Il 4 giugno si è celebrata la giornata di lutto nazionale per le vittime del terremoto (anzi, dei terremoti) in Emilia-Romagna. È il momento del dolore (per chi ha perso i propri cari, la casa di una vita o il lavoro) e di pensare ad una ricostruzione sostenibile e veloce.

Ma – lo dico da “ex terremotato” – è anche il momento di riflettere, senza indulgenze, su quello che ha funzionato e di riflettere su cosa significa un terremoto nel 2012.
Nell’era della “società dell’informazione” e della “PA digitale”, oltre alla sicurezza dei fabbricati è opportuno preoccuparsi anche della normativa (e dell’organizzazione) in materia di sicurezza informatica, specialmente nel settore pubblico.

Gli addetti ai lavori sanno bene che la recente riforma del Codice dell’Amministrazione Digitale (D. Lgs. n. 235/2010) ha inserito nel testo del D. Lgs. n. 82/2005 una disposizione espressamente dedicata alla continuità operativa e al disaster recovery.

In base a quanto asserito dagli estensori della norma, queste disposizioni sono state pensate anche a seguito del sisma in Abruzzo del 2009.

Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante nel settore pubblico.

Le pubbliche amministrazioni nell’esercizio della propria attività istituzionale raccolgono, producono ed archiviano un’enorme quantità di dati e documenti che – in base alle norme vigenti – devono essere resi disponibili in modalità digitale. Questo significa che i dati dovranno essere formati, acquisiti e conservati nei sistemi informatici delle Amministrazioni titolari.

Si tratta di un vero e proprio patrimonio che deve essere tutelato per:

a) mantenere l’integrità, e quindi l’affidabilità, delle informazioni pubbliche;

b) prevenire e limitare i danni da intrusioni e accessi abusivi;

c) evitare possibilità di diffusioni non autorizzate di informazioni;

d) consentire un corretto funzionamento dell’apparato burocratico ed evitare interruzioni nell’erogazione dei servizi on line.

Per questo motivo, il legislatore ha reso obbligatoria la pianificazione in materia di continuità operativa e di disaster recovery.

Infatti, l’art. 50-bis CAD prevede che

In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

Il termine previsto per la predisposizione del primo piano era il 25 aprile 2012, ma la gran parte delle Amministrazioni non è stata in grado di rispettare questa scadenza (sullo stesso sito di DigitPA è stato reso noto che il primo studio di fattibilità è arrivato solo  nel mese di febraio 2012).

Sia chiaro: gli Enti più virtuosi e consapevoli si preoccupano da tempo del disaster recovery, ma la previsione di obblighi precisi previsti nel CAD aveva la finalità di consentire a tutti gli uffici di strutturarsi in modo da assicurare di minimizzare i rischi in caso di evento disastroso.

Purtroppo, molto spesso funzionari e dirigenti hanno commentato queste norme con frasi del tipo: “Lo faremo quando avremo tempo, ora abbiamo altre priorità”, “Tanto non sono previste conseguenze se non rispettiamo il termine”, oppure “non abbiamo soldi per fare queste cose”.

È il solito approccio vetero-burocratico che ha frenato l’attuazione delle leggi sulla digitalizzazione e dematerializzazione, l’approccio per cui la PA può decidere di ignorare quanto pubblicato dalla Gazzetta Ufficiale, decidendo tempi e modi di un’eventuale adempimento.

Si tratta di un atteggiamento miope, non solo dal punto di vista della collettività: è ormai chiaro che se un Ente perde i propri documenti perché non organizzato e preparato (dal punto di vista informatico, quanto fisico) ne risponde chi aveva l’obbligo giuridico di provvedere in tal senso. Ma l’irrogazione di sanzioni nei confronti dei soggetti inadempienti non diminuirà il disagio per le comunità (già colpite da un evento drammatico come un terremoto).

Ecco perché quanto accaduto in questi giorni deve indurci a riflettere sul fatto che organizzare la sicurezza dei dati e dei documenti delle PA e procedure di emergenza per l’erogazione dei servizi on line è ormai una priorità (al pari di verificare la solidità di edifici e strutture) che non può essere differita a “quando avremo tempo per pensarci”.

Il legislatore può concedere una proroga, il terremoto – purtroppo – no!


CONDIVIDI
Articolo precedenteAncora terremoto: epicentro a Ravenna. E le aziende chiamano gli operai al lavoro
Articolo successivoCedolare secca sugli affitti, la circolare dell’Agenzia delle Entrate
Ernesto Belisario
Si dice che “si è ciò che si fa” e allora, per presentarmi, scriverò quello che faccio e che mi piace fare. Sono avvocato (http://www.studiobelisario.it) e mi occupo prevalentemente di diritto amministrativo (appalti, edilizia, urbanistica, responsabilità erariale e pubblico impiego) e di diritto delle nuove tecnologie (e-government, privacy, commercio elettronico); infatti, grazie alla felice intuizione di un mio Maestro, più di quindici anni fa decisi di unire i miei due interessi (il diritto e l’informatica) per farne una professione. Le materie che pratico nell’attività forense, in cui mi sono specializzato con appositi percorsi di studio, sono le stesse che insegno presso l’Università degli Studi della Basilicata e in numerosi Master e corsi di formazione e specializzazione in giro per l’Italia. Immagino che, arrivato a questo punto, il lettore si aspetti qualcosa di extralavorativo, passioni, interessi ma – riservatezza a parte – le mie passioni coincidono con il mio lavoro: se non mi divertissi (trovo la pratica del diritto molto creativa), credo che sarebbe molto noioso. Per questo, oltre a tenere un blog (http://blog.ernestobelisario.eu), sono impegnato in alcune importanti esperienze associative: sono Presidente del Circolo dei Giuristi Telematici (http://www.giuristitelematici.it), Presidente dell’Associazione Italiana per l’Open Government (http://www.datagov.it) e Segretario Generale dell’Istituto per le Politiche dell’Innovazione (http://www.politicheinnovazione.eu). Ho una vera passione per la divulgazione, che mi ha portato - da sempre - a scrivere articoli e libri sulle tematiche che mi interessano e mi piace molto ricevere il feedback di chi mi legge; del resto come Voltaire, credo che i libri più utili siano quelli in cui “i lettori fanno essi stessi metà del lavoro: penetrano i pensieri che vengono presentati loro in germe, correggono ciò che appare loro difettoso, rafforzano con le proprie riflessioni ciò che appare loro debole”.