Le nuove linee guida AgID e il sistema di conservazione

Introduzione

In questo articolo approfondiremo le novità relative al sistema di conservazione, introdotte dalle nuove Linee Guida AgID [1] sul documento informatico. Come già evidenziato in un precedente articolo [2] gli approfondimenti proposti fanno riferimento alla bozza delle Linee Guida AgID sul documento informatico, così come pubblicate nella fase di consultazione pubblica che ha avuto luogo tra il 17 ottobre e il 16 novembre del 2019. Si ricorda che queste linee guida assumono carattere giuridicamente vincolante in quanto si configurano come linee guida contenenti le Regole tecniche di cui all’articolo 71 della novellata versione del Codice dell’Amministrazione Digitale (CAD)[1] [3].

La normativa vigente prevede che l’adozione delle Linee guida da parte di AgID possa avvenire solo previa consultazione pubblica, “sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata”[2] [3]. Inoltre, anche alla luce del fatto che “le regole tecniche di cui al […] codice sono dettate in conformità […] alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell’Unione europea”[3] [3], la loro bozza “deve essere trasmessa alla Commissione europea per eventuali osservazioni sul testo, qualora il contenuto dovesse avere un impatto sul mercato interno dell’Unione europea ai sensi del Regolamento UE n. 1025/2012” [4]. A seguito di quest’ultimo passaggio, l’Agenzia per l’Italia Digitale “ha recentemente ricevuto dalla Commissione europea alcune osservazioni e prontamente ha provveduto a rispondere” [4], pertanto al momento è in attesa di “conoscere l’ultimo, definitivo parere della Commissione europea, senza il quale non può procedere alla pubblicazione delle Linee guida” [4].

Un nuovo punto di vista

Le nuove linee guida [1] introducono alcune interessanti novità sotto il profilo della sicurezza dei sistemi di conservazione, rispetto a quanto previsto dalle vigenti regole tecniche [5]. Si tratta di aspetti già rilevabili da un punto di vista definitorio, dato che ora il sistema di conservazione viene indicato come “l’insieme di regole, procedure e tecnologie che assicurano la conservazione dei documenti informatici in attuazione a quanto previsto dall’art. 44, comma 1, del CAD”[4] [1]. Si tratta di una definizione che evidenzia meglio la sua caratterizzazione come sistema informativo e non come mero sistema informatico.

Infatti la nuova definizione di conservazione, dopo aver richiamato (così come avveniva nelle Regole tecniche [5]) la formulazione di “insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizzativo adottato”[5] [1], aggiunge la specificazione che ciò dovrà avvenire “garantendo nel tempo le caratteristiche di autenticità, integrità, leggibilità, reperibilità dei documenti”[6] [1]. Si tratta di una precisazione importante[7], in quanto crea un riferimento diretto con quanto sancito dall’articolo 44, comma 1-ter, del D.lgs. 82/2005, laddove si afferma che “il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida”[8] [3].

I ruoli operanti nel processo di conservazione

Le nuove linee guida [1] introducono un’espansione dei ruoli interagenti all’interno del processo di conservazione, rispetto a quanto contenuto nelle vigenti regole tecniche [5]. I ruoli ora previsti sono cinque: due coincidenti funzionalmente con quelli esistenti (ovvero il produttore dei pacchetti di versamento e l’utente abilitato) seppur leggermente variati nella denominazione, due completamente nuovi e uno (il responsabile della conservazione) modificato nella sua definizione. Più in dettaglio, nella nuova definizione di responsabile della conservazione si vuole evidenziare sia la sua piena autonomia, sia la sua piena responsabilità nell’ambito della definizione e nell’attuazione delle politiche globali del sistema. Infatti, esso è quel “soggetto che definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità e autonomia”[9] [1].

Per quanto concerne i nuovi ruoli, il primo è quello del titolare dell’oggetto di conservazione, qui definito come il “soggetto produttore degli oggetti di conservazione”[10] [1]; mentre il secondo è quello del conservatore, inteso come il “soggetto pubblico o privato che svolge attività di conservazione dei documenti informatici”[11] [1].

In merito alla nozione di oggetto di conservazione, si evidenzia come nelle nuove Linee Guida [1] questo sia definito come un “oggetto digitale versato in un sistema di conservazione”[12] [1]. A sua volta l’oggetto digitale è descritto come un “oggetto informativo digitale, che può assumere varie forme tra le quali quelle di documento informatico, fascicolo informatico, aggregazione documentale informatica o archivio informatico”[13] [1]. Si tratta di una definizione chiara e coerente con quella di pacchetto informativo, inteso come un “contenitore logico che racchiude uno o più oggetti di conservazione con i relativi metadati, oppure anche i soli metadati riferiti agli oggetti di conservazione”[14] [1] e che pertanto è utilizzato nel sistema di conservazione per la trattazione proprio degli oggetti di conservazione. Per quanto riguarda la nozione di pacchetto informativo, questa fa sempre riferimento ai tre tipi classici, ovvero al pacchetto di versamento (PdV), al pacchetto di archiviazione (PdA) e al pacchetto di distribuzione (PdD).

Complessivamente, in relazione a queste nuove aggiunte nell’ambito dei ruoli e delle responsabilità delle entità coinvolte, è necessario evidenziare che si tratta di soggetti già operanti all’interno del processo di conservazione, pur non essendo esplicitamente citati tra i ruoli di interesse per il sistema di conservazione. Tutto ciò a testimonianza del fatto che nelle linee guida si realizzi non tanto un ampliamento dei ruoli di riferimento, quanto un’espansione della prospettiva con la quale si vuole approcciare il fenomeno conservazione, indagandolo non più solo dal lato del sistema informatico, ma soprattutto dal lato del sistema informativo. Insomma è corretto affermare che in tal senso la prospettiva di analisi cessa di essere incentrata sul sistema di conservazione per spostarsi verso il processo di conservazione.

A tal riguardo si ritiene necessario evidenziare alcune perplessità sollevate dal Garante per la protezione dei dati personali nell’ambito della definizione dei ruoli e delle responsabilità dei soggetti coinvolti nel trattamento dei dati. Si tratta di aspetti fondamentali, atteso che “una chiara attribuzione dei compiti è il presupposto necessario per garantire anche una corretta ripartizione delle responsabilità, in relazione al trattamento dei dati personali” [6]. Dunque, rilevata la necessità di modificare lo schema preliminare delle nuove Linee guida al fine di “rendere evidente che il dovere di adottare e mettere in atto tutte le misure di sicurezza adeguate, ricade, in primo luogo, in capo al titolare del trattamento[15]” [6], il Garante ha espresso l’opportunità di specificare meglio le attività affidate al Responsabile della conservazione. Più in dettaglio, con riferimento alla previsione che lo stesso “adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione come previsto dal par. 4.11”[16], il Garante evidenzia la necessità di “chiarire che l’adozione delle misure è in capo al titolare o, in caso di trattamento effettuato per suo conto, al responsabile del trattamento e non al responsabile del sistema di gestione” [6].

I nuovi requisiti infrastrutturali del sistema di conservazione e il GDPR

Nelle nuove Linee guida [1] viene poi dato ampio spazio all’indicazione di alcuni requisiti di tipo infrastrutturale che devono essere soddisfatti, sia dai sistemi di conservazione delle Pubbliche Amministrazioni, sia da quelli dei conservatori accreditati.

Nello specifico, questi sistemi “prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del Titolare dell’oggetto di conservazione e misure di sicurezza conformi a quelle stabilite dalle presenti linee guida”[17] [1]. Si tratta evidentemente di indicazioni finalizzate a consentire lo svolgimento delle attività di vigilanza da parte dell’Agenzia per l’Italia Digitale[18].

Parimenti, le nuove Linee guida [1] prevedono che “le componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione delle Pubbliche Amministrazioni e dei conservatori accreditati sono segregate fisicamente e logicamente per i servizi di cui all’art. 29 del CAD”[19] [1], ovvero per i servizi fiduciari qualificati, per i servizi di conservazione dei documenti informatici, per i servizi di posta elettronica certificata, nonché per quelli relativi alla gestione dell’identità digitale. Particolarmente importante e chiarificatrice è l’indicazione secondo la quale, “qualora i servizi vengano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2019 e, conseguentemente, essere presente nel «Catalogo dei servizi Cloud per la PA qualificati» [7]”[20] [1].

Va evidenziato che in merito ad alcune previsioni relative alla sicurezza delle infrastrutture del sistema di conservazione, così come delineate nelle nuove Linee guida [1] permangono delle profonde perplessità, che sono tra l’altro state in parte ben evidenziate dal Garante per la protezione dei dati personali. Infatti, l’autorità di controllo italiana ha rilevato che, nell’ambito della definizione dei requisiti di sicurezza a cui dovranno attenersi tutti i soggetti a vario titolo coinvolti nel trattamento, non sia possibile limitarsi a un mero richiamo delle Linee guida AgID in materia di misure minime di sicurezza ICT per le pubbliche amministrazioni. Invero, tale rimando “non è di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento adeguate, in conformità al Regolamento, a norma del quale, occorre invece valutare, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” [6]. Del resto già in precedenza, seppur con riferimento allo schema di Linee guida in merito alla sicurezza nel procurement ICT, il Garante aveva evidenziato che “il mero riferimento alle linee guida AgID in materia di misure minime di sicurezza nell’ambito dei requisiti di sicurezza […], non è di per sé sufficiente a garantire la sicurezza del trattamento in conformità al Regolamento [(UE) 2016/679]” [8], specificando che “le misure tecniche ed organizzative che il titolare e il responsabile del trattamento sono tenuti ad adottare, devono essere tali da garantire un livello di sicurezza adeguato al rischio, che presenta il trattamento” [8]. Inoltre ciò deve essere implementato, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”[21] [9].

Anche in merito all’utilizzo dei sistemi di conservazione in cloud, il Garante raccomanda un’integrazione dello schema delle nuove Linee guida [1], “al fine di richiamare i titolari al rispetto del principio di integrità e riservatezza, nonché dei principi di protezione fin dalla progettazione e per impostazione predefinita, e dei conseguenti adempimenti previsti dal Regolamento (art. 25 e 32 del Regolamento)” [6]. Inoltre, i sistemi di autenticazione informatica utilizzati per riconoscere i soggetti autorizzati ad accedere agli oggetti digitali conservati, dovranno “garantire modalità di accesso diverse, in funzione delle tipologie di dati personali trattati, nonché delle operazioni di trattamento consentite” [6].

Per quanto riguarda i soggetti privati che agiscono in qualità di conservatori accreditati, il Garante evidenzia la necessità di integrare lo schema delle nuove Linee guida [1] per prevedervi “l’obbligo di individuare tali soggetti esterni quali responsabili del trattamento” [6]. Inoltre, sempre nel citato schema delle nuove Linee guida andrà altresì esplicitamente indicato che i servizi di conservazione esternalizzati dovranno essere “sempre organizzati nel rispetto dei principi e dei requisiti previsti in materia di sicurezza dei dati e dei sistemi dal Regolamento (artt.  32 – 34), avuto riguardo anche alla notifica delle violazioni dei dati personali di cui all’art. 33 del Regolamento stesso” [6].

Il piano della sicurezza del sistema di conservazione e il GDPR

Per quanto riguarda la sicurezza del sistema di conservazione, permane la dicotomia tra le previsioni che si applicano alle Pubbliche Amministrazioni e quelle riferibili solo ai soggetti privati. Per le PA, nelle Linee guida [1] permane la previsione, già contenuta nelle Regole tecniche [5], che venga disposto, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione. Anche il regime definitorio è identico considerando che per piano generale della sicurezza si intende quel “documento che pianifica le attività volte alla realizzazione del sistema di protezione e di tutte le possibili azioni indicate dalla gestione del rischio nell’ambito dell’organizzazione di appartenenza”[22] [1], mentre con piano della sicurezza del sistema di conservazione ci si riferisce al “documento che, nel contesto del piano generale di sicurezza, descrive e pianifica le attività volte a proteggere il sistema di conservazione dei documenti informatici da possibili rischi nell’ambito dell’organizzazione di appartenenza”[23] [1]. A tal riguardo vorrei evidenziare le perplessità sollevate dal Garante per la protezione dei dati personali, il quale ha proposto che dalle suddette definizioni venga rimosso l’inciso che fa riferimento all’organizzazione di appartenenza, “per evitare fraintendimenti per i quali potrebbero essere presi in esame esclusivamente rischi interni all’organizzazione e non anche quelli che potrebbero verificarsi presso eventuali fornitori esterni” [6].

Come già previsto precedentemente, tale redazione sarà a cura del responsabile della conservazione, il quale dovrà operare di concerto con il responsabile della sicurezza e con il responsabile della transizione digitale, ma solo dopo aver acquisito il parere del responsabile della protezione dei dati. Di fatto è questa la vera novità, con cui si riconoscono le funzioni e i compiti che il Regolamento (UE) 2016/679 attribuisce al RPD[24]. La predisposizione del succitato piano avviene “mettendo in atto opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del Regolamento (UE) 2016/679, e in aderenza alle linee guida emanate dall’Agenzia per l’Italia digitale con riferimento alle misure minime di sicurezza in ambito ICT «Misure minime di sicurezza ICT per le pubbliche amministrazioni»”[25] [1]. Senza voler entrare nei dettagli per brevità espositiva, si segnala che il citato articolo 32 del GDPR fa riferimento alla messa in atto di misure tecniche e organizzative, non minime (e uguali per tutti i titolari del trattamento), bensì adeguata a garantire un livello di sicurezza adeguato al rischio rilevato (e quindi specifiche per il particolare titolare del trattamento). Non a caso, viene richiesto che tali misure adeguate siano individuate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”[26] [9].

Per i soggetti privati ci sono due possibilità. Nell’eventualità in cui tali soggetti appartengano a organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi, gli stessi dovranno adeguare il sistema di conservazione a tali regole. Invece, nelle altre eventualità, tali “soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dall’articolo 51[27] del CAD e dalle suddette linee guida emanate dall’Agenzia per l’Italia digitale in merito alle misure minime di sicurezza in ambito ICT”[28] [1].

Il Garante per la protezione dei dati personali ha evidenziato alcune criticità in merito alle disposizioni di carattere generale in materia di sicurezza contenute nello schema delle nuove Linee guida. Oggetto di attenzione devono essere le misure tecniche e organizzative descritte nel manuale di conservazione adottato dal Responsabile della conservazione, in cui dovrebbero essere considerate tutte le “implicazioni connesse al trattamento dei dati personali contenuti nei documenti informatici, tra i quali potrebbero essere compresi anche quelli riferibili alle categorie particolari di cui all’art. 9 e 10 del Regolamento” [6]. In tal senso, il Garante raccomanda un’integrazione dello schema delle Linee guida in modo che vi siano contemplati anche “accorgimenti e misure che prevedano un incremento del livello di sicurezza, anche in funzione delle tipologie di dati verosimilmente trattati, nell’ambito dei predetti sistemi informatici” [6].

Il “rinnovato” manuale di conservazione

Per quanto concerne il manuale di conservazione si segnala, tra l’altro, la rinnovata definizione contenuta nelle Linee guida [1], in cui si evidenzia sia la sua natura di documento informatico, sia la sua peculiarità di descrivere non solo il sistema di conservazione, ma anche il processo di conservazione. In realtà, si tratta di elementi rilevabili già altrove nel testo delle Linee guida [1], ma che è comunque utile ritrovare sinteticamente espressi nel glossario.
Dunque, il manuale di conservazione è il “documento informatico che descrive il sistema di conservazione e illustra dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture”[29] [1].

Da un punto di vista della gestione del processo sicurezza, evidenzio che sempre nel manuale di conservazione dovranno confluire sia la descrizione delle citate misure di sicurezza adeguate, sia quella delle procedure di notifica di una violazione dei dati personali all’autorità di controllo e di comunicazione di una violazione dei dati personali all’interessato. Le ultime due sono procedure da adottarsi in caso di violazione dei dati personali, ai sensi degli articoli 33 e 34 del Regolamento (UE) 2016/679 [9].

Invece, nel caso in cui il servizio di conservazione dovesse essere affidato all’esterno, coerentemente con la visione adottata, le “misure di sicurezza sono descritte nel manuale del conservatore”[30] [1]. A proposito di quest’ultima affermazione trovo opportuno riportare l’osservazione del Garante per la protezione dei dati personali secondo cui si tratta di un inciso da rivedere, poiché “sembrerebbe sollevare il titolare del trattamento dall’onere di indicare/descrivere le misure di sicurezza, aggiuntive e richieste al conservatore esterno” [6]. Tra l’altro questa formulazione è palesemente in contrasto con le previsioni presenti nel paragrafo 4.10 delle Linee guida [1] laddove, in merito alla descrizione delle modalità di esibizione dei documenti, si specifica che “nel caso di affidamento esterno del servizio di conservazione tali modalità sono concordate tra le parti e indicate nei rispettivi manuali”[31] [1].
Si tratta dunque di una porzione dello schema delle nuove Linee guida che dovrà necessariamente essere oggetto di future integrazioni prima della sua pubblicazione definitiva.

 

Note

[1] Il D.lgs. 82/2005 ha subito moltissime modifiche e integrazioni, tra le quali (in ordine cronologico) le ultime sono state quelle apportate: dal D.lgs. 26 agosto 2016, n. 179, dal D.lgs. 13 dicembre 2017, n. 217, dal D.L. 28 settembre 2018, n. 109, convertito con modificazioni dalla L. 16 novembre 2018, n. 130, dal D.L. 14 dicembre 2018, n. 135, convertito con modificazioni dalla L. 11 febbraio 2019, n. 12, dalla Legge 30 dicembre 2018, n. 145 e dal D.L. 26 ottobre 2019, n. 124.

[2] D.lgs. 82/2005, articolo 71, comma 1.

[3] D.lgs. 82/2005, articolo 71, comma 1-ter.

[4] Allegato 1 “Glossario dei termini e degli acronimi” al documento “Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 1.2 “Glossario dei termini”.

[5] Idem nota 4.

[6] Idem nota 4.

[7] Precisazione che, comunque, non introduce elementi di novità rispetto al contenuto delle Regole tecniche, essendo già presenti tali requisiti anche nel D.P.C.M. 3 dicembre 2013, articolo 3, comma 1.

[8] D.lgs. 82/2005, articolo 44, comma 1-ter.

[9] Idem nota 4.

[10] Idem nota 4.

[11] Idem nota 4.

[12] Idem nota 4.

[13] Idem nota 4.

[14] Idem nota 4.

[15] Ai sensi dell’articolo 24 del Regolamento (UE) 2016/679.

[16] Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 4.6 “Responsabile della conservazione”.

[17] Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 4.9 “Infrastrutture”.

[18] Va evidenziato che, in ogni caso, sono fatte salve le previsioni contenute nel Codice dei beni culturali.

[19] Idem nota 17.

[20] Idem nota 17.

[21] Regolamento (UE) 2016/679, articolo 32(1).

[22] Idem nota 4.

[23] Idem nota 4.

[24] Laddove RPD è un acronimo per indicare il Responsabile della protezione dati.

[25] Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 4.11 “Sicurezza del sistema di conservazione”.

[26] Regolamento (UE) 2016/679, articolo 32, paragrafo 1.

[27] A tal proposito si consideri che l’articolo 51, comma 2, del d.lgs. 82/2005, prevede che “i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta” [3].

[28] Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 4.11 “Sicurezza del sistema di conservazione”.

[29] Idem nota 4.

[30] Idem nota 28.

[31] Linee guida sulla formazione, gestione e conservazione dei documenti informatici (Release bozza) – Paragrafo 4.10 “Modalità di esibizione”.

Bibliografia

[1] Agenzia per l’Italia Digitale, “Linee guida sulla formazione, gestione e conservazione dei documenti informatici Release bozza AGID”, Roma, pp. 1–39, 2019.

[2] F. Ciclosi, Le nuove linee guida AgID sul documento informatico, ICT Security Magazine, 2020. [Online].  https://www.ictsecuritymagazine.com/articoli/le-nuove-linee-guida-agid-sul-documento-informatico/

[3] DECRETO LEGISLATIVO 7 marzo 2005, n. 82 (Così come modificato dal Decreto legislativo 13 dicembre 2017, n. 217, in G.U. 12/01/2018, n.9), GU n.112 del 16-5-2005-Suppl. Ordinario n. 93, 2005.

[4] Agenzia per l’Italia Digitale, “Precisazioni sulla pubblicazione delle nuove linee guida sulla formazione, gestione e conservazione dei documenti informatici”, 2020. [Online]. https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/04/01/precisazioni-sulla-pubblicazione-nuove-linee-guida-sulla-formazione-gestione

[5] Decreto del Presidente del Consiglio dei Ministri 3 dicembre 2013 – “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell’amministr. Italia: Gazzetta Ufficiale della Repubblica Italiana, 2013, pp. 1–44.

[6] Garante per la protezione dei dati personali, “Parere sullo schema di ‘Linee Guida sulla formazione, gestione e conservazione dei documenti informatici’ (n. 32 del 13 febbraio 2020) [doc. web. 9283921]”, Roma, 2020.

[7] Agenzia per l’Italia Digitale, “Catalogo dei servizi Cloud per la PA qualificati” [Online]. https://catalogocloud.agid.gov.it/

[8] Garante per la protezione dei dati personali, “Parere sullo schema di ‘Linee guida – La Sicurezza nel procurement ICT’ predisposto da AgID – del 30 gennaio 2020 [doc. web 9283857]”, Roma, 2020.

[9] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO.

 

Articolo a cura di Francesco Ciclosi