di Enrico Consolandi, Presidente sezione Famiglia, Tribunale di Brescia
Con questo breve scritto, si intende rappresentare una proposta di evoluzione tecnologica della giustizia nella direzione di rendere effettiva e concreta la possibilità di consentire ai cancellieri di tutta Italia di poter lavorare senza dover accedere fisicamente sul luogo di lavoro, con un progetto che si auspica trovi ampia condivisione e adesione.
La finalità di tale progetto è triplice:
- consentire nel tempo dell’epidemia che gli atti difensivi e i provvedimenti giurisdizionali depositati telematicamente da avvocati e magistrati vengano accettati “da remoto” da parte del personale che dovesse trovarsi in quarantena o che fosse assegnato al lavoro agile dal proprio domicilio. Modalità, quest’ultima, che già adottata largamente per diminuire il contatto sociale all’interno degli uffici, ha tuttavia indebolito le possibilità degli uffici giudiziari di utilizzare il PCT. Ciò soprattutto nel periodo compreso tra il 12 maggio e la fine di luglio, in cui l’attività giudiziaria riprenderà, ma saranno ancora necessarie misure di contenimento della socialità che renderanno disponibile poco più della metà del personale ordinario di Cancelleria;
- consentire la flessibilità del personale anche una volta passata la epidemia, risolvendo con il telelavoro i problemi derivanti dalla disomogeneità territoriale fra domanda di lavoro e necessità degli uffici giudiziari, alla base di una ormai strutturale carenza negli uffici del Nord Italia;
- offrire migliori condizioni di lavoro al personale, diminuendo gli spostamenti e i connessi costi personali e collettivi, migliorando l’equilibrio vita privata/lavoro e anche l’impatto ecologico degli spostamenti dei lavoratori.
Quali sono i problemi da affrontare:
- una policy di sicurezza, riservatezza e confidenzialità;
- le complessità tecniche;
- le complessità organizzative.
Analizziamoli specificatamente, partendo dalla considerazione che i tre argomenti sono inevitabilmente connessi.
1. Policy
Il problema di policy è quello più facilmente risolvibile: trattandosi solo di regole di comportamento poste dal Ministero per sé stesso, le policy possono essere mutate con la previsione della nuova organizzazione di lavoro e contemplando differenti misure di sicurezza.
Quanto alla riservatezza ed alla confidenzialità, sarà necessario raccomandare al lavoratore “domiciliare” di evitare ai familiari ed ai conviventi di vedere il lavoro in corso, soprattutto se si decida di utilizzare anche la teleconferenza per le comunicazioni.
Certo, però, questo mutamento dipende dalle soluzioni tecniche, le quali influenzeranno l’organizzazione.
Alla fine, dunque, ciò che guida è la soluzione tecnica, secondo del resto il noto aforisma “il mezzo è il messaggio”.
2. La questione tecnica
Si tratta di dotare il personale di notebook collegati in VPN, o mediante altra soluzione tecnologica, alla rete Giustizia attraverso Endpoint opportunamente collocati. Il collegamento crea una sorta di tunnel protetto da crittografia tra il notebook e l’endpoint, instradando tutto il traffico generato verso la rete Giustizia, con la conseguenza che il notebook utilizzato dall’utente opera come se fosse fisicamente collocato in un ufficio interno alla struttura medesima.
La amministrazione è probabilmente già dotata di strumenti per la configurazione di VPN ed endpoint, perché questi sono presenti nei più diffusi meccanismi di gestione e protezione delle reti professionali, e non solo.
Va valutata la banda di trasmissione, che comunque non dovrebbe essere eccessiva e, comunque, si potrebbe procedere gradualmente, in funzione delle installazioni possibili, verificando lo stress delle connessioni e della banda disponibile.
Se tutto il traffico generato dal notebook del cancelliere viene instradato verso rete Giustizia, non sarà possibile accedere a siti o servizi cui non sarebbe possibile accedere dall’ ufficio, garantendo così adeguato livello di protezione e sicurezza.
La VPN può connettere il notebook affidato al Cancelliere con un computer della rete giustizia, che può essere:
- direttamente il server di Giustizia;
- il computer del singolo cancelliere in ufficio, che resterà acceso;
- un computer appositamente predisposto per interfacciarsi con i client esterni, il c.d. end-point.
La soluzione qui illustrata è la terza.
Tramite il collegamento VPN, il computer in dotazione al personale in lavoro agile – e poi eventualmente telelavoro – sarà proiettato sulla rete Giustizia e potranno quindi essere utilizzati i normali strumenti di gestione dei registri.
Se la connessione VPN è preconfigurata sul notebook, non sarà necessario alcun intervento da parte del Cancelliere e la macchina si troverà collegata alla rete Giustizia immediatamente dopo avere acceso il computer e attivata la connessione internet.
Al di là della realizzazione della VPN e configurazione dei client, non sarà necessario particolare impegno del personale, essendo richieste in sostanza le sole cognizioni necessarie all’ordinario utilizzo di Sicid e Siecic, o SICP, se si volesse utilizzare anche per il penale.
Le caratteristiche del programma utilizzato per la gestione dei registri, un client dei database Oracle, non prevede la archiviazione dei documenti in locale e, dunque, non espone i dati a rischi sulle macchine client, che potrebbero essere configurate in modo estremamente semplice per svolgere quasi soltanto la funzione richiesta.
I sistemi operativi per server e router ed anche quelli per client, quali windows 10, comprendono strumenti di gestione delle VPN: conseguentemente si tratta soltanto di configurare le macchine, lavoro che i tecnici possono realizzare anche da remoto in lavoro agile. Per gli stessi motivi, i tecnici addetti, in caso di necessità, potrebbero essere facilmente aumentati con appositi contratti, anche in tempi di epidemia, poiché compatibili con il lavoro a distanza.
Rispetto ad una configurazione punto a punto, una connessione cioè dal computer remoto al singolo computer del cancelliere, appare preferibile la creazione di un unico end-point nel quale creare l’accesso del computer “domiciliare” alla rete giustizia, e quindi ai server Sicid e Siecic, nei modi ordinari.
L’end-point altro non è che una macchina idonea a consentire l’ingresso dei notebook dei cancellieri sulla rete giustizia, come avviene per il lavoro da remoto dei giudici nel processo civile telematico.
Dovrà essere coinvolto necessariamente chi gestisce il firewall della rete, anche per definire le politiche di sicurezza.
La riservatezza delle comunicazioni tra notebook ed endpoint è garantita dalla crittografia della connessione VPN ed il notebook sarà riconosciuto univocamente dall’EndPoint grazie ad un certificato o ad uno ‘shared secret’ (in pratica una chiave crittografica complessa preconfigurata e nota solo al singolo notebook e all’EndPoint). Il certificato di protezione, ove si ricorresse a questa soluzione, può essere generato internamente e non richiede una autorità esterna di certificazione.
Questo rende superflua la firma digitale e la sua gestione, perchè in pratica il token di accesso, per la autenticazione forte “what you have”, diventa il computer stesso.
Occorre, per motivi di sicurezza, che sulle macchine client sia installata una certificazione, sia, come detto, per la autenticazione, sia per la criptazione delle comunicazioni, secondo i comuni metodi dei protocolli VPN, dei quali il più usato è quello IPsec.
E’ opportuno utilizzare un certificato prodotto dalla organizzazione Giustizia piuttosto che quelli delle firme digitali, che richiedono la emissione da parte di terzi, sono a pagamento e non di pronta disponibilità.
Le certificazioni saranno generate ed installate nel sistema operativo delle macchine client al momento della loro configurazione.
3. Profili di organizzazione
LE MACCHINE
Le macchine client, cioè i notebook, dovranno essere fornite dal Ministero ed all’uopo in molti uffici sono ancora disponibili un certo numero di computer portatili Lenovo e Toshiba restituiti dai magistrati che hanno avuto in sostituzione i portatili HP, che sono ancora presso gli economati di molti uffici.
Ove non ve ne siano, potrà essere acquistato un certo numero di portatili, che possono essere di fascia medio/bassa, visti i limitati compiti da svolgere.
Queste macchine dovranno essere riconfigurate con installazione del sistema operativo Windows 10, ove non già presente; si inserirà poi l’utenza di amministratore, quella del cancelliere nel dominio giustizia e la VPN con certificati (o chiavi). Configurazione non personalizzabile dall’utente e fatta prima che le macchine vengano consegnate al cancelliere. La dotazione di programmi dovrà essere minima poiché non deve trattarsi di macchine utilizzabili per scopo differente dal lavoro su registri sicid e siecic, anche onde ridurre possibili rischi.
GLI IMPEGNI
Il cancelliere dovrà impegnarsi a utilizzare il computer solo per motivi di ufficio e ad osservare anche al domicilio le regole di riservatezza e confidenzialità, che per altro già lo vincolano in ufficio.
ENDPOINTS
Quanto all’end-point potrebbe essere uno solo, Che però potrebbe divenire un “collo di bottiglia” e con rischi su scala nazionale nel caso di caduta di quel singolo punto.
Perciò è probabilmente opportuno che siano più di uno, a seconda della configurazione delle politiche firewall che sezionano la rete giustizia in più frazioni.
Ogni end-point va presidiato e deve registrare il log delle operazioni di ciascun client: se farne troppi richiede un grosso impegno, accentrarli è rischioso per altri versi. Una dimensione di un end-point per distretto, essendo i db del civile distrettuali, è probabilmente la più corretta.
Il logging (registrazione cronologica delle operazioni) consente controllo e rilevamento di eventuali attività sospette, effettuabili per distretto.
Gli end point possono poi essere configurati per ridurre ancora i rischi di intrusione, per esempio interrompendo la connessione in certi orari, fuori dal lavoro come quelli notturni, o sorvegliando i troppo intensi scambi di dati.
4 . Conclusioni.
Dal lato “domiciliare” il computer, come detto, dovrà essere fornito e configurato dalla amministrazione.
Occorre una rete dati efficiente, il che non dipende tanto dal contratto privato del singolo lavoratore, piuttosto dalla collocazione geografica, poiché vi sono zone rurali di Italia con connessioni dati inadeguate.
In genere, però, le città e anche i paesi di medie dimensioni sono ben serviti.
Eventualmente, potranno esser acquistate dei router/modem portatili, le popolari “saponette”, con contratto in convenzione Consip: il consumo di dati non dovrebbe essere eccessivo, ma vi sono tessere senza limitazione dati o comunque molto ampie.
Il lavoratore agile dovrà assicurare un recapito telefonico per ogni comunicazione ed è opportuna la possibilità di teleconferenza, con programmi già in possesso della amministrazione come Teams.
Laddove necessario per modalità di lavoro in dual-screen, schermi e mouse ed eventualmente tastiere esterne, di riciclo, sono generalmente disponibili presso gli uffici, qualora non ne disponesse direttamente il cancelliere.
Il computer della amministrazione poi dovrà essere utilizzato solo per il lavoro, onde diminuire il rischio di infezione da virus e malware, l’utilizzo esclusivo in VPN su rete giustizia garantisce l’antivirus già utilizzato all’interno di questa.
E’ importante avere un helpdesk telefonico dedicato per risolvere le problematiche che si ponessero a domicilio ed un programma di intervento a distanza, per il che esiste già Bomgar, con limite contrattuale alla assistenza da remoto.
In definitiva le necessità per programmare e realizzare il lavoro agile sui registri di Cancelleria occorrerà, dopo aver definito nei dettagli il processo IT, ruoli e responsabilità:
- utilizzare le macchine in corso di dimissione;
- definire nuove politiche di sicurezza per consentire il VPN dei cancellieri e i criteri di log e controllo degli end-point e di sicurezza anche di impiego delle macchine client;
- procurare ampia disponibilità di tecnici per definizione macchine client e di end point, relativa configurazione con gestione e installazione certificati;
- incaricare personale per la sorveglianza degli end-point, che saranno macchine virtuali nelle server-farm ministeriali ed eventuale gestione dei certificati;
- la ricognizione del collegamento dati del domicilio del lavoratore ed eventuale distribuzione tastiere, mouse e schermi dismessi, con possibile acquisto di computers portatili e di qualche router/modem dati mobili e relativo contratto
- helpdesk e asssitenza da remoto al domicilio del lavoratore agile.
Obiettivi certamente perseguibili in un tempo medio breve.
5. Dal 12 maggio – fase 2
Quanto sopra costituiva un documento scritto nel primo periodo dell’epidemia, ai primi di marzo di quest’anno bisestile, prospettava una soluzione alla necessità della gestione dei registri civili dal domicilio: in alcuni Tribunali intere sezioni e relative cancellerie erano in quarantena e il contagio era in progressione geometrica incontrollata, non vi era personale per accettare gli atti telematici. Difatti molti Tribunali hanno bloccato il flusso del PCT, per altro l’unico ammesso nella epidemia per il processo civile, prima in forza di decreto d’urgenza ed ora per legge con la conversione del dl 18/2020.
Fin da allora era chiaro che era necessario modificare radicalmente le usuali prassi, per evitare paralisi di un servizio fondamentale quale è la amministrazione della giustizia. Una paralisi che, seppur non totale, poi è stata disposta per decreto legge sospendendo i processi fino al 11 maggio.
In particolare nel civile il PCT consente al magistrato il lavoro dal domicilio, ma necessita di una lavorazione ad opera del Cancelliere, a tutt’oggi non esposta sulla rete pubblica.
Eravamo chiamati e lo siamo ancor più oggi all’inizio della fase 2, a trovare nuovi modi della giurisdizione compatibili con il distanziamento sociale, per cui trasferire il lavoro dei Cancellieri al domicilio diventa fondamentale, come lo diventa trattare con udienze da remoto i processi che lo consentano.
E’ chiaro che la sperimentazione di questi periodi consentirà poi di decidere se mantenere o meno, e in quali ambiti, i nuovi strumenti.
La risposta ministeriale è giunta con una circolare del 2 maggio 2020, ove sul punto specifico si afferma:
“Si sono levate critiche per la limitatezza dei sistemi informatici messi a disposizione da remoto per il personale amministrativo.
Da un lato questa affermazione tradisce un quadro limitato di osservazione del fenomeno, non cogliendo una valutazione più ampia, dal momento che buona parte del processo civile e per tutto il sistema delle notifiche penali e civili il Ministero della giustizia era assolutamente pronto alla remotizzazione, perché già attivi i sistemi informatici per tutta l’utenza esterna, ciò che in tutte le indicazioni normative è il focus del “governo” in sede di afflusso presso gli uffici pubblici.
Inoltre in soli 15 gg si è operata una remotizzazione per alcuni applicativi in uso per il nostro personale per una platea assolutamente significativa:
oltre 7.600 gli abilitati ad oggi che sugli applicativi da remoto di tipo “amministrativo”
circa 26.000 gli utilizzatori ad oggi della piattaforma e-learning
circa 30.000 gli utenti oggi abilitati all’utilizzo dell’applicativo Teams per la videoconferenza (Licenze Microsoft Office 365 E1), comprensivi anche di magistrati ordinari e onorari e di altra platea di utenti.
Ciò precisato si sottolinea quindi alle SS.LL. la platea di soggetti abilitati da remoto sino ad oggi raggiunta, unita a quella che seguirà con l’ulteriore espansione degli applicativi da remoto, sia assolutamente sufficiente a supportare logiche di ampio uso dello smart working anche in fase due, specie se connesse al ventaglio di soluzioni organizzative per il lavoro in tale contesto suggerite nei paragrafi che precedono.
Il lavoro agile così come il telelavoro nel pubblico impiego è stato del resto sino ad oggi confinato a legislazione che ne consentiva un uso primordiale, non legato peraltro necessariamente alla messa in disponibilità di strumenti.
In tale contesto le logiche organizzative del Ministero, in una con quelli di sicurezza e prima ancora di queste, sino ad oggi hanno visto come cardine della gestione e tutela dei nostri sistemi di registro e degli applicativi connessi ad essi il lavoro in presenza tramite la rete cd. R.U.G., logiche infrastrutturali che muovono da condivisione con vari interlocutori istituzionali, in un ben preciso quadro normativo e che peraltro sono esplicitati nel Piano triennale per l’informatica di DGSIA e nel Piano triennale per la Digitalizzazione di Agid.
Una modifica per l’intera platea degli utenti interni giustizia comporta quella che può definirsi una vera e propria riconversione industriale.
Ciò premesso è evidente, che il Ministero possiede già le tecnologie per far fronte ad improvvise locali situazione di fortissima criticità di uffici, ove si ritenesse di condurre attività giudiziaria in tali contesti.
Ciò che è più importante però è che, in una prospettiva di supporto al lavoro agile anche in vista di una fase tre, ma sopratttutto in una ben diversa di approntamento di strumenti per un vero e proprio piano organizzativo per l’emergenza in generale, sta ragionando con gli interlocutori istituzionali anche a logiche di remotizzazione di larga parte dei servizi che possano consentire un rapido approntamento di remotizzazione di servizi mappati in casi di emergenza (terremoti, alluvioni ecc.), anche con garanzia di sicurezza che siano condivise doverosamente anche da altre competenti istituzioni (Dipartimento per l’Informazione e la sicurezza, Dipartimento per l’innovazione e la digitalizzazione e Agenzia per l’Italia digitale della Presidenza del Consiglio dei Ministri) e che tengano conto dell’inserimento di alcuni servizi Giustizia nel perimetro di servizi critici a seguito dell’inserimento del Ministero della Giustizia nel perimetro di Sicurezza Nazionale.
L’acquisto di strumentazione hardware dedicata al lavoro agile è peraltro uno dei prerequisiti per una differente modalità di accesso ai registri informatizzati nel rispetto delle politiche di sicurezza adottate dal Ministero della Giustizia”
Dalla complessa esposizione sembra potersi trarre che la amministrazione sia pronta per realizzare quella che definisce una “riconversione industriale”, ma che deve compiere degli acquisti hardware e che si ritiene per ora soddisfatta degli acquisti fatti, fra cui 30.000 licenze Teams in Microsoft 365 E1, probabilmente in buona parte per altro risalenti agli anni passati.
Sottolinea poi il Ministero della Giustizia gli sforzi fatti per l’e-learning, che tuttavia non costituisce in concreto un servizio al cittadino e di per sé non assicura la operativita degli uffici giudiziari nel tempo del distanziamento sociale.
Le utenze attivate per consentire al personale di svolgere attività da remoto riguardano applicativi di amministrazione – per altro uno degli applicativi, Sicoge, è gestito dal Ministero Economia e Finanza ed era già esistente – che non servono direttamente alla gestione dei processi, al rendere giustizia ai cittadini.
La risposta al perché non sia possibile il telelavoro sui registri resta dunque nebbiosa: se non una completa riconversione industriale, avrebbe aiutato almeno la creazione di alcune centinaia di utenze di supporto nelle regioni più colpite, che nella fase 2 restano poi non molte.
Alla fine sembrerebbe che la motivazione sia la fedeltà a logiche organizzative che hanno visto come cardine della gestione e tutela dei nostri sistemi di registro e degli applicativi connessi ad essi il lavoro in presenza tramite la rete cd. R.U.G.
Anche se queste vanno inserite in una programmazione riferita al piano triennale per l’informatica di DGSIA e al piano triennale per la digitalizzazione di AGID, va registrato che nemmeno in questa occasione si è saputo superare la tradizionale rigidità ministeriale, di piani formulati senza la previsione della odierna imprevedibile calamità.
E non si capisce perché la progettazione della attività in questa epidemia, che costituisce sicuramente una calamità, debba essere frenata dalla concertazione con molteplici istituzioni per un più vasto piano di emergenza contro altre calamità come terremoti ed alluvioni nel “perimetro di Sicurezza Nazionale”.
Che la gestione dei registri civili da casa da parte del Cancelliere possa annoverarsi fra i casi di sicurezza nazionale sembra un errore di prospettiva che fa assumere ad una formica dimensioni elefantiache. E lascia perplessi che trovandosi di fronte ad una epidemia si debba ragionare anche su terremoti ed alluvioni, che non comportano certo la necessità del distanziamento sociale, unica questione oggi sul tappeto.
In buona sostanza ci si è fermati al primo punto: il Ministero non ritiene che le policy precedenti possano mutare, anche temporaneamente, per adattarsi ai tempi della epidemia.
Resta da comprendere perché questa categoria di lavoratori sia esclusa da una forma di lavoro moderna ed ecologica, oggi anche più sicura, che consentirebbe al processo civile un recupero di efficienza e sicurezza nella fase 2. Perchè continuerà necessariamente, anche se ridotto il lavoro “agile” dei Cancellieri e la presenza in ufficio, anche per motivi di comprensenza in ambienti a volte angusti, non andrà oltre il 60-70 % dell’ordinario, mentre il lavoro sul PCT, le richieste degli avvocati e i provvedimenti dei giudici, riprenderanno i ritmi abituali, forsanche superiori per le udienze che si terranno mediante memorie. Il flusso telematico del PCT incontrerà dunque probabimente il collo di bottiglia della accettazione dei Cancellieri.
E’ poi da anni che si dibatte circa la possibilità di eliminare la accettazione dei Cancellieri nel flusso del PCT, ma questa è davvero questione delicata per il processo, da affrontare con una progettazione complessa e previa consultaizone degli utenti, impossibile in tempi ristretti. S’attende quindi di potere uscire a riveder le stelle.
