Tu sei qui:
Home > News > CONTROLLO ACCESSI E GESTIONE DELLE PRESENZE DEL PERSONALE TRAMITE SISTEMI INFORMATIVI E AUSILII BIOMETRICI

CONTROLLO ACCESSI E GESTIONE DELLE PRESENZE DEL PERSONALE TRAMITE SISTEMI INFORMATIVI E AUSILII BIOMETRICI

Ridurre la capacità di coloro i quali, nell’ambito della P.A., nelle sue varie articolazioni attuano comportamenti Illegittimi  – “Furbetti del cartellino”, distorto utilizzo della L. 104 o del riposo medico nelle sue varie forme ed articolazioni, accessi indiscriminati ad aree sensibili di infrastrutture pubbliche ecc, – richiede  attività di controllo complesse e problematiche operative alle quali spesso si pensa di dare soluzione semplicemente Informatizzando i processi e incrementando gli Ostacoli da Superare  (controlli biometrici associati controlli di identification management) per dissuadere coloro i quali abusano delle larghe maglie del sistema di controllo stesso.

 

Vorrei esprimere il mio punto di vista sulle questioni del controllo accessi e gestione presenze del personale, spesso confuse l’una con l’altra, sulla base dell’esperienza maturata sia come comandante di Enti di vario livello, con più o meno ampie dimensioni del comprensorio sul quale insistono, e del background tecnico connesso con la specificità degli incarichi svolti nella mia carriera, in primis come responsabile dello sviluppo del SW gestionale per l’intero Esercito Italiano per circa 10 anni incuso il sistema di gestione del personale  adottato in tutti gli Enti dell’Esercito.

La trattazione sarebbe lunga, in quanto si dovrebbe cominciare con il chiarire la differenza tra sistema informatico e sistema informativo[1] che non sono proprio la stessa cosa, e complessa qualora ci si addentrasse in dettagli tecnici “tecnicismi”, proverò allora ad usare, assumendomi il rischio di commettendo anche qualche semplificazione eccessiva, un linguaggio come si dice in Puglia “terra terra”.

Innanzi tutto il controllo degli accessi in un’area non ha nulla a che vedere con la gestione del personale – presenze/assenze; orario di lavoro; permessi ferie ed istituti specifici previsti di contratti collettivi nazionali o dallo specifico stato giuridico del personale stesso.

Il controllo degli accessi a che fare “semplicemente”, con l’attività di controllo effettuata al fine di garantire che la persona abbia “l’autorizzazione” ad accedere ad una infrastruttura o parte di essa, ovvero ha a che fare con la “Sicurezza” (in termini di Security). Si potrebbero fare una valanga di esempi in tutti gli ambiti della PA, dai tribunali agli ospedali passando per le caserme fino agli uffici dei comuni, ai centri per la fornitura di servizi ai cittadini con organizzazioni di “front office” e “back office” ecc.

Sovente si confonde questa esigenza di controllo di sicurezza con l’esigenza di gestire l’attività dei lavoratori delle strutture sopra menzionate. Immaginiamo una situazione nella quale in un ufficio aperto al pubblico un evento costringe ad evacuare la struttura. Chiaramente la complessità ed il successo dell’operazione di evacuazione dipende dalle dimensioni ed articolazioni della struttura, ma se io fossi il responsabile della struttura stessa vorrei saper esattamente in quel momento non solo quanti lavoratori sono presenti nella struttura ma anche quanti utenti, personale delle aziende appaltatrici o fornitrici di servizi ecc.

I lavoratori sono soggetti ad un doppio controllo, devono essere autorizzati ad accedere alla struttura ed essere gestiti nel rispetto dei diritti dei lavoratori stessi.

Dirò semplicemente che questo aspetto del “controllo” deve necessariamente e  prima di tutto essere progettato strutturalmente sin da quando si imposta l’attività della infrastruttura, ad esempio separando fisicamente gli accessi alle aree destinate agli utenti dalle aree destinate ai lavoratori sia di “front office” che di “back office” o di quelle aree dove gli utenti non hanno titolo ad accedere se non dopo essere stati adeguatamente autorizzati.

La sicurezza nel senso di “security” non si inventa , si progetta.

Vorrei soffermarmi maggiormente sulla problematica relativa alla di gestione del personale perché sento parlare, a mio parere spesso senza cognizione di causa, di utilizzo dei sistemi di identificazione biometrica associati a classici sistemi di identificazione dell’individuo, essenzialmente tramite carta badge di vari  tipi , tecnologie e funzionalità.

In termini che spero siano semplici, un sistema di gestione è composto da sottosistemi, un sottosistema di identificazione dell’individuo (nelle aziende in passato immagini di repertorio visualizzano cartellini individuali da timbrare in un orologio conta tempo) oggi essenzialmente costituito da una carta badge, un sottosistema di lettura  ed interpretazione dei dati conservati nella carta badge, lettore di badge, un sottosistema di trasmissione dei dati raccolti/letti dal lettore della carta badge ed un sottosistema di gestione ed elaborazione dei dati.

Oggigiorno tutte le strutture della P.A. dispongono di un Sistema Informativo di Gestione , non fosse altro perché una legge dello stato ha disposto che per il pagamento delle ore di extra-lavoro (straordinario) è obbligatoria la registrazione oggettiva delle ore di lavoro prestate (non disquisiamo della differenza tra orario di lavoro ed orario di servizio se no non ne usciamo vivi[2]).

Stabilito che per gestire l’orario di lavoro, le presenze ecc ho bisogno di una tessera che mi identifica, uno strumento che legge la tessera , un altro che trasferisce i dati dallo strumento di lettura a quello di gestione, e ovviamente uno strumento di gestione ovvero un Software gestionale in uso essenzialmente agli uffici preposti alla gestione del personale della struttura, cercherò di esporre il mio punto di vista circa le criticità che si creano quando per effettuare l’identificazione dell’individuo con una tessera badge, oltre ai dati identificativi classici tipo codice fiscale o un Numero identificativo (ID Number univoco per la persona) ci vogliamo aggiungere il controllo biometrico tipo “impronta digitale” o “lettore dell’iride oculare” e perché no mettiamoci anche l’analisi del DNA.

Se è indubbio che la identificazione forte tramite biometria, parliamo di impronte digitali come esempio ma potremmo estendere i concetti ad altri parametri biometrici,  evita che l’individuo possa inserire nel lettore di badge tessere appartenenti ad altri individui è altrettanto vero che dovremmo fare un’attenta analisi costi benefici di adozione di una siffatta tecnologia “urbi et orbi” (è indubbio che tale metodologia ha grande valore aggiunto, ovvero incrementa la “security”, per gestire accessi in zone riservate o ad accesso limitato). Analisi che non può prescindere dalla situazione qual è oggi sia essa infrastrutturale (l’impatto dell’infrastruttura è enorme sui costi) che tecnologica (tipi di badge, tipologia dei lettori, capacità delle reti locali – LAN – Local Area Network) attualmente distribuita nelle varie articolazioni, sedi, uffici della P.A., e della numerosità ed eterogeneità dei sistemi (di fatto quasi ogni Ente ha il suo salvo poche eccezioni).

Quindi l’adozione di un controllo aggiuntivo biometrico comporterebbe, dal punto di vista dei costi legati alla tecnologia, la sostituzione di tutti i lettori di badge, la sostituzione di tutti i badge che non hanno già capacità biometriche , la pianificazione del supporto tecnico logistico (manutenzione ) dei lettori con capacità biometriche che sono di gran lunga meno “robusti” dei soli lettori classici di banda magnetica o di cip (i dati identificativi  dell’individuo sono solitamente registrati su una banda magnetica o su un cip installati sulla scheda badge)

La produzione  o meglio l’adozione di schede badge con un elevato coefficiente di sicurezza ed anticontraffazione, visto la tipologia di dati altamente sensibili che deve contenere.

L’adozione di un protocollo di gestione del processo di acquisizione ed inserimento dell’impronta digitale o meglio, come di solito accade, della traduzione dell’impronta digitale in una serie di caratteri tipici e caratterizzanti l’impronta stessa dell’individuo, all’interno della tessera badge. Ciò richiederebbe, presumibilmente, la creazione  di strutture ad ok nelle organizzazioni per la gestione del processo che non è di tipo “one shot” ma è di tipo dinamico e va seguito nel tempo (eventi tipo distruzione della carta, malfunzionamenti, cambi di personale o dei soli attributi del personale es. codice fiscale che richiedono la riemissione della carta badge). Tali strutture comunemente possono essere definite LRA “Local Registration Authority” e sono costituite da personale che ha delle specifiche responsabilità nella conduzione del processo che, di solito, si conclude con l’inserimento del codice rappresentativo dell’impronta digitale dell’individuo (stringa di caratteri alfanumerici tanto per dire) nella carta badge e la cancellazione dell’impronta acquisita come immagine[3].

Ma quanto costa? Solo pensando alla tecnologia e alle modifiche alle organizzazioni??

Quanti lettori e quante schede badge circolano oggi nelle articolazioni della P.A., Ministeri, Regioni, Provincie, Comuni, ASL ecc. ecc.??

Poi fare  il conto” della famosa casalinga di Voghera” viene facile, e quindi una norma di legge che volesse introdurre l’obbligo di utilizzo del controllo biometrico tramite impronte digitali dovrebbe avere adeguata copertura finanziaria, come tutti i provvedimenti legislativi.

Ma la questione non si risolve solo pensando ai soldi da stanziare, purtroppo c’è la questione operativa da tenere in debita considerazione. Qualcuno è mai stato dipendente o ha mai operato presso un Ente che  dispone di un sistema combinato o unico di controllo/gestione degli accessi del personale??

I più fortunati hanno la possibilità di far accedere le persone sia con autovettura che a piedi, attraverso varchi controllati presidiati da operatori della sicurezza, da “ostacoli” amovibili  (sbarre, tornelli o dissuasori) e dai famosi lettori di badge.

Soffermiamoci alla sola categoria dei lavoratori della struttura, arrivano la mattina, supponiamo in macchina (fortunatissimi soprattutto se siamo a Roma), orario di inizio lavoro alle 08:00, e si fermano difronte ad una sbarra che si alzerà solo quando il lavoratore (lasciamo perdere il caso in cui nella vettura ci siano più lavoratori della stessa struttura sarebbe un delirio) a inserito il badge (non venitemi a raccontare si però alcune carte hanno un lettore di prossimità per cui le operazioni possono essere più veloci ecc, si è vero alcune!!), ha eventualmente e qualora previsto digitato una causale di gestione, e solo dopo vede la sbarra sollevarsi e può transitare, vogliamo stimare la durata dell’operazione in 10-20 secondi?? Facciamo 15  secondi mediando tra i lavoratori più smart e quelli che lo sono un po’ meno!!

Ora immaginiamo che oltre alle suddette operazioni il lavoratore debba anche convalidare con impronta digitale la sua identità; i lettori con capacità biometriche che siano posti anche all’all’aperto, sono piuttosto cagionevoli di salute o quantomeno sensibili, e hanno dei tempi di risposta che possono portare a duplicare il tempo necessario a completare l’operazione di identificazione, diciamo una media di 30 secondi!!

Non è necessario andare a scomodare “la teoria delle code” per capire che un dipendente in coda per accedere alla struttura ci può mettere il doppio del tempo che impiegava prima, senza controllo biometrico, e come la prenderà il nostro lavoratore atteso che il Consiglio di Stato ha espressamente vietato la pratica dell’istituto del cosiddetto “tempo tecnico”, targandola come truffa ai danni dello stato?

Il tempo tecnico ea un escamotage utilizzato per consentire al lavoratore che era in coda per entrare nella struttura , era arrivato all’ora prevista, ma in virtù della coda era necessariamente costretto ad entrare in ritardo. Questa questione è stata ampiamente oggetto di contrasto con le organizzazioni sindacali ma tantè il Consiglio di stato ha deciso ed  legge.

Ma cosa succede se da un “fisiologico” tempo di attesa passiamo al raddoppio di questo tempo? Il lavoratore accumula, in sintesi estrema, ritardi al lavoro che deve compensare con una permanenza superiore sul posto di lavoro o con recuperi compensativi nei giorni successivi. E allora quale sarà la reazione dei rappresentanti dei lavoratori al riguardo?? Il legislatore dovrebbe quantomeno pensarci.

E fino qui siamo in un luogo di lavoro abbastanza controllato, dove per entrare ed uscire occorre necessariamente “beggiare” sotto gli occhi di qualcuno, e se non lo vuoi fare devi scavalcare muro o uscire dalle finestre oppure essere in combutta con i controllori.

Ma se non vi sono barriere fisiche agli ingressi per il controllo, e capita spessissimo, chi impedisce al lavoratore  che oltre ad aver “beggiato” conferma la sua identità con la sua impronta digitale di allontanarsi comunque dal posto di lavoro???

La sintesi della questione mi porta alla seguente considerazione:

Non è che aumentando le responsabilità e autorità dei dirigenti e funzionari,  e una maggiore chiarezza e semplificazione applicativa “self explaining” delle norme possono porre un freno a questi fenomeni??? Senza spendere, in termini di risorse non solo finanziarie, soldi che non ci possiamo permettere di sborsare e che non sappiamo neanche quantificare?

Io credo assolutamente di SI

[1] Un Sistema Informativo è in estrema sintesi , l’insieme costituito da informazioni +processi +  persone+ regole giuridicamente rilevanti e che arrivano a descrivere chi fa cosa , quando e come.

Il Sistema Informatico è un sottoassieme de Sistema Informativo ed è costituito da rete di comunicazione + Ardware + Software, ovvero la parte automatizzata del Sistema Informativo

[2] a) orario di lavoro: periodo di tempo giornaliero durante il quale, nel rispetto dell’orario d’obbligo contrattuale, ciascun dipendente, nell’esercizio delle sua attività o delle sue funzioni, assicura la prestazione lavorativa nell’ambito dell’orario di servizio;

  1. b) orario di servizio: periodo di tempo giornaliero necessario per assicurare la funzionalità della struttura in cui si svolge la prestazione lavorativa e l’erogazione dei servizi ai cittadini

[3] C’è da  considerare che nessuna organizzazione che non sia un forza di pubblica sicurezza è autorizzata a detenere una base dati di impronte digitali dei cittadini, intendendo proprio le immagini con i punti caratteristici che si vedono nei film. Qualora qualcuno detenga un siffatto database commette un reato ed una violazione della privacy

Lascia un commento

Top