L’Agenzia per l’Italia Digitale (AgID) ha introdotto una significativa novità riguardante la certificazione delle piattaforme digitali: scopriamo di cosa si tratta.
Le modifiche sono state necessarie a seguito dell’entrata in vigore del decreto legge 2 marzo 2024, n. 19, convertito con modificazioni dalla legge 29 aprile 2024, n. 56.
Si tratta del cosiddetto testo che reca “Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)” e che interviene sul periodo di validità degli esiti della procedura di certificazione delle piattaforme di approvvigionamento digitale.
Certificazione delle piattaforme digitali: la novità segnalata dall’AgID
Per questo, in un recente comunicato l’Agenzia per l’Italia Digitale , ha annunciato la proroga della validità delle certificazioni basate sulle autodichiarazioni.
La normativa aggiornata prevede infatti che, fino alla fine del 2025, l’AgID possa rilasciare certificazioni per le piattaforme di approvvigionamento digitale basandosi sulle autodichiarazioni dei titolari dei componenti e sui risultati dei test di interoperabilità.
Questo cambiamento temporaneo esonera le piattaforme dall’obbligo di ottenere certificazioni di terza parte, come precedentemente richiesto dal paragrafo 3.3.2 dello “Schema operativo a supporto della Certificazione delle Piattaforme di approvvigionamento digitale”.
Autodichiarazioni dei titolari
Le autodichiarazioni rappresentano una forma di autocertificazione in cui i titolari dei componenti delle piattaforme dichiarano la conformità dei loro prodotti ai requisiti tecnici stabiliti dall’AgID. Questa procedura consente una notevole semplificazione rispetto ai processi di certificazione tradizionali, riducendo i tempi e i costi associati. I titolari devono fornire dettagli accurati e completi riguardo alle caratteristiche tecniche e funzionali dei loro componenti, seguendo la checklist specificata nell’Allegato 2 dello “Schema operativo a supporto della Certificazione delle Piattaforme di approvvigionamento digitale”.
Test di interoperabilità
Oltre alle autodichiarazioni, le piattaforme devono superare specifici test di interoperabilità. Questi test verificano la capacità dei componenti di interagire correttamente con altri sistemi e servizi digitali, garantendo la coerenza e l’integrità dei dati scambiati. Il successo in questi test è fondamentale per dimostrare che i componenti possono operare efficacemente all’interno dell’ecosistema digitale pubblico.
Esonero dalla certificazione di terza parte
Come anticipato, il cambiamento introdotto dalla norma esonera temporaneamente le piattaforme dall’obbligo di ottenere certificazioni da organismi di valutazione della conformità accreditati, come precedentemente richiesto dal paragrafo 3.3.2 dello Schema operativo. In pratica, ciò significa che, fino alla fine del 2025, le piattaforme non devono sottoporsi agli audit e alle verifiche esterne previste dalla ISO/IEC 17065. Questa deroga semplifica ulteriormente il processo di certificazione, riducendo le barriere burocratiche e accelerando l’introduzione di nuove soluzioni digitali nel mercato.
Vantaggi e implicazioni
Questa misura ha diversi vantaggi:
- rapidità e flessibilità: le piattaforme possono ottenere la certificazione in tempi più brevi, facilitando una rapida implementazione di nuovi strumenti digitali
- riduzione dei costi: le spese legate alle certificazioni di terza parte, spesso onerose, vengono eliminate, favorendo anche le piccole e medie imprese
- incentivo all’innovazione: la semplificazione del processo di certificazione stimola l’innovazione, incoraggiando lo sviluppo e l’adozione di nuove tecnologie digitali.
Tuttavia, è importante sottolineare che la qualità e la sicurezza delle piattaforme devono essere rigorosamente mantenute, nonostante la semplificazione dei processi. Le autodichiarazioni e i test di interoperabilità devono essere eseguiti con la massima precisione e trasparenza per evitare il rischio di conformità insufficienti.
Procedura di certificazione
Adesso riepiloghiamo in sintesi anche il processo di certificazione delle piattaforme, che avviene in due fasi.
La prima fase prevede l’invio di un’istanza di certificazione da parte del titolare del componente, insieme alla checklist compilata. Se la documentazione è completa, AgID avvia l’istruttoria e comunica al titolare l’identificativo della pratica.
La seconda fase riguarda la verifica dei requisiti di Classe 3, mediante test eseguiti dal gestore incaricato. Il titolare deve inviare i risultati dei test all’AgID entro 60 giorni dalla comunicazione del completamento positivo della prima fase. Il mancato rispetto di questo termine comporta il rigetto dell’istanza.
Durata e mantenimento della certificazione
La certificazione rilasciata per un nuovo componente ha una durata massima di un anno. Se, entro la scadenza, viene richiesta la certificazione a un organismo di valutazione della conformità, la validità del certificato può essere estesa fino a tre mesi. Per il mantenimento della certificazione, i componenti devono essere sottoposti ad audit biennali da parte di organismi accreditati, in conformità alla ISO/9001.
Verifiche e aggiornamenti
AgID può disporre verifiche a campione sui componenti certificati per garantire la conformità continua alle regole tecniche. In caso di aggiornamento di un componente certificato, la certificazione viene mantenuta se le nuove funzioni rientrano nelle aree funzionali già certificate. Diversamente, il titolare deve presentare una nuova istanza di certificazione.
Comunicazioni e sanzioni
Il titolare è tenuto a comunicare all’AgID i riferimenti dei gestori autorizzati all’uso dei componenti certificati. Questa comunicazione è essenziale per l’aggiornamento del Registro delle piattaforme certificate gestito dall’ANAC. La mancata comunicazione o la trasmissione di dati inesatti o incompleti può comportare sanzioni da parte dell’AgID, inclusa la possibile revoca della certificazione.