Continuità operativa e disaster recovery nella PA: il terremoto non concede proroghe

Il 4 giugno si è celebrata la giornata di lutto nazionale per le vittime del terremoto (anzi, dei terremoti) in Emilia-Romagna. È il momento del dolore (per chi ha perso i propri cari, la casa di una vita o il lavoro) e di pensare ad una ricostruzione sostenibile e veloce.

Vuoi essere informato su tutte le novità che riguardano PA Digitale?

Scopri qui il canale dedicato 

Ma – lo dico da “ex terremotato” – è anche il momento di riflettere, senza indulgenze, su quello che ha funzionato e di riflettere su cosa significa un terremoto nel 2012.
Nell’era della “società dell’informazione” e della “PA digitale”, oltre alla sicurezza dei fabbricati è opportuno preoccuparsi anche della normativa (e dell’organizzazione) in materia di sicurezza informatica, specialmente nel settore pubblico.

Gli addetti ai lavori sanno bene che la recente riforma del Codice dell’Amministrazione Digitale (D. Lgs. n. 235/2010) ha inserito nel testo del D. Lgs. n. 82/2005 una disposizione espressamente dedicata alla continuità operativa e al disaster recovery.

In base a quanto asserito dagli estensori della norma, queste disposizioni sono state pensate anche a seguito del sisma in Abruzzo del 2009.

Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante nel settore pubblico.

Le pubbliche amministrazioni nell’esercizio della propria attività istituzionale raccolgono, producono ed archiviano un’enorme quantità di dati e documenti che – in base alle norme vigenti – devono essere resi disponibili in modalità digitale. Questo significa che i dati dovranno essere formati, acquisiti e conservati nei sistemi informatici delle Amministrazioni titolari.

Si tratta di un vero e proprio patrimonio che deve essere tutelato per:

a) mantenere l’integrità, e quindi l’affidabilità, delle informazioni pubbliche;

b) prevenire e limitare i danni da intrusioni e accessi abusivi;

c) evitare possibilità di diffusioni non autorizzate di informazioni;

d) consentire un corretto funzionamento dell’apparato burocratico ed evitare interruzioni nell’erogazione dei servizi on line.

Per questo motivo, il legislatore ha reso obbligatoria la pianificazione in materia di continuità operativa e di disaster recovery.

Infatti, l’art. 50-bis CAD prevede che

In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

Il termine previsto per la predisposizione del primo piano era il 25 aprile 2012, ma la gran parte delle Amministrazioni non è stata in grado di rispettare questa scadenza (sullo stesso sito di DigitPA è stato reso noto che il primo studio di fattibilità è arrivato solo  nel mese di febraio 2012).

Sia chiaro: gli Enti più virtuosi e consapevoli si preoccupano da tempo del disaster recovery, ma la previsione di obblighi precisi previsti nel CAD aveva la finalità di consentire a tutti gli uffici di strutturarsi in modo da assicurare di minimizzare i rischi in caso di evento disastroso.

Purtroppo, molto spesso funzionari e dirigenti hanno commentato queste norme con frasi del tipo: “Lo faremo quando avremo tempo, ora abbiamo altre priorità”, “Tanto non sono previste conseguenze se non rispettiamo il termine”, oppure “non abbiamo soldi per fare queste cose”.

È il solito approccio vetero-burocratico che ha frenato l’attuazione delle leggi sulla digitalizzazione e dematerializzazione, l’approccio per cui la PA può decidere di ignorare quanto pubblicato dalla Gazzetta Ufficiale, decidendo tempi e modi di un’eventuale adempimento.

Si tratta di un atteggiamento miope, non solo dal punto di vista della collettività: è ormai chiaro che se un Ente perde i propri documenti perché non organizzato e preparato (dal punto di vista informatico, quanto fisico) ne risponde chi aveva l’obbligo giuridico di provvedere in tal senso. Ma l’irrogazione di sanzioni nei confronti dei soggetti inadempienti non diminuirà il disagio per le comunità (già colpite da un evento drammatico come un terremoto).

Ecco perché quanto accaduto in questi giorni deve indurci a riflettere sul fatto che organizzare la sicurezza dei dati e dei documenti delle PA e procedure di emergenza per l’erogazione dei servizi on line è ormai una priorità (al pari di verificare la solidità di edifici e strutture) che non può essere differita a “quando avremo tempo per pensarci”.

Il legislatore può concedere una proroga, il terremoto – purtroppo – no!

Ernesto Belisario

Scrivi un commento

Accedi per poter inserire un commento