iged.it n°2/2011 by Stefano Foresti

GESTIONE DELLE INFORMAZIONI DIGITALI FOCUS Evoluzione delle norme

ESPERIENZE La dematerializzazione dei dati bancari

INTERVISTE Attacco ai dati e fascicolo sanitario

EVENTI OMAT Milano 2011

DOCS-mobile Scansione “on the road”

Unità mobile di elaborazione per digitalizzare documenti fino al formato A4 Trasferimento immediato ed automatico delle informazioni

ISSN 1720-6618

Monitor touchscreen, scanner, modem, GPS

01_05_h_bis.indd 1

In collaborazione con:

Anno XX - Secondo trimestre 2011

27/06/11 15.35

„Sono un amministratore informatico e alcuni mesi fa abbiamo installato un sistema di catturaa dei documenti provando diversi tipi di scanner per il progetto. Dovevamo scegliere tra molti scanner ner ma soltanto un‘azienda, Fujitsu, ha messo a nostra disposizione un team dedicato per gli scanner, un prodotto di qualità e l‘assistenza di cui avevamo bisogno per raggiungere gli obiettivi che ci eravamo prefissati. Gli addetti alle scansioni utilizzavano tutti per la prima volta gli scanner e considerando che la soluzione per la cattura di documenti è molto importante per la nostra attività, avevamo bisogno di un‘azienda che ci aiutasse a svolgere correttamente il lavoro fin dall‘inizio. Con gli scanner Fujitsu possiamo effettuare la scansione dei documenti in modo rapido e accurato. E quando abbiamo bisogno di aiuto è sufficiente chiamare il team di assistenza dedicato agli scanner.”

www.milk-and-honey.de

„Ho provato diversi scanner, ma alla fine ho scelto Fujitsu.”

Siete interessati? Consultate il sito: http://emea.fujitsu.com/scanners Seguiteci su twitter all‘indirizzo http://twitter.com/FujitsuScanners

Tutti i nomi, nomi di produttori, denominazioni di prodotti e marchi sono soggetti a specifici diritti sui marchi commerciali e sono marchi del produttore e/o marchi registrati dei rispettivi proprietari. Le indicazioni e i dati forniti non sono impegnativi e vincolanti. I dati tecnici possono variare senza preavviso.

01_05_h.indd 2

24/06/11 16.53

I T E R S E M I N A R I P RO F E SS I O N A L I

EXECUTIVE ASSISTANT

EMAIL MARKETING

EVENTO 2.0

Il seminario ha lo scopo di aumentare l’efficacia e l’efficienza delle relazioni professionali di a segretarie e assistenti di direzione, la cui funzione comporta degli elementi di relazione, d’iniziativa e di organizzazione.

Un seminario operativo, grazie al quale imparerà come scrivere messaggi efficaci, che non vengano interpretati come spam e nel pieno rispetto delle norme sulla privacy.

Un seminario per imparare ad organizzare un evento con il web. Strumenti, tecniche, economie e molta esercitazione pratica, grazie ad una simulazione di gestione di un evento in ottica 2.0. Dall’importanza strategica dell’evento come strumento di relazione e comunicazione, alle diverse forme di promozione e ai nuovi strumenti a disposizione dell’event manager.

FRONT OFFICE D’ECCELLENZA

SOCIAL MEDIA STRATEGY

Questo seminario è rivolto principalmente alle persone addette al ricevimento e al centralino, il cui lavoro quotidiano comporta responsabilità di relazione, d’iniziativa, di organizzazione e di presa di decisione.

COME REALIZZARE UN PIANO INDUSTRIALE E FINANZIARIO PER L’IMPRESA E LE BANCHE Il seminario illustra come impostare un “Business Plan” da presentare alle Banche per ottenere i crediti necessari, alle migliori condizioni e nel contempo consente all’imprenditore di evidenziare le implicazioni economiche e finanziarie per attuare il proprio programma di sviluppo.

Facebook, MySpace, Linkedin e gli altri Social Media hanno cambiato per sempre il nostro modo di comunicare. Le aziende sono oggi di fronte a un bivio: adeguarsi oppure essere scavalcate dal cambiamento, a vantaggio della concorrenza.

TECNICHE DI PROBLEM SOLVING Le tecniche di problem-solving possono essere applicate quotidianamente per tutti i problemi correnti e creano sistemi e metodi di lavoro che risolvono i problemi già apparsi e riducono l’insorgere di nuovi problemi: questo seminario spiega come fare.

WEBMARKETING Dal SEO/SEM ai web analytics e alle strategie di promozione in rete. Un seminario indispensabile per tutti coloro che vogliono sfruttare al massimo il canale online per studiare il mercato e sviluppare nuovi rapporti commerciali (promozione/pubblicità, distribuzione, vendita, assistenza alla clientela, etc.) tramite il Web.

GESTIONE DEI CONTRASTI E DEI CONFLITTI L’obiettivo del seminario è portare i partecipanti a distinguere tra contrasti e conflitti e aiutarli affinché riescano nei momenti di disaccordo a muoversi alla ricerca della migliore soluzione e non dell’affermazione a priori del proprio punto di vista.

ITER - via Rovetta 18 - 20127 Milano - tel 02.28.31.16.1 - fax 02.28.31.16.66 - www.iter.it - iter@iter.it

01_05_h.indd 33_40_h.indd 3

24/06/11 14/03/11 16.54 15.47

EDITORIALE 02-2011

SICUREZZA DEI DATI: IL GIOCO SI FA DURO

Editore

ITER srl www.iter.it Direttore Responsabile

Domenico Piazza Direttore Contenuti

Vincenzo Gambetta A questo numero hanno collaborato:

Maurizio Arata, Giovanni Calabria, Paolo Catti, Michele Davino, Stefano Foresti, Lino Fornaro, Vincenzo Gambetta, Graziano Garrisi, Giovanni Manca, Erika Pasceri, Gianni Penzo Doria, Francesco Pucino, Sergio Resch, Pierluigi Ridolfi, Gianni Sandrucci, Gaetano Silipigni Responsabile segreteria di Redazione

Petra Invernizzi Redazione

iged.it

Via Rovetta, 18 20127 Milano TEL: +39 02.28.31.16.1 FAX: +39 02.28.31.16.66

iged@iter.it www.iter.it/iged.htm Progetto Grafico

housegrafik info@housegrafik.com www.housegrafik.com Stampa

Ingraph Srl Seregno (MI)

Autorizzazione del Tribunale di Milano n. 157 del 7 marzo 1992. La tiratura di questo numero è di N. 10.000 copie. Pubblicità inferiore al 45%. Non si restituiscono testi e materiali illustrativi non espressamente richiesti. Riproduzione, anche parziale, vietata senza autorizzazione scritta dell’Editore. L’elaborazione dei testi, anche se curata con scrupolosa attenzione, non può comportare specifiche responsabilità per eventuali involontari errori o inesattezze. Ogni articolo firmato esprime esclusivamente il pensiero di chi lo firma e pertanto ne impegna la responsabilità personale. Le opinioni e più in genere quanto espresso dai singoli autori non comporta alcuna responsabilità per l’Editore.

04 01_05_h.indd 4

Il 17 aprile scorso, milioni di persone in tutto il mondo hanno avuto lo stesso problema. Ad accomunarli, la passione per i videogiochi, e in particolare per il gaming online. A dividerli, l’impossibilità di connettersi a Internet per incontrare, come sempre, avversari sparsi per il globo. Un paio di giorni dopo, la spiegazione è arrivata direttamente da Sony, la società produttrice della console in black-out: un attacco di dimensioni enormi al sistema PlayStation Network, che ha compromesso i dati personali di 70 milioni di utenti, inclusi nomi dei clienti, indirizzi di navigazione, email, date di nascita, password, storia degli acquisti e, ciliegina sulla torta, numeri di carte di credito. Secondo DataLoss, si tratterebbe di uno dei casi di violazione più gravi della storia. Di certo, è quello che ha avuto la maggiore risonanza mediatica, anche a causa della tipologia delle vittime. Il caso Playstation Network ci porta a una riflessione e a una serie di domande. Una riflessione su come siano ancora fragili, vulnerabili e imperfetti i sistemi di sicurezza che dovrebbero tutelarci quando navighiamo in Rete; su quanto ci sia ancora da fare e, soprattutto a livello aziendale, sul fatto che non si debba mai abbassare la guardia. Poi proviamo a pensare in quanti database siano presenti i nostri dati sensibili al giorno d’oggi. Qui stiamo parlando di un semplice gioco elettronico, eppure il sistema che lo gestisce contiene tutti i nostri dati principali. Non solo: quante caselle email abbiamo aperto in questi anni? A quanti concorsi online abbiamo partecipato? Quante banche, società telefoniche, internet provider e social network conoscono la nostra identità digitale? È chiaro che dobbiamo tutti quanti fare uno sforzo per controllare maggiormente le informazioni che immettiamo sulla Rete, perché una volta pubblicate è impossibile prevedere in quali mani andranno a finire. Eliminare i dati e i profili inutili. E soprattutto, curare al massimo il livello di protezione dei nostri terminali, tenendo presente che le minacce possono arrivare da un cellulare, un palmare o un innocuo videogioco.

La Redazione

iged.it 02.2011

24/06/11 16.55

FOCUS

L’identificazione in rete: occorrono delle Linee Guida Cosa è? Cosa sarebbe utile fare?

MERCATO

La PFU Imaging Channel Conference ingrana la quart

Firma remota: a che punto siamo?

Pregi, vantaggi e … speranze sull’impiego degli Hardware Security Module

L’impronta dell’archivio informatico richiesta dall’Agenzia delle entrate Alcuni utili chiarimenti operativi SCENARI

PIERLUIGI RIDOLFI

Università di Bologna, già Componente del Collegio del Cnipa e Presidente della Commissione interministeriale sulla dematerializzazione Articolo a pagina 06

È possibile eliminare legalmente i documenti soggetti a conservazione sostitutiva?

La domanda sembra semplice …, ma apre tutta una serie di problemi di seguito puntualmente evidenziati

Cosa c’è “oltre la fattura”?

Le opportunità della dematerializzazione

GIOVANNI MANCA

Esperto di dematerializzazione e sicurezza ICT Articolo a pagina 11

e la crescita del Paese, la necessità di interventi a sostegno della ricerca, dell’innovazione, dell’informatica, il futuro delle piccole, medie e grandi imprese, di tutti i cittadini imbrigliati dai disservizi derivanti da strutture pubbliche che dovrebbero garantirci best practice e servizi migliori

INTERVISTE

Il tema della conferenza è stato quest’anno “Capture the Cloud” che ha posto l’accento sull’evoluzione delle modalità di acquisizione e di gestione dei documenti per le aziende che adotteranno soluzioni e piattaforme Cloud ESPERIENZE

La digitalizzazione delle banche inizia dalla dematerializzazione dei suoi documenti più importanti

La filiale “paper less” è l’obiettivo finale di tutte le banche che, però, oggi stanno cercando di ottenere una gestione affidabile efficace ed economica di tutte le tipologie di documenti gestiti in filiale (assegni, carte d’identità, contratti ed altri tipi di documenti A4 con più pagine). L’assegno è ancora un documento diffuso ed “importante”: unificare la loro acquisizione e quella di tutti gli altri documenti gestiti in filiale può rappresentare l’elemento chiave per dematerializzare l’attività delle filiali

Gli attacchi che subiscono i nostri dati

Siamo di fronte ad una sostanziale modifica della tattica dei cyber-criminali che preferiscono adottare attacchi meno sofisticati e con obiettivi di minor valore, attacchi che, però, possono essere condotti su una scala molto vasta producendo un più elevato tornaconto con minor impegno

Fascicolo Sanitario elettronico e Codifica dei dati sanitari

Un progetto del Consiglio Nazionale delle Ricerche per definire le specifiche tecniche della codifica e dell’interscambio di dati sanitari tra le realtà regionali

APPROFONDIMENTI

Dalla protezione dati alla continuità operativa

Scenari di rischio, metodologie e soluzioni tecnologiche

Firma facile

Una tecnologia utile deve essere usabile

Lettura ottica ed outsourcing documentale

Come far diventare più competitivo un service bureau

PAOLO CATTI

Responsabile Ricerca Osservatorio Fatturazione Elettronica e Dematerializzazione, School of Management Politecnico di Milano Articolo a pagina 22

ANORC INFORMA

REDAZIONE

C’era una volta la Privacy nei processi di conservazione digitale dei documenti

Dataxpert e ABBYY avviano una partnership di valore

VINCENZO GAMBETTA

Consulente Gestione Dati, Informazioni e Contenuti e Direttore contenuti iged.it e iged.it/online Articolo a pagina 27

Primo commento al Decreto Legge del 13 maggio 2011, n. 70 in materia di riduzione e semplificazioni degli adempimenti burocratici nell’applicazione del Codice Privacy

La Società, attiva nell’erogazione di soluzioni tecnologiche legate al knowledge management, è la prima in Italia a ricevere l’abilitazione ABBYY per l’erogazione di corsi e certificazioni FlexiCapture

SPECIALE OMAT

EVENTI

La Tavola Rotonda di OMAT Milano

OMAT MILANO 2011

Come ormai consuetudine, nel corso del Convegno di Aperura ha avuto luogo una Tavola Rotonda che, sotto lo stimolo del Cloud Computing, è stata un’occasione per discutere importanti temi che ci riguardano: lo sviluppo

iged.it 02.2011

01_05_h.indd 5

05 24/06/11 16.55

FOCUS

L’identificazione in rete: occorrono delle Linee Guida Cosa è? Cosa sarebbe utile fare? DI PIERLUIGI RIDOLFI

I SISTEMI INFORMATICI E IL PROBLEMA DELL’IDENTIFICAZIONE DELL’UTENTE L’architettura di un sistema informatico è basata generalmente su tre macrocomponenti: un complesso di elaborazione (un sistema centrale oppure un insieme distribuito di server oppure una soluzione ba-

sata sulle moderne tecnologie di cloud computing) che gestisce una o più applicazioni informatiche; un numero più o meno vasto di persone, ognuna dotate di un personal computer (o equivalente), interessate a utilizzare le applicazioni informatiche (utenti); una rete in grado di collegare gli utenti al complesso di elaborazione.

In genere si pone il problema di verificare in modo certo l’identità di ogni singolo utente che accede alle applicazioni del sistema, anche al fine di proteggere il sistema informatico e le applicazioni stesse da interventi di persone estranee. A questo proposito si intendono con: “identificazione informatica” o “identificazione in rete”, l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità dell’utente; “credenziali di identificazione”, i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’identificazione informatica; “profilo di autorizzazione”, l’insieme delle informazioni, univocamente associate ad una persona, che consente al complesso di elaborazione di individuare a quali applicazioni essa può accedere; “sistema di autorizzazione”, l’insieme degli strumenti elettronici e delle procedure che abilitano l’accesso alle applicazioni, in funzione del profilo di autorizzazione del richiedente. ASPETTI NORMATIVI La terminologia “identificazione informatica” è relativamente recente: introdotta dal Dlgs. 235 del 31 dicembre 2010 (che modifica il Dlgs. 82/05, Codice dell’Amministrazione digitale, brevemente “CAD”, dando vita a

iged.it 02.2011

Approf_Ridolfi_h.indd 2

23/06/11 11.55

quello che nel linguaggio corrente è chiamato “nuovo CAD”), ha sostituito la precedente definizione di “autenticazione informatica”1. Di autenticazione informatica trattano il Codice per la protezione dei dati personali (Dlgs. 196/03, art. 4, comma 3) e il CAD (art. 1, comma 1, punto u-ter), prima dell’intervento del nuovo CAD. In quest’ultimo l’identificazione informatica è formalmente definita come “la validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco a un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. La definizione non è un capolavoro di chiarezza, ma rende l’idea. Il tema è ripreso nell’articolo 64 che descrive le modalità di accesso ai servizi erogati dalle pubbliche amministrazioni. Il testo nel nuovo CAD è il seguente: La carta di identità elettronica (CIE) e la carta nazionale dei servizi (CNS) costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’identificazione informatica. Le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da essi erogati che richiedono l’identificazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio. A questo punto è necessario fare un po’ di storia e ricostruire come si è arrivati a queste formulazioni. L’accesso ai servizi in rete è trattato per la prima volta, anche se marginalmente, nel Testo Unico sulla documentazione amministrativa (DPR445/2000). Infatti, al comma 4 dell’articolo 36 si legge: “La carta d’identità elettronica può altresì essere utilizzata per il trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni”, norma che rivela uno straordinario ottimismo nel legislatore, visto che dopo oltre dieci anni nulla del genere risulta ancora possibile. Interessante è anche il comma 6 dello stesso articolo che apre la strada alle soluzioni moderne di erogazione dei servizi in rete: “Nel

rispetto della disciplina generale fissata dai decreti di cui al presente articolo e delle vigenti disposizioni in materia di protezione dei dati personali, le pubbliche amministrazioni, nell’ambito dei rispettivi ordinamenti, possono sperimentare modalità di utilizzazione dei documenti [ossia la CIE] di cui al presente articolo per l’erogazione di ulteriori servizi o utilità”. La CIE è stata introdotta nel nostro ordinamento dalla Legge 127 del 1997, che ne affidava la responsabilità al Ministero dell’Interno. Purtroppo, per vari motivi - tuttora non superati - la diffusione della CIE si rilevò estremamente più lenta del previsto: nacque pertanto, su sollecitazione del Ministro per l’Innovazione, la CNS - tecnicamente simile alla CIE, ma senza le funzioni di identificazione anagrafica - come soluzione provvisoria, proprio per consentire l’accesso alle reti in attesa della CIE. La CNS è stata introdotta dalla Legge 3 del 2003 e disciplinata dal DPR 117 del 2004. In questo DPR era presente una norma, voluta dal Ministero dell’Interno, che stabiliva che chi aveva la CIE non poteva avere la CNS: poiché all’atto pratico questo controllo risultò operativamente quasi impossibile, anche la CNS stentò a decollare. Come palliativo, fu emanata una nuova norma che consentiva, non oltre una certa data però, l’emissione della CNS senza controllare se il cittadino disponesse già di una CIE. Tutta questa materia è stata successivamente rielaborata nel CAD che, all’articolo 64 (Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni), prendendo evidentemente atto delle scarsa diffusione di entrambe le carte, consente l’accesso alle reti anche con “strumenti diversi”. Sulla natura di questi “strumenti diversi” ritorneremo in seguito. Il testo originale dell’articolo 64, risalente al 2005 è il seguente: 1 - La CIE e la CNS costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’autenticazione informatica. 2 - Le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’autenticazione informatica anche con strumenti diversi dalla

CIE e dalla CNS, purché tali strumenti consentano di accertare l’identità del soggetto che richiede l’accesso. L’accesso con CIE e CNS è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni. 3 - Ferma restando la disciplina riguardante le trasmissioni telematiche gestite dal Ministero dell’economia e delle finanze e dalle agenzie fiscali, con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e d’intesa con la Conferenza unificata …. è fissata la data, comunque non successiva al 31 dicembre 2007, a decorrere dalla quale non è più consentito l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla CIE e dalla CNS. È prorogato alla medesima data il termine relativo alla procedura di accertamento preventivo del possesso della CIE, di cui all’articolo 8, comma 5, del DPR 117/04, limitatamente alle richieste di emissione di CNS da parte dei cittadini non residenti nei comuni in cui è diffusa la CIE. Confrontando questo testo con quello del nuovo CAD, sopra riportato, si possono notare alcune differenze sostanziali. Il comma 1 di questa “vecchia” versione è uguale a quello della versione vigente, tranne per la dicitura “autenticazione informatica” sostituita da “identificazione informatica”. La prima parte del comma 2 è sostanzialmente uguale nelle due versioni. La seconda parte esiste solo nella “vecchia” ed è stata provvidenzialmente eliminata in quella attuale. Infatti, sembra evidente che ci sia stata in origine un po’ di confusione tra due azioni nettamente diverse: l’identificazione del soggetto e l’accesso alle applicazioni. La CIE e la CNS servono a identificare il soggetto, ma non danno automaticamente accesso alle applicazioni, per le quali ogni Amministrazione può richiedere una specifica abilitazione. Con quelli che il CAD definisce “strumenti diversi”, come vedremo in seguito, si ottiene in un solo passaggio l’identificazione dell’utente e il controllo della sua abilitazione. Pertanto, le due azioni (CIE o CNS rispetto agli “strumenti diversi”) non sono esattaiged.it 02.2011

Approf_Ridolfi_h.indd 3

07 23/06/11 11.55

mente equivalenti. Il comma 3 stabilisce dei termini per la durata del regime misto, di cui al comma 2, e per l’accertamento della preesistenza di una CIE. Detti termini si rilevarono ben presto non congrui e furono più volte prorogati, fino ad arrivare alla completa eliminazione del comma 3 nella versione attuale del CAD. Riassumendo: in base all’articolo 64, attualmente l’accesso in rete è consentito sia con la CIE, sia con la CNS, sia con altri metodi che consentano l’individuazione del soggetto che richiede il servizio. Può darsi che con la progressiva introduzione delle nuove Tessere Regionali Sanitarie, dotate di alcune delle proprietà previste per le CNS, l’accesso alla rete attraverso una carta elettronica possa conquistare una maggiore diffusione, almeno in alcune regioni: nel frattempo però si va affermando sempre di più l’utilizzo dei più volte citati “strumenti diversi”. STRUMENTI DI IDENTIFICAZIONE DIVERSI DALLE CARTE ELETTRONICHE A parte poche righe nel Codice in materia di protezione dei dati personali (nel seguito: Codice della Privacy), non è stato finora pubblicato alcun documento che stabilisca dei criteri, in una visione strategica di Amministrazione digitale, sugli “strumenti diversi” citati nell’articolo 64 del CAD. A mio parere, è giunto il momento di disciplinare, sia pure entro certi limiti, questi “strumenti diversi”. Nel seguito, prima di indicare alcune delle possibili strade, passeremo in rassegna, per sommi capi, allo “stato dell’arte”. Le possibilità offerte dal mercato, innumerevoli, sono tutte basate su più livelli di identificazione. Il primo livello è, di solito, legato a una “caratteristica” oggettiva dell’utente: può trattarsi di un parametro biometrico (ad esempio, un’impronta digitale) oppure di un codice alfanumerico. Limitiamo l’esame a quest’ultimo caso che, peraltro, nelle applicazioni amministrative è quello di gran lunga più frequente. Di solito il codice è assegnato dall’Am-

ministrazione, ma, in certi casi, può essere scelto dall’utente. In entrambi i casi, il codice, una volta assegnato, resta immutato senza limiti di tempo. A questo codice è dato il nome di “codice utente” o “codice identificativo”. Se l’identificazione dell’utente avviene tramite CIE o CNS, il codice è sempre assegnato dall’Amministrazione ed è registrato sulla banda magnetica e/o sul microchip della carta elettronica. L’identificazione avviene in due fasi: nella prima si “striscia” la carta oppure la si “inserisce” nell’apposito lettore. Nella seconda fase l’utente immette tramite tastiera un proprio codice segreto, presente anche, in modo cifrato, nella carta elettronica. La procedura elettronica di riconoscimento, molto complessa, è basata su tecniche simili a quelle della firma digitale e offre garanzia di massima sicurezza 2. Dopodiché, l’utente, essendo stato identificato dal sistema, potrebbe essere chiamato a compiere un ulteriore passo per vedere riconosciuta la propria abilitazione ad accedere a una determinata applicazione. In realtà, l’idea originaria, che aveva ispirato la nascita della CNS, presupponeva che l’accesso a tutte le Amministrazioni potesse avvenire con lo stesso codice, il che si è rivelato ben lontano dalla realtà, anche all’interno della stessa comunità locale (Regione, Provincia, Comune, Enti collegati). Per rimediare a questo limite, è stato consentito - almeno su un piano teorico - il possesso di più CNS in carico allo stesso soggetto, ognuna emessa da un’amministrazione diversa. Nel caso si impieghi una carta, si può osservare dunque che: il terminale con il quale si vuole accedere alla rete deve essere dotato di un dispositivo di lettura della carta; la procedura con le carte non sempre è sufficiente per accedere alle applicazioni. Se non si utilizza una carta, l’inserimento del codice avviene manualmente attraverso la tastiera. La lunghezza del codice è data dal numero di caratteri alfanumerici impiegati. Il codice può essere di lunghezza fissa o variabile. Nel primo caso, una lunghezza adottata di frequente è di

8 caratteri: se questi sono dati dalle 26 lettere dell’alfabeto standard, maiuscole e minuscole, e le 10 cifre, le combinazioni possibili sono 628 ≈ 200.000 miliardi. Per accedere a una zona riservata occorre conoscere il codice: chi non lo conosce non può che procedere per tentativi. È evidente che con simili valori la protezione all’accesso è praticamente assicurata, a meno che l’interessato non lo comunichi a persone terze o se lo lasci incautamente copiare. Risulta pertanto inutile adottare codici lunghi, che, tra l’altro, potrebbero portare facilmente a errori nel caso di immissione manuale. Anche per questo motivo a volte si preferisce limitare la variabilità dei caratteri (ad esempio, alcuni devono essere solo numerici). Nel caso, ad esempio, di un codice di 6 caratteri di cui 3 numerici e 3 alfabetici di sole maiuscole, le combinazioni possibili sono circa 18 milioni, numero così elevato da scoraggiare qualunque tentativo di accesso non autorizzato. Una soluzione a volte adottata nell’ambito della pubblica amministrazione consiste nell’adozione del codice fiscale come codice identificativo: si tratta di un codice molto lungo, ma con il vantaggio di essere facilmente ricordato o consultabile 3. Un malintenzionato potrebbe però effettuare questi tentativi non manualmente, ma mediante una procedura automatica governata da un computer, una specie di automa, per il quale ordini di grandezza di quelli sopra indicati potrebbero essere gestibili. Allo scopo di impedire ciò, a volte è introdotto un livello “zero” di identificazione che ha il solo scopo di assicurare il sistema informatico centrale che dall’altra parte della rete c’è una persona reale e non un automa. L’accorgimento si basa sull’invio di un messaggio che richiede una risposta intelligente, che un automa non può dare: tipico è il caso dei codici Captcha 4. Oltre al primo livello d‘identificazione, quello di tipo “oggettivo”, e all’eventuale precedente livello “zero”, che esclude gli interventi dolosi di tipo automatico, è sempre aggiunto un secondo livello, basato su un codice

iged.it 02.2011

Approf_Ridolfi_h.indd 4

23/06/11 11.56

lasciato di solito alla scelta soggettiva dell’utente. Normalmente si tratta di un codice alfanumerico per il quale possono essere stabilite condizioni analoghe a quelle del primo codice (lunghezza fissa o variabile, limitazioni nella tipologia dei caratteri). A questo codice è dato il nome di “codice personale” 5. Il codice personale è registrato in forma cifrata all’interno del sistema e non è accessibile se non al gestore del sistema stesso con severi controlli di sicurezza. Su questo specifico argomento il Codice della Privacy, nell’allegato B (“Disciplinare tecnico sulle misure minime di sicurezza”), stabilisce la regola che il codice personale dovrebbe essere composto da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’utente; se assegnato dal sistema deve essere modificato dall’utente al primo utilizzo e, successivamente, almeno ogni sei mesi. Nel caso di CIE o CNS il codice personale è memorizzato in modo cifrato all’interno della carta: ciò porta necessariamente a importanti varianti nel processo di abilitazione dell’utente. L’accesso alla rete avviene pertanto attraverso la seguente sequenza: Fase 1: l’utente si collega con il sistema in cui si trova l’applicazione che gli interessa. Fase 2: l’utente individua l’applicazione e chiede di accedere. Fase 3 (facoltativa): il sistema si assicura che l’utente sia un “umano” mediante una procedura di tipo Captcha. Fase 4: il sistema richiede il codice identificativo dell’utente e, una volta ricevutolo, controlla che sia tra quelli autorizzati. Fase 5: il sistema richiede il codice personale dell’utente e, una volta ricevutolo, controlla che sia quello corrispondente al codice identificativo precedentemente trasmesso. Fase 6: l’applicazione si “apre” alle esigenze dell’utente. Fase 7 (facoltativa): in alcune applicazioni, se la richiesta dell’utente è particolarmente importante (transazioni con valore economico, abilitazioni, revoche) può essere richiesta una convalida della richiesta attraverso l’immissione in un ulteriore codice ad hoc 6.

Spesso le Fasi 4 e 5 sono congiunte e i controlli della correttezza del codice identificativo e di quello personale vengono fatti in un unico passaggio. Nel caso di utilizzo di CIE o CNS le Fasi 4 e 5 seguono altri protocolli. PROPOSTA DI CRITERI DA ADOTTARE NELL’AMBITO DELLA PUBBLICA AMMINISTRAZIONE Non c’è procedura di accesso uguale in due amministrazioni diverse: ciò costringe l’utente a dover ricordare altrettante coppie di codici diversi (codice utente e relativo codice personale), a scapito della sicurezza e a favore di errori. Nella prospettiva di avere in futuro un sistema omogeneo di identificazione rete per l’intero sistema amministrativo nazionale, a mio parere, è giunto il momento di cominciare a predisporre dei criteri per dettare poi delle Linee guida, come è stato fatto in passato per altri temi di rilevanza operativa (protocollo, rilevazione della customer satisfaction, siti web, contratti ICT). Le modalità potrebbero passare per un tavolo tecnico, formati da esperti della materia, con il compito di: realizzare un inventario delle soluzioni esistenti; individuarne pregi e difetti; segnalare le realizzazioni più valide; raccomandare i criteri da adottare per le soluzioni future. Al solo scopo di attivare una discussione costruttiva, elenco alcune di quelle che potrebbero essere le raccomandazioni proposte da questo tavolo tecnico: non utilizzare la codifica Captcha (tecnicismo eccessivo); come codice utente utilizzare come standard il codice fiscale; nel caso di codici diversi, limitarsi a 8 cifre nel caso di codici solo numerici e a 5 caratteri nel caso di codici alfanumerici, evitando in questo caso i caratteri O e I e le cifre 1 e 0; consentire che detto codice possa essere “ricordato” nel personal computer e possa essere richiamato automaticamente (ciò elimina la possibilità di sbagliare nell’inserire i caratteri); come codice personale lasciare li-

bera la scelta dell’utente, nell’ambito di una lunghezza massima di 8 caratteri; non pretendere una periodica modifica del codice personale. Mi sembra anche opportuno raccomandare che, come azione a lungo termine, venga sviluppata un’interfaccia di accesso da proporre identicamente a tutte le amministrazioni: ciò, tra l’altro, potrebbe aprire la strada alla realizzazione, da molti sostenuta, dell’accesso da parte del cittadino a qualunque amministrazione collegata alla stessa rete mediante un’unica procedura (il cosiddetto “SSO - Single Sign-On”), possibile solo se tutte le amministrazioni hanno la stessa modalità di accesso. Questa possibilità sarebbe particolarmente valida nell’ambito dello stesso territorio (amministrazioni regionali, provinciali, comunali, ASL, scuole, ecc.). Una versione preliminare di questo articolo è apparsa nella rubrica Argomenti del sito della Fondazione Siav Accademy - http:// www.fondazionesiavacademy.it/la_fondazione.aspx

NOTE Nella letteratura internazionale questo concetto è noto con il termine inglese di “authentication”, la cui traduzione corretta è “di sicura origine”. L’autenticazione, nella terminologia giuridica italiana, si riferisce esclusivamente a un tipico processo notarile. 2 Questo processo è definito di “strong autentication”, cioè di “identificazione forte”. 3 Il codice fiscale è riportato anche nella tessera sanitaria, normalmente presente tra i documenti personali che ogni cittadino porta con sé. 4 L’acronimo CAPTCHA deriva dall’inglese “Completely Automated Public Turing test to tell Computers and Humans Apart” (Test di Turing pubblico e completamente automatico per distinguere computer e umani). Il principio di funzionamento è il seguente: il sistema centrale genera una breve stringa di caratteri casuali, ad esempio, “ifhkfp”, produce un’imma1

iged.it 02.2011

Approf_Ridolfi_h.indd 5

09 23/06/11 11.56

gine con questi caratteri sfuocati o disallineati (v. figura) e la invia all’utente, invitandolo a decifrala e a rispondere inviando la decodifica, cioè la sequenza corretta di caratteri.

Sono anche utilizzati altri nomi come, ad esempio, “Codice di sicurezza” oppure “Parola chiave” oppure “Password”. Nella terminologia inglese, se questo codice consiste in un numero, si utilizza spesso la sigla PIN, come acronimo di “Personal Identification Number”. Questa soluzione, adottata spesso nelle carte di credito, non consente di solito la scelta del PIN da parte dell’utente. Se questo accade, significa che chi si 6 Le varie soluzioni tecniche hanno trova dall’altra parte della rete è un lo scopo di assicurare il complesso “umano”. informatico centrale che la persona Poiché è stato notato che questo che si trova dall’altra parte della rete sistema non sarebbe “accessibile” ai è veramente quella che dice di essere. Figura Su di un modulo acquisito filtrandoUna il colore con cui sono disegnate sensi della7 –Legge 4/04, in quanto non soluzione consiste nelle caselle conse-ma sul quale èda stato overlay,una dopo il gnare riconoscimento, vuotodella non filtrato utilizzabile unimpresso vedente,inesiste al clienteunalmodulo momento sua è moltodi piùCaptcha agevole effettuare una eventuale registrazione verifica o correzione manuale dati.solo versione in cui vengono una tabella di dei codici pronunciate alcune cifre numeriche a lui riservati: volendo fare una verifica conmarcatura un tono èvariabile leggermente gli sisipossa chiedeaspettare. di inserire di questi di quindi esufficientemente Chiuno ha necessità alterato, invitando l’ipotetica persona (“inserire il codice corrisponcomplessa, molto più di quello che ci codici utilizzare tale tecnologia può scegliere a trascrivere la sequenza stessa. dente alla casella xx della tabella in suo

ifhkfp

Approf_Ridolfi_h.indd 65 Approf_Pucino_h.indd

possesso” la coordinata xx viene prodottidove già collaudati e pronti all’uso, attribuita per ogni transao può casualmente realizzare una propria applizione). Un in altro sistema consiste nel a cazione autonomia ricorrendo richiedere all’utente di inserire tempeSDK, che agevolano e velocizzano stivamente che glidel arriverà non pocounla codice realizzazione proprio tempestivamente comedimessaggio sul da progetto, evitando dover partire proprio cellulare. zero etelefono di doversi scontrare con problematiche già egregiamente risolte.

PIERLUIGI RIDOLFI FRANCESCO PUCINO

Università di Bologna, Cofondatore e CEOgià di Recogniform Componente del Collegio Technologies SpA, membro IEEE deled Cnipa e Presidente delladi ricerca nel AIIM, svolge attività Commissione interministeriale settore imaging dal 1990. sulla dematerializzazione

23/06/11 11.56 3-03-2010 16:19:01

FOCUS

Firma remota: a che punto siamo? Pregi, vantaggi e … speranze sull’impiego degli Hardware Security Module DI GIOVANNI MANCA

DOVE SIAMO E DOVE STIAMO ANDANDO? Negli ultimi 12 mesi abbiamo assistito ad un fortissimo incremento nella diffusione della cosiddetta firma remota. Per i pochissimi lettori che non sanno di cosa si tratta ricordiamo sinteticamente quanto segue. L’articolo 35, comma 3 del decreto legislativo 30 dicembre 2010, n. 235 notissimo decreto correttivo del codice dell’amministrazione digitale (CAD), regolamenta la cosiddetta sottoscrizione con procedura automatica. Nei fatti si tratta di una firma che viene apposta senza la necessaria visualizzazione da parte del sottoscrittore di quanto si appresta a sottoscrivere. La sua tutela è di tipo organizzativo, tant’è che la sottoscrizione è valida se, e solamente se, il sottoscrittore ha esplicitamente accettato questo tipo di procedura. Nella realtà si tratta della sottoscrizione di un numero elevato di documenti informatici tale da non essere umanamente praticabile la sottoscrizione del singolo documento. Nel gergo tecnico di settore si parla di “firma massiva” anche se è opportuno ricordare che la normativa non specifica nulla e quindi questo tipo di sottoscrizione è valida anche per il singolo documento. Per estensione il mercato ha introdotto la sottoscrizione centralizzata, diffusamente conosciuta come “firma remota”. In questo caso il sottoscrittore sblocca le chiavi crittografiche di sottoscrizione a lui assegnate mediante dei codici personali dei quali ha il controllo esclusivo. Il titolare non ha la disponibilità diretta del dispositivo per la creazione della firma che è dislocato in un punto della rete e comunque in modo legale gli consente di sottoscrivere documenti informatici. Fin qui nessuna particolare novità. I temi da analizzare sono invece relativi a quale tipo di dispo-

sitivo di sottoscrizione deve essere utilizzato per produrre una firma qualificata o una firma digitale. A tal proposito si ricorda che la normativa primaria ha eliminato il dispositivo sicuro per la creazione della firma nella definizione di firma digitale, ma si ritiene che questo palese errore verrà rimosso al più presto. Comunque nelle more della pubblicazione delle previste nuove regole tecniche nulla cambia ed è su questa ipotesi che si basano i successivi ragionamenti. A partire dal 1 febbraio 2010 e con le regole stabilite dal DPCM 10 febbraio 2010 il mercato ha proposto soluzioni di firma remota basate su particolari apparati crittografici denominati HSM (Hardware Security Module). Questi apparati, in alcune realizzazioni tecnologiche, possono gestire anche centinaia di migliaia di chiavi crittografiche, da ciò derivando un fortissimo fascino nelle organizzazioni che non devono più pagare l’elevato TCO di gestione delle smart card, dell’usabilità del software di firma digitale e dell’instabilità dei lettori in numerosi ambienti operativi. I token crittografici alleviano molti problemi, ma il loro elevato costo di base non risolve totalmente il problema della diffusione della firma digitale. Ancora oggi quest’ultima è vista come un obbligatorio onere burocratico piuttosto che come un fondamentale tassello dell’innovazione. Ciò premesso possiamo senza dubbio alcuno affermare che gli HSM sarebbero ampiamente diffusi se fosse sciolto definitivamente il nodo primario costituito dalla domanda : quale dispositivo per la sottoscrizione remota è a norma di legge per la firma digitale? Per rispondere al quesito cominciamo con il ricordare che fino al 1 novembre 2011 gli HSM sono autocertificati dai certificatori accreditati che con tale procedimento amministrativo assicurano, sotto la loro responsabilità, che quanto iged.it 02.2011

Approf_Manca_h.indd 1

11 23/06/11 12.03

utilizzato risponde agli specifici requisiti di sicurezza previsti dalla normativa europea e nazionale. Ma dopo cosa succede? È in fase di concertazione tra le amministrazioni coinvolte (Innovazione, Economia e Finanze, Sviluppo Economico) e dovrebbe essere pubblicato a breve in GU un nuovo decreto che chiarisce che gli apparati possono essere utilizzati dopo la data del 1 novembre 2011 solo se hanno superato con successo la procedura di accertamento prevista dal già citato DPCM 10 febbraio 2010. In questo caso positivo possono continuare a essere utilizzate le procedure di autocertificazione già in campo. Lo schema di decreto spiega anche che l’utilizzo richiede la comprovata attivazione della procedura di certificazione Common Criteria prevista a livello UE e nazionale (art. 35 commi 4 e 5 del CAD). Tale procedura deve essere completata entro il 1 novembre 2013. Quindi a questo punto si potrebbe affermare che basta superare la procedura di accertamento e poi certificarsi nel biennio rimanente per non avere più problemi. Purtroppo rimangono ancora dei dubbi che descriviamo nel seguito. PRIMO DUBBIO: COS’È UN HSM? Sembra una domanda sciocca, ma il mercato e gli esperti dibattono ancora sul tema. Ad esempio il telaio che contiene e gestisce alcune decine di smart card certificate è un HSM? O basta che sia certificata la singola smart card per non avere altri problemi. E per le implementazioni che utilizzano l’integrazione di software di gestione con schede crittografiche esterne qual è la “red line” che deve essere considerata nella procedura di accertamento e successivamente di certificazione al fine della corretta analisi di un dispositivo per la sottoscrizione con procedura automatica? SECONDO DUBBIO: COS’È UNA FIRMA REMOTA? Anche in questo caso il mercato esprime e gestisce delle situazioni ambigue, anche se con meno dubbi del caso precedente. Tanto per citare il dubbio principale, in numerose implementazioni si utilizzano username e password statiche per lo sblocco delle chiavi di sottoscrizione. Altre (in maniera decisamente più corretta perché più sicura) utilizzano meccanismi di OTP (One Time Password) per le credenziali utente. La nuova normativa in materia di firma elettronica avanzata (con la stessa efficacia probatoria della firma digitale e della firma elettronica qualificata) sta facendo sviluppare al mercato soluzioni che utilizzano il solo OTP. Quest’ultimo scenario è estremamente pericoloso perché non assicura l’integrità e la non modificabilità del documento sottoscritto. TERZO DUBBIO: DOVE SONO CUSTODITE LE CHIAVI CRITTOGRAFICHE? Un altro forte dibattito è sulla custodia delle chiavi crittografiche. Si ritiene che tale dibattito sia sfuocato rispetto al vero

obiettivo che è quello della non intercettabilità delle chiavi da parte di non autorizzati e del contemporaneo controllo esclusivo da parte del titolare. Quindi il tema non è se le chiavi sono all’interno o all’esterno di dispositivi fisici magari “a prova di effrazione”, ma se esse sono protette in modo tale da non consentirne l’utilizzo improprio da persone diverse dal titolare. UN ALTRO TEMA DIBATTUTO. La normativa comunitaria prevede che i dati per la creazione della firma non devono essere duplicati. Questo è corretto. Nessuno avrebbe fiducia in una smart card che viene copiata anche se al solo fine di disponibilità in caso di guasto. E infatti le smart card guaste o smarrite sono annullate mediante la revoca del certificato digitale di sottoscrizione e riemesse. Lo stesso meccanismo non è praticabile per gli HSM. Questi sono nei fatti dei server di sottoscrizione con la possibilità di gestire migliaia di chiavi. Deve essere quindi consentito dalla normativa di settore l’esportazione delle chiavi a fini dell’alta affidabilità del sistema informatico. Naturalmente i meccanismi di esportazione dovranno essere “sicuri” e valutati nell’ambito delle procedure di accertamento e certificazione in quanto descritti negli appositi obiettivi o ipotesi per l’ambiente nel relativo Traguardo di Sicurezza (Security Target). A CHE PUNTO SIAMO? Sintetizzando quando detto e concludendo auspichiamo che il “cantiere” attivo per le regole tecniche previste dal CAD definisca: cos’è un HSM; la firma remota e il contesto di applicazione della stessa; regole per l’esportazione delle chiavi crittografiche e per il loro utilizzo in modo esclusivo da parte del titolare; le nuove modalità di vigilanza a fronte dei nuovi scenari tecnologici. Sicuramente la maturità delle istituzioni, degli operatori di mercato e degli utenti è molto cresciuta negli ultimi tempi. Quindi manteniamo un moderato ottimismo su uno scenario stabile e chiaro per la fine del 2011. Con l’augurio di un prossimo articolo con una sola frase. La firma remota è diffusa, stabile normativamente e pianamente sostenuta dal mercato in termini di qualità e sicurezza.

GIOVANNI MANCA

Esperto di dematerializzazione e sicurezza ICT

iged.it 02.2011

Approf_Manca_h.indd 2

23/06/11 12.03

Approf_Manca_h.indd 3

23/06/11 12.03

FOCUS

L’impronta dell’archivio informatico richiesta dall’Agenzia delle entrate Alcuni utili chiarimenti operativi DI GAETANO SILIPIGNI

Il provvedimento del Direttore dell’Agenzia delle entrate del 25 ottobre 2010, attuativo delle disposizioni contenute nel D.M. 23 gennaio 2004, chiude il cerchio sulla conservazione digitale dei documenti rilevanti ai fini tributari. Il fine è quello di estendere nel tempo la validità dei documenti informatici e di consentire all’Amministrazione finanziaria di conoscere i contribuenti che adottano sistemi di conservazione digitale dei documenti, nonché i dati relativi ai responsabili della conservazione ed ai soggetti da questi eventualmente delegati ai sensi dell’articolo 5, comma 2, della deliberazione CNIPA 11/2004. IL QUADRO NORMATIVO DI RIFERIMENTO A gettare le basi per la conservazione dei documenti contabili con modalità alternative a quelle cartacee è l’articolo 7, comma 2 del D.L. 357/1994. La legge di conversione (Legge 489/1994) del citato decreto, sopprime il comma 2 e inserisce il nuovo comma 4-ter, che stabilisce: “A tutti gli effetti di legge, la tenuta di qualsiasi registro contabile con sistemi meccanografici è considerata regolare in difetto di trascrizione su supporti cartacei, nei termini di legge, dei dati relativi all’esercizio corrente allorquando anche in sede di controlli ed ispezioni gli stessi risultino aggiornati sugli appositi supporti magnetici e vengano stampati contestualmente alla richiesta avanzata dagli organi competenti ed in loro presenza”. L’innovativa disposizione non trovò immediata applicazione in quanto subordinata all’emanazione di un apposito decreto del Ministro delle finanze.

Il tanto atteso decreto vide la luce dieci anni dopo come D.M. 23 gennaio 2004 che fornisce tutte le indicazioni sull’assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto. Tale decreto, all’articolo 5 rubricato “Comunicazione alle Agenzie fiscali dell’impronta relativa ai documenti informatici rilevanti ai fini tributari”, introduce il concetto di impronta dell’archivio informatico. In particolare, si dispone che, entro il mese successivo alla scadenza dei termini per la presentazione delle dichiarazioni annuali, il soggetto interessato o il responsabile della conservazione, al fine di estendere la validità dei documenti informatici trasmetta all’Agenzia delle entrate l’impronta dell’archivio informatico oggetto della conservazione, la relativa sottoscrizione elettronica e la marca temporale. La stessa Amministrazione finanziaria provvederà a rendere disponibile per via telematica la ricevuta della comunicazione effettuata ed il relativo numero di protocollo. Successivamente la Finanziaria 2008 (Legge 244/2007), modificando l’articolo 7, comma 4-ter, del D.L. 357/1994, posticipa di tre mesi, rispetto al termine di presentazione delle relative dichiarazioni annuali, i termini di tenuta dei registri contabili con sistemi meccanografici. Prontamente il legislatore interviene, per riallineare i termini, con il D.M. 6 marzo 2009 che, modificando l’articolo 5, comma 1, del D.M. 23 gennaio 2004, prevede la “trasmissione dell’impronta dell’archivio informatico” oggetto di

conservazione entro il “quarto mese successivo” alla scadenza dei termini per la presentazione delle dichiarazioni annuali e non più, come nel previgente testo, entro il mese successivo. COS’È L’IMPRONTA DELL’ARCHIVIO INFORMATICO? Prima di affrontare gli aspetti tecnici relativi alla generazione e trasmissione dell’impronta dell’archivio informatico è opportuno chiarire cosa sia materialmente un’impronta informatica. L’impronta informatica di un file è una sequenza di caratteri ottenuta applicando una funzione di calcolo, detta funzione di hash, al file. Uno stesso file a cui è applicata la stessa funzione di hash genera sempre la medesima impronta. La stringa di output è univoca per ogni file e ne è un identificatore Esempio di impronta generata applicando la funzione di hash SHA-256: 33ab16b450c7fc2e4d6ef87ac122ffebccf47abf4de5a7faed47fcc8dae398ac. COME GENERARE CORRETTAMENTE L’IMPRONTA A titolo meramente esemplificativo si illustra di seguito la sequenza da eseguire per la generazione dell’impronta dell’archivio informatico. Per semplicità consideriamo una società che effettua fatturazione elettronica del solo ciclo attivo. 1 - con cadenza quindicinale conserva le

iged.it 02.2011

Approf_Silipigni_h.indd 2

23/06/11 12.09

fatture secondo le prescrizioni del D.M. 23 gennaio 2004 (apponendo firma digitale e marca temporale); 2 - a fine anno avrà 24 impronte quindicinali che potrà riportare all’interno di un unico file, ad esempio un txt o xml; 3 - firma digitalmente il file contenente le 24 impronte generando un file con estensione P7M (l’estensione potrebbe essere anche PDF o XML ma per semplificare il tutto utilizziamo come riferimento il P7M); 4 - applica al file P7M del precedente punto una funzione di hash (ad esempio SHA-256 ma, in ogni caso, un algoritmo compatibile con quello utilizzato nel successivo processo di apposizione della marca temporale) e genera, così, l’impronta; 5 - applica al file P7M la marca temporale e, a seconda del formato utilizzato, ottiene un file con estensione TSR o TST (quello che è importante è utilizzare formati che permettono di separare la marca temporale dal documento firmato); 6 - compila la comunicazione (file XML) prevista dal Provvedimento del Direttore dell’Agenzia delle entrate del 25.10.2010 inserendoci l’impronta generata dal file P7M (si veda il punto 4) e la marca temporale (si veda il punto 5). CHIARIMENTI SULLA MARCA TEMPORALE È importante precisare, al fine di evitare possibili scarti della comunicazione, che i formati di marca temporale ammessi dal software di controllo dell’Agenzia delle entrate sono soltanto il TSR (TimeStampResponse, ovvero risposta diretta del server) e il TST (TimeStampToken, vale a dire timestamp senza imbustamento) Il formato di marca temporale TSD (TimeStampedData) non è accettato in quanto non rappresenta una marca temporale vera e propria, ma un contenitore che al suo interno potrebbe avere una o più marche temporali. Un ulteriore chiarimento si rende necessario per chi ha utilizzato il formato di marca temporale M7M che, come noto, è un formato proprietario definito dalle Camere di commercio ed è verificabile solo con i servizi online di quest’ultime. In questi casi è sufficiente estrarre dai file marcati (M7M) la marca temporale

in essi contenuta. Si segnala, inoltre, che la marca temporale prodotta, per poter essere inserita nel file XML, deve essere codificata in base64. LA TRASMISSIONE ALL’AGENZIA DELLE ENTRATE Dal punto di vista operativo, il soggetto titolare dei documenti o il responsabile

della conservazione, dovrà generare l’impronta dell’archivio informatico oggetto della conservazione e redigere una comunicazione, in formato XML (eXtensible Markup Language), da trasmettere telematicamente all’Agenzia delle entrate. Le indicazioni operative sono reperibili sul sito dell’Agenzia delle entrate nella sezione “Cosa devi fare – Comunicare Dati - Comunicazione dell’impronta dei documenti iged.it 02.2011

Approf_Silipigni_h.indd 3

15 23/06/11 12.09

informatici”. Da questa sezione è possibile scaricare lo schema, in formato “xsd” (Schema_impronte.xsd), che definisce la struttura e le regole formali per la compilazione della comunicazione e la procedura di controllo utilizzata per verificare la conformità del file da inviare telematicamente. Una volta trasmessa la comunicazione attraverso i canali Entratel o Fisconline, l’utente riceverà – sempre telematicamente – una conferma di avvenuta ricezione che al suo interno conterrà un breve messaggio circa la correttezza o meno della comunicazione stessa. È quindi possibile che a fronte di una comunicazione, per diversi motivi, possa essere comunicato uno scarto. Una possibile causa di scarto potrebbe essere rappresentata dal controllo incrociato tra l’impronta dell’archivio informatico indicata nella comunicazione e la marca temporale utilizzata. Tale timore si fonda sul fatto che gli operatori del settore hanno posto in essere comportamenti tra di loro differenti nel processo di conservazione sostitutiva. Per procedere alla trasmissione telematica del file è necessario effettuare preventivamente un controllo sulla correttezza formale delle informazioni inserite. Tale controllo può essere effettuato dal menù “Documenti” dell’applicazione Entratel o dalla funzione “Prepara file” dell’applicazione “FileInternet”. Se la fase di controllo ha esito positivo viene prodotto un file telematico che dovrà essere firmato digitalmente prima di essere inviato. In particolare, per gli utenti Entratel tale file è contenuto nella cartella “Entratel\documenti\controllati”, mentre per gli utenti Fisconline nella cartella “Uniconline\invio”. Il software di controllo dell’Agenzia delle entrate, in fase di ricezione, effettuerà una verifica di congruenza tra l’impronta e la marca temporale, in quanto all’interno della marca temporale è presente anche l’impronta del file a cui è applicata la marca temporale stessa e il controllo verifica che le due impronte siano coincidenti. È quindi importante che l’impronta del documento (firmato) inserita nella comunicazione (file XML) sia calcolata con la stessa funzione di hash utilizzata nel processo di marcatura temporale del documento stesso.

Come detto in precedenza, se il file viene correttamente acquisito dall’Agenzia delle entrate, verrà messa a disposizione del soggetto inviante una ricevuta, identificata da un numero di protocollo, comprovante l’avvenuta ricezione del file in oggetto. Qualora il file dovesse essere scartato, al soggetto inviante perverrà comunque una ricevuta che indicherà il motivo dello scarto. Si evidenzia, infine, che è consentito sostituire, per una sola volta, il file precedentemente inviato a condizione che la sostituzione avvenga non oltre 30 giorni dal termine di trasmissione dei dati. La sostituzione comporta l’automatico annullamento del file precedentemente inviato. ULTERIORI CHIARIMENTI RELATIVI AL PROVVEDIMENTO Di seguito sono riportate le risposte ad alcune domande ricorrenti; l’intento è quello di chiarire alcuni punti del provvedimento che presentano delle criticità operative. Quale algoritmo utilizzare per generare l’impronta? Si consiglia di utilizzare l’algoritmo SHA-256, ma sono ancora ammessi anche lo SHA-1 o il RIPEMD-160. Per la marca temporale è importante utilizzare lo stesso algoritmo impiegato per generare l’impronta, in quanto il sistema effettua un controllo di corrispondenza tra l’impronta inserita nella comunicazione (file XML) con quella presente nella marca temporale. Può il responsabile della conservazione (outsourcer esterno) inviare la comunicazione per conto dei propri clienti? Tenuto all’invio della comunicazione è il titolare della contabilità, tuttavia, l’invio può essere effettuato, in luogo del titolare della contabilità, anche dai soggetti abilitati attraverso il canale Entratel ai fini della trasmissione delle dichiarazioni dei redditi (ex art.3, commi 2-bis e 3 del DPR 322/98). Pertanto, i soggetti abilitati al canale Entratel a diverso titolo, come nel caso degli outsourcer, non possono trasmettere la comunicazione se non in relazione alla propria contabilità. Analogamente, le società capogruppo abilitate ad Entratel, possono trasmettere la predetta comunicazione solo per la contabilità propria o per quella delle società appartenenti al

gruppo. Nel caso in cui il responsabile della conservazione (persona fisica) di una società sia interno, può inviare la comunicazione dell’impronta all’Agenzia? Si, purché sia qualificato come gestore incaricato o operatore incaricato per conto del soggetto obbligato. Deve essere trasmessa l’impronta del Libro Unico del Lavoro? No. Sebbene il Libro Unico del Lavoro sia un documento rilevante ai fini fiscali (ex art. 21 DPR 600/73), la metodologia da seguire per conservarlo in forma elettronica è disciplinata dal Decreto 9 luglio 2008 del Ministero del Lavoro, della Salute e delle Politiche Sociali, che non prevede la trasmissione dell’impronta. Il campo periodo di imposta, da indicare nel file XML della comunicazione dell’impronta, prevede un valore numerico di 4 cifre. Nel caso di periodo d’imposta diverso dall’anno solare (1 aprile 2009 - 31 marzo 2010), come va valorizzato? Il campo periodo di imposta va valorizzato in relazione al modello Unico presentato dal soggetto. Pertanto, per il periodo di imposta 1 aprile 2009 - 31 marzo 2010, considerando che tale periodo deve essere dichiarato con il modello UNICO 2010, il relativo campo andrà valorizzato con il 2009. Se, con riferimento ad un periodo d’imposta, ho creato più impronte degli archivi informatici (es. ciclo attivo e ciclo passivo), posso creare una “super impronta”? Si. A tal proposito, al fine di uniformare i comportamenti degli operatori del settore, soprattutto per i periodi d’imposta pregressi già portati in conservazione sostitutiva, si ritiene possibile generare, entro i termini per l’invio della comunicazione, un’unica impronta dell’archivio informatico oggetto della conservazione seguendo le indicazioni operative precedentemente illustrate.

GAETANO SILIPIGNI

Esperto Tributario

iged.it 02.2011

Approf_Silipigni_h.indd 4

23/06/11 12.09

Approf_Silipigni_h.indd 5 Untitled-3 1

23/06/11 11/03/11 12.11 09.55

SCENARI

È POSSIBILE ELIMINARE LEGALMENTE I DOCUMENTI SOGGETTI A CONSERVAZIONE SOSTITUTIVA? La domanda sembra semplice …, ma apre tutta una serie di problemi di seguito puntualmente evidenziati DI GIANNI PENZO DORIA

Il quadro normativo e istituzionale In questa sede affronteremo il tema della possibilità di eliminare legalmente i documenti (scarto) a fronte di conservazione sostitutiva effettuata a norma di legge. Si tratta di un argomento molto delicato per la salvaguardia degli archivi del nostro Paese, che va distinto in base alla tipologia degli enti produttori, pubblici o privati. Va preliminarmente osservato, infatti, che quanto diremo si riferisce esclusivamente agli archivi statali e non statali, poiché in ambito privato, con l’eccezione degli archivi “dichiarati di notevole interesse storico”, che divengono archivi disciplinati peculiariamente, esiste l’obbligo della conservazione dei documenti secondo quanto stabilito dall’ordinamento vigente e, in particolare, dai termini prescrittivi del codice civile nonché, per le scritture contabili, segnatamente dall’art. 2220. La questione – peraltro, delicatissima – va affrontata anche nell’ambito dei poteri di controllo che lo Stato esercita nei confronti dei documenti per la conservazione affidabile (e non meccanica) della memoria, non ultimo nei confronti di quella digitale, in particolare per la sua instabilità intrinseca di forma e di formati. Nell’Italia del policentrismo della conservazione esistono due forme di controllo: la “vigilanza” e la “sorveglianza” 1. La vigilanza viene esercitata dalle Soprintendenze archivistiche sugli archivi degli enti pubblici non statali (comuni, province, camere di commercio, etc.) nonché sugli archivi privati dichiarati di notevole interesse storico, mentre la sorveglianza viene esercitata dagli Archivi di Stato attraverso appositi organi collegiali, denominati “commissioni di sorveglianza” e regolate dal DPR 37/2001. Di esse fanno parte funzionari dell’Archivio Centrale dello Stato per gli uffici statali centrali (ministeri, in particolare, ma con alcune eccezioni) e funzionari degli Archivi di Stato competenti per territorio per gli uffici statali periferici (tribunali, questure, prefetture-UTG, etc.). A questi vanno aggiunti rappresentanti dell’ufficio produttore e del Ministero dell’Interno, questi ultimi per gli aspetti relativi alla documentazione di carattere

18 Approf_Doria_h.indd 2

riservato. Alle Soprintendenze archivistiche la legge affida, invece, il compito di rilasciare direttamente l’autorizzazione all’eliminazione legale dei documenti per gli archivi “vigilati”, giusto quanto previsto dall’art. 21, primo comma, lett. d) del Codice dei beni culturali e ambientali, emanato con il D.Lgs. 10 gennaio 2004, n. 42. Tuttavia, la recente riforma del Codice dell’amministrazione digitale, in virtù del D.Lgs. 30 dicembre 2010, n. 235, ha modificato l’art. 43, primo comma, inerente alla riproduzione e alla conservazione dei documenti, che ora recita: D.Lgs. 7 marzo 2005, n. 82 - art. 43 – comma 1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformità dei documenti agli originali e la loro conservazione nel tempo, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71. A leggere solo il primo comma sembrerebbe che, in presenza di archiviazione sostitutiva, l’eliminazione del documento cartaceo sia una cosa del tutto ovvia 2. In realtà la disciplina normativa è data dal combinato disposto dell’art. 43, primo comma, e successivo quarto comma, che ordina quanto segue: D.Lgs. 7 marzo 2005, n. 82 - art. 43 – comma 4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42. In buona sostanza, non sussiste alcun automatismo per il quale, a fronte di una conservazione sostitutiva, si possa eliminare il documento cartaceo. È quindi tassativo per le amministrazioni pubbliche, come individuate dall’art.

iged.it 02.2011

23/06/11 12.14

1, secondo comma, del D.Lgs. 165/2001, richiedere sempre l’autorizzazione allo scarto, pena le sanzioni previste dallo stesso Codice dei beni culturali e, in particolare, dall’art. 490 del codice penale. A onor del vero, non si tratta tecnicamente di uno “scarto”, in quanto il documento esiste in un’altra forma e dunque si è “dematerializzato”, come suggerisce inadeguatamente la normativa, anche se un documento è sempre indipendente dal supporto che lo contiene. Va riconosciuto da tutti che, in questa delicata congiuntura dei rapporti tra informatica e diplomatica tradizionale e, segnatamente, sul tema della conservazione a lungo termine (parliamo di secoli, non di lustri), vigilanza e sorveglianza rappresentano attività strategiche irrinunciabili. Anzi, le Soprintendenze e gli Archivi di Stato devono essere percepiti come alleati nella gestione e nella tutela dei documenti e non come parti estranee o antitetiche votate a una logica di controllo poliziesco. Pur in assenza di mezzi adeguati, essi offrono consulenza e metodi per la conservazione affidabile della memoria, che mai alcuna tecnologia applicata ex se potrà offrire. Ciò, tra l’altro, si pone in piena armonia con quanto correttamente stabilito dal Codice dell’amministrazione digitale e, in particolare dall’art. 44, comma 1-bis, del D.Lgs. 7 marzo 2005, n. 82 (come introdotto dall’art. 30 del D.Lgs. 30 dicembre 2010, n. 235), che prevede appunto la conservazione in team: informatico, archivista e responsabile privacy 3.

La circolare dei Beni culturali, il divieto di autorizzazione e il vizio di incompetenza relativa Su questa vicenda complessa si è inserita la Direzione generale per gli archivi con la circolare 11 febbraio 2004, n. 8, rivolta agli istituti archivistici italiani, attraverso la quale è stato disposto che: “Poiché non sembra sia stata affrontata e risolta la delicata questione della conservazione permanente dei documenti elettronici, tant’è che il Ministro Stanca ha fatto richiesta di attivare un tavolo tecnico congiunto presso la Conferenza Unificata Stato-Regioni, composto da rappresentanti del Ministero per i Beni e le attività culturali, dei Dipartimenti dell’innovazione e delle tecnologie e per gli affari regionali, ai fini dell’individuazione e delle sperimentazione di regole e metodologie standard per la conservazione permanente di documenti elettronici, e per la definizione di eventuali modifiche ed integrazioni normative, le SSLL, e in particolare le Soprintendenze archivistiche per i documenti conservati da Amministrazioni non statali, non autorizzeranno la distruzione degli originali cartacei dei documenti destinati alla conservazione permanente, anche quando essi siano stati riprodotti con le modalità stabilite dalla stessa delibera”. Ciò significa che tuttora, in vigenza della circolare in commento, non è possibile autorizzare lo scarto dei documenti cartacei conservati in forma sostitutiva. Sarà quindi possibile “dematerializzare” i documenti, ma dovrà essere comunque conservato anche il rispettivo originale cartaceo, in violazione del principio di economicità e del buon senso. Non si tratta di un gesto di rifiuto delle novità legislative, che peraltro sono state numerose: quattro interventi in dieci anni (1994-2004), ma di una necessaria forma di controllo preventivo e di condivisione della normativa sulla conservazione dei documenti. Si tratta, invero, di una stortura del nostro ordinamento. Infatti, l’AIPA prima e il CNIPA poi, hanno agito non tanto in difetto di delega (serviva un DPCM e non una deliberazione), quanto in un vizio di incompetenza relativa: il solo fatto che si tratti di documenti informatici non significa che se ne debba occupare esclusivamente un’autorità informatica 4. Dalla deliberazione AIPA 15/1994 alla tuttora vigente Deliberazione CNIPA 11/2004 nessun esperto dei beni culturali, infatti, aveva fatto parte istituzionalmente dei gruppi tecnici. Com’è stato possibile pensare di esautorare i Beni culturali 5? Per la verità, il ministro Nicolais, con DM 13 novembre 2007 aveva in qualche modo sanato questo vulnus di difetto di attribuzione istituendo una Commissione per la gestione del flusso documentale e dematerializzazione incaricata di formulare una Proposta di regole tecniche in materia di formazione e conservazione di documenti informatici.

iged.it 02.2011

Approf_Doria_h.indd 3

19 23/06/11 12.15

A causa della chiusura della brevissima XV Legislatura a seguito della caduta del secondo Governo Prodi, però, il ministro Brunetta ha “dematerializzato” la bozza sulla dematerializzazione, eliminandola perfino dal sito informatico del ministero. Eppure, perfettibile come ogni cosa, era stato il primo e puntuale tentativo di coniugare professionalità eterogenee – ma convergenti – con soggetti di provenienza tecnica diversa, come quella archivistica, diplomatistica, giuridica e informatica. Fino a quando il legislatore non unirà le forze in una visione interministeriale e, soprattutto, interprofessionale, non sarà possibile affrontare il problema della conservazione sostitutiva in modo pienamente efficace ed economico. Finora la normativa vigente non ha fatto altro che replicare errori del passato, contenuti nei vari provvedimenti susseguitisi negli ultimi anni (AIPA 15/2004, AIPA 24/1998, AIPA 42/2001 e CNIPA 11/2004). Mentre la vigente deliberazione CNIPA 11/2004 (ma anche il DM Mef 23 gennaio 2004) può essere applicata efficacemente per la conservazione sostitutiva a breve termine, non così può accadere per la long-term preservation. Esiste, invero, una forma di monadismo italiano della conservazione, secondo la quale i file sono preservati autonomamente e in forma isolata rispetto al loro contesto di produzione e ai legami con gli altri documenti. In una parola, si conservano decontestualizzati. Ricordo ancora il manifesto del 1994 all’indomani della prima deliberazione sull’archiviazione ottica: “tutto il mondo in un cd-rom”. Errore clamoroso non per la conservazione informatica, ma per la conservazione affidabile, anche solo di qualche decennio piuttosto che qualche secolo. Giova infine ricordare che per l’amministrazione archivistica la variabilità dei supporti rispetto ai documenti non rappresenta una novità. Da circa quarant’anni, infatti, viene autorizzato lo scarto degli originali cartacei a fronte della loro copia conforme, chiamata allora “fotoriproduzione sostitutiva” ed effettuata attraverso la microfilmatura. Va ricercata, pertanto, una soluzione mediata e meditata fra tutti gli attori coinvolti, perché se è vero che l’eliminazione legale dei documenti informatici non è ulteriormente dilazionabile, d’altro canto la tutela della memoria digitale dell’Italia è una cosa che non può essere ancora sottovalutata. Via libera alla conservazione sostitutiva, dunque, soprattutto per i documenti non destinati alla conservazione permanente, come fatture, mandati, reversali, che rappresentano chilometri di documenti prima o poi destinati all’eliminazione legale. Tuttavia, ciò deve avvenire in un clima di dialogo costruttivo fra le varie professionalità coinvolte nell’amministrazione digitale italiana, per scrivere una norma e trovare modelli, formati e metadati idonei a fornire una ragionevole garanzia per la conservazione affidabile della nostra memoria.

18 20 Approf_Doria_h.indd 4

NOTE

Rinvio ai numerosi saggi di I. Zanni Rosiello, Archivi e memoria storica, Bologna, il Mulino, 1987; Ead., Gli archivi nella società contemporanea, Bologna, il Mulino, 2009. Si veda anche M.G. Pastura, Il policentrismo della conservazione, «Aedon», 1/2008, disponibile on-line: http://www.aedon.mulino.it/archivio/2008/1/pastura.htm . 2 Cosa che non è. Nemmeno se letta assieme alla nuova formulazione (la terza in cinque anni) dell’art. 22 del CAD, come introdotta dall’art. 15 del D.Lgs. 30 dicembre 2010, n. 235. 3 Ecco il testo novellato: Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196 e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza. 4 L’art. 25, secondo comma, della legge 4 gennaio 1968, n. 15, prevedeva un DPCM, sentiti il ministero per l’interno, il ministero per la grazia e giustizia, il ministero per le finanze e il ministero per il tesoro, previo parere della commissione tecnica del Consiglio superiore degli archivi, istituita ai sensi dell’art. 12 del DPR 30 settembre 1963, n. 1409. Insomma, una logica di efficace trasversalità e di condivisione. Infatti, con queste procedure sono stati approvati il DPCM 11 settembre 1974 e il DPCM 6 dicembre 1996, n. 694. 5 La Finanziaria per il 1994 era stata fin troppo chiara: Gli obblighi di conservazione e di esibizione di documenti per finalità amministrative e probatorie, previsti dalla legislazione vigente, si intendono soddisfatti anche se realizzati mediante supporto ottico purché le procedure utilizzate siano conformi a regole tecniche dettate dall’Autorità per l’informatica nella pubblica amministrazione (Legge 23 dicembre 1993, n. 537, art. 2, quindicesimo comma). Si noterà come vi sia l’errore (proprio anche della di poco successiva legge 23 dicembre 1993, n. 547, art. 3, sul falso informatico) di confondere il “supporto ottico” con il documento informatico.

GIANNI PENZO DORIA

Direttore dell’Archivio Generale di Ateneo dell’Università degli Studi di Padova

iged.it 02.2011

23/06/11 18.22

Stampa e Spedizione Archiviazione documentale Conservazione digitale Responsabile di conservazione Fatturazione elettronica Stoccaggio e Dematerializzazione Servizi alle Pubbliche Amministrazioni

Consulenza

RFID

Affidate a mani esperte i vostri dati piuâ&#x20AC;&#x2122; preziosi Associato

www.bmplaneta.it Per maggiori informazioni contattare il numero 0521-993259 o scrivere a: infocom@bmplaneta.it Approf_Doria_h.indd 5 63_68_f.indd Finale.indd 1 6

23/06/11 13/01/11 10.47 23/12/10 12.15 13.24

SCENARI

Cosa c’è “oltre la fattura”? Le opportunità della dematerializzazione DI PAOLO CATTI E GIOVANNI CALABRIA

Da anni l’Osservatorio Fatturazione Elettronica e Dematerializzazione della School of Management del Politecnico di Milano si occupa di studiare i benefici consentiti dall’adozione delle diverse soluzioni di Fatturazione Elettronica, Conservazione Sostitutiva e Integrazione del Ciclo dell’Ordine, con l’obiettivo di identificare gli elementi che portano le organizzazioni, pubbliche e private, a implementare con successo questi modelli. Gli stessi principi che guidano un’applicazione evoluta della Fatturazione Elettronica - integrazione, collaborazione, dematerializzazione mai fine a se stessa - sono alla base della dematerializzazione di innumerevoli altre tipologie di documenti. Quali sono i documenti “oltre la fattura” che è più “attrattivo” dematerializzare? Nel corso dell’ultima edizione dell’Osservatorio - i cui risultati integrali sono contenuti nel Rapporto “Oltre la Fattura”, disponibile su www.osservatori. net - abbiamo cercato di rispondere a questa domanda sviluppando, in primo luogo, un modello di misura dell’attrattività di quali documenti dematerializzare e, in secondo luogo, applicandolo a diverse tipologie di documenti: dalle scritture contabili ai contratti di compravendita, dal fascicolo doganale al fascicolo assicurativo. IL RUOLO DELLA NORMATIVA La disciplina normativa di carattere generale, al di là di specifiche eccezioni normative in alcuni ambiti verticali, consente di dematerializzare la stragrande maggioranza dei documenti utilizzati in ambito business. Varia, naturalmente, la complessità

del processo che può portare alla dematerializzazione: estremamente ridotta se si lavora su documenti che, già alla nascita, sono informatici o digitali (praticamente tutti i documenti, tra cui spiccano quelli del ciclo dell’ordine, i libri e i registri contabili, i contratti, ecc.); crescente se si lavora con documenti analogici cartacei, magari contenenti elementi particolari (per esempio firme autografe, timbri a pressione, grammatura della carta con specifica rilevanza giuridica) che impongono di fare maggiore attenzione in fase di dematerializzazione. LE CARATTERISTICHE CHE RENDONO ATTRATTIVA LA DEMATERIALIZZAZIONE I documenti che è più interessante considerare nei processi di dematerializzazione sono quelli che presentano cinque caratteristiche chiave. La consistente dimensione fisica e l’ampia diffusione della tipologia di documento. Alcuni documenti possono raggiungere dimensioni estremamente ragguardevoli, come per esempio i Libri e i Registri contabili che, in molti casi, superano significativamente le centinaia di migliaia di pagine, determinando anche criticità di tipo tecnico durante il processo di stampa, o essere presenti in numerosissimi esemplari, come nel caso delle contabili di cassa in ambito bancario. Un elevato grado di dispersione nell’organizzazione. Altri documenti sono estremamente “dispersi” nelle organizzazioni, in quanto si originano in punti diversi di una rete (logistica, commerciale ecc.) estesa sul territorio o più semplicemente in diverse sedi/uffici di un’unica Funzione organizzativa: è

il caso di molti documenti assicurativi, gestiti direttamente dalla rete di agenzie territoriali. Una frequente necessità di accesso al documento. In altri casi, la necessità di accedere con frequenza ad alcune tipologie di documenti può condizionare significativamente l’impatto della dematerializzazione: i benefici saranno maggiori in quei processi che richiedono un numero di accessi elevato allo stesso documento (per esempio i contratti di compravendita, che dopo la stipula diventano uno strumento di uso quotidiano per gestire la relazione con il fornitore/cliente). Un significativo impatto sui processi di interfaccia. L’impatto dei documenti sui processi “di interfaccia”, in cui il documento varca il “confine” dell’Organizzazione per raggiungere – un esempio evidente sono i documenti del ciclo dell’ordine – un partner commerciale, può condizionare molti dei benefici della dematerializzazione consentendo di velocizzare gli scambi documentali, la gestione delle informazioni ricevute (se i documenti sono in formato elettronico strutturato) e, non meno importante, riducendo gli errori connessi alle attività di relazione con i partner. La presenza di obblighi o rischi che impongono esigenze di conservazione. Infine, la presenza di specifici obblighi o rischi di conservazione rende ancora più significativo il beneficio derivante dalla dematerializzazione: le Cartelle Cliniche, per esempio, devono essere conservate “a vita”, determinando la presenza di archivi cartacei enormi e spesso ingestibili. La presenza di una o più di queste

iged.it 02.2011

Approf_Polimi_h.indd 2

23/06/11 18.23

caratteristiche rende potenzialmente molto attrattiva la dematerializzazione di un documento e consente, inoltre, di individuare alcune aree applicative verso cui conviene orientarsi, per cogliere al meglio le opportunità di dematerializzazione: i documenti caratterizzati da obblighi o rischi di conservazione o dotati di caratteristiche “fisiche” (come la dimensione del singolo esemplare o la diffusione di numerosi esemplari all’interno dell’azienda) si prestano particolarmente all’adozione di soluzioni di Conservazione Sostitutiva, che riesce a impattare significativamente sui costi indotti da tali peculiarità. Qualora prevalgano, tra le proprietà del documento, il grado di dispersione all’interno dell’organizzazione o la necessità di accedere frequentemente al documento l’area applicativa “ideale” è quella della Gestione Documentale che facilita, appunto, l’utilizzo frequente, contemporaneo e in più luoghi del documento. Infine, qualora prevalga il ruolo del documento all’interno dei processi di interfaccia, è opportuno adottare tecnologie di integrazione in grado di rendere più efficienti le complesse attività di scambio documentale con partner commerciali e soggetti esterni all’organizzazione. I BENEFICI DELLA

DEMATERIALIZZAZIONE I benefici ottenibili utilizzando le diverse soluzioni di dematerializzazione possono essere ricondotti a tre sostanziali macro-tipologie, cui corrispondono benefici unitari crescenti. I benefici legati alla Conservazione Sostitutiva risiedono prevalentemente nell’opportunità di evitare la presenza di enormi archivi cartacei, di ottenere migliori garanzie di sicurezza ed eventualmente di evitare i costi legati alla “materializzazione” del documento. Indicativamente, si tratta di benefici pari a 0,5-1 Euro/pagina, valore che tuttavia va moltiplicato per il numero – enorme – delle pagine che costituiscono alcuni dei documenti più interessanti da mandare in Conservazione Sostitutiva. I benefici legati all’uso di soluzioni di archiviazione digitale/gestione documentale, che migliorano i workflow interni di gestione e ricerca dei documenti, riducono significativamente i tempi necessari affinché tutti gli attori coinvolti in un processo possano disporre della documentazione necessaria per le proprie attività lavorative e, di fatto, annullano anche la necessità di far circolare copie cartacee dei documenti. La digitalizzazione dei workflow porta a benefici dell’ordine di alcuni Euro, fino ad alcune

Figura 1 – Gli step per la Conservazione Sostitutiva

decine di Euro nel caso di documenti particolarmente complessi, come nel caso del fascicolo assicurativo, per il quale l’adozione di soluzioni di gestione documentale consente di ridurre significativamente tempi e costi legati alla gestione delle pratiche. I benefici legati all’integrazione dei processi di interfaccia, i più rilevanti in valore, sono rappresentati dall’opportunità di rendere più snello lo scambio di informazioni con i partner esterni (clienti, fornitori, intermediari, PA, enti certificatori ecc.), in quanto consentono anche di automatizzare la gestione e registrazione delle informazioni ricevute, limitando il numero degli errori di interpretazione dei documenti. Digitalizzare e integrare i processi di interfaccia può quindi portare a benefici che nei casi più complessi (si pensi al fascicolo doganale) superano ampiamente i 100 Euro/documento. I BENEFICI POTENZIALI PER IL SISTEMA PAESE: ALCUNI ESEMPI Analizzando le opportunità derivanti dalla dematerializzazione di alcuni documenti di vario genere (Libri e Registri contabili, Contratti di compravendita, Fascicolo Assicurativo e Fascicolo Doganale), abbiamo riscontrato rilevanti benefici per il Sistema Paese (intesi come il prodotto della diffusione “assoluta” di ciascun documento per il beneficio unitario annuo collegato alla sua dematerializzazione). LIBRI E REGISTRI CONTABILI Il processo di gestione dei Libri e Registri contabili analizzati è molto semplice e non comporta particolari complessità, se non quelle relative alla “materializzazione” del documento, spesso caratterizzato da dimensioni significative. Le informazioni che devono essere registrate nelle diverse scritture contabili sono inserite – o si generano – direttamente nei sistemi informativi aziendali, che supportano direttamente la generazione delle scritture obbligatorie: di fatto l’inserimento delle informazioni avviene, dunque, nel momento in cui ha luogo il moiged.it 02.2011

Approf_Polimi_h.indd 3

23 23/06/11 18.23

vimento contabile e senza che questo comporti attività specifiche finalizzate alla realizzazione del Registro. Periodicamente (mensilmente, trimestralmente, annualmente, a seconda delle peculiarità del documento e dell’azienda che lo gestisce) il documento deve essere stampato, e ciò crea le principali criticità legate al tradizionale processo “cartaceo”: sovente i documenti hanno una mole imponente (di decine o centinaia di migliaia di pagine nei casi più particolari) che rende particolarmente complessa la stampa e richiede un significativo impiego di risorse per garantire che la stampa avvenga senza interruzioni (elemento particolarmente critico, poiché si tratta generalmente di scritture “incrementali” in cui la sequenza temporale delle registrazioni – e quindi delle pagine – non può essere alterata o interrotta. Successivamente i documenti devono essere conservati, in modo da poter essere disponibili in caso di verifiche richieste dalle autorità fiscali. Libri e Registri contabili (con riferimento ai soli Registri IVA, Libro Giornale e Libro Unico del Lavoro) ammontano complessivamente a circa 4-5 miliardi di pagine all’anno nel nostro Paese. Dematerializzare Libri e Registri contabili porta un beneficio di circa 0,5-1 Euro/pagina, e un complessivo vantaggio per l’intero sistema paese stimabile in circa 3,5 miliardi di Euro/anno. CONTRATTI DI

COMPRAVENDITA Il processo di gestione del contratto di compravendita si compone di due fasi principali: la prima porta alla sua realizzazione e alla stipula, ed è essenzialmente basata su workflow di definizione del documento e scambi documentali tra cliente e fornitore necessari per arrivare alla firma del documento; la seconda riguarda la “vita utile” del contratto, ovvero il periodo di validità dell’accordo, in cui il contratto rappresenta uno strumento di consultazione quotidiana, per cliente e fornitore, contenente tutte le condizioni stabilite in fase negoziale e dunque, le indicazioni per il corretto rapporto tra i partner commerciali. I contratti di compravendita in Italia sono circa 100 milioni di documenti l’anno: se dematerializzati e sapientemente gestiti con strumenti di contract management, porterebbero a un risparmio annuo complessivo di circa 3 miliardi di Euro/anno. FASCICOLI ASSICURATIVI La stipula del contratto assicurativo avviene, su richiesta del cliente o su proposta della Società di Assicurazione (per esempio per un rinnovo), tramite l’emissione di tutti i documenti contrattuali, che presso l’agenzia locale verranno sottoposti al cliente e da quest’ultimo firmati. A seguito della stipula del contratto di assicurazione, l’agenzia si occupa di aggiornare il

Figura 2 – I benefici per il Sistema Paese e l’attrattività della dematerializzazione

sistema informativo aziendale e di far pervenire la documentazione firmata dall’assicurato alla sede centrale. La società emette i documenti, cartacei, che attestano il rapporto con il cliente: il contrassegno e il certificato di assicurazione, che sono recapitati all’assicurato (direttamente o tramite l’agenzia). Parallelamente alle attività di gestione e stipula dei contratti di assicurazione, la società è tenuta ad annotare in specifici registri le informazioni relative, per esempio, ai premi emessi e incassati: i registri assicurativi devono essere conservati dall’azienda per un periodo di 10 anni. Quando si verifica un sinistro, l’assicurato consegna all’agenzia tutta la documentazione necessaria per chiedere l’eventuale rimborso e consentire all’assicurazione di gestire la pratica: il modulo di constatazione amichevole (CID), tutta la documentazione accessoria utile a gestire la controversia (fotografie, denunce, dichiarazioni, certificati medici, ecc.) ed eventuali fatture relative alle spese sostenute a seguito del sinistro. L’agenzia si occupa di raccogliere tutta la documentazione e di metterla direttamente a disposizione del perito coinvolto o, in alternativa, di inoltrarla all’assicurazione, che coinvolgerà il perito per verificare i fatti avvenuti. Qualora la gestione del sinistro si dimostri più complessa, possono essere coinvolti altri professionisti (altri periti, medici, avvocati) e possono essere richieste ulteriori documentazioni, fino ad arrivare all’attivazione di procedure legali in tribunale. Tutta la documentazione è inserita nel fascicolo assicurativo, che rappresenta il repository di tutte le informazioni relative alla storia assicurativa del cliente, alla gestione della o delle polizze attive e ai sinistri gestiti nel tempo. Il fascicolo è, quindi, conservato e le informazioni sui sinistri gestiti sono annotate in appositi registri. La dematerializzazione dei fascicoli assicurativi per la sola RC auto (35 Mln di fascicoli l’anno in Italia) implicherebbe benefici nell’ordine di circa 1,5 miliardi di Euro/anno.

iged.it 02.2011

Approf_Polimi_h.indd 4

23/06/11 18.24

Approf_Polimi_h.indd 5

23/06/11 12.20

FASCICOLI DOGANALI Le procedure doganali riguardano tutti i flussi di importazione (da un Paese extra-UE), esportazione (verso un Paese extra-UE) e transito (se origine e destinazione finali sono al di fuori dell’Europa) della merce attraverso il sistema doganale. Il fascicolo doganale rappresenta l’insieme di tutti i documenti che affiancano il processo di sdoganamento della merce e che consentono all’esportatore, o all’importatore, di attestare la corretta effettuazione del processo di importexport. Di seguito sono descritte le attività che riguardano il processo di esportazione. L’azienda che deve esportare la merce, direttamente o tramite uno spedizioniere, predispone una dichiarazione sommaria di uscita (pre-avviso di esportazione), che anticipa l’invio della merce ed è inviata alla dogana attraverso la quale la merce lascerà il territorio nazionale. Oltre alla dichiarazione è anche fornita tutta la documentazione aggiuntiva (certificati legati alla specifica tipologia di merce oggetto dell’esportazione), necessaria alla dogana di uscita per verificare che l’operatore sia autorizzato all’esportazione. La dichiarazione di uscita è analizzata dalla dogana, che emette un

codice univoco e autorizza all’esportazione. La merce è inviata in dogana assieme alla bolletta doganale, al documento di trasporto internazionale e alla fattura accompagnatoria. Dopo il controllo della merce (i controlli effettuati dipendono dal caso specifico, e sono fortemente legati alla natura della merce), viene autorizzato il viaggio fino alla dogana di uscita dal territorio comunitario. Alla dogana di uscita dall’UE la merce e la documentazione sono nuovamente controllate. L’esportazione è autorizzata e la dogana di uscita aggiorna la pratica, attestando l’effettiva uscita della merce dal territorio UE. La documentazione è, infine, archiviata sia dalla dogana dove la merce era stata “presentata” per l’inizio del processo di esportazione, sia da parte dell’esportatore. L’esportatore conserva, assieme al fascicolo doganale, anche la fattura, il CMR (Convention des Marchandises par Route ossia l’accordo internazionale del trasporto; la Lettera di vettura internazionale è spesso indicata con tale acronimo,) e l’attestazione di pagamento da parte del cliente: questi documenti sono necessari per garantire l’effettiva esportazione (e conseguentemente

l’emissione di una fattura esente da IVA, come avviene nel caso di vendite al di fuori dall’UE). La dematerializzazione dei fascicoli doganali (13 Mln di fascicoli l’anno in Italia) potrebbe consentire un risparmio indicativamente dell’ordine di grandezza di circa 2,5/3 miliardi di Euro/anno. UN CONFRONTO CON LA DEMATERIALIZZAZIONE DELLE FATTURE Per fare un paragone con i dati già diffusi dall’Osservatorio (si vedano le Figure 2 e 3) in merito ai benefici potenziali della Fatturazione Elettronica, riscontriamo ordini di grandezza simili. Le Fatture B2b circolanti in Italia sono circa 1,3 miliardi: adottare logiche di Fatturazione Elettronica porterebbe al Sistema Paese benefici che variano da 7-8 miliardi di Euro l’anno (nel caso di adozione dei più semplici modelli di Fatturazione Elettronica non strutturata) fino a circa 60 miliardi di Euro/ anno, nel caso ideale in cui le logiche della Fatturazione Elettronica fossero estese a tutto il ciclo ordine-pagamento, secondo i modelli della completa integrazione e dematerializzazione del ciclo.

PAOLO CATTI

Responsabile Ricerca Osservatorio Fatturazione Elettronica e Dematerializzazione, School of Management Politecnico di Milano

GIOVANNI CALABRIA

Figura 3 – I benefici per il Sistema Paese

Ricercatore Osservatorio Fatturazione Elettronica e Dematerializzazione, School of Management Politecnico di Milano

iged.it 02.2011

Approf_Polimi_h.indd 6

23/06/11 18.24

INTERVISTA

GLI ATTACCHI CHE SUBISCONO I NOSTRI DATI Siamo di fronte ad una sostanziale modifica della tattica dei cyber-criminali che preferiscono adottare attacchi meno sofisticati e con obiettivi di minor valore, attacchi che, però, possono essere condotti su una scala molto vasta producendo un più elevato tornaconto con minor impegno DI VINCENZO GAMBETTA

È stato recentemente reso disponibile il Data Breach Investigations Report 2011 (DBIR), il Rapporto sulle analisi delle Violazioni di Dati Informatici, condotto da Verizon1 in collaborazione, per il secondo anno consecutivo, con i Servizi Segreti Statunitensi (United States Secret Service2) e, per la prima volta, con l’Unità Nazionale Olandese contro i crimini tecnologici (Dutch National High Tech Crime Unit - NHTCU3). Abbiamo avuto l’opportunità di farci illustrare obiettivi e dati salienti del Rapporto in esame da Wade Baker – Director o Risk Intelligence di Verizon, che ringraziamo per l’attenzione e la cortesia nei nostri confronti. Il Rapporto nasce nel 2007 per acquisire informazioni utili ad operare in modo più mirato ed efficace in tema di “risk management”; l’obiettivo principale è quello di mettere le organizza-

zioni (comprendendo la tipologia degli gli attacchi, le tipologie di dati attaccati, chi c’era dietro, … ) in grado di prendere miglior decisioni ed avviare corretti programmi per proteggersi. Con circa 760 casi di violazione informatica analizzati, questo report rappresenta, a tutt’oggi, la più grande casistica disponibile: con la casistica analizzata quest’anno, la serie di casi coperti dal DBIR copre ora più di 1.700 violazioni e oltre 900 milioni di record compromessi. La perdita di dati causata da cyberattacchi è nettamente diminuita nel 2010, ma il numero totale di violazioni informatiche è stato più alto che mai: il numero di record violati nel 2010 è crollato a “soli” 4 milioni, dai 368 milioni del 2008 (che rappresenta il culmine di un periodo di crescita delle perdite di circa quattro anni) ai 144 milioni del 2009. L’apparente contraddizione tra basse

perdite di dati ed elevato numero di violazioni è attribuibile ad una sensibile diminuzione delle violazioni su larga scala, dovuta ad un cambio di tattica dei cybercriminali: questi si stanno impegnando in attacchi di minore entità, adottando tecniche di attacco relativamente poco sofisticate - piuttosto che in attacchi su larga scala più complessi - ottenendo, comunque, maggiori opportunità di tornaconto aumentando il numero di attacchi. Una considerazione su tutte, solo il 3% delle violazioni è stato ritenuto inevitabile senza la presenza di un’azione correttiva eccessivamente dispendiosa o difficile da mettere in atto. In estrema sintesi il panorama degli attacchi informatici risulta, oggi, soggetto a significative modifiche: i cyber criminali sono sempre più propensi ad individuare facili vulnerabilità per trafugare dati che possono offrire remunerazione attaccando gli obiettivi più deboli; è questa modifica nei confronti delle

iged.it 02.2011

Interv_Verizon_h.indd 1

27 23/06/11 12.21

Da ove hanno origine le violazioni di dati?

%-le

su anno prec.

Attacco esterno

92 %

+22 %

Attacco interno

17 %

-31 %

Attacco da parte di Business Partner

<1%

-10 %

Attacco coinvolgente più parti

-18 %

Quali le modalità di attacco?

%-le

su anno prec.

Impiego di una qualunque modalità di hacking

50 %

+10 %

Malware incorporati

49 %

+11 %

Attacchi fisici

29 %

+14 %

Uso scorretto di credenziali

17%

-31%

“Social tactics”

11 %

-17 %

%-le

su anno prec.

Vittime non di attacchi mirati alla singola organizzazione, ma a classi/ categorie che possono rappresentare un’opportunità

83 %

Attacchi non difficili

92 %

+7 %

Dati compromessi da dei server

76 %

-22 %

Attacchi individuati a una terza parte

86 %

+25 %

Evitabili con controlli semplici e diretti

96 %

Vittime di soggetti non conformi alle norme PCI-DSS

89 %

+ 10%

Quali le i principali aspetti ricorrenti?

Alcuni dati

modalità di conduzione degli attacchi informatici che ha causato un loro significativo aumento, parallelamente si è avuto un abbassamento del livello di complessità degli attacchi - registrato sul 92% degli stessi. Precedentemente si osservavano attacchi altamente sofisticati e pilotati; adesso l’attacco avviene in maniera più semplice e lo si sferra senza indirizzarlo verso ben individuati obiettivi: in gergo missilistico si parlerebbe di attacco “fire and forget”, scegliendo quindi i bersagli più per opportunità che per scelta. È per questo che, oggi, le PMI risultano di gran lunga le aziende più soggette ad (83%) attacchi. Osservando, poi, il

panorama dal punto di vista dei settori d’industria (vedasi grafico), risultano, quali vittime preferite, il settore alberghiero (40%), seguito da quello delle vendite al dettaglio (25%): queste strutture gestiscono una grande quantità di dati personali (comprensivi di dati finanziari, incluse le carte di credito) dei clienti e pare siano le meno attente alla stessa sicurezza dei dati. Appaiono, di contro, in leggera flessione gli attacchi rivolti ad aziende del settore finanziario (22%). È interessante osservare, a proposito delle Piccole Medie Imprese la tabella che illustra attacchi rilevati per dimensioni aziendali. Si noti che nel contesto attualmente individuato, e

sommariamente appena descritto, sono proprio le PMI le principali vittime dei nuovi cybercriminali. L’attacco a queste aziende è molto più facile e può essere sufficientemente produttivo non solo se l’attacco mira a informazioni di proprietà intellettuale di alto valore (casistica meno frequente), ma soprattutto quando esso miri ad impossessarsi di dati personali per realizzare frodi finanziarie. In Italia, proprio a causa della nostra struttura industriale, il problema si fa - se possibile - ancora più marcato e ci si pone la domanda se non sia più prudente per le PMI affidarsi ad una ben organizzata struttura che ospiti i suoi dati e le sue applicazioni. Il nostro interlocutore ci fa notare che “teoricamente” è una strada corretta da seguire, anche dal punto di vista economico; fa, però, riflettere sul fatto che quando una PMI si rivolge ad un servizio esterno, si può incorrere in un’altra forma di rischi se gli operatori a cui le aziende si rivolgono non proteggono adeguatamente i dati dei loro clienti: sono le PMI in grado di valutare ciò? Qui però si aprirebbe tutto un altro discorso! Ciò detto non bisogna neanche pensare che le PMI siano, oggi, dal punto di vista della sicurezza le più penalizzate, anche se è vero che esse non hanno, e non possono avere, le risorse (economiche e in termini di competenze) per proteggersi come vorrebbero e che il più delle volte non sono neanche in grado di accorgersi di aver avuto un attacco. Visto, però, il panorama descritto dal rapporto esse possono fare molto, basta volerlo, per proteggersi: è stato, infatti, dimostrato che il 96% degli attacchi rilevati sono evitabili con piccoli accorgimenti e controlli di base alla loro portata. PRINCIPALI CONCLUSIONI DEL REPORT 2011

Di seguito sono brevemente riassunte, e commentate, le più significative conclusioni del rapporto in oggetto. 1. Crescono gli attacchi di modesta entità, mentre diminuiscono significativamente le violazioni su larga scala. Le possibili cause di questo andamento sono individuate sia nel

iged.it 02.2011

Interv_Verizon_h.indd 2

24/06/11 11.20

fatto che le piccole e medie aziende rappresentano il principale bersaglio di attacchi da parte degli hacker che, oggi, preferiscono lanciare attacchi estremamente automatizzati e ripetibili contro bersagli più vulnerabili sia dal fatto di una maggior cautela suggerita dagli arresti e dalle condanne di hacker di alto profilo. 2. I responsabili della maggior parte delle violazioni sono all’esterno dell’organizzazione che li subisce. Il report rivela che gli outsider sono responsabili del 92 % delle violazioni, ciò rappresenta un incremento significativo (+22 %) rispetto a quanto emerso nel 2010. La percentuale degli attacchi interni, che sembrerebbe abbattere lo stereotipo del dipendente corrotto, risulta diminuita notevolmente nel corso dello scorso anno (17 % contro il 49 %), ma ciò è soprattutto attribuibile all’enorme aumento degli attacchi esterni di modesta entità: l’attività degli insider si può dunque considerare relativamente costante rispetto al 2010. Gli attacchi legati ai partner continuano a diminuire; i partner sono risultati responsabili solamente dell’1 % delle violazioni. 3. Gli attacchi fisici sono in crescita. Gli attacchi fisici stanno diventando (con il loro 29%) una delle modalità di attacco più adottate per ottenere un accesso non autorizzato. Dopo essere percentualmente raddoppiati nel 2009, lo sono stati nuovamente nel 2010. Tra questi sono la manomissione dei dispositivi (molto diffusi) per leggere le carte di credito come gli ATM, le pompe di benzina e i terminali dei punti vendita. I dati suggeriscono gruppi criminali ben organizzati per gestire schemi di furti d’identità quali la clonazione delle carte. 4. L’hacking e l’impiego di malware sono i metodi di attacco più diffusi. Si valuta che circa la metà della casistica del 2010 implichi malware e che esso sia stato responsabile dell’80 % dei dati sottratti. Tra tipi più comuni di malware sono stati individuati le funzioni di backdoor e i keylogger.

5. Le password e le credenziali trafugate sono fuori controllo. Le credenziali non valide, deboli o trafugate continuano a causare molti danni nella sicurezza delle imprese. La mancata modifica delle credenziali inizialmente assegnate resta uno dei maggiori problemi in quest’area, particolarmente nei settori finanziario, della grande distribuzione ed alberghiero. QUALI LE PRINCIPALI RACCOMANDAZIONI SUGGERITE DAL RAPPORTO?

La raccomandazione principale si può riassumere nell’adozione di procedure di sicurezza semplici ed essenziali. 1. Focalizzarsi sui controlli essenziali. Molte organizzazioni commettono l’errore di adottare controlli di sicurezza complicati ed avanzati, magari concentrando l’attenzione, e raggiungendo livelli di sicurezza elevati solo, in certe aree trascurando le altre. Aree meno protette rappresentano comunque un rischio; è molto più sicuro adottare controlli di base ed uniformi in tutta l’organizzazione senza alcuna eccezione 2. Eliminare i dati inutili, appena diventano tali. Se non serve, non tenerlo! È tutto qui. I dati che devono essere conservati vanno identificati, monitorati e salvati in modo sicuro. È questa l’area dove sono risultate più esposte le aziende dei settori Alberghiero/ Ristorazione e della Grande Distribuzione dove, per comodità (!?!) o incuria, si conservano a tempo indeterminato dati sensibili dei Clienti. 3. Rendere sicuri i Servizi di accesso remoto. È buona pratica restringere questi servizi a indirizzi IP e reti specifici, rendendo minimo l’accesso pubblico ad essi. Non va, inoltre, trascurata la doverosa limitazione dell’accesso ai dati sensibili all’interno della propria rete. 4. Controllare la necessità delle abilitazioni assegnate agli utenti e del loro

lvello, eseguire verifiche periodiche e tenere sotto particolare controllo gli utenti con abilitazioni privilegiate. Il miglior approccio consiste nel fidarsi degli utenti, ma di valutarli correttamente nella fase di assegnazione delle abilitazioni, limitando i privilegi di utente e adottando la separazione delle mansioni. È questo un compito specifico dei manager che, oltre a definire i livelli di abilitazione ed esercitare le funzioni di controllo sui collaboratori, dovrebbero svolgere funzioni di addestramento e sensibilizzazione in materia. 5. Tenere sotto costante osservazione i log ed estrapolarne gli eventi dannosi. Le aziende sarebbero molto più informate e “sicure” se utilizzassero i log in modo analitico (interpretandoli) per prevenire i molti attacchi e/o rendersi conto di cosa e come è avvenuto. Ridurre, ad esempio, il lasso di tempo che intercorre tra una manomissione e la rilevazione della stessa da settimane e mesi a giorni può pagare molto. 6. Essere consapevoli dei rischi che certi dispositivi di pubblico utilizzo possono comportare. Come si è visto, si è evidenziato il forte aumento di quelli che sono stati identificati come attacchi fisici. Bisogna, quindi, prestare molta attenzione ai dispositivi di lettura delle carte di pagamento, come gli ATM e le pompe di benzina, per evitarne l’alterazione e la manomissione. CONCLUSIONI

“A conclusione delle nostre rilevazioni e conseguenti analisi” - riassume W. Baker - “siamo giunti ancora una volta alla conclusione che la grande maggioranza delle violazioni può essere evitata adottando semplici e poco costose misure di sicurezza. È importante ricordare che i furti di dati possono essere commessi nei confronti di qualunque utente e di qualunque azienda, indipendentemente dalle dimensioni o dal settore, ed in qualunque parte nel mondo. Dato che la miglior difesa è l’attacco, è importante adottare misure di sicurezza essenziali che possono essere adottate con iged.it 02.2011

Interv_Verizon_h.indd 3

29 23/06/11 12.22

Dimensione azienda

Attacchi rilevati nel corso del 2010

da 1 a 10

da 11 a 100

436

da 101 a 1.000

da 1.001 a 10.000

da 10.001 a 100.000

oltre 100.000

non noto

Numero di attacchi per dimensioni aziendali (numero di addetti)

Attacchi rilevati per settore di industria

l’infrastruttura che si ha a disposizione; sia essa una piccola struttura “casalinga”, sia una modesta struttura dimensionata su una azienda di piccole dimensioni, sia essa una complessa infrastruttura aziendale”. Si è, infine, scambiata qualche idea su alcuni fenomeni di attualità. Nei prossimi anni tutti noi, come singoli, saremo sempre più abituati ad un uso sempre più massiccio e sofisticato dei più diversi dispositivi di elaborazione e comunicazione elettronica. Una prima positiva conseguenza è che potremo fungere a catalizzatori per migliorare le strutture e le applicazioni ICT delle organizzazioni per le quali lavoriamo, di contro, però, potremmo (e non solo a causa del diffondersi del remote computing) essere vettori e/o strumenti per attacchi informatici se

18 30

non sapremo utilizzare opportuni strumenti di protezione. Si arriva, pertanto, alla conclusione che sarebbe molto saggio fare si che l’ICT Security diventasse materia di studio nelle scuole di qualunque ordine e grado. Non si poteva, quindi, ignorare il fenomeno del giorno: il “Cloud”; in particolare quali i principali rischi, in particolare per quello privato? In questa situazione, dal punto di vista della sicurezza dei dati non si sono evidenziati particolari situazioni di rischio, se non quella, percepita, non avendo un riferimento preciso e fisico di dove sono custodite le informazioni. Per il resto la situazione è analoga ,se non proprio simile, ad un normale rapporto con un fornitore di servizio di outsourcing nella quale la sicurezza è affidata al corretto rapporto di parnership.

NOTE 1

Verizon Communications Inc, (oltre 194.000 unità e un fatturato 2010 di oltre 106.6 miliardi di $) ha sede a New York ed è un importante azienda che fornisce servizi di comunicazione a banda larga, wireless e wireline ad utenti finali, aziende, pubbliche amministrazioni e clienti wholesale. Verizon Wireless gestisce una rete wireless che, negli Stati Uniti, offre servizi a 94,1 milioni di clienti. Verizon offre inoltre, tramite una rete nazionale a fibre ottiche, servizi convergenti di comunicazione, informazione ed intrattenimento e soluzioni aziendali senza soluzione di continuità a clienti di tutto il mondo. 2 I Servizi Segreti Statunitensi nascono quale tutore del corretto funzionamento del sistema finanziario nazionale delle transazioni di pagamento, in altre parole per proteggere consumatori, aziende e istituzioni finanziarie dalle frodi. Nel corso degli anni le competenze istituzionali e la missione investigativa si sono allargate all’individuazione, l’analisi e la prevenzione delle frodi cibernetiche di tipo finanziario dove ha acquisito livelli di esperienza universalmente riconosciuti. 3 NHTCU è un’unità della Polizia olandese (Dutch National Police Agency) che ha lo specifico compito di investigare sulle forme più avanzate di crimini cibernetici. Questa unità è nota per l’adozione di efficaci tecniche e metodologie investigative originali e non convenzionali. Essa ha, inoltre, ottimi contatti in Nord America ed in Europa che le consentono di fungere da collegamento tra unità analoghe di differenti Paesi.

VINCENZO GAMBETTA

Consulente Gestione Dati, Informazioni e Contenuti e Direttore contenuti iged.it e iged.it/online

iged.it 02.2011

Interv_Verizon_h.indd 4

23/06/11 12.22

INTERVISTA

Fascicolo Sanitario elettronico e Codifica dei dati sanitari Un progetto del Consiglio Nazionale delle Ricerche per definire le specifiche tecniche della codifica e dell’interscambio di dati sanitari tra le realtà regionali DI ERIKA PASCERI

Qual è l’attività svolta dall’Unità di Ricerca da lei diretta nel progetto sull’ Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico? L’Unità opera, prevalentemente, nel campo della definizione di metodologie per la costruzione di applicativi di classificazione dei documenti digitali e di codifica dei dati in diversi ambiti di competenza, ed ha inoltre come obiettivo lo studio di sistemi di indicizzazione e classificazione, della definizione e nomenclatura dei prodotti delle attività imprenditoriali. In sintesi, svolge attività di ricerca nei campi dell’organizzazione e gestione della documentazione, del knowledge e content management e della formalizzazione della conoscenza tacita di esperti di settori specialistici. L’attività di ricerca è stata quella, conseguentemente, della definizione degli oggetti documentali che compongono il Fascicolo Sanitario Elettronico (FSE) e la formalizzazione di modelli ontologici e vocabolari a supporto dello stesso fascicolo. Come si presentava il panorama nazionale in tema di codifica dei dati sanitari nella fase iniziale dell’attività di ricerca? Fino ad oggi la situazione nazionale è stata caratterizzata da una forte disomogeneità delle azioni volte, in iged.it 02.2011

Approf_Guarasci_h.indd 1

31 23/06/11 12.23

Il piano di E-Government 2012 del ministero della Funzione Pubblica e Innovazione, realizzato, per lo specifico, di concerto con il ministero della Salute, nel tentativo di dare delle prime risposte a quella che rischia di configurarsi come una emergenza nazionale, prevede, come obiettivi prioritari, la semplificazione e digitalizzazione dei servizi elementari (prescrizioni, certificati di malattia digitali, sistemi di prenotazione online) e la creazione di una infrastruttura nazionale per l’erogazione dei servizi ai cittadini. Ovvia condizione preliminare per qualsivoglia soluzione di digitalizzazione è la necessaria codifica e strutturazione dell’informazione in input. Nel dicembre 2009, il Tavolo di lavoro permanente per la sanità elettronica, aveva già emanato gli “Standard tecnici per la creazione del documento di prescrizione” individuando come punti cardine della strutturazione dell’informazione l’adozione obbligatoria di due sistemi di codifica: ICD9-CM (International Classification of Diseases 9th Revision - Clinical Modification) per la descrizione della diagnosi e LOINC (Logical Observation Identifiers Names and Codes) per le analisi di laboratorio. Mentre per il primo esisteva una versione italiana, pur se non priva di problemi e criticità, per il secondo, alla data, esistevano diverse versioni nazionali tranne quella italiana, per cui si configurava uno scenario nel quale la codifica dei dati di laboratorio ed il conseguente mapping verso i tariffari, avrebbe dovuto avvenire utilizzando esclusivamente una versione in lingua straniera. Questa non trascurabile criticità si aggiungeva a quella derivante dalla miriade di sistemi di codifica in uso nelle singole strutture sanitarie senza alcuna uniformità a volte nemmeno regionale. Sull’argomento abbiamo chiesto maggiori informazioni al prof. Roberto Guarasci, responsabile dell’Unità di Ricerca CNR che sta seguendo il task sulla codifica dei dati.

particolare, al trattamento su base locale dei dati sanitari degli assistiti e, più in generale, all’erogazione dei servizi ai cittadini. Ciò ha comportato la realizzazione di molteplici progetti regionali, anche di eccellenza, privi però di un’organica regia nazionale che ha reso le singole realtà delle isole non cooperanti. Il trasferimento delle competenze sanitarie alle regioni e il conseguente abbandono dei sistemi nazionali di codifica e tariffazione ha portato, in molti casi, a macroscopiche discrasie che si sono, spesso, rivelate anche delle consistenti fonti di spesa per la sanità pubblica. Quali sono state le operazioni preliminari necessarie allo sviluppo di tale progetto? Nelle fasi iniziali del progetto è stata fatta una ricognizione dei diversi progetti nazionali e internazionali. L’attività ha avuto la finalità di individuare, laddove presenti, i diversi sistemi di classificazione utilizzati e la relativa terminologia specialistica. Ciò ha portato all’identificazione di un certo numero di lessici/vocabolari strutturati e non strutturati all’interno dei quali è stata effettuata un ulteriore selezione con l’obiettivo di analizzare quelli per i quali era disponibile una

versione italiana nativa o da traduzione. In una fase successiva i corpora terminologici utilizzati dai medici di medicina generale (MMG) che sono stati confrontati con i lessici individuati nella fase precedente per valutarne la corrispondenza e l’effettiva utilità. Nel caso del documento di prescrizione, le regole tecniche indicano, per la codifica delle diagnosi, l’utilizzo dello standard: ICD9-CM. L’International Classification of diseases 9th revision – Clinical Modification è la classificazione delle malattie, dei traumatismi, degli interventi chirurgici e delle procedure diagnostiche e terapeutiche adottata nel 1893, nel corso della Conferenza dell’Istituto internazionale di statistica, quale classificazione internazionale delle cause di morte e fu, successivamente, introdotta in Italia per le stesse finalità a partire dal 1924. Il termine clinical , che contraddistingue la versione attuale, è utilizzato per sottolineare le modifiche introdotte rispetto alla finalità originale, in quanto ICD-9-CM è soprattutto orientata a classificare le informazioni sulla morbosità. Lo studio preliminare di fattibilità ha evidenziato che, pur essendo tale sistema disponibile nei software

in uso presso gli studi dei MMG, non veniva quasi mai utilizzato, prediligendo la descrizione in testo libero in quanto lo si ritieneva non adeguato e non esaustivo. La mancata codifica in input creava un rumore informativo elevatissimo a causa dell’utilizzo del linguaggio naturale. Dovendo però, obbligatoriamente, seguire la strada indicata dalle regole tecniche sulla creazione del documento di prescrizione, ICD9-CM è stato individuato quale lessico master di riferimento e le risorse terminologiche censite nella prima fase sono state integrate in esso mediante l’utilizzo del tool creato ad hoc dall’Unità di Ricerca. Tale strumento, denominato V.I.L.M.A. (Vocabolari Italiani Lessici di Medicina e sAnità), è una piattaforma centralizzata che permette di fondere in un unico lessico elenchi terminologici differenti, offrendo la possibilità di costruire relazioni thesaurali fra i termini pur mantenendo le dipendenze dei termini stessi con i lessici di partenza. Il risultato ottenuto è stato, quindi, una versione migliorata ed arricchita di ICD9- CM, definita convenzionalmente ICD9CM-Plus che riesce a soddisfare in misura percentualmente più adeguata le “esigenze terminologiche” dei medici.

iged.it 02.2011

Approf_Guarasci_h.indd 2

23/06/11 12.24

Per quanto riguarda la codifica delle analisi di laboratorio, lo scenario italiano presentava identiche criticità? Ad oggi non esiste, in Italia, uno standard condiviso per la codifica dei dati di laboratorio. I codici attualmente in uso sono nati per un mero scopo economico e non sono, quindi, riconducibili a un sistema univoco di classificazione del dominio. Il Nomenclatore Tariffario Nazionale (strumento di tariffazione per le prestazioni di assistenza specialistica ambulatoriale - D.M. 150 22 luglio 1996) ha stabilito le tariffe di riferimento per le prestazioni erogabili all’interno del Sistema Sanitario Nazionale. In seguito al suo annullamento (Sentenza del Consiglio di Stato n. 1839 del 29 marzo 2001) ciascuna regione ha adottato un proprio Nomenclatore Tariffario, ereditando, in parte variabile, la struttura di quello nazionale ed aggiungendo nuove tipologie di analisi e altrettanto diverse tipologie di codifica e di descrizione. A queste si sono aggiunte, nelle realtà locali, anche quelle proprie dei singoli laboratori. Appariva quindi, anche in questo caso, estremamente opportuna una omogeneizzazione e l’adozione di una codifica unica, valida a livello nazionale e costruita in base ad una formalizzazione del dominio di riferimento e non solo secondo motivazioni e criteri puramente economici e localistici. Qual è stato, in questo caso, il percorso seguito? Non era pensabile ipotizzare una versione italiana del Loinc senza la collaborazione attiva di una grande struttura sanitaria. In questo contesto si è attivata una sinergia operativa con l’Azienda Ospedaliera Molinette di Torino avviando, contestualmente, la realizzazione di un ambiente software condiviso per la mappatura delle analisi effettuate da ogni laboratorio coinvolto verso il rispettivo nomenclatore/tariffario regionale e verso lo standard LOINC del quale si è anche avviata la realizzazione della versione italiana ad oggi disponibile sul sito <http://loinc.org/international>. Alla mappatura termini/codici ha anche partecipato la Facoltà di Farmacia

dell’Università della Calabria. Il Logical Observation Identifiers Names and Codes (LOINC), ricordiamo, è una banca dati e uno standard riconosciuto a livello internazionale per l’identificazione univoca di informazioni provenienti dai laboratori clinici. È stato sviluppato nel 1994 ed è, attualmente gestito, dal Regenstrief Institute Inc., centro non-profit di ricerca medica di Indianapolis (USA). LOINC definisce una codifica universale per lo scambio di informazioni cliniche in un ambiente digitale e, anche in considerazione dell’esistenza di versioni in quasi tutte le lingue più diffuse rappresenta lo strumento più valido per una standardizzazione delle codifiche di settore e la condivisione delle informazioni. L’inesistenza di una traduzione ufficiale in lingua italiana ne ha ostacolato, finora, la piena adozione nel nostro Paese. Nel tool realizzato i singoli laboratoristi hanno la possibilità di mappare, laddove non sia già stato fatto, le proprie analisi sia verso il Nomenclatore Tariffario Regionale di afferenza, sia verso i codici LOINC. Gli esami di ciascun laboratorio, una volta mappati, confluiscono nel database LOINC italiano che viene messo a disposizione degli utenti dopo la convalida del Regenstrief Institute . La prima versione è stata rilasciata nel Dicembre 2010. Cosa prevede il secondo step di sviluppo del progetto? Il secondo step di progetto prevede l’integrazione delle codifiche realizzate nel Patient Summary unitamente all’avvio di una ulteriore attività di codifica ed anonimizzazione relativa all’anagrafica degli assistiti specie per le compensazioni infraregionali. Altra rilevante criticità è, infatti, quella rappresentata dalla codifica, per ovvi motivi di privacy, dell’anagrafica degli assistiti. Allo stato attuale, i dati dei cittadini che ricevono prestazioni in più regioni vengono raccolti ed, eventualmente, codificati nei diversi sistemi regionali in modo indipendente e non cooperante. Così facendo i dati inviati al Nuovo Sistema Informativo Sanitario del ministero della Salute non permettono di associare in

modo univoco le prestazioni sanitarie, i soggetti prescrittori e le strutture erogatrici all’assistito senza ricorrere all’identificazione diretta del paziente con i conseguenti ed evidenti problemi di tutela della riservatezza che tale attività comporta. Era ed è, quindi, necessario, come per le analisi di laboratorio, individuare un sistema di mappatura delle codifiche esistenti per la costruzione di un sistema unico nazionale capace di permettere l’interscambio dei dati nel rispetto dell’anonimato dei singoli pazienti. Sulla base di quanto fin’ora realizzato, tre realtà regionali: Calabria, Campania e Piemonte, sempre con l’assistenza tecnica del Consiglio Nazionale delle Ricerche, funzioneranno da laboratorio per la complessiva sperimentazione della piena operatività dell’infrastruttura tecnologica del fascicolo sanitario elettronico e dei connessi sistemi di codifica e strutturazione dell’informazione con l’obiettivo, entro i primi mesi del 2012, di implementare l’interscambio on line dei referti degli assistiti che si dovessero trovare nella necessità di usufruire di prestazioni extra regionali, e con la piena trasparenza e mappatura dei sistemi di gestione documentale e di tariffazione in uso nelle diverse realtà regionali. Nelle ultime settimane abbiamo anche, con piacere, registrato la richiesta del presidente nazionale di Federlab, per l’utilizzazione di quanto da noi sviluppato in un definito numero di laboratori privati, espressamente sottolineando la valenza strategica delle codifiche anche per la sanità privata.

ERIKA PASCERI

URT- Consiglio Nazionale delle Ricerche

iged.it 02.2011

Approf_Guarasci_h.indd 3

33 23/06/11 12.24

ANORC INFORMA

C’era una volta la Privacy nei processi di conservazione digitale dei documenti Primo commento al Decreto Legge del 13 maggio 2011, n. 70 in materia di riduzione e semplificazioni degli adempimenti burocratici nell’applicazione del Codice Privacy DI GRAZIANO GARRISI E LINO FORNARO

Il Decreto Legge 13 maggio 2011, n. 70, in vigore dal 14 maggio 2011, ha introdotto una serie di modifiche al D. Lgs. 196/2003 (Codice Privacy) che avranno probabilmente un effetto dirompente sull’applicazione delle norme in materia di protezione dei dati personali. In particolare, all’art. 6 (Ulteriori riduzioni e semplificazioni degli adempimenti burocratici) di tale decreto, al comma 1 lett. a), si legge che: “le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”. Dal tenore di questa enunciazione, sembra che vi sia stato un ritorno al passato e che al centro della tutela della riservatezza sia tornato l’uomo inteso come cittadino, come persona fisica. La conseguenza che appare più immediata, è che in questo modo molti dei principi oggi previsti dal Codice Privacy non troveranno più applicazione nei rapporti tra imprese, con tutta una serie di problemi che, probabilmente, il legislatore non ha considerato con la dovuta attenzione. Proseguendo nella disamina di tali novità, al comma 2 dello stesso articolo vengono introdotte alcune importanti modifiche per quanto concerne l’ambito di applicazione del Codice Privacy. Viene aggiunto, infatti, all’articolo 5 del Codice Privacy il comma 3-bis: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice”. Vengono meno, pertanto, tutti quei formalismi sino ad oggi previsti per il trattamento dei dati tra persone giuridiche, imprese, enti e associazioni. Questo vuol dire che nei rapporti tra persone giuridiche, nell’ambito di attività amministrativo-contabili, il Codice Privacy non si applica; invece, per tutti gli altri trattamenti, riferiti a persone fisiche e/o per finalità diverse da quelle amministrativo-contabili, il Codice resta efficace (rapporti con i dipendenti, rapporti con il pubblico, concorsi a premi, etc.).

Il problema principale risiede proprio in quest’ultima novità. Tutte le imprese (e sono tante) che trattano dati personali (compresi quelli sensibili e giudiziari riferiti al personale o a terzi), non essendo più soggette all’applicazione del Codice Privacy nei loro rapporti commerciali, non

iged.it 02.2011

Rubrica_Anorc_h.indd 2

23/06/11 18.31

Rubrica_Anorc_h.indd 3

24/06/11 11.27

saranno più tenute all’applicazione di alcuna misura di sicurezza. Volendo immaginare lo scenario futuro derivante da questa modifica legislativa, verosimilmente ci troveremo di fronte a una realtà in cui tutte le imprese, non essendo più obbligate ad avere un firewall, un antivirus o un regolamento sull’utilizzo di internet e della posta (se non sono tenute all’osservanza del Codice privacy, potranno altresì ignorare i Provvedimenti Generali del Garante), diventeranno facile obiettivo di attacchi e/o di abusi, e vedranno aumentare al proprio interno il rischio informatico. E ancora: se la privacy e tutti i suoi formalismi non saranno più applicabili nelle comunicazioni tra le imprese, come potrà essere tutelato il segreto industriale o come si potrà tutelare un soggetto giuridico da un’illecita diffusione di notizie riservate? Come saranno regolamentati i trasferimenti di dati personali a soggetti esterni, ovvero quelli che oggi la normativa obbliga a nominare responsabili del trattamento (soprattutto nella regolamentazione dei rapporti con imprese che forniscono servizi di conservazione digitale o sostitutiva)? La considerazione non è di poco conto se consideriamo che ad oggi, in riferimento alle novità introdotte in materia di digitalizzazione dal nuovo CAD (Codice dell’amministrazione Digitale), il Codice Privacy e le misure di sicurezza vengono richiamate in più articoli (art. 44, 50-bis, 51). Inoltre, un’azienda che effettua esclusivamente trattamenti di dati personali per finalità amministrativocontabili manterrebbe, in base all’art. 5 comma 3-bis, l’applicabilità del Codice Privacy, esclusivamente verso le persone fisiche (i propri dipendenti o cittadini, ad esempio) e nei confronti dei dati personali di questi ultimi dovrebbe applicare le misure di sicurezza “semplificate”, potendosi astenere dall’applicare misure di sicurezza per gli altri dati personali trattati: questo è un assurdo, essendo già un eufemismo definire “misure di sicurezza” le c.d. misure di sicurezza semplificate; per non parlare poi degli effetti organizzativi della mancata applicazione del Codice nei casi citati, che porterebbe il titolare a dover nominare incaricati del trattamento solo coloro che trattano dati personali e sensibili riferiti ai dipendenti, escludendo da ogni forma di autorizzazione al trattamento, istruzione operativa e formazione tutti quei dipendenti che trattano dati personali di altre imprese clienti o fornitori per finalità amministrativocontabili. Si ritiene che sarebbe stato più opportuno limitarsi a escludere da specifici adempimenti burocratici (informativa, consenso e se proprio si doveva, anche il DPS) i casi che rientrano nella fattispecie di cui all’art. 5 comma 3-bis, piuttosto che definire non applicabile l’intero Codice Privacy! Per quanto concerne l’applicazione delle misure di sicurezza, infine, viene definitivamente chiarito il concetto di “finalità amministrativo-contabili”, per quei soggetti che potranno beneficiare delle misure di sicurezza semplificate.

Ciò comporterà un’estensione dell’ambito dei soggetti che potranno beneficiare delle semplificazioni, comprendendo anche i trattamenti (inclusi quelli di dati sensibili e giudiziari) non strettamente legati ai propri dipendenti o collaboratori, ma anche di coniugi o parenti degli stessi e dei lavoratori extracomunitari. Per concludere, è evidente che la spinta del Governo verso la digitalizzazione dell’agire amministrativo e privato dovrà tenere conto anche di tutte le problematiche che la gestione del dato personale digitalizzato inevitabilmente comporta, senza farsi prendere troppo dall’entusiasmo (spesso controproducente) del voler semplificare a tutti i costi. Se un’impresa procede al trattamento dati personali di persone giuridiche, enti o organismi, esclusivamente per finalità amministrativo-contabili, è giusto che non sia necessario ricorrere a informative e richieste di consenso; ma, poiché viene meno anche l’applicazione del Codice Privacy e, di conseguenza, le misure minime di sicurezza, una domanda sorge spontanea: cosa succederà per tutto quanto previsto dal nuovo CAD che basa l’implementazione di interi processi di conservazione digitale sull’applicazione delle misure di sicurezza previste dal Codice Privacy? Come si rifletterà tutto questo nell’ambito dei processi di conservazione digitale dei documenti contabili, fiscali e amministrativi? È evidente che questi due Codici, prevedendo norme contrapposte e incompatibili, inevitabilmente tenderanno a scontrarsi, lasciando nel dubbio tutte quelle imprese che, invece, dovrebbero adoperarsi per l’attuazione di un processo di conservazione digitale a norma, che rispetti tutte le misure di sicurezza idonee richieste per la tipologia documentale trattata. Bisogna scongiurare il rischio che si perda di vista il bene primario che occorre difendere, ovvero il dato personale come “patrimonio delle informazioni e della loro memoria storica e digitale nella Società dell’Informazione”. Dopo tutto questo possiamo ancora chiamarlo “Codice in materia di protezione dei dati personali”?

GRAZIANO GARRISI

Avvocato, Componente Direttivo ANORC, esperto in diritto delle nuove tecnologie e privacy – D&L Department, Studio Legale Lisi

LINO FORNARO

Componente Direttivo ANORC, Security Consultant and privacy advisor – NET1 sas

iged.it 02.2011

Rubrica_Anorc_h.indd 4

23/06/11 18.31

ETSI 101 533: PUBBLICATO LO STANDARD EUROPEO PER I SISTEMI DI CONSERVAZIONE Dallo scorso 11 maggio sono disponibili sul sito dell’ ETSI due nuovi e interessantissimi Standard aventi ad oggetto i Sistemi di Conservazione digitale. Lo standard ETSI 101 533-1 individua i requisiti di Sicurezza Informatica che un Fornitore di Servizi di Conservazione deve rispettare nella realizzazione e gestione di un Sistema di Conservazione delle Informazioni, al fine di fornire servizi affidabili e attendibili dal punto di vista della Sicurezza Informatica. Lo standard ETSI 101 533-2 definisce, a sua volta, le linee guida da seguire per chi dovrà valutare la Sicurezza Informatica dei suddetti Sistemi di Conservazione. Le due normative si basano principalmente sullo standard ETSI TS 102 573 (“Policy requirements for trust service providers signing and/or storing data for digital accounting”), ispirato a sua volta alle norme ISO/IEC 27001 e ISO/IEC 27002. Finalmente, quindi, uno standard che possa iniziare a orientare il mercato e permetta di ottenere le prime certificazioni basate su requisiti di adeguamento e valutazione riconosciuti a livello europeo. Inoltre, con ogni probabilità, lo standard ETSI 101 533-1, a seguito di uno specifico adeguamento alla normativa italiana attualmente in vigore, formerà la base delle Linee guida che DigitPa intende fornire (anche se non espressamente richiesto dalla normativa) in tema di accreditamento ex art. 44 bis del CAD.

CON IL DECRETO SVILUPPO ARRIVA ANCHE L’ASSEGNO ELETTRONICO Tra le tante novità contenute nello “Schema di Decreto recante prime misure urgenti per l’Economia”, meglio conosciuto come Decreto Sviluppo, se ne può trovare una di particolare interesse nell’ambito dell’innovazione digitale: l’introduzione dell’assegno elettronico e la definizione delle regole per il suo utilizzo attraverso un apposito decreto ministeriale e un successivo regolamento della Banca d’Italia. Il “Decreto Sviluppo”, oltre a stabilire che l’assegno bancario può essere presentato al pagamento in forma sia cartacea sia elettronica, prevede anche che le copie informatiche di assegni cartacei possano sostituire a ogni effetto di legge gli originali da cui sono tratte, qualora la loro conformità all’originale sia assicurata dalla banca negoziatrice mediante l’utilizzo della propria firma digitale. Per vedere circolare i primi assegni elettronici dovremo, però, attendere delle specifiche regole dettate dal Ministero e un successivo regolamento attuativo da parte della Banca d’Italia. Abbiamo, quindi, ancora un po’ di tempo (fino a 24 mesi) per ragionare sulle modalità di realizzazione e di circolazione dell’assegno elettronico, sapendo fin d’ora che ciò significherà per le banche doversi dotare quantomeno di idonei sistemi di gestione e conservazione della documentazione informatica.

NELL’AUTUNNO 2011 PARTIRÀ IL PROGETTO PARIDE Il terremoto del 6 aprile 2009 ha distrutto la città dell’Aquila e, in particolare, il suo centro storico, che ospitava la maggior parte degli uffici pubblici. Ciò ha indotto a riflettere sugli effetti delle calamità con riguardo alla conservazione e alla tutela degli archivi. Dato atto della distruzione fisica e della dispersione di parte degli archivi aquilani, è possibile recuperare, attraverso registrazioni informatiche non affidabili, la memoria dell’archivio cartaceo andato perduto? Il progetto PARIDE (P.rogetto A.rchivistico di R.icostituzione di I.nformazioni e D.ocumenti da sistemi E.lettronici) mira a implementare una procedura di ricostituzione della memoria documentale di un soggetto produttore andata perduta o dispersa attraverso il recupero di informazioni e documenti da fonti informatiche (in modo privilegiato, dal registro di protocollo). Nulla di nuovo, anzi, viene recuperata un’idea del giureconsulto napoletano Paride del Pozzo (1413-1493) sulla “rinnovatura”, ma attualizzata alle moderne tecnologie. In seconda battuta, il progetto si pone di scrivere una proposta di norma nazionale da utilizzare in caso di calamità. Per questo ANORC, con partnership di enti pubblici e di associazioni, sarà in prima linea per favorire la riuscita del progetto, che è co-diretto da Pietro Di Benedetto, direttore amministrativo vicario dell’Università degli Studi de L’Aquila e dal nostro Vice presidente, Penzo Doria.Per i primi approfondimenti: http://www. filodiritto.com/index.php?azione=visualizza&iddoc=2323

iged.it 02.2011

Rubrica_Anorc_h.indd 5

37 23/06/11 18.31

A PADOVA LA QUARTA EDIZIONE DELLA “PRIMAVERA ARCHIVISTICA” Lo scorso maggio si è rinnovato a Padova l’appuntamento de “La Primavera archivistica”, evento dedicato alla teoria archivistica contemporanea e organizzato dall’Archivio Generale dell’Ateneo di Padova, in collaborazione con il Centro per la Storia dello stesso Ateneo e col patrocinio di ANORC e ANAI Veneto. La manifestazione, quest’anno giunta alla quarta edizione, si è articolata in tre lezioni libere sul tema della gestione documentale, con una particolare attenzione sulle probabili evoluzioni future del settore e sugli scenari internazionali: 9 maggio MARIELLA GUERCIO (socio onorario ANORC) - “Il DPR 445/2000: genesi, storia, bilancio e scenari futuri della gestione documentale” 16 maggio MARIELLA GUERCIO - “Moreq 1, Moreq 2 e Moreq 2010: scenari europei della gestione documentale” 30 maggio GIULIA BARRERA - “Il diritto d’accesso fa bene agli archivi? Riflessioni su alcune esperienze internazionali” Anche quest’anno l’evento è stato seguito con attenzione da pubblico specializzato e non, segno di un interesse crescente verso l’archiviazione e i suoi legami sempre più stretti con l’innovazione digitale.

EVENTI ANORC Milano, 22 e 28 Giugno 2011 Seminario di Unioncamere Lombardia -“Il nuovo Codice dell’Amministrazione Digitale – CAD e la sua applicazione ai processi camerali” Il corso, destinato alla formazione del personale camerale, offrirà ai partecipanti un quadro sintetico delle novità introdotte dal CAD nella gestione dei documenti informatici, nell’attività e nella comunicazione dei cittadini, delle aziende e della PA. Docente nella giornata del 22 l’Avv. Andrea Lisi, presidente di ANORC. Milano, 22-23-24 Giugno Document Management Academy di SDA Bocconi in collaborazione con ANORC Si apre a giugno il primo modulo della IV edizione della DMA Bocconi. Il corso ha come scopo quello di formare esperti manager nell’information e document management e diffondere la cultura della semplificazione e della dematerializzazione documentale. Il percorso formativo, organizzato in collaborazione con ANORC, vedrà tra i docenti coinvolti l’Avv. Andrea Lisi, presidente dell’Associazione, e il Vice Presidente Dr. Gianni Penzo Doria. Bruxelles, 28 Giugno 2011 Master Class per gli archivisti della Commissione Europea Il Master rivolto agli archivisti della Commissione prevede una lezione dell’Avv. Andrea Lisi, presidente di ANORC, sull’esperienza italiana nel campo della pubblicazione legale on line. Milano, Settembre-Ottobre 2011 Master Course Anorc – Gestione e Conservazione Digitale dei Documenti Il Master organizzato da ANORC ha come principali destinatari le imprese e i professionisti desiderosi di acquisire le conoscenze tecniche necessarie a gestire la conservazione digitale di documenti contabili, amministrativi e sanitari, tutelando dati e informazioni. La formula del Master è pensata per creare dei percorsi formativi personalizzati, adeguati a tutti i livelli di competenza nel settore.

iged.it 02.2011

Rubrica_Anorc_h.indd 6

23/06/11 18.32

SPECIALE OMAT

LA TAVOLA ROTONDA DI OMAT MILANO

Come ormai consuetudine, nel corso del Convegno di Apertura ha avuto luogo una Tavola Rotonda che, sotto lo stimolo del Cloud Computing, è stata un’occasione per discutere importanti temi che ci riguardano: lo sviluppo e la crescita del Paese, la necessità di interventi a sostegno della ricerca, dell’innovazione, dell’informatica, il futuro delle piccole, medie e grandi imprese, di tutti i cittadini imbrigliati dai disservizi derivanti da strutture pubbliche che dovrebbero garantirci best practice e servizi migliori

DI MAURIZIO ARATA

Ad affrontare questioni così vitali per il nostro futuro sono: Paolo Angelucci, Presidente di Assinform, Giovanni Procaccino, Senior Executive di Accenture, Marco Zamperini, Chief Technology Officer di Value Team, Stefano Mainetti, Co-Direttore scientifico dell’Osservatorio Cloud e ICT as a Service della School of Management del Politecnico di Milano, Luca Gargiulo, Direttore di Ernst & Young CFO Mediterranean Sub-Area, moderati dal poliedrico Thomas Schael, innovatore e partner di Butera & Partner. Ad iniziare, sono invitati Gargiulo e Procaccino, in quanto rappresentanti di grandi società di consulenza che lavorano nel mercato italiano con una visione mondiale nell’ambito ICT. Apre Gargiulo “ritengo che si sia in una fase in cui il Cloud è pervasivo. A Parigi o in America, l’importante è distribuire potenza in giro per il mondo. L’Italia rivela uno scenario un po’ agghiacciante. C’è una forma di ignoranza e non c’è voglia di investire, non tanto in termini finanziari, bensì in Know-How, in curiosità nei confronti delle nuove tecnologie, anche se credo che quello che è il Cloud Computing sia più un re-impacchettamento di cose già esistenti che non grande innovazione in sé. Il problema è che non c’è la volontà di fare il salto, di mettersi in gioco.” La questione viene girata da Schael ad Angelucci: quanto si sia di fronte ad un problema culturale, quanto sia responsabilità del Governo, quali leve sia possibile azionare?

“Da una parte c’è il problema delle infrastrutture” dice quindi Angelucci “perché in Italia non c’è carenza di banda larga per le persone, c’è carenza di banda larga per le aziende … molte delle imprese non hanno la fibra ottica e, se non possono disporre di almeno 10 megabit garantiti, imprese con venti persone non riescono a lavorare. Questo è il primo gap industriale. L’altro problema ha due facce, il primo è culturale, il secondo è regolamentare. Abbiamo delle leggi scritte con i piedi. Oggi fare Cloud è difficilissimo non tanto per problemi tecnologici, quanto per quelli legali. Non sappiamo quale deve essere la regolamentazione da mettere in atto, quali responsabilità, quali tipi di lavoro e quali le tutele che un’azienda può prendere nei confronti di dipendenti che trattano dati così importanti e sensibili. Da presidente di Assinform, in un mercato altamente competitivo, con provvedimenti così farraginosi, vedo un ennesimo blocco agli investimenti in questo paese, sia diretti, sia indiretti”. “… in realtà non è vero che in Italia non si sappia fare innovazione” interviene Procaccino di Accenture “… se riflettiamo sulla telefonia mobile, anni ’92-’93, l’Italia è stato il paese che ha inventato la tecnologia e i servizi. Ma dopo i primi cinque anni la leadership è passata alle grandi industrie europee e internazionali. La verità è che non abbiamo un sistema che aiuta le imprese a fare crescere queste tematiche. Abbiamo una discrasia, dove i cittadini, gli utenti comuni sono tecnologicamente all’avanguardia, mentre le imprese, un po’ meno le piccole, iged.it 02.2011

Speciale_Omat_TV_h.indd 1

39 23/06/11 18.32

e la pubblica amministrazione, sono vent’anni indietro. Un utente di Facebook è abituato ad un software spettacolare ed intuitivo, ad un livello di servizio eccezionale. Quando invece ci si siede davanti a un desktop in azienda, o nella PA, si trovano delle procedure, anche solo per inviare una mail, di una complessità enorme. La sfida di oggi è, dunque, quella di portare i software di business e le sue interfacce allo stesso livello, in termini di semplicità e intuitività, di quelli cui siamo abituati quotidianamente”. Schael interviene ponendo la riflessione a Mainetti, del Politecnico. Possibile non si riesca a far capire al manager decisore che deve fare un salto? Dice Mainetti “Noi parliamo spesso di Enterprise Information Management che dal punto di vista dei budget IT sta fortunatamente prendendo quota. È un settore in cui, in un certo numero di casi, le aziende tendono a investire. Cosa hanno in comune? Sono imprese che esportano e che, spinte dalla competizione internazionale, sono agganciate a questa ripresa globale. Realizzare un informativo efficace vuol dire indurre trasparenza nei processi, misurare e, perché no, controllare; si deve quindi cambiare realmente la cultura di management: questa è la cosa più difficile. Parallelamente nel mondo è partita una gigantesca class action che ha fatto sì che non sia più possibile per una multinazionale controllare l’informazione. Le dittature crollano perché le persone sono connesse fra di loro e condividono quelle informazioni che permettono di andare verso un sapere collettivo che tutela qualsiasi individuo che viva questo fenomeno. È un cambiamento epocale. L’ Information Technology ha portato alla prima rivoluzione che trae origine dal basso, dalle persone. Sono i processi collaborativi emergenti quelli che fanno vincere le imprese. Può ancora un manager vincere con armi così spuntate? Sì in un mercato protetto e regolamentato che si difende. Probabilmente no in un mercato internazionale al quale siamo costretti ad agganciarci per poter sopravvivere. Punterei il dito contro una classe che sta invecchiando, che non è più front runner ed che ha perso coraggio. Viviamo da troppi anni in una nazione che tutela solo la propria area di confort”. Interviene Schael rivolgendosi a Zamperini, chiedendo quale ruolo giochi la scuola in questo contesto. “Nel nostro paese, soprattutto la scuola primaria è a un livello veramente sconfortante,” risponde Zamperini “alle scuole elementari e alle scuole medie ci sono dei cosiddetti corsi di informatica che consistono nell’insegnare ai ragazzi l’uso dei prodotti Office della Microsoft. Se questa è l’introduzione all’informatica …. Altro esempio: sono andato dalla preside del liceo classico di mia figlia, vedendola ogni giorno uscire con 8 Kg. di libri. Dico alla preside <non potrei darle un tablet?> . La risposta: <preferiremmo che tali oggetti non entrassero a scuola>. Mi è poi capitato di andare in varie scuole a parlare con i ragazzi del cyber bullismo, una deriva dei nostri tempi. I bullismo è sempre esistito, in questo caso, però, la tecnologia amplifica il potenziale di danno e il sistema scolastico è impreparato a far fronte a tali minacce. È positivo, d’altro canto, come alcune aziende supportino i dipendenti che fanno evangelizzazione tecnologica, nelle scuole di ogni ordine e grado, funzionale all’informazione culturale e di supporto principalmente a docenti e genitori.

In conclusione per risolvere il problema occorre agire in prima persona, essere noi portatori di cultura e informazione, la mia è una Call to Action”. Il pubblico sollecitato dalla discussione in corso evidenzia tre problemi: la carenza di operatività da parte dello Stato, la mancanza di risorse e la difficoltà di aggregazione fra i comuni per l’attuazione di best practice, nonché la sicurezza delle connessioni e della proprietà dei dati. Schael invita, quindi, Gargiulo a prendere ancora la parola. “Direi che la partita è finita con la fine di Olivetti. Ivrea poteva essere una Silycon Valley, ma poi vi fu la separazione della parte meccanica da quella elettronica, giudicata inutile. Al mondo si può essere paesi innovatori e sperimentatori, oppure utilizzatori. Noi oggi, per numero di brevetti, ci posizioniamo, purtroppo, a livello di utilizzatori. Sono pochissime le imprese che riescono ad indirizzare ricerca e sviluppo e ad essere trainanti per l’intero Paese. Se anche la politica non riesce ad affrontare la ricerca e lo sviluppo, ma si perde in mille rivoli, ecco che la partita si può considerare finita!”. Interviene Angelucci di Assinform. “Fortunatamente in Italia vi è un fenomeno sommerso. Sta nascendo un Made in Italy tecnologico: vi sono infatti tutta una serie di imprese che stanno cominciando ad utilizzare le tecnologie di base e che, con l’informatica, producono nuovi prodotti e processi. Il solito genio italico, prendiamo cose, ne facciamo altre, e andiamo in giro a venderle per il mondo. La sfida delle tecnologie l’abbiamo persa, di fatto, ancor prima di Olivetti, perché non siamo un Sistema-Paese. L’Italia è, però, il paese delle nicchie, delle multinazionali tascabili. Se avremo il coraggio di incentivare questa caratteristica andremo avanti, altrimenti resteremo nel novero degli utilizzatori. Il problema sono proprio i brevetti. Il problema per chi fa Cloud non è tanto fare le cose, ma in quale cornice farle”. Nicchia va bene, ma quando la nicchia cresce qualcuno può mangiarla, ovvero le imprese italiane divengono facilmente acquistabili, sostiene Schael, nel lasciare la parola a Procaccino di Accenture che sostiene: “dal mio punto di vista, seguendo io la Pubblica Amministrazione, devo dire che ci muoviamo in una cornice assolutamente incerta, frastagliata, con leggi emanate che non hanno i decreti attuativi … cose che influiscono sulla vita di tutti, aziende, clienti, fornitori. Una su tutte la fatturazione elettronica sulla quale abbiamo fatto investimenti anche in termini di conoscenza. Si è detto che lo Stato è una piattaforma, bene, ma le aziende intanto non fanno rete, sono ancora molto settoriali ed isolate. Abbiamo delle tecnologie che spingono verso la connettività e l’integrazione, abbiamo delle idee che lo Stato lancia, quali quelle di fare piattaforma, di mettere a fattor comune i dati, le competenze, le conoscenze e … poi mancano leggi attuative per poter partire operativamente. È questo un problema gravissimo, stiamo perdendo per l’ennesima volta un treno. È un buco nero, basti vedere la Carta d’Identità Elettronica: se ne parla da quindici anni, ma giriamo ancora con fogliettini di carta consumati. Si lanciano progetti, si fanno grandi proclami e, poi, non se ne fa niente. Basterebbe fare partire due o tre cose: fatturazione elettronica, integrazione fra le banche dati, scambio dei documenti digitali fra le PA. Over-legiferiamo, come al solito, complicandoci la vita con un sacco di vincoli che, anziché andare verso la connettività, la semplificazione e l’interscambio, vanno verso la complicazione normativa, spesso inutile. Cosa si fa, ad esempio, sul Cloud e sulla Privacy ... credo che nessuno

iged.it 02.2011

Speciale_Omat_TV_h.indd 2

23/06/11 18.33

DOCUMENT RECOGNITION | DATA CAPTURE | LINGUISTIC SOFTWARE TECNOLOGIE INNOVATIVE NELL’ACQUISIZIONE E NEL RICONOSCIMENTO DATI.

www.italia.abbyy.com

INBOUND & OUTBOUND DOCUMENT MANAGEMENT SOLUZIONI FLESSIBILI, INTEGRATE E PROGETTATE A MISURA DEL CLIENTE, PER L’INTERO CICLO DI VITA DEL DOCUMENTO.

www.dataexpert.it

Speciale_Omat_TV_h.indd 3

23/06/11 18.33

si stia nemmeno ponendo il problema. Fra uno due anni, magari, qualcuno ci dirà che quello che è stato fatto è tutto da rifare per adeguarsi a quella che sarà la legge del futuro”. Un intervento dal pubblico presente in aula sottolinea che le nostre PMI rifuggano dagli investimenti, ma sono spesso costrette a risolvere altri problemi più contingenti come le tasse, la gestione del personale ... e l’ICT viene dopo. In quanto a privacy e sicurezza, l’importante dovrebbe essere la protezione dei dati riservati delle aziende, per non farseli copiare e, poi, magari essere fagocitate da qualche multinazionale. I Data Center in Italia sono importanti dal punto di vista della protezione e della conservazione dei dati, per lo sviluppo produttivo, ovviamente in un sistema coerente! “Dal punto di vista delle Istituzioni” interviene Zamperini “penso che, oltre a fare affidamento sulle associazioni , sia opportuno supportare la politica. Esorto a visitare il sito agenda digitale.org, un manifesto che propone a tutte le forze politiche di farsi carico dei temi dell’agenda digitale, un’agenda che l’Italia non ha, ma della quale abbiamo bisogno. Sulla sicurezza, poi, in termini generali adottare un’architettura Cloud rende più sicuro un ambiente enterprise. Personalmente, sono terrorizzato dalla proliferazione delle chiavette USB, veicolo di virus e facilmente impiegabili per il furto di informazioni, piuttosto che dal fatto che vi sono ancora in un sacco di aziende una quantità di PC con una quantità esagerata di storage dove sono conservate informazioni sensibili e critiche, e dove il furto di un computer può mettere in crisi un’intera organizzazione. Con il Cloud questo problema non esisterebbe.” Prende nuovamente la parola Mainetti del Politecnico. “Il Cloud può essere visto come un alibi per un problema che non si

vuole affrontare; di fatto il problema è normativo sul Cloud: esiste un gap fra forma e sostanza e non è la sicurezza ad essere il freno. Anch’io sono straconvinto che le multinazionali tascabili siano una grande risorsa e che siano quelle che tengono in piedi il Paese, e noi le stiamo tassando al 68%. Non ci si meravigli se appare quindi più conveniente trasferirsi in paesi dove la tassazione è meno severa, piuttosto che generare valore in Italia, dove vi è un modello di Sistema–Paese che non premia. Anche con le PMI accade qualcosa di simile: sono, in genere, imprese familiari. o simili, dove spesso conviene tenere qualcosa in nero. Il Cloud è, in effetti, una grande opportunità, ma a livello di sistema non stiamo favorendo questi progetti, perché tra le priorità dell’imprenditore vi sono temi ancora lontani dall’ICT. Per quel che riguarda le PA, abbiamo perso anche la governance dell’innovazione e della tecnologia. Oggi l’innovazione nelle PA è a macchia di leopardo, con eccellenti casi locali, ma con la possibilità di fare sistema praticamente nulla. Anche il riuso può essere realizzato, ma deve essere governato. Cosa fare come Istituzioni? C’è molto da fare, almeno come Università, Scuola, Sanità … le Istituzioni possono e devono fare molto di più. Noi come Università ci stiamo impegnando molto: il corso che tengo, ad esempio, si chiama Tecnologie Servizi e Applicazioni di Internet e si basa su una didattica collaborativa e partecipativa. I ragazzi spesso ne sanno più di me, io posso, però, dare loro esperienza, capacità di process solving. Il materiale prodotto è condiviso, la collaborazione è permessa e cercata in quanto il fare insieme crea valore. Gli studenti sono in contatto su Facebook, su Twitter … e io uso il loro linguaggio di comunicazione, sostituisco l’autorità con l’autorevolezza … se faccio una sfuriata mi filmano mi mettono su Youtube e su Facebook. Ogni anno il mio corso ha un programma e materiale didattico diversi e un sapere nuovo. Faccio fatica a studiare, postare … ma questa è la via, bisogna togliersi dalle aree di comfort che non vanno più bene”.

Da sinistra a destra: Marco Zamperini, Stefano Mainetti, Luca Gargiulo, Giovanni Procaccino e Paolo Angelucci

iged.it 02.2011

Speciale_Omat_TV_h.indd 4

23/06/11 18.33

“Il primo punto è, comunque, la semplificazione,” incalza Gargiulo “è una cosa che possiamo fare da subito. Chi in azienda prende le decisioni strategiche deve liberare risorse, affinché queste possano dedicarsi al core business per fare innovazione. Il secondo punto è come venirne fuori. Lo Stato deve convogliare i capitali laddove si fa ricerca libera, dalle leggi e dai preconcetti capitali e finanziare la ricerca senza vincolarne la destinazione d’uso”. Shael sottolinea che è dimostrato che la ricerca, tanto in Europa quanto in Italia, ha maggiore possibilità di successo quando è cofinanziata dal pubblico. Occorre pensare a quali politiche siano necessarie. Chiaramente un Paese dove la percentuale del PIL destinata alla ricerca e sviluppo è molto bassa non promette bene. “Cosa chiedere, quindi, alle Istituzioni?” chiosa Procaccino “Direi di ascoltare le persone che operano fuori dalle Istituzioni … credo vi siano molte e qualificate competenze, molta voglia di fare, di intervenire e di proporre. La cosa più utile per tutti sarebbe un confronto aperto e paritetico, un tavolo, un dibattito, per portare alla definizione di leggi e normative applicabili e, possibilmente, semplici”. Conclude Angelucci “Mi soffermerò sui quattro punti principali che sono stati toccati: persone, imprese, istituzioni, associazioni. Le persone, se vogliono fare le cose le fanno, ma il loro peggior nemico sono le Istituzioni. Il segreto del buon funzionamento del rapporto persone-istituzioni è la semplificazione. Le istituzioni ci complicano la vita e le imprese sopravvivono perché tendono a fregarsene!. Le imprese fanno la loro parte … però c’è anche una nostra parte di responsabilità: Il 61% delle imprese dice che non ha la banda larga ma, tutto sommato, non gli interessa. La fatturazione elettronica non parte, nonostante il testo del decreto sia pronto da un anno. In questo modo non solo le imprese perdono business, ma tutti perdiamo l’opportunità di gestire le cose al meglio. Uno slogan dice che l’informatica abbatte il debito pubblico, ma per intervenire su un problema bisogna conoscerlo: l’IT ha bisogno di essere diffuso in maniera radicale nella Pubblica Amministrazione. Ben venga il rapporto con le Associazioni, con Agenda Digitale, e con tutti quelli che vogliono che in Italia si realizzi un risorgimento digitale. La cattiva politica e la cattiva burocrazia sono il vero male dell’Italia”. Se si chiedesse, dunque, alla gente cos’è Il Cloud Computing e cosa comporta ci si sentirebbe rispondere … boh! Se lo chiediamo alla politica … è un boh! … ancora più forte. Il vero problema è che questo Paese non discute delle innovazioni, è un Paese che ha un po’ perso il suo essere in Europa. L’obiettivo è quindi quello di recuperare il tempo perduto e, per non restare l’ultima ruota del carro, farlo quanto prima, anzi subito!

L’evoluzione della specie

ceralacca

timbro

firma digitale

CADES

SecurePaper

™

SecurePaper Scopri l’unica, vera soluzione di Timbro Digitale per rilasciare i tuoi certificati on-line, i tuoi cedolini stipendiali o qualsiasi altro documento certificativo.

MAURIZIO ARATA

Giornalista LAND S.r.l. Via Affogalasino 40, 00148 Roma tel. +39 06.657481.1 - info@land.it - www.land.it Speciale_Omat_TV_h.indd 5

24/06/11 11.24

MERCATO

La PFU Imaging Channel Conference ingrana la quarta! Il tema della conferenza è stato quest’anno “Capture the Cloud” che ha posto l’accento sull’evoluzione delle modalità di acquisizione e di gestione dei documenti per le aziende che adotteranno soluzioni e piattaforme Cloud DI VINCENZO GAMBETTA

Dopo Dubai, Marrakech e Praga quest’anno è stata Monte Carlo (Monaco) ad ospitare, dall’11 al 13 Aprile, la Imaging Channel Conference 2011, organizzata da PFU Imaging Solutions Europe Limited, Società del Gruppo Fujitsu, per i propriPartner in EMEA (Europe Middle East and Europe). Questo importante evento, che si

44 Approf_PFU_h.indd 2

svolge sempre in ambienti molto accoglienti, è, sì, un’occasione per celebrare i propri successi e riconoscere chi si è particolarmente distinto, ma soprattutto è fatto di giornate di lavoro durante le quali il management di PFU, gli Operatori del Canale, gli Utenti e la stampa si confrontano e fanno il punto sui recenti sviluppi della gestione documentale e del

mercato degli scanner documentali, condividono le più avanzate esperienze del settore ed approfondiscono le opportunità di business che il mercato offre nonché le forme di collaborazione che possono contribuire a meglio cogliere tali opportunità. Questo evento, divenuto ormai una tradizione per il mercato degli scanner, ha riunito 270 partecipanti

iged.it 02.2011

23/06/11 19.05

MIKE NELSON

(Distributori, Rivenditori, Fornitori di software indipendenti - ISV e Utenti) provenienti da 42 paesi. L’importanza di suddetta manifestazione è anche dimostrata dal numero e la qualità degli sponsor (Kofax, Fujitsu Technology Solutions, ELO, Abbyy, EMC, Knowledge Lake, Global 360, Oracle, Document Logistix, Emmedi, Kartha, Inflowmation e Office Gemini) e dalla presenza di nove testate di settore provenienti da tutta Europa (Francia, Germania, Italia, Regno Unito, Russia, …). Mike Nelson - General Manager Sales Operations di PFU Imaging Solutions Europe Limited, dopo aver ribadito che l’obiettivo primario di questo evento è proprio quello di “offrire ai Partner del Canale l’opportunità di confrontarsi tra di loro e di conoscere nuove opportunità per fare business nonché storie di successo che possono fornir loro valore aggiunto e ampliare il business”, ha dichiarato di essere “molto felice di annunciare che i nostri sforzi e la nostra determinazione nell’avere successo sono stati ben ricompensati; le nostre speranze ed i nostri sogni si sono trasformati in realtà con un anno assolutamente da primato in termini sia di fatturato, sia di volumi, sia di quota di mercato. Nel 2010 abbiamo, infatti, superato tutti i record con il progetto di maggiori dimensioni, il maggior fatturato per singolo progetto, i più alti fatturati e volumi (nell’anno, nel semestre, nel trimestre e nell’ultimo mese) mai realizzati nella nostra storia”. “Nei prossimi due giorni approfondiremo il Cloud Computing e analizzeremo come possiamo supportarvi a condurre affari profittevoli con soluzioni “Imaging” progettate

per operare nell’interessantissimo ambiente del Cloud Computing.” ha quindi proseguito Nelson “Ricordiamoci che il mercato della gestione documentale è ancora giovane e solo una parte molto piccola del potenziale che offre è stata colta. Se sapremo velocizzare l’adozione delle Tecnologie di Document Management, con nuove applicazioni in più settori d’industria, saremo in grado di cogliere grandi opportunità. Porci la domanda: Chi ci fa concorrenza? e darci l’ovvia risposta: Chiunque debba acquisire documenti, non aiuta molto! Dovremmo, invece chiederci: Dove sono le nostre opportunità? Il nostro potenziale di crescita non si limita al crescente mercato degli scanner dedicati all’acquisizione dei documenti, ma risiede nel più ampio mercato dei dispositivi in grado di acquisire documenti. Tradizionalmente il mercato della gestione documentale si sviluppa seguendo, con qualche differenza tra nazione e nazione, un preciso schema: le prime ad adottare queste tecnologie sono le pubbliche istituzioni, seguono nell’ordine il settore Finanziario, la Sanità, il Manufacturing e quindi gli altri settori d’industria per, poi, raggiungere tutti un determinato grado di maturità. Ma, … vi sono sempre delle “rivoluzioni”, anche nei mercati più maturi. L’eGovernment ne è un recente esempio, la sanità ha sperimentato una crescita impressionante, mentre il settore finanziario in molte nazioni, a seguito di un lungo periodo di ottimi profitti, si è ritenuto soddisfatto dei risultati perseguiti con le precedenti realizzazioni di back office e solo ora in alcuni paesi, a seguito delle nuove modalità di gestione che hanno spostato agli sportelli l’acquisizione dei documenti (richiesti dalle varie forme di servizi/investimenti), si è avuta un’importante crescita della domanda originata dalla necessità di soddisfare le esigenze dei clienti”. Nelson ha terminato il suo intervento ricordando che: ”Nel corso di questa manifestazione avrete, anche, l’opportunità di toccare con mano come la nostra nuova generazione di scanner di rete, gli ScanSnap N1800, può competere non solo con gli altri scanner di rete, ma può anche offrire maggiori funzionalità e migliori prestazioni di quanto siano disponibili con le unità multifunzione (un mercato quotato più di 20 milioni di unità l‘anno). Potrete, poi, constatare come la capacità innovativa del nostri Partner ISV possa aprire mercati completamente nuovi come quello degli scanner per assegni, utilizzando un nostro

comune scanner per documenti. Vedrete, infine, il nostro nuovo ScanSnap S1100 - il nostro primo scanner realmente portatile ed il primo sul mercato a disporre di alimentatore per poter gestire un’ampia gamma di documenti in soluzioni professionali mobili”. Vale la pena, ora, di fare un cenno ai riconoscimenti attribuiti! Si sono meritati il premio per la “Miglior Prestazione”: Bechtle Logistik & Service GmbH (Germania), Assecco SEE d.o.o. Beograd (Serbia), Bechtle S.L. (Spagna), Kecam Ventures Nigeria Ltd. (Nigeria), Eks-pa A.S. (Turchia) e Digital Imaging Services (UK); mentre il riconoscimento per il “Singolo Miglior Progetto” è andato a ACP IT Solutions GmbH (Germania), Trial Electronics (Russia), Next Millennium Telecom Co (Arabia Saudita) e a … Datamate Srl di Roma. Ha ritirato il riconoscimento attribuito per il miglior progetto sulla Pubblica Amministrazione il Sig. Gianfranco Allegrucci. Samsotech International (Dubai) è stato, invece, premiato, quale “Miglior Partner Specializzato”. “Last but not least” è stata premiata EMMEDI SRL di Udine, nella persona di Michele Davino, per l’Applicazione più “Innovativa per assegni bancari” (vedasi articolo specifico a pag. 49). Come ci si poteva attendere, la delegazione italiana era molto folta e qualificata. In qualità di Sponsor e Solution Partner erano presenti Michele Davino e Alexandre Costa di Emmedi e Dario Albinelli e Stefan Ranger di Kharta.

ScanSnaps N1800

iged.it 02.2011

Approf_PFU_h.indd 3

45 23/06/11 19.05

DOUGLAS RUDOLPH

La premiazione di EMMEDI Srl

I Rivenditori erano rappresentati da: Davide Michelotto (Aivebs), Stefano Ghidini (C2Srl), Sergio Perissi (Commerciale Informatica), Bernardo Ballini (Computer Assist), Gianfranco Allegrucci (Datamate), Pietro Peritore (Digitecnica), Ferdinando Auletta (Enerj), Maurizio Tanzilli (Errebian), Matteo Bonvicini (Forseco), Ruben Sasselli (Gruppo Sistema), Sergio Lankovics (Iscopy), Enrico Volpato (Marno Srl), Paulo Manzi (Nada 2008 Srl), Maria Teresa Era e Lorenzo De Pietri (SNT Technologies SpA), Antonio Calignano (Overoffice). Nicola Baldini (Esprinet) ha rappresentato i Distributori. Al loro fianco non poteva mancare il management di PFU Imaging

ScanSnap S1100

46 Approf_PFU_h.indd 4

Solutions Italia: Lorenzo Todeschini - Rappersentante Legale e Direttore Commerciale, Massimiliano Grippaldi - Country Manager Mediterranean Countries (Cipro, Egitto, Grecia, Israele, Malta, Turchia), Fernando Moioli - Country Manager Italy e Maurizio Barondi - Partner Manager Indirect & Marketing liaison. A loro è toccato il grato compito di fare da punto di riferimento anche per i partecipanti di Cipro, Grecia, Israele e Turchia (Distributori, Rivenditori e Utenti finali); a proposito dell’Utente turco vale la pena ricordare l’intervento in Conferenza plenaria di Ahmet A. Ertugrul che ha illustrato come sia stata realizzata con successo la completa digitalizzazione dei 15.000 sportelli di ZIRAAT BANK, la più grande banca turca con oltre 20.000 impiegati, dove nell’arco di due anni è stato realizzato e reso operativo un progetto di acquisizione distribuita che ha visto l’impiego di 12.000 scanner fi-6130. Douglas Rudolph, Direttore Generale Marketing EMEA, al termine della manifestazione ha potuto affermare che “Il quarto appuntamento dell’ Imaging Channel Conference ha avuto un enorme successo; questo evento è divenuto un importante momento d’incontro, per chi opera nel settore del document imaging, dove è possibile incontrarsi, confrontarsi e discutere partnership e tendenze di business. Il tema di quest’anno è particolarmente cruciale per i nostri Partner

di canale che sono sempre alla ricerca di un miglior posizionamento sul mercato per integrare le nuove tecnologie nella gestione dei documenti e supportare i propri clienti nell’adottare e trarre i massimi vantaggi dalla virtualizzazione e dalle soluzioni cloud based. Abbiamo già ricevuto ottimi feedback dai nostri Partner a riprova che questo è il tipo di informazioni di cui hanno bisogno per sviluppare il loro business.”

VINCENZO GAMBETTA

Consulente Gestione Dati, Informazioni e Contenuti e Direttore contenuti iged.it e iged.it/online

iged.it 02.2011

23/06/11 19.05

IL MERCATO DEGLI SCANNER PROFESSIONALI PER DOCUMENTI Personal

Workgroup

Departmental

Low Volume Production

Mid Volume Production

High Volume Production

Velocità (ppm)

da 8 a 15

da 16 a 30

da 31 a 50

da 51 a 75

da 65 a 90

100 e oltre

Prezzi (k$)

>0,750

da 0,750 a 1,499

da 1,5 a 3,999

da 4 a 9,999

da 10 a 35

35 e oltre

Classificazione degli Scanner Professionali per Documenti

Nel 2010 il mercato europeo degli scanner professionali documentali (dai Personal agli High Volume – vedasi tabella) è risultato valere circa 350.000 €, per un totale di poco meno le 300.000 unità. In Italia sono gli stessi quattro fornitori che si spartiscono oltre l’85% del mercato, sia in unità sia in fatturato: mercato che vale oltre 34.000 € e poco più di 37.000 unità. Leader indiscusso del mercato è Fujitsu sia in Europa (oltre il 37% in fatturato ed oltre il 45% in unità) sia in Italia con una quota di mercato più omogenea tra fatturato ed unità superiore al 40%. Solo Kodak ha un’offerta che copre tutte le sei fasce di mercato, Fujitsu e Canon non sono presenti nel High Volume, mentre HP ha un’offerta che non va dai Personal ai Departmental. Oltre ai quattro fornitori citati meritano di essere ricordati Epson e Panasonic. Quello in esame è, comunque, un mercato con un numero limitato di operatori: 16 in Europa, di cui 10 in Itala. Dal punto di vista del suo andamento, il mercato degli scanner, a partire dal 2007, è stato caratterizzato, in Italia come in Europa, da un andamento in diminuzione che appare possa invertire la tendenza nell’anno in corso nel quale si prevede una crescita molto più marcata per i volumi di quanto non lo sia per i fatturati (questa differenza è più evidente in Italia). In Italia nel 2010 la percentuale di diminuzione del Fatturato, rispetto, all’anno precedente è risultata superiore al 15%, mentre i volumi sono diminuiti “solamente” di poco più del 6%, con le maggiori pertite nel segmento dei Mid Volume. L’unico segmento a registrare una crescita è stato quello dei Personal (poco meno del 4% in Volumi e stabile nei Fatturati). In Europa, invece, a fronte di un incremento dell’ordine dell’1% in Volumi si è registrato un decremento dei Fatturati superiore al 7%. Tale tendenza è originata, non solo dalla riduzione dei costi, ma soprattutto dall’aumento della diffusione dei Personal e Workgroup. Anche Departmental e Low Volume danno il loro contributo alla crescita (più in Europa di quanto avvenga in Italia). In Europa Departmental, Personal e Low Volume tendono a dare un contributo ai fatturati praticamente equivalente mentre in Italia i Low Volume mostrano un peso contributivo inferiore. I due segmenti di produzione (Mid & HighVolume) tendono a dare un contributo sempre inferiore.

LORENZO TODESCHINI

MASSIMILIANO GRIPPALDI

Questo andamento indica una tendenza del mercato a distribuire l’acquisizione il più possibile e, in questa tendenza, a prediligere la diffusione dei Personal (uno scanner su ogni scrivania – come il telefono) e dei workgroup (il 2011 è indicato come l’anno nel quale i Personal supereranno, in volume, gli Workgroup). Coerente con quanto appena evidenziato è il valore medio degli scanner che in Italia è inferiore di quanto sia in Europa. Da sottolineare, rispetto all’Europa, un maggior peso in Italia di scanner Personal e Workgroup: ciò è sicuramente dovuto alle dimensioni delle organizzazioni presenti sul tessuto nazionale Italiano. Fujitsu in Italia ha comunque registrato, nel 2010, un andamento positivo misurabile nell’ordine del 4 o 8% se lo si misura in unità o fatturato. A margine della manifestazione abbiamo avuto l’occasione di fare il punto sul mercato nazionale e dei paesi di competenza di PFU Imaging Solutions Italia con Lorenzo Todeschini e Massimilano Grippaldi. D: Cosa si può dire sul contributo dell’Italia allo storico successo citato in apertura da Mike Nelson? Grazie, anche, alla trattativa con una delle più grandi banche turche il contributo dell’Italia per il successo del 2010 di PFU è stato considerevole. Non è casuale che, oltre che a premiare il rivenditore artefice della trattativa, il caso (di successo) sia stato presentato nel corso della manifestazione. D: Dal vostro punto di osservazione quali sono state le principali caratteristiche del mercato degli scanner in Italia nel corso dello scorso anno? A parte la contrazione in atto del mercato che sta proseguendo da alcuni anni si nota una concentrazione verso la fascia entry level degli scanner professionali documentali a scapito del segmento dipartimentale, dove le prestazioni elevate per singolo posto di lavoro non sono ancora molto richieste ed apprezzate dall’utente medio. In quanto al mercato della Pubblica Amministrazione esso ha rappresentato un bacino d’utenza molto interessante per tutto il 2010; il mercato privato è, purtroppo, ancora molto fermo. D: Sempre con riferimento all’Italia - dopo un 2009 che, con tutti gli aspetti positivi, ha comunque mostrato una leggera diminuzione del mercato - come vedete, in generale ed in particolare per PFU, il 2011 che nelle previsioni evidenzia significativi segnali di ripresa? Il mercato degli scanner documentali è un mercato ancora di nicchia e piuttosto piccolo, per questo motivo esso rimane un mercato in controtendenza e, nonostante i volumi non siano ancora quelli raggiunti nel 2007, continua la sua ripresa e resta per gli operatori (del mercato e di canale) una realtà molto interessante. Nel 2011 ci aspettiamo, sempre nel settore pubblico, delle gare che possano finalmente dare una spinta sostanziale a questo mercato e possa, così, innescare un ciclo virtuoso a favore di una più larga iged.it 02.2011

Approf_PFU_h.indd 5

47 23/06/11 19.06

diffusione degli scanner documentali su tutto il mercato italiano. D: Quali sono le caratteristiche degli scanner più diffusi nel mercato italiano e perché? Vedete specifiche e peculiari differenze con il mercato europeo? Come ogni anno, e coerentemente con le statistiche degli ultimi anni, il nostro best seller resta lo scanner fi-6130, per intenderci un’unità da 30/40 ppm e con caricatore automatico e minimo ingombro, collocato nella fascia workgroup. Questa tipologia di scanner penso rappresenti un termine di paragone, o di riferimento, per ogni utente che voglia, o debba, effettuare un acquisto in tal senso. Se osserviamo il mercato europeo non si notano grandi differenze in termini di modello o di orientamento del mercato, fatto salvo il segmento degli ScanSnap dove all’estero - in un mercato più

48 Approf_PFU_h.indd 6

maturo e, perché no, più ricco - la penetrazione presso gli utenti professionali è maggiore della nostra, specialmente nel nord-centro Europa. D: Quali i prodotti di punta del vostro portafoglio e perché? “Capture the cloud” è stato il tema che abbiamo sviluppato nel corso dell’evento di Monte-Carlo. A questo tema, per coniugare il citato slogan con fatti concreti, abbiamo associato i nostri recentissimi prodotti di punta quale lo ScanSnap S1100. È veramente sorprendente come i nostri ingegneri giapponesi riescano ogni volta a stupirci con dei prodotti che associano alta tecnologia ad oggetti semplicemente belli da vedere a da toccare; con l’S1100 il primo ScanSnap pensato per la mobilità, leggero (soli 350 grammi) e con una larghezza ridotta a 27 cm (quella utile per un foglio A4), è stata raggiunta l’estrema sintesi di questi concetti. Il software a corredo è molto ricco. Oltre alle usuali possibilità di trasformare immagini in testo, presentazioni o fogli di calcolo, include Evernote, nella versione freeware, che consente l’impiego della tecnologia cloud, anche se in versione molto semplice, per gestire i documenti personali, oppure altri servizi quali Google docs o SalesForce CRM. Ad esso si deve aggiungere l’ultimo prodotto presentato lo scanner di rete ScanSnap N1800. D: Le vostre vendite avvengono tramite il Canale. Quali le caratteristiche del Canale in Italia che, visti i risultati (mi consta che lo scorso anno solare abbiate raggiunto una quota di mercato superiore al 40% - la si misuri in unità o fatturato), lo rendono così produttivo? Il nostro canale è organizzato sui due livelli classici: Distributori e Rivenditori. Con la creazione dell’Imaging Channel Partner Program, qualche anno fa, abbiamo voluto strutturare e aggregare il canale intorno al nostro marchio e alle nostre soluzioni in modo da creare valore alle nostre proposte ed offrirlo agli operatori. Negli ultimi anni abbiamo assistito da parte dei Rivenditori ad un’adesione continua e progressiva e oggi contiamo circa 120 iscritti. In quest’ottica possiamo affermare che il Canale ci sta premiando perché vede in PFU, e negli scanner Fujitsu, una risposta di valore e oggettivamente valida al mercato ECM, DM e Capture. Nel Capture penso al nostro fi-6800, lo scanner per volumi medi ben introdotto nei centri servizi e annunciato a fine 2009. Dall’altro lato, vedo soluzioni come gli ScanSnap ideali anche per quei rivenditori che si trovano a fronteggiare richieste estemporanee di singoli utenti con esigenze di scansione semplice e immediata. Richieste che i nostri scanner della famiglia ScanSnap sanno coniugare con un valore propositivo molto elevato grazie alla completa dotazione software e alla semplicità d’utilizzo: giusto il tempo di premere un pulsante per creare un file in formato PDF. D: Quali le peculiarità i consuntivi e le previsioni dei paesi (Cipro, Egitto, Grecia, Israele, Malta, Turchia) di competenza di PFU Imaging Solutions Italia? Per quanto riguarda i Paesi esteri che fanno capo all’Italia essi rappresentano complessivamente circa il 40% del fatturato nazionale. Il loro business si sviluppa principalmente su progetti del mondo Bancario e della Pubblica Amministrazione. Anche per l’anno in corso ci aspettiamo un consolidamento e una crescita complessiva di questi mercati.

iged.it 02.2011

23/06/11 19.08

ESPERIENZE

La digitalizzazione delle banche inizia dalla dematerializzazione dei suoi documenti più importanti La filiale “paper less” è l’obiettivo finale di tutte le banche che, però, oggi stanno cercando di ottenere una gestione affidabile efficace ed economica di tutte le tipologie di documenti gestiti in filiale (assegni, carte d’identità, contratti ed altri tipi di documenti A4 con più pagine). L’assegno è ancora un documento diffuso ed “importante”: unificare la loro acquisizione e quella di tutti gli altri documenti gestiti in filiale può rappresentare l’elemento chiave per dematerializzare l’attività delle filiali DI MICHELE DAVINO

La comparsa dei lettori di assegni Il valore aggiunto per la banca era legato soprattutto al “troncamento” dell’assegno, cioè la possibilità di non inviare alla banca emittente l’assegno incassato e letto correttamente con il lettore di assegni. Come è facile immaginare, questo generava un notevole risparmio in

termini economici ed in termini organizzativi per ogni singolo istituto bancario. Anche se la stragrande maggioranza delle vendite fu eseguita da una sola azienda leader, la Seac Banche di Calenzano (FI), questa espansione del mercato, che richiedeva una tecnologia meccanica ed elettronica molto sofisticata, ha spinto altre

Un’immagine dalla filiale con l’innovativa soluzione Emmedi 4Cheque con scanner Fujitsu fi-6130 per trattare gli assegni ed ogni altro tipo di documento presente in filiale, dalla carta plastica al documenti A4 multi pagina, fino al documento A3

aziende italiane ad investire in questa tipologia di prodotti, permettendo così all’Italia di essere all’epoca leader mondiale nella produzione di lettori di assegni. La prima evoluzione: MicroCheque e gli scanner di assegni Dalla seconda metà degli anni 90 fino alla prima metà degli anni 2000, dalle banche italiane e dai centri servizi che lavoravano gli assegni nasceva un’ulteriore esigenza. Durante la normale lettura dell’assegno, è possibile acquisire anche l’immagine? Sarà questa la scintilla che spingerà i produttori dell’epoca ad evolvere i lettori in veri e propri scanner di assegni. La gran parte delle filiali, infatti, microfilmava i documenti prima di inviarli ad un centro servizi per l’archiviazione fisica, al fine di tutelarsi dal rischio di smarrimento durante il trasporto. La microfilmatrice era un apparato analogico che, con lo stesso principio della macchina fotografica, “impressionava” la pellicola. Oggi, che siamo nell’era del digitale, sappiaiged.it 02.2011

Approf_Davino_h.indd 1

49 23/06/11 19.12

mo tutti molto bene quali erano gli svantaggi principali di una macchina fotografica analogica: l’elevato costo di gestione (pellicola, archiviazione fisica e ricerche) ed il rischio di scoprire che, una volta sviluppati i negativi, le immagini non erano leggibili (ad esempio tutte nere). Per la microfilmatura valevano proprio gli stessi svantaggi. In quel periodo, le banche italiane si trovavano in un contesto molto particolare. Innanzitutto erano tutte impegnate alla migrazione dei sistemi informativi per l’anno 2000 e per il passaggio all’euro. Poi i lettori di assegni iniziano ad evidenziare i primi segni di usura, ed alcuni di questi hanno già una decina d’anni. Infine, il costo e la gestione della microfilmatura era sempre più un problema da affrontare velocemente. In questo contesto, Emmedi propone MicroCheque una soluzione trasversale, adattabile a tutte le realtà bancarie, dalle piccole Banche di Credito Cooperativo, fino alle banche più grandi, anche quelle con importanti programmi di altre acquisizioni. In poco tempo nei primi anni duemila, la soluzione MicroCheque viene utilizzata da un numero notevole di banche italiane, contando ad oggi oltre 25.000 installazioni! Come spesso accade, le idee semplici sono le vincenti. La soluzione proposta, infatti, sostituisce completamente la microfilmatura ed effettua l’emulazione completa di un tradizionale lettore di assegni utilizzando i nuovi scanner di assegni ed evitando anche qualsiasi modifica alle applicazioni di sportello esistenti. Di seguito sono elencate le sue principali funzionalità: Emulare il lettore di assegni, permettendo così una graduale sostituzione degli apparati più usurati e soprattutto evitando di effettuare alcuna modifica alle applicazioni di sportello esistenti, che erano appunto appena state adattate all’anno 2000 ed all’euro con imponenti investimenti da parte di tutti gli istituti bancari; Con l’utilizzo di uno scanner di assegni, durante la normale lettura dell’assegno, il sistema MicroChe-

que acquisiva anche l’immagine. La codeline, cioè la stringa univoca riportata in calce all’assegno, veniva inviata all’applicazione di sportello, che così pensava di avere ancora collegato un tradizionale lettore di assegni; La stessa codeline con le relative immagini del fronte e del retro venivano automaticamente inserite nel database documentale MicroCheque; Il Database documentale MicroCheque è un sistema distribuito che si occupa dell’invio di tutte le informazioni (codeline ed immagi-

ni) da ogni singola postazione di ogni singola filiale verso un database centrale, garantendo sempre la consistenza dell’informazione; Centralmente, la banca aveva a disposizione il database MicroCheque con tutte le immagini degli assegni che poteva ricercare e riprodurre via web con un semplice click, utilizzando la stringa univoca della codeline posta in calce ad ogni assegno. MicroCheque è probabilmente ad oggi il sistema di archiviazione di documenti bancari più utilizzato nelle banche italiane. Esistono alcune in-

4Cheque permette di trattare ogni tipo di documento in filiale e la sua ergonomia consente un inserimento degli assegni semplice ed intuitivo ed una lavorazione dell’assegno estremamente veloce, fino a 70 documenti al minuto. La codeine letta è inviata all’applicazione di sportello come fosse collegato un tradizionale lettore o scanner di assegni.

iged.it 02.2011

Approf_Davino_h.indd 2

23/06/11 19.12

stallazioni che hanno in linea oltre 50 milioni di documenti, corrispondenti ad oltre 10 anni di acquisizioni, che possono esser ricercate e riprodotte via web in modo estremamente semplice e potente. Questa soluzione ha permesso ad Emmedi di diventare un player sempre più importante nel mercato bancario italiano e ai produttori di scanner per assegni di vendere le loro apparecchiature in modo molto più facile, non dovendo aspettare gli eventuali iter per sviluppi specifici dell’applicazione di sportello. I modelli di scanner più utilizzati in quegli anni sono stati Seac Banche SB1600 e Walther Italia SCN4005. Gli assegni e gli altri documenti bancari In realtà, per scanner di assegni, si intende quella periferica in grado di leggere la codeline degli assegni e degli altri documenti trattati in banca, compresi ad esempio i bollettini postali, gli effetti ed i bollettini freccia. Sicuramente l’assegno rimane il documento di riferimento, sia per la sua natura tecnologica (cioè l’inchiostro magnetico con cui è stampata la codeline), sia perché in linea di massima è il documento più numeroso e probabilmente importante trattato nelle banche. Per i non addetti ai lavori è facile pensare che in un futuro non molto prossimo, l’assegno potrebbe sparire o quasi. In realtà questo non è verosimile, per lo meno per i prossimi anni. Certo, non è in aumento, ma se ci pensiamo bene, quello che pagavamo qualche anno fa con l’assegno (sia bancario sia circolare) lo continuiamo a pagare tutt’oggi. Gli assegni in Italia hanno avuto circa dieci anni fa un consistente calo con il diffondersi dei metodi di pagamento elettronici, come la carta di credito, per poi stabilizzarsi negli ultimi cinque anni poco sopra i 400 milioni di documenti l’anno. La tecnologia per la lettura degli assegni I lettori di assegni 20 anni fa, erano l’unica risposta tecnologica possibile per leggere gli assegni, i quali, in Italia

È possibile trattare allo sportello in modo estremamente pratico ed efficiente ogni altro tipo di documento bancario, come ad esempio i bollettini postali, i bollettini freccia o quelli tipici per un’apertura di conto corrente: la carta d’identità, il codice fiscale, il contratto siglato dal cliente e lo specimen di firma.

e nel mondo, sono stampati da sempre con il font CMC7 (paesi latini tra cui l’Italia) o E13B (paesi anglosassoni, USA, Canada, India, ecc.) utilizzando inchiostro magnetico. Con le potenze di calcolo diffuse all’epoca, il processamento del segnale magnetico era l’unica metodologia possibile per poter decodificare in modo veloce ed affidabile un assegno. Questo però ha richiesto la creazione di apparecchiature specifiche per il solo trattamento di questa tipologia di documenti mentre la parte meccanica necessaria a garantire un’adeguata qualità del segnale restava comunque abbastanza sofisticata e costosa. Oggi, la tecnologia mette a disposizione su ogni singolo calcolatore una potenza di calcolo estremamente elevata e molti scanner A4 “consumer” hanno una qualità dell’immagine ed

un trattamento della carta veramente superlativi. Questi sono i presupposti per un diverso approccio al problema. Qualcuno potrebbe pensare che l’utilizzo dell’inchiostro magnetico potesse essere un sistema “anti frode” o qualcosa del genere. Questo non è assolutamente vero, non solo perché è possibile trovare facilmente in rete inchiostri magnetici per tutti i modelli di stampanti laser ed inkjet più diffusi, ma anche perché facendo una normale “fotocopia” di un assegno con una stampante multifunzione (meglio ancora acquisendo l’immagine e stampando il documento con una stampante laser con inchiostro solo nero) è molto probabile che il documento prodotto sia correttamente letto dai migliori scanner di assegni. Infatti, nell’inchiostro standard nero di molte stampanti laser c’è sufficiente iged.it 02.2011

Approf_Davino_h.indd 3

51 23/06/11 19.13

metallo per essere correttamente letto da un lettore od uno scanner specifico per gli assegni attraverso il segnale magnetico. Ai non addetti ai lavori questo potrebbe fare sorridere, ma sicuramente la legislazione esistente in Italia ed in quasi tutto il resto del mondo, per garantire la veridicità di un assegno usa ben altri modi, molto più affidabili di questi. Provate solo ad andare in una banca dove non siete conosciuti a farvi cambiare in contanti un assegno fatto da una persona non conosciuta … se ci riuscite siete stati bravissimi! 4Cheque, la rivoluzione Dopo la prima meccanizzazione iniziata vent’anni fa con la fornitura di un lettore di assegni praticamente in ogni sportello bancario italiano e l’evoluzione iniziata circa 10 anni fa con gli scanner di assegni e la relativa soluzione MicroCheque o analoga, cosa richiedono oggi le banche e che tipo di soluzione si aspettano? Occorre poi considerare che le esigenze delle banche si sono evolute ed oggi nella maggior parte di esse è presente la necessità di gestire in modo informatico una tipologia ed una quantità sempre crescenti di documenti. Sì, la famigerata “de-materializzazione” o le filiali “paper less” sono probabilmente degli obiettivi a lungo termine (forse estremi) di progetti organizzativi che quasi ogni banca italiana sta oggi affrontando. In alcuni contesti si chiama “Back Office Centralizzato”, in altri è la gestione dei contratti di vario tipo (conto corrente, specimen di firma, ecc.). È partito, dunque, un processo che impegnerà le organizzazioni bancarie nei prossimi anni, ma che parte da un presupposto indispensabile: acquisire tutte le tipologie di documenti possibili in filiale (assegni, carte d’identità, contratti ed altri tipi di documenti A4 con più pagine), in modo affidabile, efficiente ed economico. l’ubicazione a retro sportello e dunque la necessità per l’operatore di alzarsi dalla sua postazione con il cliente davanti nel caso debba acquisire un documento in quel momento (pensiamo anche semplice-

mente alla carta d’identità!); l’unicità della periferica; se in una filiale c’è un solo device che può trattare il documento, allora il processo organizzativo dovrà poter prescindere dal documento stesso in formato digitale, con il conseguente aumento della complessità organizzativa ed informatica; la qualità dell’immagine nel tempo; per molte stampanti multifunzione lo scanner è un optional “gratuito” e dunque non possiamo neppure aspettarci che la qualità sia adeguata a tutte le nostre esigenze, sia per la parte di immagine sia per il trascinamento della carta; i limiti maggiori sono proprio nella garanzia della qualità dell’immagine nel tempo, dato che quasi tutte le stampanti multifunzione non dispongono di un sistema automatico di calibrazione; questo si traduce nel tempo in due effetti collaterali: il primo è il decadimento delle prestazioni di decodifica (ad esempio per barcode lineari o bidimensionali su alcune tipologie di documenti, con conseguente aumento dei costi di gestione del document) ed il secondo con il possibile incremento delle dimensioni dell’immagine (con conseguente aumento del costo di archiviazione) o di diminuzione della leggibilità. È, pertanto, vero che un qualsivoglia processo organizzativo che prevede l’acquisizione periferica dei documenti utilizzerà le stampanti multifunzione presenti in filiale, ma è altrettanto vero che quando questo processo diventa esteso, o particolarmente importante, la stampante multifunzione non potrà essere l’unico device preposto alla lavorazione. Negli ultimi tre anni, Emmedi ha sviluppato e messo a punto 4Cheque, una soluzione che rappresenta una vera rivoluzione in questo mercato. L’idea che sta alla base è quella di adattare una periferica scanner A4 standard alle esigenze specifiche della banca, cioè uno o più prodotti standard con elevata qualità, basso costo e con le caratteristiche tecniche

necessarie per essere utilizzati al fine di soddisfare tali esigenze, sia per le banche italiane sia per quelle del resto del mondo. La soluzione 4Cheque permette a queste tipologie di scanner di funzionare anche come un tradizionale lettore di assegni, o scanner di assegni, ed in particolare: leggere in modo estremamente affidabile e con elevate prestazioni le codeline degli assegni, con prestazioni paragonabili ai migliori lettori o scanner di assegni tradizionali; leggere anche tutte le altre tipologie di documenti normalmente non trattate dagli scanner di assegni tradizionali; con l’utilizzo del feeder automatico raggiungere le prestazioni di oltre 70 assegni al minuto; emulare un tradizionale lettore o scanner di assegni, fornendo anche una API del tutto analoga a quella dei più diffusi scanner di assegni; essere compatibile con tutti i sistemi informativi bancari più diffusi, sia in Italia che nel resto del mondo. Il tutto, ad un costo per il cliente finale del tutto analogo a quello di un tradizionale scanner di assegni. Ad oggi la soluzione 4Cheque è già integrata e/o certificata da tutti i maggiori centri servizi / fornitori di applicazioni di sportello presenti in Italia, Cedacri, CSE, SEC, Phoenix, Iside e IBT. Il feedback delle banche e degli operatori di sportello è stato da subito estremamente positivo. La possibilità di avere un unico strumento tecnologico semplice ed intuitivo per trattare tutte le tipologie di documenti presenti in banca senza modifiche all’applicazione di sportello esistente, è stato ottimamente recepito sia dagli uffici organizzativi e sia dagli operatori di filiale che hanno da subito potuto constatare una notevole semplificazione dell’operatività quotidiana. Il monitoraggio remoto Oggi il controllo remoto di tutte le postazioni è una prassi che tutte le banche eseguono quotidianamente

iged.it 02.2011

Approf_Davino_h.indd 4

23/06/11 19.13

Lo scanner Fujitsu fi-6130 dispone anche di una interessante opzione per il settore bancario: il lettore di badge o di chip card (nella foto, lettore di chip card). In questo modo ogni cassiere può avere comodamente a disposizione sulla propria scrivania un lettore di chip card chepuò essere utilizzato dalle varie applicazioni in tutti i modi desiderati (identificazione cliente, firma digitale anche per l’acquisizione di documenti, controllo presenze, ecc.)

per le azioni più diversificate. Il controllo remoto delle periferiche connesse alla postazione PC, però, non è altrettanto semplice e diffuso, anzi nella quasi totalità dei casi è del tutto assente. Eppure, sono proprio le periferiche meccaniche l’anello più vulnerabile della catena: quando i processi organizzativi dipendono fortemente dalla loro efficienza allora è proprio

opportuno prevedere dei meccanismi di controllo. La soluzione 4Cheque prevede anche l’opzione R.M.S., cioè Remote Maintenance System, che permette da una console centrale di verificare in tempo reale il funzionamento di tutti gli scanner installati su ogni singola postazione di ogni singola filiale. Le funzionalità disponibili sono tantissime, tra cui:

Tipica schermata dell’Remote Maintenance System, dove per ogni singolo scanner installato in banca è possibile avere in tempo reale la postazione, il serial number, la filiale di appartenenza, il modello con le relative opzioni, lo stato, il numero di documenti trattati nell’arco di tempo (ad esempio: la giornata in corso), il numero di assegni e di bollettini e le relative prestazioni di decodifica con le relative icone di stato, oltre al test automatico sulla qualità delle immagini acquisite.

monitoraggio continuo ed automatico delle prestazioni di decodifica (assegni, bollettini, barcode lineari e bidimensionali, ecc.); monitoraggio continuo ed automatico dello stato dei consumabili; monitoraggio continuo ed automatico della qualità dell’immagine; censimento automatico con associazione Serial Number scanner / postazione; funzionalità specifiche di aiuto agli operatori di Help Desk di primo livello; possibilità di ricevere in automatico via email la lista degli scanner in Warning con relative indicazioni per gli interventi; possibilità di esportare ogni singola query in Excel per successive elaborazioni e statistiche.

MICHELE DAVINO

Amministratore Unico, Emmedi srl

iged.it 02.2011

Approf_Davino_h.indd 5

53 23/06/11 19.13

APPROFONDIMENTI

Dalla protezione dati alla continuità operativa Scenari di rischio, metodologie e soluzioni tecnologiche DI SERGIO RESCH

Nelle ultime settimane si sono verificati una serie di eventi a livello mondiale che hanno riportato alla ribalta l’importanza di una corretta gestione dell’informazione aziendale. Il caso di una azienda di intrattenimento a cui vengono trafugati i dati dei propri clienti, di una azienda di informatica che registra i dati di posizionamento geografico dei propri clienti, di un’azienda famosa per le soluzioni di sicurezza che viene violata dagli hacker, di una società che ha legato le sue fortune ad Internet e perde i dati nel Cloud dei propri clienti, di un’importante azienda di servizi informatici che subisce un fermo prolungato, ... la lista potrebbe essere ancora più lunga, e anche senza fare nomi, molti di voi avranno comunque capito che stiamo parlando di aziende famose con staff informatici di tutto rispetto. A questi “errori umani”, intesi come errata valutazione del rischio e della importanza e del valore delle informazioni, si aggiungano i disastri naturali di vario tipo 1 che si sono verificati nel mondo: uno per tutti quello in Giappone dove è stato particolarmente messo in evidenza l’effetto dirompente di un evento significativo su un sistema infrastrutturale complesso ed altamente tecnologico. A mio avviso questa sequenza di eventi riporta alla ribalta le discipline che si occupano della protezione delle informazioni e della continuità operativa. Questi temi hanno vissuto tempi d’oro qualche anno fa quando il settore finanziario si è adeguato alle normative emanate da Banca d’Italia e agli accordi internazionali noti come “Basilea” per

la gestione del rischio operativo che obbligavano gli enti bancari a garantire la continuità dei propri servizi. L’importanza di queste discipline è testimoniato anche dalla recente direttiva del Codice per l’Amministrazione Digitale 2 del dicembre 2010: “Continuità operativa e disaster recovery: Le PA dovranno predisporre appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili a fornire i servizi e il ritorno alla normale operatività.” Ovviamente in Italia i grandi enti centrali e locali (grandi comuni e regioni) della PA hanno già fatto mosse importanti in questa direzione mentre sicuramente c’è ancora molto da fare nelle aziende di medie e piccole dimensioni nella PA e negli altri settori di industria. Al di là delle normative, quindi, diventa sempre più importante per una azienda proteggere le proprie informazioni che sono un “asset” con un forte valore per l’impresa e che rappresentano una “liability” in termini di responsabilità nella corretta gestione. È ormai evidente che la perdita di informazioni aziendali o l’interruzione del servizio può avere impatti significativi su: il fatturato, l’immagine dell’azienda, la sua affidabilità nella catena del valore e, in generale, la sua competitività di mercato. Secondo una ricerca condotta qualche anno fa da Gartner Group due aziende su cinque che subiscono “impreparate” un evento catastrofico non sono più in grado di riprendere le attività e tra quelle che sono in grado di farlo, una su tre fallisce entro due anni.

Metodologie Le metodologie e le soluzioni tecnologiche da adottare esistono da anni e, come già anticipato, sono state adottate con successo da tutte le aziende del settore bancario e finanziario. La metodologia classica normalmente seguita per sviluppare un progetto di protezione dati e continuità operativa parte, ovviamente, da una analisi di quali sono i servizi critici che l’azienda deve erogare agli utenti interni e/o esterni e dai livelli di rischio a cui l’azienda stessa può essere soggetta. Una fase delicata è quella di trovare un compromesso tra livelli di servizio, che si vorrebbero sempre molto alti per tutte le applicazioni, e budget/risorse effettivamente disponibili. Nell’identificazione di un livello di “indisponibilità sostenibile” si considerano due importanti indicatori del livello di servizio: tempo necessario al ripristino del servizio (detto anche RTO – Recovery Time Objective) e quantità massima di dati da ricostruire (RPO – Recovery Point Objective). Molto spesso un progetto di questo tipo deve essere giustificato economicamente ai piani alti della organizzazione aziendale e, per fortuna, esistono diversi studi che analizzano quale è il costo aziendale della indisponibilità (vedi un esempio nella fig. 1). L’analisi del rischio operativo comprende una valutazione della localizzazione geografica dell’azienda, dalla struttura territoriale e da come è disegnato l’attuale sistema informativo. Per esempio si valuta se una azienda opera in una zona esposta ad eventi naturali (terremoti, inondazioni, etc.)

iged.it 02.2011

Esper_Resch_h.indd 2

23/06/11 19.14

e se la sua dislocazione territoriale si presta al disegno di soluzioni IT multi centriche. L’analisi degli eventi da cui ci si vuole proteggere è importante in quanto permette di distinguere tra eventi pianificabili, come per esempio attività periodiche di manutenzione del data center, e eventi non pianificabili come incendi, inondazioni, crolli, etc. Chiunque si sia occupato di continuità operativa ha raccolto nel tempo una serie di eventi “impensabili” che hanno causato fermi anche molto gravi. Un esempio di lista di possibili cause (ovviamente non esaustiva) viene riportata in fig.2. Disegno della soluzione Definiti i requisiti del progetto e le risorse disponibili, il passo successivo e quello di progetto e realizzazione dell’infrastruttura informatica, tenendo conto dell’attuale disegno del sistema informativo. In questa breve sintesi parleremo mol-

to di storage perchè è l’elemento più critico per la protezione dei dati e la continuità operativa. Ovviamente prima di tutto la nuova infrastruttura deve essere a prova di malfunzionamenti e deve essere disegnata in modo ridondato per non risentire del fermo di un singolo componente (disegno ad alta disponibilità o highavailability) e, ovviamente, consentire una manutenzione concorrente dell’elemento che si è guastato. Oggi praticamente tutti i sistemi storage di tipo aziendale possono essere configurati in modo da assorbire un guasto senza interrompere il servizio. Inoltre le reti storage che connettono i server applicativi ai sistemi storage consentono una progettazione della rete completamente ridondato. A seconda della tecnologia utilizzata ci possono essere dei comportamenti diversi in caso di fermo di un componente e quindi un diverso impatto sulle prestazioni della infrastruttura (per esempio allungamento del tempo di risposta di una

FATT. ORARIO

FATT. ORARIO PER

ENERGIA

$ 2.817,846

$ 569,20

TELECOMUNICAZIONI

$ 2.066,245

$ 186,98

MANIFATTURIERO

$ 1.610,654

$ 134,24

ISTITUZIONI FINANZIARIE

$ 1.495,134

$ 1.079,89

INFORMATION TECNOLOGY

$ 1.344,461

$ 184,03

ASSICURAZIONI

$ 1.202,444

$ 370,92

DISTRIBUZIONE AL DETTAGLIO

$ 1.107,274

$ 244,37

FARMACEUTICO

$ 1.082,252

$ 167,53

BANCARIO

$ 996,802

$ 153,10

PRODOTTO DI CONSUMO

$ 785,719

$ 127,98

CHIMICO

$ 704,101

$ 194,53

TRASPORTI

$ 668,586

$ 107,78

SERVIZI

$ 643,250

$ 380,94

SANITÀ

$ 636,030

$ 142,58

ESTRATTIVO

$ 580,588

$ 153,11

SERVIZI PROFESSIONALI

$ 532,510

$ 98,59

ELETTRONICO

$ 477,366

$ 74,48

EDILIZIA

$ 389,601

$ 216,18

COMUNICAZIONE

$ 340,432

$ 119,74

TURISMO

$ 330,654

$ 38,62

VALORI MEDI

$ 981,721

$ 232,21

Fig.1 Mancato fatturato per un’ora di fermo del servizio per tipologia di industria (elaborazione IBM da varie fonti di mercato)

transazione applicativa). In seconda battuta la manutenzione delle infrastruttura deve essere trasparente alle applicazioni e deve consentire un’espansione (aggiunta di nuovi componenti) compatibile con i livelli di servizio richiesti. Esempi di attività di manutenzione sono: riparazione di un componente difettoso, migrazione tecnologica oppure aggiornamento di un software di sistema. Infine ci si occupa di come deve essere disegnata l’infrastruttura per consentire il ripristino del servizio anche in caso di grave danno (disaster recovery). L’analisi e la definizione dei livelli di servizio da garantire con il budget a disposizione porta ad operare una scelta nell’ambito di tre macro classi di soluzioni tecnologiche ampiamente documentate 3 che si differenziano per tempi di ripristino e costo della soluzione: Il classico Data Back-up e Restore che prevede una copia dei dati su dispositivi storage a basso costo come le cartucce a nastro magnetico che sono successivamente trasportate in un sito “sicuro”. In caso di necessità tali copie sono utilizzate per ricostruire i dati aziendali nel sito originario o in un sito alternativo. Il tempo di ripristino, o RTO già citato, può essere di uno o più giorni e dipende ovviamente dalla disponibilità di nuove risorse elaborative e di storage da cui ripartire. Questa è in assoluto la soluzione a costi più bassi. Soluzioni di Rapid Data Recovery: prevedono la copia dei dati su dispositivi più veloci al fine di consentire una ripartenza più veloce. In questo caso si utilizzano sistemi storage a disco magnetico e le copie di dati possono essere “fredde” o “calde”. Una copia fredda su uno storage secondario a costo e prestazioni inferiori richiede il suo trasferimento su storage di tipo primario per poter essere utilizzata. Una copia calda invece prevede che i dati presenti sui sistemi secondari siano pronti per l’uso in quanto sistemi primari e secondari sono della stessa classe. Soluzioni di questo tipo possono ridurre a qulche ora i tempi di ripristino. Soluzioni di Continuità Operativa (continuous availability): in questo iged.it 02.2011

Esper_Resch_h.indd 3

55 23/06/11 19.14

caso oltre ad avere una copia calda dei dati occorre avere anche delle risorse elaborative disponibili a caldo per poter continuare l’erogazione del servizio. Nella pratica questo scenario prevede i sistemi storage primari e secondari in configurazione di remote mirroring e i server applicativi primari e di riserva in configurazioni di tipo cluster. Vista la totale duplicazione della infrastruttura per sua natura è quella che richiede maggiori investimenti infrastrutturali. Disegnata la soluzione non resta che la messa in opera dell’infrastruttura e la stesura di una adeguata documentazione del piano di recovery per i vari scenari ipotizzati. Poiché sia l’infrastruttura sia l’organizzazione evolvono nel tempo, infine, è importante non solo prevedere un test iniziale di collaudo, ma anche una adeguata pianificazione di test periodici per verificare la validità nel tempo della soluzione e degli aspetti organizzativi. Soluzioni tecnologiche Ovviamente la base di tutti i ripristini si fonda sulla presenza di una copia valida dei dati aziendali che può essere utilizzata per un ripristino di successo. In quest’ottica per nostra fortuna le tecnologie digitali “facilitano” la realiz-

zazione di copie ed hanno un indubbio vantaggio verso i sistemi tradizionali di trattamento della informazione. Come accennato esistono diverse tecnologie di memoria che si differenziano per costo/prestazioni. Per esempio nell’ambito delle soluzioni classiche di back-up si utilizzano cartucce a nastro magnetico di solito gestite all’interno di una libreria automatica robotizzata. Al fine di proteggere i dati in transito verso il sito sicuro è buona pratica usare cartucce nastro che prevedono la crittografia dei dati. Nel caso in cui i livelli di servizio offerti dalla tecnologia a nastro non siano adeguati esistono tecnologie di “virtual tape” che utilizzano in realtà sistemi storage a disco più veloci. Per avvicinare il costo di una soluzione basata su dischi magnetici verso quello comunque più basso offerto dai nastri si possono utilizzare tecniche di compressione e deduplica dei dati per ridurre lo spazio fisico richiesto dalle copie. Le soluzioni di virtual tape consentono oggi di realizzare configurazioni di tipo “grid” in grado di gestire due o più repository geograficamente distribuiti ed alimentati automaticamente durante il processo di back-up. In caso di perdita del nodo locale accedo ai dati presenti su uno dei nodi remoti. Importante è, anche, distinguere tra

dati di back-up e dati di archiviazione: i primi hanno l’obiettivo di consentire il restore, mentre quelli di archiviazione puntano alla conservazione di informazioni per un certo periodo di tempo e, in questo caso, le loro prestazioni si misurano in funzione della capacità di recuperare nel periodo di conservazione un singolo oggetto in tempi certi e predeterminati. Esistono racconti dell’orrore di aziende che hanno confuso le due discipline ed hanno tentato di recuperare informazioni soggette a normative direttamente dalle copie di back-up con costi esorbitanti. Ovviamente una strategia di archiviazione sicura prevede che i dati di archiviazione siano a loro volta soggetti ad un back-up per indirizzare gli scenari già discussi. Se ci spostiamo nel campo del Rapid Data Recovery, ovvero delle copie disco-disco, abbiamo già operato una grossolana ripartizione tra copie fredde, o statiche, dei dati realizzate ad un certo tempo - al pari di una fotografia - e copie calde, o dinamiche, costantemente aggiornate nel tempo (remote mirroring). È importante sottolineare che le copie a caldo non coprono tutti gli scenari di rischio: se su un volume in remote mirroring viene cancellato per errore un oggetto la copia remota rifletterà in maniera speculare l’errore verificatosi sul sistema primario. Que-

ALLAGAMENTO

ESPLOSIONE

OCCUPAZIONE

ALLARME BOMBA

EVACUAZIONE

PERDITA ACIDO

ALLUVIONE

FIAMME

QUARANTENA

ATTENTATO

FUGA GAS

RAFFREDDAMENTO DIFETTOSO

BOMBA

FULMINE

RODITORI

CADUTA AEREO

FURTO COMPONENTI

ROTTURA CONDOTTI ACQUA

CONDENSA VAPORE

GENERATORE ELETTRICO

SABOTAGGIO

CONTAMINAZIONE CHIMICA

CHIACCIO

SBALZO DI CORRENTE

CORTO CIRCUITO

GUASTO ELETTRICO

SCAVI NELLE VICINANZE

CRAKER

GUASTO RETE

SOMMOSSE

CROLLO EDIFICIO

HACKER

TEMPESTA DI NEVE

DATI CORROTTI

HARDWARE GUASTO

TERREMOTO

DERAGLIAMENTO TRENO

INCENDIO

TERRORISMO

DIFETTI DI COSTRUZIONE

INCIDENTE AUTO

TRANCIO CAVI TROMBA D’ARIA

EFFRAZIONE

INSETTI

ELETTRICITÀ STATICA

LAVORI DI RISTRUTTURAZIONE

UPS GUASTO

EPIDEMIA

MALATTIE INFETTIVE

VANDALISMO

ERRORE DI PROGRAMMAZIONE

NUBE TOSSICA

VIRUS

ERUZIONE VULCANICA

ONDE ELETTROMAGNETICHE

...

Fig. 2 Eventi che possono causare il fermo della infrastruttura IT (Fonte IBM Business Continuity and Recovery Services)

iged.it 02.2011

Esper_Resch_h.indd 4

23/06/11 19.15

emergenza. Procedure predefinite di facile attivazione possono garantire il successo di una realizzazione di questo tipo.

IBM System Storage TS3500. Con i recenti annunci di soluzioni IBM per la protezione e la conservazione dei dati, questa libreria automatica robotizzata per cartucce nastro può raggiungere la capacità record di 2,7 ExaByte di dati in linea, 3 volte la quantità di dati generati in USA nel 2010 per il traffico cellulare e l’80% in più rispetto ad altre offerte di mercato. Gli annunci IBM segnano anche un altro record: i nuovi tape drive di classe enterprise IBM System Storage TS1140 hanno una velocità di trasferimento dati superiore del’80% e un consumo energetico inferiore del 64% rispetto alle attuali soluzioni di mercato. Un complesso TS3500 può ospitare fino a 2700 tape drive di questo tipo con un volume di trasferimento dati aggregato di oltre 1,7 TeraByte/sec.

sto per dire che serve sempre una copia statica fatta nel momento giusto per proteggersi da particolari casi di errore umani, software o applicativi. Quando si parla di remote mirroring entra in gioco, anche, il fattore distanza: ovviamente maggiore è la distanza tra i sistemi primari e i sistemi secondari maggiore è lo spettro degli scenari catastrofici da cui si può proteggere. Per esempio è evidente che un incidente aereo può essere molto più contenuto in termini di ampiezza di impatto geografico rispetto ad un terremoto. Purtroppo però le leggi della fisica, al pari dei costi di stesura della rete che non trattiamo, giocano contro di noi: all’aumentare della distanza per ogni operazione di scrittura di un dato si introduce un ritardo di propagazione che allunga il tempo di risposta percepito dall’utente. Inoltre la banda di trasmissione deve essere dimensionata opportunamente sulla base delle quantità di dati che sono aggiornati sui sistemi primari altrimenti può non essere in grado di smaltire il traffico. Per chiudere alcuni ulteriori spunti per

quanto riguarda le soluzioni di continuous availability. In questo caso sia le risorse server sia quelle storage sono duplicate in almeno due siti remoti e la rete che connette gli utenti ai server applicativi deve, ovviamente, essere in grado di poter essere ruotata sui sistemi secondari in caso di necessità. Con scenari di questo tipo, se le distanze non sono eccessive, si ottengono RPO = 0 (nessuna perdita di dati al momento di disastro) e RTO di qualche minuto ottenuti grazie a procedure di automazione in grado di identificare l’evento disastroso, attivare i sistemi secondari e ruotare il carico utente dai sistemi primari, non più disponibili, verso quelli secondari. Questo processo può, ovviamente, essere utilizzato anche per la migrazione pianificata di applicazioni tra data center diversi. L’automazione, infine, è un concetto importante nelle soluzioni di continuous availability perchè non è detto che al momento del bisogno sia presente uno staff altamente qualificato, e in ogni caso si opera in situazione di

Conclusioni Oggi le tecnologie informatiche consentono la realizzazione di soluzioni per la protezione dati e la continuità operativa. Le discipline sono ormai sperimentate ed esistono parecchi esempi di realizzazioni pratiche anche in Italia. Grazie all’innovazione tecnologica soluzioni che anni fa erano considerate esclusive di società con grandi budget sono oggi alla portata di aziende di medie e piccole dimensioni. Proprio recentemente la IBM ha rilasciato 4 miglioramenti al portafoglio delle soluzioni per la protezione e la conservazione dati in ottica di maggiore efficienza. Un consiglio banale, ma forse non preso veramente in considerazione nei casi di incidenti che abbiamo richiamato all’inizio della nostra discussione: prima di intraprendere un progetto di protezione dati e di continuità operativa operate una semplificazione ed un consolidamento delle risorse IT. Se siamo in grado di semplificare, rendere più efficiente e consolidare una infrastruttura IT tanto più semplice, e meno costosa, sarà la sua protezione. In sintesi nell’IT la complessità è nemica della sicurezza. note 1

Lista aggiornata eventi catastrofici nel mondo: http://emergency.cdc.gov/recenincidents.asp 2 Il nuovo codice per l’amministrazione digitale: www.digitpa.gov.it 3 Soluzioni IBM per la business continuity: http://www.redbooks.ibm.com/abstracts/ sg246684.html http://www.redbooks.ibm. com/abstracts/redp4605.html?Open 4 Annunci IBM Data Protection and Retention: http://www.ibm.com/systems/storage/

SERGIO RESCH

System Storage Platform Evangelist – IBM Italia S.p.A.

iged.it 02.2011

Esper_Resch_h.indd 5

57 23/06/11 19.15

APPROFONDIMENTI

FIRMA FACILE Una tecnologia utile deve essere usabile

“L’usabilità è il grado in cui un prodotto può essere usato da specifici utenti per raggiungere specifici obiettivi con efficacia, efficienza, e soddisfazione in uno specifico contesto d’uso” Norma ISO 9241 parte 11

DI GIANNI SANDRUCCI

Qualsiasi documento oggigiorno nasce digitalmente su un computer …, ma siccome lo standard/supporto più diffuso e più facile in ambito di creazione, trasmissione e conservazione documentale rimane la carta, esistono tuttora numerose situazioni in cui documenti, dei quali occorra garantire l’autenticità, possano attraversare nel corso del loro ciclo di vita, uno o più passaggi attraverso la carta, in altre parole debbano essere stampati. La carta, a causa di una serie di problematiche non solo tecniche, ma soprattutto organizzative, gestionali ed economiche, difficilmente verrà abbandonata, ci basti pensare a tutti quegli ambiti dove è necessario allegare documentazione “assortita” (proveniente da diverse organizzazioni e dai formati più disparati) a domande, o a richieste da presentare presso enti ed istituzioni, tipicamente banche e PA. Le organizzazioni investono ingenti capitali nell’automazione dei propri processi al fine di eliminare le inefficienze operative e per essere conformi alle diverse normative, tuttavia, processi di approvazione ancora vincolati a firme autografe, implicano la necessità di stampare la modulistica su carta, spedire i documenti ed infine conservarli. Inoltre, “Nel 63% delle organizzazioni senza sistemi di firma digitale, oltre la

metà dei processi di stampa è relativo a documenti a cui va aggiunta una firma”. (http://www.aiim.or) È come mettere dei semafori in autostrada! Inevitabili i colli di bottiglia, i blocchi e gli elevati costi di gestione. Dematerializzare è possibile attraverso due distinti approcci. 1) Informatizzare/eliminare la carta (approccio classico): acquisizione via Scanner; riconoscimento caratteri (OCR / ICR); conservazione sostitutiva. 2) Evitare di produrre carta (approccio “green”) : gestione documentale; workflow per la gestione automatica e il tracciamento dei flussi di lavoro; gestione della firma elettronica e firma digitale dei documenti; posta elettronica (certificata o meno); form intelligenti su web/eForms (con firma digitale); archiviazione e conservazione dei documenti (gestione tempi di conservazione/scarto). Con l’approccio “green”, al fine di evitare di produrre nuova carta, è necessaria la configurazione e l’uso di servizi e tecnologie usabili, semplici e intuitive,

che consentano una gestione “agile” dei documenti digitali, che faciliti la gestione del periodo transitorio, governando il passaggio dai fascicoli cartacei ai fascicoli informatici, che incentivi la comunicazione e la trasmissione dei dati tra le persone/uffici, secondo i processi/ sistemi definiti, e che infine fornisca le giuste motivazioni e la spinta psicologica per abituare, e abituarsi, al “distacco” dalla carta. La dematerializzazione passa quindi attraverso le fasi di: formazione e gestione dei documenti informatici; firma a valore legale dei documenti informatici (approvazione); trasmissione informatica dei documenti (possibilmente mediante posta certificata … usabile, ndr.); servizi web che gestiscano in sicurezza (strong authentication) processi di validazione/approvazione (firma digitale). conservazione a norma dei documenti informatici. Making life easy! “… so I don’t have to feel stupid about technology” Affinché la tecnologia serva al suo scopo, deve essere strumento semplice nelle nostre mani e di aiuto nello svolgimento del nostro lavoro. L’usabilità misura quanto un’applica-

“La maggior parte delle telefonate di tipo tecnico ricevute dai call center dei certificatori di firma è per ricevere assistenza in merito ai lettori di smart card. Si sta perciò studiando una soluzione che svincoli l’utilizzatore di firma digitale dal comune lettore, e si pensa di adoperare un sistema di autenticazione USB” - luglio 2008 Ing. Giovanni Manca responsabile Ufficio Sicurezza del CNIPA al convegno “Semplificare la firma digitale” http://www.cnipa.gov.it/HTML/rs/2008081037480.pdf

iged.it 02.2011

Approf_Sandrucci_h.indd 2

23/06/11 19.16

CoSign rende semplice la firma, la verifica e la conservazione dei documenti digitali: gli utenti di CoSign possono firmare con un semplice clic utilizzando le applicazioni che già conoscono. Inoltre, gli utenti possono verificare il documento e le sue firme con le applicazioni messe a disposizione da parte dei principali fornitori di software (ad es. Adobe Reader). Questo accelera l’adozione di processi di lavoro che includano la firma digitale come una pratica di routine. Con l’approccio centralizzato tutte le firme, le credenziali e le chiavi di autorizzazione sono memorizzate su un server centrale con accesso di rete sicuro. Il software di CoSign si adatta in modo semplice e trasparente ai sistemi di gestione utenti, con i sistemi di autenticazione e con le applicazioni preesistenti, riducendo praticamente a zero il costo di gestione.

zione, o un dispositivo, possano essere facili, intuitivi, soddisfacenti ed “error free” da usare per un utente/utilizzatore di medie capacità ed esperienza. Obiettivo desiderabile dell’usabilità è quello di rendere la tecnologia sottostante il più possibile invisibile, trasparente all’utente, il quale deve potersi concentrare esclusivamente sul compito, anziché sull’interfaccia. In termini d’uso, le complessità tecnologiche restano dietro le quinte applicative, mentre l’interfaccia verso l’utilizzatore risulta facile da usare ed intuitiva. Un tecnologia utile deve essere usabile “Abbiamo fatto un progetto di firma digitale, ma poi nessuno l’ha utilizzata.” “Con il progetto di firma digitale abbiamo fatto un bagno di sangue e adesso i nostri responsabili non ne vogliono più sentire parlare.” “La firma digitale ce l’abbiamo, ma la utilizziamo solo per la conservazione sostitutiva.” Le precedenti sono alcune affermazioni di chi ha “provato” ad usare la firma digitale, secondo un approccio distribuito tipico delle smart card, nei suoi processi documentali; esse, parlano di una tecnologia complicata, costosa e utilizzata per scopi marginali. Dalle analisi del F.E.S.A. - Forum of European Supervisory Authorities for Electronic Signatures (www.fesa. eu) è emerso che nel 2002 l’Italia era, con 500.000 certificati, lo Stato con la maggiore diffusione di certificati, seguita dalla Norvegia con 32.000 e dalla Germania con 26.000. Nel primo trimestre 2004 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato 1.250.000 unità e, ad oggi,

abbiamo superato la soglia di 3.700.000 di unità (come ribadito nel recente Rapporto e-Gov Italia 2010 (http://www. innovazionepa.gov.it/media/611301/ rapporto_e-gov_italia_master.pdf ). Questi numeri suggerirebbero che in Italia si abbia un grande utilizzo dello strumento firma digitale, ma non è così, in quanto i principali utilizzatori della firma digitale rimangono i rappresentati delle imprese, soprattutto per il deposito telematico obbligatorio dei bilanci alle Camere di Commercio che, molto spesso, i titolari dello strumento delegano l’operazione di firma a chi, per loro conto, è incaricato agli adempimenti di cui sopra (leggasi ragionieri, commercialisti, avvocati, ecc.). In altri termini, la firma digitale è una tecnologia necessaria e diffusa, ma ancora oggi complicata da usare. La firma digitale remota, una tecnologia facile da usare! Affinché unafirma digitale sia usabile bisogna considerare i seguenti aspetti: facilità d’uso per l’utente e semplicità di deployment per l’organizzazione che la deve adottare; sicurezza “tamper-hacker proof ”; legalità (oggi e domani); semplicità d’uso: 1 o 2 clic del mouse per garantire che il documento sia firmato, sigillato e a norma di legge; zero IT Management: la tecnologia sottostante diventa pressoché impercettibile, la distribuzione e l’operatività sono immediate, l’help desk e il supporto IT ridotti al minimo; basso TCO (Total Cost Of Ownership): ridotti al minimo, o addirittura azzerati, i costi di logistica/distri-

buzione, deployment ed help desk. La firma digitale remota è quella tipologia di firma digitale che non necessita del possesso fisico della chiave privata (smart-card o chiavetta) da parte del firmatario, in quanto tale chiave è conservata, congiuntamente al certificato di firma, all’interno di un server remoto sicuro (HSM – Hardware Security Module), accessibile via rete (Intranet e/o Internet). Le nuove norme sulla firma digitale, approvate in Italia nel 2009, hanno reso legale l’uso della “firma remota”, che consente un utilizzo esteso e sicuro del servizio di firma digitale all’interno delle organizzazioni rendendo estremamente, e finalmente, “usabile” la tecnologia di firma digitale. L’adozione della firma digitale remota consente di accelerare i processi di approvazione e recupero di produttività del personale realizzando ROI in meno di 12 mesi, semplicemente riducendo drasticamente, fino ad eliminare, i costi derivanti da stampa, postalizzazione, scansioni, archiviazione e non ultimo il costo per ritrovare e riprodurre documenti andati persi.

GIANNI SANDRUCCI

CEO at Itagile

iged.it 02.2011

Approf_Sandrucci_h.indd 3

59 23/06/11 19.16

APPROFONDIMENTI

Lettura ottica ed outsourcing documentale Come far diventare più competitivo un service bureau DI FRANCESCO PUCINO

L’outsourcing nel settore documentale, sia per i servizi di archiviazione ottica sia di data-entry, è oggi abbastanza diffuso: in talune circostanze, infatti, sia aziende sia enti pubblici si affidano a centri servizi specializzati che svolgono tale attività per loro conto. La scelta di esternalizzazione può essere originata da diversi fattori come, ad esempio, avere elevati volumi da trattare, non avere volontà o possibilità di attrezzarsi in proprio o, ancora, preferire un costo certo e predefinito. L’attività offerta dai service bureau per un servizio di archiviazione ottica, semplificando, parte dalla preparazione dei supporti cartacei: apertura plichi, eliminazione graffette, sfascicolatura, etc… Prosegue poi con la scansione dei documenti e con l’individuazione ed

estrazione di dati salienti richiesti per la classificazione di ciascun documento o per la popolazione di un database. Il processo si conclude poi con la realizzazione di un archivio digitale da consegnare al cliente o renderglielo fruibile da remoto. Il tutto può essere ovviamente completato con controlli di qualità a più livelli. Tale attività ha ovviamente un certo costo che, con i dovuti margini, va a ribaltarsi sull’utilizzatore del servizio. Come un centro servizi può diventare più competitivo ed offrire servizi a costi minori senza sacrificare margini e qualità? Certamente un’ottima strada è quella di investire in tecnologia, in particolare puntando sulle nuove tecnologie di lettura ottica.

Fig.1 – Recogniform Free-Form: una valida soluzione di lettura ottica deve consentire di estrarre dati anche la cui posizione non è predeterminata, come ad esempio nelle fatture.

Si consideri infatti che una delle fasi più importanti e più onerose del processo è rappresentata proprio dall’individuazione ed estrazione dei dati, in quanto molto spesso tale attività viene svolta manualmente, mediante data-entry, ossia digitazione degli stessi da parte di un operatore. È proprio per questa attività che le tecnologie di lettura ottica possono rilevarsi estremamente utili. Ricorrendo, infatti, a specifici sistemi di OCR (Optical Character Recognition) si può fare in modo di automatizzare tale fase, ottenendo enormi vantaggi in termini di tempi e costi. Sebbene l’estrazione di dati da documenti strutturati sia consolidata, qualche tempo fa era impensabile, ad esempio, che un sistema di lettura ottica potesse automaticamente estrarre fornitore, data, numero ed importi da una fattura qualsiasi, o data ed oggetto da una delibera liberamente stampata, o numero di conto, saldo e data da un estratto conto generico… Oggi invece tutto ciò è realtà, così come facilmente constatabile utilizzando piattaforme di lettura ottica evolute, proprio come Recogniform Reader, che integrano tecnologia free-form. Quindi per le operazioni di estrazione automatica dei dati da supporto cartaceo, sia finalizzate all’indicizzazione dei documenti stessi, sia finalizzate alla creazione di banche dati, sia che si tratti di documenti con layout fisso, ossia in cui le informazioni da estrarre sono sempre nella stessa posizione, sia che si tratti di documenti liberi, in cui le informazioni da estrarre sono in posizioni differenti e non predeterminate, esistono soluzioni software in grado di svolgere egregia-

iged.it 02.2011

Approf_Pucino_h.indd 2

23/06/11 19.17

Sotto il profilo gestionale è chiaro che un centro servizi debba gestire e monitorare in modo più dettagliato possibile il lavoro degli operatori: ciò può essere facilitato utilizzando una configurazione client/server che includa nativamente funzioni avanzate di statistica e reporting che permettano di verificare lo stato di avanzamento delle lavorazioni, di valutare le prestazioni del sistema e la produttività di ogni singola postazione/ operatore in ogni fase.

Fig.2 – Recogniform Application Designer: un centro servizi deve avere la possibilità di definire i templates da usare in modo autonomo, così come deve poter personalizzare il sistema secondo le proprie necessità con la massima semplicità ed efficacia.

Sotto il profilo economico c’è da dire, invece, che molte soluzioni di lettura ottica vengono offerte esclusivamente in modalità pay-per-use, ossia più si usano più si pagano: tale modalità non è probabilmente adatta ad un centro servizi in quanto non consente di ottenere quelle economie di scala che si otterrebbero incrementando i volumi di lavorazione laddove si utilizzi una soluzione il cui costo sia flat ed una-tantum. Inoltre è possibile che un centro servizi possa trovarsi di fronte a picchi di lavoro momentanei: in tal caso deve essere possibile aggiungere postazioni di acquisizione o validazione senza che siano richiesti costi aggiuntivi che potrebbero non essere ammortizzabili con l’usuale attività. Concludendo, si può affermare con certezza che puntare sulle moderne tecnologie di lettura ottica, per un centro servizi attivo nel documentale, può diventare davvero la chiave del successo … a patto di fare la scelta giusta!

Fig.3 – Recogniform Statistics Viewer: avere la possibilità di monitorare lo stato di avanzamento dei lotti in lavorazione ed avere informazioni statistiche sulle prestazioni del sistema di lettura ottica e la produttività dei singoli operatori è fondamentale per un centro servizi.

mente questo compito. Ovviamente una soluzione di lettura ottica adatta ad un centro servizi deve possedere non soltanto tutti quei requisiti che si danno per scontati in una efficace e moderna soluzione, ma anche tutta una serie di altre peculiarità specifiche per il tipo di utenza. Facciamo allora alcuni considerazioni al riguardo sotto il profilo tecnico, gestionale ed economico.

Tecnicamente una piattaforma di lettura ottica deve consentire la totale indipendenza del centro servizi, cioè deve essere possibile per l’utilizzatore creare nuovi template di lettura in autonomia e con la massima flessibilità, così come deve essere possibile personalizzare il comportamento del sistema, di volta in volta, in base alle lavorazioni da eseguire, senza richiedere necessariamente l’intervento del produttore del software.

FRANCESCO PUCINO

Cofondatore e CEO di Recogniform Technologies SpA, membro IEEE ed AIIM, svolge attività di ricerca nel settore imaging dal 1990

iged.it 02.2011

Approf_Pucino_h.indd 3

61 24/06/11 11.25

REDAZIONE

DATAXPERT E ABBYY AVVIANO UNA PARTNERSHIP DI VALORE La Società, attiva nell’erogazione di soluzioni tecnologiche legate al knowledge management, è la prima in Italia a ricevere l’abilitazione ABBYY per l’erogazione di corsi e certificazioni FlexiCapture LA REDAZIONE

Che ci sia l’esigenza, sempre più sentita, da parte delle organizzazioni di qualunque dimensione di popolare i propri data base ed automatizzare i processi anche, e soprattutto in presenza di documenti cartacei è, ormai, un dato di fatto. Concettualmente questa è una cosa semplice: è sufficiente estrarre automaticamente le informazioni (caratteri) dai documento cartacei! È, però, dagli anni trenta che si cerca di perseguire questo obiettivo. Il percorso non è stato facile e tutt’ora evidenzia gradi di complessità non alla portata di tutti. Oggi siamo, però, arrivati ad un livello di affidabilità e di costi dei “Sistemi” di Acquisizione Caratteri che consente di affermare che le informazioni che “viaggiano” su carta non rappresentano più un ostacolo alla digitalizzazione dei processi amministrativi e produttivi. Anche se è requisito irrinunciabile non è stato sufficiente migliorare la qualità delle immagini prodotte dagli scanner, ma si è dovuto ricorrere al perfezionamento di più tecnologie e mettere a punto metodologie molto rigorose di verifica di quanto interpretato ed altro ancora. Non è quindi una sorpresa che Abbyy 1 - azienda nota anche per aver messo a punto tecnologie che consentono, di acquisire, tradurre e trasformare in dati elaborabili le informazioni che risiedono su documenti cartacei - abbia deciso di entrare direttamente nel mercato italiano, dove è presente con un ufficio dallo scorso anno. ABBYY commercializza i propri prodotti in oltre 130 paesi a livello mondiale tramite un’ampia rete di partner. La prima azienda italiana a conseguire l’abilitazione di ABBYY per l’erogazione di corsi e certificazioni ABBYY

FlexiCapture in lingua italiana è Dataexpert. Dataexpert è una società attiva nell’erogazione di soluzioni tecnologiche legate al trattamento dell’informazione ed in particolar modo al ciclo di vita del documento. Essa è in grado di proporsi quale interlocutore unico per un’ampia gamma di attività di outsourcing, grazie ad un’importante infrastruttura tecnologica, a partner accuratamente selezionati e a competenza che vanno dallo sviluppo software al marketing interattivo. Tramite SogeGroup, la sua offerta è in grado di coprire tutte le attività relative al trattamento del documento estendendosi anche al trasporto ed all’archiviazione dei documenti fisici. ABBYY FlexiCapture 2 è il sistema di acquisizione dati ed elaborazione di formulari di nuova generazione. Questa piattaforma consente di estrarre i dati in modo rapido e preciso, grazie a una nuova architettura flessibile e “scalabile”. Si adatta ai più diversi scenari, dalle piccole soluzioni ai grossi progetti per aziende di medie/grandi dimensioni o per istituzioni governative. Per lanciare questa collaborazione, e la partnership appena avviata, Dataexpert ed ABBYY hanno organizzato il convegno TCDM 2011, Trends in Capture & Document Management. L’incontro che si è svolto il 19 aprile 2011 a Busto Arsizio, presso “Le Robinie Golf&Resort”, ha avuto come obiettivo, raggiunto, quello di individuare e tracciare, con il contributo di clienti e operatori, le attuali tendenze del settore. Obiettivo della partnership, appena definita, è rendere più agevole ed immediata la conoscenza e l’adozione delle soluzioni ABBYY, anche tramite l’eliminazione di ogni barriera linguistica, nei processi dei clienti e di collaborare con loro nella valutazione degli obiettivi da raggiungere, nel monitoraggio e nella verifica dei risultati raggiunti. 1

ABBYY è un’impresa russa, fondata nel 1989, con oltre 900 impiegati e uffici in molti paesi, inclusi Germania, Stati Uniti, Ucraina, Regno Unito, Cipro, Giappone e Taiwan. 2 Fondata nel 2004, con più di 50 addetti, ha tre sedi in Italia: il Polo tecnologico di Marnate (VA), la Server farm di Settimo Milanese (MI) e il Polo BPO di Parma (PR). È parte integrante di SogeGroup SpA.

iged.it 02.2011

Dalleaziende_ABBYY_h.indd 2

23/06/11 19.18

EVENTI

OMAT MILANO 2011 DI STEFANO FORESTI

Ormai è chiaro a tutti: il mondo dell’Information Management sta attraversando un momento di profondo cambiamento. Cambiano gli scenari, cambiano le tecnologie. Cambiano le infrastrutture, con l’inarrestabile esplosione del fenomeno Cloud. Cambiano le leggi (con il nuovo Codice dell’Amministrazione Digitale, ancora in progress) e cambiano le istituzioni che tali leggi dovrebbero guidare e governare. E se è vero che i grandi cambiamenti nascondono sempre grandi opportunità, è altrettanto vero che non sempre è facile comprendere i nuovi scenari mentre stanno ancora evolvendo, così come può essere complicato intuire la direzione verso cui il mercato sta andando quando la rotta non è ancora ben definita.

informazioni, che da oltre vent’anni continua a rappresentare un punto fisso nel mondo dell’Information Management, un appuntamento che ogni anno si rinnova e costituisce un’importante occasione in cui gli esponenti del settore si ritrovano per dare vita a nuovi affari, condividere esperienze e arricchire la propria formazione. L’ultima edizione, tenutasi a Milano il 5 e 6 aprile scorsi, non ha fatto eccezione, superando la soglia delle 1.000 presenze complessive e facendo registrare ottimi indici di gradimento, come è emerso nei questionari post evento. Gran parte del merito va senza dubbio attribuito alla qualità del programma scientifico, da anni indiscutibilmente al top nel panorama nazionale. Tra le

sessioni di convegno che hanno ottenuto i maggiori consensi, ricordiamo: la sessione plenaria di apertura, I DATI DIGITALI: L’ENERGIA VITALE PER LO SVILUPPO DEL PAESE e la tavola rotonda conclusiva, di cui trovate un approfondito resoconto a pag XX il convegno I FLUSSI DOCUMENTALI DIGITALI? USALI CON INTELLIGENZA, con la partecipazione di Atle Skjekkeland, vice presidente di AIIM, protagonista di un intervento tanto interessante quanto coinvolgente DALLA CONSERVAZIONE SOSTITUTIVA ALLA FATTURAZIONE ELETTRONICA E OLTRE, a pieno titolo uno dei cavalli di battaglia di OMAT

Insomma, il periodo non è dei più semplici nemmeno per uno dei settori che hanno resistito meglio alla crisi economica degli ultimi anni: come emerge dalla più recente ricerca realizzata da ASSINFORM (disponibile sul sito www.omat360.it), l’interesse da parte delle aziende nell’impiego dei contenuti digitali continua a crescere in modo significativo (ci stupiremmo del contrario) nonostante i tagli e le ristrettezze dei bilanci degli ultimi anni. Tuttavia, in mezzo a tante trasformazioni, qualche punto di riferimento continua ad esserci. Parliamo di OMAT, la principale mostra convegno italiana dedicata alla gestione elettronica di documenti e iged.it 02.2011

Eventi_Omat_h.indd 1

63 23/06/11 19.22

Per quanto riguarda invece l’area espositiva, è stata apprezzata l’interattività in alcuni stand: in particolare l’idea da parte di un espositore di offrire il coffee break, consentendo così di discutere con i partecipanti in modo informale e semplice di tematiche complesse. Due intensi giorni di lavoro, animati da un’ottima affluenza alle sale convegno e da un rilevante traffico nell’area expo, confermano una formula collaudata e vincente per un evento che ricopre stabilmente un ruolo di primo piano per il settore dell’Information Management italiano. Tuttavia, sarebbe impensabile che in mezzo a tutti i cambiamenti di cui parlavamo poco fa, proprio OMAT rimanesse uguale a se stesso. Anche l’evento sta infatti attraversando un momento di transizione, un processo evolutivo che va nella direzione di una sempre maggiore interazione con il proprio pubblico e di una relazione che non si esaurisca nei due giorni della manifestazione, ma che continui stabilmente durante l’anno. Molte iniziative lanciate quest’anno vanno proprio intese in questo senso, prime tra tutte la OMAT directory

(www.omat360.it/directory), il primo database dedicato alle aziende del settore, liberamente consultabile online, e il nuovo servizio 1to1 che verrà presto presentato ufficialmente. Ora l’organizzazione è già al lavoro in vista della prossima edizione di OMAT, in programma a Roma il 9 e 10 novembre presso il Crowne Plaza St. Peter’s in via Aurelia Antica. Diverse aziende hanno già confermato la propria partecipazione: le trovate nella seconda parte di questo articolo. Tra gli argomenti che saranno discussi in sede di convegno, in aggiunta ai tradizionali temi della dematerializzazione, conservazione nel lungo periodo e le normative relative, troviamo: interoperabilità dei sistemi, business analytics, Cloud e ricerca semantica. Per maggiori informazioni, il sito internet è www.omat360.it/rm11. Come sempre, grazie al contributo di espositori, sponsor e partner, l’ingresso è gratuito previa iscrizione. Certe cose, per fortuna, non cambiano mai.

ARXIVAR (ABLE TECH) Able Tech Srl è una società di sviluppo software e di servizi informatici specializzata nel document & business process management, che sviluppa e commercializza ARXivar. ABLE TECH Srl è da oltre nove anni presente sul mercato italiano del software per la Gestione Documentale di cui ha seguito e contribuito a tracciare gli sviluppi verso le più moderne tendenze del Business Process Management e le più recenti normative sulla Conservazione Sostitutiva. È un’azienda di sviluppo software focalizzata sulle problematiche di Business Process Management (BPM): document e content management, workflow e process management, archiviazione ottica e conservazione sostitutiva. È produttore di ARXivar, la soluzione di BPM facile, completa, italiana. ARXivar può annoverare oltre 700 clienti, con oltre 15.000 postazioni di lavoro attive, circa 120 Software Partner, un laboratorio di ricerca e sviluppo; una rete di vendita, assistenza e consulenza capillarmente diffusa in tutta Italia per servire al meglio i

“La prima edizione di OMAT, che ci ha visto presenti con il nostro stand e come relatori, ci ha soddisfatti sia per la attiva partecipazione dei numerosi visitatori, sia per il notevole profilo dei temi trattati duranti i convegni. Ci auguriamo sia la prima di una lunga serie di esperienze così interessanti.” Eleonora Guidi Marketing & Comunicazione, Indicom

64 Eventi_Omat_h.indd 2

iged.it 02.2011

23/06/11 19.23

clienti. Il ‘go to market’ della società è fondamentalmente sul Business Partner, quasi essenzialmente Rivenditori Autorizzati, ma Able Tech segue anche direttamente un certo numero di clienti. Ha sviluppato competenze che le consentono di mettere in funzione sistemi complessi, basati su tecnologia client/server o web, e che gestiscono processi di Workflow complessi e di Conservazione Ottica Sostitutiva.

CANON Canon, multinazionale con un fatturato di circa 4.000 miliardi di Yen (circa 27 Miliardi di €), è tra le aziende leader nel mondo nel settore del digital imaging. Fondata a Tokio nel 1937 per la produzione di macchine fotografiche, è cresciuta ben presto in campi tra cui le soluzioni di gestione documentale, la stampa professionale, i dispositivi foto e video digitali e i prodotti industriali elettromedicali e di produzione dei semiconduttori. Il gruppo – attualmente presente in più di 50 Paesi con oltre 131.000 dipendenti, 59 impianti di produzione, oltre 200 consociate e unità commerciali in Asia, in Europa e nelle Americhe – basa la propria missione sul Kyosei, un concetto guida che promuove la comprensione e l’armonia fra gli individui, la società e l’ambiente. Presente in Italia dal 1972, conta nel nostro paese circa 500 dipendenti nelle sedi di Milano e Roma. Canon fornisce al mercato professionale soluzioni complete e integrate per tutte le esigenze di gestione delle informazioni e delle immagini. Al mercato consumer offre una serie di prodotti di altissima qualità nell’ambito del digital imaging.

COSMIC BLUE TEAM Cosmic Blue Team S.p.A. è uno dei più importanti operatori dell’Information & Communication Technology

in Italia ed è a capo dell’omonimo gruppo di Aziende, specializzate nella progettazione e realizzazione di servizi e soluzioni ad alto contenuto tecnologico. CBT coordina una rete di oltre 100 Aziende, con oltre 3.000 professionisti – il CBT Network – e ne promuove le sinergie sia sul piano tecnico che su quello commerciale. Il CBT Network costituisce il più importante network italiano di Aziende IT, specializzate nei servizi applicativi, con particolare riferimento ai sistemi gestionali. Il Gruppo si avvale di oltre 250 collaboratori: professionisti qualificati che contribuiscono ogni giorno allo sviluppo ed al successo dell’azienda. Nel 2010 il fatturato consolidato si è attestato intorno ai 53 milioni di Euro con un EBITDA di circa 6,5 milioni di Euro. È presente su tutto il territorio nazionale, con sedi operative nelle principali città italiane: Roma, Milano, Venezia, Torino, Novara, Bologna e Cagliari. CBT opera tramite due Business Unit: Services & Technologies e Applications, e rappresenta un partner importante per tutte le Organizzazioni, sia Pubbliche sia Private, che intendono aumentare l’efficacia della propria struttura organizzativa attraverso l’uso di tecnologie informatiche d’avanguardia.

EPSON Epson Italia è fornitore leader di prodotti Digital Imaging per la casa, l’ufficio e i professionisti. La nostra offerta si concentra sulle soluzioni per la gestione documentale, con lo scanner GT-S80 e il multifunzione laser in bianco e nero AcuLaser MX20DN. GT-S80N è lo scanner con alimentazione frontale, ideale per acquisire ad alta velocità ogni formato di documento, anche ad alto spessore, tipo tessere o biglietti da visita.

Grazie al software Epson Event Manager in dotazione, è possibile creare e integrare facilmente qualsiasi tipologia di scansione (Scan to PDF, Scan to Email, Scan to FTP) in un sistema documentale. I driver TWAIN e ISIS, inoltre, garantiscono la piena compatibilità con tutti gli applicativi di gestione documentale. AcuLaser MX20DN è dotato di funzioni di stampa, scansione e copia, e anche fax nella versione MX20DNF. Offre di serie l’unità duplex per la stampa fronte/retro e l’interfaccia di rete. La cartuccia toner ha una capacità di 8.000 pagine, rendendolo la soluzione ideale per la stampa di elevati volumi di documenti in bianco e nero destinati all’archiviazione. È dotato della certificazione Energy Star e rientra nel programma Return&Recycle per la restituzione delle cartucce toner esauste.

ITAGILE ItAgile è una società nata per rispondere alla domanda crescente di soluzioni agili, innovative e realmente utilizzabili per il documento digitale. La firma digitale, elemento cardine per un vero superamento dell’uso della carta nei processi aziendali e nei procedimenti amministrativi, il fascicolo digitale e la conservazione a lungo termine dei documenti digitali: questi sono i temi su cui si focalizza l’attività dei professionisti che hanno dato vita ad ItAgile. Professionisti con esperienza pluridecennale nel settore della gestione documentale selezionano ed offrono ai clienti di ItAgile i migliori prodotti disponibili, prodotti che risolvono elementi chiave del processo di dematerializzazione. In particolare ItAgile è distributore in esclusiva per l’Italia della soluzione di firma digitale CoSign (www.cosign.it), il miglior prodotto di firma digitale oggi disponibile nel mondo per completezza di funzioni, semplicità di funzionamento e capacità di integrazione. iged.it 02.2011

Eventi_Omat_h.indd 3

65 23/06/11 19.23

KODAK Kodak fornisce ai propri clienti una soluzione per l’acquisizione e l’utilizzo di informazioni importanti da documenti elettronici e cartacei. La divisione DOCUMENT IMAGING di KODAK, che fa parte della divisione mondiale Business Solutions & Services, è formata da tre segmenti: Capture, Imagelink e Service & Support. Il Segmento CAPTURE, tramite una rete di distribuzione e di rivendita, fornisce scanner per documenti ad alta, media e bassa produttività giornaliera, in bianco/nero, livelli di grigio e colore. Sono macchine con velocità da 20 fino a 200 pagine al minuto in fronte/ retro (da 80 fino a 800 immagini al minuto in modalità doppia uscita e fronte/retro). Si tratta di scanner di fascia personal (ScanMate i1120), workgroup (i30/i40, la Serie i1200 Plus e la nuovissima Serie i2000), di scanner di rete (la Scan Station 500), di fascia dipartimentale (la Serie i1300 Plus, i1405 e Sidekick 1400u e la nuovissima Serie i2000), di fascia bassa (la Serie i1400 e la Serie i4000), di fascia media (la Serie i700 e Ngenuity 9000) e di fascia alta (la Serie i1800 e la nuovissima Serie i5000). Kodak fornisce anche un potente software applicativo di cattura, Capture Pro, ora persino nella versione Network Edition per pilotare non solo i propri scanner, ma anche una vasta lista di modelli concorrenti. Il segmento IMAGELINK fornisce apparecchiature e materiali microfilm, dispositivi di scrittura di informazioni digitali su pellicola microfilm, scanner da microfilm. Kodak offre sul mercato anche scanner Zeutschel di grande formato per mappe, documenti rilegati e libri dove la risoluzione e la qualità dell’immagine sono fattori importanti. Il segmento SERVICE & SUPPORT, presente con il proprio personale su tutto il territorio nazionale oltre che su i prodotti Kodak, fornisce assistenza tecnica hardware e software su scan-

66 Eventi_Omat_h.indd 4

ner, librerie ottiche e nastri di tutte le marche. Inoltre eroga servizi professionali nell’ambito della migrazione e della conversione multistandard di dati e di immagini.

OLIVETTI Olivetti opera nel mercato ICT come Solution Provider con un offerta hardware arricchita da servizi software innovativi integrati rivolti al mondo business. Olivetti opera nel mercato ICT come Solution Provider con un offerta hardware arricchita con servizi software innovativi integrati rivolti al mondo business. Il portfolio prodotti comprende una nuova gamma di netbook e notebook, sistemi multifunzione digitali, prodotti ink jet, terminali specializzati oltre ad un offerta SW di protezione per il PC e i dati, l’Hub Documentale e Olischool, la soluzione verticale per il mondo scolastico. Anche grazie alla sinergia con Telecom Italia, Olivetti propone soluzioni “chiavi in mano”, in grado di automatizzare i processi e le attività aziendali in particolare per la PMI, il Retail e le Grandi Aziende. Olivetti vanta una presenza commerciale in oltre 50 paesi al mondo, prevalentemente in Europa, nel Far East e in America Latina.

RECOGNIFORM TECHNOLOGIES Recogniform Technologies SpA è l’azienda italiana leader nello sviluppo software ad alto contenuto tecnologico in ambito lettura ottica ed elaborazione immagini. La gamma di prodotti include SDKs (software development kits) per sviluppatori o integratori di sistemi e soluzioni software personalizzabili ready-to-use per utenti finali e aziende di servizi. L’azienda è specializzata nelle tecnologie ICR, OCR, OCR-

A/B, MICR E13B/CMC7, BCR, OMR, CHR, Elaborazione immagini, Thresholding dinamico, Analisi della pagina, Identificazione moduli. Sul fronte data-capture, fiore all’occhiello è il software Recogniform Reader, la soluzione completa per la lettura ottica di modulistica sia strutturata (questionari, ricette, cartoline registrazione, etc…) sia non strutturata mediante tecnologia Free-Form (fatture passive, ddt, etc…): consente di processare un numero illimitato di documenti, senza vincoli in termini di velocità dei motori di riconoscimento e beneficiando di un’interessante politica di licensing che consente l‘installazione di un numero illimitato di postazioni di acquisizione, correzione ed output. Sul fronte elaborazione immagini, Recogniform Image Processor è la soluzione ideale per l’elaborazione batch di immagini: grazie alle centinaia di funzioni ed al pratico e flessibile approccio via script, consente di processare in modalità batch immagini monocromatiche, in scala di grigi e a colori, correggendone i difetti di scansione ed effettuando un controllo qualità automatico. Recogniform Technologies SpA è attiva in oltre 20 Paesi nel mondo (direttamente o tramite distributori/ rivenditori) con importanti progetti per società industriali e di servizi, istituzioni governative e universitarie, centri di ricerca scientifica e tecnologica.

STEFANO FORESTI

Marketing communication, ITER

iged.it 02.2011

23/06/11 19.23

Preoccupati per le nuove tecnologie? Non è necessario.

Gli scanner Kodak sono rinomati per la gestione della carta, la qualità dell‘immagine, l‘affidabilità e la semplicità di utilizzo. La nostra grande famiglia include gli scanner per documenti, il software e il servizio di assistenza necessari per soddisfare le vostre esigenze aziendali. Non rimarrete delusi. Per ulteriori informazioni: www.kodak.com/go/di www.kodak.com/go/pro

Eventi_Omat_h.indd 5 Ad-family-technologies-2-IT-IGED-210x280.indd 1

24/06/11 25.05.11 11.36 11:20

Eventi_Omat_h.indd 6 Agende07F.indd 22 20 omat12classic.indd

24/06/11 11.36 04/11/1018:33:12 12.44 24-03-2009