Un tribunale spagnolo ha rifiutato di pubblicare il codice sorgente del software che approva le richieste di sussidi per combattere la povertà, a fronte dei rincari dell’energia, aggiungendo che la divulgazione del codice di questo programma rappresenta un pericolo per la sicurezza pubblica e la sicurezza nazionale. Si, avete letto bene. L’algoritmo che assegna i sussidi è una questione di sicurezza nazionale.
Questo è un caso esemplare di come i diritti dei cittadini possano essere negati. È un’applicazione distopica del potere digitale da parte dell’esecutivo che credo dovrebbe essere impossibile in uno stato democratico.
In Italia, il disegno dell’infrastruttura digitale pubblica e la legislazione corrispondente, a partire dalla Costituzione, indicano che il percorso dei servizi pubblici dovrebbe portare al decentramento; al contrario, stiamo assistendo a una tendenza ideologica all’accentramento sulla quale riflettere in un momento in cui la stabilità delle istituzioni e la governabilità non sono in discussione.
Quando ero Deputato nella scorsa legislatura, proprio all’inizio, c’è stato un evento che secondo me è molto rilevante: in una causa intentata da un cittadino su un’incongruenza tra la sua dichiarazione dei redditi cartacea e i dati in archivio, il giudice ha stabilito che i dati in archivio, solo apparentemente meno alterabili, dovevano prevalere.
Questo è stato un punto di svolta. Ora il mondo, che ci piaccia o no, è prevalentemente digitale, anche se c’è una dichiarazione dei redditi che è stata inviata da un commercialista e poi stampata. Sempre più in futuro il mondo sarà avvolto in una dimensione immateriale, digitale.
Ci dobbiamo chiedere: per la tutela dei diritti dei cittadini nella dimensione immateriale, sono sufficienti ed adeguati i meccanismi presenti, pensati per una realtà totalmente materiale?
Per aiutare a sviluppare la riflessione, fornirò due spunti.
1. Ottenere informazioni dalle amministrazioni
Prima della digitalizzazione, il database italiano delle foto segnaletiche, conteneva informazioni e fotografie di 50.000 persone. Il database è stato digitalizzato con una gara che, se ricordo bene, era per 100.000 foto. Questa banca dati contiene ormai le foto segnaletiche di quasi dieci milioni di soggetti e 16 milioni di foto! Questo è molto, molto lontano da quello che ci si aspettava quando questo archivio è stato istituito e regolamentato.
È chiaro che i computer aumentano la quantità e la velocità delle attività umane; tuttavia, nel momento in cui un’applicazione statale viene digitalizzata, i principi impliciti che esistevano quando questa applicazione è stata sviluppata potrebbero essere invalidati.
Anche le interrogazioni parlamentari, strumento pensato per chiedere conto ai ministeri delle loro azioni, sono poco incisive, se è vero che non tutti i quesiti posti ricevono risposta e, quando ricevono risposte, sono talvolta troppo generiche o sfuggenti.
2. Il green pass, identità digitale
Per casi legati alla situazione famigliare, mia figlia fu una dei primi minori ad essere vaccinata, in un momento in cui c’era un problema nella costruzione di banche dati e strutture informative. Essendo risultata positiva al COVID e poi vaccinata, nei primi giorni della pandemia, per un problema di disallineamento di sistemi informatici, non ha potuto ottenere un Green Pass nel momento in cui era necessario anche solo per sedersi in un bar. Mia figlia aveva 17 anni; potete capire la situazione psicologica e materiale in cui si trovava. Ci misi settimane ed escalation dai canali previsti sino ai massimi livelli, per riuscire ad ottenere che le fosse riconosciuto un diritto.
Questo è il punto che voglio sollevare: il fatto di poter accedere a molti servizi online, come partecipare a una gara d’appalto o prenotare un biglietto aereo, sarà in futuro sempre più dipendente dalla nostra identità digitale e dai dati in una banca dati contro la quale i cittadini non hanno mezzi concretamente utili per far valere i loro diritti.
Conclusione
Questi fatti mi fanno capire che il digitale è un potere, ed è un potere immateriale, come i dati e le applicazioni informatiche che li elaborano; un potere non ovvio, che può essere abusato alla velocità della luce e su una vasta scala di cittadini, e con precisione chirurgica, massicciamente personalizzato. Un potere non ovvio. Un dato scritto in un database cambia e il cambiamento determina eventi che possono influenzare la vita dei cittadini. Un secondo dopo, i dati possono tornare allo stato precedente, impercettibilmente per chiunque.
Non è come una manganellata in testa a un individuo che viene poi portato in una cella. Questi sono eventi fatti limitati per fattori temporali e quantità, molto evidenti, umanamente gestibili e per cui abbiamo creato istituzioni e procedure di controllo per minimizzare la possibilità che questo potere sia abusato. Questa situazione del potere digitale è accentuata dall’idea di una centralizzazione dei dati e dei sistemi ICT. Fatta con le migliori intenzioni da persone competenti e oneste. In futuro, sempre più cose procederanno in questo modo.
Se fossi un’azienda, con poche eccezioni, avrei pochi dubbi: la centralizzazione offre vantaggi. Come amministratore delegato, come azionista, ci metto i miei soldi, mi prendo i miei rischi, ecc. Ma che dire di uno stato? Non dobbiamo dare per scontato che un governo sia sempre buono, affidabile e gestito da persone irreprensibili. Non dobbiamo presumere che la situazione in cui siamo oggi sia quella in cui saremo sempre.
L’articolo 5 della Costituzione recita: «La Repubblica, una e indivisibile, riconosce e promuove le autonomie locali; attua nei servizi che dipendono dallo Stato il più ampio decentramento amministrativo; adegua i principi ed i metodi della sua legislazione alle esigenze dell’autonomia e del decentramento». Non il decentramento amministrativo: il più ampio decentramento amministrativo!
Il Presidente emerito della Corte Costituzionale Prof. Flick, mi ha spiegato che l’articolo 5 non è stato scritto perché volevano che l’amministrazione fosse a distanza di un giorno di cavallo dai cittadini. Fu scritto perché la Costituzione fu creata dopo la seconda guerra mondiale, dopo decenni di governo autoritario, e i padri costituenti pensarono che questo contrappeso sarebbe servito a mitigare impulsi autoritari che sarebbero potuti insorgere.
La trasparenza dei dati e la supervisione tradizionale non sono sufficienti; ci deve essere un modo per ‘vedere’, per tracciare questo intangibile potere digitale. Come può essere gestito, quali sono i controlli, gli equilibri, la supervisione, la responsabilità, i rimedi per tutte le persone che si sono trovate o si troveranno nella situazione di mia figlia per qualsiasi motivo.
In un caso molto recente, la polizia criminale tedesca è riuscita a costringere il sistema sanitario locale a generare un falso focolaio di Covid per ottenere, grazie all’applicazione di tracciamento dei contatti (stile Immuni), le informazioni delle persone che erano su una certa scena del crimine. Questo è un esempio banale, se volete, ma dimostra come un sistema può essere distorto per scopi diversi da quelli per i quali è stato progettato. Centralizzare le infrastrutture amministrative digitali pone il potere digitale sotto il controllo di una autorità sostanzialmente opaca, imperscrutabile, data la limitata efficacia di interrogazioni parlamentari e FOIA. Per questo credo che, per uno Stato, la centralizzazione sia un errore.
Credo che sia un fattore di controllo democratico garantire che il cittadino abbia sempre i dati nel suo controllo (tecnicamente fattibile) oltre alla possibilità, per evitare l’imperscrutabilità dei sistemi, di ricorrere ad applicazioni fatte da terzi indipendenti, soggetti a una pluralità di controllori (tecnicamente fattibile) quali l’Agenzia per l’Italia Digitale, il Garante della Privacy, la magistratura.
Credo che, già nella fase di progettazione dei servizi e dei regolamenti che li definiscono, ancor prima di essere implementati, i sistemi decentralizzati devono essere progettati con adeguati controlli, sistemi di monitoraggio, responsabilità e procedure di ricorso. Credo che dobbiamo pensare fin dall’inizio a come i sistemi e i servizi che creiamo rafforzino la protezione dei principi costituzionali e della democrazia e non possano essere abusati in futuro da nessuno. Credo che l’informatica di uno stato dovrebbe essere democratica by design.
Le istituzioni devono essere difese in tempo di pace; cercare di farlo quando ci sono problemi, è troppo tardi. Perché si può entrare in un sistema autoritario votando, ma non basta votare per uscire da un sistema autoritario.
Andrea Rui dice
Riscontro il problema in tantissimi aspetti della Pubblica Amministrazione: non esiste un processo di verifica imparziale che possa garantire’ al cittadino il rispetto delle norme e delle leggi.
La Pubblica Amministrazione è autoreferenziale, e non è oggetto di verifiche indipendenti di terza parte.
Posso ammettere che non possano essere divulgati i risultati di audit di sicurezza e compliance, ma dovrebbe esistere un contrappeso alla mancanza di trasparenza.
Tutte le aziende fornitrici della PA devono possedere almeno la ISO9001 anche soltanto per poter accedere ad un bando di gara, mentre la PA non è tenuta a conseguire una ISO27001 per la gestione delle immense banche dati contenenti i dati dei cittadini ed i relativi processi di analisi e correlazione.