← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 12 del CAD pone le norme generali sull'uso delle tecnologie dell'informazione e della comunicazione nell'azione amministrativa. È la disposizione che traduce in obblighi organizzativi i principi del codice: le pubbliche amministrazioni, nell'organizzare autonomamente la propria attività, devono usare le ICT per realizzare efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, nel rispetto dei principi di uguaglianza e non discriminazione e per l'effettivo riconoscimento dei diritti di cittadini e imprese. Il riferimento al «Piano triennale per l'informatica nella pubblica amministrazione» (articolo 14-bis, comma 2, lettera b) è centrale: il Piano, redatto dall'AgID e approvato dalla Presidenza del Consiglio, fissa gli obiettivi strategici e le azioni operative che ogni amministrazione deve realizzare in materia digitale. Il comma 1-bis estende la responsabilità agli organi di Governo nell'emanazione delle direttive generali per l'attività amministrativa e alle amministrazioni nella redazione del piano di performance del D.Lgs. 150/2009. Il comma 1-ter rende i dirigenti responsabili dell'osservanza e attuazione del CAD ai sensi degli articoli 21 e 55 del D.Lgs. 165/2001 (responsabilità dirigenziale e disciplinare), fermi i profili penali, civili e contabili. L'attuazione del CAD è rilevante anche ai fini della valutazione della performance organizzativa e individuale dei dirigenti: la digitalizzazione entra negli obiettivi assegnati e nella retribuzione di risultato. Il comma 2 stabilisce che le PA utilizzano le ICT nei rapporti interni, con altre amministrazioni e con i privati, garantendo l'interoperabilità dei sistemi e l'integrazione dei processi nel rispetto delle Linee guida AgID. Il comma 3 impone l'uniformità e la graduale integrazione delle modalità di interazione degli utenti con i servizi informatici, incluse le reti di telefonia fissa e mobile, qualunque sia il canale di erogazione, nel rispetto dell'autonomia di ciascun erogatore. Il comma 3-bis introduce il «BYOD» (bring your own device) nella PA: i soggetti dell'articolo 2, comma 2, favoriscono l'uso da parte dei lavoratori di dispositivi elettronici personali, o di proprietà della PA ma personalizzabili, per ottimizzare la prestazione lavorativa nel rispetto delle condizioni di sicurezza. La norma va letta insieme alla disciplina del lavoro agile (legge 81/2017) e alla disciplina della protezione dei dati personali. Si coordina con gli articoli 17 e 17-ter del CAD (responsabile per la transizione al digitale), con l'articolo 50-ter (Piattaforma digitale nazionale dati), con le Linee guida AgID sull'interoperabilità.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 12 D.Lgs. 82/2005 CAD — Norme generali per l’uso delle tecnologie dell’informazione e delle comunicazioni nell’azione amministrativa

In vigore dal 01/01/2006

1. Le pubbliche amministrazioni nell'organizzare autonomamente la propria attività utilizzano le tecnologie dell'informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l'effettivo riconoscimento dei diritti dei cittadini e delle imprese di cui al presente Codice in conformità agli obiettivi indicati nel Piano triennale per l'informatica nella pubblica amministrazione di cui all'articolo 14-bis, comma 2, lettera b).

1-bis. Gli organi di Governo nell'esercizio delle funzioni di indirizzo politico ed in particolare nell'emanazione delle direttive generali per l'attività amministrativa e per la gestione ai sensi del comma 1 dell'articolo 14 del decreto legislativo 30 marzo 2001, n. 165 , e le amministrazioni pubbliche nella redazione del piano di performance di cui all' articolo 10 del decreto legislativo 27 ottobre 2009, n. 150 , dettano disposizioni per l'attuazione delle disposizioni del presente Codice.

1-ter. I dirigenti rispondono dell'osservanza ed attuazione delle disposizioni di cui al presente Codice ai sensi e nei limiti degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165 , ferme restando le eventuali responsabilità penali, civili e contabili previste dalle norme vigenti. L'attuazione delle disposizioni del presente Codice è comunque rilevante ai fini della misurazione e valutazione della performance organizzativa ed individuale dei dirigenti.

2. Le pubbliche amministrazioni utilizzano, nei rapporti interni, in quelli con altre amministrazioni e con i privati, le tecnologie dell'informazione e della comunicazione, garantendo l'interoperabilità dei sistemi e l'integrazione dei processi di servizio fra le diverse amministrazioni nel rispetto delle Linee guida. (28)

3. Le pubbliche amministrazioni operano per assicurare l'uniformità e la graduale integrazione delle modalità di interazione degli utenti con i servizi informatici , ivi comprese le reti di telefonia fissa e mobile in tutte le loro articolazioni, da esse erogati, qualunque sia il canale di erogazione, nel rispetto della autonomia e della specificità di ciascun erogatore di servizi.

3-bis. I soggetti di cui all'articolo 2, comma 2, favoriscono l'uso da parte dei lavoratori di dispositivi elettronici personali o, se di proprietà dei predetti soggetti, personalizzabili, al fine di ottimizzare la prestazione lavorativa, nel rispetto delle condizioni di sicurezza nell'utilizzo. In caso di uso di dispositivi elettronici personali, i soggetti di cui all'articolo 2, comma 2, nel rispetto della disciplina in materia di trattamento dei dati personali, adottano ogni misura atta a garantire la sicurezza e la protezione delle informazioni e dei dati, tenendo conto delle migliori pratiche e degli standard nazionali, europei e internazionali per la protezione delle proprie reti, nonché ((a condizione che sia data al lavoratore adeguata informazione)) sull'uso sicuro dei dispositivi, anche attraverso la diffusione di apposite linee guida, e disciplinando, tra l'altro l'uso di webcam e microfoni ((, previa informazione alle organizzazioni sindacali)) .

3-ter. Al fine di agevolare la diffusione del lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato, i soggetti di cui all'articolo 2, comma 2, lettera a), acquistano beni e progettano e sviluppano i sistemi informativi e i servizi informatici con modalità idonee a consentire ai lavoratori di accedere da remoto ad applicativi, dati e informazioni necessari allo svolgimento della prestazione lavorativa, nel rispetto della legge 20 maggio 1970, n. 300 , del decreto legislativo 9 aprile 2008, n. 81 e della legge 22 maggio 2017, n. 81 , assicurando un adeguato livello di sicurezza informatica, in linea con le migliori pratiche e gli standard nazionali ed internazionali per la protezione delle proprie reti, nonché ((a condizione che sia data al lavoratore adeguata informazione)) sull'uso sicuro degli strumenti impiegati, con particolare riguardo a quelli erogati tramite fornitori di servizi in cloud, anche attraverso la diffusione di apposite linee guida, e disciplinando anche la tipologia di attività che possono essere svolte ((, previa informazione alle organizzazioni sindacali)) .

4. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .

5. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .

5-bis. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .

Stesso numero, altri codici

Commento

L'articolo 12 fa da pivot tra i principi enunciati nei primi articoli del CAD e le regole tecniche di dettaglio degli articoli successivi. La disposizione collega l'uso delle ICT a quattro categorie di valori. Valori dell'azione amministrativa classica (efficienza, efficacia, economicità, imparzialità, trasparenza): si riprende il vocabolario dell'articolo 97 della Costituzione e dell'articolo 1 della legge 241/1990, traducendo i principi del buon andamento e dell'imparzialità in obblighi digitali. Valori procedurali (semplificazione, partecipazione): l'amministrazione digitale deve essere più semplice e aperta. Valori antidiscriminatori (uguaglianza, non discriminazione): la digitalizzazione non deve escludere fasce di popolazione. Valori di diritto soggettivo (effettivo riconoscimento dei diritti di cittadini e imprese): l'amministrazione digitale è uno strumento per realizzare i diritti, non un fine in sé.

Il legame con il Piano triennale per l'informatica nella PA è di subordinazione: ogni amministrazione, nell'organizzare autonomamente la propria attività, deve farlo in conformità agli obiettivi del Piano. Si tratta di un'eccezione importante al principio dell'autonomia organizzativa, giustificata dall'esigenza di interoperabilità e di standardizzazione a livello nazionale. Il Piano contiene i target su cloud, dati, identità digitale, infrastrutture, piattaforme abilitanti, servizi e sicurezza. Ciascuna PA deve recepirli nel proprio piano di performance e nelle direttive annuali.

La responsabilità dirigenziale del comma 1-ter è uno dei meccanismi più incisivi del codice. Il dirigente che non attua il CAD non solo viola il codice ma incorre in responsabilità ai sensi dell'articolo 21 del D.Lgs. 165/2001 (mancato raggiungimento degli obiettivi, riduzione della retribuzione di risultato, eventualmente cessazione dell'incarico) e ai sensi dell'articolo 55 (responsabilità disciplinare). A queste si aggiungono le responsabilità contabili davanti alla Corte dei Conti se l'omessa digitalizzazione produce un danno erariale (per esempio mancata generazione di entrate, sprechi di risorse umane, contenzioso evitabile). La portata di questo meccanismo è ampia: ha trasformato la digitalizzazione da auspicio politico in obbligo professionale del dirigente pubblico.

L'interoperabilità del comma 2 va intesa in senso tecnico-giuridico: i sistemi informatici delle diverse amministrazioni devono essere in grado di dialogare scambiandosi dati strutturati attraverso le piattaforme nazionali (Piattaforma Digitale Nazionale Dati, ANPR, INI-PEC, IPA). Il riferimento alle Linee guida AgID rinvia a documenti tecnici aggiornati periodicamente, che disciplinano protocolli, formati e standard. Il comma 3 sull'uniformità di interazione anticipa la logica «omnichannel»: il cittadino deve poter accedere allo stesso servizio dal sito web, dall'app IO, dal totem in ufficio, dal centralino telefonico, ricevendo risposte coerenti. Il BYOD del comma 3-bis è una piccola rivoluzione organizzativa: consente al dipendente pubblico di lavorare con il proprio dispositivo, purché siano garantite condizioni di sicurezza. Il coordinamento con il Regolamento (UE) 2016/679 è fondamentale: il dispositivo personale che tratta dati pubblici deve adottare misure di sicurezza adeguate (cifratura, autenticazione, separazione dei dati personali da quelli professionali), e l'amministrazione deve definire una policy chiara. La giurisprudenza amministrativa ha iniziato a delineare la responsabilità del dipendente in caso di data breach causato dall'uso negligente di un dispositivo personale. I problemi applicativi tipici riguardano l'effettività della responsabilità dirigenziale (raramente azionata), l'interoperabilità incompiuta tra sistemi legacy e piattaforme nazionali, la lentezza di alcuni enti nell'adeguarsi al Piano triennale. L'articolo 12 resta tuttavia il fondamento normativo della trasformazione digitale della PA italiana.

Casi pratici

Caso 1: Comune che non aderisce alla Piattaforma Digitale Nazionale Dati

Un Comune di medie dimensioni continua a chiedere ai cittadini il certificato di residenza per accedere a servizi di assistenza sociale, pur essendo già disponibile l'accesso ad ANPR e alla PDND. La condotta viola l'articolo 12, comma 2, sull'interoperabilità e il principio «once only» dell'articolo 3, lettera g) del CAD. Un cittadino segnala la violazione al difensore civico digitale dell'AgID, che invita il Comune ad attivare l'integrazione con ANPR entro un termine ragionevole. In caso di inadempimento, la responsabilità ricade sul dirigente competente ai sensi dell'articolo 12, comma 1-ter, con possibili conseguenze sulla retribuzione di risultato e sulla performance individuale. L'AgID può segnalare il caso anche alla Corte dei Conti se l'omessa attuazione produce sprechi quantificabili (sportelli sovraccarichi, dipendenti dedicati a verifiche manuali).

Caso 2: Policy BYOD in un ente regionale

Una Regione introduce un programma BYOD per i propri dipendenti, autorizzando l'uso degli smartphone personali per accedere alla posta elettronica istituzionale e alle applicazioni di workflow. Per essere conforme all'articolo 12, comma 3-bis, e al Regolamento UE 2016/679, la policy deve prevedere: requisiti minimi del dispositivo (sistema operativo aggiornato, blocco schermo, cifratura), installazione di un container aziendale (mobile device management), separazione dei dati personali da quelli di lavoro, procedure di cancellazione remota in caso di furto, formazione del personale, consenso esplicito del dipendente. La Regione deve inoltre svolgere una valutazione d'impatto sulla protezione dei dati (DPIA) prima dell'avvio del programma. La condotta non conforme espone l'ente a sanzioni del Garante Privacy e, in caso di data breach, a responsabilità anche penali e civili.

Domande frequenti

Cosa rischia un dirigente che non attua il CAD?

Il comma 1-ter dell'articolo 12 prevede responsabilità ai sensi degli articoli 21 e 55 del D.Lgs. 165/2001: responsabilità dirigenziale (mancato raggiungimento degli obiettivi, riduzione fino alla revoca della retribuzione di risultato, possibile cessazione anticipata dell'incarico) e responsabilità disciplinare (sanzioni dal richiamo verbale al licenziamento). A queste si aggiungono le responsabilità penali (per esempio omissione di atti d'ufficio se la mancata digitalizzazione preclude un diritto del cittadino), civili (risarcimento del danno arrecato al cittadino) e contabili davanti alla Corte dei Conti per eventuale danno erariale. L'attuazione del CAD è anche oggetto di valutazione nella performance individuale del dirigente.

Cos'è il Piano triennale per l'informatica nella PA?

È il documento di programmazione strategica della trasformazione digitale della PA italiana, redatto dall'AgID e approvato dalla Presidenza del Consiglio dei Ministri. Definisce obiettivi e azioni operative su sette ambiti: servizi, dati, piattaforme abilitanti, infrastrutture, interoperabilità, sicurezza, governance. Il Piano vincola tutte le PA nell'organizzazione della propria attività digitale ai sensi del comma 1 dell'articolo 12 del CAD. Ogni amministrazione deve recepire gli obiettivi del Piano nei propri documenti di programmazione (DUP, piano di performance, piano triennale dei fabbisogni). Viene aggiornato periodicamente per inseguire l'evoluzione tecnologica e i bisogni amministrativi.

Cosa significa interoperabilità tra amministrazioni?

Significa che i sistemi informatici di amministrazioni diverse possono scambiarsi dati strutturati senza intervento manuale, in modo da evitare al cittadino di dover presentare documenti già in possesso di un'altra PA. È il principio del «once only»: l'informazione si fornisce una sola volta. L'articolo 12, comma 2, e l'articolo 50-ter sulla Piattaforma Digitale Nazionale Dati (PDND) ne sono i fondamenti. Esempi concreti: il Comune accede ad ANPR per recuperare i dati anagrafici di un richiedente; l'INPS verifica la residenza tramite ANPR; l'Agenzia delle Entrate utilizza l'INI-PEC per le notifiche alle imprese. L'interoperabilità è governata dalle Linee guida AgID.

Posso usare il mio smartphone personale per lavoro nella PA?

Il comma 3-bis dell'articolo 12 abilita il BYOD (Bring Your Own Device) nella PA: l'amministrazione può favorire l'uso di dispositivi personali del dipendente o di dispositivi dell'ente personalizzabili, purché siano garantite le condizioni di sicurezza. In pratica serve una policy aziendale che definisca i requisiti minimi (PIN, cifratura, app di lavoro separate), il consenso del dipendente, le procedure in caso di perdita o sostituzione del dispositivo, le responsabilità in caso di data breach. Il coordinamento con il Regolamento UE 2016/679 è imprescindibile: dati personali trattati su dispositivo personale richiedono misure tecniche e organizzative adeguate. Senza una policy chiara, l'uso del proprio smartphone per lavoro è sconsigliato.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.