Google Apps a scuola. Si può?

geralt / Pixabay

geralt / Pixabay

Paola Luigetti, animatrice digitale del liceo di Città della Pieve, mi ha scritto per chiedere un parere sull’adozione delle Google Apps a scuola. Ho pensato che valesse la pena di tornare sull’argomento, condividendo nel blog le mie riflessioni alla luce degli sviluppi più recenti.

Paola scrive:

« … ho qualche dubbio sul lock-in, sull’opportunità di fornire tutti questi dati a Google! Alcuni nel nostro corso per animatori ci hanno consigliato di attendere Owncloud e LibreOffice.»

Negli ultimi anni mi sono confrontato più volte su questo tema con i colleghi e ho visto emergere due posizioni molto polarizzate:

  1. “non è possibile mettere i dati della scuola su un servizio cloud come Google Apps; è vietato, perché i loro server sono fuori dall’UE, e comunque non sappiamo cosa fanno con le informazioni, spesso sensibili e riservate, che metteremmo a loro disposizione”;
  2. “le norme non sono chiare e il divieto non è assoluto; esistono accordi internazionali che consentono l’esportazione dei dati al di fuori dell’Europa e comunque i servizi cloud sono eccezionalmente efficaci e vantaggiosi; noi, fino a prova contraria, li usiamo eccome”.

Confesso di aver operato alcune scelte strategiche importanti adottando un punto di vista molto simile al secondo e, anche dopo gli scandali e le sentenze degli ultimi anni, non ho cambiato posizione. D’altra parte penso che le preoccupazioni degli “altri” siano tutt’altro che immotivate: è vero che i nostri dati finiscono nella disponibilità, ampiamente discrezionale, di multinazionali potenti e capaci di sfuggire facilmente ai controlli dei singoli Stati. Il vuoto normativo esiste, si è aggravato con la bocciatura del Safe Harbor e non credo che il nuovo accordo USA-UE chiamato “Privacy Shield” sia sufficiente a colmarlo. Non sono un esperto di sicurezza informatica, né tantomeno di diritto internazionale, ma mi sembra chiaro che una regolamentazione seria in questo campo dovrebbe partire dall’obbligo di cifratura end-to-end per tutti i dati degli utenti. WhatsApp, ad esempio, da qualche tempo codifica le conversazioni con un sistema che rende i dati decifrabili solo per i diretti interessati. Neanche i dipendenti dell’azienda hanno le “chiavi” per leggere quelle informazioni. Ciò comporta, fra l’altro, che nessun ente governativo possa più obbligare WhatsApp a consegnare le conversazioni dei propri utenti, semplicemente perché nessuno al suo interno è tecnicamente in grado di leggerle.

WhatsApp non ha inventato nulla: il sistema esiste da tempo ed è già standard in altri servizi concorrenti, ma (come ripetono continuamente gli esperti) la sicurezza assoluta non esiste. Un’organizzazione con molte risorse e il tempo necessario a disposizione potrebbe riuscire comunque ad ottenere le informazioni riservate che desidera. È però evidente che difficilmente qualcuno sarà così folle da impiegare grandi quantità di denaro e schiere di tecnici qualificati per leggere i messaggi del gruppo dei genitori della classe di nostro figlio. La cosiddetta “pesca a strascico”, l’analisi di enormi quantità di dati liberamente accessibili, diventerebbe impossibile.

Se per la messaggistica personale il problema della riservatezza sembra in via di risoluzione, per le Google Apps il discorso è più complesso. Tutti i dati delle diverse applicazioni sono trasferiti attraverso la Rete con protocolli criptati, ma sono archiviati “in chiaro”, senza cifratura, all’interno dei server. Ciò è dovuto principalmente all’esigenza di effettuare in qualsiasi momento e con estrema rapidità ricerche e analisi sulle informazioni. Chi usa Gmail è ormai abituato a fare ricerche nella propria posta, ritrovando in un attimo messaggi e allegati importanti ricevuti o inviati anni prima. Stesso discorso per i file in Drive o gli eventi in Calendar. L’intera piattaforma è stata progettata per ottenere la massima rapidità ed efficienza nell’accesso alle informazioni. Tutto ciò va a vantaggio dell’utente, che ottiene servizi migliori e tagliati su misura per le sue esigenze, ma anche dell’azienda, che può effettuare sofisticate analisi su enormi quantità di dati per mettere a punto le proprie strategie commerciali. Probabilmente adottando la cifratura end-to-end l’intera infrastruttura smetterebbe semplicemente di funzionare. Ovviamente si possono studiare soluzioni tecnologiche alternative ed è ipotizzabile un sistema altrettanto efficace e nel contempo decisamente più sicuro. Il problema è che per ora questo sistema non esiste.

Owncloud, ad esempio, consente di creare un proprio cloud personale, senza affidare i dati a terzi, ma non è paragonabile per funzionalità alle Google Apps. Fra l’altro in questo modo si “scarica” sull’utente la responsabilità della gestione fisica dei server. Quante scuole sarebbero in grado di far funzionare autonomamente una piattaforma del genere, garantendo gli standard di efficienza e sicurezza necessari? Conosciamo bene i danni che possono provocare inconvenienti banali (e frequenti) come un’interruzione di corrente o una chiavetta usb infetta. Per non parlare della continuità e della qualità del servizio che si pagano con continui investimenti in hardware, software e formazione del personale.

A mio avviso nel settore educativo non esistono al momento soluzioni paragonabili alle Google Apps for Education per economicità, qualità e facilità d’uso. Spero che presto la situazione cambi, magari con l’arrivo della versione cloud di LibreOffice. Attualmente le norme nazionali e internazionali non sono né chiare né coerenti, ma non è vero che i dati delle scuole debbano obbligatoriamente restare all’interno dell’UE. La normativa europea ne consente l’uscita a certe condizioni, che fino allo scorso anno erano esageratamente semplici da rispettare e ora sono state rese un po’ più stringenti. Si può fare di meglio, senz’altro, ma nel frattempo dobbiamo scegliere se e fino a che punto fidarci di Google. Adottando un atteggiamento aperto, ma prudente, potremmo ad esempio riservare alle informazioni più delicate attenzioni particolari, salvandole (in locale e nel cloud) in forma criptata.

La questione del lock-in è invece più semplice da inquadrare: quasi tutti i dati conservati sui server di Google possono essere scaricati in formati interoperabili (ho descritto la procedura in un post). Stiamo attenti, piuttosto, agli altri servizi che scegliamo di utilizzare a scuola, perché poche aziende hanno messo a punto sistemi di esportazione altrettanto funzionali. Una domanda che dobbiamo porci sempre prima di adottare una soluzione tecnologica per la didattica è: “come esporto i contenuti creati da me e dai miei studenti in modo da poterli visualizzare e (magari) modificare altrove?”.