Per poter analizzare nel dettaglio le problematiche di sicurezza dello stato civile è necessario dapprima analizzare il contesto organizzativo in cui esso opera. Attualmente negli 8109 comuni italiani esistono quattro registri cartacei relativi a nascita, cittadinanza, matrimonio e morte tenuti in doppio originale (comune e prefettura di competenza o meglio chiamati Uffici Territoriali del Governo), un registro annuale con gli estremi degli atti trattati nell’anno ed infine i fascicoli con la documentazione correlata agli atti registrati. Infine esistono i consolati italiani all’estero che in pratica operano come delle vere e proprie delegazioni di stato civile. Tale contesto organizzativo si incastona in una situazione nazionale dove nello specifico il 90% dei comuni italiani ha meno di 15.000 abitanti e solo l’1% di comuni hanno oltre 100.000 abitanti mentre 4100 comuni sono localizzati in territorio montano con una popolazione spesso inferiore ai 2000 abitanti, per complessivi 10 milioni di abitanti. Ad oggi la gestione degli archivi di stato civile ha la finalità di comprovare con certezza e nel tempo, il complesso degli stati che qualificano la personalità giuridica dell’individuo e ne è la fonte primaria. Questi stati sono cosi raggruppati:
- tutti gli atti sono sottoscritti dall’Ufficiale di Stato Civile (USC) (alcuni anche dalle parti);
- eventuali annotazioni, rettifiche o correzioni sono riportate in aggiunta e controfirmate dall’USC;
- gli atti possono avere annotazioni, rettifiche e variazioni durante l’intera vita del cittadino;
- le altre anagrafi della popolazione sono aggiornate a seguito di eventi di stato civile.
Il compito dell’Ufficiale di Stato Civile (per brevità lo denomineremo USC) è quello di reperire un atto su richiesta del cittadino. Tale atto ha una sua consistenza, un suo valore e viene annotato nei registri. Questa operazione viene fatta d’ufficio rendendo sempre vivo questo archivio che vive e svolge una funzionalità sua propria. Lo stato civile prevede un complesso sistema di comunicazione e ridondanza delle registrazioni in quanto l’ufficiale di stato civile scambia comunicazioni con i seguenti soggetti:
- uffici di stato civile di altri comuni, per trascrizioni/annotazioni (esempio sull’atto di nascita sono annotati tutti gli eventi successivi, come matrimoni, cittadinanza, morte, cambio di generalità, separazioni, divorzi, etc);
- uffici anagrafe dello stesso comune (residenti come da APR- Anagrafe della popolazione residente) e AIRE anagrafe dei residenti degli italiani all’estero);
- Centro Nazionale dei Servizi Demografici (centro nazionale di raccolta);
- Consolati italiani all’estero;
- Scambi di informative anche con strutture ospedaliere, uffici parrocchiali, uffici giudiziari (i quali richiedono di trattare dati giudiziari che necessitano di ulteriore tutela e riservatezza), consolati stranieri in Italia.
Nello specifico lo stato civile tiene una doppia copia della documentazione prodotta e cioè una è tenuta presso l’ufficio di stato civile del comune di residenza e l’altra originale viene tenuta nella prefettura di competenza territoriale (UTG). Nello specifico le copie degli atti di stato civile sono tenute anche nel comune di residenza. La normativa dello stato civile italiano si basa sul DPR 396/2000 e sul DPR 445/2000.
Nello specifico l’art. 10 del DPR 396/2000 enuncia il cosiddetto concetto di archivio informatico:
“Art. 10 del DPR 396/2000 (Archivio informatico)
Tutti gli atti di stato civile formati nel comune (o comunque relativi ai residenti) sono registrati e
conservati in un unico archivio informatico
Le modalità tecniche per l’iscrizione, la trascrizione, l’annotazione, la trasmissione e la tenuta degli atti dello stato civile stabilite con successivo DPCM sulla base di alcuni principi e criteri direttivi:
a)formazione degli atti su base informatica e conservazione dei dati sia nel luogo in cui sono formati gli atti che nel comune di attuale residenza della persona cui si riferiscono;
b) garanzia della sicurezza e dell’inalterabilità dei dati, una volta formati e sottoscritti i relativi atti, e possibilità della loro rettificazione ed annotazione;
c) trasmissione telematica dei dati, nel rispetto della riservatezza
d) istituzione di un centro nazionale di raccolta contenente tutti i dati registrati negli archivi informatici comunali per assicurarne la conservazione, con funzioni di disaster recovery e di operatività sostitutiva verso i comuni; dati conservati separatamente per ciascun comune;
e) possibilità di redigere provvisoriamente gli atti su base cartacea sotto forma di processo verbale, in caso di inutilizzabilità temporanea dei sistemi informatici, con successiva acquisizione nell’archivio informatico;
f) adozione, per gli atti formati all'estero dalle autorità diplomatiche o consolari, di strumenti
analoghi;
g) Definizione indicazione delle modalità e fissazione del termine a partire dal quale potranno essere attivati e di quello entro il quale dovranno essere resi pienamente operanti gli archivi di cui al comma 1 prevedendo eventualmente una fase preliminare di sperimentazione;
h) definizione delle modalità e dei tempi per la graduale acquisizione del pregresso.”
La definizione di archivio informatico contenuta nel dettame normativo di cui sopra, però ad oggi a distanza di 8 anni dall’entrata in vigore non ha trovato nel concreto una sua applicazione. Infatti ad oggi non è consigliabile eliminare il cartaceo in quanto il digitale non dà sufficienti garanzie di sicurezza. La normativa ad oggi non esclude il cartaceo e quindi prevede il sistema del doppio binario (cartaceo e digitale) . Nonostante ciò comunque in Italia si è passati ad analizzare l’automazione di archivi, certificati e comunicazioni di stato civile con valore legale delle registrazioni informatiche e delle comunicazioni via rete. Per poter analizzare tale automazione è stata proposta una soluzione tecnico-organizzativa complessa che garantisca i seguenti concetti:
- l’inalterabilità e la movimentazione dei registri durante l’intera vita dei cittadini e la successiva conservazione come Archivi di stato;
- assicurare le comunicazioni di stato civile e la coerenza delle registrazioni in un sistema ad alta ridondanza;
- agevolare l’operatività degli uffici e facilitare i servizi verso i cittadini.
Tale processo di automazione proposto ha l’obiettivo di effettuare determinate azioni che ci garantiscono i seguenti concetti:
- Certezza, autenticità e storicità del contenuto degli archivi;
- Coerenza, persistenza, riservatezza delle informazioni registrate;
- Conservazione nel tempo degli archivi e accessibilità al contenuto;
- Rendere automatiche le comunicazioni di stato civile ed eliminare errori di trascrizione e incoerenze tra atti ed annotazioni;
- Ridurre i tempi di lavorazione delle pratiche, di ricerca degli atti e di produzione dei certificati;
- Ridurre il volume degli archivi e fascicoli cartacei.
Tale processo prevede una metodologia che parte dapprima dall’analisi della situazione attuale (esamineremo il cosiddetto modello organizzativo e conservativo attuale) e dall’analisi dei processi, degli archivi e dei flussi di stato civile. Passeremo poi ad analizzare la conservazione a lungo termine per gli archivi digitali esaminando alcune teorie concettuali e verificheremo i risultati raggiunti. Successivamente studieremo i nodi concettuali per assicurare l’autenticità del dato anagrafico, l’accessibilità e l’usabilità/fruizione (esamineremo la gestione dei metadati per la conservazione secondo lo standard ISO OAIS). Tale processo metodologico relativo alla conservazione ed archiviazione del dato si incastona in uno specifico quadro di riferimento della normativa nazionale cosi dettagliato:
- Testo unico dpr 445/2000 (Disposizioni legislative in materia di documentazione amministrativa) e il dpcm 31 ottobre 2000 (Regole tecniche per il protocollo informatico);
- DPCM 13 gennaio 2004 “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”;
- Deliberazione CNIPA n° 11/2004 “Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali;
- Dlgs 82/2005 - codice dell’amministrazione digitale;
- DPR 12 aprile 2006 n° 184 «Regolamento recante disciplina in materia di accesso ai documenti amministrativi».
Come metodologia da utilizzare è stata fatta una proposta dal comitato scientifico e tecnologico per l’automazione dello stato civile e la conservazione degli atti che consiste nella reingegnerizzazione dei processi di stato civile cosi esplicitata nelle seguenti fasi:
a) Esigenza di adeguamento della normativa di stato civile;
b) I processi di stato civile nel nuovo scenario;
c) Vidimazione dei registri;
d) Il processo di formazione, firma, annotazione di un atto di stato civile;
e) Formazione e annotazione di un atto, stampa e archiviazione;
f) Firma digitale degli Ufficiali di Stato Civile (e dei cittadini);
g) Chiusura annuale dei registri comunali e alimentazione del deposito nazionale;
h) Gestione del pregresso;
i) Le comunicazioni di stato civile.
Successivamente tale processo di automazione consente di verificare i seguenti elementi:
a) Struttura dei dati e degli archivi di stato civile digitali (atti, annotazioni e rettifiche, firma
digitale);
b) Piattaforma tecnologica per la gestione degli archivi di stato civile;
c) Gestione del deposito nazione dei registri digitali di Stato Civile;
d) Automazione dei servizi di stato civile a livello comunale
Dopo aver verificato il processo di automazione dello stato civile è necessario anche verificarne l’informatizzazione dei suoi flussi che consente di esaminare le seguenti componenti:.
• Architettura di interscambio e cooperazione per i flussi di stato civile;
• Strutturazione di flussi di stato civile;
• Modalità di gestione dei Flussi;
• Architettura di sicurezza dei flussi di comunicazione;
• Architettura del sistema di Controllo, Monitoraggio e Allarme.
Ma se risulta importante stabilire una metodologia per l’automazione dei flussi dello stato civile, lo è altrettanto fissare delle politiche di sicurezza e delle procedure di conservazione a lungo termine degli archivi di stato civile. Passiamo ora ad analizzare l’architettura di rete relativa ai flussi di stato civile utilizzando un modello di progettazione di tipo UML (Unified Modeling Language, "linguaggio di modellazione unificato" cioè un linguaggio di modellazione e specifico basato sul paradigma object-oriented):
Nella parte sinistra del grafico sono evidenziati tutti gli elementi di input come gli uffici Parrocchiali, gli uffici giudiziari mentre nella parte centrale viene visualizzato il sistema comunale, il sistema consolare ed in basso il sistema di vigilanza e sicurezza. Questo è un flusso organizzativo che verrà utilizzato nell’ambito dello stato civile. Nello specifico faremo un esempio di processo di formazione, annotazione e firma di un atto di stato di civile utilizzando delle modalità telematiche tramite strumenti di innovazione tecnologica. Per prima cosa definiamo uno standard xml, successivamente definiamo una modalità di comunicazione dei dati anagrafici tra il comune, l’UTG di competenza ed il Centro Nazionale dei Servizi Demografici. In questo modo abbiamo raggiunto l’obiettivo di eliminare una copia cartacea e trasformare la seconda originale in copia elettronica e mantenere la copia cartacea in originale, iniziando cosi il processo di dematerializzazione. Tutto ciò richiederà un lavoro organizzativo notevole ed avrà una grossa incidenza economica sul bilancio statale.
I SERVIZI ELETTRONICI PER LA SICUREZZA NELLO STATO CIVILE
I servizi elettronici utilizzati per la sicurezza nello stato Civile in Italia sono la cosiddetta Porta di accesso ai domini applicativi del CNSD (Centro Nazionale dei Servizi Demografici) che è intesa come unico punto di accesso ai servizi applicativi del CNSD; il backbone del CNSD ovverossia l’infrastruttura per la sicurezza e la certificazione delle comunicazioni che fornisce a livello architetturale i seguenti servizi:
- Documentazione e certificazione dei flussi;
- Controllo degli accessi;
- Gestione delle politiche di accesso.
Tutti gli accessi ai servizi offerti dal CNSD devono avvenire esclusivamente tramite la porta di accesso ai servizi applicativi del CNSD. Il CNSD garantisce il controllo dei flussi di aggiornamento della coerenza. Nello specifico la porta di accesso ai domini applicativi del CNSD deve assicurare il controllo degli accessi, la gestione in sicurezza del canale di comunicazione ed infine il monitoraggio degli incidenti (eventi di allarme per la sicurezza). Esaminiamo per prima il controllo degli accessi che si esplicita nell’identificazione della struttura organizzativa (comune, prefettura,etc), identificazione delle postazioni di lavoro remote, abilitazione delle postazioni di lavoro remote, attivazione dei servizi del CNSD sulle postazioni di lavoro remote. Successivamente il secondo elemento, la gestione in sicurezza del canale di comunicazione consente di:
- identificare le parti;
- crittografare i flussi informativi;
- utilizzare la firma digitale dei flussi informativi;
- effettuare la tracciatura dei servizi erogati (non ripudio).
Per quanto concerne infine il monitoraggio degli incidenti esso consente di avere conoscenza sui tentativi di accesso illecito, sull’uso improprio ad esempio delle postazioni di emissione CIE (Carta d’identità elettronica) e della porta di accesso comunale, delle anomalie nei processi anagrafici e demografici e di effettuare una pianificazione organizzativa e temporale in termini analisi degli incidenti e di supporto conoscitivo agli interventi ed alle ispezioni sul territorio.
Le politiche di sicurezza nello stato civile sono analizzate ed applicate dal sistema di supporto per la vigilanza che consente la conservazione a lungo termine degli archivi di stato civile
Lo stato civile presenta alcune peculiarità cosi elencate:
a) Automazione e conservazione di registri, non di singoli documenti;
b) Atti aggiornati nei registri di anni precedenti;
c) Fatti correlati riportati in atti presenti in registri tenuti in luoghi differenti (es. matrimonio e annotazione su atto di nascita);
d) Aggiornamento del registro nel comune e del secondo originale in prefettura;
e) Registri “movimentati” lungo tutto il periodo di vita dei cittadini successivamente conservati negli Archivi di Stato.
Una questione fondamentale è quella di assicurare nel lungo periodo l’autenticità, l’inalterabilità e l’usabilità dei registri. Un atto di Stato Civile è un oggetto che ha una vita molto lunga, anche più di 100 anni può subire variazioni e si arricchisce di tutti gli avvenimenti che segnano l’esistenza di un soggetto mediante le annotazioni. L’inalterabilità è constatabile dall’esame del supporto mentre l’autenticità è assicurata dalla firma apposta dall’ufficiale di stato civile che ha formato o trascritto
l’atto e quelle degli ufficiali di stato civile che hanno successivamente apposto annotazioni e variazioni. A seguito di ampie discussioni sul tema si è consolidata la convinzione che la “firma digitale”, in luogo della firma autografa, sia finalizzata ad attestare l’autenticità del documento, mentre mal si presta a coprire le esigenze a fini di conservazione di oggetti così complessi. L’automazione completa dei registri di stato civile, ovvero la gestione dei soli archivi digitali, appare ancora prematura poiché non si riescono ad assicurare pienamente i requisiti di conservazione e di autenticità richiesti. L’analisi delle esigenze relative alla gestione operativa dei procedimenti di stato civile, alla tenuta e conservazione dei registri, nonché alle attività di certificazione, richiede di agevolare:
• la funzione di certificazione verso i cittadini;
• la circolazione degli eventi di stato civile al fine di assicurare il tempestivo e coerente aggiornamento sia dei registri di stato civile tenuti da altri comuni (comunicazioni tra uffici di stato civile di comuni diversi) che dei registri di anagrafe (comunicazioni ufficio di stato civile- uffici di anagrafe);
• le funzioni di vigilanza delle prefetture e la tenuta del secondo originale dei registri di stato civile
Si ritiene in ogni caso utile intraprendere un processo di automazione graduale che è cosi suddiviso:
1) Automazione “ibrida” degli archivi- almeno per una prima fase si prevede la coesistenza di archivi cartacei con archivi informatizzati, unitamente alla gestione delle notifiche di stato civile e la gestione del deposito nazionale degli archivi informatizzati (Gestione Archivi Stato Civile);
2) Gestione delle certificazioni sugli archivi informatizzati (Gestione Servizi Stato Civile);
3) Sistema di supporto alle funzioni di supervisione e di vigilanza delle prefetture.
4) Automazione delle comunicazioni di stato civile (funzioni base del sistema di interscambio Stato Civile) tra:
• uffici di stato civile di comuni diversi e Consolati;
• uffici di stato civile ed uffici di anagrafe;
• uffici di stato civile e CNSD;
5) Automazione successiva delle comunicazioni con i numerosi enti esterni, evidenziati dall’analisi dei processi (uffici giudiziari, ospedali, capitanerie di porto, autorità ecclesiali.) Tali funzioni sono estese al sistema di interscambio Stato Civile.
A questo punto è stata fatta dal comitato scientifico una proposta generale che si basa sull’automazione “ibrida” degli archivi, ovvero la coesistenza di archivi cartacei con archivi informatizzati, unitamente alla gestione delle notifiche di stato civile. Tale affermazione genera la seguente situazione:
- l’archivio cartaceo “tradizionale” costituisce l’originale, assicura i requisiti di autenticità e conservazione ed è tenuto presso il comune
- l’archivio informatizzato, sempre tenuto presso il comune, costituisce una “copia autentica”, utilizzata a fini operativi per le comunicazioni e le certificazioni di stato civile
- la copia degli archivi informatizzati dei comuni è tenuta nel Centro di Raccolta Nazionale presso il CNSD, disponibile per ciascuna prefettura e come copia di sicurezza e di supporto per i singoli comuni. La proposta di automazione delineata risponde al complesso delle esigenze e dei requisiti rilevati, sia di operatività che di conservazione e rende possibili delle importanti semplificazioni, da avallare con il necessario intervento normativo. Una problematica che si è venuta a delineare a seguito dell’analisi del processo di automazione è quella inerente l’allineamento dell’archivio cartaceo con l’archivio informatizzato in quanto costituisce un punto critico di attenzione. L’allineamento può essere supportato dalla tecnologia, rimane la specifica responsabilità dell’Ufficiale di Stato Civile nell’effettiva trasposizione di tutti gli atti e di tutte le annotazioni in entrambe le tipologie di archivi. Inoltre richiede apposita azione di vigilanza in merito al corretto operato dell’ufficio di Stato Civile. Anche oggi, nella gestione tradizionale, l’allineamento tra archivi presso il comune e presso la prefettura è problematico, nonché la coerenza delle annotazioni sul registro di nascita rispetto agli altri atti. Esistono però alcune possibili diverse semplificazioni come eliminare il “secondo originale” dei registri conservato e gestito dalle Prefetture, la cui funzione può essere più agevolmente assunta dalla copia informatizzata, tenuta presso il CNSD e resa disponibile a ciascuna Prefettura, oppure semplificare i processi e la gestione documentale degli uffici (es. eliminare la trascrizione degli atti per variazioni di residenza, ridurre i documenti mantenuti nei fascicoli, semplificare la formulazione degli atti). Infine è possibile anche semplificare i processi di comunicazione tra i diversi uffici di stato civile/consolati nonché verso l’anagrafe, con l’automazione dei flussi di notifica, e consentire una migliore affidabilità nel complesso sistema di annotazioni/trascrizioni/registrazioni nei diversi registri coinvolti razionalizzando e standardizzando il contenuto dei fascicoli.
Gli Archivi cartacei
Presso ciascun comune sono conservati ed aggiornati i registri cartacei.
Il Centro Nazionale di Raccolta del Ministero dell’Interno
Gli archivi digitali dei comuni sono raccolti nel deposito nazionale presso il Centro nazionale di raccolta del Ministero dell’Interno, dove si conserva la stratificazione degli atti con tutte le successive annotazioni/rettifiche sulle quali non è effettuata alcuna manipolazione sul contenuto dei dati provenienti dai comuni ed i dati memorizzati sono crittografati al fine di garantirne la protezione rispetto ad accessi indesiderati assicurandone le funzioni di conservazione, comprese le migrazioni necessarie, fin tanto che gli archivi sono “in vita” (Backup, disaster recovery e business continuity verso i comuni) e contestualmente si provvede alla gestione e dei certificati di firma e degli algoritmi di crittografia per assicurare nel tempo la leggibilità dei contenuti.
La conservazione dei Registri di Stato civile negli Archivi di Stato
Attualmente i registri trasferiti negli archivi di stato sono quelli delle Prefetture. La proposta prevede di eliminare il “secondo originale” presso le prefetture per cui sarà necessario adeguare la normativa e prevedere la raccolta dei registri cartacei comunali dopo un tempo congruo (es. 120 anni).
Il Digitale
Il passaggio al digitale rappresenta una delle condizioni necessarie per l’abbandono del cartaceo. Occorre studiare, definire e sperimentare le modalità tecniche ed organizzative per assicurare che siano predisposte le strutture necessarie ad accogliere e gestire gli archivi digitali di stato civile. Per la conservazione degli archivi digitali è indispensabile predisporre mezzi e procedure per gestire le inevitabili migrazioni per l’evoluzione delle piattaforme tecnologiche, salvaguardando i contenuti.
La struttura degli archivi digitali e la meta-informazione necessaria alle funzioni di ricerca/archiviazione/conservazione
Sarà necessario costruire un’architettura basata sui seguenti elementi:
- Modelli XSD dei dati per la definizione delle strutture dei documenti e dei registri;
- Metadati per la descrizione delle informazioni di identificative, di contenuto e di contesto;
- XML per la rappresentazione dei dati;
- XML-Enabled DBMS in una fase iniziale per la memorizzazione, aggiornamento e interrogazione dei dati prevedendo la sperimentazione di XML-Native DBMS per verificare la loro affidabilità nel trattare grossi quantitativi di informazioni.
Attualmente gli ufficiali di stato civile in Italia possono firmare digitalmente i propri atti con l’utilizzo della firma digitale anche se nella stragrande maggioranza dei comuni italiani si utilizza solamente il cartaceo in quanto ancora non si è concretizzato il processo di dematerializzazione dei documenti.
MISURE DI PREVENZIONE PER EVITARE ACCESSI INDESIDERATI ALLE BANCHE DATI
Per evitare accessi indesiderati alle banche dati anagrafiche e di stato civile è possibile utilizzare le seguenti contromisure già previste dal garante:
a) Procedure di autenticazione robuste (evitare l’uso del codice fiscale che si presta ad attacchi di tipo social engineering);
b) Regolamentazione dell’accesso alle banche dati anagrafiche solo tramite numerazione di rete ip di pertinenza dei singoli uffici coinvolti;
c) Accesso solo in determinati temporali predefiniti o definiti sulla base dell’esigenze d’ufficio;
d) Accesso solo da postazioni di lavoro autorizzate appartenenti alla rete ip dell’ente autorizzato;
e) Profilazione degli utenti mediante procedure di autenticazione di tipo strong authentication (dati biometrici)
LE CRITICITA’
Nello stato civile si evidenziano le seguenti criticità:
1) Come assicurare l’autenticità, l’inalterabilità e la coerenza dei registri di stato civile, intesi come complesso documentale?
2) Come assicurare nel tempo i requisiti di conservazione?
3) Come affrontare e gestire il processo?
4) Come garantire la tutela della riservatezza e della privacy?.
Tutti questi interrogativi ad oggi non hanno trovato una soluzione definitiva ma solo delle proposte…
[1] Il presente lavoro riprende e rielabora ampiamente idee, concetti espressi nell’ambito dell’esperienza formativa del Master di II° livello in Sicurezza Informatica e Tutela della Privacy frequentato dall’autore.