anche leggere
