|
La rivoluzione informatica va avanti, l'Italia è
pronta?
di Manlio Cammarata - 09.12.99
"Gli atti amministrativi adottati da tutte
le pubbliche amministrazioni sono di norma predisposti tramite i sistemi
informativi automatizzati". Così recita il primo comma dell'articolo 3 del
decreto
legislativo 39/93, diciotto parole per
iniziare la rivoluzione informatica della pubblica amministrazione, cioè del
sistema nervoso del Paese.
Altre norme si sono poi aggiunte al disegno iniziale, le più importanti delle
quali sono senza dubbio quelle sulla rete unitaria (RUPA) e sul documento
informatico.
Ora un nuovo provvedimento completa il grande
progetto: la Gazzetta ufficiale ha pubblicato il 25 novembre scorso il
regolamento sulla carta d'identità elettronica (Decreto
del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437).
Ho scritto "progetto", perché di questo si tratta, dal momento che la
sua realizzazione non può avvenire in tempi brevi, anche se i primi risultati
sono a portata di mano. La ormai avviata semplificazione amministrativa, con la
scomparsa quasi totale dei "certificati", è il segno che le procedure
informatizzate sono efficaci per migliorare il rapporto tra le pubbliche
amministrazioni e i cittadini.
Certo, mancano ancora molti tasselli per completare il progetto. Si tratta in
parte di disposizioni di natura legislativa, in parte di regole tecniche, ma la
strada è segnata e dovrà essere percorsa fino in fondo, nonostante le
difficoltà e le resistenze che ostacoleranno il cammino.
Il regolamento sulla carta d'identità
elettronica costituisce un nodo cruciale dell'evoluzione, perché costituisce lo
strumento che collega il cittadino ai sistemi informativi della pubblica
amministrazione. In attesa di analizzare il provvedimento nei dettagli, vediamo
gli aspetti più significativi.
La carta d'identità elettronica (e il documento
di identità elettronico, che sono praticamente la stessa cosa, ma il secondo è
rilasciato a chi non ha ancora compiuto quindici anni) devono contenere una
serie di dati, elencati dall'articolo
3, comma 1
a) dati identificativi della persona;
b) codice fiscale;
c) dati di residenza;
d) cittadinanza;
e) fotografia;
f) eventuale indicazione di non validità ai fini dell'espatrio;
g) codice numerico identificativo del documento, codice del comune di rilascio,
data del rilascio e data
di scadenza;
h) sottoscrizione del titolare o di uno degli esercenti la potestà genitoriale
o la tutela.
Questi dati devono essere sia "di immediata
visibilità", cioè scritti sul tesserino, sia "memorizzati con
modalità informatiche di sicurezza", quindi nella RAM interna o forse su
una banda ottica. Il dubbio sarà sciolto dalle immancabili "regole
tecniche", che dovranno essere emanate formalmente dal Ministero
dell'interno, ma che sono da tempo allo studio da parte di una commissione
dell'Autorità per l'informatica nella pubblica amministrazione. La presenza di
una banda ottica sulla carta d'identità (una specie di CD-ROM
"lineare") può servire per aumentare la capacità di memoria e
addirittura di aggiungere un'immagine olografica del titolare, ma richiederebbe
l'inserimento dell'apposito lettore su un numero enorme di sistemi informatici
della PA, con i relativi problemi di costo e di manutenzione. Il lettore ottico
dovrebbe aggiungersi a quello del microprocessore dei dispositivi di firma, con
il conseguente aumento della complessità del sistema.
A proposito dell'AIPA, c'è da rilevare una
strana dimenticanza del testo: nell'epigrafe manca la consueta formula,
"sentita l'Autorità per l'informatica nella pubblica
amministrazione", quando è noto che il testo originario del decreto - poi
emendato in sede parlamentare - è stato messo a punto proprio da questo
organismo.
Torniamo all'articolo 3. Il terzo comma aggiunge
che la carta d'identità e il documento d'identità "possono contenere i
dati desunti dalle liste elettorali e comunque tutti quelli necessari per la
certificazione elettorale e altri dati al fine di razionalizzare e semplificare
l'azione amministrativa. Fra questi ultimi possono essere ricompresi anche dati
amministrativi del Servizio sanitario nazionale nei limiti previsti da apposite
linee guida emanate dal Ministero della sanità di concerto con le altre
amministrazioni interessate".
Questa è la novità più importante. La carta elettronica non è solo un
documento di identità, ma anche (e finalmente!) la realizzazione di quella
"carta del cittadino" della quale si discute da quasi dieci anni, ma
che non è mai andata al di là di qualche esperimento locale. E' un'innovazione
di grande portata, perché configura una sorta di "certificato
globale" con il quale il cittadino potrà ottenere, senza ulteriori
passaggi, tutti i servizi erogati dagli uffici pubblici, in particolare quelli
del servizio sanitario.
Si deve fare attenzione a un particolare: la
norma parla di "dati amministrativi del Servizio sanitario nazionale",
non di "dati sanitari". Dunque la carta d'identità non sostituirà la
già prevista tessera sanitaria, con le informazioni specifiche sulla salute del
cittadino, ma sarà semplicemente lo strumento per accedere ai servizi. La
scelta di limitare ai dati amministrativi le informazioni contenute nella carta
sembra opportuna, per i motivi che vedremo tra poco.
Desta invece qualche perplessità il successivo articolo
4, che recita:
"1. La carta di identità elettronica può contenere le informazioni e le
applicazioni occorrenti per la firma digitale secondo quanto stabilito dalle
regole tecniche di cui al decreto del Presidente della Repubblica 10 novembre
1997, n. 513, nonché gli elementi necessari per generare la chiave
biometrica".
Dunque, stando alla lettera della norma, la carta d'identità elettronica
potrebbe costituire anche il "dispositivo di firma" necessario per la
sottoscrizione di documenti informatici "validi e rilevanti a tutti gli
effetti di legge". Dal punto di vista tecnico la cosa appare problematica,
perché per la realizzazione di un dispositivo di firma è necessario un
apposito "chip crittografico", che non è adatto alla gestione dei
processi tipici della carta d'identità. Fino a questo momento non è nota
l'esistenza di carte "multiprocessore" che possano svolgere le due
funzioni, ma siamo ormai abituati alle sorprese della tecnologia e quindi nulla
si può escludere per il futuro.
Non basta. L'assenza del chip crittografico
esclude anche la possibilità di custodire nella carta una chiave di
riconoscimento biometrico. La norma è oscura, forse tecnicamente errata: che
significa "gli elementi necessari per generare la chiave biometrica"?
Dal punto di vista tecnico essi sono l'hardware per la rilevazione, il software
per la gestione del processo e... un pezzo del cittadino, cioè un dito, o un
occhio, o il suo apparato vocale. Nei sistemi più sofisticati serve addirittura
l'intera faccia, in originale. Appare un po' laboriosa, oltre che devastante per
l'integrità fisica dell'interessato, l'incorporazione di questi elementi nel
tesserino di plastica.
Ed eccoci all'ultimo punto importante, contenuto
nell'articolo
7:
"1. La carta d'identità elettronica può
essere utilizzata anche per il trasferimento elettronico dei pagamenti tra
soggetti privati e pubbliche amministrazioni, previa definizione, d'intesa tra
il comune interessato e l'intermediario incaricato di effettuare il pagamento,
delle modalità di inserimento e validazione dei dati necessari".
Il comune è coinvolto nel processo anche quando le transazioni non lo
riguardano direttamente, perché è l'ente incaricato di rilasciare la carta, ma
il nodo essenziale è nella presenza obbligatoria di un
"intermediario" del pagamento. Il problema è semplice: o il documento
funziona anche come un Bancomat o una carta di credito, o la pubblica
amministrazione si attrezza per dialogare con le banche. Se l'intermediario è
un concessionario della riscossione delle imposte, il problema si risolve,
perché i concessionari fanno parte del circuito bancario.
Non resta che chiedersi quando la nuova carta
d'identità sarà nelle nostre tasche. L'articolo
11 attribuisce al Ministero dell'interno
l'incarico di stabilire per decreto la data di inizio della sostituzione del
documento cartaceo con la tessera a microprocessore. Dopo cinque anni da quella
data, le carte di identità potranno essere solo elettroniche.
Fin qui gli elementi più rilevanti, che
consentono di annoverare il DPCM 437/99 tra le tappe fondamentali del
rinnovamento della pubblica amministrazione e quindi del sistema-Paese. Tuttavia
non si possono trascurare alcuni aspetti problematici.
Il primo e più evidente riguarda la sicurezza delle informazioni contenute
nella carta e il loro uso. Non c'è dubbio che l'AIPA detterà regole tecniche
efficaci per evitare sostituzioni di persona, alterazioni dei contenuti e usi
impropri, e che il Garante dei dati personali vigilerà sulla compatibilità dei
trattamenti, per quanto possibile (vedi Tessera
elettorale e diritti dei cittadini).
"Per quanto possibile"... Qui è il nodo centrale di tutti i
trattamenti di dati personali che avvengono con tecnologie sofisticate. I
tecnici sanno come sia possibile, anche se spesso difficile, inserire nei
programmi "porte di servizio" che consentono accessi abusivi alle
informazioni e non sono facilmente identificabili, o come le informazioni stesse
possano essere copiate su memorie nascoste, all'insaputa dei responsabili dei
sistemi e dei controllori. La carta d'identità elettronica, con le sue funzioni
aggiuntive, consente di "tracciare" l'attività di un cittadino ben
oltre quanto si possa fare con i sistemi tradizionali, con tutti i rischi che
questo tracciamento comporta.
E' un aspetto negativo che dobbiamo accettare,
perché le tecnologie dell'informazione sono indispensabili per assicurare il
progresso sociale ed economico, ma lo dobbiamo accettare con la consapevolezza,
la prudenza e la vigilanza imposte dal livello del rischio.
Un altro dubbio, più terra-terra, riguarda la
capacità del sistema di accogliere le innovazioni, di sfruttare gli effetti
positivi della rivoluzione, di abbandonare la vecchia mentalità della prassi,
del modulo e del timbro sul "pezzo di carta". Cinque anni basteranno
per raggiungere questo risultato?
Potremmo saperlo se avessimo qualche dato sul rispetto di altre importanti norme
su questa materia, quelle contenute nel DPR
513/97, articolo 20 e seguenti:
"Entro il 31 marzo 1998 le pubbliche amministrazioni adottano un piano di
sviluppo dei sistemi informativi automatizzati in attuazione delle disposizioni
del presente regolamento...";
"Entro il 31 dicembre 1998, le pubbliche amministrazioni valutano in
termini di rapporto tra costi e benefici il recupero su supporto informatico dei
documenti e degli atti cartacei dei quali sia opportuna od obbligatoria la
conservazione e provvedono alla predisposizione dei conseguenti piani di
sostituzione degli archivi cartacei con archivi informatici";
"Entro il 31 dicembre 1998 le pubbliche amministrazioni provvedono a
definire e a rendere disponibili per via telematica moduli e formulari
elettronici validi ad ogni effetto di legge per l'interscambio dei dati
nell'ambito della rete unitaria e con i soggetti privati".
Quante amministrazioni hanno rispettato queste
date e attuato le disposizioni? O c'è stata qualche proroga?
|
Pagina stampabile
