Gestione documentale: come mitigare i rischi?

Sanzioni, problemi organizzativi e difficoltà in sede di contenzioso: sono questi i principali rischi che le aziende corrono non seguendo le normative riguardanti la gestione del documento informatico. Quali possono essere le soluzioni?

Pubblicato il 27 marzo 2023
Archiva gestione documentale

A cura di Luciano Quartarone, CISO & Data Protection Officer di Archiva

Le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” non sono indicazioni di massima. Le aziende sono obbligate a essere conformi a quanto esse stabiliscono: purtroppo, una loro lettura superficiale e applicazione non rigorosa, può essere una delle principali cause di rischio che le aziende italiane devono fronteggiare nella di gestione documentale.

L’obbligo, per le aziende italiane, di attuazione delle Linee Guida è espresso dall’articolo 2 comma 3 del CAD – Codice Amministrazione Digital dell’AgID (Agenzia per l’Italia Digitale) lo esprime chiaramente: “Le disposizioni del presente Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, […] si applicano anche ai privati, ove non diversamente previsto.”

Ancora, l’articolo 71 del CAD recita “L’AgID, […] adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del presente Codice […]”. Le regole tecniche cui ci si riferisce sono ora le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici […]”. Infine, è il Consiglio di Stato nell’ambito del parere reso sullo schema di decreto legislativo del correttivo al CAD, n. 2122/2017 del 10.10.2017 a ribadire che le Linee Guida adottate da AGID hanno carattere vincolante e assumono valenza erga omnes.

Per comprendere quali siano i rischi derivanti dalla non corretta attuazione della legislazione pertinente in ambito gestione documentale, occorre ricordare quale sia il principale obiettivo della conservazione: mantenere memoria della propria attività istituzionale. I rischi conseguenti al non raggiungimento di questo obiettivo, possono essere di diversa natura: organizzativo, operativo, ma anche economico. Gli ambiti organizzativo ed operativo, hanno una diretta connessione con i sottoprocessi di formazione e gestione dei documenti informatici, descritti nei capitoli due e tre delle Linee Guida AgID.

Anche il capitolo quattro è, soggetto a rischi di tipo organizzativo e operativo, ma questi insistono tipicamente sui conservatori, soggetti prevalentemente privati, in possesso di adeguati requisiti tecnico-organizzativi: in questa sede possiamo tralasciare questo specifico ambito.

I rischi in ambito formazione riguardano principalmente i processi che vengono attuati nella generazione dei documenti informatici. Le aziende, ad esempio, spesso hanno una moltitudine di documenti cartacei, per i quali vengo avviati processi di digitalizzazione. Non è corretto pensare che basti usare uno scanner per risolvere il problema. Infatti, limitarsi alla scansione non implica il rispetto di quanto previsto dalle Linee Guida: si tratta, anzi, di un comportamento che potrebbe compromettere il valore probatorio dei documenti così formati. L’allegato tre delle Linee guida, nello specifico, descrive come poter giungere ad una “Certificazione di processo”: una modalità̀ prevista dagli articoli 22 comma 1bis “Copie informatiche di documenti analogici” e 23-ter comma 1bis “Documenti amministrativi informatici” del CAD. La certificazione di processo ha l’obiettivo di incentivare e facilitare la digitalizzazione dei flussi informativi. Le Linee guida prevedono quattro distinte modalità per la formazione dei documenti informatici e a queste occorre sempre riferirsi nei processi aziendali. Il principale effetto negativo derivante dalla non corretta applicazione della normativa riguarda il valore probatorio del documento, ovvero il fatto che il documento non abbia lo stesso valore dell’originale da cui è tratto oppure, quando questo è originale, potrebbe non rappresentare un documento informatico. Questo determina l’urgenza di produrre prove a supporto in caso di contenzioso con terzi privati o peggio ancora, l’invalidazione in caso di controllo dell’autorità sino all’estremo di accertamento induttivo in ambito fiscale e tributario. La mancata conservazione secondo norma può comportare sanzioni amministrative e la possibilità, come detto, di accertamento induttivo può avere impatto penale in senso estensivo: si può imputare, per esempio, l’occultamento o la distruzione di documenti contabili. Lo stesso accade quando sono prodotti contratti o altri documenti con una firma elettronica, oppure quando si adopera la PEC (Posta Elettronica Certificata): se si stampano tali materiali e se non è stato attuato un processo corretto, si interrompe la catena di validità della firma.

La gestione documentale elettronica non si traduce nel solo fatto di adottare innovative tecnologie: significa progettare, implementare e poi mantenere e costantemente migliorare un modello di attività che sia conforme alla normativa applicabile e sempre allineato con gli obiettivi aziendali. In questo processo dovranno riscontrarsi gli efficientamenti che ne giustificano l’adozione, evitando di dematerializzare anche gli sprechi. La non corretta ed esaustiva identificazione dei documenti da mettere in conservazione può comportare il rischio di perdere la memoria dell’attività svolta dall’azienda, con l’ulteriore conseguenza, di non poter rispondere ad eventuali richieste in sede di accertamenti o di contenziosi. Le Linee guida non definiscono un elenco preciso e puntuale di tipologie documentali da conservare, ma con la loro pubblicazione si stabilisce un chiaro principio: devono essere conservati i documenti informatici, ovvero come detto in precedenza, i documenti che sono rappresentazione di atti, fatti o dati giuridicamente rilevanti.

Elemento innovativo, rispetto al previgente DPCM del 3 dicembre 2013 “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005”, e fonte di ulteriore rischio, è la nomina del Responsabile della Conservazione (RdC), ruolo in passato spesso inconsapevolmente delegato al Conservatore. L’RdC accomuna competenze in ambito informatico, giuridico e archivistico. Non è banale, soprattutto per le aziende private, individuare al proprio interno figure professionali con queste competenze e per questo spesso si ricorre a soggetti esterni, purché diversi dal conservatore.

Ancora, per la prima volta i titolari dell’oggetto di conservazione sono chiamati a redigere il Manuale di Conservazione. In precedenza, i c.d. Conservatori accreditati, erano tenuti alla redazione del manuale della conservazione, documento che veniva poi pubblicato sul sito web AgID. La non redazione di questo documento, così come la mancata nomina dell’RdC, per quanto apparentemente due trascurabili formalità, impediscono di affermare la piena e corretta implementazione delle Linee guida e risultando quindi in potenziale danno al titolare dell’oggetto di conservazione. I rischi operativi si estendono, fra gli altri, ai formati di file scelti per la rappresentazione dei documenti informatici, al set di metadati associati ai documenti, ma anche alla scelta delle procedure di memorizzazione, accesso e scarto di tali documenti dal sistema di conservazione.

Benché l’utilizzo esclusivo dei formati di file descritti nell’allegato 2 delle Linee guida non sia un obbligo per i soggetti privati, AgID auspica anche per i privati il loro impiego al fine di garantire nel tempo l’interoperabilità fra i diversi sistemi di conservazione. Questa scelta porta con sé la necessità di implementare un processo periodico di valutazione di interoperabilità al fine di prevenire il fenomeno dell’obsolescenza di formato che potrebbe comportare il rischio di perdere integrità, disponibilità o leggibilità del documento informatico.

L’impiego dei metadati descritto nell’allegato 5 delle Linee Guida e la loro associazione permanente al documento informatico a cui si riferiscono, permette una corretta gestione del ciclo di vita del documento. Il rischio che si corre nella non corretta implementazione di questi metadati è duplice: da un lato si sta chiaramente violando un obbligo cogente stabilito dalle Linee guida che pregiudica la conformità alla Linee guida stesse, dall’altro è compromessa la gestione “archivistica” del documento e quindi la strutturazione logica dell’archivio corrente, dell’archivio di deposito e dell’archivio storico viene compromessa non garantendo la possibilità di reperire correttamente il documento nel momento del bisogno.

Potrebbe sembrare strano, ma per conservare correttamente occorre anche poter cancellare (distruggere) i documenti. Questo per diversi motivi, non solo per una scelta archivistica. Si parla di scarto per indicare quell’operazione con cui si eliminano definitivamente dal sistema di conservazione, secondo quanto previsto dalla normativa vigente, i documenti ritenuti non più̀ rilevanti ai fini giuridico-amministrativo e storico-culturale. Questa cancellazione – o distruzione se ci riferiamo ancora ad oggetti analogici – può avvenire in conformità a standard internazionali come la ISO/IEC 21964, recepita da UNI nel 2020 con la UNI CEI ISO/IEC 21964 “Distruzione dei supporti di dati”. La mancata cancellazione di documenti informatici o di supporti di dati contenenti documenti informatici, può risultare in violazione del Regolamento (UE) 2016/679 (GDPR), con le conseguenze che ciò comporta.

Il ricorso ad un percorso di certificazione può mitigare e prevenire il manifestarsi di rischi nei processi di gestione documentale. Con il Decreto semplificazioni di luglio 2020 è stato abolito l’istituto dell’accreditamento e ad oggi non esiste più un percorso formalizzato per Conservatori che erogano i loro servizi alle PA, di certificazione o accreditamento.

Ciò nonostante, il ricorso a standard internazionali applicabili anche alla gestione documentale offre chiaramente maggiori garanzie rispetto alla libera implementazione di processo che in difetto potrebbero risultare lacunosi. Oltre ai più noti ISO 9001 e ISO/IEC 27001, in ambito qualità e sicurezza delle informazioni, assumo particolare rilevanza tre standard: ISO 14721 “Space data and information transfer systems — Open archival information system (OAIS)”; ISO 15489 “Information and documentation — Records management”; ISO 23081 “Information and documentation — Records management processes — Metadata for records”. Premesso che la certificazione, in particolar modo quella accreditata, dimostra che una specifica attività, un processo o un determinato prodotto rispetta i requisiti che norma tecnica specifica, ad oggi è possibile ricorrere solamente ad attestazioni, quindi con minor valore, di conformità rispetto a requisiti specificati. È dunque auspicabile che presto venga definito uno nuovo schema di certificazione per il servizio di Conservazione, al fine di avere uno strumento di mitigazione, anche sul piano formale, di rischi derivanti dalla non corretta implementazione delle Linee guida.

Le soluzioni applicative per gestire in piena conformità i processi documentali esistono. Archiva group, ad esempio, ha una proposta tecnologica, consulenziale e di servizio che pone il documento come elemento fondante gli archivi digitali oggetto di conservazione. E non solo.

Archiva possiede le competenze relative a tutte le certificazioni accennate e questo consente di farsi carico in outsourcing dei processi delle aziende, offrendo skill e tecnologie anche per implementare una filiera sicura in cui scambiare i documenti senza pericoli di compromissioni. In generale non è semplice calare nella propria realtà quanto definito dalle singole norme vigenti, e poi impostare un processo alla luce del quadro completo di leggi da seguire: Maxwell Consulting, società del gruppo Archiva, è un validissimo supporto per le organizzazioni che vogliono implementare un processo di conservazione, coerente con le norme sopra citate.



Contenuti correlati

  • PMI: Wolters Kluwer porta la nuova gestione documentale sul web

    Non è semplice calcolare il tempo medio che in una PMI si deve dedicare alla gestione documentale. Le variabili sono moltissime, ma ipotizzando una società con 50 dipendenti e un fatturato di 10 milioni di euro possiamo...

  • L’industria che verrà…

    Il mondo dell’industria sta cambiando e si deve adeguare alle nuove tecnologie: visori, nuovi assistenti virtuali, app, AR, VR, AI… In un mondo che cambia, anche la tecnologia e l’utilizzo della tecnologia cambia. Le tecnologie immersive hanno...

  • L’industria che verrà… – versione integrale

    Il mondo dell’industria sta cambiando e si deve adeguare alle nuove tecnologie: visori, nuovi assistenti virtuali, app, AR, VR, AI… In un mondo che cambia, anche la tecnologia e l’utilizzo della tecnologia cambia. Le tecnologie immersive hanno...

  • Allianz Risk Barometer 2023: i rischi più sentiti dalle aziende

    L’Allianz Risk Barometer 2023 parla di stabilità e cambiamenti. Per il secondo anno consecutivo, gli Incidenti informatici e l’Interruzione delle attività rappresentano i principali timori delle aziende (entrambi con il 34% delle risposte). Tuttavia, i Cambiamenti macroeconomici come...

  • La piattaforma in cloud per la gestione documentale Requiro Cloud mette al centro la user experience

    Archiva Group, punto di riferimento per i propri clienti da oltre 25 anni per lo sviluppo di servizi digitali in outsourcing e per la consulenza specializzata in trasformazione digitale e reingegnerizzazione dei processi aziendali, presenta Requiro Cloud,...

  • Vectra AI: servizi di AWS in crescita così come i rischi alla sicurezza
    Vectra AI: servizi di AWS in crescita così come i rischi alla sicurezza

    Rapida diffusione dei servizi di AWS e una crescente fiducia nei loro confronti ma rivelano, allo stesso tempo, pericolosi profili di rischio a livello di sicurezza all’interno di molte organizzazioni. E’ questo quanto si evince dai risultati...

  • Sei considerazioni sulla sicurezza dell’identità per l’era 5G

    Un approccio alla sicurezza incentrato sull’identità sottolinea che la gestione degli accessi privilegiati è fondamentale per aiutare ad affrontare le lacune e le vulnerabilità che gli attaccanti cercano di sfruttare nella supply chain – oltre a rafforzare...

  • Il 5G, connettività diffusa, rischi e rimedi

    Il 5G è una tecnologia di connettività veloce e affidabile che sta per rivoluzionare anche l’industria. Se ne parla da molto ma tanti ancora non sanno esattamente quali siano le sue reali potenzialità, nè le criticità da...

  • sace mappa dei rischi export italia
    Sace: il 2021 è l’anno della ripresa per l’export italiano

    A un anno dall’inizio della pandemia che ha portato a una recessione globale senza precedenti, l’incertezza economica permane e il quadro complessivo dei rischi è decisamente più elevato ed eterogeneo. Ma il 2021 sarà un anno di...

  • I cinque ambiti in cui dovranno lavorare i Safety Manager nel 2021
    I cinque ambiti in cui dovranno lavorare i Safety Manager nel 2021

    Quali sono gli ambiti nei quali i Safety Manager dovrebbero lavorare nel 2021? Una ricerca ha individuato: conoscere i rischi, volgere la sicurezza in positivo, allargare la partecipazione attiva nella sicurezza, fare ciò che si dice, dare continuità...

Scopri le novità scelte per te x