Come diventare conservatori accreditati AgID
Diventare un conservatore accreditato da AgID (Agenzia per l’Italia Digitale) e mantenere l’accreditamento implica superare un esame non facile e dimostrarsi preparati nelle verifiche periodiche.
L’AgID, già con la Circolare N. 65 del 10 aprile 2014 aveva definito le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
In tale circolare vengono innanzitutto definiti quali sono i requisiti che vengono richiesti ad un soggetto pubblico o privato per richiedere l’accreditamento:
- Affidabilità organizzativa, tecnica e finanziaria;
- Personale competente, dotato di conoscenze in materia di gestione documentale e conservazione dei documenti informatici, di procedure di sicurezza, che si attenga alle norme del CAD e alle regole tecniche in materia di sistemi di conservazione;
- Procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
- Sistemi affidabili e sicuri di conservazione conformi alle disposizioni e ai criteri di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal CAD;
- Adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l’integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio.
Il conservatore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:
- Avere forma giuridica di società di capitali e un capitale sociale di almeno 200.000 Euro;
- Garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche.
L’AgID verifica la persistenza del possesso di tali requisiti e la veridicità di quanto dichiarato nei documenti depositati, attraverso l’esame della documentazione in suo possesso e l’esecuzione di verifiche ispettive.
Richiede inoltre al conservatore accreditato l’obbligo di trasmissione quadrimestrale di un report contenente i dati di riepilogo delle attività svolte, predisposto secondo le indicazioni riportate nel documento “Schema di rapporto quadrimestrale sulla conservazione”, pubblicato sul sito istituzionale dell’Agenzia.
Almeno ogni 24 mesi, a partire dalla data comunicata dall’Agenzia, il conservatore accreditato deve inoltre
presentare un certificato di conformità del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall’Agenzia, rilasciato da un ente di certificazione accreditato da ACCREDIA, l’organismo nazionale italiano di accreditamento.
Praticamente, già con questa circolare, si era stabilito che per il mantenimento dell’accreditamento fosse necessario, dal momento indicato dall’Agenzia, ottenere una valutazione positiva di conformità del proprio sistema al DPCM 3 dicembre 2013 e agli standard ivi richiamati (su tutti, lo standard OAIS – ISO 14721 e lo standard ETSI 101 533).
Questa linea è stata rafforzata dalle modifiche apportate all’art. 29 del CAD (Codice dell’Amministrazione Digitale) dal D.Lgs. 26 agosto 2016, n. 179.
La nuova formulazione dell’art.29 del CAD, prevede infatti che i soggetti che intendono presentare istanza di accreditamento ad AgID per svolgere:
- La prestazione di servizi fiduciari qualificati (per es. servizi di firme digitali, sigilli e/o marche temporali)
- L’attività di gestore di posta elettronica certificata,
- L’attività di gestore dell’identità digitale (SPID),
- L’attività di conservatore di documenti informatici,
devono presentare all’AgID domanda di accreditamento, allegando alla stessa una relazione di valutazione della conformità alle regole tecniche e agli standard individuati per il servizio cui s’intende accreditarsi.
Tale certificazione di conformità deve essere rilasciata da un organismo di valutazione della conformità accreditato da ACCREDIA, quale organismo nazionale italiano di accreditamento.
ACCREDIA, a sua volta, con la circolare n. 5/2017 pubblicata il 27/02/2017 (che ha sostituito la precedente circolare 36/2016 del 16/12/29016) ha definito lo schema di accreditamento degli Organismi di Certificazione, per il processo di certificazione dei Conservatori a Norma, secondo le disposizioni dell’AgID. Ha quindi dettato le regole per le attività di valutazione e conformità e ha avviato i corsi di preparazione per i certificatori che dovranno eseguire le verifiche.
A supporto degli ispettori, nelle loro attività di verifica, l’8 maggio 2017 AgID ha pubblicato la lista di riscontro per le attività di vigilanza e certificazione di conformità dei documenti informatici.
La lista di riscontro è lo strumento che supporta la verifica dei requisiti richiesti per i sistemi di conservazione adottati dai conservatori accreditati. Tale strumento elenca le attività di controllo da svolgere indicando gli specifici elementi da verificare ed è utilizzabile per effettuare le visite ispettive.
Le visite ispettive sono eseguite attraverso l’esame di evidenze specifiche, per esempio: configurazioni, log, verbali di riunioni, risultati di sessioni di test, relazioni di incidenti ed interviste al personale.
Nei casi in cui la certificazione di conformità evidenziasse delle non conformità, queste devono essere corredate di eventuali tempistiche per la loro risoluzione e nella visita ispettiva successiva, verranno ripetuti i controlli su quelle attività che hanno comportato la segnalazione delle non conformità.
Attualmente le tipologie di controlli previste nel sistema di certificazione per l’accreditamento dei conservatori digitali sono due:
- Prima valutazione e/o rinnovo;
- Sorveglianza periodica, secondo un ciclo biennale.
Le verifiche di certificazione vengono organizzate con le seguenti tempistiche:
- Accertamento dell’applicazione dei requisiti individuati della Lista di Riscontro AgID e verifica dell’esito delle valutazioni a fronte della Norma UNI CEI ISO/IEC 27001:2014 : 6 giorni uomo in sede di valutazione iniziale o di rinnovo; 2 giorni uomo in sede di sorveglianza;
- Per gli operatori non già certificati eIDAS, la verifica richiederà due giorni uomo aggiuntivi per la verifica della conformità all’ Art. 24 del Regolamento eIDAS. Per gli operatori già certificati eIDAS, tale verifica richiederà un giorno uomo.
Da tutto questo emerge quanto sia rilevante e imponente il sistema di controlli riservato ai conservatori digitali che si accreditano; d’altro canto, questo rappresenta la garanzia per i clienti di affidarsi ad un servizio di conservazione altamente qualificato e sicuro.