Polo delle notifiche: la lezione che la PA non ha voluto imparare (e con quali conseguenze) | Agenda Digitale

servizi pubblici digitali

Polo delle notifiche: la lezione che la PA non ha voluto imparare (e con quali conseguenze)

I servizi vengono usati se danno un valore agli utenti, se migliorano la vita dei cittadini, non se sono pensati solo per migliorare la vita delle amministrazioni che trattano i cittadini come sudditi da prendere all’amo

20 Lug 2021
Mara Mucci

già vicepresidente commissione di inchiesta sul digitale nella PA, docente di tecnologie per la progettazione di sistemi informatici, co-fondatrice di Copernicani

La storia insegna che non insegna. Si stanno riproducendo errori del passato, investendo 240 milioni di euro per portare avanti il Polo delle notifiche, un’iniziativa progettata dall’ex ministra Paola Pisano che però, man mano che il tempo passa, sta perdendo pezzi del disegno originale.

L’obiettivo della Pisano era quello di far sì che la notifica degli atti fosse semplice ed il cittadino sempre rintracciabile. Il problema è “il come” si vuole raggiungere questo obiettivo.

Regolamento eIDAS, obiettivi e stato della diffusione

Ma facciamo qualche passo a ritroso nel tempo.

L’errore del passato

Nel 2009 fu istituita la CEC-PAC (Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino), un servizio di comunicazione elettronica gratuito attraverso cui ogni cittadino poteva comunicare solo con gli uffici pubblici per inviare istanze/documentazione e ricevere documenti, informazioni e comunicazioni. Il servizio forniva tutte le garanzie delle caselle di posta elettronica certificata (Pec) ma poteva essere utilizzato solo per comunicare con le pubbliche amministrazioni.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Nel 2014, visto il mancato raggiungimento degli obiettivi, è stata decisa la dismissione della CEC-PAC: l’82% delle caselle CEC PAC create non risultava aver mai inviato messaggi e la ministra Madia ne dispose la cancellazione.

Oggi usiamo la Posta Elettronica Certificata (Pec), un sistema telematico di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio e di fornire ricevute opponibili ai terzi. Lo usiamo per comunicare con le P.A. ma non solo, + un mezzo di comunicazione anche tra professionisti, imprese e privati cittadini.

Nel pensare la CEC-PAC si fecero due errori.

Da una parte progettare un sistema che riguardasse solo una parte degli usi possibili (la comunicazione con la PA), rappresentando un sottoinsieme di una esigenza assai più ampia, che è quella di comunicare in modo certificato con qualunque soggetto. La Pec, che invece abbraccia tutte le possibili comunicazioni, è destinata a continuare: lo scorso anno sono stati inviati 2 miliardi e mezzo di messaggi Pec.

Inoltre il regolamento eIDAS ha previsto i servizi di recapito certificato qualificato in tutta europa e ad inizio 2021 sono state approvate le regole tecniche per l’interoperabilità a livello UE di questi servizi.

Dall’altra parte, pensare che il problema di comunicazione tra PA e cittadino si potesse risolvere imponendo l’uso di uno strumento calato dall’altro e percepito come una violazione della propria autonomia.

Il punto di vista del cittadino è chiaro: non ci si strappa i capelli per facilitare la vita a chi ci manda multe e cartelle esattoriali.

Il punto di vista della PA è altrettanto chiaro: l’esigenza di provvedere alla notifica degli atti nel modo più certo ed economico evitando scadenza dei termini e risparmiando le raccomandate.

Cosa prevedeva il progetto della ministra Pisano

Il progetto di iniziativa della ministra Pisano è stato approvato a luglio 2020, in piena pandemia, convertito in legge con la fiducia.

Cosa prevedeva il progetto originario?

Ecco la strategia:

  • Il cittadino Mario Rossi (non un professionista, che ha obblighi di legge per la sua professione) può chiedere di inserire la sua Pec in un indice nazionale delle Pec;
  • Se non lo fa, quando Mario Rossi manda una Pec ad una PA (poniamo a una scuola), questa comunica l’indirizzo Pec di Mario Rossi ad un Indice nazionale delle Pec;
  • Quando l’agenzia delle entrate deve mandare una cartella esattoriale a Mario Rossi, la invia ad un Polo delle notifiche che la mette in un archivio centralizzato, recupera la Pec di Rossi nell’indice nazionale delle Pec e gli manda la notifica via Pec;
  • E che fare se Mario Rossi non ha la Pec? Se Rossi ha l’App IO, anziché mandargli la Pec, il Polo delle notifiche gli manda una notifica sull’App;
  • Poi Rossi si collega all’archivio del Polo delle notifiche e si scarica la cartella esattoriale;
  • E se Rossi non ha l’App IO e nemmeno una Pec? A quel punto il Polo delle notifiche manda una raccomandata cartacea tradizionale a Mario Rossi.

Ecco fatto: il cittadino è stato rintracciato.

Tutto bellissimo, ma con diverse criticità.

Torneremo poi sul punto 1, perché c’è un episodio di cronaca recente relativo al DL semplificazioni.

I primi pezzi che si sfaldano

Il problema del punto 2) è evidente: l’harvesting degli indirizzi (raccolta di indirizzi) senza che il cittadino dia il consenso, per usarli per altri usi. C’è un’ovvia questione di privacy nel prendere dal cittadino un indirizzo usato per uno scopo e usarlo per enne altri soggetti, senza che il cittadino abbia dato il suo consenso. Ma anche, una persona può eleggere diversi domicili digitali indicando Pec diverse per diversi scopi, ad esempio l’avvocato per questioni giuridiche, il commercialista per questioni fiscali, l’architetto per questioni edilizie, eccetera.

Non a caso il progetto della Ministra Pisano ha perso il primo pezzo quando questa previsione è stata cancellata dalla legge, per ovvia insensatezza. Attualmente nell’indice può andarci l’indirizzo di Rossi se Rossi lo decide volontariamente oppure se presenta una istanza (in quel caso l’inserimento dell’indirizzo sarà solo relativo a quella istanza).

Non poteva essere diversamente, dato anche che la Pec non certifica l’identità del mittente, ma solo l’invio/ricezione. Ad esempio, io ho una Pec che uso anche per mandare “raccomandate elettroniche” per conto dei miei genitori: questo non autorizza lo stato a ritenere che possa mandare a me ogni cosa che riguarda i miei genitori, proveniente da qualunque amministrazione.

Nota bene che già oggi il cittadino Rossi può scrivere ad una PA o a un gestore di servizio pubblico ed eleggere proprio domicilio digitale la propria Pec, ricevendo risposte o, ad esempio – per i gestori di servizi pubblici – l’invio di bollette. Chi scrive lo fa normalmente.

Con la previsione 2) rimane così un indice centralizzato, ma solo per usi locali. Si noti che le pubbliche amministrazioni usano dei sistemi di protocollo digitali che registrano e gestiscono ogni comunicazione in ingresso/uscita, tra cui anche gli indirizzi Pec degli istanti. Per cui, invece di rispondere via Pec dal sistema di protocollo, adesso si dovrà aggiungere un intermediario in più, inviando la comunicazione al polo delle notifiche che le archivia e manda la Pec/notifica al posto dell’amministrazione.

Questo dà una bella botta anche al punto 3): le Pec utilizzabili dall’indice centrale sono solo quelle dei cittadini che vi si iscriveranno con lo specifico obiettivo di ricevere tutte le comunicazioni da qualunque amministrazione.

Già vediamo frotte di cittadini che correranno ad iscriversi ad un elenco (come faranno a sapere che esiste?) per fare il grande piacere di facilitare le amministrazioni ad inviare loro multe, cartelle esattoriali, eccetera.

Il nodo della privacy

Qualcuno può anche ritenere che la privacy sia una seccatura, che limita le cose fattibili e non lascia le mani libere a chi ha voglia di fare. Ma questo è il caso di ogni regolamentazione. Anche un piano regolatore non lascia le mani libere a chi ha voglia di costruire, la banca d’Italia non lascia le mani libere a chi ha voglia di gestire soldi di altri, l’AGCOM non lascia le mani libere agli operatori di telecomunicazioni, lo stesso vale per l’AGCM, la CONSOB, e via dicendo.

Il fatto è che il Garante della Privacy esiste, è inutile considerarlo un fastidio: applica un regolamento UE che può non piacere, ma esiste e non si può cambiare solo in Italia. E non è pensabile che “chiuda un occhio”. Se lo facesse aprirebbe il fianco a ricorsi di qualunque cittadino presso la Corte Europea di Giustizia, come ha fatto il giovane austriaco Maximilian Schrems, che ha portato alle sentenze citate con il suo cognome.

La previsione 4) ha subito una batosta l’anno scorso con l’App IO, e non solo per i certificati verdi del COVID, come ha spiegato Innocenzo Genna in un suo articolo sull’Huffington Post. Ricordiamo il fatto: il Garante a giugno 2020 ha detto alla società PagoPA che non poteva automaticamente arruolare gli utenti nel servizio di invio delle notifiche ma che questi devono fare opt-in, cioè scegliere se ricevere o meno notifiche: se Rossi ha installato l’App IO, non significa che abbia dato il consenso a ricevere comunicazioni dall’Agenzia delle entrate. PagoPA ha fatto spallucce ignorando per un anno le correzioni richieste dal Garante che a questo punto, un anno dopo, ha sospeso l’App. Dapprima il Ministero ha fatto un inusitato comunicato stampa smentendo il garante (a proposito di leale collaborazione tra amministrazioni, il Garante che ha dovuto difendersi pubblicando l’istruttoria tecnica che dimostrava la correttezza delle proprie affermazioni) salvo poi non fare ricorso e correre a implementare le indicazioni del Garante.

Quindi, non solo è prevedibile che non correranno a frotte i cittadini per iscriversi ad un indice che gli consente di ricevere ogni tipo di comunicazione negativa, ma è anche prevedibile che non saranno in molti a fare opt-in nell’App IO per ricevere notifiche dalle amministrazioni che possono inviargli richieste di pagamento o brutte notizie. Nessun tacchino corre entusiasta alla tavola del giorno del ringraziamento.

Se avessimo imparato dal passato, sapremmo che l’82% delle caselle CEC-PAC non è mai stata usata.

La creazione del più grande honey-pot ever

L’idea del punto 5) probabilmente è stata ispirata ad una sorta di WeTransfer: l’idea che tutte le amministrazioni debbano mandare qualunque atto che riguarda qualunque cittadino ad un polo delle notifiche, anziché inviarle direttamente al cittadino.

Abbiamo capito che a causa delle botte precedenti, le idee della creazione degli elenchi dei recapiti dei cittadini ed il loro uso per “rintracciarli” con qualunque comunicazione sono compromesse.

L’archivio centralizzato di tutte le comunicazioni invece resta.

Ma sono stati attentamente valutati i rischi connessi alla possibile violazione di questo archivio da parte di hacker, organizzazioni criminali, personale poco ligio, ecc.?

Senza pensare ad attacchi di malintenzionati, in un paese in cui le intercettazioni finiscono su tutti i siti, davvero pensiamo che una simile centralizzazione non sia foriera di sventure?

Stiamo creando il più grande honeypot mai realizzato, un sistema assai critico dal punto di vista della Cybersecurity.

La centralizzazione delle raccomandate

Così la scuola dell’esempio, invece di mandare direttamente la Pec o le raccomandate al Sig. Rossi, passerà attraverso questo nuovo intermediario: il Polo delle notifiche.

Alla fine, dato che i tacchini non vorranno farsi spennare e quindi il polo manderà sostanzialmente raccomandate cartacee (previsione 6), si può pensare che, in ragione degli elevatissimi volumi di un solo committente, almeno questo potrà essere messo a gara per spuntare i migliori prezzi nel mercato postale che, ricordo, è liberalizzato in Europa.

Ma nel progetto della Ministra Pisano, che è diventato legge nel 2020, il fornitore è indicato per legge, in violazione delle norme comunitarie. Un monopolio assegnato per legge che spinta competitiva può avere per proporre i migliori prezzi possibili?

È facilmente prevedibile che appena verrà inviata la prima raccomandata, qualche concorrente adirà all’Autorità della concorrenza per richiedere che l’appalto sia messo in gara.

L’indice nazionale delle Pec come i diamanti: gli emendamenti in votazione

Dulcis in fundo, torniamo all’indice delle Pec ed alla previsione 1) del progetto.

Mario Rossi si iscrive volontariamente all’indice nazionale delle Pec.

Chi si iscrive in questo indice è una manna dal cielo per il progetto, dato che sono le uniche persone cui effettivamente il Polo delle notifiche potrà ragionevolmente raggiungere con qualunque comunicazione.

Anche in ragione del regolamento della Privacy, possiamo immaginare che una persona che si iscriva volontariamente ad un indice, possa altrettanto facilmente modificare la sua iscrizione o cancellarla.

D’altro canto, il servizio Pec è erogato da molti fornitori in Italia. Se Mario Rossi decide di abbandonare la Pec di Aruba per passare alla Pec di Irideos, potrà aggiornare il proprio indirizzo nell’indice, giusto? Sbagliato. Nella legge Pisano questa possibilità non c’è: una iscrizione è per sempre.

Sono diversi gli emendamenti presentati al DL semplificazioni, in votazione da oggi alla Camera (prime firme Carabetta e Ceccanti) che prevedono che il cittadino, oltre a poter iscrivere la propria PEC all’indice nazionale possa modificarla o revocarla.

È chiaramente una previsione che auspichiamo. I risvolti, nel caso in cui il testo rimanesse come in origine, sarebbero a discapito del cittadino.

Immaginate questo caso d’uso: Laura Bianchi comunica all’indice quale proprio domicilio digitale la Pec del suo compagno Mario Rossi. Poi i due si separano e Mario Rossi continuerà a ricevere tutte le notifiche di Laura Bianchi (contenuti assai personali), che si intenderanno notificate senza che lei ne abbia la benché minima idea. O ancora: Paolo e Claudia Rossi, figli di Mario, che alla loro uscita di casa, per tutte le decadi a venire, dovranno rivolgersi al padre, finché in vita, per ottenere le notifiche che li riguardano. Sperando che i due non si trovino mai in una lite legale tra fratelli.

Su questi emendamenti, il governo ha dato – clamorosamente – un parere contrario. Vedremo come finirà nei prossimi giorni.

L’idea di fondo di tutta questa architettura, è che, una volta che Mario Rossi si è iscritto all’indice nazionale delle Pec, ovvero una volta che è stato catturato nel sistema, non possa sottrarvisi. Lui e tutti i suoi parenti.

Sì, avete capito bene, l’iscrizione all’indice nazionale delle Pec è come i diamanti: è per sempre.

In realtà l’effetto sarà controproducente: quando le persone realizzeranno questo fatto, quanti vorranno essere catturati nel sistema? Quanti tacchini correranno entusiasti al tavolo del giorno del ringraziamento?

La storia insegna che non insegna nulla

Questa vicenda è una dimostrazione della debolezza del Parlamento che in ampia misura ha smesso di essere la sede dell’iniziativa legislativa assumendo un ruolo notarile degli atti del governo. Con questa chiave di lettura si capisce perché siano spesso le burocrazie (ovvero dirigenti e funzionari nei ministeri), che trascendono i governi, ad imporre la loro linea, soprattutto quando i ministri non sono esperti del contesto e sono necessariamente impegnati in temi assai più rilevanti, non potendo quindi approfondire i dettagli. Dettagli dove spesso si annida il maligno, in questo caso la visione burocratica del cittadino subordinato all’amministrazione e non viceversa.

I progetti che nascono in questo modo, però, difficilmente raggiungono gli obiettivi. Non ci sono scorciatoie: se si vuole dotare di un domicilio digitale gli italiani – che sono tra i cittadini meno digitali di Europa – bisogna farlo seriamente. Avere un piano per superare il digital divide culturale ed investirci.

I servizi vengono usati se danno un valore agli utenti, se migliorano la vita dei cittadini, non se sono pensati solo per migliorare la vita delle amministrazioni che trattano i cittadini come sudditi da prendere all’amo.

In questo caso specifico, inoltre, avendo trascurato i vincoli posti da quelle “fastidiose” leggi sulla privacy, non si migliorerà nemmeno la vita delle amministrazioni ma si creerà un punto critico dal punto di vista della cybersecurity.

È fin troppo prevedibile, per quanto ho scritto, che tra alcuni anni, come già avvenuto per la CEC-PAC, ne constateremo il fallimento e ci chiederemo se ne sia valsa la pena. Oppure forse non ce lo chiederemo e terremo in vita un sistema di dubbia utilità, come ce ne sono tanti altri in aziende statali tecnologiche che sono nate con le migliori intenzioni negli ultimi 30 anni.

WHITEPAPER
Come si paga con PagoPA e cosa è possibile pagare? Scopri di più
PA
Pagamenti Digitali
@RIPRODUZIONE RISERVATA

Articolo 1 di 3