Questo articolo è preoccupante.

Molto.

Prima di scriverlo, ci ho pensato 101 volte.

Per tre motivi principali :

  1. Può darsi che per qualcuno di voi quello che leggerà in questo articolo, è ovvio. E se davvero fosse così, sarebbe un grande problema. Terribile problema. Poi capirai perchè
  2. Si tratta di un articolo tecnico normativo che viene fuori da uno storico di casi riscontrati in base alla mia esperienza lavorativa, molto ampio. Quindi abbiamo tanti casi, ma proprio tanti tani. E questo è un altro grosso problema.
  3. Da domani mattina, dopo questo articolo, potrebbero partire 101 cause…

Ma in quanto dematerializzatore a norma di legge, non posso asimermi da scrivere questo articolo.

E’ più forte di me.

E’ il VxSavino che sta dentro di me che mi chiama e mi dice : “Ora è arrivato il mio momento. Il momento di VxSavino”.

Chi è o cosa è VxSavino ? In realtà dovresti conoscerlo, sono ormai diversi mesi che si aggira tra le strade analogiche dei processi aziendali e della digitalizzazione fatta male, quella delle software house e delle aziende non specialistiche e soprattutto della digitalizzazione non sicura, fatta con superficialità e basata solo sull’efficienza e sull’efficacia.

Da qui in avanti, chi ti sta scrivendo, è proprio lui. VxSavino.

E dirà la verità, come sempre.

VxSavino, il supereroe della Digitalizzazione A Norma

VxSavino, il supereroe della Digitalizzazione A Norma

Caro ragazzo,

devi sapere quindi che la maggior parte delle firme grafometriche che stai utilizzando (ovvero quelle fatte con i tablet dove ti dicono di firmare con un dito o con un pennino per intenderci) sono quasi tutte nulle e fuori legge.

Si, hai capito bene.

Il 90% delle firme elettroniche avanzate (questo è il termine tecnico-normativo che identifica la cosiddetta firma su tablet ovvero firma grafometrica) è completamente inutile e soprattutto, come ti dicevo prima, non a norma.

Ritorno a dire che il quasi tutte ed il 90% sono valori basati sulla mia esperienza personale e professionale da quando è nata questa particolare firma fino ad oggi.

Questo significa che abbiamo quattro grossi problemi :

  1. I sottoscrittori potrebbero fare causa agli enti, cliniche, aziende, istituzioni, etc…in modo facile e veloce se leggono questo articolo
  2. Le aziende che stanno usando il processo di firma grafometrica che descriverò a breve e che leggerai tra un attimo, è talmente fuori norma che avranno sanzioni penali e civili grosse come una casa
  3. È un errore talmente incredibile che per recuperare, le aziende che sono cadute in questo tranello, spenderanno diverse centinaia di migliaia di euro.
  4. E’ un errore che ricade anche sui sottoscritori, ovvero gli utenti finali, perchè potrebbero trovarsi documenti sottoscritti elettronicamente non validi.

Intanto andiamo al sodo del problema :

In un processo di sottoscrizione digitale di un documenti tramite un tablet e quindi tramite firma grafometrica, ci sono diversi DPCM e Linee guida che devono essere seguiti. Se non lo fai, sei nella cacca.

Ed ecco la cacca  :

in pratica la maggior delle aziende che usano la firma grafometrica, quando il sottoscrittore si trova davanti al Tablet e appone la sua prima firma biometrica e grafometrica, INCREDIBILMENTE non raccolgono, memorizzano e conservano ( tra l’altro per legge per 20 anni) la carta d’identità della persona che sottoscrive il documento in digitale sul tablet.

BOOM.

Questa è una bomba atomica incredibile.

Infatti molti prendono solo i dati della carta d’identità della persona, ma non basta.

Come si fa infatti a dimostrare che effettivamente la persona che sottoscrive il documento digitale, sia effettivamente quella che è prevista nel documento ? E se un domani c’è un problema con quel documento, come faccio a provare che effettivamente è stata quella persona ?

Per questo, come ti dicevo, è una bomba atomica.

Ora però penserai che : ‘ Si vabbè Savino, lo dici tu che si deve prendere anche la scansione della carta d’identità e che si deve conservare per 20 anni…Tu e VxSavino è bene che andate in vacanza..’

E invece no, caro amico.

Anzi la conservazione per 20 anni deve essere fatta anche attraverso un sistema di conservazione a norma Agid e ai sensi del DPCM del 3 Dicembre 2013.

Ora ti dimostro perché con la collaborazione del nostro Centro di Competenze Digitali e quindi con i legali Rossella e Pietro.

Ed è una dimostrazione talmente semplice che anche tu, che sei scettico, mi dirai : ‘ Ok VxSavino ha ragione’

Innanzitutto, l’articolo di riferimento che disciplina la soluzione di firma elettronica avanzata apposta su documenti informatici è l’art. 57 del DPCM 22 febbraio 2013.

Tanto premesso l’art. 57 del DPCM del 22 febbraio 2013 definisce quali sono gli obblighi a carico dei soggetti che erogano la soluzione di FEA. In particolare il co. 1 lett. b impone di “conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l’ottemperanza a quanto previsto all’art. 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità“.

Detto articolo, a dire il vero molto chiaro, viene ripreso dalle Linee guida di AGID per la dematerializzazione del Consenso informato in ambito radiologico e dal Provvedimento generale prescrittivo in tama di biometria del 12.11.2014 del Garante privacy.

Secondo il processo di acquisizione della FEA secondo Linee guida di AGID per la dematerializzazione del Consenso informato in ambito radiologico:

Al fine di sottoscrivere il consenso informato alla prestazione radiologica con FEA, il paziente deve già aver rilasciato in precedenza il consenso all’utilizzo della firma grafometrica. In questo paragrafo vengono descritte le modalità di acquisizione del consenso informato sia nel caso in cui il paziente effettui il primo accesso alla struttura, sia nel caso abbia già prestato il consenso all’utilizzo della FG in precedenza.

Il primo passo da compiere, se non si è già acquisito in precedenza, è quello di raccogliere l’autorizzazione all’uso della FEA e al trattamento dei dati biometrici da parte del paziente:

a)        all’acceso del paziente nella struttura viene fatto il suo riconoscimento da parte di un operatore sanitario tramite verifica con documento di riconoscimento in corso di validità (ad es. carta

d’identità, passaporto, etc.) ed inserimento/completamento in anagrafica del Sistema informativo Radiologico (RIS) come da DPCM 22 febbraio 2013 art. 57 co. 1 lettera a);

b)       se il paziente non è provvisto o si rifiuta di mostrare il documento d’identità egli non può sottoscrivere con lo strumento di FG e pertanto si adotta la modalità di firma su cartaceo;

c)       scansione del documento d’identità (DPCM 22 febbraio 2013 art. 57 co. 1 lettera b).

d)      visualizzazione e spiegazione dell’informativa relativa all’utilizzo della FEA (DPCM 22 febbraio

2013 art. 57 co. 1 lettera a);

e)       raccolta dell’autorizzazione all’uso della FEA e al trattamento dei dati biometrici, tramite

autorizzazione orale e sottoscritto tramite firma digitale remota (DPCM 22 febbraio 2013 art 57

co. 5);

f)         possibilità di fornire al richiedente copia dell’adesione all’uso della FEA.

Secondo il Provvedimento prescrittivo del Garante privacy per i documenti informatici sottoscritti con FEA

Il procedimento di firma è abilitato previa identificazione del firmatario.

Ma l’identificazione del firmatario deve avvenire secondo le prescrizioni di legge, ovvero per quanto argomentato sopra al fine di garantire l’utilizzo della FEA in ambito sanitario, è obbligatorio attenersi alle prescrizioni di cui all’art. 57 DPCM del 22 febbraio 2013 che tra le altre richiede, come già detto, al co. 1 lett. B che il documento di riconoscimento venga conservato per 20 anni.

Pertanto è necessario richiedere e scansionare il documento di identità del paziente al momento dell’acquisizione della FEA e conservarlo per 20 anni.
Finish.
Il punto è che quasi nessuno fa questa benedetta scansione e non è certo un problema di processo, perché basterebbe anche una foto con un telefonino, webcam , etc , non è che ci deve essere per forza uno scanner.
Ed è anche un discorso di rispetto della legge : è come se io domani mattina mi svegliassi e decidessi, in autonomia, di non apporre le marche temporali a chiusura del pacchetto di conservazione, perché reputo che se faccio in un altro modo, è a norma e rispetta la legge ugualmente. E no. Non funziona cosi.
Ora bisognerebbe capire se la colpa è di chi vende la FEA, cioè la firma elettronica avanzata e cioè la firma grafometrica che è un tipo particolare di firma elettronica avanzata, dell’azienda che poi la usa o del consulente che ha validato un processo NON a Norma.
Caro amico digitalizzatore, capisci perché dico sempre che la trasformazione digitale e la digitalizzazione devono essere SICURA E A NORMA DI LEGGE PRIMA DI TUTTO ?
Ed è il motivo per il quale nel mio libro ( qui il link per scaricare diverse anteprime gratis)  , è spiegato il processo di FEA corretto e come si sarebbe dovuto implementarlo A NORMA DI LEGGE.
Ed è per questo che da anni, siamo gli specialisti della digitalizzazione A NORMA.
Che il Digitale sia con Te