Registro elettronico, tutti dimenticano la sicurezza: servono linee guida

L’informatizzazione delle procedure scolastiche è un processo avviato ormai da 3–4 anni, che ha avuto l’obiettivo primario di razionalizzare la spesa pubblica introducendo però delle disposizioni che, in alcuni casi, hanno avuto un ampio impatto sull’organizzazione delle scuole sia dal lato amministrativo che didattico.

Infatti, il decreto legge n. 95/2012 contenente “ Disposizioni urgenti per la razionalizzazione della spesa pubblica ”, convertito dalla legge n. 135/2012, ha introdotto, tra le altre, le seguenti nuove disposizioni:

• le iscrizioni devono essere effettuate con modalità on-line;
• la pagella, con la stessa validità legale del documento cartaceo, deve essere fornita alle famiglie in formato elettronico attraverso il web o tramite posta elettronica o altra modalità digitale;
• i registri di classe devono essere on line (registri elettronici);
• l’invio delle comunicazioni agli alunni e alle famiglie deve avvenire in formato elettronico.

Mentre sul primo punto (iscrizioni on-line) il Ministero ha introdotto una soluzione che ha consentito alle scuole di attuare tale modalità operativa, sui restanti la scelta sulle soluzioni da adottare è stata lasciata alle scuole, chiedendo alle stesse di valutare al meglio le proposte disponibili sia dal punto di vista delle funzionalità dei pacchetti che dal punto di vista della convenienza economica (nota del ministero n.1682/2012 con oggetto “ Registri on line – Dematerializzazione attività delle segreterie scolastiche ”).

Il registro elettronico, e in genere l’informatizzazione delle procedure scolastiche, non è però una semplice digitalizzazione dei registri cartacei, ma introduce nuove modalità di gestione delle informazioni e di comunicazione con gli studenti e le famiglie, con tutte le opportunità e i rischi che ne derivano. Infatti, le informazioni tipiche dei registri cartacei (es. voti, assenze, provvedimenti disciplinari, …) che fino a ieri erano gestite in maniera riservata dai docenti, adesso sono pubblicate on line in un ambiente riservato accessibile dalle famiglie. Ma quanto sono sicuri questi ambienti?

Per analogia a quanto detto prima, anche in questo caso dovrebbero essere le scuole a valutare il livello di sicurezza informatica offerto dalle varie soluzioni, ma la tendenza è di affidarsi alle scelte effettuate dal fornitore confrontandosi eventualmente con altre scuole che hanno adottato la stessa soluzione.

Dal loro canto, i fornitori hanno sviluppato soluzioni che adottano buone pratiche di sicurezza, ma molto probabilmente non sono stati considerati in maniera esaustiva tutti i rischi afferenti i registri elettronici. Non a caso sono stati registrati episodi di hackeraggio perpetrati soprattutto da parte degli studenti che hanno violato il sistema per modificare i propri voti.

Altro aspetto rilevante da considerare è la non elevata consapevolezza sugli aspetti di sicurezza logica da parte degli attori coinvolti nel processo quali docenti e genitori. Soprattutto per questi ultimi, le procedure adottate dalle scuole non sempre forniscono delle indicazioni sulle cautele di sicurezza da adottare (modalità di custodia delle credenziali, utilizzo di password complesse, cambi password frequenti) supponendo, tra l’altro, l’esistenza, presso le famiglie, di una buona cultura sull’utilizzo dei nuovi media. Spesso tale cultura è posseduta dai figli, che di fatto si sostituiscono ai genitori vanificando in questo modo l’utilità del registro elettronico.

Risulta evidente, da quanto descritto, che esiste una reale esigenza di supportare le scuole sia nella valutazione delle soluzioni tecniche da adottare per l’informatizzazione delle proprie procedure scolastiche, che nelle modalità di gestione ad esse associate. La sicurezza è uno dei punti cardine in tale ambito e quindi la scuola, oltre ad essere rassicurata sulle misure di sicurezza adottate dalla soluzione prescelta, dovrebbe poter mettere in campo dei provvedimenti finalizzati all’incremento della consapevolezza della sicurezza nell’utilizzo di questi strumenti da parte di tutti gli attori coinvolti.

Quest’ultimo aspetto sta diventando sempre più rilevante e non è un caso che in altri settori (es. servizi di pagamento via Internet in ambito bancario) le Autorità [1] stanno emettendo delle disposizioni che regolamentano non soltanto le misure di sicurezza da adottare sui sistemi, ma anche le modalità operative di gestione che devono prevedere l’attivazione di canali di comunicazioni sicure con i clienti e attività informative/formative mirate ad aumentare la consapevolezza degli stessi sulle tematiche di sicurezza informatica.

Che approccio adottare? Sicuramente una buona soluzione potrebbe essere la produzione di linee guida comuni sulla sicurezza di tali applicazioni che indirizzino in maniera completa gli aspetti tecnici e gestionali ad esse connesse.

Sul primo punto (aspetti tecnici), potrebbe essere definita una lista di requisiti minimi che metta a fattor comune sia le disposizioni di legge (in primis la Privacy) che le best practice di settore (i.e. ISO 27001). Vista la natura dei dati gestiti, particolare enfasi dovrebbe essere posta sulle modalità di accesso ai dati (adozione di un sistema di accesso robusto che coniughi sicurezza e usabilità), sulle modalità di conservazione dei dati (es. ipotizzare la cifratura dei dati considerati più critici) e il tracciamento degli accessi e delle attività effettuate sul sistema.

Non meno importanti sono le indicazioni sugli aspetti gestionali connessi all’utilizzo di tali strumenti. A titolo esemplificativo, risulta essenziale regolamentate in maniera adeguata attività quali il caricamento dei dati sul sistema, la consegna delle credenziali, il reset delle password e così via.

Infine, per l’aumento della consapevolezza sulle tematiche di sicurezza informatica da parte degli attori coinvolti (in primis docenti e famiglie) possono essere ipotizzate della iniziative che sfruttano, ad esempio, le potenzialità dei nuovi media (es. web, mail, sms,..) sia per fornire materiale formativo che per inviare avvisi di sicurezza. In tale ambito un buon aiuto potrebbe essere dato dal fornitore del prodotto e la disponibilità/qualità di tali materiali/servizi a corredo della soluzione proposta potrebbe essere uno degli elementi di valutazione per l’adozione o meno della soluzione stessa.

Concludendo questa breve panoramica sui registri elettronici, emerge chiaramente che la sicurezza informatica è uno snodo fondamentale nel processo di informatizzazione delle procedure scolastiche e, anche se gli aspetti da considerare sono molteplici e complessi, la produzione di indirizzi comuni potrebbe risultare la soluzione che consente lo sviluppo di soluzioni efficaci (es. applicazioni in Cloud), nonché un ottimo driver per facilitare, se non accelerare, tutto il processo.