LO SCENARIO

Carta della cittadinanza digitale fra security e diritti, a che punto è la PA

Dall’alfabetizzazione informatica alla messa a disposizione di banda larga, ecco una mappa completa dei passaggi previsti dalla Carta. Il nodo Spid e il capitolo ancora aperto degli strumenti per la e-democracy

05 Nov 2019
Claudio Colacicco

Praticante Avvocato - Cybersecurity & IT


Carta della cittadinanza digitale: a due anni dal suo ultimo aggiornamento vediamo quali sono i punti “forti” del documento che stabilisce diritti e doveri digitali dei cittadini e indica i principi fondamentali che aiuteranno il processo di innovazione della PA.

Le basi normative della Carta

Il D.lgs. 13 dicembre 2017, n. 217, ha introdotto, all’interno del Capo I del CAD, dedicato ai Principi Generali, la c.d. Carta della Cittadinanza Digitale (Capo I, Sezione II, artt. 3-11), riconducendo al proprio interno i diritti che cittadini ed imprese vantano nei confronti della Pubblica amministrazione. Dunque, in aderenza a quanto richiesto dalla Legge di delega (art. 1, Legge 7 agosto 2015, n. 124), al fine di favorire lo sviluppo dell’e-Government, ad oggi cittadini ed imprese possono vantare ed esercitare veri e propri diritti di cittadinanza digitale, previsti all’interno del CAD. Obiettivo di quest’ultimo, infatti, non è solamente quello di recare una disciplina in supporto alla riorganizzazione tecnologica della PA, ma anche costruire un nuovo rapporto fra cittadini ed amministrazioni, incentrato sui nuovi diritti digitali. La modifica dell’art. 71 CAD, fra l’altro, introducendo lo strumento delle Linee Guida, risulta strumentale anche all’effettiva attuazione di tali diritti.

Il diritto all’uso di tecnologie

Il primo e più importante diritto previsto dalla Carta della Cittadinanza Digitale, è il diritto all’uso delle tecnologie (art. 3, CAD), fondamentale per lo sviluppo dell’e-Government. Più in particolare, tale diritto, esercitabile da chiunque, comporta la sottoposizione dei soggetti pubblici elencati all’art. 2, comma 2 del CAD, all’obbligo di predisporre tutti gli strumenti tecnici e professionali necessari a garantire e rendere effettivo l’utilizzo delle nuove tecnologie, anche ai fini dell’esercizio del diritto di accesso e della partecipazione al procedimento amministrativo.

È di facile constatazione il fatto che tale diritto possa essere effettivamente attuato solamente laddove le varie PA si dotino di strumenti e capacità tecnologiche adeguate ma anche, soprattutto, che rispettino standard di sicurezza. Se così non fosse, verrebbe meno la necessaria fiducia dei cittadini nei confronti delle amministrazioni e dei servizi di e-Government erogati dalle stesse. Non è un caso infatti che, fra i criteri che le PA devono utilizzare per compiere l’analisi comparativa delle soluzioni, prima dell’acquisto dei programmi informatici si preveda anche la valutazione delle garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa a tutela della privacy, e dei livelli di servizio, tenuto conto della tipologia di software acquisito.

Diritto a servizi online semplici e integrati

Strettamente collegato al diritto d’uso delle tecnologie e all’effettiva realizzazione dei programmi di e-Government, è il diritto a servizi online semplici ed integrati, di cui all’art. 7 CAD. Tale diritto, può essere esercitato da chiunque, tramite l’utilizzo degli strumenti telematici messi a disposizione dalle PA, ed il punto di accesso di cui all’art. 64 bis del CAD, anche attraverso dispositivi mobili.

In questo modo viene configurato un vero e proprio diritto soggettivo alla fruizione in forma digitale, ed in modo integrato, dei servizi forniti online dalla PA, a presidio del quale viene posto sia il diritto di rivolgersi al difensore civico digitale, sia di agire in giudizio tramite class action pubblica (art. 7, comma 4, CAD). Dunque, laddove le PA non siano in grado di garantire una corretta erogazione dei servizi online, potrebbero essere tenute a sostenere notevoli costi risarcitori.

I soggetti pubblici, di cui all’art. 2, comma 2 del CAD, sono a tal fine, tenuti a:

provvedere alla riorganizzazione ed all’aggiornamento dei servizi resi, tenendo conto delle esigenze degli utenti. Viene dunque presa in considerazione la c.d. customer satisfaction, un inedito per il diritto amministrativo, per la quale si prevede anche, al comma 3 dell’articolo in esame, che agli utenti deve essere consentito di rilasciare dei veri e propri feedback riguardanti il servizio reso. La riorganizzazione e l’aggiornamento, sono poi pratiche importanti anche al fine di prevenire eventuali incidenti di sicurezza informatica.

WHITEPAPER
Molto di più di una Tessera Sanitaria: scopri di più nel white paper!
PA
Sanità

– rendere disponibili online i propri servizi, nel rispetto delle disposizioni del Codice, ma anche, e soprattutto, delle Linee Guida di AgID adottate ai sensi dell’art. 71 CAD, e dunque, di conseguenza, anche degli standard di sicurezza in esse fissati. Peraltro, sempre in conformità alle Linee Guida, deve avvenire l’erogazione dei servizi tramite il punto di accesso di telematico attivato presso la Presidenza del Consiglio dei Ministri, ai sensi dell’art. 64-bis, comma 1 CAD.

Altro importante principio è quello stabilito all’art. 8 del CAD, il quale dispone che lo Stato e le PA promuovano iniziative volte all’alfabetizzazione informatica dei cittadini, con particolare riguardo ai minori ed alle categorie a rischio di esclusione, in modo da consentire una riduzione del digital divide. Tale ultima problematica tuttavia, può riguardare in primis anche il personale delle pubbliche amministrazioni, e dunque, il CAD, all’art. 13, detta una norma ad hoc per la formazione informatica dei dipendenti pubblici, laddove dispone che le PA attuino politiche di reclutamento del personale finalizzate alla conoscenza ed all’uso delle tecnologie dell’informazione e della comunicazione. Infatti, la causa che più frequentemente consente ad un attacco informatico di andare a segno, è costituita proprio dal fattore umano.

Dunque, tenendo in considerazione sia l’elevata età anagrafica media del personale delle PA, sia lo scarso livello di consapevolezza e conoscenza tecnica di sicurezza ICT di quest’ultimo, occorre prestare massima attenzione al problema dell’alfabetizzazione informatica e della formazione informatica dei dipendenti pubblici.

La sicurezza per il BYOD

Al riguardo, anche la disposizione di cui all’art. 12, comma 3-bis del CAD, introdotta dal D.lgs. 26 agosto 2016, n. 179, sembra tenere conto di tale considerazione. Non a caso infatti, prevedendo all’interno delle amministrazioni la possibilità di promuovere il c.d. Bring Your Own Device (BYOD), ossia la pratica di consentire ai dipendenti di lavorare utilizzando dispositivi elettronici mobili personali (sia al fine di ottimizzare la prestazione lavorativa, sia per ridurre i costi derivanti dall’acquisto e dalla manutenzione di tali apparecchiature), viene prescritto il rispetto di adeguate condizioni di sicurezza nell’utilizzo.

Infatti il BYOD, nel caso in cui siano sottovalutati aspetti anche elementari di cybersecurity, potrebbe comportare seri rischi per la sicurezza dei sistemi informativi della PA, soprattutto legati alla tutela della riservatezza dei dati e delle informazioni, tanto per le amministrazioni, quanto per lo stesso dipendente pubblico che utilizza i propri dispositivi.

Connettività alla rete in banda larga

L’art. 8-bis del CAD poi, introdotto dal D.lgs. 26 agosto 2016, e successivamente modificato dal D.lgs. 13 dicembre 2017, n. 217, contiene un’importante disposizione di carattere programmatico, volta a favorire l’attuazione dell’Agenda Digitale Europea. Il fine è infatti quello di promuovere la connettività alla rete Internet a beneficio degli utenti, negli uffici e nei luoghi pubblici (in particolare, nel contesto della scuola, della sanità e del turismo).

I soggetti chiamati a porre in essere iniziative in tal senso sono le pubbliche amministrazioni, i gestori di pubblici servizi e le società a controllo pubblico. Tali soggetti, dunque, dovranno mettere a disposizione (in modalità wi-fi), la porzione di banda non utilizzata dagli uffici pubblici, di modo da evitare costi aggiuntivi in capo alle amministrazioni. Nei limiti della banda disponibile poi, tali soggetti dovranno mettere a disposizione degli utenti la connettività a banda larga.

La precedente versione dell’articolo in esame, come introdotto dal D.lgs. 26 agosto 2016, n. 179, affinché tali iniziative si svolgessero in sicurezza, prevedeva che i vari soggetti pubblici coinvolti dovessero implementarle seguendo un sistema di autenticazione tramite SPID, carta d’identità elettronica o carta nazionale dei servizi, ovvero, in alternativa, nel rispetto degli standard di sicurezza determinati da AgID.

Al contrario, dopo la modifica operata dall’art. 11, comma 1, del D.lgs. 13 dicembre 2017, n. 217, non è più richiesto che l’accesso ad Internet avvenga attraverso un sistema di autenticazione (SPID, carta d’identità elettronica o carta nazionale dei servizi). Ad oggi dunque, la porzione di banda non utilizzata dagli uffici pubblici, deve essere messa a disposizione degli utenti, più in generale, nel rispetto degli standard di sicurezza fissati dall’AgiD, e non solo a quelli in possesso di specifiche tecnologie ivi indicate.

Cittadinanza digitale, la e-democracy

Infine, l’art. 9 CAD introduce un’altra disposizione di carattere programmatico, volta allo sviluppo degli strumenti di e-Democracy, disponendo che i vari soggetti pubblici tenuti all’applicazione del CAD, debbano favorire l’utilizzo delle tecnologie sia per promuovere la partecipazione al processo democratico e facilitare l’esercizio dei diritti politici e civili dei cittadini, sia per migliorare la qualità dei propri atti, anche attraverso consultazioni telematiche preventive.

Tuttavia l’utilizzo delle tecnologie viene considerato più come uno strumento idoneo a creare un collegamento fra rappresentanti e rappresentati, favorendone il confronto, lo scambio di idee e di contributi, piuttosto che come mezzo di realizzazione di forme di democrazia diretta.

Nonostante al momento la norma in esame risulti sostanzialmente inattuata, e nonostante tutti i vantaggi che una sua effettiva attuazione potrebbe comportare, tuttavia non possono non essere tenuti in considerazione, anche in questo ambito, i rischi connessi ad uno sviluppo non ben ponderato degli strumenti di e-Democracy, che riguardano tanto il concetto generale di democrazia e di sovranità, sul piano astratto, quanto, sul piano concreto, i possibili tentativi, da parte di altri Stati o gruppi di interesse, di influenzare elezioni, tramite attacchi informatici o fake news (basti pensare alla vicenda Russiagate), nonché le possibili ricadute ai danni della riservatezza dei cittadini, laddove questi ultimi fossero chiamati a rilasciare i propri dati all’interno di piattaforme online non sufficientemente sicure (al riguardo, si pensi ai vari provvedimenti adottati dall’Autorità Garante per la privacy in relazione alla sicurezza della Piattaforma Rousseau del Movimento 5 Stelle).

—-

Bibliografia

Atto del Governo: 452. (2017). Relazione Illustrativa allo schema di Decreto legislativo recante disposizioni integrative e correttive al Decreto legislativo 26 agosto 2016, n. 179, recante modifiche e integrazioni al codice dell’amministrazione digitale di cui al Decreto legislativo 7. Tratto da http://documenti.camera.it/apps/nuovosito/attigoverno/Schedalavori/getTesto.ashx?file=0452_F001.pdf&leg=XVII#pagemode=none

Boccia, C., Contessa, C., & De Giovanni, E. (2018). Codice dell’amministrazione digitale. Piacenza: La Tribuna.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

@RIPRODUZIONE RISERVATA

Articoli correlati