jump to navigation

Perché è importante la pervasiva raccolta di informazioni giovedì 24 ottobre 2013

Posted by andy in Information Security, privacy.
Tags: , , , ,
add a comment

Lo scandalo Datagate ha svelato fino a che punto sia giunta la pervasività della raccolta delle informazioni svolta dalla NSA (e presumibilmente anche da parte di molte altre agenzie pubbliche e private).

Spesso mi sento chiedere a che titolo qualcuno potrebbe voler intercettare le comunicazioni anche del più ‘insignificante’ dei cittadini: che interesse potrebbero avere gli americani (o chiunque altro) a sapere con chi parlo, a chi scrivo, dove vado …?

Il problema nella raccolta delle informazioni è che il loro valore è tanto maggiore quanto è più completa.

Le reti di relazioni, le sequenze degli eventi e delle comunicazioni (senza contare i loro contenuti) sono fondamentali.

Faccio un paio di esempi banali, tanto per dare un’idea.

Se Paperino telefona a Pippo (entrambe persone integerrime), e questi parlano di fare un regalo al Commissario Basettoni, non si evidenzia niente degno di nota.
Ma se la mia raccolta di informazioni mi porta ad intercettare anche le telefonate tra Pippo e Gambadilegno (noto o potenziale terrorista), allora l’interpretazione che si può dare ai discorsi tra i primi due cambia molto, così come la valutazione sulla loro integrità.

Altro esempio: intercetto tutte le e-mail tra due persone, ma non le telefonate (è un esempio: potrebbe trattarsi di ‘pizzini’).
Il Commissario Basettoni scrive a Topolino una mail in cui afferma di non avere intenzione di mettere Gambadilegno in prigione (o di non voler muovere guerra contro Paperopoli).
Tuttavia gli aveva preventivamente telefonato avvisandolo di interpretare al contrario ogni sua affermazione via e-mail.

Come vedi soltanto se hai un quadro completo delle relazioni e delle comunicazioni puoi comprendere veramente ciò che sta accadendo.

Per non parlare poi del furto della proprietà intellettuale, delle informazioni commerciali strategiche, dello spionaggio industriale (vi ricorda nulla la vicenda Boing vs. Airbus …?).

Annunci

Intercettazioni: e ancora ci stupiamo? giovedì 24 ottobre 2013

Posted by andy in Information Security, Internet e società, privacy.
Tags: , , , , , ,
add a comment

Datagate: anche il governo italiano è spiato.

È da anni che sappiamo di Echelon.

Il nostro stato (leggi DigitPA, ex CNIPA), invece che lavarsi i panni sporchi in casa (leggi: Telecom), appalta tutto fuori, e casualmente a chi? a BT (British Telecom), che è pappa e ciccia con gli USA nei programmi di spionaggio.

In particolare oltre che ad assegnargli l’appalto nazionale per la RUPA (Rete Unitaria della Pubblica Amministrazione, ora SPC – Sistema Pubblico di Connettività e Cooperazione) gli abbiamo appaltato anche quella internazionale (RIPA – Rete Internazionale della Pubblica Amministrazione).

E ci stupiamo ancora che all’estero qualcuno controlli le nostre comunicazioni …?

Perché noi italiani siamo così vittime dell’apparenza? mercoledì 3 luglio 2013

Posted by andy in Uncategorized.
add a comment

Perché imbianchiamo la palazzina quando deve arrivare il generale, invece che riparare gli apparati che ci occorrono per combattere?

Perché facciamo sparire gli scatoloni accumulati da mesi nei nostri locali quando sappiamo che deve venire in visita un’autorità?

Perché facciamo sparire tutte le nostre carte di lavoro dalla scrivania quando arriva un dirigente o l’ispezione della qualità?

Perché spostiamo gli scatoloni accumulati davanti agli estintori soltanto quando viene l’ispezione per la sicurezza sul lavoro?

… e potremmo andare avanti con queste considerazioni per molto, molto tempo …

È di oggi la notizia del decreto legge svuotacarceri: piuttosto che investire denaro per rendere operative le carceri inutilizzate ed assumere il personale necessario (cosa che creerebbe posti di lavoro), preferiamo evitare il problema e mettere in libertà le persone, per poi dover spendere nuovamente denaro per doverle ri-arrestare, ri-processare e rimettere nelle medesime carceri da cui sono uscite (carceri che nel frattempo non saranno né aumentate né si saranno allargate).

Il tutto senza considerare l’ulteriore danno alla società per la riduzione della sicurezza sociale, per i furti, per le violenze, etc.

Il problema di noi italiani è che non pensiamo al futuro perché non facciamo tesoro del passato; abbiamo la presunzione di inventare sempre tutto ex-novo, senza far tesoro delle esperienze passate, positive o negative che siano, e così continuiamo ad essere condannati a ripetere e rivivere la nostra storia, senza costruire nulla che la possa migliorare.

L’anonimato economico è a rischio! venerdì 29 marzo 2013

Posted by andy in Internet e società.
Tags: , , , , ,
add a comment

Riprendo una notizia (Cayman, hacker vende online le società. “La crisi? Colpa dei paradisi fiscali”) per fare qualche considerazione.

In sintesi, la notizia è che Paolo Cirio ha messo on line sul sito loophole4all.com l’opportunità di comperare, per soli 99 centesimi i certificati di proprietà di società anonime registrate alle Cayman.

L’anonimato fiscale porta grandi vantaggi economici, questo è risaputo, ma è la prima volta che la finanza si trova di fronte ai reali rischi derivanti dall’anonimato stesso.

In effetti, se la proprietà è rappresentata da un semplice certificato al portatore, la sua falsificazione consente a chiunque di assumere l’identità del reale titolare.

In sostanza, ci si sta rendendo conto che tutti possiamo essere ‘anonimi’, se lo vogliamo.

Ma ciò che è di proprietà di un anonimo, di fatto è di proprietà del primo che arriva a reclamarne la proprietà.

In conclusione, in futuro l’anonimato tenderà sempre di più ad essere utile soltanto per rappresentare opinioni, ma non interessi economici.

Quanto siamo affezionati al bollino sulla patente martedì 26 marzo 2013

Posted by andy in Miglioramento, Pubblica Amministrazione.
add a comment

Circa 30 anni fa conobbi dei trasportatori turchi, e non ricordo come finimmo con il parlare delle patenti di guida (forse, tanto per ridere, per vedere come eravamo stati ritratti nelle diverse foto tessera).

Io mostrai la mia: la cara vecchia patente color rosa, coperta di bolli di rinnovo e di tasse di concessione.

Vidi nei loro occhi una strana luce: mi stavano guardando come se fossi un uomo di Neanderthal …

E poi capii, quando mi mostrarono la loro patente: era di plastica, ed aveva tutto l’aspetto di una carta di credito.

Siamo nel 2013, e pare che da quest’anno diverrà obbligatoria la ‘patente europea’ (ovverosia la tessera di plastica in formato carta di credito), e quindi anche quelle storiche di carta telata rosa dovranno essere sostituite.

‘Finalmente stiamo passando dal medioevo all’era moderna!’, ho pensato.

Niente più ‘bolli’ da appiccicare!

E invece no! L’italiano non può vivere senza carta e bolli!

Non ci credete? Ebbene, sulla nuova patente europea, il rinnovo periodico viene attestato dall’apposizione di un bollino sul retro della patente!

Se non vivessi qui e mi raccontassero una cosa del genere, penserei certamente ad uno scherzo!

Comunque sul certificato medico di rinnovo della patente ci sono:

  • N. 5 timbri, di varia foggia,
  • N. 2 firme
  • N. 1 marca da bollo
  • N. 1 fototessera (OK, questa può servire sul serio!)

 

Perché le PMI italiane non lavorano in modo strategico? martedì 5 marzo 2013

Posted by andy in Miglioramento.
Tags: , , ,
add a comment

Recentemente ho letto un articolo sul perché le aziende non lavorano per progetti (implicitamente suppongo che si riferiscano specificamente a quelle italiane).

Un fattore critico è, a parer mio, l’incapacità della proprietà, o comunque di chi amministra l’azienda, di delegare.
O meglio, quando si delega, lo si fa soltanto nella forma e non nella sostanza.
I motivi possono essere molti, dalla gelosia, alla presunzione, al voler mantenere posizioni e ruoli accentrando e non facendo circolare le informazioni.
Purtroppo la vera delega presuppone la fiducia e la stima della persona a cui si delega, oltre che l’assegnazione di budget e di autonomie decisionali e di spesa.

Ecco, forse uno dei fattori critici è che in Italia si tende a vivere (e a gestire il business) alla giornata, e non strategicamente, pianificando a medio e a lungo termine.
Ovviamente le cause di ciò non sono da imputare interamente agli imprenditori: chi si trova a dover sbarcare il lunario in situazioni in cui lo Stato e le banche pretendono puntualmente quanto spetta loro, ‘dimenticandosi’ invece a loro volta di rispettare i propri impegni, non può certo fare affidamento su cash flow, pianificazioni e strategie: le cose si fanno quando si può, e non quando si vorrebbe.

Un altro fattore che si oppone alla delega è la ‘refrattarietà’ delle persone a farsi ‘misurare’: non esiste responsabilità: senza controllo.
La gente non ama ‘prendere brutti voti’ sul lavoro, e comunque per correre tale rischio vuole incentivi economici che le aziende, di solito non offrono.

Come dicono gli arabi, pagare moneta, vedere cammello ….
… e come gli anglosassoni, pay peanuts, get monkeys.
In Italia più semplicemente diciamo: chi più spende, meno spende.

Il nuovo CAD e la continuità operativa: un nuovo DPS? giovedì 21 febbraio 2013

Posted by andy in Business Continuity, Pubblica Amministrazione.
add a comment

Il 22 Dicembre 2010 è stato definitivamente approvato il nuovo CAD (Codice per l’Amministrazione Digitale).

Oltre ai tanti obiettivi di qualità, efficienza e riduzione dei costi, all’art. 50 bis il testo prevede l’obbligo per tutti gli enti e le strutture della PA di dotarsi. entro 15 mesi, di un piano di continuità operativa e di uno per il disaster recovery.

I 15 mesi stanno per scadere, e ci si viene a trovare in una situazione analoga a quella in cui scattò l’obbligo della redazione del DPS (Documento Programmatico sulla Sicurezza), previsto dal D.Lgs. 196/2003, e obbligatorio a decorrere dal 31 Marzo 2006.

Seppur con meno fibrillazione della precedente scadenza per il DPS, qualcosa inizia a muoversi; proverò a fare il punto su quali siano realmente le implicazioni dell’art. 50 bis ed a scattare una fotografia sui diversi approcci emergenti, così da consentire a chi non avesse provato ad analizzare la situazione da vari punti di vista possa collocare l’approccio adottato e valutare le alternative.

Focalizziamoci in primo luogo su quali siano realmente gli obblighi: le pubbliche amministrazioni devono definire:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

Venendo ora ai principali approcci che riscontro, i più rilevanti appaiono essere i seguenti:

  1. l’ufficio non fa nulla, per la mancanza di risorse;
  2. l’ufficio prova ad analizzare realmente quali siano i punti su cui può intervenire.
  3. l’ufficio si affida ai fornitori, che garantiscono la compliance normativa attraverso la semplice adozione di soluzioni commerciali hardware e/o software.

L’approccio 1. può essere comprensibile: in effetti con i continui tagli alle risorse degli ultimi anni, e con quelli che prevedibilmente continueranno ad arrivare, gli uffici si trovano spesso talmente oberati di lavoro che non risulta fattibile distogliere risorse dai propri incarichi per affrontare, gestire e portare a compimento un progetto di questo tipo. In effetti, qualsiasi progetto non può ragionevolmente essere avviato senza la preventiva assegnazione di adeguate risorse.

Approccio 2: è l’ideale; si affronta oggettivamente il problema, si effettua una spassionata analisi dei rischi, e sulla base delle priorità e delle disponibilità si definisce un piano per gli interventi possibili;

L’approccio 3 è il più pericoloso: l’obiettivo passa dall’interesse della PA all’interesse del fornitore, che tende a massimizzare il proprio ritorno riducendo i costi e massimizzare i margini; a seconda dei casi, al cliente verranno proposte soluzioni che saranno un mix di consulenze, hardware e software.

Ovviamente niente è mai così semplice e definito, e le situazioni reali fanno spesso un mix dei vari approcci, fondendo i vari approcci, in base alle capacità e disponibilità dei referenti degli uffici, e dalla capacità ed insistenza dei fornitori.

Dopo tutto questo preambolo, doveroso per scattare una foto di quella che appare essere la realtà, desidero dedicare qualche parola anche alla sostanza.

Per farlo, focalizziamoci sugli obiettivi imposti dal CAD: un piano di continuità operativa, ed un piano di disaster recovery.

L’IT al giorno d’oggi è di fatto il fondamento di ogni processo operativo, e viene quindi naturale pensare che i termini ‘continuità’ e ‘disaster recovery’ vengano immediatamente associate ai sistemi informativi.

Questo è un grave errore, perché ci porta a dimenticare che l’IT non è il fine, ma il mezzo.

I sistemi, il software, la connettività non sono ciò che dobbiamo proteggere, ma strumenti a supporto dei processi che dobbiamo proteggere.

Prendendo ad esempio un qualunque edificio pubblico, come il palazzo del Comune, o quello di Giustizia, cosa accadrebbe se un terremoto che occorresse la Domenica notte ne compromettesse gravemente la struttura?

Ci si troverebbe alle 8 del Lunedì mattina con tutti gli utenti che si assiepano fuori dal palazzo, con le proprie esigenze, i propri certificati da richiedere, i propri atti da registrare, e nessun ufficio aperto, nessun sistema accessibile.

Certamente i sistemi informativi saranno stati realizzati a regola d’arte; i computer continueranno a funzionare, nel palazzo o in un’altra sede predisposta per il disaster recovery.

Ma i dipendenti dell’ufficio non sapranno cosa fare, dove sedersi, su quale tastiera mettere le mani.

È inverno, e fà piuttosto freddo; la folla all’esterno inizia a rumoreggiare; gli anziani sono già in coda dalla primissima mattina.

Inizia ad arrivare qualche vigile urbano, che non sa cosa fare, o cosa dire, se non che non è possibile accedere ai locali dell’edificio per motivi di sicurezza.

Qualcuno si è preso una giornata di permesso dal lavoro per richiedere un certificato, e senza una tempestiva ordinanza qualche condannato verrà rimesso in libertà per decorrenza dei termini di custodia cautelare.

Passa mezza giornata, e nulla è cambiato; qualche dirigente cerca di organizzarsi come può, ma non sà dove e come allestire le decine o centinaia di postazioni di lavoro per i propri dipendenti, per poter continuare a fornire il servizio dovuto ai cittadini.

Eppure i server e le applicazioni funzionano e i dati ci sono: una perfetta configurazione di disaster recovery, costata tanto hardware, software, consulenze, tempo uomo per l’installazione, le prove ed i collaudi …

E la morale qual’è? Che la continuità operativa, così come la sicurezza, non è uno ‘stato’, ma un processo, ed un processo, per essere tale, deve esistere nel tempo.

Probabilmente per l’emissione di molti certificati sarebbe stato sufficiente predisporre un piano per trasferire temporaneamente il personale presso gli uffici periferici, attivando una connessione ad hoc verso i server, ed informare i vigili urbani sulle informazioni da dare ai cittadini che si fosser presentati agli ingressi del palazzo; anche un comunicato stampa via Internet ed alle televisioni locali e regionali avrebbero potuto essere d’aiuto.

Il numero degli scenari che si possono verificare è naturalmente limitato soltanto dalla fantasia.

Tuttavia, per quanto si possa spendere in tecnologia, il giorno che accade qualcosa di anomalo, è estremamente improbabile che questa consenta di affrontare i problemi, se non è parte di un piano coordinato in cui tutte le persone coinvolte sanno come comportarsi.

Dedico anche qualche riga a tutti quei software progettati per aiutare le organizzazioni ad effettuare le proprie analisi dei rischi e a definire i propri piani di continuità e di recovery.

Si tratta di software veramente notevoli, che più sono completi ed evoluti e più costano.

Tali software hanno tuttavia alcuni difetti:

  • per essere utilizzati correttamente necessitano di specialisti ben preparati;
  • per fornire risultati realistici ed attendibili devono essere compilati in modo puntuale ed esaustivo;
  • devono essere tenuti continuamente aggiornati a fronte di qualsiasi variazione;

Purtroppo gli specialisti sono in generale molto bravi ad utilizzare il software, ma non hanno la minima idea di quali siano i reali rischi che l’organizzazione corre, ed i risultati che emergono sono spesso in conflitto con ciò che il buon senso e l’esperienza indica come prioritario.

In pratica, il miglior compromesso per le PMI e per le organizzazioni anche grandi ma poco mature nella gestione dei propri rischi è quello di avere il supporto di uno specialista che faciliti il percorso di maturazione del processo della gestione della continuità operativa, da cui poi, con il tempo, può derivare naturalmente l’acquisto di software di supporto e di tecnologia per ridurre i costi di ripristino in caso di eventi anomali.

Self-Assessment per la migrazione verso i servizi ‘in the cloud’ sabato 9 febbraio 2013

Posted by andy in tecnologia.
Tags: , , , ,
add a comment

Attraverso il CSA – Italy Chapter, sono venuto a conoscenza di uno strumento messo on-line da Microsoft per valutare il proprio stato di preparazione ad accedere al cloud

Descrizione dello strumento

Il sito http://technet.microsoft.com/en-us/security/jj554736 offre uno strumento web-based di self-assessment per valutare sia il gap esistente rispetto alle normative prese a riferimento, sia i vantaggi derivanti da una migrazione verso servizi cloud-based.
In particolare lo strumento si definsce come un Cloud Security Readiness Tool for Cloud Adoption, e quindi specificamente orientato a valutare gli aspetti inerenti la sicurezza delle informazioni.
Lo scopo, così come traspare intuitivamente già al primo accesso, è quello di fornire alle organizzazioni non ‘cloud-aware‘ uno strumento semplice ed intuitivo per valutare la prorpia situazione ed i vantaggi che il cloud può offrire.
L’interfaccia consiste in un unico form da compilare, diviso in una sezione iniziale di informazioni generali per inquadrare la dimensione e la tipologia dell’organizzazione, ed una seconda specifica per il self-assessment, composta da 27 quesiti.
Una volta compilato il form, viene richiesta una semplice registrazione (basta un indirizzo di e-mail, senza fornire ulteriori informazioni) per poter scaricare il documento di assessment prodotto; la registrazione consente inoltre di tornare a rivedere, correggere e modificare le proprie valutazioni per aggiornare il rapporto.

Metodo di valutazione

Per quanto riguarrda il metodo di valutazione, ho valutato due casi ragionevolmente ai limiti in Europa (un’organizzazione governativa con parecchie migliaia di PC, e una di produzione con pochissimi PC), e per entrambe ho compiilato il form fornendo la configurazione e quella migliore.

Pro

  • semplicità d’uso: le informazioni generali richieste per la categorizzazione dell’utilizzatore sono veramente poche e chiare; anche i quesiti per l’assessment sono molto semplici e chiari, e le risposte possibili (quattro) consentono di inquadrare molto facilmente il contesto effettivamente in essere presso la propria realtà;
  • semplicità di registrazione e non invasività della propria privacy;
  • il report è ben schematizzato, sintetico e chiaro;
  • può essere un interessante strumento per iniziare ad approcciare in poco tempo il tema del cloud e della possibilità di valutare la possibilità di appoggiarvi alcuni servizi;
  • lo strumento consente di salvare più analisi, con la possibilità di modificarle e riesaminarle in momenti successivi;
  • lo strumento non è di parte, nel senso che non evidenzia vantaggi e specificità dell’offerta del realizzatore.

Contro

  • Lingua: al momento il sito è soltanto in lingua inglese, così come il report generato; questo potrebbe costituire un fattore limitante soprattutto per le piccole imprese;
  • Tipologia di servizi cloud: al momento, lo strumento offre come unica scelta l’opzione SaaS; le opzioni IaaS e PaaS sono indicate ma non selezionabili;
  • Il report è forse un po’ troppo astratto ed orientato ad un dettaglio di controlli troppo formale (NIST SP800-53), e quimdi fruibile più da uno specialista della sicurezza, piuttosto che da un’organizzazione che vuole capire quanto il cloud possa essere o meno una soluzione per elevare i propri livelli di sicurezza;
  • dato che la norma di riferimento in Europa è la ISO27001, sarebbe apprezzabile avere riferimenti per il mapping dei controlli (anche) rispetto a questa norma;
  • manca una presentazione intuitiva dei risultati dell’assessment e del gap esistente rispetto ad una possibile migrazione verso i servizi nel cloud;
  • vengono presentati soltanto i vantaggi derivanti da una migrazione verso il cloud, omettendone invece i problemi ed i rischi.

Conclusioni

Nel complesso lo strumento appare interessante, sopratutto nell’approccio.
Tuttavia il sito appare essere molto orientato all’utente americano, sia per la mancanza di internazionalizzazione, sia per i riferimenti al solo standard NIST SP800-53.
Essendo realizzato dalla Microsoft, non stupisce che il sito tratti soltanto il modello SaaS, dovendo promuovere il reale business dell’azienda (software ed applicazioni), piuttosto che infrastrutture e piattaforme (modelli IaaS e PaaS).
Il livello di chiarezza, semplicità ed intuitività del report generato non sono al livello di quelli del form iniziale di self-assessment, ma potrà essere facilmente migliorato integrando rappresentazioni grafiche dei risultati; tuttavia ad oggi esso potrebbe non essere sufficientemente in linea con l’obiettivo di facilitare le organizzazioni che non dispongono di capacità interne evolute a comprendere dove si posizionino nel panorama della sicurezza e quale possa essere il gap che può essere coperto migrando verso servizi nel cloud.
Lo strumento è ‘monodirezionale’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono in nessun modo presentati i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.

Lo strumento è ‘asimmetrico’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono presentati in nessun modo i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.

Come informatizzare un processo nel peggiore dei modi sabato 19 gennaio 2013

Posted by andy in Miglioramento.
Tags: , , , , ,
add a comment

Faccio riferimento alla recente notizia per cui sono state annullate per un vizio di forma 110 condanne del processo ‘Infinito’ sulle cosche della ‘Ndrangheta.

Senza entrare nel merito della questione, ciò che vorrei analizzare in questo post è il processo informativo che ha portato a questo risultato.

Iniziamo a vedere cosa è accaduto: al momento della stampa della sentenza, delle 900 pagine del documento non ne sono stampate 120; può essersi trattato di un problema legato alla stampante o al processo informatico della stampa.

OK, può accadere nelle migliori famiglie, figuriamoci con un documento alto come un tomo di un’enciclopedia: appena ce ne si accorge, basta stampare le pagine mancanti e completare il documento stampato.

Purtroppo la Cassazione ha ritenuto non ammissibile secondo la legge l’integrazione del documento, con la conseguente invalidazione dell’intera sentenza e l’annullamento delle condanne che conteneva.

Vale la pena considerare alcuni effetti rilevanti di questo incidente:

  1. lo scopo del processo organizzativo della Giustizia non è stato raggiunto: lo Stato ha fatto lavorare moltissime persone (forse dell’ordine, magistrati, personale di cancelleria, commessi, fornitori esterni, etc.), utilizzato mezzi e risorse, ed ha realizzato sistemi informativi locali e nazionali per nulla;
  2. il costo per lo Stato di quanto sopra, sviluppato sui circa due anni dell’attività, non si calcola in centinaia di migliaia, ma in milioni di Euro;
  3. aggiungo anche la demotivazione di tutte le persone che hanno collaborato all’attività, che vedono vanificare e perdere di significato una parte importante della propria vita lavorativa.

E questi sono i fatti; veniamo ora alla sostanza del processo (non giudiziario, ma organizzativo) secondo cui è stato prodotto questo documento ‘incriminato’.

Provimao a chiederci quale sia stata la causa di questo problema:

  • è stata colpa della stampante? O di chi l’ha scelta? O di chi ne faceva la manutenzione?
  • o di qualche persona che non ha pensato di contare le pagine una per una per verificare che fossero state stampate tutte quante, e che fossero conformi all’originale?
  • o forse del programma di stampa, del sistema operativo, o della rete?
  • o forse la causa è un altra?

Mi permetto di osservare che l’Italia fa parte del G8, e che quindi occupa nel mondo una posizione che va oltre quella che poteva avere nel medio evo, e che il Governo da anni promuove (o almeno fà finta di farlo) l’efficienza dei propri organi, anche attraverso l’informatizzazione; a questo scopo sono prodotte delle leggi, tra cui il Codice per l’Amministrazione Digitale (CAD) e spese delle intere fortune per supportare questa evoluzione.

Vediamo ora come il nostro Governo ha pensato di informatizzare questo particolare processo della Giustizia:

Al magistrato è stato fornito un computer con un sistema operativo ed un programma per redigere testi, una stampante ed una rete locale per far parlare tra di loro il computer e la stampante; se la stampante è di tipo dipartimentale, probabilmente tra computer, software, infrastruttura e stampante stiamo parlando di alcune decine di migliaia di Euro.

Aggiungiamo poi i costi per l’acquisto, per l’installazione e per i servizi di conduzione e manutenzione dell’infrastruttura e del sistema.

Ed ora vediamo la sequenza delle operazioni:

  1. Il magistrato, utilizzando il computer in dotazione, redige il documento della sentenza, lo salva sul disco locale, e quindi lo manda in stampa;
  2. la stampante fa il suo mestiere (purtroppo in questo caso l’ha fatto male);
  3. il magistrato avrebbe dovuto controllarsi, una per una, tutte le 900 pagine del documento stampato, confrontandole con l’originale digitale per verificare la conformità dello stampato (cosa che per qualche motivo non è stata possibile fare);
  4. il documento viene firmato e timbrato al fine di autenticarlo;
  5. il documento stampato viene depositato in cancelleria;
  6. la cancelleria effettua la scansione del documento (tipicamente senza farne l’OCR), ed archivia la nuova versione digitale;
  7. l’avvocato della parte interessata viene in cancelleria, paga i diritti di copia previsti dalla legge, e si porta a casa un CD contenente la scansione del documento del magistrato (fino a non molto tempo fa si sarebbe portato via una copia cartacea delle 900 pagine della sentenza);

Ad averne voglia, si potrebbe anche fare l’esercizio di provare a cacolare quanto tempo uomo occorre per effettuare tutte queste operazioni, ma mi affido all’intuizione del lettore per comprendere che non stiamo parlando di una sola persona e di secondi o minuti …

Come è facile intuire, tutto questo processo non è frutto del caso, ed a monte di tutti gli investimenti fatti c’è sicuramente un gruppo di persone adeguatamente remunerate che hanno dedicato parecchio tempo a pensare, analizzare, progettare, riunirsi, confrontarsi, deliberare, documentare, etc. per poi fare i necessari investimenti su base nazionale per realizzare quanto analizzato, progettato e deliberato. Ovviamente queste persone sono partite e si sono basate sulle leggi e sulle linee guida stabilite dal Governo con il CAD.

Proviamo ora ad immaginare un flusso informativo diverso, come potremmo dire … informatizzato! Ecco, si, utilizziamo questo termine: un flusso informativo informatizzato:

  1. il magistrato redige il uo documento utilizzando gli strumenti che gli sono stati messi a disposizione;
  2. il magistrato salva su un CD il documento prodotto;
  3. il magistrato deposita in cancelleria il CD;
  4. l’avvocato interessato passa in cancelleria e chiede una copia del CD.

Non male! abbiamo già risparmiato il denaro per stampanti e scanner, e per tutto il tempo necessario per stampare e verificare lo stampato, per movimentare ed archiviare la carta, e per farne la scansione.

Ma così non è abbastanza, e purtroppo non può funzionare: sul documento digitale prodotto dal magistrato mancano timbri e firme.

Facciamo allora un altro passo, e rivediamo ulteriormente il processo:

  1. il magistrato redige il documento;
  2. il magistrato firma digitalmente il documento prodotto;
  3. il magistrato invia telematicamente (salvandolo su un server, inviandolo via e-mail, o altro) il documento firmato
  4. l’avvocato paga via Internet con la propria carta di credito i diritti di copia;
  5. l’avvocato riceve una copia del file firmato digitalmente via e-mail (oppure riceve i riferimenti per scaricarne via Internet una copia da un server);

Potrebbe funzionare: la legge riconosce l’equivalenza della firma digitale rispetto a firme autografe e timbri; allora forse tutto il processo è bloccato dalla mancanza di una smart card per firmare digitalmente il documento … ebbene, NO! Il magistrato è stato dotato dallo Stato anche di una smart card, del relativo lettore, e del relativo servizio di installazione e configurazione del suo computer.

Viene allora da chiedersi perché il magistrato non abbia pensato di firmare digitalmente il proprio documento e di depositarlo così com’è in cancelleria:

  • non è capace?
  • nessuno gli ha insegnato come fare?
  • è pigro?

Ebbene, niente di tutto questo! Semplicemente, chi ha riprogettato l’informatizzazione dei processi della Giustizia si è ‘dimenticato’ di modificare la legge per cui il documento che fà fede e che ha valore legale è ancora di carta! Anche se il magistrato avesse firmato digitalmente il suo documento originale, avrebbe comunque dovuto stamparlo, firmarlo, timbrarlo e depositare la carta in cancelleria!

Vogliamo chiederci quale danno questi grandi e ben retruibuiti professori a Roma hanno portato alle finanze dello stato per questa piccola ‘svista’? Oltre al loro stipendio (ed emolumenti vari, e non voglio sapere quante consulenze esterne sono state commissionate!), questi signori hanno caricato i contribuenti dei costi per:

  • migliaia di stampanti dipartimentali;
  • migliaia di tonnellate di carta;
  • migliaia di giorni uomo per la movimentazione ed archiviazione della carta;
  • ovviamente, i costi per gli archivi, per i relativi impianti di protezione, etc.
  • migliaia di giorni di ritardo nella giustizia a causa dei tempi necessari per movimentare la carta;
  • migliaia di giorni uomo sprecati dagli avvocati e dalle loro segretarie per richiedere le copie degli atti;
  • migliaia di masterizzatori;
  • migliaia di supporti (CD, DVD, etc.) che si sarebbero potuti evitare con trasferimenti telematici
  • … devo andare avanti …?

In conclusione, l’errore alla base de problema occorso è uno solo: occorre capire che l’informatizzazione non deve replicare i flussi informativi cartacei esistenti, bensí li deve eliminare!

A proposito! Occorre anche ricordare che la legge promuove la dematerializzazione, ovverosia l’eliminazione della necessità di produrre, gestire ed archiviare la carta; dove è possibile ritrovare questo aspetto nei processi informatizzati riprogettati da questi grandi professionisti, professori e consulenti?

Forse se i cittadini iniziassero a chiedere a costoro di rimborsare il danno provocato alle finanze dello Stato, molti imparerebbero a pensare di più e a spendere di meno.

 

Ancora obblighi di legge … giovedì 29 novembre 2012

Posted by andy in Uncategorized.
Tags: ,
add a comment

Parte il countdown per la chiusura del censimento ISTAT delle istituzioni pubbliche, fissata al 20 dicembre. Entro questa data tutte le istituzioni pubbliche – 13mila tra enti e amministrazioni e  circa 15mila istituti scolastici – sono chiamate a compilare il questionario esclusivamente on line.

In Italia abbiamo sempre questo approccio normativo e coercitivo.
Anche per il censimento delle istituzioni pubbliche occorre una legge, con dispendio di risorse per pensarla, formalizzarla, ratificarla ed attuarla.
Centinaia di persone saranno coinvolte in questo sforzo.

Ritengo sarebbe più proficuo iniziare a pensare in un modo diverso; ad esempio, in questo caso sarebbe stato più semplice predisporre il questionario per il censimento, e quindi pubblicizzare, sia attraverso circolari interne, sia attraverso informazione pubblica, che gli enti che non restituiscono il questionario debitamente compilato entro la data del termine perderanno qualsiasi diritto al proprio riconoscimento, a fondi e finanziamenti, ed al posto di lavoro per tutti i lavoratori e collaboratori.

In sostanza, occorre trasformare quello che viene visto come un ulteriore adempimento burocratico in una necessità ed in un’opportunità per la sopravvivenza.

È ora di finirla di aspettarsi che lo ‘Stato’ debba fare al posto nostro: lo Stato siamo noi, cittadini, lavoratori della PA, dirigenti … e tutti dobbiamo imparare a rimboccarci le maniche e a dare una mano, soprattutto ora che la situazione è critica per tutti.

A parere mio occorre quindi modificare l’approccio in quello del ‘do ut des’: ti chiedo uno sforzo, ma in cambio ti offro un vantaggio.