Codice Amministrazione Digitale
Report completo su documento informatico, firma digitale, SPID, PEC, AgID e trabocchetti.
1 Panoramica del CAD
Il Codice dell'Amministrazione Digitale (D.Lgs. 7 marzo 2005, n. 82) rappresenta la "Costituzione Digitale" dell'ordinamento italiano. Emanato in attuazione degli artt. 76, 87 e 117, secondo comma, lettera r) della Costituzione -- che attribuisce allo Stato la competenza esclusiva sul coordinamento informatico dei dati -- il CAD disciplina l'uso delle tecnologie dell'informazione nella Pubblica Amministrazione e nei rapporti tra PA, cittadini e imprese.
L'Art. 3 sancisce il principio cardine: chiunque (persona fisica o giuridica) ha il diritto di utilizzare in modo accessibile ed efficace le soluzioni e gli strumenti del CAD nei rapporti con la PA. La violazione di tale diritto costituisce responsabilità dirigenziale rilevante ai fini della valutazione della performance. Con il D.Lgs. 179/2016, il termine "cittadino" è stato sostituito da "persona fisica", estendendo universalmente la portata dei diritti digitali.
L'Art. 12 definisce i 7 obiettivi dell'azione amministrativa digitale: efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione. L'Art. 15 aggiunge che la digitalizzazione deve accompagnarsi a una riorganizzazione strutturale e gestionale, vietando la "digitalizzazione dell'inefficienza". L'unica menzione internazionale è nell'Art. 15 co. 3, relativo alle reti transeuropee.
L'Art. 2 definisce i confini soggettivi: il CAD si applica a PA (ex art. 1 co. 2 D.Lgs. 165/2001), gestori di pubblici servizi, organismi di diritto pubblico e società a controllo pubblico (escluse le quotate). I Capi II e IV si applicano anche ai privati. Sono escluse (Art. 2 co. 6) le attività di ordine e sicurezza pubblica, difesa, consultazioni elettorali e protezione civile.
Cronologia delle riforme
| Anno | Norma | Innovazione principale |
|---|---|---|
| 2005 | D.Lgs. 82/2005 | Testo originario: diritto uso tecnologie, documento informatico, firme |
| 2010 | D.Lgs. 235/2010 | Prima grande riforma (nuovo CAD) |
| 2016 | D.Lgs. 179/2016 | Carta della cittadinanza digitale |
| 2017 | D.Lgs. 217/2017 | Riforma organica: SPID, domicilio digitale, Difensore Civico, Linee Guida AgID |
| 2020 | D.L. 76/2020 | Semplificazioni: cloud first, accesso SPID/CIE obbligatorio |
| 2021 | D.L. 77/2021 | Governance PNRR: interoperabilità, PDND, INAD |
| 2021 | L. 109/2021 | Creazione ACN: cybersicurezza da AgID ad ACN |
| 2024 | D.L. 19/2024 | IT Wallet, ulteriori semplificazioni |
| 2025 | Sent. C.Cost. 3/2025 | FEQ per voto domiciliare disabili -- illegittimità art. 2 co. 6 |
2 Definizioni Fondamentali
L'Art. 1 contiene le definizioni-chiave del CAD. Dai dati RIPAM, 126 quiz su 740 vertono direttamente su queste definizioni: è il tema più testato in assoluto.
Tabella definizioni chiave
| Lettera | Termine | Definizione |
|---|---|---|
| c | CIE (Carta d'Identità Elettronica) | Documento d'identità munito di elementi per l'identificazione fisica, rilasciato su supporto informatico dai Comuni |
| d | CNS (Carta Nazionale dei Servizi) | Documento su supporto informatico per consentire l'accesso telematico ai servizi PA (NON è documento d'identità) |
| i-bis | Copia informatica di doc. analogico | Contenuto identico all'originale analogico |
| i-ter | Copia per immagine | Contenuto e forma identici all'originale (es. scansione) |
| i-quater | Copia informatica di doc. informatico | Contenuto identico, diversa sequenza di valori binari |
| i-quinquies | Duplicato informatico | Medesima sequenza di valori binari dell'originale |
| l-bis | Formato aperto | Reso pubblico, documentato esaustivamente, neutro rispetto agli strumenti tecnologici |
| l-ter | Dati di tipo aperto (Open Data) | 3 requisiti: licenza chiunque, formato aperto, gratuiti/costi marginali |
| n-ter | Domicilio digitale | Indirizzo elettronico eletto presso PEC o SERC qualificato eIDAS |
| p | Documento informatico | Rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti |
| p-bis | Documento analogico | Rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti |
| q | Firma elettronica (semplice) | Dati in forma elettronica usati come metodo di autenticazione informatica |
| r | FEQ (Firma Elettronica Qualificata) | FEA + certificato qualificato + dispositivo sicuro |
| s | Firma digitale | Tipo particolare di FEQ basata su chiavi crittografiche asimmetriche |
| v | Originali non unici | Documenti risalibili tramite altre scritture obbligatorie |
| v-bis | PEC | Sistema che attesta invio e consegna con ricevute opponibili ai terzi |
| aa | Titolare firma | Sempre persona fisica (mai giuridica) |
| dd | Interoperabilità | Caratteristica di un sistema di interagire in maniera automatica con altri sistemi tramite interfacce pubbliche e aperte |
L'allineamento dei dati (lett. a) è il processo di coordinamento tra archivi. Senza allineamento, l'interoperabilità fallisce e il principio once-only resta lettera morta. La cooperazione applicativa (lett. ee) è la parte del Sistema Pubblico di Connettività finalizzata all'integrazione di metadati e processi tra amministrazioni, e va distinta dall'interoperabilità (lett. dd), che è la caratteristica intrinseca del sistema con interfacce pubbliche e aperte.
La validazione temporale (lett. z) è il risultato della procedura informatica che attribuisce a uno o più documenti una data e un orario opponibili ai terzi: è lo strumento essenziale per la conservazione a lungo termine e per il rispetto dei termini perentori nel procedimento amministrativo.
3 Documento Informatico
Validità e valore probatorio (Art. 20-21)
- L'Art. 20 co. 1-bis stabilisce che il documento informatico soddisfa il requisito della forma scritta quando vi è apposta:
- Firma digitale
- FEQ (firma elettronica qualificata)
- FEA (firma elettronica avanzata)
- Oppure è formato previa identificazione informatica (SPID/CIE) secondo le Linee Guida AgID
- L'Art. 21 definisce tre livelli di efficacia probatoria:
- Co. 1: Firma elettronica semplice = liberamente valutabile dal giudice
- Co. 2: Firma digitale/FEQ = efficacia art. 2702 c.c. (scrittura privata); l'uso del dispositivo si presume riconducibile al titolare, salvo prova contraria
- Co. 3: Certificato revocato, scaduto o sospeso = equivale a MANCATA SOTTOSCRIZIONE
L'Art. 20 co. 3 stabilisce che la data e ora di formazione sono opponibili ai terzi solo se apposte in conformità alle Linee Guida AgID sulla validazione temporale (marca temporale).
Copie, duplicati e trasmissione
L'Art. 22 disciplina le copie informatiche di documenti analogici: sostituiscono gli originali se la conformità è attestata da un pubblico ufficiale con firma digitale. L'Art. 23 regola le copie analogiche di documenti informatici: la firma autografa è sostituita dall'indicazione a stampa del nominativo del firmatario digitale. L'Art. 23-bis stabilisce che il duplicato informatico ha lo stesso valore giuridico dell'originale senza necessità di attestazione di conformità.
L'Art. 45 disciplina la trasmissione telematica: il documento si intende consegnato quando è reso disponibile all'indirizzo elettronico dichiarato dal destinatario (non serve che lo "apra").
Tabella gerarchia copie e duplicati
| Tipologia | Contenuto identico | Sequenza binaria | Valore giuridico |
|---|---|---|---|
| Duplicato informatico (i-quinquies) | SI | MEDESIMA | Stesso valore originale, NESSUNA attestazione |
| Copia inf. di doc. informatico (i-quater) | SI | DIVERSA | Valida se conformità attestata o non disconosciuta |
| Copia per immagine (i-ter) | SI (+ forma) | n/a (da analogico) | Piena prova se attestata da pubblico ufficiale |
| Copia inf. di doc. analogico (i-bis) | SI (solo contenuto) | n/a (da analogico) | Sostituisce originale se attestata (Art. 22) |
| Originali non unici (v) | Risalibile | n/a | Ricostruibile da altre scritture obbligatorie |
4 Firme Elettroniche
Il CAD definisce 4 tipi di firme in una gerarchia crescente di sicurezza e valore probatorio. Il Regolamento UE 910/2014 (eIDAS) è integrato nel CAD dall'Art. 1-bis.
Tabella delle 4 firme elettroniche
| Tipo | Definizione | Efficacia probatoria | Dispositivo | Validità UE |
|---|---|---|---|---|
| Firma elettronica (semplice) (lett. q) | Dati elettronici usati come metodo di autenticazione | Liberamente valutabile dal giudice (Art. 21 co. 1) | Qualsiasi (password, PIN) | NO |
| FEA (Firma Elettronica Avanzata) (lett. q-bis) | 4 requisiti eIDAS: connessione univoca, identificazione, controllo esclusivo, rilevazione modifiche | Forma scritta ex art. 2702 c.c. | Tablet biometrico, OTP | NO |
| FEQ (Firma Elettronica Qualificata) (lett. r) | FEA + certificato qualificato + dispositivo sicuro (QSCD) | Equivalente a firma autografa in tutta l'UE | Smart card, token USB, HSM | SI (mutuo riconoscimento) |
| Firma digitale (lett. s) | Tipo particolare di FEQ basata su chiavi crittografiche asimmetriche (pubblica + privata) | Come FEQ + sostituisce sigilli, timbri, punzoni, marchi (Art. 24 co. 2) | Token hardware, smart card | SI (come FEQ) |
Servizi fiduciari eIDAS complementari
- Sigillo elettronico: per persone giuridiche (es. un Comune), garantisce origine e integrità dei dati automatizzati -- diverso dalla firma (riservata alle persone fisiche)
- Marca temporale (validazione temporale): attribuisce data e ora certe a un documento, rendendole opponibili ai terzi; senza di essa, l'efficacia è limitata alla durata del certificato
- SERC (Servizio Elettronico di Recapito Certificato Qualificato): evoluzione della PEC verso standard europei eIDAS, con interoperabilità transfrontaliera e valore legale in tutti i 27 Stati membri
Certificatori e Art. 26-29
L'attività dei certificatori (prestatori di servizi fiduciari) è libera: non serve autorizzazione preventiva, ma devono possedere requisiti di onorabilità (Art. 26). Possono chiedere l'accreditamento (Art. 29) per dimostrare livelli massimi di sicurezza. AgID gestisce l'elenco pubblico dei prestatori qualificati. I certificatori devono identificare il titolare con certezza (riconoscimento de visu o tramite CIE/SPID) e garantire la persistenza dei dati del certificato per almeno 10 anni. Il certificato qualificato deve contenere: indicazione dello status "qualificato", numero di serie, estremi del certificatore e del titolare (compreso il codice fiscale), e limiti d'uso.
Formati di firma
La firma digitale utilizza standard tecnici consolidati: CAdES (CMS Advanced Electronic Signatures) per buste crittografiche .p7m, e PAdES (PDF Advanced Electronic Signatures) per firme incorporate nel PDF. La LTV (Long Term Validation) permette di verificare la validità della firma anche anni dopo la scadenza del certificato, purchè sia stata apposta una marca temporale valida al momento della sottoscrizione.
5 Identità Digitale
L'accesso ai servizi in rete della PA che richiedono identificazione avviene tramite SPID, CIE o CNS (Art. 64).
SPID -- Sistema Pubblico di Identità Digitale
SPID è un sistema aperto basato su un modello di governance federata coordinata dall'AgID. I Gestori dell'Identità Digitale (Identity Provider) sono soggetti accreditati che rilasciano le credenziali.
- 3 livelli di sicurezza:
- Livello 1: autenticazione a singolo fattore (username + password)
- Livello 2: autenticazione a due fattori (password + OTP o notifica push)
- Livello 3: autenticazione basata su certificati digitali e supporti fisici sicuri (smart card)
CIE -- Carta d'Identità Elettronica
La CIE (Art. 1 lett. c) è il documento d'identità munito di elementi per l'identificazione fisica del titolare, rilasciato su supporto informatico dai Comuni. Dal 2024, è lo strumento preferenziale di identificazione digitale. Il microchip contiene: dati identificativi, foto, impronte digitali (il CAD vieta esplicitamente il DNA -- Art. 66 co. 4 lett. c). Dati facoltativi a richiesta: gruppo sanguigno, opzioni sanitarie (donazione organi).
CNS -- Carta Nazionale dei Servizi
La CNS (lett. d) è finalizzata esclusivamente all'accesso telematico ai servizi PA. NON è un documento d'identità. Esempio: Tessera Sanitaria attivata (TS-CNS).
IT Wallet
Introdotto dal D.L. 19/2024, nell'ambito del Regolamento eIDAS 2.0: portafoglio digitale che integrerà identità, patente, tessera sanitaria e attributi verificabili in formato nativo digitale sull'App IO.
Tabella comparativa identità digitale
| Aspetto | SPID | CIE | CNS |
|---|---|---|---|
| Natura | Sistema autenticazione digitale | Documento identità + autenticazione | Strumento accesso telematico |
| Documento d'identità | NO | SI | NO |
| Supporto fisico | No (cloud) | Si (card + microchip NFC) | Si (smart card) |
| Dati biometrici | NO | SI (impronte digitali, no DNA) | NO |
| Rilasciato da | IdP accreditati AgID | Comuni (proposta Ministero Interno) | PA varie, enti certificatori |
| Livelli sicurezza | 3 livelli | 3 livelli (massima sicurezza hardware) | 1-2 livelli |
| Validità internazionale | No (in evoluzione eIDAS 2.0) | Si (documento europeo) | No |
| Tendenza 2024 | Attivo, CIE preferita | Strumento preferenziale | In diminuzione progressiva |
Domicilio digitale -- Art. 3-bis
Il domicilio digitale (lett. n-ter) è l'indirizzo elettronico eletto presso un servizio di PEC o un SERC qualificato eIDAS. Le comunicazioni al domicilio digitale producono gli effetti della raccomandata con avviso di ricevimento (Art. 48).
| Soggetto | Obbligo | Elenco | Gestore |
|---|---|---|---|
| PA e gestori servizi pubblici | OBBLIGATORIO | IPA (Indice PA) | AgID |
| Professionisti iscritti in albi | OBBLIGATORIO | INI-PEC | MIMIT |
| Imprese | OBBLIGATORIO | INI-PEC | MIMIT |
| Cittadini (persone fisiche) | FACOLTATIVO | INAD | AgID |
PEC e comunicazioni telematiche (Art. 47-48)
L'Art. 48 stabilisce che la trasmissione via PEC equivale alla notificazione per mezzo della posta (raccomandata A/R) nei casi consentiti dalla legge. La ricevuta di accettazione attesta che il mittente ha spedito il documento al proprio gestore; la ricevuta di consegna attesta che il documento è nella disponibilità del destinatario. La data e l'ora di consegna sono opponibili ai terzi se conformi alle regole tecniche sulla validazione temporale. L'Art. 47 impone che le comunicazioni tra PA avvengano obbligatoriamente via PEC o cooperazione applicativa; la violazione comporta responsabilità dirigenziale e disciplinare. L'Art. 49 vieta agli addetti alla trasmissione di prendere cognizione del contenuto dei messaggi (segretezza della corrispondenza).
Istanze telematiche (Art. 65)
Le istanze presentate alla PA per via telematica sono valide se: sottoscritte con firma digitale o FEQ; l'autore è identificato tramite SPID, CIE o CNS (Art. 65 co. 1 lett. b); trasmesse dal proprio domicilio digitale previa identificazione certa; sottoscritte e trasmesse ex art. 38 DPR 445/2000. L'Art. 65 crea una "finzione giuridica": l'autenticazione forte tramite identità digitale sostituisce la necessità che un pubblico ufficiale veda fisicamente il cittadino firmare, eliminando code e costi di spostamento.
6 Governance Digitale
AgID -- Agenzia per l'Italia Digitale (Art. 14-bis)
- Organo tecnico istituito dall'Art. 19 del D.L. 83/2012, preposto alla realizzazione degli obiettivi dell'Agenda Digitale Italiana. Funzioni principali:
- Emanazione Linee Guida (Art. 71) e Piano Triennale per l'informatica PA
- Vigilanza e monitoraggio sull'attuazione del CAD
- Qualificazione e vigilanza sui prestatori di servizi fiduciari
- Gestione INAD, interoperabilità, accessibilità, open data
- Individuazione basi di dati di interesse nazionale (Art. 60)
RTD -- Responsabile per la Transizione Digitale (Art. 17)
- Ogni PA deve individuare un unico ufficio dirigenziale generale per la transizione digitale. L'RTD risponde direttamente all'organo di vertice. Compiti:
- Coordinamento strategico sistemi informativi
- Pianificazione acquisti ICT (Art. 68-69)
- Sicurezza informatica (Art. 51)
- Accessibilità disabili (Art. 17 lett. d)
- Riorganizzazione processi
- Formazione dipendenti (Art. 13)
Difensore Civico per il Digitale (Art. 17 co. 1-quater)
Istituito presso l'AgID, è il garante dei diritti digitali. Chiunque può presentare segnalazione gratuita per violazioni del CAD (sito non accessibile, PEC non accettata, dati non aperti). Può disporre misure correttive. Se la PA non risponde entro 30 giorni al meccanismo di feedback sull'accessibilità, il cittadino può rivolgersi al DCD (Cap. 7.4 Linee Guida 2022).
Linee Guida AgID -- Art. 71
Le Linee Guida hanno sostituito le vecchie "regole tecniche" (DPCM) e sono VINCOLANTI (non semplici raccomandazioni). Hanno valore di regolazione secondaria con efficacia erga omnes per tutti i soggetti di cui all'Art. 2. Il procedimento di adozione prevede il concerto con le amministrazioni interessate, il parere della Conferenza Unificata e del Garante Privacy.
ACN -- Agenzia per la Cybersicurezza Nazionale (L. 109/2021)
Dal 2021, la L. 109/2021 ha trasferito da AgID all'ACN le competenze sulla cybersicurezza e sulla qualificazione dei servizi Cloud per la PA (operativo dal 19 gennaio 2023). L'ACN gestisce il perimetro di sicurezza nazionale cibernetica, il CSIRT Italia, la certificazione di sicurezza ICT. Il Polo Strategico Nazionale (PSN) ospita i dati critici della PA.
Tabella attori istituzionali
| Attore | Funzione principale | Riferimento |
|---|---|---|
| AgID | Linee guida, Piano triennale, INAD, elenco prestatori, vigilanza CAD | Art. 14-bis D.Lgs. 82/2005 |
| ACN | Cybersicurezza, qualificazione Cloud PA, CSIRT | L. 109/2021 |
| Presidenza CdM | Indirizzo strategico, monitoraggio | Art. 16 D.Lgs. 82/2005 |
| RTD | Coordinamento transizione digitale, acquisti ICT, sicurezza | Art. 17 |
| Difensore Civico Digitale | Garante diritti digitali, misure correttive | Art. 17 co. 1-quater |
| MIMIT | Registro adempimenti imprese (Art. 11), INI-PEC (Art. 6-bis) | Artt. 11, 6-bis |
| Certificatori | Rilascio certificati qualificati -- attività LIBERA (no autorizzazione preventiva) | Artt. 26-29 |
| Conservatore | Conservazione documenti informatici conformi a Linee Guida AgID, accreditato | Artt. 43-44 |
| Gestore PEC | Trasmissione documenti con attestazione invio e consegna | Art. 48, DPR 68/2005 |
7 Conservazione e Gestione Documentale
Fascicolo informatico (Art. 41)
Il fascicolo informatico raccoglie atti, documenti e dati del procedimento da chiunque formati (PA, privati, altre amministrazioni). Caratterizzato da metadati per identificazione e catalogazione. La PA deve garantire l'accesso telematico all'interessato e indicare, nella comunicazione di avvio del procedimento, le modalità per esercitare il diritto di accesso in via telematica.
Conservazione a norma (Art. 43-44)
- La conservazione è obbligatoria per le PA. I 4 pilastri fondamentali (Art. 44):
- Identificazione certa del soggetto e dell'amministrazione
- Integrità: assenza di alterazioni non autorizzate
- Leggibilità e agevole reperibilità
- Sicurezza: misure previste dalla normativa privacy
Il Responsabile della Conservazione opera d'intesa con il responsabile del trattamento dati, della sicurezza e dei sistemi informativi. Se la PA conserva a norma un documento, cessa l'obbligo di conservazione per cittadini e imprese. I conservatori devono essere accreditati presso AgID.
Protocollo informatico (Art. 40)
Le PA formano gli originali dei propri documenti con mezzi informatici: la redazione cartacea è un'ipotesi residuale, ammessa solo ove strettamente necessaria e motivata dal principio di economicità. La segnatura di protocollo associa permanentemente al documento un insieme di metadati minimi: numero progressivo (immodificabile), data di registrazione (opponibile ai terzi), identificazione del mittente e del destinatario, oggetto del documento. Il CAD vieta in modo assoluto la rinnovazione di campi già registrati: in caso di errore, occorre una procedura formale di annullamento che mantiene traccia indelebile dell'operazione errata. Questo presidio garantisce la sequenzialità cronologica e impedisce la manipolazione postuma dei flussi documentali, tutelando la fede pubblica dell'azione amministrativa e il principio di imparzialità (Art. 97 Costituzione).
Basi di dati di interesse nazionale (Art. 60) e ANPR (Art. 62)
Le basi di dati di interesse nazionale sono insiemi informativi omogenei la cui conoscenza è rilevante per l'esercizio delle funzioni istituzionali. AgID individua e aggiorna l'elenco. L'ANPR (Anagrafe Nazionale Popolazione Residente, Art. 62) è istituita presso il Ministero dell'Interno e ha sostituito ~8.000 anagrafi comunali frammentate. Principio once-only: la PA non deve chiedere al cittadino dati che un'altra PA possiede già (Art. 50).
PagoPA (Art. 5)
Piattaforma unica nazionale per i pagamenti elettronici verso la PA, obbligatoria per tutte le amministrazioni. Le linee guida sono definite da AgID sentita la Banca d'Italia. PagoPA standardizza la comunicazione tra PA e Prestatori di Servizi di Pagamento (PSP: banche, poste, istituti di pagamento). Il cittadino ha il diritto di visualizzare le commissioni di ogni PSP e scegliere il canale preferito: home banking, app, sportello fisico, tabaccheria. L'obbligatorietà ha progressivamente eliminato le deroghe, rendendo i pagamenti telematici l'unico canale legale per l'estinzione di debiti verso la PA (multe, tasse, rette, contributi). L'impatto sulla trasparenza contabile è dirompente: l'incasso viene automaticamente associato alla posizione debitoria nel fascicolo dell'utente, eliminando i "sospesi contabili" e riducendo il rischio di ammanchi o errori manuali.
8 Open Data, Riuso e Accessibilità
Dati aperti (Art. 52, Art. 1 lett. l-ter)
- I dati di tipo aperto devono soddisfare 3 requisiti cumulativi:
- Licenza: utilizzabili da chiunque, anche per finalità commerciali
- Formato aperto: disaggregato, adatto all'uso automatico con metadati, neutro tecnologicamente
- Gratuiti: disponibili gratuitamente o a costi marginali
L'Art. 50 impone alle PA di rendere i propri database interoperabili e garantire la disponibilità dei dati senza oneri. L'Art. 54 obbliga alla pubblicazione sui siti istituzionali di dati fruibili senza autenticazione.
Riuso software (Art. 68-69)
- L'Art. 68 impone un ordine tassativo nella valutazione comparativa per l'acquisizione di software:
- Soluzioni a riuso delle PA
- Soluzioni open source
- Soluzioni proprietarie o realizzazione ex novo
L'Art. 69 obbliga le PA che sviluppano software a renderlo disponibile in riuso gratuito ad altre PA, rilasciandolo con licenza aperta.
Accessibilità (L. 4/2004 -- Legge Stanca)
La PA deve garantire siti web e app accessibili secondo lo standard EN 301 549. Le PA pubblicano la Dichiarazione di Accessibilità entro il 23 settembre di ogni anno. L'onere sproporzionato (Cap. 6 Linee Guida 2022) può essere invocato solo per 3 motivi (organizzativo, finanziario, pregiudizio allo scopo); non sono motivi legittimi la mancanza di priorità, tempi lunghi di sviluppo o mancanza di informazioni.
Sicurezza informatica (Art. 51)
L'Art. 51 impone alle PA di garantire esattezza, disponibilità, integrità e riservatezza dei dati. Con la L. 109/2021, le competenze sono passate all'ACN. La strategia Cloud-first prevede che le PA acquisiscano prioritariamente servizi cloud qualificati dall'ACN (3 livelli: Ordinario, Critico, Strategico). Il Polo Strategico Nazionale (PSN) ospita su infrastruttura dedicata i dati e i servizi critici della PA centrale. Le PA che gestiscono funzioni essenziali dello Stato sono soggette a obblighi di notifica degli incidenti e di verifica degli asset tecnologici nel Perimetro di Sicurezza Nazionale Cibernetica.
Codice di condotta tecnologica (Art. 13-bis)
L'Art. 13-bis impone che i sistemi della PA siano progettati rispettando i diritti fondamentali dei cittadini sin dalla fase di ideazione, secondo i principi di "privacy and accessibility by design". I criteri includono: non discriminazione (i sistemi non devono escludere categorie vulnerabili), trasparenza algoritmica (le decisioni automatizzate devono essere comprensibili e verificabili) e cybersicurezza come valore etico oltre che tecnico.
Collegamento con la normativa sulla protezione dei dati
L'Art. 2 co. 5 del CAD stabilisce che il Codice si applica nel rispetto del GDPR (Reg. UE 2016/679) e del D.Lgs. 196/2003. Ogni nuovo servizio digitale deve essere progettato integrando la protezione dei dati sin dalla fase di ideazione (privacy by design). L'Art. 71 prevede che il Garante per la Privacy sia sentito prima dell'adozione delle Linee Guida in materie che impattano sulla riservatezza, assicurando l'equilibrio tra digitalizzazione e diritti della persona.
9 Numeri Chiave
| Dato | Valore | Riferimento |
|---|---|---|
| Anno emanazione CAD | 2005 | D.Lgs. 82/2005 |
| Obiettivi Art. 12 | 7 (NO internazionalizzazione) | Art. 12 co. 1 |
| Tipi firme elettroniche | 4 (semplice, FEA, FEQ, digitale) | Art. 1 |
| Livelli SPID | 3 | Art. 64 |
| Strumenti accesso PA | 3 (SPID, CIE, CNS) | Art. 64 |
| Chiavi firma digitale | 2 (privata + pubblica) | Art. 24 |
| Indici domicili | 3 (IPA, INI-PEC, INAD) | Artt. 6, 6-bis, 6-quater |
| Priorità riuso software | 3 (riuso PA > open source > proprietario) | Art. 68 |
| Pilastri conservazione | 4 (identificazione, integrità, leggibilità, sicurezza) | Art. 44 |
| Requisiti Open Data | 3 (licenza, formato, gratuità) | Art. 1 lett. l-ter |
| 4 requisiti FEA | Connessione univoca, identificazione, controllo esclusivo, rilevazione modifiche | eIDAS |
| INI-PEC gestito da | MIMIT (non MISE) | Art. 6-bis |
| INAD gestito da | AgID | Art. 6-quater |
| ANPR presso | Ministero dell'Interno | Art. 62 |
| Cybersicurezza | ACN (non AgID dal 2021) | L. 109/2021 |
| RTD | Ufficio dirigenziale generale UNICO | Art. 17 |
| Linee Guida Art. 71 | VINCOLANTI (non raccomandazioni) | Art. 71 |
| Efficacia FEQ/firma digitale | Art. 2702 c.c. | Art. 21 co. 2 |
| PEC equivale a | Raccomandata A/R | Art. 48 |
| CIE dal 2024 | Strumento PREFERENZIALE | Art. 66 |
| Quiz Art. 1 (definizioni) | 126 su 740 | Banche dati RIPAM |
| Quiz Art. 20-21 (documento) | 92 su 740 | Banche dati RIPAM |
| Quiz Art. 12 (obiettivi) | 78 su 740 | Banche dati RIPAM |
10 I 20 Trabocchetti più Pericolosi nei Quiz RIPAM
| N. | Trabocchetto | Risposta errata frequente | Risposta corretta | Rif. |
|---|---|---|---|---|
| 1 | Ambito di applicazione | Il CAD si applica solo alle PA statali | Si applica a PA + gestori servizi pubblici + società controllo pubblico | Art. 2 |
| 2 | Obiettivi Art. 12 | L'internazionalizzazione è tra i 7 obiettivi | NO: sono efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione, partecipazione | Art. 12 |
| 3 | Firma digitale = genere? | La firma digitale è sinonimo di firma elettronica | La firma digitale è un tipo specifico di FEQ (specie, non genere) | Art. 1 lett. s |
| 4 | CIE vs CNS | CIE e CNS hanno la stessa funzione | CIE = documento d'identità; CNS = solo accesso servizi | Art. 66 / lett. d |
| 5 | Linee Guida | Sono semplici raccomandazioni | Sono VINCOLANTI (adottate ex Art. 71) | Art. 71 |
| 6 | Domicilio digitale | Obbligatorio per tutti i cittadini | Obbligatorio per PA/professionisti/imprese; FACOLTATIVO per cittadini | Art. 3-bis |
| 7 | Cybersicurezza | AgID gestisce la sicurezza informatica | Dal 2021, competenza dell'ACN (L. 109/2021) | L. 109/2021 |
| 8 | Valore doc. informatico | Ha sempre efficacia di scrittura privata | Dipende dalla firma: semplice = libera; FEQ/digitale = art. 2702 c.c. | Art. 20-21 |
| 9 | Livelli SPID | SPID ha 2 livelli | Ha 3 livelli (password, +OTP, dispositivo crittografico) | Art. 64 |
| 10 | RTD | Più PA possono condividere il RTD | Ogni PA deve avere un unico ufficio dirigenziale | Art. 17 |
| 11 | Conservazione | È facoltativa o equivale ad archiviazione | È obbligatoria e normata (diversa dall'archiviazione semplice) | Art. 43-44 |
| 12 | Domicilio digitale cittadini | Ogni cittadino deve avere una PEC | I cittadini hanno facoltà, non obbligo | Art. 3-bis co. 1-bis |
| 13 | Fascicolo informatico | Contiene solo documenti della PA titolare | Raccoglie atti da chiunque formati | Art. 41 |
| 14 | INI-PEC | Gestito dal Ministero dell'Interno | Gestito dal MIMIT (già MISE) | Art. 6-bis |
| 15 | PEC unico strumento | Solo la PEC ha valore legale | È ammesso anche il SERC qualificato (eIDAS) | Art. 1 lett. n-ter |
| 16 | Formato aperto | Un formato diffuso è automaticamente "aperto" | Deve essere pubblico, documentato e neutro tecnologicamente | Art. 1 lett. l-bis |
| 17 | Duplicato = copia | Duplicato e copia sono la stessa cosa | Duplicato = medesima sequenza binaria (no attestazione); copia = diversa sequenza | Art. 1 |
| 18 | Firma digitale collettiva | Può riferirsi a più soggetti | Riferita a un solo soggetto (persona fisica) | Art. 24 |
| 19 | Comunicazione PEC | È una semplice email | Equivale a raccomandata A/R; data/ora opponibili ai terzi | Art. 48 |
| 20 | Accessibilità | È un miglioramento facoltativo | È un obbligo di legge sanzionabile (L. 4/2004) | L. 4/2004 |
Nota metodologica
L'analisi si basa su 356 quiz estratti da banche dati RIPAM, integrata con il testo vigente del D.Lgs. 82/2005 (aggiornato al 1 aprile 2026), il Regolamento eIDAS (UE 910/2014), la L. 4/2004 (Legge Stanca), le Linee Guida AgID 2022, la L. 109/2021 (ACN) e la Sentenza della Corte Costituzionale n. 3/2025. Le frequenze dei quiz per articolo (126 Art. 1, 92 Art. 20-21, 78 Art. 12, 64 Art. 2, 58 Art. 43-44, 52 Art. 71, 48 Art. 48, 45 Accessibilità) derivano dall'analisi statistica di un campione di 740 quesiti reali. Le distinzioni terminologiche dell'Art. 1 (in particolare duplicato vs copia e la gerarchia delle firme) risolvono da sole circa il 15% dei dubbi concorsuali.