Quando le banche dati pubbliche “non interoperabili” rischiano di far saltare un referendum

Una recente vicenda sta portando di nuovo in primo piano il problema della mancata interoperabilità delle banche dati pubbliche. Stiamo parlando della raccolta firme online per i referendum su eutanasia e cannabis. Vediamo che cosa è successo.

Premessa

L’articolo 9 del Codice dell’Amministrazione Digitale prevede che: “Lo Stato favorisce ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all’estero, al processo democratico e per facilitare l’esercizio dei diritti politici e civili sia individuali che collettivi”.

Un emendamento introdotto nel Decreto semplificazioni bis (approvato con il DL 77/2021, art. 38 quater) ha dato la possibilità ai cittadini italiani di raccogliere le firme online per un referendum o una proposta di legge attraverso l’utilizzo delle credenziali dell’identità digitale SPID / CIE / CNS, nell’attesa della creazione di un’apposita piattaforma (un decreto adottato di concerto con il Ministro della giustizia, sentito il Garante per la protezione dei dati personali, definirà le caratteristiche tecniche, l’architettura generale, i requisiti di sicurezza, le modalità di funzionamento).

La raccolta delle firme in formato digitale è possibile in quasi tutti i paesi dell’Unione europea e ora anche in Italia, dopo una battaglia durata oltre due anni. Nel 2019 l’ONU aveva condannato l’Italia per violazioni del Patto Internazionale sui Diritti Civili e Politici, a causa degli ostacoli alla raccolta delle firme sugli strumenti di democrazia diretta.

La prima raccolta di firme online

Una prima applicazione della nuova normativa è stata per i referendum su eutanasia e cannabis. Per la prima volta le firme sono state raccolte online, utilizzando l’identità digitale. Se ne è parlato in un articolo di FPA, che ha raccontato il successo dell’iniziativa…ma non è andato proprio tutto liscio. Salvatore Carrozzini in un articolo ha tracciato le difficoltà che sono nate per la mancanza dell’adeguato supporto da parte dei Comuni che devono fornire la certificazione delle firme raccolte. Le firme online vanno certificate utilizzando i certificati elettorali che i Comuni devono inviare ai comitati promotori. Il certificato serve a verificare che chi ha firmato via SPID sia iscritto alle liste elettorali.

La scadenza per depositare in Cassazione le firme per il referendum sulla cannabis è stata spostata di un mese grazie alla proroga concessa dal Governo fino al 31 ottobre 2021. Questo tempo è necessario per i comuni al fine di certificare le firme raccolte online con l’identità digitale dei firmatari.

Il doppio binario analogico-digitale

Leggendo fin qui si percepisce una sorta di doppio binario “analogico-digitale” di un processo amministrativo in grado di far raggiungere l’obiettivo di rendere le oltre 500.000 firme raccolte (in breve tempo online) qualcosa di valido per avviare il referendum nazionale.

Per capire meglio il processo, è necessario ripercorrere la normativa:

• innanzitutto l’articolo 75 della Costituzione riserva l’iniziativa referendaria ai cittadini (almeno 500.000 elettori), le cui sottoscrizioni devono essere raccolte su appositi moduli ed essere autenticate da un pubblico ufficiale e possono firmare tutti i cittadini italiani che siano elettori;
• una volta terminata la raccolta firme, la L. 352/1970 prevede il deposito presso la cancelleria della Corte di cassazione di tutti i fogli contenenti le firme e dei certificati elettorali dei sottoscrittori, che deve essere effettuato entro tre mesi dalla data del timbro apposto sui fogli medesimi.

Come si può notare, il processo è stato costruito con una modalità interamente cartacea, a partire dai moduli e dall’autenticazione, per passare alla successiva verifica e deposito.

Quindi il processo interamente “digitale” della raccolta delle firme tramite l’identità digitale dei cittadini non può che essere un primo passo, ma non sufficiente a cambiarne la sostanza: l’unico beneficio ha riguardato solo la possibilità di firmare da casa, evitando di andare presso gli uffici comunali o nei banchetti posizionati nelle piazze pubbliche.

La seconda parte del processo, quella della certificazione delle firme, è invece rimasta invariata, e appartiene al momento ad un mondo passato e fatto di lavoro umano, lungo, non automatizzato, ma automatizzabile anche nel breve tempo: infatti, l’utilizzo di banche dati contenenti dati e informazioni concernenti l’iscrizione alle liste elettorali di quei cittadini e cittadine che hanno firmato online, può essere un’attività automatizzata tramite l’interoperabilità applicativa.

Modello strategico di evoluzione del sistema informativo della Pubblica Amministrazione (Piano triennale per l’Informatica della Pubblica Amministrazione)

Interoperabilità: la norma c’è…ma non si vede

L’interoperabilità delle banche dati delle Pubbliche Amministrazioni è prevista espressamente dal capitolo 5 del Piano triennale per l’informatica.

Cosa devono fare le Pubbliche Amministrazioni secondo il capitolo 5 del Piano?

• Da settembre 2020 – Le PA prendono visione della Linea di indirizzo sull’interoperabilità tecnica per la PA e programmano le azioni per trasformare i servizi per l’interazione con altre PA implementando API conformi – CAP 5.PA.LA01.
• Da gennaio 2021 – Le PA adottano la Linea guida sul Modello di Interoperabilità per la PA realizzando API per l’interazione con altre PA e/o soggetti privati – CAP 5.PA.LA02.

Andiamo al caso in questione della certificazione delle firme raccolte con l’identità digitale. Ogni comune ha un elenco informatizzato degli iscritti alle proprie liste elettorali; al momento del subentro in ANPR (Anagrafe Nazionale Popolazione Residente) – che si avvia al completamento, visto che mancano all’appello poco meno di 200 Comuni – viene trasmesso il dato dell’iscrizione alle liste elettorali, quindi sarebbe già possibile una verifica automatizzata. Inoltre, con il recente DL 77/2021 (art. 39) è stato previsto che confluiranno in ANPR anche i dati più specifici per la gestione del servizio elettorale, ed in particolare delle liste elettorali e dei dati relativi all’iscrizione nelle liste di sezione.

Alla luce di questo panorama normativo, come si può semplificare il processo di raccolta e verifica delle firme per un referendum? Vediamo un “ipotesi” in cui si applica l’interoperabilità prevista dal Piano triennale per l’informatica.

Lo scenario futuro

In uno scenario che auspichiamo presto “futuribile”, ecco come dovrebbe essere modificato il processo di verifica:

1. Visto che il comitato promotore del referendum è il destinatario dell’invio delle certificazioni attestanti l’iscrizione nelle liste elettorali di quei cittadini che hanno firmato precedentemente con SPID / CIE /CNS, l’applicativo informatico comunale dovrebbe (e potrebbe) consentire a personale abilitato del comitato promotore solo per quei nomi e cognomi e codici fiscali firmatari, l’interrogazione tendente a verificarne la presenza nelle liste elettorali. L’esito di questa operazione si dovrebbe concludere con la generazione di un file di certificazione comunale con l’elenco completo delle persone presenti nelle liste elettorali del comune. Questa consultazione online con credenziali SPID /CIE / CNS da parte del personale del comitato promotore (abilitato dal comune) permetterebbe di delegare allo stesso comitato promotore  tutto  l’onere del lavoro che invece grava, oggi, sul personale del comune che deve certificare cittadino per cittadino! L’interazione in questione è prevista dal Piano triennale per l’informatica, che può essere effettuata con altre PA e/o soggetti privati. Ma questa ipotesi non è del tutto risolutiva, perché “costringerebbe” il Comitato Promotore ad interrogare i database dei quasi 7.900 Comuni italiani, con un notevole dispendio di tempo ed energie.
2. Oppure – soluzione da percorrere con maggiore propensione – la piattaforma di gestione che raccoglie le firme è collegata con Web Service alla banca dati nazionale dell’anagrafe della popolazione residente “ANPR” (ovviamente già aggiornata con i dati delle liste elettorali dei Comuni), e quindi al momento dell’apposizione della firma viene effettuata la validazione dell’avvenuta verifica dell’iscrizione alle liste.
   
   In questo modo si ha uno scenario “win-win” in cui:

• il cittadino appone la firma con le proprie credenziali di identità digitale, indicando i propri dati e il Comune di residenza, che corrisponde al Comune di iscrizione delle liste elettorali; 
• la piattaforma – tramite servizi dedicati – verifica la corrispondenza dei dati dichiarati con quanto presente nell’Anagrafe Nazionale;
• il comitato promotore ha immediatamente la certezza dell’iscrizione alle liste elettorali; 
• il Comune ha solo l’onere di tenere aggiornata la banca dati ANPR con le variazioni quotidiane dell’iscrizione dei cittadini alle liste elettorali, ma nessun adempimento aggiuntivo per la verifica.

L’attuazione del punto B) – risolverebbe tanti problemi di gestione del tempo ai comuni e lascerebbe ai comitati promotori tutte le attività di verifica (in modalità “informatica”) dei requisiti necessari per poter fare indire un referendum nazionale. L’interoperabilità informatica sarebbe stata percorsa praticamente, e non si potrebbe puntare il dito verso i comuni per non aver fatto le cose nei tempi previsti dalla norma di settore, e responsabili di compromettere negativamente l’iter costruttivo del referendum.

In questo modo l’accesso alle banche dati delle liste elettorali comunali viene tracciato in maniera sicura (identità digitale che ha effettuato l’accesso – data di log in – data di generazione della certificazione di consultazione degli iscritti alle liste elettorali). Tutti dati che serviranno per attestare le operazioni di verifica della presenza nelle liste elettorali delle identità digitali delle persone che hanno firmato online con SPID per l’indizione del referendum.

Per il punto B) il percorso è molto più semplice rispetto al punto A) sia per il comitato promotore che per il comune, in quanto le verifiche necessarie vengono effettuate automaticamente in modalità informatica, senza alcun onere per il Comitato Promotore o per il Comune, e in modo trasparente al cittadino che appone la firma.

Conclusioni

Si tratta di avviare un processo gestionale nuovo, coerente con l’interoperabilità prevista dal Piano triennale per l’informatica delle pubbliche amministrazioni.

Le modalità applicative sono gli “accordi di fruizione” per l’accesso ad ANPR (o, in prospettiva, l’accesso mediante API tramite la Piattaforma Nazionale dei Dati – PDND), in cui si individua un caso d’uso, che può essere o la verifica dell’autocertificazione (effettuata al momento dell’apposizione della firma alla richiesta di referendum) e/o la verifica dell’iscrizione alle liste elettorali, il cui fondamento normativo è proprio la L. 352/1970 (in particolare, gli art. 27 e 28, in cui si parla espressamente di “deposito di firme e certificati”): bisognerebbe attualizzare il termine “certificato” prima con autocertificazione e poi con verifica automatica, i cui fondamenti sono peraltro già contenuti nel DPR 445/2000.

Purtroppo questo processo non è ben chiaro nella previsione normativa  che riguarda la piattaforma per la raccolta delle firme, che trova origine nella L. 178/2020, all’art. 1 commi 341 e seguenti: si descrive solo il processo di autenticazione, ma non come si verifica l’iscrizione alle liste elettorali, mantenendo inalterata la normativa del 1970 per questa parte.

Le norme hanno l’obiettivo di illustrare i comportamenti che le PA devono assumere nell’espletamento delle proprie funzioni istituzionali, e allo stesso tempo devono consentire a tutti i soggetti della società l’esercizio della democrazia, senza mettere a repentaglio l’esito di un referendum nazionale per processi gestionali “vetusti” ancora da portare avanti. Quindi è necessario che siano mantenute aggiornate rispetto agli sviluppi tecnologici o che vengano reinterpretate in modo da consentirne un’applicazione al passo con i tempi.