Buongiorno,
spero di aver azzeccato la sezione corretta.
Avrei un quesito circa la conservazione a norma dei documenti informatici, un obbligo per la PA.
Nello scegliere il conservatore, valgono le stesse regole per la scelta di generici servizi cloud, quindi l’obbligo di rivolgersi solo ad attori presenti nel cloud marketplace?
Mi aspetto che anche per i conservatori ci sia l’obbligo di erogare il servizi solo da infrastrutture qualificate agid. E’ così?
Ad esempio, il conservatore XX che in passato è riuscito ad accreditarsi nell’elenco predisposto da agid dei conservatore accreditati, può erogare il servizio tramite un datacenter di sua proprietà che non è qualificato nel markeplace agid e nemmeno è un PSN?
Ed è corretto continuare ad indicare il conservatore come “accreditato” se eroga il servizio tramite un datacenter non qualificato?
Salve. Se il servizio SaaS del fornitore è presente nel catalogo dei servizi qualificati Agid, sicuramente l’infrastrutture CSP sulla quale poggia il servizio è, a sua volta, qualificata. La qualificazione SaaS richiede infatti, tra l’altro, questo come uno dei requisiti obbligatori.
Giovanni
no, non è presente. Da qui nasce il nostro dubbio.
Cioè, può un conservatore continuare ad essere presente nell’elenco dei conservatori accreditati pur non erogando da una infrastruttura CSP qualificata?
Temo che si sia perso un “collegamento” tra i due aspetti (qualificazione CSP/SaaS AGID e accreditamento come conservatore).
Le linee guida sull’accreditamento come conservatore sono più vecchie delle indicazioni per la qualificazione CSP, e non c’è stata “armonizzazione” tra le due.
Vista (assai rapidamente) la documentazione di accreditamento, in estrema sintesi, un conservatore dovrebbe essere un soggetto che
garantisce il rispetto dei requisiti 1-33 “Organizzazione” e 34-62 “processi”
eroga servizi tramite una infrastruttura CSP qualificata (sua o di altri poco importa) per la quale siano garantiti anche i requisiti 66-73 (ambito Infrastrutture)
se ha un contratto attivo da prima del 1 aprile, ovviamente si, sino alla scadenza contrattuale.
Poi necessita di qualificazione e stiamo parlando di servizio di conservazione in cloud.
In risposta a chi diceva che non esistono servizi cloud qualificati (di fornitori accreditati, ovviamente) per la conservazione documentale nel catalogo, comunico che esistono 2 fornitori (accreditati) che hanno qualificato un servizio di conservazione documentale in cloud: Maggioli e Ifin
Partendo dalla base: cosa è “cloud”?
Per me, è cloud tutto quello che sta sui server di qualcun altro (altro dalla mia Amministrazione).
La conservazione è sui server di qualcun altro, quindi è un servizio in cloud.
Tutto quello che è cloud per la PA deve essere erogato da CSP qualificato.
Quindi la conservazione deve essere erogata da CSP qualificato, e un conservatore che non eroga il servizio tramite infrastruttura CSP qualificata deve adeguarsi, se vuole continuare a fare il conservatore per la PA.
Sostituisci “conservazione” con “software X” o “servizio Y” e “conservatore” con “fornitore”, e il risultato non cambia.
ecco… ce ne sono due, a fronte di decine e decine di soggetti presenti nell’elenco dei conservatori.
Quindi siamo tutti d’accordo: Se il conservatore non è presente nel markeplace… è fuori dai giochi?
Se dovessi fare oggi un affidamento per la conservazione a norma ti direi di sì, il conservatore non censito sul marketplace è fuori.
Spero che questa discussione serva a sollevare il problema e stimoli una reazione da parte dei soggetti direttamente interessati. Vorrei comunque sentire qualche parere più autorevole del mio, a riguardo.
L’interpretazione che abbiamo dato è molto severa, magari troppo…?
Buonasera, come sottolineato in diverse occasioni, se il servizio di conservazione a norma viene erogato in modalità cloud e quindi si configura come SaaS, secondo le definizioni adottate nella strategia “Clou della PA”, allora il servizio deve essere qualificato AgID e rientrare tra quelli inseriti nel catalogo. Adottando altre modalità di erogazione (es. on premise sull’infrastruttura del cliente), allora la disciplina dei servizi cloud non trova applicazione.
La discriminante per la qualificazione dei servizi SaaS è costituita dalla modalità di erogazione dello stesso, indipendentemente dalla disciplina relativa all’accreditamento in ambito conservazione.
Mi auguro di aver aggiunto qualche elemento di chiarimento.
Buongiorno, a mio avviso si sta facendo molta confusione.
Perché parlare si Saas (e lo stesso vale per modelli IaaS o PaaS) quando si parla di conservazione accreditata? Se è vero, com’è vero, che la PA ha la possibilità di affidare all’esterno la realizzazione della conservazione, perché mai vorrebbe/dovrebbe acquistare un servizio secondo il modello SaaS? Provo a rendere la cosa più chiara. Un conto è acquisire un software (secondo il modello SaaS, quindi come un servizio) e realizzare in proprio la conservazione: in questo caso ritengo anch’io necessario che la soluzione SaaS acquisita dalla PA sia qualificata (e ben venga tale qualificazione considerato cosa è stato fino ad oggi acquistato, in molti casi senza le necessarie competenze, dalle PA italiane). Discorso completamente diverso è quello relativo all’affidamento all’esterno della realizzazione della conservazione (che non è un software! vediamo di non buttare all’aria qualche decennio di lavoro su questo tema…): per poterlo fare le norme dicono chiaramente (anche con le modifiche intervenute con il D.Lgs. 217/2017, quindi allineante al Piano triennale) che bisogna rivolgersi ad un soggetto accreditato, e null’altro! (si legga in tal senso l’art. 34 del CAD). Il disallineamento normativo citato in qualche post precedente, credo sia relativo al solo caso in cui un conservatore accreditato si servisse di un’infrastruttura in cloud (secondo il modello IaaS o in qualche raro caso PaaS) e le nuove Linee guida, proprio oggi messe in consultazione pubblica, chiariscono che in tal caso (e solo in tal caso aggiungerei) il conservatore è tenuto ad acquisire una soluzione qualificata (IaaS o PaaS appunto).
A ben vedere, tra l’altro, le qualificazioni citate mi sembra che abbiano qualificato il servizio di esibizione (almeno quella di Ifin a quanto ho potuto leggere) ma non vedo come possa esser stato qualificato l’intero sistema di conservazione che, è bene ripeterlo, non viene assolutamente affidato (e la norma non lo permetterebbe) con il modello SaaS ma attraverso un contratto o una convenzione che preveda la realizzazione del servizio da parte del conservatore (e secondo le regole approvate in fase di accreditamento da AgID). A ben vedere, pur mancando una chiara definizione di cloud e di modello SaaS nella normativa italiana, l’unica definizione richiamata dalle circolarei AgID (quella del NIST) prevederebbe comunque un controllo e una gestione del servizio da parte del Cliente/PA che non è assolutamente previsto nel caso di affidamento all’esterno della conservazione ad un conservatore accreditato. Spero si riesca prima o poi a fare chiarezza su questi delicati temi. Auspico che presto la stessa AgID possa intervenire con forza sul tema per evitare che si creino situazioni di confusione in violazione delle più basilari regole della concorrenza del mercato che, alla fine, porteranno solo a ritardi e a difficoltà operative per le (già molto confuse) PA chiamate ad applicare questa normativa.
Concordo assolutamente con quanto riferito dal Collega Luigi Foglia. Del resto, considerato quanto previsto dal Codice dell’amministrazione digitale (normativa primaria in materia e quindi non superabile nei suoi principi generali da regole tecniche, linee guida, circolari o pareri più o meno vincolanti), la conservazione dei documenti informatici deve essere intesa come un sistema (come un sistema è la gestione del documento). Questo sistema o viene sviluppato “in casa” con applicativi propri, o licenziati, o “in cloud” oppure può essere affidata in tutto o in parte in outsourcing a conservatori accreditati (ovviamente quest’ultimo caso nulla ha a che fare con il cloud). La normativa generale è molto chiara e frutto di quasi vent’anni di evoluzione normativa. Non possiamo permetterci di buttarla all’aria…anche perché l’eventuale giurisprudenza non lo consentirebbe.
Non credo che nessuno qui voglia “buttare all’aria” niente, solo capire meglio come si possono rendere coerenti le indicazioni che, come enti, riceviamo.
Mi piace il richiamo di @Luigi_Foglia sul fatto che conservazione sia sistema, concordo che definire la conservazione come Saas sia riduttivo e probabilmente proprio sbagliato: pago la mia formazione tecnica che mi porta a guardare, prima di tutto, agli aspetti meramente tecnologici perdendo forse la visione d’insieme.
Credo che il punto sia definire esattamente il significato di “servizi erogati in modalità cloud”, espressione usata anche nelle già citate Linee Guida, al paragrafo 4.9 infrastrutture, proprio in relazione al sistema conservazione.
Limite mio sicuramente, ma faccio davvero fatica a non etichettare come SaaS un qualcosa che è fuori dal mio perimetro e che espone dei webservices che io cliente vado a contattare.
Ma diamo per buona l’autorevole opinione di ANORC. Sfogliando un pò di manuali di conservazione presenti qui https://www.agid.gov.it/it/piattaforme/conservazione/conservatori-accreditati si vede che moltissimi conservatori erogano il servizio/sistema di conservazione per il tramite di datacenter a loro terzi.
Bene, che significa? queste infrastrutture devono essere in qualche modo qualificate? E se non lo sono, che succede? Come dobbiamo comportarci noi PA?
Comprendo le difficoltà interpretative (dovute principalmente ad peccato originario: la mancata definizione di Cloud e degli acronimi SaaS, PaaS e IaaS nella normativa) e, come associazione, abbiamo chiesto già diversi mesi fa ad AgID di prendere una posizione chiara sul tema che si concilii, ovviamente, con le norme primarie in vigore. Considerare tutto quello che è esterno - e/o al quale si accede tramite webservice - come “SaaS” è decisamente rischioso: se c’è una definizione di SaaS, per quanto ampia, ci si dovrebbe attenere a quella e il NIST individua caratteristiche prcise per tali servizi che non si attagliano bene ai sistemi di conservazione offerti dai conservatori accreditati (in primis relativamente alla possibilità del committente di gestire e utilizzare in proprio il sistema di conservazione che, invece, dev’essere gestito e amministrato esclusivamente dal conservatore!). Il diritto esige un minimo di certezze altrimenti i fornitori finirebbero di continuo a citarsi in tribunale bloccando, di fatto, l’assegnazione delle gare aventi ad oggetto questi servizi: tutto in danno alle PA e ai cittadini. Proprio a questo scopo chiederemo di sistemare il punto 4.9 delle linee guida che, pur riferendosi nela sua prima parte all’infrastruttura che acquisisce il Conservatore per erogare la conservazione, crea poi confusione richiedendo la qualificazione e non chiarendo che chi deve qualificarsi sia il fornitore di eventuale software e/o hardware acquisito in modalità cloud dal conservatore per erogare la consevazione agli Enti affidatari). Daremo, quindi, in tal senso il nostro contributo in questa fase diconsultazione pubblica sperando si possa restituire tranquillità agli operatori pubblici chiamati ad applicare queste indicazioni fornite dal piano triennale.
ANORC sicuramente farà il suo, portando avanti le istanze dei suoi soci come è giusto che sia.
Ma la mia domanda resta senza risposta.
Il conservatore X utilizza una infrastruttura terza erogata da Y.
Y però non è qualificato. Noi come PA dobbiamo scartare X a priori?
Le do il mio parere basato sulle norme.
La risposta dipende da cosa vuole fare la sua amministrazione, da che modello organizzativo intendete adottare rispetto alla conservazione.
Volete realizzare la conservazione in casa acquisendo un software per conservare autonomamente (art. 34, comma 1-bis, lett a, del CAD)? Allora dovete acquisire preferenzialmente una soluzione software in modalità SaaS qualificata e quindi presente sul Marketplace.
Volete affidare a terzi la realizzazione del servizio di conservazione (art. 34, comma 1-bis, lett. b, CAD)? Allora dovete rivolgervi ad un conservatore accreditato presente nell’elenco dei conservatori accreditati (a prescindere da come a sua volta realizzi la conservazione… tali modalità sono state già ampiamente vagliate, vigilate e controllate da AgID anche con ispezioni periodiche).
Concordando pienamente con quanto riferito dal Collega Foglia, provo a specificare ulteriormente la questione in punto di diritto, soprattutto se alcune questioni interpretative possono trovare un’ancora interpretativa nella normativa primaria.
Effettivamente si potrebbe pensare che tutto ciò che sia fuori il contesto della PA, quindi un qualsiasi outsourcing informatico, debba qualificarsi cloud. Sarebbe, però, una lettura amplissima (e molto pericolosa) del concetto di cloud che - almeno dal punto di vista normativo - oggi si può ritenere assolutamente non coerente con quanto il legislatore riporta nel Codice dell’Amministrazione Digitale (che - dobbiamo ricordarlo - è fonte primaria, e quindi non può che essere rispettata nella sua ratio da tutte le altre normative secondarie). Per l’art. 68 del CAD (analisi delle soluzioni), infatti, è piuttosto chiaro che il cloud vada considerato una soluzione software.
Appare anche indubbio che la bozza di Linee Guida appena pubblicata nel paragrafo 4.9 potrebbe prestarsi, nella seconda parte, ad una lettura ambigua nel momento in cui fa riferimento a “servizi di conservazione in cloud”, ma tale riferimento va letto (necessariamente) concatenandolo al capoverso precedente (dove invece si fa espresso riferimento alle " componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione") e, quindi, con lo spirito del CAD e del senso stesso dell’accreditamento. Ovvio che quella parte potrebbe essere scritta meglio e in modo più efficace (e spero che la consultazione pubblica possa aiutare in tal senso). Ciò non toglie che alla luce del CAD e del concetto stesso di conservazione in outsourcing (dove si affida a un conservatore - già accreditato secondo specifiche regole - la gestione di un intero sistema) non si possano essere letture interpretative diverse rispetto a quanto ben riferito dal collega Luigi Foglia.
Un Bando di Gara che escludesse, quindi, un conservatore accreditato perché non qualificato come Cloud Provider a mio avviso sarebbe facilmente impugnabile per la sua evidente illogicità giuridica.
Alle dissertazioni giuridiche degli Avvocati Foglia e LIsi aggiunto la mia dissertazione tecnica.
Fatto salvo quanto previsto dal Codice dei beni culturali, i sistemi di conservazione delle Pubbliche Amministrazioni e i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell’Agenzia per l’Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del Titolare dell’oggetto di conservazione e misure di sicurezza conformi a quelle stabilite dalle presenti linee guida.
Le componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione delle Pubbliche Amministrazioni e dei conservatori accreditati sono segregate fisicamente e logicamente per i servizi di cui all’art. 29 del CAD.
Qualora i servizi vengano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2019 e, conseguentemente, essere presente nel “Catalogo dei servizi Cloud per la PA qualificati”
(https://cloud.italia.it/marketplace/supplier/market/index.html
Quanto riportato è il paragrafo 4.9 delle Linee guida sul documentale da giovedì scorso in consultazione pubblica sul sito Docs del Team digitale.
Sollecito l’attenzione del lettore sulla frase “qualora i servizi vengano erogati in modalità cloud”. Il qualora fa chiaramente intendere che non è sempre così. Inoltre l’obbligo di segregazione fisica e logica dell’infrastruttura obbliga alla scelta di cloud che di fatto non lo sono perché sono Virtual Private Services.
Sottolineo anche che queste LLGG riprendono sul tema dell’infrastruttura il DPCM 3 dicembre 2013 che sarà in vigore per ancora molti mesi con l’aggiunta (poco chiara) della tematica cloud.
ANORC ha chiesto più volte ad AgID di chiarire cosa intendono loro per cloud.
La comunità scientifica definisce il cloud come
“Il cloud computing è un sistema per erogare potenza di elaborazione, storage di database, applicazioni e altre risorse IT on demand tramite una piattaforma di servizi cloud via internet con tariffe a consumo”. (da AWS - Amazon Web Services).
E’ evidente che Maggioli e IFIN lo fanno e si sono certificati (il termine qualificati è scorretto normativamente). Gli altri sono a posto perchè AgID nella sua attività ispettiva non ha sollevato il problema, a mia conoscenza", negli ultimi diciotto mesi.
E in ogni caso fa fede l’elenco dei conservatori accreditati che sono nel marketplace perchè erogano il servizio in modalità “cloud”. Lo sanno tutti ma ribadisco che l’accreditamento del conservatore è complesso e ben più ampio dell’integrazione della certificazione ISO 27001 con le regole ISO 27017 e 27018.
Scusate la lunghezza.