Il 15 settembre scorso si è aperta la consultazione sul programma “La Buona Scuola” varato dall’attuale governo: più connessione veloce e più digitalizzazione per l’evoluzione tecnologica degli istituti scolastici, ma è stata colpevolmente tralasciata la sicurezza, con grave rischio per la privacy individuale e per la protezione di dati e servizi. C’è tempo fino al 15 novembre per segnalare critiche e dimenticanze al MIUR.

Da qualche tempo mi interesso di educazione alla sicurezza nelle scuole, anche in qualità di formatore ed educatore del gruppo di lavoro “Educazione alla Sicurezza” nell’ambito dell’iniziativa “Sicurezza in Internet per le Scuole” dell’(ISC)² Italy Chapter, capitolo italiano dell’istituto International Information Systems Security Certification Consortium, Inc., (ISC)², leader globale no profit nel settore dell’educazione e della certificazione dei professionisti della sicurezza delle informazioni.

Non ho potuto esimermi dal leggere con attenzione il rapporto di ben 6 capitoli e 136 pagine pubblicato dal nostro premier Matteo Renzi e dal ministro dell’istruzione, dell’università e della ricerca Stefania Giannini, intitolato “La Buona Scuola”. Sottotitolo: “Facciamo Crescere il Paese”.

Tralascio qualsiasi considerazione sui capitoli che prevedono l’assunzione di massa dei docenti (cap. 1), le nuove opportunità di formazione e carriera per i docenti (cap. 2), la valutazione di dirigenti e docenti (parte del cap. 3) o la costruzione del futuro lavorativo degli studenti (cap. 5); qualcuno maggiormente addentro a queste tematiche specifiche potrà fornire adeguate valutazioni in merito. Io mi sono concentrato volutamente sui soli temi legati alla sicurezza delle informazioni e alla privacy individuale.

Nel testo del documento ho contato almeno una ventina di ricorrenze dei concetti di “digitalizzazione”, “connessione”, “banda larga”, “apertura” e “trasparenza”, ma il concetto di “sicurezza”, intesa come protezione delle informazioni digitali, è citato incidentalmente una sola volta. Questo non è che un primo indicatore del fatto che, per l’ennesima volta, si sia partiti male dal punto di vista della protezione dei dati, della privacy e della sicurezza informatica negli istituti scolastici.

Sono tanti, troppi i casi di violazione delle reti, dei sistemi  e dei dati degli istituti scolastici e degli atenei italiani che hanno comportato e comportano la modifica arbitraria dei voti, la compromissione del sito web o la fuga di informazioni riservate, a testimonianza che le infrastrutture tecnologiche e i servizi di telecomunicazione degli istituti non godono di adeguati livelli di sicurezza. Eppure, leggendo i nuovi propositi del governo per una buona scuola, sembra proprio che questo non rappresenti un problema.

Gli obiettivi del programma ministeriale

I temi sui quali mi sono concentrato si possono riassumere in due principali obiettivi: connessione e digitalizzazione.

Il primo, in sintesi, prevede maggiore connettività digitale, più banda veloce, WiFi programmabile nelle classi, più dispositivi mobili per la didattica e maggiore spinta verso il BYOD. Fra le mirabolanti proposte troviamo piani straordinari per la connettività delle aree interne e il collegamento fra istituti, con l’introduzione dei concetti di “scuola madre” e “scuole figlie”. Si parla anche di cifre, ben 15 milioni di euro di bando per la diffusione del WiFi nelle scuole fra 2015 e 2016. Altre proposte riguardano la riduzione dei costi di editoria per le famiglie, l’apertura delle scuole oltre l’orario curriculare, la mobilitazione di persone e competenze esterne per il miglioramento, il coinvolgimento delle associazioni per progetti educativi culturali e sociali indirizzati a ragazzi e famiglie, nonché interventi di semplificazione normativa e amministrativa.

Un programma che assomiglia moltissimo nei contenuti al precedente progetto “Scuola Digitale” presentato dal MIUR nel 2007 e in parte attuato dal 2009 ad oggi. In esso si parla già di riduzioni dei costi editoriali per le famiglie, di diffusione delle connessioni a banda larga, di dotazione di dispositivi informatici per la didattica e di formazione dei docenti. Nell’ambito di questo progetto sono state installate oltre 70.000 LIM (Lavagne interattive multimediali) negli istituti scolastici della penisola (circa l’82% del totale) ed è stata erogata la necessaria formazione ai pochissimi docenti selezionati di ciascuna scuola. Da allora l’80% delle LIM giace inutilizzata, mentre il nuovo programma ministeriale ritiene che le LIM siano “troppo pesanti” da utilizzare per la didattica. Inutilizzate ed inutili a quanto pare, eppure nel progetto “Scuola Digitale” era riportato che:

Gli studi e le esperienze condotti in Italia e in Europa individuano nella LIM uno strumento efficace per promuovere un percorso graduale di innovazione nella didattica. La LIM, corredata da un Videoproiettore e da un PC, permette infatti che la didattica in ambiente digitale sia una esperienza quotidiana e non un evento episodico. Con l’azione LIM si è avviato un processo strategico di innovazione digitale a partire dalla scuola secondaria di primo grado che sarà esteso anche alla scuola primaria e alla scuola secondaria di secondo grado.

Possibile che la valutazione dell’utilità di questi strumenti, che personalmente ritengo tuttora validi ed adottabili, possa cambiare così radicalmente in pochi anni?

Scarsa anche la diffusione della banda larga, per stessa ammissione nel MIUR, con solo il 10% delle scuole primarie e il 23% delle secondarie che possono oggi godere di velocità decenti di accesso ad Internet. Ben il 46% degli istituti scolastici, purtroppo, non dispone di connessione ad Internet nelle classi.

L’altro grande obiettivo del nuovo programma ministeriale è la digitalizzazione, una delle leve dichiarate per la spending review, cioè raccogliere e far circolare meglio le informazioni in formato digitale risparmiando sui costi. I dati raccolti dal ministero per scopi amministrativi e gestionali saranno pubblicati in formato aperto e con la maggiore granularità possibile, puntando sulla sensibilizzazione, sulla conoscenza e sulla consapevolezza del valore dei dati aperti. Saranno intraprese iniziative di creazione di applicazioni e servizi informatici coinvolgendo gli studenti, i docenti e il personale ATA, prevedendo premi per il disegno innovativo di servizi con soluzioni moderne e all’avanguardia. Anche il sito web del MIUR dovrà essere migliorato per poter offrire una ricerca più efficace dei documenti, un linguaggio chiaro e comprensibile e apposite linee guida per gli atti ministeriali.

I docenti, in particolare, non dovranno sentirsi soli nella sfida di rendere l’insegnamento moderno ed efficace. Secondo il MIUR, il sistema scolastico ha già in sé le soluzioni per il proprio rinnovamento e chi innova verrà posto al centro del sistema. Ma non basta, perché il programma prevede che docenti e personale degli istituti assurgano al ruolo di  gestori delle piattaforme informatiche, senza limitarsi a quello di meri utenti. Ovviamente sono previsti incentivi sotto forma di quote premiali del MOF, il Fondo per il Miglioramento dell’Offerta Formativa. Previsto, ma non quantificato, anche un certo recupero di risorse umane grazie alla digitalizzazione.

I principali rischi per la sicurezza e la privacy

La scelta del MIUR di puntare sull’iperconnessione e sulla digitalizzazione è indubbiamente molto pericolosa se non affiancata da un’analoga attenzione alla sicurezza delle soluzioni tecnologiche o alla riservatezza e all’integrità dei dati e delle informazioni. L’impostazione del programma rende evidente che la sicurezza delle informazioni non è stata adeguatamente presa in considerazione, né molto probabilmente verrà imposta come prerequisito fondamentale nei bandi di gara per gli appalti di allestimento delle infrastrutture tecnologiche e delle architetture di rete e connessione ad Internet.

Oggi le infrastrutture informatiche degli istituti scolastici sono inadeguate, non rispettano i basilari principi di sicurezza né adeguate pratiche di controllo accessi, protezione dei dati e separazione degli ambienti, sono fortemente eterogenee, non soddisfano standard riconosciuti né modelli sicuri e approvati centralmente. Il potenziamento di connessioni e interconnessioni, la maggiore diffusione degli accessi WiFi e l’uso di dispositivi personali (tipicamente non controllabili) non fanno che aumentare a dismisura i rischi di intrusione non autorizzata, di compromissione ed infezione dei sistemi o di sottrazione di informazioni private e riservate.

L’estensione della rete di istituto a laboratori e aule didattiche senza l’introduzione di opportuni criteri di segmentazione, filtro e controllo accesi, insieme all’apertura dei locali scolastici oltre l’orario canonico, aumentano ulteriormente i rischi di sicurezza per i sistemi e i dati. Ricordiamoci che per accedere al WiFi di un istituto non è necessario varcare la soglia dell’edificio, basta posizionarsi anche a 50 metri di distanza per agire indisturbati e inosservati.

Il disegno sicuro delle infrastrutture tecnologiche e dei servizi informatici non è un gioco da ragazzi e non può essere affidato alla prima ditta senza scrupoli né competenze che vince il bando di gara solo perché ha proposto il prezzo più basso rispetto ai concorrenti. Un alto livello di preparazione, un’adeguata esperienza nel settore e opportune certificazioni professionali sono requisiti imprescindibili per una corretta selezione dei candidati all’allestimento delle future infrastrutture informatiche del sistema scolastico.

Lo stesso vale per le applicazioni e le infrastrutture web: oggi c’è una differenza abissale fra scrivere codice e produrre applicazioni affidabili e soluzioni sicure. Inoltre, digitalizzare significa aumentare a dismisura la mole di informazioni digitali che possono essere compromesse o sottratte anche da soggetti con una preparazione informatica basilare. La forte digitalizzazione e l’uso di applicazioni insicure comporta un elevato livello di rischio per le informazioni personali, private e riservate gestite negli istituti: schede anagrafiche con dati personali di studenti e docenti, informazioni relative ad assenze per malattia e stato di salute, orientamento religioso degli studenti, note disciplinari, giudizi personali, attitudinali e di rendimento, e molto altro ancora.

L’idea di affidare la gestione delle piattaforme a dirigenti, docenti e personale, poi, è quantomeno bislacca: molti di essi non sono affatto in confidenza con le moderne tecnologie, basta analizzare i poco lusinghieri dati di utilizzo dei computer e delle LIM in dotazione da almeno un lustro. Con tutto il rispetto per la loro preparazione didattica e professionale, molti di essi non sono in grado di utilizzare con cognizione di causa neanche un cellulare, uno smartphone o un tablet, figuriamoci se possono essere all’altezza di gestire piattaforme applicative e sistemi di connessione e telecomunicazione moderni e complessi.

Dirigenti e docenti non sono neanche lontanamente preparati per abbracciare e governare le moderne tecnologie con la dovuta cognizione e consapevolezza o, quantomeno, per cimentarvisi al pari degli studenti, semplicemente perché non è mai stata questa la loro missione fino ad oggi. Sarebbe stato un preciso compito del sistema scolastico, in primis del ministero, evolversi tecnologicamente e didatticamente di pari passo con l’evoluzione generazionale degli studenti, fornendo formazione specifica e aggiornamento tecnologico a dirigenti e docenti con assiduità e adeguata diffusione.

Il nuovo programma ministeriale, con riferimento ai soli studenti, prevede interventi di alfabetizzazione digitale, acquisizione di consapevolezza digitale ed educazione all’uso positivo e critico dei social media e degli altri strumenti della rete, oltre alla promozione dell’informatica per ogni indirizzo scolastico. Escludere dirigenti e docenti da questo processo significa allargare il baratro generazionale e digitale che già li divide nettamente dai ragazzi, rendendo di fatto minime le possibilità di successo del programma.

Più sicurezza e più partecipazione

Lanciare slogan come “connettere per aprire” e “digitalizzare per diventare efficienti, diventare efficienti per migliorare la scuola”, senza immettere nell’equazione l’evoluzione digitale di dirigenti e docenti e l’introduzione di idonee misure di sicurezza informatica e protezione delle informazioni, rende l’intero programma palesemente pretenzioso, difficilmente realizzabile ed estremamente pericoloso per la privacy individuale, la sicurezza delle informazioni e l’immagine complessiva del sistema scolastico. In poche parole, il programma assomiglia molto più ad una mera propaganda volta ad imbonire il pubblico, piuttosto che ad un progetto saggiamente strutturato per conseguire risultati utili nel minor tempo e con meno controindicazioni possibile. Spero vivamente di sbagliarmi.

Mi sarei aspettato di trovare un capitolo, anche solo un piccolo paragrafo, che trattasse l’esigenza di un programma di consapevolezza, formazione ed educazione di dirigenti, docenti, personale e studenti sui temi della sicurezza delle informazioni (anche mediante piattaforme di e-learning), di architetture di rete sicure con filtro degli accessi da Internet e opportuna separazione delle comunicazioni fra aule, laboratori, segreteria, amministrazione e ambiente web, di adozione di standard e modelli di disegno sicuro e modulare delle infrastrutture approvati centralmente e studiati per adattarsi dinamicamente alle diverse realtà, di controllo degli accessi fisici ai locali informatici, di criteri di sviluppo sicuro del software, di protezione e controllo degli accessi alle informazioni personali, private, sensibili e riservate di studenti, genitori, dirigenti, docenti e personale.

La scarsa consapevolezza digitale e di sicurezza in dirigenti, docenti, personale ATA e studenti, la proliferazione di dati personali e sensibili non adeguatamente protetti, nonché infrastrutture tecnologiche realizzate con disegni obsoleti e nettamente sotto utilizzate, sono tutti fattori fortemente minanti di un programma votato a connessione, digitalizzazione e massima apertura.

Connessione, digitalizzazione e creatività applicativa sono pericolosissime
senza un adeguato livello di sicurezza e consapevolezza.

Dal 15 settembre è aperta la consultazione pubblica sul sito www.labuonascuola.gov.it e fino al 15 novembre sarà possibile contribuire in prima persona a disegnare la scuola del futuro. La consultazione consiste nel rispondere a domande preconfezionate sui temi trattati nei 6 capitoli del programma, ma verrà messa a disposizione anche un’area in cui esprimersi liberamente in apprezzamenti, critiche o nell’esposizione di elementi che il rapporto “La Buona Scuola” ha colpevolmente trascurato.

Nel presente testo ho cercato di fornirvi i principali elementi che vale certamente la pena di segnalare in tema di protezione delle informazioni e di sicurezza informatica, che non hanno trovato adeguato spazio nel rapporto ministeriale e che meritano di essere presi nella dovuta considerazione per garantire il rispetto dei diritti fondamentali degli individui coinvolti e la salvaguardia delle infrastrutture tecnologiche a supporto della didattica. Invito ognuno di voi ad esprimere responsabilmente le proprie critiche attraverso la consultazione nella speranza di generare una sana evoluzione del sistema scolastico e un futuro didattico migliore per i nostri figli.

Ettore Guarnaccia

Qui si trova la mia segnalazione: CONNESSIONE E DIGITALIZZAZIONE, MA LA SICUREZZA?

A chi volesse approfondire il prossimo futuro digitale e interattivo del sistema scolastico, consiglio la lettura di questo mio articolo: “Flipped classroom: la nuova missione del sistema scolastico”

Il rapporto “La Buona Scuola” è liberamente scaricabile dal sito “www.labuonascuola.gov.it“.