L'Albo Pretorio non è un sito su cui pubblicare notizie.
È un registro legale che produce effetti giuridici: determina la decorrenza dei termini, certifica l'avvenuta pubblicazione, fonda l'opponibilità degli atti ai terzi.
Gli albi pretori in uso presso molte amministrazioni sono, nella sostanza, dei CMS adattati: permettono di caricare PDF, assegnare date e mostrarli online. Funzionano — finché non succede qualcosa. Una contestazione sui termini, una richiesta di accesso agli atti, un'istanza di oscuramento ex art. 17 GDPR, un audit della Corte dei Conti.
A quel punto si scopre che il sistema non è in grado di ricostruire con certezza chi ha fatto cosa, quando e perché. ITER-PA nasce per colmare questa distanza tra "pubblicare un documento" e "tenere un registro legale".
Sei capacità che distinguono un registro da un CMS.
Ciclo di vita completo dell'atto
Stati espliciti e tracciati: bozza → programmata → pubblicata → scaduta → archiviata. Le transizioni sono validate da una macchina a stati: niente salti né modifiche retroattive.
Pubblicazione programmata
Attivazione e ritiro automatici alle date previste. Scheduler con timezone hardened su Europe/Rome — gestisce ora legale e casi limite che altrove generano contenziosi.
Versionamento append-only
Ogni modifica genera una nuova versione. La precedente non viene sovrascritta: resta consultabile, confrontabile e legalmente tracciata.
Oscuramento strutturato
L'oscuramento ex GDPR non è una cancellazione: è un'operazione tracciata, motivata, reversibile solo con ulteriore tracciatura. Atto oscurato e atto eliminato sono giuridicamente distinti.
Frontend pubblico dedicato
Interfaccia conforme alle Linee Guida di Design per la PA (Bootstrap Italia). Pagine dedicate ad albo corrente, archivio storico, dettaglio atto.
Unità organizzative
Supporto nativo a strutture gerarchiche dell'ente — settori, servizi, uffici — con assegnazione di atti e responsabilità per unità e modello di autorizzazioni coerente.
Quattro principi non negoziabili.
3.1 Fail-closed by design
Il principio guida è semplice: in caso di dubbio, il sistema nega. Se un controllo di sicurezza fallisce, se un permesso è ambiguo, se un contesto non è completo, l'operazione viene rifiutata. Non esistono percorsi di "fallback permissivo".
3.2 Controllo accessi deny-by-default
Sistema di permessi articolato su ruoli espliciti — amministratore, responsabile, operatore, consultatore — con negazione di default: un'azione è consentita solo se esiste un permesso esplicito che la autorizza. 18 permessi granulari mappati sulle operazioni reali del ciclo di pubblicazione.
3.3 Audit log immutabile
Ogni operazione di scrittura genera un evento di audit tracciato, non modificabile, consultabile. Il sistema è in grado di rispondere con certezza alla domanda "chi ha pubblicato cosa, quando, con quale motivazione?" anche a distanza di anni.
3.4 Orologio legale (LegalClock)
Tutte le operazioni con rilevanza giuridica — attivazione pubblicazione, scadenza, oscuramento — passano attraverso un LegalClock centralizzato, verificabile e testato contro scenari di cambio ora, anno bisestile e transizioni critiche. Le date che producono effetti legali non sono mai lasciate al now() del database.
Due piani probatori, separati per progettazione.
Un sistema di pubblicità legale deve essere osservabile su due piani distinti, con finalità e valore probatorio diversi. Confondere i due piani — o averne solo uno — è una delle carenze più frequenti nei sistemi in uso.
Audit trail operativo
Componente strutturale del sistema documentale. Ogni operazione rilevante sul registro genera un record immutabile con attore, ruolo, timestamp legale italiano, stato prima/dopo, motivazione ed entità coinvolta. Ricostruzione e dimostrazione verso terzi: controllo, accesso agli atti, contenzioso.
Telemetria tecnica
Log applicativi strutturati, eventi runtime, metriche, log di sicurezza, log dei job automatici. Instradata su canale indipendente dall'istanza tenant, con replica hash-based degli eventi di dominio. Dimostra la diligenza tecnica ex art. 32 GDPR.
L'audit trail dimostra cosa è successo al documento. La telemetria tecnica dimostra che il sistema che gestiva il documento era ben tenuto: presidiato, accessi controllati, anomalie rilevate, job automatici operativi. Avere il primo senza il secondo espone l'ente al rischio di vedersi contestare la tenuta del sistema. Avere il secondo senza il primo rende impossibile ricostruire i fatti rilevanti. ITER-PA li implementa entrambi come caratteristiche strutturali, non come opzioni configurabili.
Il certificato di pubblicazione non vale da solo. Vale per ciò su cui poggia.
Il sistema registra in modo deterministico gli eventi rilevanti del ciclo di vita dell'atto e consente di derivare un certificato di pubblicazione fondato su evidenze tracciate, verificabili e temporalmente coerenti.
5.1 La catena di evidenze
- Audit trail append-only delle operazioni rilevanti sul registro.
- Hash SHA-256 dei documenti pubblicati, calcolato all'acquisizione e verificato post-scrittura.
- Domain events con sequenza deterministica per aggregato.
- Gestione del tempo legale tramite LegalClock — ora legale e casi limite di transizione gestiti.
- Replica hash-based degli eventi rilevanti su canale indipendente di telemetria.
5.2 Cosa consente di attestare
- quale atto è stato pubblicato, con i suoi estremi identificativi essenziali;
- quando è iniziata la pubblicazione, nel fuso orario legale italiano;
- quando è terminata, oppure se è intervenuto un evento rilevante (errata corrige, rettifica, sostituzione, oscuramento, annullamento);
- quale documento risultava associato allo stato attestato, identificato dalla sua impronta hash;
- quale sequenza di eventi tracciati ha prodotto l'esito attestato.
5.3 Perché l'architettura viene prima del certificato
Il certificato di pubblicazione deriva da evidenze registrate dal sistema: non vale da solo, vale perché poggia su una catena coerente di dati immutabili, tracciati e temporalmente coerenti. È la differenza tra una "stampa di riepilogo" prodotta su richiesta e un artefatto attestativo che può essere prodotto, riprodotto e messo a confronto con un canale di evidenze indipendente.
Utile per ricostruire i periodi di pubblicazione ai fini dei termini di impugnazione, nella risposta alle istanze di accesso agli atti, nei controlli amministrativi e di vigilanza, e nella ricostruzione storica a distanza di anni. Ciò che è difendibile non è il pezzo di carta: è l'architettura probatoria da cui il pezzo di carta è derivato.
Nota — l'esposizione self-service del certificato sarà disponibile in una prossima release.
Riferimenti normativi presidiati per progettazione.
CAD
Gestione documentale conforme. Integrità, paternità e data certa degli atti.
GDPR
Minimizzazione dei dati, oscuramento strutturato, retention configurabile per tipologia, privacy by design e by default.
Documenti informatici
Formazione, gestione e conservazione dei documenti informatici secondo le Linee Guida.
Design PA
Frontend pubblico basato sulle Linee Guida di Design per i servizi web della PA.
Accessibilità
Interfaccia pubblica progettata per la conformità ai requisiti tecnici di accessibilità.
Multi-tenant isolato
Separazione logica rigorosa fra tenant. Backup automatici e disaster recovery gestiti dal fornitore.
Tre angolazioni dello stesso problema.
- aNessun onere infrastrutturaleNessun server da acquistare, configurare o aggiornare. Nessuna dipendenza da risorse IT interne dell'ente per il funzionamento quotidiano.
- bAggiornamenti continui e trasparentiFunzionalità, adeguamenti normativi e patch di sicurezza rilasciati senza interruzione del servizio e senza costi aggiuntivi.
- cIsolamento dei dati garantitoArchitettura multi-tenant con separazione rigorosa: i dati di ogni ente sono logicamente isolati e non accessibili da altri tenant.
- dBackup e continuità operativaBackup automatici e procedure di disaster recovery gestite dal fornitore.
- eIntegrazione con i sistemi dell'enteAPI REST documentate per l'interoperabilità con protocollo informatico, gestione documentale e altri applicativi già in uso.
- fConservazione a normaIntegrazione prevista con sistemi di conservazione digitale conformi alle Linee Guida AgID.
- gAccesso via browserNessun client da installare. Funziona su qualsiasi dispositivo aggiornato.
- hSupporto dedicatoAssistenza tecnica e affiancamento operativo direttamente da Iteranea.
- aRiduzione del rischio legaleContestazioni su termini, pubblicazioni irregolari, accessi non tracciati: la superficie di rischio si comprime.
- bRisposte certe a istanze e auditAccesso agli atti, istanze GDPR, audit amministrativi: il sistema risponde con evidenze, non con dichiarazioni.
- cEliminazione del lavoro manualeAttivazioni, scadenze, archiviazioni: operazioni ripetitive automatizzate end-to-end.
- dContinuità a distanza di anniIl registro resta consultabile, coerente e difendibile anche dopo cambi di amministrazione e di personale.
- eCompliance verificabile, non dichiarativaLe evidenze sono prodotte dal sistema, non da una dichiarazione del fornitore.
- aUn atto pubblicato non può essere alterato di nascostoIl versionamento append-only e l'audit immutabile rendono ogni modifica visibile e tracciata.
- bUna data di pubblicazione non può essere retrodatataIl LegalClock centralizza il tempo giuridicamente rilevante.
- cL'oscuramento lascia tracciaDel prima, del dopo, del perché. Reversibile solo con ulteriore tracciatura.
- dOgni operazione ha un responsabile e un momento certoIl sistema non permette operazioni anonime o prive di contesto temporale verificabile.
Vuoi vedere come ITER-PA può ridurre rischi e semplificare la pubblicità legale del tuo ente?
Una demo dedicata di 30 minuti, con un caso reale del tuo ente, su scenari di pubblicazione, oscuramento e ricostruzione probatoria.