Secondo quanto stabilito dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri che trovava attuazione nella circolare del 18 aprile 2017, n. 2/2017, le Pubbliche Amministrazioni avrebbero dovuto adeguarsi alle misure minime per la sicurezza ICT, oggetto dei provvedimenti di cui sopra, entro il 31 dicembre 2017.

Molto può dirsi dell’anno che sta per salutarci, ma di un obiettivo certo non porteremo il ricordo allo scoccare del 2018: quello dell’avvenuto rispetto di tale termine che -seppure nel silenzio generale- è oramai alle porte. La ratio delle disposizioni di cui sopra è rintracciabile nella necessità di consolidare e rendere operanti delle misure di sicurezza atte alla tutela del sistema informatico del Paese, esigenza oramai assolutamente non prorogabile. Obiettivo senza dubbio estremamente lusinghiero, tanto da renderlo, nei fatti irrealizzato.

Si potrebbe quindi parlare, anche in questo caso, della classica norma divenuta lettera morta, con buona pace delle aspettative e dei progetti di cui si faceva promotrice.

Situazione sicuramente demotivante, data la bontà delle disposizioni: la circolare infatti proponeva un adeguamento graduale delle misure di sicurezza inerenti alle PP.AA, prevedendo delle misure di controllo di tipo organizzativo, tecnologico e procedurale.

La disposizione individua in particolare 3 livelli di attuazione dove, il primo corrisponde allo standard minimo richiesto per qualsiasi PA, a prescindere da dimensioni, competenze o fattori organizzativi. I successivi due step, invece, risultavano ideati per garantire standard di protezione più permeanti, tali da assicurare maggiore sicurezza relativamente sia al tipo di dato trattato, sia con riferimento ai servizi erogati dalla PA di riferimento. La prospettiva più lusinghiera, tuttavia auspicava un adeguamento al livello massimo degli standard per tutte le pubbliche amministrazioni, seppur con tempistiche differenti e individuava come suo attuatore il responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie ex art. 17 del C.A.D. ovvero, in sua assenza il dirigente nominato a tale finalità.

Pare evidente, quindi, che il primo passaggio utile all’allineamento degli enti destinatari sarebbe dovuto essere proprio la nomina di un responsabile (ex art. 17 C.A.D.), tuttavia moltissime amministrazioni risultano deficitarie già in questo primo requisito prodromico a tutto l’iter seguente. Una grossa delusione quindi per tutti i fautori della digitalizzazione e della sicurezza del dato e questo, purtroppo, è un fatto oggettivo, le risultanze della Commissione sullo stato della digitalizzazione lo dimostrano.

Questa è l’ennesima prova della situazione di stasi del processo evolutivo di dematerializzazione a cui, lo si voglia ammettere o no, la pubblica amministrazione appare fortemente impreparata, priva di competenze tecniche adeguate a finalizzare l’ormai pressante esigenza di digitalizzazione. Alla componente di ostracismo e diffidenza, aleggiante nelle stanze di troppe PA, ancora oggi arredate da pile impolverate di fascicoli cartacei e dalle reminiscenze quasi kafkiane, dobbiamo sicuramente riconoscere una scarsezza sostanziale di fondi e di mezzi atti a svecchiare le procedure, (da additare all’onnipresente clausola di invarianza finanziaria) di tecnici formati e preparati ad hoc sull’argomento, questo comporta una difficoltà attuativa dovuta alla mancanza di un indirizzo preciso, di guide certe e consapevoli dell’evoluzione in atto.

Consci della situazione, sarebbe stato probabilmente più opportuno preferire un allineamento dei termini di attuazione della circolare con quelli previsti riguardo il GDPR (General Data Protection Regulation) la cui esecutività è prevista a partire dal 25 maggio 2018. Oltretutto quest’ultimo avvalora l’adozione di politiche di sicurezza informatica collocandole quale risultato di un percorso di verifica ed approfondita mappatura del contesto organizzativo, estesa a strumenti, persone, sistemi, banche dati, applicativi e procedure che servono alla PA per sviluppare e gestire adeguatamente trattamenti di dati.

Un fattore decisivo sul ritardo è probabilmente rintracciabile nella mancanza di componente cogente nel termine previsto, il cui mancato rispetto, anche questa volta pare non comporti nessun tipo di sanzione, al contrario invece di quanto più volte ribadito per il citato GDPR, la cui piena esecutività si realizzerà a breve, a partire dal 25 maggio 2018.

Sforzandoci di osservare la situazione con un occhio esterno, pare quasi di vedere concretizzarsi uno scenario di diffidenza verso il digitale, frutto di una concezione che viene ben rappresentata da una citazione anonima dove il pc veniva definito, con sfumature di terrore atavico, “una macchina progettata per velocizzare e automatizzare gli errori”, siamo ben lontani da quel retaggio culturale …giusto PA?