In questi giorni infuria la controversia fra l’ANORC, nella persona del suo Presidente Andrea Lisi, e il Ministero per la Pubblica Amministrazione e l’Innovazione, familiarmente chiamato Palazzo Vidoni, relativamente al pieno valore legale della procedura di trasmissione dei certificati medici on line. Senza entrare nel merito della questione, è interessante notare come nella nota del Dipartimento per la Digitalizzazione e l’Innovazione Tecnologica del Ministero si ricorda che in un comunicato del 20 luglio 2010 la Società Italiana Telemedicina e sanità elettronica (SIT) ha evidenziato come “la nuova procedura di trasmissione online dei certificati medici introduce importanti semplificazioni procedurali e utilizza una modalità di comunicazione elettronica estremamente semplificata, in quanto priva di appesantimenti tecnologici e quindi basilare ed essenziale”.
Come non rinvenire nel comunicato del SIT scorie vecchie di 10 e passa anni generate da tecnologie di firma digitale inutilizzabili?
Gli dei avevano condannato Sisifo a far rotolare senza posa un macigno sino alla cima di una montagna, dalla quale la pietra ricadeva per azione del suo stesso peso. Essi avevano pensato, con una certa ragione, che non esiste punizione piú terribile del lavoro inutile e senza speranza.
Il Mito di Sisifo – Albert CAMUS
Sono Sergio Pillon, vice presidente nazionale della SIT.
Mi spiace che abbiate immaginato dal nostro comunicato “scorie vecchie di 10 e passa anni generate da tecnologie di firma digitale inutilizzabili”. In realtà come SIT, ed io stesso personalmente, stiamo spingendo da molto tempo la firma remota come UNICO strumento reale per un uso medico di routine. Il CIRM, centro internazionale radio medico, uno dei piu’ antichi centri di telemedicina del mondo (fondato da Marconi nel 1935), quasi 3000 pazienti ricoverati in remoto ogni anno, di cui sono il direttore medico, sta implementando la firma remota. Con il Dipartimento per l’Innovazione stiamo cercando di lavorare proprio in questa direzione, direi anzi che il nostro comunicato vorrebbe essere esattamente in questa direzione.
Ringraziamo molto per la precisazione autorevole e siamo ben contenti (visto che si sposa con il tema dell’usabilità, leitmotif del presente blog) di leggere “stiamo spingendo da molto tempo la firma remota come UNICO strumento reale per un uso medico di routine”, in quanto anche noi crediamo che la firma digitale remota sia la chiave per rendere usabile la tecnologia di firma digitale. Il riferimento a tecnologie di firma inutilizzabili riguardava specificatamente il caso della smart card le cui difficoltà d’uso hanno troppe volte ingenerato rifiuti da parte degli utenti e in definitiva fallimenti dei progetti basati su firma digitale con smart-card. Io sono spesso in giro a proporre servizi di firma digitale remota e incontro nella maggior parte dei casi persone che mi dicono sempre le stesse cose, che le riassumo nelle seguenti 3 frasi:
“Abbiamo fatto un progetto di firma digitale, ma poi nessuno l’ha utilizzata”
“Con il progetto di firma digitale abbiamo fatto un bagno di sangue e adesso i nostri responsabili non ne vogliono più sentire parlare”
“La firma digitale ce l’abbiamo, ma la utilizziamo solo per la conservazione sostitutiva”
Le affermazioni fatte da chi ha “provato” ad usare la firma digitale nei suoi processi documentali, parlano di una tecnologia ancora oggi complicata, costosa e utilizzata per scopi marginali.
Dalle analisi del F.E.S.A. (Forum of European Supervisory Authorities for Electronic Signatures) http://www.fesa.eu/ è emerso che nel 2002 l’Italia era con 500.000 certificati lo Stato con la maggiore diffusione di certificati, seguita dalla Norvegia con 32.000 e dalla Germania con 26.000. Nel primo trimestre 2004 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato 1.250.000 unità e, ad oggi, abbiamo superato la soglia di 3.200.000 di unità. Questi numeri suggerirebbero un grande utilizzo dello strumento firma digitale in Italia, mentre così non è, in quanto gli oltre 3 milioni di firme digitali vengono utilizzate principalmente per adempimenti obbligatori di ordine amministrativo/fiscale (tipicamente l’invio telematico dei bilanci delle società alle CCIAA) e dove molto spesso, i titolari dello strumento delegano l’operazione di firma a chi, per loro conto, è incaricato agli adempimenti di cui sopra (leggasi ragionieri, commercialisti, avvocati, ecc.).
In altri termini, la firma digitale è una tecnologia necessaria e diffusa, ma ancora oggi complicata da usare.
Sono il Dottor Luca Puccetti presidente della Società Medica Interdisciplinare Promed Galileo. Comunico che la Società sostiene pubblicamente le posizioni espresse chiaramente dall’Avvocato Lisi in merito al valore legale del cosiddetto certificato on line di malattia. Un certificato è un atto pubblico che fa fede fino a querela di falso. Affinché un “certificato” digitale possa essere anche solo logicamente, prima che legalmente, considerato equivalente ad un atto cartaceo con firma autografa devono essere rispettate almeno 2 condizioni. La prima è l’identità certa del firmatario che, a nostro avviso, si può ottenere solo con la coesistenza di due requisiti: qualcosa che si sa e qualcosa che si ha. Attualmente solo 3 regioni (Emilia Romagna, Lombardia e Toscana consentono un accesso ANCHE tramite smart card (qualcosa che si ha) e non solo tramite credenziali (qualcosa che si sa). Da ricordare a tale proposito che parti delle credenziali sono facilmente desumibili quanto allo username, dato che trattasi del CF di professionisti iscritti ad albi di pubblica consultazione. Risulta pertanto facile per chiunque bloccare l’accesso del medico al sistema dato che basta inserire per 3 volte password errate conoscendo il CF. Oltre all’identità certa occorre la certezza dell’integrità del contenuto del documento digitale. Attualmente il pdf ed il sistema preposto alla Comunicazione (attenzione, non è un certificato) telematica dei dati personali e clinici dei lavoratori ammalati non risponde affatto a tali requisiti di certezza dell’integrità del contenuto. Quindi il cosiddetto certificato on line non è un certificato, ma una mera comunicazione di dati sanitari e personali per via telematica.
Vedasi al proposito il comunicato diramato il 1 dicembre 2010 dalla Società.
http://www.promedgalileo.org/documenti/comunicatostampa01122010.pdf
Inoltre permangono intatti tutti i dubbi inerenti alla mancanza di indicazioni sui responsabili e gli incaricati dei vari trattamenti dei dati sanitari e personali comunicati dato che l’informativa è del tutto assente.
Del tutto impropria, e incoerente sul piano logico l’obbligo di indicare da parte del medico il domicilio di reperilità di malattia e di residenza dell’interessato ed addirittura, in base ad un recente emendamento nel decreto lavoro, addirittura l’eventuale responsabilità di terzi. Queste informazioni infatti sono comunicabili ed autodichirabaili esclusivamente dall’interessato.
Fin qui la posizione della Società Medica Interdisciplinare.
In aggiunta a ciò, a mero titolo personale, nutro forti dubbi sulla firma remota, almeno per tali scopi. Così come solo il cervello del firmatario controlla il braccio e la mano, in modo eguale sostengo che la firma di un documento di tale importanza possa avvenire solo mediante sistemi che siano sotto il pieno ed esclusivo controllo del firmatario, senza dover far ricorso a sistemi controllati da terzi.
Se la firma remota comporta l’utilizzo di strumenti che non siano sotto il pieno ed esclusivo controllo del firmatario non la ritengo uno strumento idoneo a sostituire la firma autografa o la firma digitale propriamente detta.
Se una cosa è complicata non si devono abbassare i requisiti di certezza per favorirne la diffusione. Se infatti si diffondesse un sistema insicuro o potenzialmente modificabile da terzi, sia pure fosse l’Amministrazione, i danni sarebbero incalcolabili, non solo per gli utilizzi impropri ed illegittimi potenziali, ma anche per la diffidenza che si diffonderebbe tra i cittadini circa l’implementazione di tali modalità di firma.
Basti pensare a come la vicenda wikileaks abbia dimostrato quanto sia possibile diffondere materiale rigorosamente classificato.
Assolutamente condivisibili anche i dubbi dell’Avvocato Lisi in merito al formato, al supporto e agli incaricati per la conservazione di tali documenti. La carta ha fatto arrivare a noi Aristotele e Platone, la pietra la Stele di Rosetta, qualcuno ci aveva detto che i supporti digitali erano durevoli, poi ci siamo accorti che i nostri CDROM di Lucio Battisti, pur se ben conservati, erano inascoltabili…dopo nemmeno 15 anni.
Assolutamente sproporzionate poi le sanzioni previste per chi non ottemperi all’invio della comunicazione di malattia on line. Tali fattispecie di pena in un paese serio sono irrogate a chi sia reo di delitti gravissimi.
Del tutto aberrante l’impostazione valoriale alla base della normativa che regola attualmente il certificato di malattia che obbliga un cittadino a dover far ricorso ad una struttura sanitaria pubblica o ad essa equiparata (medico di medicina generale, ad esempio) per le seconde certificzioni di malattia nell’anno o per certificazioni superiori a 10 giorni. Dato che si può certificare una prognosi lavorativa per malattia in pienezza di scienza e coscienza solo se si conosce il paziente (clinicamente psicologicamente ed ambientalmente), non si comprende come sia possibile farlo da parte di medici che il cittadino non abbia scelto come curanti, ma che gli siano stati imposti e che dunque egli non abbia scelto. Trattasi di una palese violazione di ben 2 articoli della nostra Carta Costituzionale.
cordiali saluti
il Presidente della SMIPG
Dottor Luca Puccetti Pisa
Grazie anche a lei Presidente Puccetti Pisa per il suo commento sul tema e le ulteriori informazioni fornite. Non siamo voluti entrare nel merito della controversia ANORC/Palazzo Vidoni in quanto riteniamo l’Avv. Lisi persona autorevole che sta manifestando un dubbio più che lecito e condiviso. Per quanto riguarda il tema, firma remota, firma sicura? mi permetto di suggerirle i seguenti due post:
https://firma-facile.it/2010/09/04/firma-facile-firma-sicura/
https://firma-facile.it/2010/09/07/giuristi-del-sole-control-filosofi-del-pkcs7-e-venditori-di-caffe/
ribadendo comunque un concetto espresso nel secondo post indicatoLe, che in casi di dubbi e perplessità, sugli ultimi aggiornamenti normativi (e ce ne sono!) e sugli aspetti tecnici di riferimento per l’utilizzo della firma remota (token OTP, certificazione Common Criteria, formati di firma, ecc.), è sempre bene rivolgersi direttamente a DigitPA Ufficio Sicurezza che insieme all’OCSI sono gli unici soggetti istituzionali che possono garantire che quanto proposto/venduto sia “a norma”.