PA – ENTRATO IN VIGORE IL REGOLAMENTO SULLA VIOLAZIONE DEGLI OBBLIGHI DEL RTD

La determina n. 190/2025 del 4 agosto 2025, pubblicata sul sito istituzionale dell’Agenzia per l’Italia Digitale (AgID) e nella Gazzetta Ufficiale del 18 settembre 2025, approva il nuovo Regolamento che disciplina le procedure di contestazione, accertamento, segnalazione e irrogazione delle sanzioni per le violazioni degli obblighi di transizione digitale previsti dall’articolo 18-bis del Codice dell’amministrazione digitale (CAD).

Ambito di applicazione

Il Regolamento si applica alle procedure per sanzionare le amministrazioni che non rispettano gli obblighi di transizione digitale sanciti dall’articolo 18-bis del CAD.

Il testo disciplina le fasi di contestazione delle violazioni, l’accertamento delle responsabilità, la segnalazione delle infrazioni e l’irrogazione delle relative sanzioni, che vanno da un minimo di 10.000 euro a un massimo di 100.000 euro a seconda della gravità dell’inadempienza, ai danni per l’utenza e alla condotta collaborativa dell’Ente.

Il Regolamento è entrato in vigore il 19 settembre 2025.

Sostituisce il “Regolamento recante le procedure di contestazione, accertamento, segnalazione delle violazioni in materia di transizione digitale e di esercizio del potere sanzionatorio ai sensi dell’art. 18-bis del d. lgs. 7 marzo 2005, n. 82 e successive modifiche” adottato con Determinazione n. 270 del 18 ottobre 2022

L’AgID può avviare attività di verifica anche su segnalazione di altre Amministrazioni o del Difensore civico digitale.

In caso di violazioni, l’Ente ha 30 giorni per conformarsi. In caso di mancata conformità, viene avviato il procedimento sanzionatorio che deve concludersi entro 90 giorni dalla contestazione.

La violazione accertata attiva un procedimento che può portare:

• all’irrogazione di sanzioni amministrative;
• segnalazioni disciplinari;
• conseguenze negative sulla performance accessoria dei responsabili;
• conseguenze reputazionali derivante dalla pubblicazione obbligatoria delle sanzioni da parte di AgID;
• possibile danno erariale in conseguenza della segnalazione obbligatoria alla Corte dei Conti.

Il Procedimento è articolato in due fasi:

1. attività pre-istruttoria di verifica;
2. procedimento sanzionatorio.

Attività di verifica

La documentazione derivante dagli obblighi del CAD, oggetto di verifica sono:

• Art. 17 CAD – Decreto di nomina RTD e UTD
• Art. 5 CAD – Adesione a PagoPA
• Art. 62 e segg CAD – SPID/CIE
• Art. 40 CAD e linee guida – Manuale di gestione documentale, Manuale di conservazione, Piano di conservazione
• Linee guida AgID/ACN – Misure minime di sicurezza, Analisi del rischio, Piano di continuità operativa
• Piano Triennale per l’Informatica nella PA dell’Ente, Cronoprogramma di attuazione e avanzamenti, monitoraggio indicatori

Il Soggetto vigilato è avvisato che la mancata o parziale ottemperanza alle richieste istruttorie di cui ai commi 2 e 3, ovvero la trasmissione di informazioni o dati parziali o non veritieri, è punita ai sensi dell’art. 18 bis, comma 1, del CAD.

A conclusione dell’attività pre-istruttoria, il Dirigente dell’Area Vigilanza e Sicurezza, o il funzionario dallo stesso incaricato, redige un Rapporto di verifica contenente:

1. il riepilogo delle attività svolte;
2. i riferimenti alla documentazione acquisita;
3. l’eventuale indicazione di “Non conformità” o di mere Osservazioni.

È disposta l’archiviazione dell’attività pre-istruttoria nel caso in cui il Rapporto contenga esclusivamente mere Osservazioni o accerti l’assenza di violazioni.

Procedimento sanzionatorio

Atto di avvio del procedimento che contiene:

1. l’indicazione delle disposizioni che si ritengono violate, delle sanzioni comminabili all’esito del procedimento sanzionatorio;
2. l’indicazione dell’Unità organizzativa competente, del domicilio digitale e il nominativo del Responsabile;
3. l’invito ad inviare, entro il termine di 30 giorni, documentazione o scritti difensivi o la richiesta di essere sentiti;
4. l’indicazione del termine di conclusione del procedimento sanzionatorio, 90 giorni, salvo eventuali sospensioni indicate nel Regolamento;
5. l’informativa che, in caso di accertamento della sussistenza delle violazioni contestate, l’atto verrà segnalato all’Ufficio competente per i procedimenti disciplinari di ciascuna amministrazione, nonché ai competenti Organismi indipendenti di valutazione e la relativa segnalazione sarà pubblicata su apposita area del sito internet istituzionale

Il Provvedimento motivato può:

1. disporre l’archiviazione del procedimento;
2. irrogare la sanzione amministrativa pecuniaria;
3. dichiarare l’estinzione del procedimento, nel caso in cui il Soggetto vigilato abbia provveduto al pagamento in misura ridotta;
4. dichiarare l’accertamento della violazione diversa da quelle previste dall’art. 18-bis, comma 5, del CAD.

Il Responsabile del procedimento, nei casi di cui alle lettere b) e c), a seguito del pagamento della sanzione, provvede ad informare obbligatoriamente la Corte dei Conti.

Le azioni preventive da effettuare da ciascuna Pubblica Amministrazione sono quelle di verificare la conformità agli obblighi previsti dalla normativa di settore, a seconda della propria tipologia:

1. Nomina RTD e UTD, obbligatoria per tutti: decreto di nomina e atto organizzativo con funzioni e poteri;
2. Adesione agli obblighi di digitalizzazione, a seconda della natura dell’Ente: es adesione alle piattaforme SPID/CIE, PagoPA, IO. (Elenco servizi di pagamento attivati, report di transazioni), SUAP/SUE;
3. Evidenza dell’adozione del Piano Triennale per l’Informatica nella PA: atto formale di adozione, pubblicazione su AT, scadenzario e stati di avanzamento periodici, evidenza dei progetti originati dalle linee di azione;
4. Evidenza dell’adozione delle linee guida nei vari ambiti: acquisti ICT, sviluppo, organizzazione, gestione documentale, dati aperti;
5. Evidenza Requisiti Minimi di Sicurezza;
6. Verifica del rispetto delle scadenze e delle indicazioni contenute nel PT ed evidenza del rispetto delle linee guida oppure delle motivazioni per la ritardata/mancata adozione.
7. Per ciascun progetto inerente alla digitalizzazione verificare l’esistenza della documentazione minima di gestione:

• Piano di lavoro e suoi aggiornamenti.;
• Documenti di affidamento, se coinvolge aziende/enti esterni (in linea con le linee guida);
• Piano di qualità eventuale;
• Staffing di progetto: atti formali di nomina;
• Analisi dei rischi e impatti sulla struttura e sui servizi;
• Stati di avanzamento periodici ed eventuali piani di rientro;
• Documentazione di progettazione e di test;
• Documentazione di esecuzione test e verbali relativi, compresa accettazione finale (eventuale asseverazione se oggetto di finanziamento);
• Formazione e manualistica;
• Realizzazione dell’attività.

h) Gestione generale delle attività (es. accessibilità, incidenti informatici, dati aperti):

• Adozione di una procedura formalizzata con indicazione di responsabilità e ruoli, in conformità con le disposizioni normative/linee guida (es: misure di sicurezza e privacy per la gestione degli incidenti informatici; linee guida e standard WCAG correnti per accessibilità);
• Prevedere ed implementare (fornendo opportune evidenze) di applicare un ciclo virtuoso di gestione delle attività: intercettare e analizzare il problema, identificare la soluzione opportuna, applicare la soluzione, monitoraggio dei risultati e intervenire nell’ottica di miglioramento continuo (ciclo di Deming).

ACCEDI AL REGOLAMENTO AGID

A cura del Dott. Giunio Faustini – dottore commercialista e revisore contabile.