Il Registro Elettronico nella scuola italiana
Innovazione, normativa e difficoltà nell’utilizzo del registro elettronico (di classe e personale) nella scuola pubblica.
L’amato/odiato registro di classe e del professore (soprattutto quest’ultimo), strumento a volte di tortura quando veniva fatto scorrere dal docente per “sacrificare” un alunno all’altare del sapere, è stato sostituito, a partire dal 2012, dal “Registro On Line“, introdotto dal decreto legge n. 95 del 6 Luglio 2012 che prevede, all’art. 7 comma 27:
Il Ministero dell’istruzione, dell’università e della ricerca predispone entro 60 giorni dalla data di entrata in vigore della legge di conversione del presente decreto un Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie.”
Al comma 31 lo stesso decreto indica che:
A decorrere dall’anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico.
Ricordo che il registro personale è un atto pubblico (V Sezione Penale della Corte di Cassazione: 12726/2000; 6138/2001; 714/2010).
Il docente, nell’atto di compilazione di tale registro, è soggetto alle sanzioni penali previste dall’art. 476 (falso ideologico in atto pubblico) e dall’art. 479 (falso materiale in atto pubblico) del codice di procedura penale.
Da ciò discende che la compilazione del registro di classe e personale debba avvenire contestualmente alle attività in aula; di conseguenza, una compilazione ritardata (per ragioni di non fruibilità del servizio od altro) non è tollerata dalla giurisprudenza.
E questo è un primo problema non facilmente sanabile.
In molte scuole l’operazione iniziale di appello, giustificazione delle assenze, declinazione delle attività in aula, valutazione degli studenti è spesso impossibilitata da “non facilmente sanabili” emergenze tecnologiche e di processo che si trasformano in quotidianità.
Ma quali sono le emergenze tecnologiche e di processo responsabili delle difficoltà che, quotidianamente, gli operatori della scuola (e di conseguenza i portatori di interesse studenti/genitori) incontrano?
- connettività alla rete internet inadeguata: tutte le soluzioni oggi proposte dal mercato sono basate sulla delocalizzazione dei processi e dei dati nel “cloud” (spazio e processi virtuali remoti su architetture informatiche gestite dal fornitore del servizio o terziarizzate). Le scuole in Italia con difficoltà possono vantare di avere accesso alla rete con banda larga od ultra larga (da 30 Mbps fino a 100 Mbps).
- risorse del servizio inadeguate: il processo e l’accesso ai dati avviene su architetture “server” che sono collegate alla rete internet e raggiungibili attraverso indirizzi IP pubblici. La contemporaneità di accessi di migliaia di sessioni contemporaneamente comportano, un rallentamento della risoluzione dell’interrogazione della base dati e, nelle condizioni peggiori, la negazione del servizio.
- tecnologie d’aula inadeguate: ogni classe deve mettere a disposizione del docente un dispositivo al fine di consentire l’accesso alla procedura (pc desktop, notebook, tablet, ecc.) e questi devono essere efficienti almeno 200 giorni all’anno. Tecnologie obsolete, sistemi operativi inadeguati alle specifiche dei dispositivi, aggiornamenti spesso fuori controllo, rendono molto difficile immaginare di non incontrare problemi durante le attività d’aula.
- eterogeneità delle soluzioni adottate dalle scuole: il mercato delle offerte di servizi in Italia è ricco e ogni scuola, in assenze di specifiche ministeriali chiare, si è dotata di soluzioni in base a parametri di scelta spesso legate al costo economico di gestione, trascurando l’aspetto di solidità e fruibilità del servizio. Questo ovviamente, vista l’elevata mobilità dei docenti precari che ogni anno cambiano scuola, comporta delle difficoltà di acquisire, da parte degli stessi, quella sicurezza e conoscenza nell’uso dell’applicativo. Se aggiungiamo la scarsa propensione all’aggiornamento del personale sull’uso dell’applicativo (perchè devo aggiornarmi? il lo so usare benissimo) si comprende con chiarezza che anche questo aspetto, spesso trascurato, gioca un ruolo non marginale nelle difficoltà di una completa e di successo dematerializzazione nella scuola.
Il concetto fondamentale associato all’utilizzo del registro elettronico determina altri problemi di natura giuridica.
I registri utilizzati nelle scuole sono considerati legalmente degli atti pubblici.
Per il registro di classe questo è chiaro praticamente da sempre, a partire dal regio decreto 965 del 1924, e confermato da tutta la giurisprudenza successiva.
Il registro personale del docente è considerato invece atto pubblico dalla più recente giurisprudenza penale.
La legge che riguarda gli atti pubblici è piuttosto chiara:
Il Codice dell’amministrazione digitale (CAD), come modificato dal decreto legislativo 179/2016 – ha precisato che gli atti pubblici sono nulli se privi di firma digitale o qualificata.
I registri elettronici in uso nelle scuole, che inglobano le funzioni del giornale di classe e del professore, rispettano questo parametro essenziale per gli atti pubblici?
NO. L’assenza di firme qualificate o digitali dei docenti che li compilano li rende di fatto nulli.
Come comportarsi in questa fase in cui il cambiamento sembra aver preceduto una capillare e corretta applicazione delle norme, non certo per colpa delle scuole?
Il consiglio che posso formulare in questa fase è quello di far apporre firme digitali periodiche ai dirigenti scolastici (a conclusione dei periodi didattici), unici aventi ruolo e poteri di firma digitale qualificata e riconosciuta legalmente.
Altro aspetto da considerare è legato alla sicurezza sia in termini di accesso che di trasmissione da terminale (client) al server in cloud, ma sopratutto l’incertezza di inviolabilità dei dati e la loro immodificabilità.
La totalità delle soluzioni di registro elettronico in cloud rispettano le regole di sicurezza nelle trasmissione dei dati dal device dell’utente al server dove vengono conservati i dati, attraverso il protocollo https (https è il risultato dell’applicazione del protocollo di crittografia SSL in sovrapposizione al normale protocollo di trasferimento ipertestuale http e viene utilizzato per gestire informazioni sensibili per le quali è importante garantire un elevato livello di riservatezza ed una garanzia di integrità).
Non altrettanto si può dire sulle sicurezza in termini di accesso.
La mia esperienza mi permette di affermare che per accedere al registro elettronico è semplicemente richiesto una username e una password (la prima rilasciata dal sistema e non particolarmente “forte”) mentre la password, modificabile dall’utente, in molti casi non richiede l’appplicazioni di regole fondamentali in termini di “solidità”, ne tantomeno un controllo di tipo proattivo della password scelta dall’utente (l’utente sceglie la password ma nel momento della conferma l’algoritmo verifica il rispetto delle regole di solidità della scelta effettuata).
Quali sono le regole minime di sicurezza nelle password?
- lunghezza: almeno 8 caratteri;
- caratteri: alfanumerici con almeno un simbolo di punteggiatura ed una lettera MAIUSCOLA;
- durata: non oltre 3 mesi
Il non rispetto di queste minime condizioni determina un elevato grado di insicurezza nell’autenticazione di accesso al sistema.
Auspico, nell’immediato futuro, che i fornitori di servizio implementino sistemi di autenticazione “forte” quali, ad esempio, algoritmi di accesso attraverso OTP (one time password) che inviano, ad un dispositivo dell’utente, un codice alfanumerico che consente la verifica della titolarità delle credenziali di accesso.
Altrettanto “solido” è l’accesso attraverso l’autenticazione con lo SPID (Sistema Pubblico di Identità DIgitale); l’integrazione di tale sistema vede ancora oggi delle dfficoltà tecniche e tecnologiche la cui soluzione non è all’orizzone.
L’ultima considerazione in termini di sicurezza e di immodificabilità dei dati nasce dalla constatazione che, a differenza del registro “analogico” (con carta e penna), nel registro elettronico le eventuali modifiche non sono tracciabili e pertanto, ogni modifica consentida da scelte effettuate da ciascuna scuola, non rimane memorizzata nelle basi dati del sistema.
E questo sicuramente rappresenta un grosso problema. Nel passato, una modifica del dato contenuto nel registro del professore era identificato con una azione di cancellazione con penna rossa, data e firma del docente, con l’apposizione contestuale del dato corretto. Il Dirigente Scolastico aveva completo controllo delle modifiche effettuate.
Nessun registro elettronico oggi in uso offre una soluzione a questo problema.
Mi sorprende che questo aspetto fondamentale non sia stato preso in considerazione da chi dovrebbe conoscere molto bene il mondo della scuola ed i problemi di gestione e conservazione dei dati.
Nel Piano Nazionale della Scuola Digitale, #azione12, si identifica fondamentale (ma non obbligatorio) l’utilizzo del Registro Elettronico nelle scuole ma questa scelta deve essere attentamente ponderata, valutando con molta attenzione tutti gli aspetti legati alla sicurezza e alla validazione giuridica degli atti.
Necessario quindi concertare con il fornitore del servizio, in collaborazione con le figure interne della scuola con competenze specifiche, strategie e metodologie atte a salvaguardare la leggitimità di tutte le azioni e attività tipiche del ruolo istituzionale della scuola.