Il Codice dell'Amministrazione Digitale (CAD) e la Trasformazione Digitale della Pubblica Amministrazione
Il Codice dell'Amministrazione Digitale (CAD), istituito con il D.Lgs. n. 82/2005 e successivamente aggiornato, in particolare con il D.Lgs. n. 179/2016 e il D.Lgs. n. 217/2017, è il testo normativo fondamentale che disciplina l'informatizzazione della pubblica amministrazione (PA) e i rapporti digitali tra questa, cittadini e imprese. Il suo obiettivo primario è promuovere e rendere effettivi i diritti di cittadinanza digitale, garantendo efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nell'azione amministrativa, nel rispetto dei principi di uguaglianza e non discriminazione (art. 12 CAD).
Ambito di Applicazione e Soggetti Coinvolti
Il CAD si rivolge principalmente alle pubbliche amministrazioni, ma le sue norme raggiungono anche chiunque interagisca con esse — cittadini, professionisti e imprese — soprattutto nell'impiego di strumenti quali la posta elettronica certificata, i documenti informatici e le firme elettroniche.
L'art. 2 del CAD specifica i destinatari delle sue norme:
- Le pubbliche amministrazioni, come definite dal D.Lgs. n. 165/2001.
- I gestori di servizi pubblici, incluse le società quotate, per i servizi di interesse pubblico.
- Le società a controllo pubblico, secondo il D.Lgs. n. 175/2016, con alcune esclusioni.
Diverse disposizioni del Codice, elencate all'art. 2, co. 3, si applicano anche ai privati, salvo diversa indicazione, riguardando ad esempio il documento informatico, le firme elettroniche, i servizi fiduciari, la riproduzione e conservazione dei documenti, il domicilio digitale e l'identità digitale.
Definizioni Chiave per la Digitalizzazione
Comprendere il linguaggio del CAD è fondamentale. Alcune definizioni rilevanti includono:
-
Documento informatico (art. 1, co. 1, lett. p, CAD):
«il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»
-
Firma digitale (art. 1, co. 1, lett. s, CAD):
«un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico»
-
Domicilio digitale (art. 1, co. 1, lett. n-ter, CAD):
«un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) n. 910/2014 (eIDAS), valido ai fini delle comunicazioni elettroniche aventi valore legale»
-
Identità digitale (art. 1, co. 1, lett. u-quater, CAD):
«la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell'articolo 64»
- Formato aperto (art. 1, co. 1, lett. l-bis, CAD): un formato di dati pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la sua fruizione.
- Dati di tipo aperto (Open Data) (art. 1, co. 1, lett. l-ter, CAD): dati rilasciati con licenza che ne consente il riutilizzo anche commerciale, accessibili in formati aperti tramite reti telematiche, adatti all'elaborazione automatica e corredati di metadati, resi disponibili gratuitamente o a soli costi marginali.
- Interoperabilità (art. 1, co. 1, lett. dd, CAD): la proprietà di un sistema informativo le cui interfacce sono pubbliche e aperte, che gli permette di interagire in modo automatico con altri sistemi per lo scambio di informazioni e l'erogazione di servizi.
- Linee guida: regole tecniche e di indirizzo adottate dall'Agenzia per l'Italia Digitale (AgID) secondo l'art. 71 del CAD, giuridicamente vincolanti per le PA e altri soggetti.
L'Organizzazione Digitale della Pubblica Amministrazione
La trasformazione digitale della PA è supportata da diverse strutture e strumenti.
Il Dipartimento per la Trasformazione Digitale
Istituito con D.P.C.M. 19 giugno 2019, questo Dipartimento della Presidenza del Consiglio dei Ministri coordina le politiche nazionali di innovazione digitale. Si occupa di implementare strategie per migliorare l'efficienza dei servizi pubblici, promuovere identità digitali (SPID, CIE), sviluppare sistemi di autenticazione e promuovere tecnologie innovative come l'IA e la blockchain. Collabora strettamente con AgID.
L'Agenzia per l'Italia Digitale (AgID)
L'AgID (art. 14-bis CAD) è l'organismo centrale per l'attuazione dell'Agenda Digitale Italiana ed Europea. Le sue funzioni includono:
- Programmare e coordinare le attività delle amministrazioni per l'uso delle TIC, elaborando e verificando il Piano Triennale per l'Informatica nella Pubblica Amministrazione.
- Emanare Linee guida (art. 71 CAD) contenenti regole tecniche e di indirizzo, esercitando vigilanza e controllo sul rispetto delle norme del CAD. Le Linee guida sono giuridicamente vincolanti e la loro inosservanza può comportare responsabilità.
- Promuovere la cultura digitale e la ricerca.
- Rilasciare pareri tecnici sulla congruità tecnico-economica degli schemi di contratti ICT delle PA centrali.
- Attuare il Quadro strategico nazionale per la sicurezza cibernetica (art. 51 CAD).
- Irrogare sanzioni amministrative (art. 32-bis CAD) a prestatori di servizi fiduciari qualificati, gestori PEC, gestori identità digitale e conservatori che violano il Regolamento eIDAS o il CAD.
- Assicurare il coordinamento informatico per progettare e monitorare l'evoluzione strategica del sistema informativo della PA.
L'AgID esercita poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto del CAD e delle Linee guida, accertando le violazioni degli obblighi di transizione digitale (art. 18-bis CAD). L'art. 18 CAD prevede che presso l'AgID sia operativa una piattaforma dedicata alla governance della trasformazione digitale, finalizzata alla consultazione pubblica e al confronto tra i portatori di interesse.
Il Difensore Civico per il Digitale
Istituito presso l'AgID (art. 17, co. 1-quater CAD), raccoglie le segnalazioni di presunte violazioni del CAD o di altre norme sulla digitalizzazione, a tutela dei diritti di cittadinanza digitale. Le segnalazioni fondate vengono trasmesse al Direttore generale dell'AgID per l'esercizio dei poteri di vigilanza (art. 18-bis CAD).
Il Piano Triennale per l'Informatica nella Pubblica Amministrazione
È il documento strategico ed economico (elaborato da AgID e approvato entro il 30 settembre di ogni anno dal Presidente del Consiglio o Ministro delegato, ai sensi dell'art. 14-bis, co. 2, lett. b, CAD) che guida la trasformazione digitale del Paese. Si inserisce nel contesto del programma strategico Decennio Digitale 2030. I suoi principi guida includono:
- Digital & mobile first: servizi digitali e fruibili da mobile come prima opzione.
- Cloud first: adozione del cloud per nuovi progetti.
- API first (interoperabile by design & by default): progettazione di servizi come e-service esposti.
- Digital identity only: uso esclusivo di sistemi di identità digitale normati.
- Servizi user centric: progettazione inclusiva e accessibile, basata sull'esperienza utente.
- Open data by design & by default: valorizzazione del patrimonio informativo in forma aperta e interoperabile.
- Data protection by design & by default: garanzia di sicurezza e protezione dati personali.
- Once only e transfrontaliero: non richiedere informazioni già fornite e rendere i servizi disponibili a livello transfrontaliero.
UTD e RTD: le figure interne alla PA per il digitale
L'art. 17 CAD prevede che ogni pubblica amministrazione istituisca un unico ufficio dirigenziale denominato Ufficio per la Transizione al Digitale (UTD), con il compito di coordinare il passaggio alla modalità operativa digitale e i connessi processi di riorganizzazione. L'UTD è diretto dal Responsabile per la Transizione al Digitale (RTD), figura apicale con competenze tecnologiche, informatiche, giuridiche e organizzative, che risponde direttamente all'organo di vertice politico. I compiti comprendono il coordinamento strategico dei sistemi informativi e l'indirizzo e il monitoraggio della sicurezza informatica.
I Diritti di Cittadinanza Digitale
Il CAD riconosce ai cittadini e alle imprese una vera e propria Carta della cittadinanza digitale, che include:
- Diritto all'uso delle tecnologie (art. 3 CAD): possibilità di utilizzare le TIC per tutti i rapporti con PA e gestori di servizi pubblici, inclusa la partecipazione al procedimento amministrativo e l'accesso ai documenti.
- Diritto all'identità e al domicilio digitale (art. 3-bis CAD): accesso ai servizi online della PA tramite identità digitale (SPID, CIE, CNS) e comunicazione esclusiva con la PA tramite il domicilio digitale dichiarato.
- Diritto di effettuare pagamenti con modalità informatiche (art. 5 CAD): le PA sono tenute ad accettare pagamenti mediante strumenti elettronici.
- Diritto a servizi on-line semplici e integrati (art. 7 CAD): fruizione di servizi digitali integrati, organizzati sulla base delle esigenze concrete di cittadini e imprese.
- Diritto alla partecipazione democratica elettronica (art. 9 CAD): possibilità di partecipare al processo democratico e di esercitare diritti civili e politici tramite TIC.
Strumenti e Sistemi Digitali Fondamentali
Il Sistema Pubblico di Identità Digitale (SPID)
SPID (art. 64 CAD) è un sistema di identità digitale che consente l'accesso ai servizi online della PA e dei soggetti aderenti tramite credenziali (username e password). Dal 28 febbraio 2021, l'accesso ai servizi digitali della PA deve avvenire esclusivamente tramite SPID, Carta d'Identità Elettronica (CIE) o Carta Nazionale dei Servizi (CNS). SPID è un insieme aperto di soggetti pubblici e privati accreditati da AgID. Prevede tre livelli di sicurezza:
- Livello 1: accesso con nome utente e password.
- Livello 2: accesso con nome utente, password e codice temporaneo (SMS o app).
- Livello 3: accesso con nome utente, password e dispositivo di accesso.
Il Sistema Pubblico di Connettività (SPC)
L'SPC (art. 75 CAD) è un insieme di infrastrutture tecnologiche e regole tecniche che garantisce l'interoperabilità dei sistemi informativi delle PA e promuove la cooperazione, la sicurezza e la resilienza dei sistemi. Vi partecipano i soggetti obbligati al rispetto del CAD (art. 2, co. 2), con eccezioni per funzioni di ordine, sicurezza pubblica, difesa nazionale e consultazioni elettorali.
La Firma Digitale
La firma digitale (art. 24 CAD) è un tipo di firma qualificata che, apposta a un documento informatico, ne garantisce l'integrità, l'identificazione del firmatario e la sua volontà sottoscrittoria. Ha lo stesso valore legale della firma autografa e integra o sostituisce sigilli e timbri. Funziona con una coppia di chiavi crittografiche (una privata, una pubblica). L'autenticazione della firma digitale da parte di un pubblico ufficiale ne riconosce il valore ai sensi dell'art. 2703 c.c. Deve essere collegata a un certificato qualificato valido e conforme alle Linee guida AgID. L'apposizione di una firma con certificato revocato, scaduto o sospeso equivale a mancata sottoscrizione (art. 24 CAD).
Il Documento Informatico
Il documento informatico (art. 20 CAD) è la rappresentazione digitale di atti, fatti o dati giuridicamente rilevanti. La sua efficacia probatoria varia:
- Se è apposta una firma digitale, qualificata o avanzata, o se è formato previa identificazione informatica del suo autore, soddisfa pienamente il requisito della forma scritta e ha valore probatorio equivalente al documento cartaceo (art. 2702 c.c.).
- Negli altri casi, la sua idoneità alla forma scritta e il relativo valore probatorio sono rimessi alla libera valutazione del giudice, che considera il grado di sicurezza, l'integrità e l'immodificabilità del documento.
L'ora e la data di formazione risultano opponibili ai terzi soltanto se apposte nel rispetto delle Linee guida AgID. I documenti informatici della PA hanno natura di originali a tutti gli effetti.
Copie di Documenti Informatici e Analogici
Il CAD disciplina le copie per garantirne il valore legale:
- Copie informatiche di documenti analogici (art. 22 CAD): hanno piena efficacia probatoria (artt. 2714 e 2715 c.c.) se formate con processi e strumenti che ne assicurano contenuto e forma identici all'originale, e se la loro conformità è attestata da un notaio o pubblico ufficiale autorizzato, e non è espressamente disconosciuta.
- Copie analogiche di documenti informatici (art. 23 CAD): hanno la stessa efficacia probatoria dell'originale se la conformità è attestata da un pubblico ufficiale autorizzato e non è disconosciuta. Possono recare un contrassegno a stampa che consente di verificare la corrispondenza con l'originale informatico (art. 23, co. 2-bis CAD).
- Documenti amministrativi informatici (art. 23-ter CAD): gli atti formati digitalmente dalla PA sono originali. Le copie informatiche di documenti analogici detenuti dalla PA hanno il medesimo valore giuridico se la conformità è assicurata dal funzionario delegato tramite firma digitale o qualificata e nel rispetto delle Linee guida; in tal caso, la conservazione della copia informatica soddisfa l'obbligo di conservazione dell'originale.
Gestione, Conservazione ed Esibizione dei Documenti Digitali
L'art. 40 CAD impone alle PA l'obbligo di formare gli originali dei documenti (inclusi albi, elenchi e registri) con strumenti informatici, rendendo il documento digitale la forma ordinaria. Il ciclo documentale digitale include il protocollo informatico (art. 40-bis CAD) per la registrazione cronologica e la tracciabilità, e la fascicolazione digitale (art. 41 CAD) per l'organizzazione dei documenti per procedimento.
La conservazione e l'esibizione dei documenti informatici (art. 43 CAD) sono soddisfatte se le procedure garantiscono integrità, autenticità, provenienza certa e conformità agli originali, secondo le Linee guida AgID. La gestione è affidata a un responsabile della gestione documentale (art. 44 CAD), che opera d'intesa con altri responsabili. Le PA possono affidare la conservazione a soggetti accreditati presso AgID (artt. 44, co. 1-quater, e 34, co. 1-bis CAD). Le Linee guida AgID (art. 71 CAD) impongono l'adozione e pubblicazione del manuale di gestione documentale e del manuale di conservazione.
La Posta Elettronica Certificata (PEC) e il Domicilio Digitale
La PEC (art. 48 CAD) è un sistema di posta elettronica che garantisce prova legale di invio, consegna e integrità del messaggio, con il medesimo valore della raccomandata con avviso di ricevimento. Ogni PA deve attivare almeno una casella PEC per registro di protocollo e comunicarne l'indirizzo all'AgID. Sul piano tecnico-giuridico la PEC è classificata come servizio elettronico di recapito certificato (SERC), categoria distinta dal servizio di recapito certificato qualificato (SERCQ): quest'ultimo richiede l'accertamento incontrovertibile dell'identità del mittente e del destinatario ai sensi dell'art. 44 del Regolamento eIDAS, requisito che la PEC italiana non soddisfa, limitandone la validità al territorio nazionale. La progressiva migrazione verso la REM (Registered Electronic Mail) consentirà il riconoscimento a livello europeo.
Il domicilio digitale (art. 3-bis CAD) è l'indirizzo elettronico eletto presso un servizio PEC o un servizio di recapito certificato qualificato (eIDAS), valido per tutte le comunicazioni elettroniche aventi valore legale. Sono obbligati a dotarsene:
- le PA (con indirizzi raccolti nell'Indice delle Pubbliche Amministrazioni — IPA, art. 6-ter CAD),
- i professionisti iscritti ad albi,
- i soggetti iscritti al registro delle imprese (indirizzi nell'INI-PEC, art. 6-bis CAD).
I cittadini possono invece eleggere facoltativamente il proprio domicilio digitale nell'INAD — Indice nazionale dei domicili digitali delle persone fisiche (art. 6-quater CAD).
La Piattaforma Digitale Nazionale Dati (PDND)
L'art. 50-ter CAD istituisce la Piattaforma Digitale Nazionale Dati (PDND), gestita dalla Presidenza del Consiglio dei Ministri, con la finalità di favorire l'interoperabilità tra i sistemi informativi pubblici e la condivisione sicura dei dati tra le amministrazioni. La PDND dà concreta attuazione al principio once only: le PA si scambiano tra loro le informazioni già fornite dai cittadini e dalle imprese, evitando richieste duplicate. Le piattaforme abilitanti — come pagoPA (pagamenti), App IO (punto di accesso unificato ai servizi digitali), SEND (notifiche legali), NoiPA (gestione del personale), SIOPE+ (pagamenti informatici della PA) e ANPR (anagrafe nazionale, base dati di interesse nazionale ai sensi dell'art. 62 CAD) — completano l'ecosistema digitale previsto dal CAD.
Intelligenza Artificiale nella Pubblica Amministrazione
Il Regolamento (UE) 2024/1689 — AI Act
L'AI Act, entrato in vigore nell'agosto 2024, costituisce il primo quadro giuridico europeo organico sull'intelligenza artificiale. Si fonda su un approccio graduato al rischio, che classifica i sistemi di IA in quattro categorie:
- Rischio inaccettabile: sistemi vietati, tra cui quelli che utilizzano tecniche subliminali, il social scoring, l'identificazione biometrica remota in tempo reale in spazi pubblici (salvo eccezioni tassative) e lo scraping non autorizzato di immagini facciali (art. 5 AI Act).
- Rischio elevato: sistemi soggetti a requisiti rigorosi (valutazione di conformità, gestione del rischio, qualità dei dati, documentazione, trasparenza, sorveglianza umana) prima dell'immissione sul mercato.
- Rischio limitato: sistemi soggetti a obblighi di trasparenza nei confronti degli utenti (es. chatbot).
- Rischio minimo: sistemi non soggetti a obblighi specifici (es. filtri antispam, videogiochi).
Le disposizioni sui sistemi a rischio inaccettabile e gli obblighi di alfabetizzazione sull'IA sono in vigore dal febbraio 2025; quelle sui sistemi ad alto rischio si applicheranno a partire dal 2 agosto 2026. La governance è affidata a un Ufficio Europeo per l'IA a livello UE, mentre ogni Stato membro designa un'autorità di sorveglianza del mercato (in Italia: l'Agenzia per la Cybersicurezza Nazionale — ACN) e una notifying authority (in Italia: AgID), ai sensi dell'art. 20 della L. 132/2025.
La Legge n. 132/2025 sull'intelligenza artificiale
La legge 23 settembre 2025, n. 132 fornisce il quadro nazionale organico sull'IA, articolato in 28 articoli su sei capi. Prevede un approccio antropocentrico (la decisione finale spetta sempre all'essere umano), principi di trasparenza e protezione dei dati, sicurezza, inclusività e accessibilità. Per la PA in particolare, l'art. 14 stabilisce che l'IA può essere impiegata solo come strumento di supporto all'attività provvedimentale, senza mai sostituire la valutazione o la responsabilità umana; la persona fisica rimane l'unica responsabile dei provvedimenti adottati. In ambito giudiziario (art. 15), ogni decisione sull'interpretazione della legge e sulla valutazione dei fatti resta riservata al magistrato. La governance nazionale è affidata ad ACN e AgID, affiancate dal Garante Privacy, dalla Banca d'Italia, dalla CONSOB e dall'AGCOM per i rispettivi ambiti settoriali. La legge prevede infine l'adozione e l'aggiornamento biennale di una Strategia nazionale per l'IA.
Il Syllabus delle Competenze Digitali per la PA
Il Syllabus delle competenze digitali per la PA, curato dal Dipartimento della Funzione Pubblica, definisce le conoscenze e le abilità minime che ogni dipendente pubblico — al di fuori degli specialisti IT — deve possedere per contribuire attivamente alla trasformazione digitale. Il documento è organizzato in cinque aree tematiche (Dati, informazioni e documenti informatici; Comunicazione e condivisione; Sicurezza; Servizi on-line; Trasformazione digitale), ciascuna articolata su tre livelli di padronanza (Base, Intermedio, Avanzato) con relativi descrittori di conoscenze e abilità. Rappresenta lo strumento di riferimento sia per l'autoverifica delle competenze sia per la progettazione di percorsi formativi mirati.