Si può affermare subito che le norme di seguito esaminate non prevedono alcuna sanzione espressa per il mancato adeguamento nei termini stabiliti.
E ciò nonostante fosse espressamente previsto nell’art. 1 della legge delega del 7 agosto 2015 n. 124 (art. 1 Carta della cittadinanza digitale) che nella prevista modifica del Codice fossero inserite specifiche sanzioni in capo alle PA in caso di violazione delle sue disposizioni.

In senso contrario, non risultano idonee a integrare la previsione di una sanzione diretta le norme del CAD (che richiama a sua volta le norme sulle performance dei dirigenti disposte dal decreto legislativo 27 ottobre 2009, n. 150).
La cui scarsa efficacia era stata peraltro già riconosciuta dallo stesso Legislatore della riforma del 2016, che nella Legge delega 124/2015, aveva previsto la riforma del regime sanzionatorio sia nella lettera a) dell’art. 1 - con specifico riferimento all’erogazione dei servizi on line da parte delle PA -, sia all’art. 11 – più in generale – in relazione alla responsabilità dei dirigenti.

Codice dell’Amministrazione Digitale CAD D.Lgs. 7 marzo 2005, N.82 aveva previsto norme cogenti e l’art. 50-bis del CAD delineava gli obblighi, gli adempimenti e i compiti spettanti alle Pubbliche Amministrazioni ai fini dell’attuazione della continuità operativa che potevano portare ad eventuali sanzioni:

“Articolo 50-bis Continuità operativa (Articolo integrato dal comma 2 dell'art. 34, D.Lgs. 30 dicembre 2010, n. 235. Vedi, anche, i commi 10 e 20 dell'art. 57 dello stesso D.Lgs. n. 235 del 2010.).

1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l'innovazione assicura l'omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.

3. A tali fini, le pubbliche amministrazioni definiscono:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione.

4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di
DigitPA.”

Ma l’art. 64, 1° comma, lett. h) della riforma Madia (d.lgs. n. 179/2016) ha abrogato l’art. 50-bis del CAD creando un vuoto normativo.
Il Miur all’interno del format di formazione si limita a dire che pur non essendo previste sanzioni specifiche resta la responsabilità in caso di incidente informatico:
“2.4. Misure minime di sicurezza ICT per le pubbliche amministrazioni da adottarsi entro dicembre 2017 (Circolare AgID 2/2017)

Pur in mancanza, infine, di specifiche sanzioni nel caso di omissione del rispetto degli obblighi previsti dalla circolare AgID 2/2017 non potrà certo escludersi la possibilità di individuare una responsabilità nelle ipotesi non sia stata adottata alcuna misura di sicurezza e si sia effettivamente verificato un incidente informatico. “

E poi ribadisce le altre sanzioni esistenti, non sui termini di scadenza ma soprattutto sulle problematiche collegate al Codice della Privacy.