L’Agenzia per l’Italia Digitale detta le regole che la pubblica amministrazione deve seguire quando forma, gestisce e conserva documenti informatici, utilizza piattaforme digitali, tratta dati personali e affida servizi tecnologici a operatori esterni. Per questo la sentenza n. 4520 del 2026 del Consiglio di Stato non rappresenta soltanto la conclusione di una controversia nata da un concorso pubblico. La vicenda ha assunto una dimensione istituzionale più ampia perché ha mostrato AGID incapace di dimostrare di aver rispettato, nella gestione di una propria procedura selettiva, alcune delle garanzie che la stessa Agenzia impone alle altre amministrazioni. A rendere il quadro ancora più delicato è arrivato, quasi contemporaneamente, il provvedimento n. 419 del 28 maggio 2026 del Garante per la protezione dei dati personali. L’Autorità ha dichiarato illeciti alcuni trattamenti effettuati da AGID nella gestione dell’Indice nazionale dei domicili digitali e ha ordinato all’Agenzia il pagamento di una sanzione amministrativa di 55.000 euro. Quel provvedimento, pubblicato sul sito del Garante, è poi scomparso per alcune ore prima di tornare nella sezione ufficiale dedicata alle decisioni dell’Autorità. Le ragioni della temporanea rimozione non sono state chiarite nelle fonti esaminate. Proprio l’assenza di una spiegazione pubblica ha trasformato un possibile incidente editoriale o tecnico in un ulteriore problema di trasparenza. Il punto non consiste nel sostenere che AGID non svolga attività utili o che ogni sua struttura abbia fallito. Il lavoro del CERT-AGID contro phishing, malware e abusi della Posta elettronica certificata dimostra l’esistenza di una capacità operativa concreta. La contraddizione sta altrove: l’ente che presidia una parte essenziale della trasformazione digitale italiana sembra mostrare una distanza crescente tra la qualità delle regole prodotte e la capacità di applicarle a se stesso.
Cosa leggere
Il concorso digitale di AGID finito davanti al Consiglio di Stato
La procedura al centro della sentenza era stata indetta nel 2020 per l’assunzione di un dirigente informatico di seconda fascia destinato all’area Soluzioni per la pubblica amministrazione. Il concorso si era svolto interamente online: i candidati avevano sostenuto le prove utilizzando tablet, gli elaborati erano transitati attraverso server cloud e la gestione informatica era stata affidata a un operatore esterno. Secondo la ricostruzione della vicenda, nel bando non era indicato il soggetto privato che aveva materialmente gestito la piattaforma, mentre dagli atti non sarebbe emerso un formale affidamento dell’intera procedura. Il fornitore non risultava inoltre qualificato per l’erogazione di servizi cloud alla pubblica amministrazione secondo il sistema allora gestito dalla stessa AGID. Uno dei candidati, escluso dalla fase orale, aveva presentato una richiesta di accesso agli atti. Tra i documenti ricevuti aveva trovato il file che AGID indicava come suo elaborato. Il problema era contenuto già nel nome del documento: il cognome del candidato appariva in chiaro, rendendo tecnicamente possibile collegare l’identità della persona al contenuto della prova. Il candidato aveva quindi impugnato gli atti davanti al TAR del Lazio, che aveva dichiarato il ricorso inammissibile. La vicenda era arrivata al Consiglio di Stato, che aveva ribaltato l’esito del primo grado al termine di un’istruttoria particolarmente complessa, caratterizzata da due ordinanze di verificazione e dall’intervento di un esperto del Politecnico di Milano. La questione non riguardava soltanto l’eventuale riconoscibilità del candidato. Il procedimento aveva portato alla luce una catena più ampia di problemi relativi al valore probatorio dei documenti informatici, alla tracciabilità della piattaforma, alla disponibilità del codice sorgente, alla qualificazione del fornitore e alla corretta disciplina del trattamento dei dati personali.
Il software che per AGID non conteneva algoritmi
Uno dei passaggi più singolari della vicenda riguarda il funzionamento della piattaforma utilizzata per gestire il concorso. Nel corso dell’istruttoria era stato chiesto di produrre il codice sorgente e la documentazione tecnica necessaria a ricostruire le operazioni compiute dal sistema. Il codice sorgente non era stato consegnato. Secondo quanto riportato nella ricostruzione della sentenza, AGID aveva sostenuto che nella procedura non fosse presente «alcun software contenente algoritmo». L’affermazione era stata respinta dal verificatore sulla base di una considerazione elementare: un software funziona attraverso istruzioni e procedure formalizzate in un codice sorgente e, dunque, attraverso algoritmi. Negare l’esistenza di un algoritmo all’interno di una piattaforma che acquisisce dati, associa codici, conserva elaborati e gestisce una procedura concorsuale significa separare artificialmente il risultato informatico dal processo che lo produce. Il problema non era terminologico. Senza il codice sorgente, i log, le specifiche tecniche e gli artefatti di sistema, il verificatore non poteva controllare come fossero stati acquisiti gli elaborati, come fossero stati associati ai candidati, quali soggetti avessero avuto accesso ai dati e se le operazioni fossero state registrate in modo integro e cronologicamente verificabile. L’opacità tecnica diventava così un ostacolo alla ricostruzione giuridica. L’amministrazione aveva affidato una funzione pubblica a una piattaforma, ma non era riuscita a mettere a disposizione del giudice gli elementi necessari per verificare il comportamento di quella piattaforma. Il Consiglio di Stato ha quindi applicato il principio della vicinanza della prova. Quando le informazioni decisive si trovano esclusivamente nella disponibilità dell’amministrazione o del fornitore incaricato, non può essere il candidato a dimostrare dall’esterno l’irregolarità del sistema. Spetta alla pubblica amministrazione provare che la procedura si sia svolta correttamente. AGID non aveva assolto questo onere. Il mancato deposito del codice e della documentazione tecnica, anche dopo le richieste istruttorie, non poteva essere considerato un elemento neutro. Era proprio l’assenza di quella prova a impedire all’Agenzia di confutare i vizi denunciati dal ricorrente. (Italia nel futuro)
Documenti senza firma e senza data certa
Il primo profilo critico riguardava gli elaborati consegnati in formato PDF in seguito alla richiesta di accesso agli atti. I documenti non risultavano corredati da una firma digitale o da una marca temporale certificata. Non si trattava di un dettaglio burocratico. Le Linee guida sulla formazione, gestione e conservazione dei documenti informatici, emanate dalla stessa AGID in attuazione dell’articolo 71 del Codice dell’amministrazione digitale, stabiliscono le condizioni necessarie per garantire integrità, immodificabilità, provenienza e datazione del documento. Un semplice file modificabile, privo di firma e di riferimento temporale opponibile, non consente di dimostrare con certezza quando sia stato formato, da chi sia stato prodotto e se il contenuto sia rimasto invariato. La sentenza non ha stabilito che gli elaborati fossero stati effettivamente modificati. Ha evidenziato qualcosa di diverso: i file forniti da AGID non erano sufficienti a dimostrare che le risposte fossero state prodotte in una determinata data dal candidato indicato e che non avessero subito modifiche successive. La distinzione è fondamentale. Il giudice amministrativo non aveva bisogno di accertare una manipolazione materiale quando l’amministrazione non era in grado di provare l’integrità originaria del documento. La garanzia deve essere incorporata nel processo informatico, non ricostruita a posteriori attraverso dichiarazioni dell’ente che ha gestito la procedura. Ed è proprio qui che il caso diventa paradossale. AGID non è un’amministrazione priva di competenze specialistiche costretta ad affrontare per la prima volta la digitalizzazione di un concorso. È l’ente che definisce gli standard applicabili alla gestione dei documenti informatici della pubblica amministrazione.
L’anonimato esposto dal nome del file
Il secondo profilo riguardava l’anonimato dei candidati. La presenza del cognome nel nome del file rendeva tecnicamente possibile associare l’elaborato alla persona prima della conclusione della correzione. Anche in questo caso è necessario evitare semplificazioni. La ricostruzione della sentenza precisa che il Consiglio di Stato non ha accertato che la commissione abbia concretamente identificato il candidato o alterato il punteggio. Ha ritenuto però che l’architettura utilizzata non garantisse una separazione adeguata tra identità ed elaborato. Nei concorsi pubblici l’anonimato non serve soltanto a impedire favoritismi già dimostrati. Serve a escludere a monte la possibilità che chi valuta conosca l’autore della prova. La garanzia deve essere strutturale, non affidata alla buona volontà degli operatori. Se il cognome resta associato al file durante la custodia o la correzione, il collegamento tra persona e documento diventa possibile. Per il giudice, questa possibilità tecnica è sufficiente a compromettere la garanzia di imparzialità, anche senza la prova che qualcuno l’abbia sfruttata. La vicenda anticipa una questione destinata a diventare sempre più rilevante con l’automazione amministrativa: un sistema informatico non può essere giudicato soltanto dal risultato finale, ma deve essere valutato in base alla propria architettura, ai flussi dei dati, ai permessi di accesso e alle possibilità concrete offerte agli operatori.
Il fornitore esterno senza una responsabilità formalizzata
Il terzo profilo riguardava l’esternalizzazione. La gestione operativa della procedura, dalla somministrazione delle prove alla custodia degli elaborati, era stata affidata a un soggetto privato che non risultava indicato nel bando. Il fornitore non risultava qualificato per i servizi cloud destinati alla pubblica amministrazione secondo le circolari AGID allora applicabili. Non sarebbe inoltre emersa la sua designazione come responsabile del trattamento ai sensi dell’articolo 28 del GDPR. La mancanza assumeva un rilievo particolare perché l’operatore trattava dati personali dei candidati e gestiva passaggi con effetti diretti sul procedimento amministrativo. L’abbinamento tra codici e identità, la conservazione delle prove e la produzione dei documenti non erano attività meramente esecutive prive di conseguenze giuridiche. Affidare il sistema a un soggetto esterno non trasferisce automaticamente la responsabilità dell’amministrazione. Il Consiglio di Stato ha chiarito che l’esternalizzazione non può impedire la ricostruzione documentale della procedura. Se il fornitore non conserva o non consegna il codice, i log e la documentazione, resta l’ente pubblico a dover rispondere dell’impossibilità di verificare ciò che è accaduto. Questo principio supera il singolo concorso. Ogni volta che una pubblica amministrazione affida a un operatore privato una piattaforma che produce effetti sui cittadini, la responsabilità giuridica non può scomparire dietro il contratto, il segreto commerciale o l’indisponibilità tecnica del software.
Il precedente che pesa su tutti i concorsi digitali
La sentenza ha stabilito un principio destinato a influenzare altre procedure amministrative digitalizzate. Un’amministrazione deve essere in grado di conservare e mettere a disposizione il codice sorgente, i log, i documenti di collaudo, le chiavi utilizzate e ogni altro elemento necessario a dimostrare la regolarità del sistema. I documenti generati devono possedere caratteristiche che ne assicurino integrità e data certa. I dati anagrafici devono restare separati dagli elaborati attraverso soluzioni tecniche verificabili. I fornitori devono essere formalmente individuati e correttamente inquadrati anche sotto il profilo della protezione dei dati. Il software utilizzato in un concorso non è un semplice utensile collocato fuori dal procedimento. Diventa una parte del procedimento stesso. Le decisioni incorporate nel codice, le modalità di associazione dei dati e i privilegi attribuiti agli operatori assumono quindi la stessa rilevanza degli atti amministrativi tradizionali. Il precedente tocca direttamente il dibattito sulla sovranità digitale e sul controllo dei sistemi acquistati dalla pubblica amministrazione. Matrice Digitale ha già analizzato il rischio che le Linee guida AGID sull’intelligenza artificiale nella pubblica amministrazione restino dichiarazioni avanzate sul piano teorico senza produrre contratti realmente auditabili, architetture aperte e capacità interne di controllare i fornitori. Il concorso mostra la concretezza di quel rischio.
Quando l’ente pubblico non possiede il codice, non controlla i log e non riesce a ricostruire il funzionamento del sistema acquistato, l’outsourcing tecnologico si trasforma in outsourcing della responsabilità.
Dalla sentenza alla sanzione del Garante privacy
Il caso del concorso non è rimasto isolato. Con il provvedimento n. 419 del 28 maggio 2026, il Garante per la protezione dei dati personali ha dichiarato illeciti alcuni trattamenti effettuati da AGID nella gestione dell’INAD, l’Indice nazionale dei domicili digitali. A partire dal 6 giugno 2023, gli indirizzi PEC dei professionisti presenti nell’INI-PEC erano stati automaticamente eletti anche come domicili digitali delle persone fisiche all’interno dell’INAD. Dal 6 luglio 2023, quei domicili erano diventati consultabili nell’Indice nazionale.
Il passaggio non era irrilevante. La PEC professionale, originariamente raccolta e utilizzata in relazione all’attività lavorativa, diventava anche il domicilio digitale della persona fisica, potenzialmente destinato a ricevere comunicazioni e notifiche riguardanti la sfera privata. AGID, in qualità di gestore dell’INAD e titolare del trattamento, avrebbe dovuto informare preventivamente e in modo adeguato gli interessati. Secondo il Garante, l’Agenzia non aveva predisposto per impostazione predefinita misure sufficienti a garantire che i professionisti fossero pienamente consapevoli del riversamento e della successiva pubblicazione dei loro indirizzi. L’Autorità ha contestato la violazione dei principi di liceità, correttezza, trasparenza, limitazione della finalità e responsabilizzazione, oltre agli obblighi di privacy by design e privacy by default. Le contestazioni hanno riguardato gli articoli 5, 12, 14 e 25 del GDPR. La contraddizione è ancora una volta interna. L’obbligo di predisporre modalità informative adeguate era previsto nelle Linee guida adottate dalla stessa AGID. Il Garante ha osservato che proprio quella informazione costituiva una delle misure necessarie per tutelare gli interessi dei professionisti coinvolti. (Garante Privacy)
Due anni prima di una comunicazione individuale
Nella determinazione della sanzione, il Garante ha considerato che le violazioni avessero interessato i domicili digitali professionali di tutti i soggetti censiti nell’INI-PEC e successivamente pubblicati nell’INAD.
Le misure informative ritenute adeguate erano state introdotte soltanto nell’estate del 2025, circa due anni dopo l’avvio del trattamento. Nel frattempo, alcuni professionisti avevano lamentato di aver ricevuto notifiche, anche rilevanti per i propri diritti, su caselle utilizzate per finalità lavorative e non gestite come recapiti destinati alla vita privata. AGID aveva sostenuto di aver realizzato campagne informative generali e di aver ritenuto applicabile un’esenzione dall’obbligo di informativa individuale. Il Garante non ha accolto questa interpretazione, sottolineando che la garanzia omessa era stata inserita proprio per rendere conforme al GDPR il trasferimento dei dati tra i due Indici. L’Autorità ha comunque riconosciuto alcuni elementi favorevoli all’Agenzia. AGID non aveva precedenti violazioni pertinenti, aveva svolto campagne di comunicazione rivolte al pubblico e aveva adottato, seppure tardivamente, misure per mitigare i rischi. Il carattere della violazione è stato qualificato come colposo e il livello di gravità è stato considerato medio. Questi elementi non sono bastati a evitare la sanzione, fissata in 55.000 euro. Il provvedimento ha dichiarato l’illiceità del trattamento e ha ordinato la pubblicazione della decisione sul sito del Garante, anche in considerazione dell’ampiezza della platea coinvolta.
Il provvedimento pubblicato, rimosso e nuovamente pubblicato
La storia avrebbe potuto chiudersi con la sanzione. Invece, il provvedimento ha avuto una vita pubblica anomala. Secondo la ricostruzione di Simone Aliprandi, la decisione era apparsa sul sito del Garante nella notte tra il 15 e il 16 giugno 2026. Poche ore dopo non risultava più raggiungibile nella sezione ufficiale. Nel breve intervallo in cui il documento era rimasto online, il sistema WOW, Watchdog of the Watchdog, creato da Christian Bernieri per monitorare automaticamente le pubblicazioni del Garante, aveva acquisito le informazioni principali e inviato un riepilogo agli iscritti alla propria newsletter alle 00:04 del 16 giugno. La rimozione aveva immediatamente sollevato interrogativi. Aliprandi aveva ipotizzato diverse possibili spiegazioni, dalla necessità di correggere o oscurare dati fino a motivazioni di altra natura. Quelle ipotesi non erano accompagnate da elementi sufficienti per stabilire la causa reale della scomparsa, che non può quindi essere attribuita con certezza a pressioni politiche, errori privacy o interventi esterni. Nella stessa giornata, il provvedimento era tornato online ed è tuttora consultabile. Aliprandi aveva annunciato di averne conservato una copia per evitare che una nuova rimozione rendesse impossibile l’accesso al testo. La temporanea scomparsa non modifica il contenuto della decisione, ma apre un problema istituzionale. Il Garante aveva disposto espressamente la pubblicazione dell’ordinanza, mentre per alcune ore il provvedimento non era disponibile senza che fosse fornita una spiegazione pubblica. La vicenda assume un peso ulteriore in un momento nel quale la trasparenza dell’Autorità è già oggetto di attenzione. Matrice Digitale ha ricostruito il recente scontro tra Report e Garante privacy sull’accesso ai documenti relativi alle spese, mostrando come il diritto di conoscere gli atti delle istituzioni che vigilano sugli altri non possa essere trattato come un elemento secondario della loro attività.
Quando lo Stato sanziona se stesso
Il provvedimento produce anche un’immagine istituzionale singolare. Il Garante privacy, Autorità amministrativa indipendente, ha sanzionato AGID, Agenzia riconducibile alla struttura della Presidenza del Consiglio dei ministri.
In termini sostanziali, una componente dello Stato ha imposto una sanzione economica a un’altra componente dello Stato, chiamando in causa principi e obblighi elaborati attraverso un confronto al quale entrambe le istituzioni avevano partecipato.
Aliprandi ha evidenziato un paradosso sulla sovrapposizione tra chi produce le regole, chi le applica e chi interviene quando quelle stesse regole vengono violate. La digitalizzazione pubblica italiana appare distribuita tra Agenzie, Dipartimenti e Autorità dotati di competenze differenti, ma non sempre capaci di operare all’interno di una governance realmente integrata.
Il problema dei silos nella trasformazione digitale
Andrea Lisi ha individuato proprio nella frammentazione delle competenze il filo che collega il concorso e la sanzione privacy. Secondo il giurista, i due casi non possono essere liquidati come semplici incidenti procedurali, perché mostrano una difficoltà più profonda nel governo interdisciplinare della materia digitale. La gestione di una piattaforma amministrativa non è soltanto un problema informatico. Coinvolge contemporaneamente diritto amministrativo, protezione dei dati, sicurezza, gestione documentale, conservazione, procurement, architettura cloud e responsabilità organizzativa. DPO, CISO, responsabili della gestione documentale, archivisti, dirigenti amministrativi e responsabili della trasformazione digitale devono intervenire fin dalla progettazione. Se ciascuna funzione lavora separatamente, il risultato può essere tecnicamente funzionante ma giuridicamente invalido, formalmente conforme ma insicuro, oppure efficiente sul piano operativo ma privo di adeguata tracciabilità. Nel concorso, la piattaforma aveva consentito di svolgere le prove, ma non aveva prodotto una catena documentale che AGID fosse in grado di difendere in giudizio. Nell’INAD, il riversamento degli indirizzi era stato realizzato sul piano tecnico, ma non accompagnato da un sistema informativo ritenuto adeguato dal Garante. In entrambi i casi la tecnologia aveva raggiunto lo scopo immediato, mentre la governance aveva fallito nel garantire integralmente legalità, verificabilità e tutela dei diritti.
AGID è troppo importante per essere trattata come un ente qualsiasi
Le criticità assumono un peso maggiore per il ruolo dell’Agenzia. AGID vigila sull’attuazione del Codice dell’amministrazione digitale, definisce Linee guida, contribuisce al Piano triennale per l’informatica nella pubblica amministrazione e ha svolto funzioni centrali nella qualificazione dei servizi cloud e nella vigilanza sui prestatori di servizi fiduciari. L’Agenzia è inoltre destinata ad avere un ruolo nella governance italiana dell’intelligenza artificiale. Il quadro normativo esaminato da Matrice Digitale nella legge italiana di attuazione dell’AI Act attribuisce ad AGID compiti di notifica, mentre assegna ad ACN funzioni di vigilanza del mercato e di raccordo con le istituzioni europee. La crescente centralità dell’Agenzia rende ancora più urgente una verifica della sua capacità interna. Un ente chiamato a stabilire come le amministrazioni dovranno acquistare, controllare e utilizzare sistemi di intelligenza artificiale non può permettersi piattaforme delle quali non riesce a produrre il codice sorgente o ricostruire il funzionamento. Il problema non è soltanto reputazionale. I sistemi di IA utilizzati per il reclutamento, la selezione e la valutazione del personale rientrano tra quelli considerati ad alto rischio dal quadro europeo. Richiedono tracciabilità, supervisione, governance dei dati e documentazione tecnica. Il caso del concorso anticipa esattamente il tipo di conflitto che potrebbe moltiplicarsi quando le procedure amministrative saranno affidate a strumenti più complessi e meno trasparenti.
L’altra faccia di AGID: il lavoro del CERT contro il phishing via PEC
Un’inchiesta corretta non può ignorare che AGID comprende strutture capaci di produrre risultati operativi rilevanti. Il CERT-AGID svolge un’attività continuativa di monitoraggio delle campagne malevole che colpiscono cittadini, imprese e pubbliche amministrazioni italiane. Nel solo periodo compreso tra gennaio e il 15 giugno 2026, il CERT ha gestito oltre 650 eventi relativi a caselle PEC compromesse o registrate esclusivamente per finalità illecite. Le attività malevole comprendevano phishing e spam trasmessi attraverso account legittimi violati oppure mediante caselle create dagli attaccanti.
Quando individua un account legittimo compromesso, il CERT-AGID chiede al gestore il reset della casella. Quando la PEC risulta creata esclusivamente per attività malevole, ne richiede la dismissione. La struttura mantiene inoltre un canale diretto con i gestori italiani per coordinare lo scambio di informazioni e gli interventi di contrasto. Il dato si inserisce in uno scenario già documentato da Matrice Digitale nel bilancio sugli oltre 450 attacchi informatici osservati dal CERT-AGID nel maggio 2026, con campagne che sfruttavano PagoPA, istituti bancari, INPS e comunicazioni amministrative per distribuire phishing e malware.
Il CERT ha inoltre ricordato un principio spesso ignorato dagli utenti: la PEC certifica l’invio e la consegna del messaggio, non la sicurezza del suo contenuto. Anche una comunicazione ricevuta attraverso una casella certificata può contenere link malevoli, allegati infetti o richieste fraudolente. È lo stesso equivoco analizzato da Matrice Digitale nel caso della mail attribuita a Giorgia Meloni e del dibattito su spoofing, DMARC e sicurezza delle comunicazioni istituzionali: un canale percepito come ufficiale o certificato non elimina la necessità di controllare identità, autenticazione, contenuti e infrastrutture.
La contraddizione tra vigilanza esterna e controllo interno
È proprio il lavoro del CERT a rendere meno banale la lettura del caso. AGID non appare come un ente privo di competenze informatiche. Dispone di strutture che analizzano campagne criminali, coordinano i gestori PEC e pubblicano indicatori utili alla difesa del sistema nazionale. La domanda diventa quindi più scomoda: perché competenze e capacità presenti nell’Agenzia non hanno impedito i problemi emersi nella gestione del concorso e dell’INAD? La risposta suggerita dai casi esaminati non riguarda necessariamente l’assenza di specialisti, ma la capacità di farli lavorare insieme e di attribuire responsabilità chiare. Un team di sicurezza può rilevare migliaia di minacce senza essere coinvolto nella progettazione di una procedura concorsuale. Un responsabile privacy può definire obblighi corretti senza disporre degli strumenti per imporli al progetto. Un ufficio acquisti può affidare una piattaforma senza comprendere tutte le conseguenze documentali e probatorie. La digitalizzazione fallisce quando le competenze esistono ma restano confinate nei rispettivi silos. Il risultato è un’amministrazione che sa spiegare agli altri come proteggere una PEC, ma non informa adeguatamente i titolari prima di trasformarla in domicilio digitale; che indica come conservare un documento informatico, ma non riesce a produrre elaborati dotati di adeguate garanzie; che chiede trasparenza ai fornitori della PA, ma non consegna al giudice il codice della piattaforma utilizzata.
Le domande rimaste senza risposta
La sentenza e il provvedimento del Garante definiscono responsabilità amministrative e profili di illegittimità, ma lasciano aperte questioni che riguardano la governance interna dell’Agenzia. Resta da comprendere chi abbia autorizzato l’utilizzo della piattaforma concorsuale, attraverso quali atti sia stato individuato il fornitore e quali verifiche siano state effettuate sulla sua qualificazione. Non è chiarito perché il codice sorgente e la documentazione tecnica non fossero nella disponibilità dell’amministrazione o non siano stati prodotti nonostante le richieste del giudice. Non risulta spiegato quali controlli interni siano stati svolti sui file privi di firma e marca temporale, né perché la presenza del cognome del candidato nel nome del documento non abbia determinato la sospensione della procedura. Sul fronte INAD, resta da chiarire perché le modalità di informazione previste dalle Linee guida non siano state applicate fin dall’avvio del riversamento, nonostante AGID fosse titolare del trattamento e avesse partecipato alla definizione delle garanzie. Infine, il Garante dovrebbe chiarire pubblicamente perché il provvedimento n. 419 sia stato temporaneamente rimosso dal proprio sito, soprattutto considerando che la stessa decisione disponeva espressamente la pubblicazione dell’atto. Non per alimentare ipotesi prive di riscontro, ma per chiudere con un dato verificabile una vicenda che riguarda due delle principali istituzioni digitali italiane.
La credibilità delle regole comincia da chi le scrive
AGID resta un presidio centrale della digitalizzazione italiana. Proprio per questo non può limitarsi a considerare il concorso e la sanzione come due pratiche da archiviare dopo una sentenza e il pagamento di una multa.
Il danno più rilevante non coincide con i 55.000 euro imposti dal Garante e neppure con l’annullamento della procedura concorsuale. Riguarda la credibilità delle regole digitali dello Stato.
Quando un comune, una scuola, un ministero o una piccola amministrazione riceve da AGID indicazioni sulla conservazione dei documenti, sulla scelta delle piattaforme, sulla gestione dei dati e sull’auditabilità dei sistemi, deve poter ritenere che quelle prescrizioni derivino non soltanto da una competenza normativa, ma anche da una capacità concreta di applicarle. Il lavoro del CERT dimostra che nell’Agenzia esistono competenze operative e una conoscenza reale delle minacce. La sentenza del Consiglio di Stato e il provvedimento del Garante mostrano però che la competenza tecnica, da sola, non produce buona amministrazione. Servono tracciabilità delle decisioni, controllo dei fornitori, collaborazione tra discipline, responsabilità dirigenziale e disponibilità a riconoscere gli errori prima che sia un giudice a trasformarli in un precedente. AGID chiede alla pubblica amministrazione di diventare digitale, verificabile e trasparente. Dopo il concorso annullato, la sanzione sulla gestione dell’INAD e la temporanea scomparsa del provvedimento, la prima amministrazione chiamata a dimostrare di saper rispettare fino in fondo quel modello è diventata la stessa AGID.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
