La sentenza del Consiglio di Stato, che ritiene irragionevole il limite di 5 milioni di euro per fornire Spid, evidenzia la necessità di una riflessione preventiva nella progettazione dei sistemi destinati all’interazione fra amministrazione e cittadini. Un tema presente da decenni, ma sistematicamente trascurato
di Andrea Monti – Agenda Digitale del 25 marzo 2016
Il Consiglio di Stato ha bocciato qualche giorno fa SPID (nome che, curiosamente, si pronuncia come quello di uno stupefacente all’anfetamina) sul presupposto che – trattandosi essenzialmente di una coppia username-password – non può avere la stessa capacità identificativa di altri strumenti.
Questa sentenza – i cui argomenti sono simili a quelli che ho usato in un recente articolo per Agenda Digitale e in tempi non sospetti – mi fornisce l’occasione per ritornare sul tema dell’importanza di avere idee chiare quando si progettano sistemi (non solo) dedicati all’interazione fra pubblica amministrazione e cittadini.
La storia tecnopolitica dell’Italia è caratterizzata, sistematicamente, da miopia, ignoranza e subordinazione alle logiche dei grandi produttori di hardware e software come dimostrano alcuni momenti chiavi dell’evoluzione del rapporto fra informatica e pubblica amministrazione.
Nel 1996 venne emanata la famigerata legge 675 (antesignana del Codice in materia di dati personali). Venne presentata come il recepimento della direttiva comunitaria in materia di protezione dei dati personali, ma non era vera. Ne riproduceva i contenuti ma non la recepiva formalmente, cosa che accade solo nel 2003 con il decreto legislativo 196. La legge 675 era scritta male e fu interpretata peggio. Dal punto di vista giuridico fu automaticamente equiparata al concetto di privacy. Era (ed è) un errore marchiano che ha provocato burocrazia e costi inutili a fronte di nessuna reale protezione per la sfera personale dei cittadini. Inoltre, conteneva prescrizioni tecniche palesemente ridicole quanto inefficaci (ricordate l’obbligo di aggiornamento annuale dell’antivirus)? I suoi numoersi buchi vennero tamponati più volte, ma senza reale successo. La storia si è ripetuta con il decreto legislativo 196/03 che oltre al peccato originale della legge 675/96 è stato reso ancora più confuso e complicato da rispettare con le modifiche in materia di data-retention (conservazione dei dati di traffico telefonico e telematico a fini di giustizia).
Nel 1997 venne emanato il decreto del Presidente della Repubblica n. 513/97 che istituiva il valore legale della firma digitale. Altra corsa dell’asino perché l’emanazione della direttiva comunitaria in materia ha costretto l’Italia a una revisione dell’apparato normativo che si tradusse in una confusione bestiale (firma elettronica, qualificata, forte, debole ecc. ecc.) trasfusa nel decreto del Presidente della Repubblica n. 445/2000 (Codice dell’amministrazione digitale).
Anche in questo caso, la voglia di apparire “tecno-cool” spinse legislatori e governo a impantanarsi nel dettagliare questioni tecniche, con il risultato di creare sistemi inefficienti (l’uso della smart-card per la firma digitale è uno dei fattori di maggiore scomodità) e problemi operativi rilevanti (come ben sa chi si è dovuto confrontare con il tema dell’apposizione massiva di firme digitali).
Anche in materia di archiviazione sostitutiva le cose non sono andate diversamente, con il problema irrisolto (in termini puramente giuridici) del ruolo e della funzione del “pubblico ufficiale” come garante dell’effettiva conformità della riproduzione digitalizzata rispetto all’originale e abolendo, di fatto, il reato di falso materiale.
Nel 1999 presso l’Aula Convegni del Consiglio Nazionale delle Ricerche (CNR) si svolse un convegno dal titolo Freeware e altre iniziative per il rilancio della tecnologia e dell’industria italiana dell’informazione promosso dalla Presidenza del Consiglio nazionale delle ricerche. Si parlò – anche criticamente – di free software e pubblica amministrazione, ma ci sono voluti anni – e milioni di Euro buttati – prima che si arrivasse timidamente a parlare di riuso del software nella pubblica amministrazione e di open data.
Il processo telematico, nel quale erano riversate le speranze di efficienza di cittadini, imprese e operatori giudiziari, funzionicchia e mostra chiaramente l’assenza di “pensiero” in chi lo ha concepito. Da un punto di vista tecnologico, che senso ha, quando una cancelleria comunica all’avvocato tramite PEC una sentenza firmata digitalmente dal giudice, richiedere una “copia autentica”? E, dal punto di vista giuridico, veramente non si potevano evitare tutti quegli errori di impostazione che, poi, la giurisprudenza ha dovuto correggere sul campo, non sempre in modo coerente (arrivando, di recente, a sostenere che siccome l’uso della firma digitale non è obbligatorio, una notifica via PEC di un atto firmato deve essere rinnovata se non c’è la prova che il destinatario potesse aprire il file)?
Si parla di sicurezza informatica con luoghi comuni che erano vecchi trent’anni fa e si sono moltiplicati comitati, nuclei, dipartimenti, centri, gruppi di lavoro, tavoli interministeriali, agenzie che producono piani per la sicurezza con orizzonti temporali del tutto incompatibili con l’attualità delle minacce.
L’elenco potrebbe continuare, ma credo sia sufficiente a sostenere il ragionamento secondo il quale non è accettabile la logica del “meglio di niente” perché, in realtà, comportarsi come hanno fatto e fanno legislatori e governo significa “peggio di niente”. Investire in progetti mal concepiti significa non solo sprecare soldi pubblici, ma anche radicare l’inefficienze rendendo impossibile miglioramenti ed evoluzioni. Quante volte, dopo che qualcuno ha dimostrato che il re è nudo, la risposta del potere è stata: “costerebbe troppo smantellare e ricostruire, quindi tenetevi quello che c’è?”
Il tema della consapevolezza dell’impatto di un progetto di ammodernamento tecnologico dell’interazione fra Stato e cittadini, dunque, non è una questione filosofica da dibattere in convegni e aule universitarie e non può nemmeno rimanere appannaggio di qualche tecnico dalla prospettiva culturalmente limitata. Dobbiamo capire, invece, che questa consapevolezza è un elemento strutturale di qualsiasi intrapresa, pubblica o privata, che voglia effettivamente migliorare la qualità della vita del nostro Paese.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte