Il nuovo Sistema Pubblico di Connettività è compliance con la normativa UE

Sul sito di AGID si legge che il Sistema Pubblico di Connettività (SPI) è l’insieme di infrastrutture tecnologiche e di regole tecniche che ha lo scopo di “federare” le infrastrutture ICT delle pubbliche amministrazioni, per realizzare servizi integrati mediante regole e servizi condivisi. Questa integrazione permette di risparmiare sui costi e sui tempi e di realizzare i servizi finali centrati sull’utente, evitando richieste di dati da parte delle amministrazioni oltre che duplicazioni di informazioni e controlli.
Attraverso lo SPI il legislatore ha inteso definire le modalità preferenziali che i sistemi informativi delle pubbliche amministrazioni devono adottare per essere tra loro "interoperabili". Gli aspetti di interoperabilità sono assicurati da regole e, soprattutto, da una serie di servizi di interoperabilità, cooperazione e accesso che fanno parte delle infrastrutture nazionali condivise SPC.

1) Le norme nazionali e comunitarie sulla sicurezza informatica

Quello che ci preme sottolineare in questa sede attiene, appunto, alle regole poste in essere nel nostro Paese che sono contenute, sostanzialmente:
1. nel Codice dell’Amministrazione Digitale (CAD), per il quale dal 31 dicembre del 2017 sarà rivoluzionato il rapporto tra cittadini e amministrazioni pubbliche. I cittadini potranno accedere ai servizi pubblici con un unico nome utente e un’unica password e potranno avere un domicilio digitale con cui inviare e ricevere dalle pubbliche amministrazioni comunicazioni e documenti per via digitale. Con la carta della cittadinanza digitale ogni cittadino avrà diritto all’identità digitale (Spid) e al domicilio digitale. Alla prima si accede con Pin unico e consentirà di utilizzare i servizi erogati in rete dalle pubbliche amministrazioni. Dal primo gennaio 2018 tutti i servizi online delle Pa saranno accessibili tramite Spid. Il domicilio digitale sarà l’indirizzo online con cui un cittadino potrà dialogare con le pubbliche amministrazioni. La moneta elettronica diventa il principale strumento di pagamento delle pubbliche amministrazioni.
2. nelle Regole Tecniche e di sicurezza per il funzionamento del SPC, ci riferiamo al DPCM 1° aprile 2008, recante, “Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività previste dall'articolo 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale».” (G.U. 21 giugno 2008, n. 144).
A livello comunitario, il Legislatore è intervenuto con una serie di strumenti normativi quali i due seguenti  regolamenti:
1. il Regolamento Generale sulla Protezione dei Dati (Reg. 679/20016 (UE, che per quanto di attinenza in questa sede, stabilisce il diritto alla portabilità dei dati allorchè il cittadino intenda passare da un operatore ad un altro;
2. il Regolamento EIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n 910/2014 sull’identità digitale – che ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri. Detto Regolamento eIDAS ha l’obiettivo di rafforzare la fiducia nelle transazioni nell’Unione Europea, fornendo una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni.
E due direttive;
1. la  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
2. la Direttiva NIS - Direttiva del Parlamento Europeo e del Consiglio, recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione La direttiva stabilisce un pacchetto comune di “regole a livello di Ue sulla sicurezza informatica”. Nella Relazione introduttiva si afferma che, lo scopo della direttiva proposta èi. Questo presuppone il miglioramento della sicurezza di internet e delle reti e dei sistemi informativi privati su cui si fonda il funzionamento delle nostre società e delle nostre economie. A questo scopo si chiede agli Stati membri di aumentare il loro grado di preparazione e di migliorare la collaborazione reciproca, agli operatori di infrastrutture critiche, come l’energia, i trasporti e i principali fornitori di servizi della società dell’informazione (piattaforme di commercio elettronico, reti sociali ecc.) e alle pubbliche amministrazioni, di adottare misure adeguate  per gestire i rischi di sicurezza e segnalare alle autorità competenti gli incidenti gravi.
Ebbene leggendo questi due blocchi di norme (italiane e comunitarie) emergono dei disallineamenti dovuto al fatto che le prime, che entreranno in vigore nel prossimo biennio 2017/18 non fanno menzione, né tanto meno hanno recepito le regole impartite a livello comunitario, delle norme sopra richiamate che entreranno in vigore a maggio del 2018.
Gli ambiti rispetto ai quali si evidenziano le maggiori disomogeneità attengono a quelli della sicurezza informatica e delle infrastrutture.
Basti pensare, per quanto concerne i contratti quadro per la fornitura dei servizi di connettività, alla necessità di dovere normare, in piena adesione con la normativa UE tutto l’aspetto riguardante i servizi in Cloud, rispetto ai quali sembra che occorra affrontare e risolvere nodi non ancora regolamentati (o quanto meno non regolati sufficientemente) quali: la corretta individuazione dei ruoli che intervengono nel momento in cui si stipula il contratto di Cloud (titolari, responsabili, eventuali, contitolari);definire anche attraverso il ricorso ad una contrattualistica che, comunque, deve essere supportata da una normativa ad hoc. le misure di protezione da applicare al trattamento dei dati personali qualora si ricorre alla tecnologia del Cloud, ecc.