PEC e obbligo amministratori delle società

Le società NIS2 devono fornire ad ACN, tra le tante informazioni, anche gli indirizzi PEC degli amministratori.

In effetti "a decorrere dal 1° gennaio 2025, l'obbligo di comunicare al registro delle imprese il domicilio digitale / indirizzo di posta elettronica certificata (PEC) – già previsto per le società e per le imprese individuali". Questo per il DL 179 del 2012, art. 5 comma 1, modificato dalla Legge di bilancio 2025.

Questo vuol dire che amministratori e liquidatori delle società di capitali, società cooperative, società consortili e società di persone devono avere la PEC. Unioncamere ha però interpretato dicendo che si può usare anche la PEC della società stessa.

Tutto questo l'ho riassunto da una pagina della Camera di commercio di Milano, Monza Brianza e Lodi: https://www.milomb.camcom.it/obbligo-di-iscrivere-il-domicilio-digitale-degli-amministratori-e-liquidatori-delle-societa.

PEC e REM

Franco Vincenzo Ferrari di DNV mi ha segnalato la pubblicazione dello standard ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito qualificato (REM). La notizia è stata diffusa da AgID:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta.

Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.

Nuove regole sulla conservazione

AgID ha pubblicato le nuove regole per i fornitori di servizi di conservazione per la Pubblica amministrazione (ringrazio Franco Vincenzo Ferrari di DNV per la segnalazione):
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.

Esse si affiancano alle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.

Per una lettura critica delle nuove regole, rimando a un recente articolo su Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.

Nuove linee guida AgID sulla gestione dei documenti informatici

A inizio settembre AgID ha pubblicato una nuova edizione delle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici":
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.

Ho cercato di capire la questione con Franco Vincenzo Ferrari di DNV GL. Grazie a lui, vi segnalo questo articolo che secondo me è il più chiaro e completo in merito ai cambiamenti intervenuti sulla materia, di interesse per il pubblico e per il privato:
https://www.agendadigitale.eu/documenti/conservazione-dei-documenti-ecco-tutte-le-regole-nelle-linee-guida-agid/.

Decreto semplificazioni - aggiornamento

Avevo scritto del DL Semplificazioni:
- http://blog.cesaregallotti.it/2020/09/decreto-semplificazioni.html.

Il 10 settembre è stata approvata la conversione in Legge. Bisognerà quindi vedere se e come saranno confermate le misure che avevo segnalato.

Ulteriori riflessioni, quando sarà disponibile su Normattiva (www.normattiva.it) il testo definitivo o quando ci saranno articoli interessanti.

Decreto semplificazioni

Il 17 luglio è entrato in vigore il DL 76/2020, detto "DL Semplificazione". Ci sono molte novità in materia di informatica e per queste segnalo l'articolo dal titolo "DL semplificazione 2020 cambia la PA digitale: ecco come":
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.

Sempre su Agenda Digitale ci sono altri articoli di Manca su questa materia e ne raccomando la lettura a chi ne è interessato.

La cosa più significativa, per me, riguarda i conservatori di documenti (conservazione a lungo termine di documenti digitali). Per questo ho chiesto aiuto a Franco Vincenzo Ferrari di DNV GL che mi ha raccomandato questo articolo dal titolo "DL Semplificazioni e conservazione dei documenti informatici delle PA: cosa cambia":
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.

In materia di conservazione, mi pare che si possa riassumere la situazione attuale con questo capoverso: "La sostanza delle modifiche necessarie si avrà solo dopo due provvedimenti attuativi in capo ad AgID".

Per intanto io aspetterei di vedere come avverrà la conversione in Legge, visto che spesso questo passaggio porta modifiche significative. Se non erro, questo dovrà avvenire entro metà ottobre.

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID contenenti le "Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell'art. 20 del CAD":
- https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guida-agid/.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Conservazione dei documenti informatici, cloud e blockchain

Segnalo questo articolo di Andrea Lisi di ANORC dal titolo "La conservazione dei documenti informatici non si fa in cloud o in blockchain":
- https://anorc.eu/attivita/la-conservazione-dei-documenti-informatici-non-si-fa-in-cloud-o-in-blockchain/.

Il titolo dice già tutto e quindi non commento ulteriormente, ma ne raccomando la lettura.

Note spese: dematerializzazione e conservazione elettronica

In materia di dematerializzazione delle note spese, Luca De Grazia mi ha segnalato la risposta dell'Agenzia delle Entrate numero 388 del 20 settembre 2019. Le risposte della AE si trovano qui:
- https://www.agenziaentrate.gov.it/portale/web/guest/normativa-e-prassi/risposte-agli-interpelli/interpelli.

Un sunto si trova qui:
- https://www.edotto.com/articolo/note-spese-trasfertisti-possibile-la-conservazione-elettronica.

Mi pare di capire, insomma, che venga richiesto un sistema di conservazione.


Però... ho trovato un articolo più critico e mi pare corretto consultarlo:
- https://www.studiofailla.com/note-spese-digitali-e-fisco/.

Un articolo su una precedente risposta dell'Agenzia delle Entrate si trova qui:
- https://www.leggioggi.it/2017/07/31/note-spese-conservazione-diventa-anche-solo-elettronica/.

Mi pare utile seguire questo tema, in quanto stabilisce le basi della conservazione dei documenti, non solo delle note spese.

PEC o SERCQ? Scenari dal 1 gennaio 2019

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Dalla PEC al domicilio digitale, il passaggio nel 2019: ecco che può succedere":
- https://www.agendadigitale.eu/documenti/fatturazione-elettronica/dalla-pec-al-domicilio-digitale-il-passaggio-nel-2019-ecco-che-puo-succedere/.

In sostanza, la PEC non sarà più regolamentata ai sensi dell'articolo 48 del CAD. Quindi ci sarà una migrazione verso il Servizio di recapito certificato (SERC), regolamentato invece dal Regolamento eIDAS.

Nell'articolo sono presentati dei possibili scenari futuri. A mio parere, per chi non deve qualificarsi esperto della materia, è importante sapere che ci sarà una migrazione ed evitare, quando ci sarà, di fare la faccia stupita.

Accredia e i laboratori di vulnerability assessment

Accredia ha lanciato un servizio di accreditamento dei laboratori di vulnerability assessment rispetto alla ISO/IEC 17025 (grazie a Franco Vincenzo Ferrari di DNV GL per la segnalazione):
- https://www.accredia.it/servizio-accreditato/vulnerability-assessment/.

I laboratori possono essere certificati ISO 9001 o ISO/IEC 27001, ma possono anche essere direttamente accreditati dall'Organismo di accreditamento, che in Italia è Accredia.

L'esigenza viene principalmente dall'attuazione italiana del Regolamento eIDAS e di altri servizi fiduciari quali per esempio quelli relativi alla conservazione dei documenti. Come troppo spesso succede, AgID e Accredia hanno voluto essere più bravi di quelli bravi e imporre l'uso di laboratori accreditati per l'esecuzione di vulnerability assessment presso i fornitori di servizi fiduciari.

Potevano ovviamente richiedere, ai fornitori di servizi di vulnerability assessment, le "sole" certificazioni ISO 9001 o ISO/IEC 27001. Invece hanno voluto richiedere l'accreditamento come laboratori.

Vedremo come sarà recepito questo nuovo schema, gestito direttamente da Accredia.

Servizio Serc, la forse futura PEC

Franco Ferrari del DNV GL mi ha segnalato questo articolo che presenta il SERC (Servizio elettronico di recapito certificato):
- https://www.agendadigitale.eu/cittadinanza-digitale/servizio-elettronico-recapito-certificato-cose-perche-pensionare-la-pec/.

Forse un giorno questo servizio, previsto dal Regolamento eIDAS, sostituirà la PEC. Per intanto: gli standard tecnici saranno pronti (forse) per febbraio 2019. Ma credo sia giusto informarsi, almeno un po', di cosa si tratta.

Firmare documenti a mano!

In questi giorni un gestore di carte di credito mi ha chiesto di inviare la documentazione relativa a movimenti fraudolenti via fax. Pensavo di aver raggiunto il colmo della comicità. Poi però una pubblica amministrazione mi ha inviato una convocazione via PEC e mi ha chiesto di confermare... via fax!

Non ne capisco il motivo. Come se nel 2016 il fax (che è una scansione e poi una stampa di un documento su due dispositivi diversi) possa ancora essere l'unico mezzo di comunicazione.

Forse perché sperano che firmiamo a mano i documenti prima di inviarli? Hanno ovviamente torto: chi non ha una scansione della propria firma sul pc? chi non può acquisire una scansione di una firma altrui e copiarla su un documento da mandare via email o fax?

Pensavo che però i pdf fossero particolarmente molesti. E invece, ecco qui un articolo che mi dice di no:
- https://www.achab.it/achab.cfm/it/blog/achablog/come-inserire-la-tua-firma-in-un-file-pdf-gratis-e-in-un-minuto.

Quando la pubblica amministrazione e i privati smetteranno di applicare procedure antiquate (e quindi, oggi, stupide)?

Conservazione: pubblicate le linee guida AgID

AgID ha pubblicato le "Linee guida sulla conservazione dei documenti informatici":
- http://www.agid.gov.it/notizie/2015/12/10/conservazione-pubblicate-linee-guida-agid.

Plaudo all'iniziativa di rendere più comprensibili le norme in materia di conservazione e di firma elettronica-digitale.

Nei miei sogni, questo documento dovrebbe essere una guida "for dummies". Se questa è l'intenzione anche di AgID, allora c'è ancora molto da semplificare. In tutti i casi, da qualche parte bisogna pur cominciare e il documento è ancora in fase di sviluppo.

Firme elettroniche e Regolamento eIDAS

Ho letto con estremo interesse questa serie di articoli di Francesco Foglio in merito a firme elettroniche e Regolamento iIDAS e il loro impatto sulla normativa italiana:

• http://www.e-idas.org/ancora-sulle-firme-elettroniche/;
• http://www.e-idas.org/firme-elettroniche-e-regolamento-eidas-scenario-e-impatti-sulla-normativa-italiana-prima-parte/;
• http://www.e-idas.org/firme-elettroniche-e-regolamento-eidas-scenario-e-impatti-sulla-normativa-italiana-ultima-parte/.

Consiglio di leggerli nell'ordine da me suggerito, visto che il primo è introduttivo (anche se postato per ultimo, a seguito di una mia richiesta di aiuto).

Regolamento eIDAS e CAD

Il Regolamento europeo cosiddetto eIDAS (n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104) impone delle modifiche al nostro Codice per l'amministrazione digitale (CAD, D. Lgs. 82 del 2005).

Alcune considerazioni sono riportate da questo articolo dal titolo "Il senso del regolamento europeo eIDAS per il nuovo Cad: un coordinamento necessario":
- http://www.forumpa.it/pa-digitale/il-regolamento-europeo-910-slash-2014-eidas-e-il-suo-impatto-sulla-legislazione-nazionale-primaria-e-tecnica.

Articolo su eIDAS

Come noto da precedenti post, eIDAS, il Regolamento europeo relativo ai servizi fiduciari, è un argomento che trovo interessante e degno di attenzione.

Ricordo qui i miei post precedenti:
- http://blog.cesaregallotti.it/2014/12/regolamento-ue-910-del-2014-e-cad_11.html;
- http://blog.cesaregallotti.it/2015/03/spid-identita-digitale.html;
- http://blog.cesaregallotti.it/2015/03/novita-legali-spid-precisazione.html.

A questo punto segnalo un articolo di Andrea Caccia e Daniele Dumietto che, secondo me, rende più chiara la situazione:
- http://www.ildocumentodigitale.com/regolamento-europeo-eidas/.

Per AgID l'informatica è ferma agli anni Novanta

Per AgID l'informatica è ferma agli anni Novanta, forse. Forse agli Ottanta.

Mi spiego. La Circolare AgID 65 del 2014 riguarda l'accreditamento per le attività di conservazione dei documenti informatici e non distingue tra i 3 elementi fondamentali di un servizio IT: attività burocratiche e amministrative, sviluppo e manutenzione dell'applicazione, conduzione dei sistemi informatici.

La circolare stabilisce: "Il conservatore può affidare ad altro conservatore accreditato le attività a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati".

In altre parole, se un'azienda conosce il processo e mantiene l'applicazione non può usare i servizi di amministrazione dei sistemi (e il CED) di un esterno, a meno che questo non sia accreditato a sua volta come conservatore. Quindi, questo professionista esterno deve essere bravo a gestire il CED, ad amministrare i sistemi, a sviluppare un'applicazione complessa, a gestire un processo di conservazione sostitutiva.

Oggi, però, le aziende sono spesso specializzate in un solo di questi compiti (chi conosce le aziende specializzate nello sviluppo sa bene che, spesso, una delle prime cose da fare per migliorarne la sicurezza è proprio quella di far gestire i sistemi ad altri).

Pensate che io sia paranoico? Pensate che in realtà quelli di AgID non la pensino così?

Purtroppo questa mia accusa nasce da casi reali.

Ulteriore considerazione: la medesima disposizione non si applica allo sviluppatore del software. Sebbene l'applicazione sia fondamentale, chi la mantiene non deve essere necessariamente accreditato, a differenza di chi gestisce i sistemi. Come negli anni Ottanta-Novanta, quando le vulnerabilità applicative erano poco considerate.

La circolare di AgID, quindi, doveva essere scritta decisamente meglio, tenendo conto di un concetto che oggi si applica a quasi tutti i settori: la catena di fornitura.

Nota finale: non penso che i conservatori accreditati ad oggi siano deboli in uno dei settori indicati. Ma le aziende di questo tipo sono necessariamente molto poche.

EN 319403 per i servizi fiduciari

È stata pubblicata la EN 319 403, dal titolo " Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers":
- http://uninfo.it/index.php/news/focus/item/pubblicata-la-norma-en-319403-nasce-l-accreditamento-per-la-conformita-dei-servizi-fiduciari

È applicabile ai fornitori di servizi che vorranno ottenere dall'AgID lo status di servizio qualificato. Tra questi servizi vi sono quelli relativi a:
- firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
- certificati di autenticazione di siti web;
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

Grazie ad Andrea Caccia per la segnalazione.