x

x

AVCPass o AVCPec? Un obiettivo condivisibile, un dispositivo da riformulare

1. Premessa

L’Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture (AVCP), con Deliberazione 20 dicembre 2012, n. 111, ha introdotto per le amministrazioni pubbliche il sistema AVCPass. L’acronimo sta per “Authority Virtual Company Passport” e si tratta, in buona sostanza, di un servizio telematico di verifica dei requisiti di partecipazione alle gare pubbliche degli operatori economici in cui è richiesto il codice identificativo gara - CIG (dal 1° gennaio 2013).

L’operazione ha un obiettivo condivisibile. Essa, infatti, si pone come fine la semplificazione complessiva, l’accelerazione delle procedure e la dematerializzazione dei documenti cartacei. Quest’ultima, associata alla riduzione degli adempimenti connessi, anche iterati e ipertrofici, porterà a una diminuzione complessiva dei costi per il nostro Paese. Inoltre, in virtù di una maggiore trasparenza, è facilmente prevedibile anche la diminuzione del contenzioso.

La Deliberazione, tuttavia, introduce una criticità non trascurabile, soprattutto se affrontata in chiave economica e organizzativa. Si tratta della proliferazione esponenziale delle caselle di posta elettronica certificata (PEC).

Da un punto di vista metodologico siamo, dunque, di fronte a una soluzione sostanzialmente corretta, ma da ripensare sotto il profilo organizzativo, come esamineremo nel paragrafo seguente.

2. La proliferazione esponenziale delle caselle di PEC: come complicarsi la vita (e complicarla alle amministrazioni pubbliche)

L’articolo 77, comma 5, del Decreto legislativo. n. 163/2006 ha stabilito che

«Quando le stazioni appaltanti chiedano o acconsentano alle comunicazioni per via elettronica, gli strumenti da utilizzare per comunicare per via elettronica, nonché le relative caratteristiche tecniche, devono essere di carattere non discriminatorio, comunemente disponibili al pubblico e compatibili con i prodotti della tecnologia dell'informazione e della comunicazione generalmente in uso. Le stazioni appaltanti che siano soggetti tenuti all'osservanza del Decreto legislativo 7 marzo 2005, n. 82 (codice dell’amministrazione digitale), operano nel rispetto delle previsioni di tali atti legislativi e successive modificazioni, e delle relative norme di attuazione ed esecuzione. In particolare, gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve avvenire tramite posta elettronica certificata, ai sensi dell'articolo 48, del decreto legislativo 7 marzo 2005, n. 82, del Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68 e del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445».

Applicando rigidamente la frase “gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve [rectius, devono] avvenire tramite posta elettronica certificata”, l’articolo 3, comma 2, della Deliberazione in commento prevede, in capo alle amministrazioni pubbliche, l’attivazione di una serie di caselle PEC. Infatti, nel dispositivo sono previste per:

a) stazione appaltante/ente aggiudicatore (PEC relativa all’area organizzativa omogenea di protocollo di appartenenza);

b) responsabile del procedimento (casella PEC personale);

c) almeno un amministratore/legale rappresentante di ogni operatore eco-nomico (casella PEC personale dell’amministratore e casella PEC dell’operatore economico); nel caso di operatore economico persona fisica casella PEC personale;

d) eventuale delegato dall’operatore economico (casella PEC personale del delegato e casella PEC dell’operatore economico);

e) Presidente di Commissione e Commissari di gara chiamati ad operare tramite il sistema AVCPass (casella PEC personale).

3. La PEC nell’ordinamento giuridico italiano

L’Autorità giustifica tale proliferazione con la necessità di effettuare le comunicazioni nell’ambito del sistema AVCPass tramite PEC, assicurando così un sistema il più possibile “coerente” con quanto previsto dall’ articolo 77, comma 5 del Codice dei contratti pubblici, nonché con la Circolare della Presidenza del Consiglio dei Ministri n. 1/2010. Quest’ultima ha sensibilizzato le amministrazioni pubbliche all’utilizzo della posta elettronica certificata, in ossequio al Decreto legislativo. 82/2005, alla legge 69/2009 e alla legge 102/2009.

Più che lodevole, dunque, l’intento dell’Autorità di applicare quanto previsto dalla citata normativa, anche in considerazione di quanto previsto dal DPCM 6 maggio 2009 . Quest’ultimo provvedimento prevede da un lato che le amministrazioni pubbliche istituiscano una sola casella di PEC per ogni registro di protocollo (articolo 4), dall’altro che, per le comunicazioni tra amministrazioni pubbliche e il proprio personale, ai dipendenti pubblici venga assegnata una casella di PEC da parte dell’amministrazione di appartenenza nelle modalità che questa definirà autonomamente (articolo 9).

In realtà, tale ultima volontà legislativa di assegnare la PEC a ogni dipendente pubblico è stata implicitamente abrogata dalle successive modifiche al CAD .

Inoltre, una scelta di tale calibro appalesa una certa diffidenza da parte di AVCP nei confronti delle altre tipologie di comunicazione informatica e, soprattutto, delle garanzie che comunque offrono il Codice dell’amministrazione digitale (Decreto legislativo. 82/2005) e il Testo unico sulla documentazione amministrativa (DPR 445/2000 - TUDA).

Non si può dimenticare, infatti, come il TUDA, all’articolo 53, comma 5, prescriva l’assoggettabilità alla registrazione «dei documenti ricevuti e spediti dall’amministrazione e di tutti i documenti informatici», senza specificare le modalità con cui i documenti debbano essere trasmessi, né il formato degli stessi. Infatti, considerato che il messaggio di PEC è un documento informatico sottoscritto con firma elettronica avanzata (DPCM 22 febbraio 2013, articoloicolo 61), ciò comporta che qualsiasi scambio di messaggi tra AVCP, privati e stazioni appaltanti debba obbligatoriamente essere registrato nel sistema di gestione informatica dei documenti (cd “protocollo informatico”).

A conferma di ciò si ricorda che l’articolo 40-bis del CAD sancisce l’obbligo di registrare ai sensi del citato articolo 53 del TUDA «le comunicazioni che pervengono o sono inviate dalle caselle di posta elettronica di cui agli articoli 47, commi 1 e 3 , 54, comma 2-ter e 57-bis , comma 1, nonché le istanze e le dichiarazioni di cui all’articolo 65 in conformità alle regole tecniche di cui all’articolo 71».

4. Metodi e strumenti per la comunicazione “affidabile” all’interno del principio di economicità dell’azione amministrativa

Se l’intento dell’Autorità era di estendere il più possibile l’utilizzo della PEC ai fini della tracciabilità delle comunicazioni e della registrazione delle stesse, è innegabile come tale obiettivo sia comunque raggiungibile indipendentemente da un eccesso di zelo. Né obbligare tanti soggetti a dotarsi di PEC può ritenersi una forma di tutela nei rapporti tra stazione appaltante e soggetto economico che partecipa alla gara. Infatti, norme alla mano, se il documento informatico viene trasmesso per via telematica all'indirizzo elettronico dichiarato dal destinatario, questo si deve intendere inviato e pervenuto allo stesso (articolo 14 del DPR 445/2000).

Le norme di riferimento per gli obiettivi di AVCP ci sono, funzionano da tempo e non paiono sussistere motivi di aggravio di adempimenti procedimentali. Serve, quindi, una burocrazia più leggera e un’azione amministrativa votata all’economicità, che rimane uno dei più importanti principi stabiliti della legge 241/1990.

Da questa prima disamina, non è arduo comprendere come la deliberazione di AVCP, se in prima battuta potrebbe sembrare di essere in linea con i dettami del Decreto legislativo 163/2006, in realtà evidenzi l’intento di fornire quelle garanzie ai soggetti operanti nell’ambito del procedimento di evidenza pubblica di cui gli stessi sono già in possesso e ciò, si badi bene, indipendentemente dal possesso di una pluralità di indirizzi di posta elettronica certificata.

La scelta dell’Autorità rivela i suoi risvolti critici soprattutto quando si considerano le conseguenze pratiche, organizzative e giuridiche. Infatti, costringere cumulativamente i soggetti indicati all’articolo 3 della deliberazione a dotarsi di un indirizzo di posta elettronica certificata comporta un proliferare ingiustificato rispetto al fine che si vuole raggiungere.

Verrebbe infatti meno l’unicità della PEC dell’ente e coincidente con la AOO e, al contrario, l’indirizzo di PEC sarebbe collegato ai diversi soggetti elencati in deliberazione, con la conseguenza che, in caso di mutamenti contrattuali o di cessazioni, occorrerebbe procedere tempestivamente all’aggiornamento delle anagrafiche del protocollo e intervenire sul relativo database di gestione documentale, anche per gli smistamenti, che avvengono di norma in maniera non presidiata, grazie alla tabella dei procedimenti amministrativi e alle informazioni previste dall’articolo 35 del Decreto legislativo 33/2013.

5. L’impatto economico-organizzativo sulle amministrazioni pubbliche

Di impatto non trascurabile sono le conseguenze dal punto di vista economico-organizzativo per le amministrazioni pubbliche scaturenti dalla scelta di dotare una pluralità di soggetti, all’interno della stessa PA interessata dal procedimento di evidenza pubblica, di indirizzi PEC.

Questa previsione dell’Autorità è stata deliberata in difformità ai principi che devono reggere l’attività amministrativa, con particolare riferimento all’economicità per i fini che qui rilevano, oltre all’efficacia, l’imparzialità, la pubblicità e la trasparenza.

Non è in rilievo il singolo costo di una casella PEC (da 6 a 20 euro), ma gli adempimenti organizzativi e giuridici connessi, anche per account temporanei. Nel caso di nomina di un presidente e dei componenti della commissione di gara esterno alla stazione appaltante, si prefigura il rilascio di una casella per un periodo in alcuni casi limitato a pochi giorni. Per un ente di medie dimensioni, la proliferazione di PEC potrebbe passare a una/due a oltre un centinaio, con aggravio ingiustificato di costi e di adempimenti connessi (verifica account, assistenza, rilascio password, etc.).

6. I messaggi PEC sono documenti informatici e, per legge, devono essere registrati e conservati

Un altro problema che la prescrizione contenuta nella deliberazione di AVCP pone è la conservazione dei messaggi e dei documenti trasmessi a mezzo PEC. Non v’è dubbio che tali documenti debbano essere protocollati dai soggetti di cui all’articolo 3 della deliberazione AVCP, ai sensi del combinato disposto dell’articolo 53, comma 5 del DPR 445/2000 e dell’articolo 40-bis del Decreto legislativo 82/2005 e, conseguentemente, preservati dal Responsabile della conservazione con le procedure indicate negli articoli 43, 44 e 44-bis del CAD. Parimenti, è obbligatoria la conservazione anche delle relative ricevute, pur senza registrazione, trattandosi di documenti informatici opponibili a terzi e di tutti gli elementi descritti negli articoli 56 e 57 del DPCM 22 febbraio 2013.

Ma il vero problema che attanaglia gli operatori si riferisce al fatto che i documenti ricevuti sulla casella di PEC “personale” del soggetto individuato dalla delibera debbano essere registrati direttamente da quest’ultimo, creando una sorta di decentramento della protocollazione (purché il software di gestione del protocollo sia multiPEC), oppure debbano essere inoltrati alla PEC istituzionale per garantirne la protocollazione e la conseguente conservazione. In definitiva, si tratta di complicazioni inutili.

In conclusione, la previsione del Codice appalti è corretta negli obiettivi e nella formulazione del legislatore, ma deve essere rapidamente corretto il modus operandi prefigurato da AVCP. In altre parole, è come se i dipendenti pubblici che devono attestare la presenza in servizio con il badge avessero ciascuno un apparecchio proprio nel quale timbrare e non venisse utilizzato un apparecchio comune. La condivisione anche della tecnologia rappresenta sempre un fattore di economicità e di diligenza dell’azione amministrativa.

In coerenza con quanto appena esposto, l’ultimo periodo del comma 2, dell’articolo 3, della Deliberazione 20 dicembre 2012, n. 111, che recita “Pertanto, è necessario che ciascuno dei seguenti soggetti possieda un indirizzo PEC” dovrebbe essere riformulato parzialmente in “Pertanto, è necessario che ciascuno dei seguenti soggetti utilizzi un indirizzo PEC” (errata: possieda; corrige: utilizzi).

In questa riformulazione del dispositivo, il cambio di verbo - da “possieda” a “utilizzi” – garantirà, a parità di affidabilità giuridica della comunicazione, la non proliferazione delle caselle PEC, un notevole risparmio in termini organizzativi e finanziari.

7. Le FAQ di AVCPass

Sul sito dell’Autorità sono state opportunamente esposte le FAQ per il servizio AVCPass (http://www.avcp.it/portal/public/classic/FAQ/FaqAvcpass).

Tuttavia, al punto M.1, alla domanda «Cosa accade in caso di indisponibilità di una casella di posta elettronica certificata (PEC) personale?», l’Autorità risponde testualmente che «La richiesta di una casella PEC personale è finalizzata ad assicurare il giusto grado di sicurezza e rispetto degli adempimenti in materia di privacy; attraverso tale canale, è previsto infatti lo scambio di informazioni confidenziali (password, credenziali di accesso, etc.) che non sarebbero “trasmesse in sicurezza” in caso di inoltro mediante la casella PEC istituzionale della SA. In caso di impossibilità da parte della SA di procedere all'assegnazione per i soggetti richiamati in Delibera di caselle PEC personali, l’Autorità: è disponibile ad accettare le caselle 'CEC PAC' personali per le comunicazioni da AVCP verso l’utente».

In primo luogo, risulta necessario sgomberare il campo da un equivoco fondamentale: la privacy, agitata spesso dalle amministrazioni pubbliche come vessillo del non-agire, qui non rileva.

Una password non contiene di per sé dati personali né dati sensibili, ma deve essere considerata uno strumento di identificazione (authentication) per la quale risulta necessaria l’assoluta disponibilità del soggetto titolare, al quale, quindi, al primo utilizzo della stessa deve essere consentito di modificarla.

Inoltre, la comunicazione via PEC (come la comunicazione via e-mail semplice) non garantisce una riservatezza assoluta nel canale di trasmissione utilizzato, tanto che l’articolo 46 del CAD (rubricato “dati particolari contenuti nei documenti trasmessi”) specifica che «al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite».

Quindi, la trasmissione di ID e password via e-mail o PEC è un sistema inade-guato se non associato a ulteriori garanzie a tutela dell’interessato, quali tecniche di cifratura del messaggio trasmesso e/o possibilità di successiva e immediata modifica delle credenziali di identificazione.

In ogni caso, il sistema di protocollo, (che è e deve essere gestito da pubblici ufficiali, a tutela anche della riservatezza di fatti, stati e qualità), è giuridicamente ed efficacemente in grado di garantire il livello di sicurezza. In seconda battuta, all’atto della ricezione di qualsiasi password, è buona norma per l’utente cambiarla e personalizzarla (e ovviamente – come già riferito – il sistema deve consentire questo tipo di operazione).

Quanto emerge dalla FAQ, pertanto, è organizzativamente e giuridicamente infondato.

8. Conclusioni

Ci permettiamo di esprimere delle considerazioni finali più generali e legate alle strategie legislative di digitalizzazione nella PA. Esse non dovrebbero puntare solo e soltanto sulla PEC come strumento di trasmissione di documenti informatici, ma tenere in maggiore considerazione la natura del documento “privo di peso” e, quindi, potenzialmente accessibile in modo diretto dagli archivi digitali attraverso tecniche di “strong authentication”.

Ci chiediamo, infatti, se abbia senso questa complicazione informatica nella gestione documentale finalizzata soltanto a trasmettere con certezza documenti informatici. Siamo sicuri che i documenti informatici delle PA meritino davvero di essere trasmessi attraverso “postini” e non di essere, invece, più propriamente gestiti e condivisi in archivi messi a disposizione dalle PA procedenti? Non sarebbe utile iniziare a ripensare la complessa burocrazia informatica che stiamo edificando?

Un’ulteriore considerazione: siamo sicuri che il potere di un’Autorità indipendente possa spingersi fino a condizionare gli assetti organizzativi e l’impegno di risorse umane e finanziarie di una amministrazione pubblica?

Vero è che ai sensi dell’articolo 6-bis, comma 4, del Codice dei contratti i soggetti pubblici e privati e gli operatori economici che detengono i dati e la documentazione relativi ai requisiti di partecipazione sono tenuti a metterli a disposizione dell’Autorità entro i termini e secondo le modalità previste dalla deliberazione in commento, ma è corretto che questo avvenga senza un effettivo beneficio procedimentale o di sicurezza, imponendo modalità con aggravio di spesa e aggravio del procedimento?

Le amministrazioni, sono tenute per legge a dotarsi almeno di una casella di posta elettronica istituzionale e di una casella di PEC per ciascun registro di protocollo: tutto il resto è eventuale, ulteriore e richiede una attenta considerazione del rapporto costi/benefici. Va bene il metodo generale, ma il “come” deve essere lasciato all’autonomia organizzativa delle amministrazioni pubbliche.

1. Premessa

L’Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture (AVCP), con Deliberazione 20 dicembre 2012, n. 111, ha introdotto per le amministrazioni pubbliche il sistema AVCPass. L’acronimo sta per “Authority Virtual Company Passport” e si tratta, in buona sostanza, di un servizio telematico di verifica dei requisiti di partecipazione alle gare pubbliche degli operatori economici in cui è richiesto il codice identificativo gara - CIG (dal 1° gennaio 2013).

L’operazione ha un obiettivo condivisibile. Essa, infatti, si pone come fine la semplificazione complessiva, l’accelerazione delle procedure e la dematerializzazione dei documenti cartacei. Quest’ultima, associata alla riduzione degli adempimenti connessi, anche iterati e ipertrofici, porterà a una diminuzione complessiva dei costi per il nostro Paese. Inoltre, in virtù di una maggiore trasparenza, è facilmente prevedibile anche la diminuzione del contenzioso.

La Deliberazione, tuttavia, introduce una criticità non trascurabile, soprattutto se affrontata in chiave economica e organizzativa. Si tratta della proliferazione esponenziale delle caselle di posta elettronica certificata (PEC).

Da un punto di vista metodologico siamo, dunque, di fronte a una soluzione sostanzialmente corretta, ma da ripensare sotto il profilo organizzativo, come esamineremo nel paragrafo seguente.

2. La proliferazione esponenziale delle caselle di PEC: come complicarsi la vita (e complicarla alle amministrazioni pubbliche)

L’articolo 77, comma 5, del Decreto legislativo. n. 163/2006 ha stabilito che

«Quando le stazioni appaltanti chiedano o acconsentano alle comunicazioni per via elettronica, gli strumenti da utilizzare per comunicare per via elettronica, nonché le relative caratteristiche tecniche, devono essere di carattere non discriminatorio, comunemente disponibili al pubblico e compatibili con i prodotti della tecnologia dell'informazione e della comunicazione generalmente in uso. Le stazioni appaltanti che siano soggetti tenuti all'osservanza del Decreto legislativo 7 marzo 2005, n. 82 (codice dell’amministrazione digitale), operano nel rispetto delle previsioni di tali atti legislativi e successive modificazioni, e delle relative norme di attuazione ed esecuzione. In particolare, gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve avvenire tramite posta elettronica certificata, ai sensi dell'articolo 48, del decreto legislativo 7 marzo 2005, n. 82, del Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68 e del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445».

Applicando rigidamente la frase “gli scambi di comunicazioni tra amministrazioni aggiudicatrici e operatori economici deve [rectius, devono] avvenire tramite posta elettronica certificata”, l’articolo 3, comma 2, della Deliberazione in commento prevede, in capo alle amministrazioni pubbliche, l’attivazione di una serie di caselle PEC. Infatti, nel dispositivo sono previste per:

a) stazione appaltante/ente aggiudicatore (PEC relativa all’area organizzativa omogenea di protocollo di appartenenza);

b) responsabile del procedimento (casella PEC personale);

c) almeno un amministratore/legale rappresentante di ogni operatore eco-nomico (casella PEC personale dell’amministratore e casella PEC dell’operatore economico); nel caso di operatore economico persona fisica casella PEC personale;

d) eventuale delegato dall’operatore economico (casella PEC personale del delegato e casella PEC dell’operatore economico);

e) Presidente di Commissione e Commissari di gara chiamati ad operare tramite il sistema AVCPass (casella PEC personale).

3. La PEC nell’ordinamento giuridico italiano

L’Autorità giustifica tale proliferazione con la necessità di effettuare le comunicazioni nell’ambito del sistema AVCPass tramite PEC, assicurando così un sistema il più possibile “coerente” con quanto previsto dall’ articolo 77, comma 5 del Codice dei contratti pubblici, nonché con la Circolare della Presidenza del Consiglio dei Ministri n. 1/2010. Quest’ultima ha sensibilizzato le amministrazioni pubbliche all’utilizzo della posta elettronica certificata, in ossequio al Decreto legislativo. 82/2005, alla legge 69/2009 e alla legge 102/2009.

Più che lodevole, dunque, l’intento dell’Autorità di applicare quanto previsto dalla citata normativa, anche in considerazione di quanto previsto dal DPCM 6 maggio 2009 . Quest’ultimo provvedimento prevede da un lato che le amministrazioni pubbliche istituiscano una sola casella di PEC per ogni registro di protocollo (articolo 4), dall’altro che, per le comunicazioni tra amministrazioni pubbliche e il proprio personale, ai dipendenti pubblici venga assegnata una casella di PEC da parte dell’amministrazione di appartenenza nelle modalità che questa definirà autonomamente (articolo 9).

In realtà, tale ultima volontà legislativa di assegnare la PEC a ogni dipendente pubblico è stata implicitamente abrogata dalle successive modifiche al CAD .

Inoltre, una scelta di tale calibro appalesa una certa diffidenza da parte di AVCP nei confronti delle altre tipologie di comunicazione informatica e, soprattutto, delle garanzie che comunque offrono il Codice dell’amministrazione digitale (Decreto legislativo. 82/2005) e il Testo unico sulla documentazione amministrativa (DPR 445/2000 - TUDA).

Non si può dimenticare, infatti, come il TUDA, all’articolo 53, comma 5, prescriva l’assoggettabilità alla registrazione «dei documenti ricevuti e spediti dall’amministrazione e di tutti i documenti informatici», senza specificare le modalità con cui i documenti debbano essere trasmessi, né il formato degli stessi. Infatti, considerato che il messaggio di PEC è un documento informatico sottoscritto con firma elettronica avanzata (DPCM 22 febbraio 2013, articoloicolo 61), ciò comporta che qualsiasi scambio di messaggi tra AVCP, privati e stazioni appaltanti debba obbligatoriamente essere registrato nel sistema di gestione informatica dei documenti (cd “protocollo informatico”).

A conferma di ciò si ricorda che l’articolo 40-bis del CAD sancisce l’obbligo di registrare ai sensi del citato articolo 53 del TUDA «le comunicazioni che pervengono o sono inviate dalle caselle di posta elettronica di cui agli articoli 47, commi 1 e 3 , 54, comma 2-ter e 57-bis , comma 1, nonché le istanze e le dichiarazioni di cui all’articolo 65 in conformità alle regole tecniche di cui all’articolo 71».

4. Metodi e strumenti per la comunicazione “affidabile” all’interno del principio di economicità dell’azione amministrativa

Se l’intento dell’Autorità era di estendere il più possibile l’utilizzo della PEC ai fini della tracciabilità delle comunicazioni e della registrazione delle stesse, è innegabile come tale obiettivo sia comunque raggiungibile indipendentemente da un eccesso di zelo. Né obbligare tanti soggetti a dotarsi di PEC può ritenersi una forma di tutela nei rapporti tra stazione appaltante e soggetto economico che partecipa alla gara. Infatti, norme alla mano, se il documento informatico viene trasmesso per via telematica all'indirizzo elettronico dichiarato dal destinatario, questo si deve intendere inviato e pervenuto allo stesso (articolo 14 del DPR 445/2000).

Le norme di riferimento per gli obiettivi di AVCP ci sono, funzionano da tempo e non paiono sussistere motivi di aggravio di adempimenti procedimentali. Serve, quindi, una burocrazia più leggera e un’azione amministrativa votata all’economicità, che rimane uno dei più importanti principi stabiliti della legge 241/1990.

Da questa prima disamina, non è arduo comprendere come la deliberazione di AVCP, se in prima battuta potrebbe sembrare di essere in linea con i dettami del Decreto legislativo 163/2006, in realtà evidenzi l’intento di fornire quelle garanzie ai soggetti operanti nell’ambito del procedimento di evidenza pubblica di cui gli stessi sono già in possesso e ciò, si badi bene, indipendentemente dal possesso di una pluralità di indirizzi di posta elettronica certificata.

La scelta dell’Autorità rivela i suoi risvolti critici soprattutto quando si considerano le conseguenze pratiche, organizzative e giuridiche. Infatti, costringere cumulativamente i soggetti indicati all’articolo 3 della deliberazione a dotarsi di un indirizzo di posta elettronica certificata comporta un proliferare ingiustificato rispetto al fine che si vuole raggiungere.

Verrebbe infatti meno l’unicità della PEC dell’ente e coincidente con la AOO e, al contrario, l’indirizzo di PEC sarebbe collegato ai diversi soggetti elencati in deliberazione, con la conseguenza che, in caso di mutamenti contrattuali o di cessazioni, occorrerebbe procedere tempestivamente all’aggiornamento delle anagrafiche del protocollo e intervenire sul relativo database di gestione documentale, anche per gli smistamenti, che avvengono di norma in maniera non presidiata, grazie alla tabella dei procedimenti amministrativi e alle informazioni previste dall’articolo 35 del Decreto legislativo 33/2013.

5. L’impatto economico-organizzativo sulle amministrazioni pubbliche

Di impatto non trascurabile sono le conseguenze dal punto di vista economico-organizzativo per le amministrazioni pubbliche scaturenti dalla scelta di dotare una pluralità di soggetti, all’interno della stessa PA interessata dal procedimento di evidenza pubblica, di indirizzi PEC.

Questa previsione dell’Autorità è stata deliberata in difformità ai principi che devono reggere l’attività amministrativa, con particolare riferimento all’economicità per i fini che qui rilevano, oltre all’efficacia, l’imparzialità, la pubblicità e la trasparenza.

Non è in rilievo il singolo costo di una casella PEC (da 6 a 20 euro), ma gli adempimenti organizzativi e giuridici connessi, anche per account temporanei. Nel caso di nomina di un presidente e dei componenti della commissione di gara esterno alla stazione appaltante, si prefigura il rilascio di una casella per un periodo in alcuni casi limitato a pochi giorni. Per un ente di medie dimensioni, la proliferazione di PEC potrebbe passare a una/due a oltre un centinaio, con aggravio ingiustificato di costi e di adempimenti connessi (verifica account, assistenza, rilascio password, etc.).

6. I messaggi PEC sono documenti informatici e, per legge, devono essere registrati e conservati

Un altro problema che la prescrizione contenuta nella deliberazione di AVCP pone è la conservazione dei messaggi e dei documenti trasmessi a mezzo PEC. Non v’è dubbio che tali documenti debbano essere protocollati dai soggetti di cui all’articolo 3 della deliberazione AVCP, ai sensi del combinato disposto dell’articolo 53, comma 5 del DPR 445/2000 e dell’articolo 40-bis del Decreto legislativo 82/2005 e, conseguentemente, preservati dal Responsabile della conservazione con le procedure indicate negli articoli 43, 44 e 44-bis del CAD. Parimenti, è obbligatoria la conservazione anche delle relative ricevute, pur senza registrazione, trattandosi di documenti informatici opponibili a terzi e di tutti gli elementi descritti negli articoli 56 e 57 del DPCM 22 febbraio 2013.

Ma il vero problema che attanaglia gli operatori si riferisce al fatto che i documenti ricevuti sulla casella di PEC “personale” del soggetto individuato dalla delibera debbano essere registrati direttamente da quest’ultimo, creando una sorta di decentramento della protocollazione (purché il software di gestione del protocollo sia multiPEC), oppure debbano essere inoltrati alla PEC istituzionale per garantirne la protocollazione e la conseguente conservazione. In definitiva, si tratta di complicazioni inutili.

In conclusione, la previsione del Codice appalti è corretta negli obiettivi e nella formulazione del legislatore, ma deve essere rapidamente corretto il modus operandi prefigurato da AVCP. In altre parole, è come se i dipendenti pubblici che devono attestare la presenza in servizio con il badge avessero ciascuno un apparecchio proprio nel quale timbrare e non venisse utilizzato un apparecchio comune. La condivisione anche della tecnologia rappresenta sempre un fattore di economicità e di diligenza dell’azione amministrativa.

In coerenza con quanto appena esposto, l’ultimo periodo del comma 2, dell’articolo 3, della Deliberazione 20 dicembre 2012, n. 111, che recita “Pertanto, è necessario che ciascuno dei seguenti soggetti possieda un indirizzo PEC” dovrebbe essere riformulato parzialmente in “Pertanto, è necessario che ciascuno dei seguenti soggetti utilizzi un indirizzo PEC” (errata: possieda; corrige: utilizzi).

In questa riformulazione del dispositivo, il cambio di verbo - da “possieda” a “utilizzi” – garantirà, a parità di affidabilità giuridica della comunicazione, la non proliferazione delle caselle PEC, un notevole risparmio in termini organizzativi e finanziari.

7. Le FAQ di AVCPass

Sul sito dell’Autorità sono state opportunamente esposte le FAQ per il servizio AVCPass (http://www.avcp.it/portal/public/classic/FAQ/FaqAvcpass).

Tuttavia, al punto M.1, alla domanda «Cosa accade in caso di indisponibilità di una casella di posta elettronica certificata (PEC) personale?», l’Autorità risponde testualmente che «La richiesta di una casella PEC personale è finalizzata ad assicurare il giusto grado di sicurezza e rispetto degli adempimenti in materia di privacy; attraverso tale canale, è previsto infatti lo scambio di informazioni confidenziali (password, credenziali di accesso, etc.) che non sarebbero “trasmesse in sicurezza” in caso di inoltro mediante la casella PEC istituzionale della SA. In caso di impossibilità da parte della SA di procedere all'assegnazione per i soggetti richiamati in Delibera di caselle PEC personali, l’Autorità: è disponibile ad accettare le caselle 'CEC PAC' personali per le comunicazioni da AVCP verso l’utente».

In primo luogo, risulta necessario sgomberare il campo da un equivoco fondamentale: la privacy, agitata spesso dalle amministrazioni pubbliche come vessillo del non-agire, qui non rileva.

Una password non contiene di per sé dati personali né dati sensibili, ma deve essere considerata uno strumento di identificazione (authentication) per la quale risulta necessaria l’assoluta disponibilità del soggetto titolare, al quale, quindi, al primo utilizzo della stessa deve essere consentito di modificarla.

Inoltre, la comunicazione via PEC (come la comunicazione via e-mail semplice) non garantisce una riservatezza assoluta nel canale di trasmissione utilizzato, tanto che l’articolo 46 del CAD (rubricato “dati particolari contenuti nei documenti trasmessi”) specifica che «al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite».

Quindi, la trasmissione di ID e password via e-mail o PEC è un sistema inade-guato se non associato a ulteriori garanzie a tutela dell’interessato, quali tecniche di cifratura del messaggio trasmesso e/o possibilità di successiva e immediata modifica delle credenziali di identificazione.

In ogni caso, il sistema di protocollo, (che è e deve essere gestito da pubblici ufficiali, a tutela anche della riservatezza di fatti, stati e qualità), è giuridicamente ed efficacemente in grado di garantire il livello di sicurezza. In seconda battuta, all’atto della ricezione di qualsiasi password, è buona norma per l’utente cambiarla e personalizzarla (e ovviamente – come già riferito – il sistema deve consentire questo tipo di operazione).

Quanto emerge dalla FAQ, pertanto, è organizzativamente e giuridicamente infondato.

8. Conclusioni

Ci permettiamo di esprimere delle considerazioni finali più generali e legate alle strategie legislative di digitalizzazione nella PA. Esse non dovrebbero puntare solo e soltanto sulla PEC come strumento di trasmissione di documenti informatici, ma tenere in maggiore considerazione la natura del documento “privo di peso” e, quindi, potenzialmente accessibile in modo diretto dagli archivi digitali attraverso tecniche di “strong authentication”.

Ci chiediamo, infatti, se abbia senso questa complicazione informatica nella gestione documentale finalizzata soltanto a trasmettere con certezza documenti informatici. Siamo sicuri che i documenti informatici delle PA meritino davvero di essere trasmessi attraverso “postini” e non di essere, invece, più propriamente gestiti e condivisi in archivi messi a disposizione dalle PA procedenti? Non sarebbe utile iniziare a ripensare la complessa burocrazia informatica che stiamo edificando?

Un’ulteriore considerazione: siamo sicuri che il potere di un’Autorità indipendente possa spingersi fino a condizionare gli assetti organizzativi e l’impegno di risorse umane e finanziarie di una amministrazione pubblica?

Vero è che ai sensi dell’articolo 6-bis, comma 4, del Codice dei contratti i soggetti pubblici e privati e gli operatori economici che detengono i dati e la documentazione relativi ai requisiti di partecipazione sono tenuti a metterli a disposizione dell’Autorità entro i termini e secondo le modalità previste dalla deliberazione in commento, ma è corretto che questo avvenga senza un effettivo beneficio procedimentale o di sicurezza, imponendo modalità con aggravio di spesa e aggravio del procedimento?

Le amministrazioni, sono tenute per legge a dotarsi almeno di una casella di posta elettronica istituzionale e di una casella di PEC per ciascun registro di protocollo: tutto il resto è eventuale, ulteriore e richiede una attenta considerazione del rapporto costi/benefici. Va bene il metodo generale, ma il “come” deve essere lasciato all’autonomia organizzativa delle amministrazioni pubbliche.