LA DEMATERIALIZZAZIONE DEI DOCUMENTI E DELLE INFORMAZIONI SENSIBILI: UN BILANCIO DELLA SITUAZIONE

di Serena Lisi

 

La dicitura “dematerializzazione” delle cartelle personali è oggetto di discussioni da diversi anni e sta a indicare quel processo (o quella serie di processi) per il trattamento, la conservazione, archiviazione, autenticazione e verifica di dati personali relativi ai comparti anagrafico, economico-tributario, sanitario e giudiziario della vita quotidiana dei cittadini. La gestione di suddetti dati richiede la creazione di vere e proprie cartelle elettroniche, come ad esempio la CCE (Cartella Clinica Elettronica) o la cartella fiscale, ossia di database individuali, per persone fisiche e giuridiche, che conservino informazioni e documentazione a proposito di ciascun soggetto censito. Spesso, però, né gli stakeholder dei progetti di trattamento dei dati né i titolari degli stessi  comprendono la sostanziale differenza fra i termini “informatizzazione” e “digitalizzazione” e così la vera e propria dematerializzazione di documentazione e procedure diventa lunga e farraginosa.

 

L’informatizzazione, anche quella cosiddetta sicura, è la procedura grazie alla quale i dati vengono organizzati e riprodotti in copie “per lo più elettroniche“ attraverso una procedura informatica, ma sono comunque autenticati o resi ufficiali per mezzo di firme autografe, come nel caso dei contratti di utenze del settore energetico (luce, acqua, gas, ecc.), oppure sono raccolti in archivi cartacei che vengono semplicemente classificati per mezzo di una procedura elettronica, come ad esempio l’elenco dei volumi raccolti in una biblioteca. La dematerializzazione dei dati, invece, consiste nella raccolta, classificazione, gestione e autenticazione delle informazioni con una serie di processi elettronici che si avvalgono di sistemi di cifratura per la protezione degli archivi e del flusso informativo e, in aggiunta, di firme digitali forti o grafometriche per l’autenticazione dei dati stessi.

 

Con firma digitale forte si intende quel tipo di firma fatta per mezzo di una smart card, possibilmente a chip e non a banda magnetica, associata all’inserimento di un codice one time, ossia  irripetibile e generato da appositi dispositivi, come ad esempio i token utilizzati per accedere alle aree riservate dei siti bancari (gestione di conti correnti e titoli); la firma grafometrica, invece, è una firma autografa realizzata non più sulla carta, ma grazie a tavolette dotate di penne elettroniche e rilevamento di pressione e direzionamento del tratto dello scrivente, come ad esempio i tablet utilizzati, anche in questo caso, da alcuni istituti bancari.

 

In Italia molti enti della pubblica amministrazione e grandi imprese del settore privato dichiarano di aver avviato o concluso progetti di digitalizzazione di dati e archivi, con iniziative quali la conversione delle cartelle cliniche e fiscali in cartelle elettroniche, oppure l’adozione di sistemi per la gestione informatica delle presenze. Ma spesso il raggiungimento dei risultati desiderati non è pieno né definitivo. Su CSA Magazine è stato già trattato il tema di una recente truffa a danno di utenti di servizi energetici, ai quali sono state attribuite false stipule di contratto perchè il sistema di archiviazione e gestione dei contratti delle compagnie fornitrici era solo in parte dematerializzato e non disponeva né di un sistema di firme digitali forti o grafometriche né di un dispositivo di controllo e raffronto degli specimen di firme autografe.

 

Tale esempio è solo il primo dei tanti che potrebbero essere fatti e che aprono una lunga discussione il cui significato intrinseco verrà di seguito riassunto. La situazione italiana, anche in materia di digitalizzazione dei processi informativi e amministrativi, appare ben illustrata da una strofa del nostro inno nazionale: “perché non siam uno, perché siam divisi”. Infatti, in ognuno dei settori già citati, la trasformazione non sta avvenendo in maniera omogenea, poiché si realizza con modalità, velocità e impatto sulla popolazione di riferimento molto differenti a seconda dei soggetti coinvolti. Enti pubblici civili e militari, grandi aziende e altri enti privati non hanno ancora trovato uno standard comune ed ognuno di essi utilizza una propria procedura (con relativo applicativo o software) per la digitalizzazione di dati. Un esempio evidente di quanto illustrato sopra viene dal settore sanitario: ogni regione ha la propria normativa (pur seguendo linee guida nazionali ed europee) e si avvale di specifici iter per implementare i progetti di digitalizzazione della cartella clinica e, a sua volta, ogni azienda sanitaria locale recepisce a modo proprio le linee guida regionali, cosicché¨ ogni azienda ospedaliera (o gruppo o team di ricerca) avrà  il proprio protocollo interno, creando cosi uno scenario variegato ed ancora disomogeneo.

 

Un ulteriore esempio di suddetta disomogeneità è fornito dal sistema di gestione, autenticazione, verifica e remunerazione delle presenze del personale delle pubbliche amministrazioni (sia in ambito civile che militare) a fini stipendiali, pensionistici e, eventualmente, anche disciplinari: ogni ministero emana le proprie linee-guida ed ogni ente si dota del proprio sistema e lo implementa in più fasi, che spesso prevedono periodi di “gestione mista”, cartacea e digitale a firma debole (quindi non bastante per la fase di autenticazione degli atti), prima dell’effettivo passaggio alla vera e propria digitalizzazione.

 

In moltissimi casi, la transizione si rivela ancor più difficile del previsto per il cosiddetto digital divide, ossia per le differenze di equipaggiamento, infrastrutture e know-how presenti nei singoli presidi, uffici o distaccamenti di un determinato ente pubblico. A titolo illustrativo, si cita il discusso caso del SIGESi, il sitema Informativo Gestionale dell’Esercito Italiano. Il sistema, sperimentato per la prima volta nel 2004 ma operativo su larga scala solo dal biennio 2012-14, ha la possibilità  di raccogliere nel proprio database un’ampia gamma di informazioni (logistica, informazioni sul personale e altro), ma è principalmente usato per la gestione di presenze e stipendi dei dipendenti dello Stato Maggiore Esercito. Il SIGE ha funzionato per anni con una smart card a firma debole e solo di recente è stata avviata la transizione ad un meccanismo effettivamente funzionante per mezzo di un sistema a firma forte. Tutte le fasi di un cosi importante cambiamento sono state complesse e non esenti da discussioni (https://www.grnet.it/difesa/esercito/14-esercito-stipendi-del-personale-nel-caos-per-un-software-di-leonardo-e-vitrociset/), le più accese delle quali riguardavano due principali argomenti: la presenza di un accentuato digital divide tra le varie sedi centrali e periferiche di utenza del SIGE, spesso dovuto a differenze nelle condizioni, dotazioni e connettività  di ciascuna sede, che si è cercato di sanare nel 2014 con l’intervento del public connector Sentinet3; l’effettiva sicurezza, inviolabilità  e affidabilità  del sistema stesso.

 

In questo caso, dunque, la complessità  dell’apparato gestionale ha creato uno scenario a macchia di leopardo. Analoga situazione, seppur nata da ragioni diverse, può essere descritta per la gestione e verifica degli specimen di firma presso istituti finanziari e bancari: trattandosi di enti privati, ancor più che nel pubblico, ogni azienda sarà  incentivata ad emanare un proprio specifico regolamento e troveremo istituti in cui la firma è già  stata effettivamente dematerializzata, mentre altri in cui, pur con una riduzione dei fogli stampati, la distinta e, più in generale, i documenti cartacei rappresentano ancora è la norma; ad oggi, inoltre, la procedura CAI (Centrale Allarmi Interbancari) segnala soltanto i cosiddetti “difetti di provvista” e non altre problematiche. L’Italia digitale, dunque, è ancor più disunita dell’Italia politica e la semplificazione burocratica di cui tanto si parla presso pubbliche amministrazioni nazionali, enti privati ed Unione Europea non è cosi vicina come sembra.

Leave a Reply