GESTIONE DELLE INFORMAZIONI DIGITALI
ISSN 1720-6618
SPECIALE Il contrassegno elettronico
APPROFONDIMENTI La firma elettronica
SCENARI La nuova frontiera della PA digitale
EVENTI Le novitĂ di OMAT Roma
In collaborazione con: DCOOS3286 LO/0690/2008
Anno XX - Quarto trimestre 2011 01_06_h_NEW.indd 1
Milano, 27 e 28 marzo 2012 Atahotel Executive, viale don Luigi Sturzo 45
30/01/12 13.00
La rivoluzione digitale prende forma.
I dati digitali, l’energia della tua azienda.
Milano, 27 e 28 marzo 2012 Atahotel Executive, viale don Luigi Sturzo 45
Tutto è informazione. Ne siamo circondati in ogni momento della nostra vita, professionale e privata. Le nuove tecnologie hanno abbattuto i confini della comunicazione e la nostra identità online non è più separabile da quella fisica. Nel business, la capacità di governare questa esplosione di dati segna la differenza tra chi cavalca la rivoluzione digitale in atto e chi la insegue. Dal 1990, OMAT è la più importante mostra convegno italiana dedicata alla gestione elettronica di documenti, contenuti e processi aziendali, una preziosa occasione per interagire con i protagonisti dell’information management e affrontare il mercato in modo sicuro, intelligente e vincente. Tutto è informazione. L’informazione è tutto.
Ingresso gratuito previa iscrizione su www.omat360.it/mi12 Omat2012_210x280.indd 5
26/01/12 18:24
01_06_h.indd 3
26/01/12 16.52
EDITORIALE 04-2011
2012, Editore
ITER srl www.iter.it
UNA BELLA SFIDA
Direttore Responsabile
Domenico Piazza
Cara Lettrice, gentile Lettore,
Direttore Contenuti
Vincenzo Gambetta A questo numero hanno collaborato:
Stefano Arbìa, Maurizio Arata, Daniela Depalo, Roberto de Prà, Sandro Fontana, Nicolò Formenti, Vincenzo Gambetta, Luca Gargiulo, Remo Gozzi, Andrea Lisi, Giovanni Manca, Carlo Maria Medaglia, Marco Polsi, Giovanni Procaccino, Francesco Pucino, Enza Truzzolillo Responsabile segreteria di Redazione
Petra Invernizzi Redazione
iged.it
Via Rovetta, 18 20127 Milano TEL: +39 02.28.31.16.1 FAX: +39 02.28.31.16.66
iged@iter.it www.iter.it/iged.htm Progetto Grafico
housegrafik info@housegrafik.com www.housegrafik.com Stampa
Ingraph Srl Seregno (MI)
Autorizzazione del Tribunale di Milano n. 157 del 7 marzo 1992. La tiratura di questo numero è di N. 10.000 copie. Pubblicità inferiore al 45%. Non si restituiscono testi e materiali illustrativi non espressamente richiesti. Riproduzione, anche parziale, vietata senza autorizzazione scritta dell’Editore. L’elaborazione dei testi, anche se curata con scrupolosa attenzione, non può comportare specifiche responsabilità per eventuali involontari errori o inesattezze. Ogni articolo firmato esprime esclusivamente il pensiero di chi lo firma e pertanto ne impegna la responsabilità personale. Le opinioni e più in genere quanto espresso dai singoli autori non comporta alcuna responsabilità per l’Editore.
questo numero conclude l’anno 2011: un anno non facile che ha visto il cambiamento della compagine governativa, un forte ridimensionamento della borsa, l’esplosione dello spread ma anche l’avvicinarsi alla conclusione di molte iniziative legate al documento digitale. Nelle pagine che seguono trova numerosi e interessanti articoli al riguardo. La sensazione è che i primi mesi del 2012 ci porteranno una serie di norme molto importanti per proseguire sul cammino della digitalizzazione (non diciamo “iter” della digitalizzazione ma ... pensiamolo pure); non a caso la prossima edizione di OMAT Milano si tiene alla fine di marzo (27 e 28) e mai come questa volta rappresenta un appuntamento da non perdere. Anno di sfide dunque: euro contro dollaro, default e recessione italiana contro ripresa, toro contro orso in borsa, innovazione contro immobilità... Le previsioni sono piuttosto negative, alcune anche fortemente pessimistiche; consentite invece a questa redazione - che ha già visto forti contrazioni in tutti i settori di mercato - di essere sentimentalmente ottimista. Non abbiamo simulazioni positive, men che meno notizie riservate, ma siamo comunque fiduciosi che il 2012 si chiuderà in modo abbastanza positivo per tutti, e per il settore dell’information management digitale meglio del previsto. Da parte nostra, ci siamo già attivati per garantire a questa rivista avrà una diffusione ancor più capillare: oltre alla classica edizione cartacea, riservata agli abbonati, verrà potenziata la diffusione online tramite il portale www. omat360.it. Inoltre, la prossima edizione di OMAT, alla quale abbiamo accennato poco fa, prevede una serie di novità particolarmente interessanti, delle quali la aggiorneremo sul prossimo numero e tramite il sito www. omat360.it/mi12. A tutti un grande “in bocca al lupo” per la sfida del 2012 Domenico Piazza direttore responsabile
04 iged.it 04.2011 01_06_h.indd 4
27/01/12 11.35
FOCUS
SCENARI
Il Tempo della PEC
Internet of things
06
È il momento adatto per fare alcune considerazioni sulla Posta Elettronica Certificata SPECIALE
11
16
55
Alcune considerazioni sulla “Verifica Automatica”
19
Il Timbro Digitale
Quando la firma digitale incontra la carta
OMAT ROMA 2011 TAVOLA ROTONDA
ANORC INFORMA
33
Responsabile interno ed esterno della conservazione digitale dei documenti: accreditamento, certificazione di processi e deleghe nel “nuovo” Codice della amministrazione digitale APPROFONDIMENTI
36
Come funziona la firma grafometrica?
Uno sguardo alle funzionalità della firma grafometrica, per conoscerla meglio e per usarla senza problemi, ma anche con la giusta consapevolezza dei pregi e dei difetti
40
Le emanande regole tecniche sulla firma elettronica e i tablet di firma
La Firma Elettronica Avanzata cosa è, come e quando la si può realizzare, quali le implicazioni?
42
La storia infinita dei dispositivi sicuri per la generazione delle firme STEFANO ARBÌA
Ufficio Standard, Architetture e Metodologie, DigitPA Articolo a pagina 40
ESPERIENZE
57
La PEC: molti obblighi … e tante opportunità!
59
Tra presente e futuro: la rivoluzione digitale nelle imprese e nella PA
Professore aggregato di “Interazione Uomo-Macchina” presso il Dipartimento di Informatica e Sitemistica della Facoltà di ICT “Sapienza” Università di Roma. Coordinatore Scientifico delle attività di ricerca dei laboratori del CATTID Articolo a pagina 51
Competenze e tecnologie come motore della reazione alla crisi in corso
EVENTI
28
CARLO MARIA MEDAGLIA
ICT a supporto dello sviluppo della PA
Il punto di vista di LAND
Il Contrassegno elettronico
Vice Responsabile Tecnico PA Digitale Articolo a pagina 16
Pervasività e complessità
Top Consult e ACI Informatica lanciano nuovi servizi, indirizzati ad imprese e PA, per la gestione e la conservazione sostitutiva della Posta Elettronica Certificata
24
NICOLÒ FORMENTI
51
La nuova frontiera della PA digitale
Codici a barre bidimensionali ed il cosiddetto Contrassegno Elettronico
REMO GOZZI
Aspettando la prossima disruptive innovation attraverso il contributo informativo apportato dagli oggetti in rete
Il Contrassegno generato elettronicamente Storia, esigenze, applicazioni
Business Development Mgr Public Sector HP Enterprise Services Articolo a pagina 11
46
Una maggior attenzione e coinvolgimento da parte di tutti avrebbe, forse, consentito di evitare tutti i problemi che si sono generati e di approfondire meglio le situazioni che si è cercato di affrontare
Sfruttare i colori
Effettuare scansioni a colori di moduli e documenti può risultare molto utile anche se occorre memorizzare o processare solo immagini monocromatiche MERCATO
61
La scelta di uno scanner
Nella gestione dei documenti aziendali, le caratteristiche dello scanner si dimostrano discriminanti non solo nella scelta del prodotto stesso, ma anche nella creazione del processo di digitalizzazione
62
La gestione documentale in ambito sanitario La soluzione Epson per la gestione degli uffici front-office
63
Gestire energie rinnovabili con soluzioni software innovative Case history Geatecno DALLE AZIENDE
65
La gestione dei flussi delle informazioni di AIM Fulmedia NOVITÀ NORMATIVE
66
Fatturazione Elettronica Certificati emessi dalle Pubbliche Amministrazioni
iged.it 04.2011
01_06_h.indd 5
05 27/01/12 11.28
focus
Il Tempo della PEC È il momento adatto per fare alcune considerazioni sulla Posta Elettronica Certificata AUTORE
VINCENZO GAMBETTA
INTRODUZIONE La posta elettronica è uno strumento largamente utilizzato non solo nelle comunicazioni interpersonali, ma soprattutto nelle comunicazioni di business e nella trasmissione di file e documenti di qualunque tipo ed importanza. La posta elettronica tradizionale, così come impiegata, ha però tutta una serie di “limitazioni” che sono particolarmente evidenti quando la si utilizza per scambi formali di informazioni. Il problema si può schematicamente sintetizzare nei due punti seguenti: dare sostanza probatoria al documento che la mail trasmette (sia esso allegato o insito nel testo della stessa); attribuire valore giuridico al sistema di trasmissione (attribuzione certa dell’invio e della ricezione).
Al primo problema la soluzione (che consente, con la sottoscrizione digitale/elettronica di un documento informatico, di attribuire ad esso la stessa efficacia probatoria di un testo sottoscritto con firma autografa) è stata data dalla normativa che ha origine con il comma 2 dell’articolo 15 della legge 59/1997 (la famosa Bassanini 1) e che trova la sua forma attuale nel Codice dell’amministrazione digitale. È con l’introduzione della Posta Elettronica Certificata, poi, che si da soluzione al secondo dei problemi sopra evidenziati; l’articolo 4 al comma 1 del DPR n 68 del 2005 stabilisce, infatti, che: “La posta elettronica certificata consente l’invio di messaggi la cui trasmissione è valida a tutti gli effetti di legge”. Ecco perché la disponibilità, da parte di imprese, professionisti, pubbliche
amministrazioni e semplici cittadini di uno strumento (una casella di Posta Elettronica Certificata) che consenta di rendere opponibile a terzi la data e l’ora di trasmissione e ricezione di un documento informatico riveste una grande importanza per lo sviluppo della digitalizzazione nel nostro Paese. Obiettivo di questo articolo è, quindi, quello di fare il punto sulla diffusione della disponibilità dello strumento, sui possibili vantaggi, sulle implicazioni conseguenti il suo impiego e su cosa stanno facendo o possono fare il modo del business (aziende e professionisti) e la pubblica amministrazione per non perdere questa occasione di innovazione ed efficienza. DIMENSIONI E PROSPETTIVE Per quanto riguarda le pubbliche amministrazioni1, in forza del citato
In figura Tipi di Azienda
06 iged.it 04.2011 06-10_h.indd 2
26/01/12 16.54
Decreto, esse avrebbero dovuto istituire una casella di PEC per ogni registro di protocollo e darne comunicazione a CNIPA/DigitPA; per inciso, le amministrazioni centrali lo avrebbero già dovuto fare entro otto mesi dal primo gennaio 2006, data di entrata in vigore del Codice dell’amministrazione digitale (art. 47, c. 3, lettera a). I professionisti iscritti in albi ed elenchi istituiti con leggi dello Stato avrebbero già dovuto adempiere all’obbligo di dotarsi di una casella PEC a decorrere dal 29 novembre del 2008. Di questi si stima che poco più della metà dei 2 milioni di soggetti interessati lo abbia fatto. Per le imprese costituite in forma societaria, quelle di nuova costituzione hanno l’obbligo di dotarsi di una casella di PEC sin dal momento di entrata in vigore del citato decreto. Per le altre il termine scadeva il 29 novembre del 2011. L’indirizzo PEC deve essere comunicato al Registro delle Imprese che ha l’obbligo di renderlo consultabile a chi ne abbia bisogno. Le società obbligate alla comunicazione in questione (come specificato dalla Circolare n.3645/c del Ministero dello Sviluppo Economico) sono poco meno di 2.700.000 e specificatamente sono le società: di capitali e di persone, cooperative, in liquidazione ed estere che hanno in Italia una o più sedi secondarie. Come c’era purtroppo da aspettarsi, per adeguarsi a tale prescrizione, si sono attesi gli ultimi giorni utili con il risultato di un eccessivo sovraccarico per le Camere di Commercio. Nei primi 20 giorni di novembre si stima siano pervenute circa 10.000 comunicazioni al giorno, comunicazioni che hanno superato le 500.000 nell’ultima settimana utile, con un picco di oltre 151.000 pratiche il giorno 25 novembre. Sulla base di questo sovraccarico per gli operatori camerali, originato dal boom di richieste pervenute “sul filo di lana”, il 25 novembre il Ministero dello Sviluppo Economico ha emanato
la Lettera circolare n. 0224402 nella quale si invitano le Camere di Commercio a non applicare, almeno fino al 31 dicembre 2011, la sanzione 2, da 103 a 1.032 Euro, prevista per le società che non comunicano il proprio indirizzo di posta elettronica certificata al Registro delle Imprese entro la prevista scadenza
del 29 novembre. Alla data della scadenza di legge le comunicazioni di indirizzi PEC pervenute al Registro delle Imprese erano dell’ordine del 45% circa delle aziende costituite in forma societaria. La “concessione” di cui sopra ha consentito di mettere in regola un ulteriore iged.it 04.2011
06-10_h.indd 3
07 26/01/12 16.54
significativo numero di imprese che a fine 2011 ha superato il milione 987mila, corrispondente ad oltre il 75% delle aziende chiamate in causa. Dato che va ben oltre la stima relativa all’adesione dei professionisti. Le percentuali, illustrate nella tabella 1, sono state ottenute sulla base di un valore (leggermente sovrastimato di qualche decina di migliaia di unità) del numero di società obbligate alla comunicazione dell’indirizzo PEC di 2.662.068. Un primo sommario sguardo alla tabella mostra come oltre il 50% delle province ha raggiunto un tasso di comunicazione superiore, od eguale, all’80% (con in testa, nell’ordine, Bolzano, Fermo, Pesaro e Urbino, Pordenone, Aosta, Bergamo, Asti, Macerata e Prato). Di contro le città dove hanno sede un numero maggiore di società (Roma, Milano e Napoli) hanno fatto registrare un tasso di comunicazione inferiore al 70%; anche la risposta di Torino non ha brillato. In conclusione, però, si può affermare che l’operazione abbia avuto un discreto successo, consentendo di portare il numero totale di caselle PEC attive ad un valore (4.600.000 circa) che fa ben sperare in un progressivo e produttivo impiego dello strumento. Queste caselle si possono pensare così suddivise: 1.900.000 di aziende, 1.200.000 di professionisti e 1.500.000 facenti capo a singoli cittadini e pubbliche amministrazioni (tra queste si stima ci siano poco più di 600mila caselle di PostaCertificat@). Per tentare di capire il loro reale peso proviamo, sulla base dei dati disponibili, ancorché non del tutto omogenei, a fare il seguente ragionamento. Il numero stimato di caselle email in Italia era (2010) di 62 milioni, facenti capo ad un numero di utenti singoli dell’ordine di 25 milioni 3. Si vede, dunque, che il numero di caselle PEC rappresenta qualcosa di più del 18% di quello degli utenti singoli. Visto, poi che l’impiego naturale della PEC è fondamentalmente indirizzato a rapporti di business, o comunque formali, può avere senso rapportare il numero di caselle PEC al numero di account attribuibili al business ottenendo
così un valore superiore al 30%. Queste due percentuali, indipendentemente da come sono state calcolate non sono irrilevanti e rappresentano un buona piattaforma di lancio per il decollo definitivo della PEC. Elencando velocemente i vantaggi arrecati dalla Posta Elettronica Certificata si può ricordare che non solo sostituisce, banalmente, l’impiego della raccomandata con AR, con indubbi e facilmente quantificabili vantaggi in termini di costi 4 e di tempo (vuoi relativamente alla durata del processo di comunicazione, vuoi in termini operativi); essa consente, inoltre, di realizzare un flusso comunicativo digitale completamente sicuro ed opponibile a terzi sia in termini di certificazione della spedizione e del ricevimento, sia del contenuto oggetto della trasmissione medesima. Quest’ultima caratteristica ne fa una “piattaforma” sulla quale realizzare utili applicazioni in svariati processi legali, amministrativi ed operativi. Di fatto qualunque processo che preveda, o possa essere trasformato in, un trasferimento “controllato” e “controllabile” di informazioni in formato digitale può essere realizzato tramite Posta Elettronica Certificata. La PEC, quindi, può risultare molto vantaggiosa quando non sono operativi, o appare costoso e complesso realizzare, altri canali comunicativi affidabili: ciò è particolarmente vero in un sistema produttivo fatto da piccole e micro imprese come il nostro. Se, poi, alle caratteristiche di impiego della PEC ed alla sua versatilità si associa la sottoscrizione con firma digitale o firma elettronica qualificata si può disporre di comunicazioni ufficiali, oltre che più semplici, con la garanzia della piena efficacia probatoria della posizione assunta. È, però, altresì vero che la PEC è un sistema giovane i cui vantaggi e le cui implicazioni non sono ancora ben percepiti; è anche vero che è un sistema chiuso (l’efficacia si realizza solo tra appartenenti al sistema) ed è altrettanto vero che per il momento il sistema si limita a far dialogare soggetti all’interno dei confini nazionali con, per di più, limitazioni sempre meno comprensibili stabilite per legge 5.
Sia pure nei limiti dei vincoli illustrati, vi sono tutti gli elementi per ritenere che, con il progressivo adattamento al digitale della nostra cultura, la Posta Elettronica Certificata, ancorché non si veda ancora una qual forma di “killer application”, assumerà sempre maggiore importanza nelle attività quotidiane di aziende, amministrazioni, professionisti e … persone: vanno in questo senso anche le iniziative normative, la volontà politica e la diffusione delle utenze. Raggiunta una certa massa critica di caselle PEC per pubbliche amministrazioni, aziende e professionisti, resterebbe fuori il singolo individuo per il quale è più difficile individuare sufficienti motivazioni e vantaggi per dotarsi di una casella di PEC. Anche la PostaCertificat@ - in assenza della possibilità di un suo impiego al di fuori del dialogo cittadino pubblica amministrazione e viceversa - non spinge nella direzione della diffusione del suo impiego. In direzione opposta, di contro, agisce l’obbligo di adozione diffusa dello strumento in questione per tutte le pubbliche amministrazioni e il suo impiego sempre più diffuso, sia nelle comunicazioni tra pubbliche amministrazioni sia, soprattutto, nel dialogo con i cittadini non solo per gli obblighi a cui questi devono fare fronte, ma soprattutto per migliorare e rendere più accessibili i servizi offerti. Si può ragionevolmente sperare in una revisione critica dei principi che regolano la PostaCertificat@ e sulla “forza d’urto” che la pubblica amministrazione rappresenta nei comportamenti di tutti i soggetti di una nazione.
08 iged.it 04.2011 06-10_h.indd 4
26/01/12 16.54
© Kodak, 2011. Kodak is a trademark.
Provate a fare un salto di qualità. Tra tutti i modi per aumentare l’efficienza, pochi sono intuitivi come gli scanner Kodak serie i2000. L’illuminazione a doppio LED e le nuove prestazioni di imaging Perfect Page garantiscono il flusso delle informazioni e la continuità della produzione aziendale. In questo modo il lavoro diventa più stimolante. Scoprite come la vostra azienda possa fare un salto di qualità al sito Web kodak.com/go/i2000 Per ulteriori informazioni contattare i numeri 02-66028.338 / 06-88172.232 o scrivere a : it-di@kodak.com
Ad-i2000-IT-210x280.indd 1
11.07.11 15:31
CONSEGUENZE GESTIONALI Il problema della gestione delle email nasce con l’utilizzo diffuso dello strumento (anni ’90) e, data la complessità e la novità dello strumento, ha sempre rappresentato un problema “praticamente” insormontabile. Basti pensare alla struttura delle email stesse, formate dal messaggio e dai sui allegati, alle infinite possibilità di indirizzamento e successivo inoltro, alla contemporanea presenza di messaggi legati ai processi di business o amministrativi, a quelli non rilevanti a tali fini (pubblicità, promozioni, newsletter,…), a quelli di carattere personale, a quelli genericamente catalogati come spam. Senza minimamente pensare alle conseguenze di tipo sindacale e relative alla privacy. Dato il loro impiego in ogni attività ad esse, con sempre maggior frequenza, è stato riconosciuto valore probatorio ed è risultato sempre più importante conservare la connessione esistente tra i messaggi per ricostruire il succedersi degli eventi nonché i processi decisionali. Risulta pertanto evidente, quanto molto complessa, l’esigenza di una corretta gestione dei messaggi di posta elettronica, comprensiva dei suoi eventuali allegati. Ne discende l’esigenza di una gestione organica del patrimonio informativo, commerciale, giuridico e fiscale dell’immenso contenuto informativo dei messaggi di posta elettronica. Va da se che questa gestione dovrebbe (deve) essere integrata con il sistema strutturato di gestione dei documenti informatici di una qualunque organizzazione, compresa l’ottemperanza agli obblighi di conservazione a norma di legge. È fondamentale a tal fine, all’interno di una qualunque organizzazione, poter separare i messaggi rilevanti ai fini della tenuta e della conservazione da quelli che possono essere trascurati. È, altresì, essenziale individuare i collegamenti tra gli stessi ed i processi (interni o esterni) dei quali fanno parte. Purtroppo, data la mole dei messaggi in questione, la loro gestione è lasciata principalmente alla discrezionalità dei singoli mentre si dovrebbe basare su
una corretta, quanto complessa, regolamentazione aziendale. Non è certo questa la sede in cui si può risolvere nè impostare il problema. L’obiettivo era solo quello di portare il problema in evidenza. Resta il fatto che i messaggi di posta elettronica sono, a tutti gli effetti, corrispondenza e, pertanto, possono avere un contenuto rilevante dal unto di vista commerciale e giuridico. Come tali devono essere opportunamente conservati (articolo 2214 del Codice civile) nono solo per un periodo di 10 anni (articolo 2220 del Codice civile), ma “fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo di imposta” (articolo 22 del DPR 600/1973). Se, poi, qualcuno avesse ancora dubbi circa il fatto che un messaggio di posta elettronica rappresenti un documento informatico (la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti) con tutte le conseguenze probatorie e di gestione del caso, vale la pena di ricordare che a togliere ogni dubbio, se mai ci fosse stato, ci pensano le emanande “Regole tecniche in materia di formazione, trasmissione, conservazione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, …” già diffuse da DigitPA che prevedendo esplicitamente la formazione di un documento informatico tramite la sua “acquisizione per via telematica” Una corretta gestione è richiesta a maggior ragione nel caso della PEC trattandosi di uno strumento che consente di definire una comunicazione sicura ed opponibile a terzi con il conseguente tracciamento della spedizione e della ricezione (Ricevute di Accettazione, Avvenuta consegna e Presa in carico, Avvisi di Non accettazione e Mancata consegna). Date le finalità per le quali essa è stata pensata è anche indispensabile una corretta gestione dei contenuti (messaggi ed allegati) e della loro fruizione. Serve quindi dotarsi di strumenti con cui archiviare e conservare correttamente la Posta Elettronica Certificata e ciò che vi ruota attorno, a partire dalle ricevute generate dai gestori. In altre parole si deve garantirne il valore
legale nel tempo di ciò che è stato spedito e/o ricevuto e, contemporaneamente, valorizzarne al meglio il contenuto e consentirne la reperibilità e la immediata fruizione a chiunque e in qualunque momento. Il mercato offre soluzioni a vario livello di sofisticazione e di volumi in ballo: dalle offerte dei Gestori di posta Elettronica Certificata a quelle di fornitori indipendenti in grado, anche, di integrare la Gestione e la Conservazione della PEC con sistemi altamente strutturati di Gestione Elettronica di Documenti. 1
Di cui al Decreto Legislativo n° 165/2001, articolo 1, comma 2 2 Art. 2630 CC - Omessa esecuzione di denunce, comunicazioni e depositi 3 Marketing Consumer Report 2010 - Contactlab 4 Basta fare mente locale sul costo della sola affrancatura di una Raccomandata A/R (3,30 + 0,60 Euro), trascurando volutamente tutti gli altri costi connessi alla gestione fisica della corrispondenza e i vantaggi ottenuti dalla maggior efficacia del processo. Riporto, a solo titolo di esempio, il caso, del quale son venuto a conoscenza nel corso di un recente convegno, di una Multiutility che, durante il consolidato processo di sollecito dei pagamenti delle proprie fatture, inviava ogni mese 200 lettere e 100 Raccomandate A/R. Tenendo conto che, di soli costi postali, una normale lettera ed una Raccomandata A/R costano rispettivamente 0,60 Euro e 3,90 Euro, il risparmio annuo ottenuto con l’impiego della PEC è stato di 6.120.000 Euro. 5 DPR del 11 febbraio 2005 n. 68, Articolo 16, comma 4.
VINCENZO GAMBETTA
Consulente Gestione Dati, Informazioni e Contenuti digitali e Direttore contenuti di iged.it e iged.it/online
10 iged.it 04.2011 06-10_h.indd 6
26/01/12 16.56
speciale
Il Contrassegno generato elettronicamente Storia, esigenze, applicazioni AUTORE
REMO GOZZI
Premessa L’Italia si è posta da tempo all’avanguardia nella regolamentazione normativa dei documenti digitali, essendo stato il primo paese europeo ad avere attribuito piena validità giuridica ai documenti elettronici e agli atti amministrativi prodotti da sistemi informativi automatizzati. È pur vero che nel tentativo di mantenere un non semplice equilibrio tra l’esigenza di semplificare la “produzione” di atti amministrativi e quella di garantire comunque sia la sicura riconducibilità all’autore, sia la non alterabilità dei contenuti, le norme non sempre sono state chiare ed esaustive e spesso la giurisprudenza è intervenuta a ridefinire i confini di validità della legge. Allo stesso modo, il quadro normativo ha generalmente mirato a regolamentare l’area di competenza, interna e nei confronti dei cittadini, delle Pubbliche Amministrazioni; questo ha inevitabilmente avuto ricadute anche nei rapporti tra privati, dove da sempre il driver è: riduzione di tempi e costi. In ogni caso fin dal 1993, con l’entrata in vigore del D.to Lgs 39, si riconosce che nell’emanazione di atti amministrativi attraverso sistemi informativi, è necessario riconoscere fonte e responsabile dell’atto, ma si prevede che “se per la validità di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa è sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile”.
Successivamente, l’articolo 15 della L. 59/97 stabilisce che “gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. Con l’entrata in vigore del T.U. per la semplificazione amministrativa (DPR 445/2000) e del successivo Codice dell’Amministrazione Digitale (CAD, Dto Lgs 82/2005) il valore probatorio del documento informatico ha subito un ulteriore impulso; difatti è stabilito che “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”. L’elaborazione del nuovo CAD (D.to Lgs 235/2010) dedica tutto il Capo II alla trattazione del documento informatico, delle firme elettroniche e della conservazione sostitutiva, introducendo con il comma 5 dell’art. 23-ter un nuovo elemento tecnologico: “Sulle copie cartacee di un documento informatico appartenente alle categorie individuate con decreto del Presidente del Consiglio dei Ministri su proposta del Ministro per la pubblica amministrazione e l’innovazione, sentito DigitPA, al fine di assicurarne la provenienza e la conformità all’originale, è apposto a stampa un contrassegno generato elettronicamente formato nel rispetto delle
regole tecniche stabilite ai sensi dell’articolo 71 e tale da consentire la verifica della conformità del documento cartaceo a quello informatico.” Documenti digitali e documenti cartacei In base alle norme precedentemente citate, un documento elettronico siglato con firma digitale ha lo stesso valore del suo omologo cartaceo e la firma digitale viene riconosciuta come soluzione tecnica per garantire ai documenti elettronici i valori di integrità, non modificabilità e non ripudio. Le implicazioni sono notevoli sia nel settore pubblico sia nel settore privato: dalla validità dei contratti on line, alla possibilità di emettere fatture commerciali o ordini di acquisto. La domanda che potrebbe sorgere nel lettore a questo punto è: in uno scenario di riferimento che punta decisamente all’utilizzo dei documenti digitali, come mai ancora tanto interesse per i documenti cartacei, dove peraltro non esiste neanche una vera regolamentazione per il riconoscimento d’autenticità di un documento cartaceo che, normalmente, si basa su elementi visivi e materiali quali il tipo di carta, la filigrana, le stampe sofisticate, gli inchiostri speciali, i timbri a inchiostro o a secco, la firma autografa, i valori bollati, etc. ? La risposta sta nel fatto che, pur in un mondo che procede verso il digitale, si pongono a volte problemi di ordine pratico per quei soggetti che non sanno come gestire i documenti elettronici, iged.it 04.2011
11-15_h.indd 1
11 26/01/12 16.57
oppure non dispongono degli strumenti adatti a visualizzare documenti firmati digitalmente; il problema principale che si pone, quindi, è quello di fornire una rappresentazione del documento informatico originario che sia completa di segnatura e in formato tale da risultare di semplice utilizzo mediante strumenti informatici largamente diffusi, fornendo anche l’evidenza dei nominativi dei sottoscrittori, in modo da assicurare l’integrità di tale riproduzione. È evidente il fatto che, quando un documento elettronico deve essere stampato, si incorre nella cosiddetta “interruzione della catena del valore” della firma digitale; infatti, gli attributi d’integrità, certezza del mittente, non ripudio e di data certa di creazione e/o di firma sono definitivamente persi: il documento stampato necessita probabilmente di una firma autografa, perdendo così i vantaggi di essere nato in formato elettronico e di essere stato firmato digitalmente. Nell’ambito della Pubblica Amministrazione, nel rapporto tra questa e i suoi utenti (cittadini e imprese), e in particolar modo in settori delicati quali la Giustizia, la Sanità o la Previdenza, esistono tuttora numerose situazioni in cui documenti dei quali occorre garantire l’autenticità possono attraversare, nel corso del loro ciclo di vita, uno o più passaggi attraverso la carta. Esiste senz’altro l’esigenza di proteggere tali documenti in tutte le fasi del loro ciclo di vita, indipendentemente dal supporto – elettronico o cartaceo – utilizzato.
In figura 1 Cedolino Elettronico
Il problema è entrato nella logica e nel campo d’azione del legislatore che a questa sostanziale carenza normativa ha infatti dato risposta proprio con il comma 5 dell’art. 23-ter del nuovo CAD. Apparivano infatti evidenti due fenomeni: L’interruzione della catena del valore della firma digitale rischiava di vanificare gli sforzi tecnologici e organizzativi che la PA sta affrontando per semplificare realmente i propri processi amministrativi; Il legislatore ha inteso fornire un solido supporto normativo alla apposizione di “contrassegni generati elettronicamente” su documenti cartacei, al fine di rendere tale metodologia valida ai fini legali. La norma impone la stampa non solo del contenuto del documento digitale, ma anche di tutte le informazioni necessarie a controllarne l’autenticità e la provenienza, quali ad esempio: una rappresentazione alternativa e non alterabile del contenuto del documento; la certificazione della fonte che ha emesso il documento. Indicheremo convenzionalmente la stampa di tutte o parte di queste informazioni con il termine “contrassegno digitale”. Per contrassegno digitale si può intendere, secondo la definizione data da DigitPa, una rappresentazione convenzionale di informazioni contenute nel documento elettronico (tutte o parte di esse), stampabile, ottenuta
Gazzetta Ufficiale
Certificato Analogico
utilizzando una codifica grafica definita, non alterabile o riproducibile, e verificabile automaticamente con strumenti elettronici. L’obiettivo posto dal legislatore è quello di assicurare gli stessi livelli di garanzia durante tutto il ciclo di vita del documento, non trascurando quindi il canale di comunicazione maggiormente diffuso per le comunicazioni ufficiali (la carta); in questo senso dunque il contrassegno digitale non può non contenere al proprio interno la rappresentazione di una firma digitale. Il livello di sicurezza del processo descritto è molto più alto rispetto a quanto attualmente disponibile (si pensi alla facilità di falsificare una firma autografa o un timbro tradizionale). È possibile stampare il documento quante volte si vuole, e tutte le copie saranno ugualmente sicure; ciò potrebbe rendere inutile l’attuale ricorso alla cosiddetta “copia conforme”. Questo indirizzo si può interpretare anche come una generale promozione all’uso della firma digitale; una volta applicata questa soluzione su larga scala, ci sarà una cultura nell’utilizzo della firma digitale tale per cui sarà possibile dismettere la trasmissione cartacea dei documenti. L’esigenza è reale; ancora oggi, e per molto tempo ancora, una consistente mole di documentazione ‘ufficiale’, pur prodotta digitalmente, viene stampata, firmata e timbrata manualmente, spedita in via convenzionale, ricevuta, protocollata, smistata negli uffici e a volte nuovamente protocollata e firmata.
Certificato Universitario
Pagella Scolastica
12 iged.it 04.2011 11-15_h.indd 2
26/01/12 16.57
IMAGE FORMULA P-215
Ciò significa che il supporto cartaceo resta ancora lo strumento maggiormente utilizzato per certificati, notifiche, ingiunzioni, circolari, comunicazioni di carattere amministrativo. In tal senso, ciò che comunemente viene inteso come “digital-divide” può essere interpretato non soltanto come un fenomeno sociale che ‘separa’ chi non è abilitato all’utilizzo dell’Information Technology da chi ha invece la possibilità di far parte della ‘Community’ ICT, ma anche fra soggetti giuridici (amministrazioni e privati) che hanno reso maggiormente efficienti i propri processi di comunicazione (interna ed esterna) mediante strumenti digitali e soggetti che non hanno implementato soluzioni compatibili con le prime. La tecnologia dei timbri digitali si basa fondamentalmente sui codici grafici bidimensionali che si presentano come matrice di elementi quadrangolari bianchi e neri; recentemente iniziano ad apparire codici bidimensionali a colori in grado di contenere un maggior numero di informazioni in dimensioni più contenute. In analogia a un codice a barre, un codice bidimensionale è un vettore di informazioni; tuttavia, a differenza di quanto avviene in un codice a barre, la codifica delle informazioni si articola in due dimensioni e coinvolge sia la dimensione orizzontale che quella verticale del simbolo, a tutto vantaggio della capacità di memorizzazione. Con l’utilizzo di una simbologia bidimensionale ad alta densità di memo-
In figura 2 Ticket Ferroviario
rizzazione è possibile codificare tutto il documento elettronico di partenza, completo di firma, all’interno di uno o più simboli da apporre sul aree riservate del documento ed acquisirlo, a partire dal codice grafico, in una successiva fase del ciclo di vita del documento. In tal modo, la sottoscrizione elettronica iniziale resta valida e verificabile a prescindere dal supporto di memorizzazione (digitale o analogico). CAMPO E MODALITÀ DI APPLICAZIONE Esistono diversi ambiti che richiedono oggi, e richiederanno ancora per diverso tempo, la coesistenza di documenti elettronici e cartacei. Una possibile classificazione dei contesti di applicazione potrebbe essere la seguente: Rilascio di documenti ufficiali da una pubblica amministrazione a cittadini / professionisti o imprese In questa tipologia di documenti ricadono ad esempio concessioni, nulla osta, certificati anagrafici, abilitazioni, licenze, autorizzazioni, permessi di soggiorno, visti, attestati, visure catastali e commerciali, certificati di proprietà di veicoli, estratti conto contributivi. In questo segmento si rilevano alcuni casi di successo già realizzati (Figura 1). Cedolino elettronico dei dipendenti pubblici Consip e il Ministero dell’Economia e delle Finanze/Service Personale Tesoro (SPT), hanno da anni realizzato il pro-
Ticket Aereo
getto “e-Cedolino”, che è stato il primo vero esempio su vasta scala in Italia delle tecnologie basate su contrassegni digitali; l’esigenza principale da soddisfare era garantire l’autenticità del cedolino stampato (ad esempio per i dipendenti che vogliono accedere a finanziamenti bancari), sia certificando l’autore del documento, sia assicurando l’integrità dei dati rappresentati. Gazzetta Ufficiale online La Gazzetta Ufficiale telematica, distribuita esclusivamente in formato elettronico a partire dal 2 gennaio 2009, si avvale del contrassegno digitale per attestare l’autenticità della copia stampata. Il contrassegno apposto su ogni pagina della pubblicazione assicura la conformità del contenuto della Gazzetta Ufficiale in versione digitale, ovvero che l’oggetto della sottoscrizione non ha subito alcuna alterazione rispetto alla versione originale depositata presso l’Istituto Poligrafico e Zecca dello Stato. Rilascio certificati online Numerosi Comuni italiani (Roma, Milano, Parma, Ravenna, Asti, Cagliari, etc.) hanno iniziato il processo di dematerializzazione e di ampliamento dell’offerta di servizi online ai cittadini proprio implementando soluzioni di apposizione dei contrassegni digitali sui certificati anagrafici. I certificati dotati di contrassegno possono essere stampati direttamente dal cittadino sul proprio PC e utilizzati ai fini consentiti dalla legge.
Bollettino Postale
14 iged.it 04.2011 11-15_h.indd 4
27/01/12 11.28
integrazione con i sistemi di gestione documentale delle amministrazioni. In questo segmento non si rilevano alla data applicazioni significative. Generazione di documenti comprovanti un pagamento o un credito Ad esempio, i documenti in questione possono essere ricevute di servizi ticketless o di transazioni on-line, ricevute di bonifici, estratto conto, pagamenti tasse e imposte on-line, abbonamenti o iscrizioni a servizi pubblici, biglietti di lotterie.
In figura 3
Pagelle Digitali e certificati universitari Il Ministero dell’Istruzione, Università e Ricerca ha recentemente rivisto formati e contenuti delle pagelle scolastiche per le scuole di ogni ordine e grado, trasformandole in un formato standard A4 ed abbandonando, in particolare per gli istituti secondari di secondo grado, il modello in vigore in formato simil-A3 prodotto dal Poligrafico dello Stato. Su ogni pagina della nuova pagella è inserito un contrassegno digitale con doppia firma digitale (come previsto dalla normativa). Allo stesso modo diverse Università italiane rilasciano da tempo tutta la certificazione necessaria allo studente (iscrizione, frequenza, elenco degli esami, laurea) in formato digitale attraverso i propri Portali Web; i certificati contengono un contrassegno digitale a testimonianza della provenienza e del contenuto della certificazione. Uso interno a una o più amministrazioni Per scambio di documenti (ad esempio per processi autorizzativi o per altri tipi di flusso documentale) tra gruppi chiusi di utenti o tra uffici diversi, in
In questo segmento, in particolare per quanto riguarda il ticketing online, molte sono gli esempi in cui si fa uso dei codici bidimensionali (bar code e qr code i maggiormente utilizzati) per una convalida automatica del biglietto acquistato online, ma poi stampato e presentato generalmente a mano sia ai varchi di ingresso di stazioni, aeroporti, etc. ias ai botteghini di cinema e teatri. Recentemente anche sui bollettini postali è stata introdotta la tecnica dei codici bidimensionali, e questo sia per una più efficace convalida della ricevuta cartacea, sia per facilitare nuovi forme di pagamento automatizzato via web o via terminali mobili. In questi casi, tuttavia, il contrassegno digitale viene ancora prevalentemente utilizzato per scopi propri della società emettitrice e, di solito, non contiene una firma digitale. LA VERIFICA DEL DOCUMENTO; PROCESSO, LIMITI ED EVOLUZIONI Un elemento caratteristico del contrassegno digitale è dunque la possibilità di assicurare provenienza e conformità all’originale del documento in esame una volta che da digitale è tornato ad essere analogico (su stampa); il processo è noto con il nome di “verifica”. L’analisi del documento è effettuata attraverso l’uso di un’applicazione stand-alone, rilasciata dal produttore del software di marcatura (sia proprietario sia open source) e scaricabile gratuitamente. L’utente finale o il cittadino dovrà essere in possesso di uno scanner, anche di fascia bassa, attraverso cui acquisire
il documento e, soprattutto, il contrassegno digitale. Il processo di verifica deve prevedere 2 passi principali: Assicurare circa la provenienza del documento, cioè il soggetto giuridico o fisico emittente; per questo è necessario analizzare la firma digitale contenuta nel contrassegno e verificarne la validità; Assicurare circa l’integrità del documento confrontando il contenuto codificato nel contrassegno con quanto acquisito dallo scanner; eventuali differenze (inclusi i falsi positivi) devono essere evidenziate per un successivo confronto visivo. L’utilizzo di uno strumento piuttosto diffuso, ma certamente non presente in tutte le case o negli uffici, come lo scanner, costituisce ad oggi una barriera ad una completa azione di verifica del documento cartaceo contenente il contrassegno digitale. La prossima frontiera per questa tecnologia è quella di rendere disponibili applicazioni di verifica installabili su apparati mobili (smartphone e tablet) i quali, ormai a portata di mano di oltre il 50% della popolazione e grazie alla presenza di fotocamere di buona qualità, possono consentire l’acquisizione del documento cartaceo e del contrassegno in forma semplice e immediata. Le APPs mobili dovranno consentire di effettuare le stesse operazioni disponibili dalle applicazioni PC, consentendo eventualmente, via rete mobile o WiFi, l’accesso via Internet alla copia originale del documento presente negli archivi del soggetto emittente.
REMO GOZZI
Business Development Mgr Public Sector HP Enterprise Services - Italy
iged.it 04.2011
11-15_h.indd 5
15 27/01/12 11.29
speciale
Codici a barre bidimensionali ed il cosiddetto Contrassegno Elettronico Alcune considerazioni sulla “Verifica Automatica” AUTORE
NICOLÒ FORMENTI
Il contrassegno elettronico è un strumento che assicura sia la conformità della copia cartacea (analogica) ad un documento informatico sia la provenienza di tale copia; esso è apposto sulla stampa della copia cartacea del documento. Pertanto, per definizione, il contrassegno deve rappresentare fedelmente il contenuto informativo del documento e le informazioni relative a chi ha firmato tale documento (provenienza); più specificatamente, il contrassegno elettronico consiste in una rappresentazione di informazioni digitali su carta, riconoscibili e decodificabili in modo univoco da un dispositivo automatico (machine-readable). Per ottenere ciò (inalterabilità e provenienza del documento) ci si avvale della tecnologia di codici a barre bidimensionali; questi consentono di rappresentare, in un’area limitata di spazio, un sufficiente quantitativo di informazioni digitali (byte). I formati per la rappresentazione di codici a barre sono molteplici (es. Data Matrix, QRCode, …) e si distinguono in base alla densità di informazioni presenti per unità di superfice, in base al dominio (pubblico o privato) della loro rappresentazione (standard) e alla loro tolleranza all’errore. L’utilizzo di questa tecnologia trova spazio in qualsiasi contesto ove si necessiti della forma cartacea di un documento che è stato redatto ed esiste solo in forma elettronica. In quest’ottica, tale tecnologia funziona da “trait d’union” tra contesti che hanno completato il loro cammino verso la digitalizzazione e la dematerializzazione e quelli legati ancora ad un paradigma informativo analogico (cartaceo). Per quanto concerne la verifica della provenienza del documento, convertito in cartaceo, si può affermare che la tecnologia in esame non presenti problemi. Proprio, però, per la sua natura di anello di congiunzione tra il reale ed il virtuale, essa è fonte di problematiche legate a questa specifica situazione; mi riferisco, in particolare, al comma 5 dell’articolo 23–ter del CAD (Codice dell’Amministrazione Digitale) dove si stabilisce che il contrassegno deve essere tale da consentire la verifica automatica della conformità del documento analogico a quello informatico. Questa affermazione conduce verso alcune riflessioni … è possibile, ad esempio, dire che un suono registrato digitalmente e quindi riprodotto sia identico al suono reale? No, purtroppo no; implicitamente al passaggio da analogico a
In figura
Gazzetta Ufficiale Esempio di utilizzo dei codici Data Matrix
16 iged.it 04.2011 16-18_h.indd 2
26/01/12 16.58
VELOCIZZATE IL VOSTRO BUSINESS CON LO SCANNER A COLORI KV-S5055C: • Elevato volume: scansione alla velocità di 90 ppm* e ADF da 200 pagine • Alimentazione precisa: rilevamento fogli pinzati e ad ultrasuoni per i fogli doppi • Alta affidabilità: inserimento documenti misti e modalità carta lunga • Funzioni di auto-pulizia: ionizzatore e spazzola pulizia vetro di scansione • Operazioni intuitive grazie alle numerevoli funzioni di elaborazione delle immagini * A4, alimentazione lato lungo, 200dpi SEMPRE PIÙ DI QUELLO CHE TI ASPETTI. www.panasonic.it/scanner
16-18_h.indd 3
26/01/12 16.59
In figura Esempi di codici a barre monodimensionali e codici bidimensionali
digitale, perdiamo informazioni; per la musica ci “accontentiamo” che il suono riprodotto che percepiamo sia il più fedele possibile a quello originale, motivo per cui parliamo di sistemi ad “Alta Fedeltà”. Nel caso del contrassegno elettronico come definiamo l’Alta Fedeltà? Qual è il livello minimo di fedeltà che ci basta per affermare che un documento analogico sia conforme a quello originale digitale? Per provare a rispondere a questa domanda, dobbiamo cercare di capire cosa possiamo intendere per contenuto informativo del documento che il contrassegno deve rappresentare. Le scelte sono molteplici, ad esempio si potrebbe dire che il contenuto informativo è il testo contenuto nel documento, oppure la rappresentazione in formato html del documento, piuttosto che i dati variabili in XML presenti nel documento, o addirittura l’intero documento di origine in formato binario. Qualsiasi sia l’informazione rappresentata, va creato uno strumento che, partendo dal cartaceo, sia in grado di ricostruire tali informazioni; con questo presupposto sembra che la soluzione più semplice (se non l’unica) sia quella di accontentarsi di rappresentare correttamente il testo contenuto nel documento, cosicché, a seguito di una scansione e di un processo di riconoscimento OCR, sia possibile ricostruire il testo originale.
Vediamo cosa può succedere con un esempio . DOCUMENTO ORIGINALE
SI CERTIFICA IL DIRITTO DI FORMENTI NICOLÒ A RISCUOTERE 100,00 € PRESSO LA CASSA ECONOMALE DEL COMUNE. DOCUMENTO RICOSTRUITO (OCR)
SI CERTIFICA IL DIRITTO DI FORMENTI NICOLÒ A RISCUOTERE 10000 € PRESSO LA CASSA ECONOMALE DEL COMUNE.
I due documenti sono molto simili: esaminando l’affidabilità dal punto di vista “digitale” osserviamo che di 101 caratteri ben 100 sono uguali e quindi c’è un margine di errore inferiore all’1% … diciamo che potremmo considerare accettabile questo valore. Peccato che dal punto di vista reale … commetteremmo un errore di 9900 € e quindi del 99% !!! Potremmo definirlo il “paradosso del contrassegno digitale” … e la causa è la seguente: a differenza del suono, caso in cui sappiamo con esattezza quali sono le informazioni più importanti da ricostruire (spettro delle frequenze) e quelle che possiamo “perdere” senza alterare la fedeltà della ricostruzione, in questo contesto è impossibile fare una distinzione di questo tipo; ovvero NON è (ad oggi) possibile determi-
nare con esattezza ciò che della nostra informazione è possibile perdere senza alterare il contenuto informativo significativo … tutto può essere importante (anche una virgoletta tra due zeri …). Quindi che fare? Avremmo bisogno di fedeltà totale …, ma anche questo pare impossibile a causa del processo di digitalizzazione, e quindi? Purtroppo ad oggi la verifica automatica, con un accuratezza del 100%, non sembra realizzabile; in attesa di eventuali futuri sviluppi tecnologici e … normativi, possiamo solo accontentarci di avere a disposizione strumenti che aiutino il più possibile l’uomo a verificare la congruenza della rappresentazione del contrassegno con la realtà, ma, come accade in molti altri contesti, l’uomo non potrà essere sostituito.
NICOLÒ FORMENTI
Vice Responsabile Tecnico PA Digitale S.p.A.
18 iged.it 04.2011 16-18_h.indd 4
26/01/12 16.59
speciale
Il Timbro Digitale Quando la firma digitale incontra la carta
AUTORE
SANDRO FONTANA
INTRODUZIONE Oggi si parla di banda larga, di dematerializzazione e di cloud computing/storage, come se la carta fosse poco usata e comunque evitabile. Nella realtà di tutti i giorni, però, siamo sì sempre più interconnessi, ma continuiamo a fare affidamento su una serie di processi, abitudini ed infrastrutture che non possono prescindere da documenti stampati. Questi documenti, inoltre, sono in genere preparati da computer e poi ... stampati, magari su supporti speciali anti-contraffazione, e spesso spediti per posta ordinaria: questo spreco potrebbe essere eliminato gestendoli direttamente in formato elettronico, con la garanzia di integrità, di autenticità e valore legale grazie alla firma digitale. Già dal 2001 per ovviare alla perdita degli attributi d’integrità, autenticazione e non ripudio di un documento firmato digitalmente, allorché lo si stampa, proponevamo l’uso dei codici bidimensionali, presentando il concetto di “Firma digitale su Carta” durante il congresso annuale AICA di quell’anno1 Il termine Timbro Digitale fu poi introdotto da uno studio CNIPA del 2006, relativo all’autenticazione dei documenti stampati. La garanzia di cui si parla, si basa sulla presenza di firme elettroniche/ digitali, a norma di legge, all’interno del Timbro Digitale; è bene ricordare che in questo contesto è d’obbligo che all’interno del codice bidimensionale, sia presente il contenuto del
documento. I vantaggi di questo modo di operare sono molti; in primis, il documento, che poi sarà stampato, può essere ricevuto tramite posta elettronica o prelevato da un portale Internet e mantenere tutte le sue caratteristiche di integrità ed autenticità: risparmio di tempo e di carburante (con conseguente riduzione dell’inquinamento), migliore utilizzo delle risorse umane presso gli uffici eroganti: globalmente parlando, un migliore utilizzo delle risorse umane ed una più grande efficienza di gestione. Il documento è, poi, non falsificabile e, proprio per come è pensato ideato il Timbro Digitale, è sempre possibile ricostruire il documento informatico firmato digitalmente. TECNOLOGIE PRESENTI SUL MERCATO L’idea di base è semplice: inserire i dati del documento e la relativa firma digitale all’interno di un codice bidimensionale, in modo che si possa generare un documento cartaceo non falsificabile e verificabile anche off-line. In realtà l’uso di un codice bidimensionale è solo uno egli elementi necessari a formulare un sistema solido e affidabile, ma è l’elemento immediatamente evidente e quindi ce ne occupiamo subito. Le proposte in commercio, si differenziano sia per la tipologia dei codici bidimensionali utilizzati, sia per il reale contenuto di questi codici. La gran parte di soluzioni, si basa sull’uso di codici bidimensionali
industriali (CBI) quali QrCode, Datamatrix, PDF417, MaxiCode. Sono anche disponibili alcune proposte basate sull’uso del QrCode, che non sono dissimili dall’uso che si fa in pubblicità di questo codice. IL QrCode può diventare abbastanza leggero (a bassa densità di informazione), tanto da poter essere letto dalla fotocamera di uno smartphone. Come nell’uso in pubblicità, all’interno di un QrCode di questo tipo, trovano spazio poche decine di caratteri: quelli necessari per contenere una “tinyURL” che lo smartphone utilizzerà per accedere ad un sito su Internet. Se per la pubblicità di un prodotto, l’indirizzamento sul sito del produttore fornisce un valore aggiunto, nel caso di una applicazione di Timbro Digitale, questa soluzione non è applicabile in modo banale. Se applicato, ad esempio, ad un certificato anagrafico ciò comporta che la URL contenuta nel codice debba puntare ad un servizio, attivato appositamente dal Comune emittente, il quale dovrà controllare il download di documenti creati dall’utenza; dovrà quindi gestire un repository aperto su Internet in cui inserire i documenti creati su richiesta di un cittadino e rimuoverli alla loro scadenza e …, soprattutto, dovrà gestire la sicurezza globale del servizio ed un sistema di credenziali per l’accesso: i documenti di questo tipo non sono infatti documenti pubblici. In queste condizioni l’automatismo dell’accesso da smartphone, che funziona in pubblicità, è bloccato iged.it 04.2011
19-23_h.indd 1
19 26/01/12 17.00
In figura Il certificato di nascita dell’autore rilasciato on-line dal portale del Comune di Roma
dalla necessità di una fase di autenticazione; inoltre non è detto che chi che deve verificare il documento in questione, abbia le credenziali necessarie ad accedere a quel particolare servizio. Altre soluzioni inseriscono i dati del documento direttamente nel codice, magari usando più codici dello stesso tipo, ad esempio Datamatrix, per distribuire tra questi il carico dovuto alla quantità di informazioni da gestire. L’uso di gruppi di codici, comporta alcune negatività: in queste condizioni non si possono usare lettori di codici standard ne tantomeno smartphone; per la lettura dell’insieme dei codici deve necessariamente essere usato lo scanner piano. Inoltre essendo codici separati, anche la gestione del codice a correzione di
errore (ECC) presente all’interno di ogni codice stampato rimane separata. Questo comporta che l’eventuale non lettura di uno solo dei codici del gruppo, comprometta la lettura dell’intera informazione distribuita. Per ovviare a questo evento, l’unica possibilità è quella di aggiungere uno o più codici ulteriori per la gestione di una sorta di codice di parità. L’aggravio di spazio occupato e la minore efficienza sono evidenti. In alcune di queste realizzazioni, inoltre, il software fornito per la lettura e la verifica del contenuto dei codici bidimensionali non consente l’estrazione del file firmato digitalmente; questo fatto è molto grave, in quanto non consente, all’utente che sta verificando il documento, l’utilizzo di un software di sua fiducia per poter validare la firma digitale.
La mancanza di questa funzione, banale da implementare, lascia qualche dubbio sul reale contenuto dei codici bidimensionali stampati2. UN APPROCCIO DIVERSO Quando iniziammo a pensare alla soluzione del problema della stampa dei documenti firmati digitalmente ci confrontammo a lungo, sia con potenziali Clienti sia con grandi Operatori nell’ICT, ed effettuammo svariati test con i più diffusi codici bidimensionali industriali: DataMatrix, QrCode, PDF417, DataGlyphs. Dopo due progetti andati in esercizio utilizzando il codice bidimensionale PDF417 ed una serie di ulteriori studi, divennero però evidenti alcuni i limiti dei CBI esistenti. Limiti che derivavano dalla necessità, a nostro avviso, di contenere l’intero
20 iged.it 04.2011 19-23_h.indd 2
26/01/12 17.00
Untitled-1 1
26/01/12 18:10
In figura Un timbro digitale 2D-Plus
documento informatico sottoscritto con firma digitale e non solo una sua parte o suoi riferimenti esterni. Prima di tutto i CBI prevedono la gestione di dati in formato testo o decimale: inserire informazione generica (binaria) comporta uno spreco di un terzo dello spazio disponibile. Secondo. La loro forma geometrica è fissa, generalmente quadrata e questo fatto limita molto la possibilità di stampare il codice stesso in posizioni specifiche del documento. Terzo punto, molto importante: la quantità di informazioni che è possibile inserire in un singolo CBI non è grande; certo, i CBI sono più capienti di un semplice codice a barre, ma concretamente parlando, i 1.500 byte di capienza massima, non sono sufficienti per le esigenze di memorizzazione di un documento elettronico firmato. Da qui, come sopra ricordato, la necessità di usare più codici per avere più spazio a disposizione. Quarto ed ultimo punto, forse la considerazione più importante visti gli obiettivi del Timbro Digitale: il codice a correzione di errore (ECC) da usare per rendere la stampa di un codice resistente all’usura, è implicito all’interno del singolo CBI. Questa caratteristica, positiva nel classico uso per la logistica di un singolo codice, diventa un problema quando si cerca di superare il limite della scarsa quantità di memorizzazione. Infatti per aumentare la capacità del
singolo CBI, l’unica possibilità è ... usarne più di uno: l’applicazione che genera il CBI può distribuire i dati da gestire, su più di un codice, ma non può agire a livello di un unico codice a correzione di errore; questo comporta che ogni CBI ha la sua struttura di ripristino dati e … la perdita di una singola istanza di uno solo dei codici, compromette tutta l’informazione. Alla luce di tutto ciò, decidemmo di progettare un codice bidimensionale ad hoc, con le caratteristiche necessarie a realizzare una completa Firma Digitale su Carta. Il nuovo codice bidimensionale, il cui nome depositato è 2D-Plus, fu studiato per avere dei plus per ognuno dei punti sopra indicati; esso fu poi brevettato in Italia, in Europa e negli USA. Inoltre, siccome la definizione di “Firma digitale su Carta” poteva creare ambiguità e diffidenze nel mondo legale, fu deciso che sarebbe stato meglio impiegare, per identificare un codice 2D-Plus contenente un intero documento informatico sottoscritto con firma digitale, il termine Timbro Digitale ideato dal CNIPA. La sua forma è quadrangolare e la grandezza del codice è proporzionale alla quantità di informazione che deve contenere (le dimensioni sono dinamiche nel rapporto altezza/larghezza): il codice 2D-Plus da stampare quindi è sempre uno solo.
La densità dei dati contenuti è la più elevata esistente; espressa in byte essa corrisponde a 3.750 byte/inch2 ovvero a 588 byte/cm2. Il 2D-Plus è nato per contenere dati in forma binaria; quindi non ha problemi a gestire qualsiasi formato. In ultimo, ma importante, il codice a correzione di errore (ECC) adottato è il ReedSolomon, lo standard più utilizzato al mondo ed è realizzato in modo controllato ed omogeneo su tutta la superficie del 2D-Plus. Tale gestione del codice a correzione di errore rende il 2D-Plus particolarmente resistente ad elementi di disturbo, come macchie, graffi etc. ... Come sopra accennato, il solo codice bidimensionale non è sufficiente a fornire una soluzione completa di Timbro Digitale: avendo a che fare con la firma digitale a norma, non si può prescindere dall’integrazione di infrastrutture hardware, dall’implementazione di software, dalla definizione di politiche di sicurezza reali e da competenza e specializzazione sulla sicurezza informatica. In questo contesto, tenendo sempre presente la robustezza e la sicurezza informatica della soluzione, si è scelto di fornire appliance dedicati alla creazione di Timbro Digitale 2DPlus ed apparati per la gestione dei dispositivi sicuri di firma. È stata, poi, particolarmente curata la definizione di politiche di sicurezza e di procedure organizzative di supporto alla implementazione di pro-
22 iged.it 04.2011 19-23_h.indd 4
26/01/12 17.01
getti in cui è gestita la firma digitale. Naturalmente tutta la piattaforma è conforme, e viene mantenuta aggiornata, alla normativa corrente. Infine, pur trattandosi di un prodotto proprietario, tutta la documentazione relativa alla Piattaforma Tecnologica ed alla sua implementazione, comprese le politiche di sicurezza suggerite, è sempre stata disponibile e liberamente scaricabile dal nostro portale: www.timbrodigitale.com. A completamento della proposta relativa alla Piattaforma tecnologica, uno dei suoi punti di forza risulta essere il software di decodifica, un vero “coltellino svizzero” nel settore. Il software è naturalmente di uso gratuito e liberamente scaricabile dal nostro portale. Esso può pilotare scanner piani, leggere direttamente immagini o file PDF contenenti il codice 2D-Plus, gestire questi codici da clipboard o leggere e verificare file p7m (sia nel formato PKCS#7 che CAdES). Tra le sue funzioni base c’è quella di poter sempre salvare su disco il contenuto del codice 2D-Plus; in questo modo, il contenuto del codice 2D-Plus, cioè un file P7M, rimane sempre a disposizione dell’utente e la verifica della firma digitale ad esso applicata, può essere così effettuata da un software di fiducia dell’utente stesso. Le applicazioni in esercizio sono molte, a partire dal documento “nulla Osta per macchine da gioco”, ai cedolini, ai certificati anagrafici on line o ai documenti per gli studenti universitari. Potendo parlare solo di ciò che si conosce, attualmente circa 70 piattaforme sul territorio italiano creano documenti con Timbro Digitale, utilizzando 2D-Plus. Queste piattaforme sono in esercizio per fornire servizi a circa 100 comuni d’Italia e più di 10 Università. Le applicazioni possibili sarebbero molte ed importanti. Quelle che sono state realizzate sono solo alcune di quelle possibili; altri documenti potrebbero sfruttare questa tecno-
logia: carta di identità cartacea, visti per immigrati, permessi di soggiorno, ricette mediche etc. CAD ART. 23- TER, COMMA 5: ENTRA IN SCENA IL CONTRASSEGNO ELETTRONICO “Al fine di assicurare la provenienza e la conformità all’originale, sulle copie analogiche di documenti informatici, è apposto a stampa, sulla base dei criteri definiti con linee guida emanate da DigitPA, un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71 e tale da consentire la verifica automatica della conformità del documento analogico a quello informatico.” In “contrassegno generato elettronicamente”, si riesce facilmente a vedere una tecnica assimilabile a quella usata nella generazione di un Timbro Digitale. Ci sono però due importanti considerazioni da fare: la prima è che questo comma, si sta preoccupando di dare valenza di copia conforme ad una copia analogica di documento informatico; la seconda è ... che prescrive qualcosa di non realizzabile: “la verifica automatica della conformità” Per quanto riguarda il primo punto, è necessario ricordare che la Tecnologia di Timbro Digitale, è orientata al trasporto dell’intero documento informatico. Pensare di dover valutare la carta come una copia conforme analogica, quando si ha a disposizione il documento informatico originale, sembra un controsenso. Fermo restando che non ci sono ancora indicazioni sui criteri e linee guida da adottare, il secondo punto non sembra, comunque, raggiungibile. Anche avendo a disposizione dal Timbro Digitale, pardon, dal contrassegno elettronico, tutto il documento originale, avere una procedura che consenta automaticamente di sapere se una copia analogica è conforme o meno, è un obiettivo che non si può conseguire (a meno, forse,
di tempi e costi di elaborazione che non rendono praticabile la scelta). È pure vero che il Diritto è pieno di norme che si riferiscono alle copie conformi all’originale, e la cosa non può essere ignorata, anche se la gran parte di queste norme sono state pensate quando l’informatica non era presente nella nostra vita e non sempre sono state, o è stato possibile, adeguarle. Quindi, se di copia conforme all’originale bisogna parlare, ecco il nostro contributo: per controllare la conformità di una copia analogica all’originale, quale strumento migliore può esserci se non il documento originale stesso? In questa visione ed in attesa di criteri e linee guida esplicativi, un Timbro Digitale che contenga l’intero documento informatico sottoscritto con firma digitale, è sicuramente anche un perfetto contrassegno elettronico. NOTE Un elenco di link a riferimenti, studi ed altra documentazione esplicativa, è liberamente disponibile qui: http://www.secure-edge.com/ Appliance_PeS/doc/bibliography 1
R. Oneda, Università di Pavia - A proposito del “contrassegno elettronico/timbro digitale” - http://ig.unipv. it/timbrodigitale.pdf 2
SANDRO FONTANA
Chief Technology Officer Secure Edge
iged.it 04.2011
19-23_h.indd 5
23 26/01/12 17.01
speciale
Il Contrassegno elettronico Il punto di vista di LAND AUTORE
MARCO POLSI
LAND è sempre stata considerata una voce fuori dal coro nel mercato del cosiddetto “Contrassegno Elettronico”. SecurePaper non è una tecnologia di “Timbro Digitale”, come spesso sentiamo erroneamente affermare, ma è un compendio di tecnologie integrate che aiutano gli utilizzatori alla graduale eliminazione della carta e alla conseguente ottimizzazione e valorizzazione del patrimonio digitale. Per essere più precisi, non esiste la Firma Digitale su carta, per LAND esiste un documento digitale originale trasferito, quando serve, su carta. Infatti, SecurePaper è stato pensato per l’emissione sicura di documentazione generata digitalmente, ma che, nell’arco della sua vita, potrebbe essere stampata e se necessario verificata, non potendo aver accesso immediato al documento digitale originale. In pratica viene trasferito sulla pagina il documento digitale originale sia nella forma grafica, visualizzabile dall’utente (quello che vediamo a video e che, di conseguenza, stampiamo), sia sotto forma di codici grafici. Noi attualmente utilizziamo nove DataMatrix posti alla base del documento che, per robustezza e capienza, sono risultati di gran lunga la migliore tecnologia presente sul mercato. L’insieme dei codici contiene sempre all’interno, come richiesto dalla normativa vigente, il documento digitale originale firmato digitalmente (nei formati CAdES, PAdES o XAdES). Il perché vengano utilizzati 9 codici in luogo di un codice unico è presto detto, utilizzando un solo codice a barre la correzione di errore (necessaria in caso di maltrattamenti del documento cartaceo o di perdita di parte dello stesso) sarebbe su un solo livello. In questo caso la mancanza di uno solo dei puntatori, necessari per la ricostruzione del documento firmato, bloccherebbe il processo di verifica per mancato riconoscimento del codice. L’utilizzo di più codici invece permette l’utilizzo contemporaneo di due livelli di correzione di errore, uno interno al singolo codice (circa il 30%) ed il secondo calcolato sulla totalità dei codici (personalizzabile, ma è sempre consigliato almeno un ulteriore 30%). L’utilizzo di questo sistema aumenta sensibilmente la robustezza ai maltrattamenti del documento quali strappi, macchie o piegature.
È possibile così creare dei documenti che, anche nel caso venissero stampati, contengono al loro interno in forma ri-estraibile il proprio originale, firmato digitalmente, che garantisce la provenienza, l’integrità e la non ripudiabilità del documento digitale a norma di Legge. In questo caso i codici grafici (molto simili ai codici a barre che siamo abituati a vedere su tutte le confezioni nei supermercati, ma molto più capienti) svolgono lo stesso compito di una penna USB, di un CD o di un floppy disk. Per decodificare il contenuto informativo contenuto nei DataMatrix di un documento stampato è necessario uno scanner e l’applicazione denominata Viewer. Il Viewer di SecurePaper è disponibile gratuitamente on line (fin dal 2004, anno in cui è stato rilasciato) e consente di verificare qualsiasi documento emesso con tecnologia SecurePaper, mettendo a disposizione un supporto automatico per la verifica tra il documento digitale contenuto nei codici grafici ed il documento visualizzabile, che è quello che può essere contraffatto.
In figura 1 Finestra di confronto automatico dell’applicazione di verifica che evidenzia la differenza riscontrata tra documento originale valido ai fni legali (a sinistra) e documento visualizzabile e contraffattibile (a destra)
24 iged.it 04.2011 24_26_h.indd 2
26/01/12 17.02
Untitled-1 1
26/01/12 18:09
Inoltre, il Viewer è accessibile secondo quanto previsto dalla legge Stanca, che prevede che tale funzionalità sia sempre resa disponibile per prodotti di questa tipologia. Oltre all’estrazione del documento originale quindi il Viewer ne permette la verifica, evidenziando automaticamente eventuali parti del documento che potrebbero essere state modificate. Abbiamo lavorato molto in questa direzione fin dall’inizio in quanto tale funzione consente agli utilizzatori di avere un veloce e facile controllo automatico dei documenti, lasciando all’utilizzatore solamente di decidere se la contraffazione debba ritenersi maliziosa o imputabile ad un maltrattamento della carta. Immaginiamo invece di dover fare la verifica di un documento senza un automatismo di verifica e confronto, in pratica dovremmo leggere tutti e due i documenti o sovrapporli controluce. Tutto ciò risulta poco sicuro, alla luce dei sofisticati sistemi di contraffazione utilizzabili, e quantomeno anche anacronistico. Dopo questa fase il documento estratto può essere reinserito nel circuito digitale senza dover archiviare carta. I documenti così creati possono passare dalla forma digitale a quella cartacea e tornare digitali senza perdere in alcun modo il contenuto informativo originale, potendo essere controllati in qualsiasi momento e mantenendo sempre, quello che viene definito dai tecnici il “trust digitale”, evitando così disallineamenti informativi potenzialmente pericolosi dovuti ad errori di imputazione o alle falsificazioni.
Attualmente vengono securizzati, con la nostra tecnologia, circa 50 milioni di documenti (più di 100 milioni di pagine in totale) sotto forma di Cedolini Stipendiali, Certificazioni finanziarie, DURC, Gazzette Ufficiali, Certificati Anagrafici, Certificati Assicurativi e Pagelle Scolastiche; tutti documenti emessi in digitale, ma che in caso di trasformazione in cartaceo, senza l’utilizzo di questa tecnologia, perderebbero le caratteristiche di originalità proprie del documento originale firmato digitalmente e potrebbero creare problemi, ma soprattutto onerosi costi per la comunità se opportunamente falsificati. È bene sottolineare che, come tutte le tecnologie, il Contrassegno Elettronico (o Timbro Digitale) non può essere considerata la cura di tutti problemi legati al processo di digitalizzazione del paese Italia ma è bene, secondo noi, fare delle considerazioni importanti e quindi, dopo aver speso molte parole per dire cosa è il “Contrassegno Elettronico” è opportuno spenderne qualcun’altra per dire anche cosa non è. Prima di tutto questa tecnologia non è un sistema di archiviazione documentale quindi, per essere aderenti alla normativa, il documento generato deve prevedere una conservazione digitale a norma. Il Contrassegno Elettronico è utile ogni volta in cui si possa prevedere che la documentazione digitale emessa possa essere stampata per essere sottoposta a verifica di terzi, o perché non è possibile avere accesso immediato al documento digitale originale oppure perché si vuole o si è nella sola condizione di dover consegnare o esporre il documento digitale in formato cartaceo, garantendosi però la possibilità di riacquisirlo in un circuito digitale e/o verificarlo senza onerosi iter. Per finire, il Contrassegno Elettronico non serve se esiste un accesso diretto alla base dati di emissione. La domanda è: Quando potremo affermare con certezza che è sempre possibile avere accesso diretto alla base dati di emissione dei documenti informatici? La risposta è: Fin quando non saremo in condizione di poter affermare che ciò è sempre possibile il Contrassegno Elettronico sarà opportuno utilizzarlo. In altre parole l’utilizzo di tecnologie ibride come il timbro digitale sarà necessario fin quando tutti non avranno un accesso diretto alle basi dati o documenti digitali originali.
MARCO POLSI
In figura 2 Alcuni documenti gestiti con tecnologia SecurePaper
Direttore Operativo e Marketing LAND
26 iged.it 04.2011 24_26_h.indd 4
26/01/12 17.02
Stampa e Spedizione Archiviazione documentale Conservazione digitale Responsabile di conservazione Fatturazione elettronica Stoccaggio e Dematerializzazione Servizi alle Pubbliche Amministrazioni
Consulenza
RFID
Affidate a mani esperte i vostri dati piu’ preziosi Certificazione ISO 27001:2005
Associato
CSQ-DATA: Certificato n.9194.BM&P IMQ conferma a BM&PLANETA il conseguimento della certificazione ISO 27001:2005 BM&PLANETA ha superato con successo la verifica ispettiva effettuata dall’ente internazionale IMQ sul proprio Sistema di Gestione della Sicurezza delle Informazioni, sviluppato e applicato nel rispetto della normativa ISO 27001:2005. Il rilascio della certificazione CSQ-DATA é avvenuta in data 18/07/2011.
www.bmplaneta.it Per maggiori informazioni contattare il numero 0521-993259 o scrivere a: infocom@bmplaneta.it
Untitled-1 1 1 23_27_h.indd
26/01/12 18/10/11 18:01 20:39
omat
OMAT ROMA 2011 – TAVOLA ROTONDA Tra presente e futuro: la rivoluzione digitale nelle imprese e nella PA AUTORE
MAURZIO ARATA
Quali sono le opportunità che le imprese (in particolare le PMI) possono cogliere per sfruttare al meglio questo momento di cambiamento? Quali sono le prospettive di sviluppo e quali i temi aperti? Come cavalcare il fenomeno Cloud nella gestione quotidiana di un’impresa? Le ultime normative che impongono nuove modalità di dialogo con le amministrazioni. Posta elettronica certificata e fatturazione elettronica in primis. Grazie a un dibattito tra esperti, esponenti della PA e fornitori, la sessione si è posta l’obiettivo di rispondere a queste e molte altre fondamentali domande. Queste le tematiche che indicativamente si sono sviluppate, e vedremo come, all’ultima sessione della Tavola Rotonda di Omat Roma. Ad aprire la tavola rotonda è il giornalista conduttore Arturo Di Corinto che chiede un minuto di raccoglimento per il Governo. (Siamo ancora all’epoca in cui sta per concludersi il Governo Berlusconi, e Ministro per le PA è ancora Renato Brunetta). Forse era un segnale premonitore? Al cuore del dibattito stanno l’Information Management e l’automazione dei dati dal punto di vista sociale, economico, politico…e anche filosofico. Apprezzamenti importanti durante il convegno si sono esplicitati a favore di DigitPa. Pur se non si è parlato molto di innovazione, si è parlato di CAD, di firma
digitale elettronica…, ma cosa serve realmente a questo paese per uscire dalla crisi, basandosi sull’ICT e sulle varie competenze, intelligenze e capacità d’impresa che abbiamo? Quali sono le nostre esperienze, quale la situazione del mercato? Coll’invito a creare una discussione dinamica viene data la parola all’Ing. Procaccino di Accenture. “La domanda è troppo vasta, quindi meglio cominciare intendendo il mercato dal punto di vista di domanda-offerta di tecnologia. A partire dalle PA, che sono il tema, c’è ancora poca domanda di innovazione tecnologica. Una gran parte di spese dal budget sono sulla manutenzione dei sistemi esistenti. La parte progettualità, l’innovazione, le cose da fare.. si stanno assottigliando sempre di più. Si continua a tenere in vita un parco alquanto vecchio e obsoleto, senza avere volontà e capacità di fare
invece dismissioni che consentirebbero risparmi, o quantomeno di risparmiare budget. Un mercato che si muove ancora vecchio stile. Con una PA ancora organizzata in maniera gerarchica, con vari livelli ed una visione per Sylos, e con pochissima interazione. Con una grande difficoltà per gli imprenditori ad avere un unico interlocutore. Oggi il mondo è social, senza gerarchie, senza capi, e si muove in un’ottica molto diversa da quella della nostra Pubblica Amministrazione. Una spinta che sta nei fatti è difficile da capire, da proporre, a fronte anche ad una difficoltà culturale di pensare e di offrire servizio ai cittadini in modo nuovo”. Sul viatico appena proposto, viene invitato a prendere la parola il Dr. Zaffagnini, Amministratore di Top Consult. “Da venticinque anni, questo febbraio, il nostro lavoro è dedicato alla GED, per
Sul portale www.omat360.it è disponibile un numero speciale di iged.it online interamente dedicato a OMAT Roma 2011. Buona lettura!
28 iged.it 04.2011 27-32_h.indd 2
26/01/12 17.03
invitare le aziende all’uso dell’informatica, attraverso il prodotto Top Media, presentato la prima volta allo SMAU nel 1992. Ora, vent’anni dopo, ovviamente non è più lo stesso prodotto di allora... ha seguito le nuove piattaforme, non è più un unico prodotto, ma una famiglia di soluzioni volte a portare le aziende ad un processo di digitalizzazione dei documenti. L’obiettivo è stato raggiunto grazie alle nuove tecnologie e grazie ai clienti stessi. Già nel ’94, col processo di Archiviazione dei documenti, fummo nella nuova fase applicativa, per poi nel’99 porre in atto il primo intervento di Archiviazione per le PA, con il comune di Pesaro. L’importante era capire come queste nuove tecnologie avrebbero potuto essere accettate dalle persone e mantenute, con obbligo legale, per dieci anni. Oggi stiamo lavorando con ACI Informatica e la domanda è fortissima. Oggi che i computer sono in tutte le case e non solo nelle aziende, come negli anni ’80-’90, come può un azienda aiutare gli utenti ad essere sempre più veloci, e nel contempo a non perdere il controllo delle informazioni? Come fare ad essere più efficienti? Un esempio è la PEC: se
è obbligatoria, non solo si usa, ma ci si espone anche alle PEC che si ricevono. Pensare di non presidiare la PEC, che è oggi la nuova raccomandata, vuol dire andare a perdere il controllo di quello che si fa.” Un buon punto di aggancio per il Dr. Danilo Cattaneo di Infocert… dice Di Corinto. “Pensando anche che in alcuni settori ICT, pare che questa crisi non si senta troppo...”. “Infocert è un’azienda che ha solo prodotti per la dematerializzazione. C’è crisi non c’è crisi? Dal punto di vista tecnologico c’è tutto quello che serve, dal punto di vista normativo…quasi tutto. Se non siamo i primi in Europa siamo comunque tra i primi. Certamente oggi c’è una crisi, sia le PA sia molte aziende private hanno tagli sui budget. Forse grazie alla crisi, nel nostro ambito, il solo segmento Banche e Assicurazioni è cresciuto più del 100%. Oggi tutte le aziende stanno facendo una corsa per dotarsi di PEC. C’è una Norma, ma è anche una opportunità per tutti e la posta normale viene meno. Un esempio è la fatturazione, dove una fattura viene inviata in PDF e autenticata con la
PEC. Le eccellenze sono ancora poche, ma Autostrade, o alcuni casi nella Sanità, sono considerai esempio in Europa. Con risparmi e miglioramento della qualità dei servizi per tutti.” “Dal punto di vista di far funzionare le cose” prosegue Di Corinto, la parola passa all’Ing. Giorgio De Rita, Direttore Generale di DigitPA. “Negli ultimi dieci anni, la sola amministrazione centrale pubblica ha ingoiato quasi 25 miliardi di euro di beni e servizi informatici, ha costruito, più o meno bene, un patrimonio di tecnologie, di cultura, di risorse, di software. Oggi questo patrimonio si interroga su fare innovazione e nello stesso tempo sulla conservazione degli investimenti fatti, cercando di valorizzarli al meglio. L’amministrazione pubblica dello Stato ha una visione piuttosto lenta rispetto alla trasformazione del mercato, reagisce con un ritardo quasi naturale. Oggi davanti a nuovi slogan come App, Open Data, Cloud, vi sono due modi di reagire: il primo <sto a guardare>, voglio vedere e capire, poichè lanciarsi troppo in avanti per la PA è rischioso; il secondo è <capire come rimanere anco-
iged.it 04.2011
27-32_h.indd 3
29 26/01/12 17.04
rati alle nuove tecnologie>, rendendosi conto che rimanendo troppo indietro si rischia di perdere un treno che sta correndo veloce. Attualmente abbiamo un incremento del 30% preventivato sui nuovi investimenti per la crescita della capacità di innovazione nelle Pubbliche Amministrazioni. Per DigitPA la gara diventa testimonianza di un modello nuovo, di un nuovo assetto competitivo, attraverso quattro elementi principali. Dal 2012, in primo luogo, entreranno in vigore una serie straordinaria di regole tecniche, conservazione, firme elettroniche, pagamenti, fatturazione elettronica, disaster recovery. In secondo luogo, sarà un anno dove abbandoneremo la proroga della proroga della proroga.. la strategia è quella di dire basta! Meglio scontare difficoltà per qualche mese, ma abbandonare l’idea che la proroga ci arrivi. Terzo punto è l’interoperabilità, l’esigenza da parte delle PA di riuscire a condividere i dati. Infine, vi sarà una trasformazione tecnologica. Occorre mettere mano all’infrastruttura tecnologica di un Paese che ha le sue caratteristiche di frammentazioni amministrative e di territorio, per dare impulso di sviluppo e semplificazione per il cittadino, impresa o utente che sia. L’amministrazione, per l’informatica, i soldi li ha.. e se non li ha, li trova. Beni e servizi per l’informatica sono esclusi dai tagli, quindi è inutile nascondersi dietro al problema dei costi. Ovviamente, non dimenticando risparmio e razionalizzazione della spesa.” Di Corinto puntualizza sul fatto che “esiste un disagio diffuso”, che, ad esempio, “i soldi per la banda larga non arrivano mai , la cooperazione applicativa non decolla, le PA hanno difficoltà a scambiarsi i dati e nell’approccio agli Open Data, l’aprirsi nuovi spazi di mercato e il rendersi competitivi anche nei confronti degli altri paesi.. le cose non vanno benissimo. Poi c’è sempre un problema di carenza di finanziamenti per la ricerca scientifica e tecnologica.” e prosegue introducendo il Prof. Mario Dal Co, Direttore Generale dell’Agenzia per l’Innovazione, reduce anche da una importante missione per un accordo con la Cina nell’ambito dell’innovazione. “Possiamo fare di più
e meglio?” “Anzitutto, si deve sottolineare che l’Agenzia per l’Innovazione nasce per favorire l’innovazione nelle aziende e si occupa delle PA in quanto possibile mercato. Abbiamo bisogno di innovazione nel senso più largo, non di spezzoni di tecnologia. Le risorse umane nelle PA non sono meno capaci che nel privato, ma sono regolate da un sistema che ne penalizza l’assunzione di responsabilità, la capacità decisionale, la motivazione. In quanto agli Open Data, il problema è reinterpretare, se non riscrivere, la normativa sulla tutela della privacy, altrimenti l’interoperabilità ce la scordiamo, perché si rimarrebbe alla frammentazione culturale, campanilistica, ma soprattutto normativo - amministrativa. Dobbiamo imparare ad utilizzare ciò che l’innovazione ci offre, a partire dal web 2.0 che fornisce tecnologie, non ideologie. Non basta l’Open Data, dobbiamo ridefinire i diritti dei cittadini sui loro dati, partendo dal presupposto che i dati che li riguardano, ad esempio il fascicolo sanitario, sono proprietà dei cittadini. Il Ministero della Sanità non lo riconosce, i medici non lo riconoscono, le leggi non lo riconoscono… ma se non si risolvono questi problemi, Open Data e interoperabilità ce li possiamo scordare.” Dal pubblico viene posto il problema della “fiducia” nella macchina amministrativa che manca, e che i cittadini
invece vorrebbero avere. E, partendo dal fascicolo sanitario, chi garantisce la sicurezza dei nostri dati, chi garantisce che la condivisione degli stessi avvenga fra le persone qualificate a questo, e che invece non finiscano in mani sbagliate? La conduzione lascia lo spazio nuovamente all’Ing. De Rita, avendo DigitPA un ruolo cruciale tanto nell’innovazione della macchina amministrativa, quanto nella vigilanza, controllo, certificazione, formazione. “L’Italia è un bellissimo e grande Paese, ed ha una Amministrazione che è figlia della sua storia, nel bene e nel male. Non credo debba esservi un giudizio negativo e tranchant. Problema PEC? Che ce ne sono troppe. Comunque, il suo utilizzo qualche cosa al sistema porta. Il Paese cammina con passo lento, ma bisogna sapere che cammina e avanza. Certo, i Cinesi vanno velocissimi rispetto a noi, ma è una storia diversa. Serve scambiarsi le idee su una visione lunga, non sul mercato dei prossimi quindici giorni. L’interoperabilità porta certamente con sé vari problemi come la sicurezza dei dati, e la capacità di mettere intelligenza nell’assetto informativo pubblico è fondamentale. Vi sono varie infrastrutture fatte bene, un esempio è il Registro delle Opposizioni, dove basta iscriversi per dire se si vuole o meno ricevere la pubblicità.
30 iged.it 04.2011 27-32_h.indd 4
26/01/12 17.04
No i che st am pa va m o i doc u m e n t i su c a rt a No i che arch i vi a va m o i doc u m e n t i i n sc a ff a l i No i o ra... la Scr i v an i a D i gi t al e o l im po
Olimpo per gestire i flussi documentali dallâ&#x20AC;&#x2122;esterno | interni | verso lâ&#x20AC;&#x2122;esterno i pRoCESSi
per produrre e gestire documenti atti,
delibere,
determine,
verbali,
istanze,
report,
corrispondenza, tabelle,
elenchi,
mailing
list,
statistiche, relazioni, contratti, lettere, i WoRKFloW
documenti contabili, provvedimenti fascicoli, documenti
applicativi...
per pubblicare sul web protocollo informatico pec | posta fax | firma digitale Archivio documentale Scadenziario
Dematerializzazione COMUNI ENTI LOCALI
AZIENDE PROFESSIONISTI
www.siscom.eu SoFtWARE houSE
27-32_h.indd 5
info@siscom.eu
26/01/12 17.04
NON PERDETE IL PROSSIMO APPUNTAMENTO CON OMAT! A Milano il 27 e 28 marzo 2012, presso l’Atahotel Executive viale Don Luigi Sturzo 45 Tanto più il dato è sicuro, in materia di interoperabilità o condivisione, tanto più è fruibile. Vi è la paura di mettersi insieme, che nasce dalla paura di perdere qualche privilegio, qualche possibilità, qualche informazione, qualche piccolo finanziamento.” Di Corinto sottolinea quanto tutto questo, in linea con il 150° anniversario d’Italia, sia un invito all’unità. E prosegue dicendo che servirebbe uno strumento.. un .org dove i cittadini possano vedere tutte le cose buone che sono state fatte. Interviene l’Ing. De Rita, aggiungendo che le cose fatte sono state fatte, e che il vero tema, semmai, è vedere quali sono gli impegni sulle cose da fare. Poi è la volta di Accenture rappresentata dall’Ing. Procaccino. “Con ansia stiamo attendendo il Decreto sulla Fatturazione Elettronica, a cui ci siamo dedicati e che porta innovazione tanto alle aziende come all’informatica, alle Amministrazioni Pubbliche. Un investimento a costo zero. Serve, in generale, un sistema di investimento che sia compatibile con i tempi: se dalla nascita di un progetto alla sua attuazione intercorre un anno e mezzo, sul piano tecnologico nel frattempo è già tutto cambiato.” Continua il Dr. Zaffagnini, in qualità di operatore di mercato. “Investimento a costo zero: andare dall’azienda, proporle una nuova tecnologia, farle capire il risparmio che ne deriverà, ma anche che fornirà nuovi servizi, consentendole di crescere sul
mercato e diventare più competitiva. Aprirsi a questo ragionamento, anche da parte delle PA, è la cosa più sana. E parlando della Gestione Elettronica dei Documenti, ad esempio, chi più di un’amministrazione locale o centrale vive di carta? Vi sono Asl che stanno utilizzando il Fascicolo Sanitario, cosa non semplice in quanto a sicurezza e privacy, considerando che una fattura elettronica è ben diversa da una TAC, che pesa come mille fatture. Questo sistema consente risparmi e sicurezza per i degenti e i cittadini. Devo constatare, purtroppo, che chi sta utilizzando l’innovazione sono Asl per lo più della Lombardia, del Veneto o dell’Emilia Romagna, mentre c’è molta inerzia in particolare al Sud, anche per la difesa del proprio status quo. Qualcuno magari ci guadagna con la carta… Quanto alla PEC, le PEC ci sono e, per quanto siano perfettibili, è bene imparare a sfruttarle.” A chiudere la Tavola Rotonda è il Prof. Dal Co. “C’è sicuramente una pressione innovativa da parte delle aziende, e non mi riferisco tanto alle piccole o medie imprese, quanto ai grandi operatori mondiali, della rete, delle piattaforme, delle soluzioni tecnologiche, che spingono su un mercato internazionale che ha una sua logica ed una sua capacità di fascinazione. Noi siamo prudenti rispetto a questa fantasmagoria non perché si voglia frenare, ma perché si vuol prima capire come queste soluzioni possano es-
sere adattate alle nostre risorse umane. Pur vedendo cose strabilianti, vi sono anche molti punti deboli, basti pensare ad esempio alla sicurezza. Conoscere questo mondo, capirne i linguaggi e portarlo ad essere servizio è importante, ma non dobbiamo altresì confonderci, pensando che le nostra PA debbano essere su questa frontiera tecnologica. Le nostre PA devono essere anzitutto capaci di stare nello standard, assicurando le funzioni fondamentali.” Come dicevo all’inizio, tutto questo accadeva l’altro ieri, nel frattempo vi è un nuovo Governo, peraltro tecnico, cosa verrà mantenuto, cosa conservato, cosa modificato o rinnovato? Staremo a vedere, e mantenendo un qualche po’ di ottimismo che male non fa, augurandoci che tutto proceda per il meglio.
MAURZIO ARATA
Giornalista, Condirettore di Voicecom news
32 iged.it 04.2011 27-32_h.indd 6
26/01/12 17.04
Anorc informa
P Responsabile interno ed esterno della conservazione digitale dei documenti: accreditamento, certificazione di processi e deleghe nel “nuovo” Codice della amministrazione digitale AUTORE
ANDREA LISI
ochi interpreti hanno realmente approfondito le novità contenute negli articoli 44 e 44bis del Codice dell’amministrazione digitale come recentemente modificato dal D.lgs. 235/2010. Eppure sono presenti dei cambiamenti di rilievo che hanno implicazioni importanti per i futuri processi di conservazione digitale dei documenti Prima di tutto il comma 1° dell’art. 44 dedicato ai requisiti per la conservazione dei documenti informatici ha ribadito che tale sistema di conservazione deve assicurare: a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; b) l’integrità del documento; c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari; iged.it 04.2011
33-35_h.indd 1
33 26/01/12 17.05
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto. Tali importanti principi devono caratterizzare pertanto qualsiasi sistema di conservazione digitale che dovrà garantire, quindi, anche gli aspetti delicati della protezione dei dati personali. Per tale motivo, il comma successivo (introdotto dalla riforma) precisa che il sistema di conservazione dei documenti informatici viene gestito da un responsabile che deve operare d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza. La conservazione si fa in tre, quindi. E il processo di conservazione non può prescindere dalla analisi attenta della fase di formazione dei documenti, al fine di garantire l’autenticità degli stessi e, quindi, preservarne l’integrità nel tempo. Su questi aspetti si sta lavorando molto nelle nuove regole tecniche che dovrebbero vedere la luce a breve e ai cui tavoli di lavoro ANORC ha attivamente partecipato. Il nuovo comma 1-ter evidenzia, inoltre, che il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione (a quanto stabilito dall’articolo 431 e dalle regole tecniche ivi previste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offrano idonee garanzie organizzative e tecnologiche. L’attenta lettura di questo comma permette di evidenziare che ogni struttura (pubblica o privata che sia) deve sempre e comunque nominare un suo responsabile interno della conservazione, il quale, a sua volta, potrà decidere se farsi semplicemente certificare il processo avviato oppure farsi assistere nell’implementazione dello stesso. Appare ovvio evidenziare che la certificazione di conformità dei processi di conservazione dovrà essere
ANORC PARTECIPA AL FORUM ITALIANO SULLA FATTURAZIONE ELETTRONICA Lo scorso 20 dicembre ANORC ha partecipato con i suoi rappresentanti al primo incontro del Forum italiano sulla fatturazione elettronica presso la sede centrale del Ministero delle Economie e delle Finanze. Il Forum, che sta coinvolgendo stakeholders della Pubblica Amministrazione e del mondo privato, ha come obiettivo quello di ‘individuare e proporre misure atte a favorire l’adozione della fatturazione elettronica da parte di imprese e lavoratori autonomi, preservando l’interoperabilità transfrontaliera dei soggetti che utilizzano la fatturazione elettronica’, operando a livello nazionale di concerto con l’europeo Multi-Stakeholder Forum on e-invoicing, istituito il 2 dicembre del 2010. La Commissione Europea, infatti, considera la fatturazione elettronica parte determinante dell’Agenda Digitale Europea e nelle sue intenzioni c’è quella di farla diventare il principale sistema di fatturazione utilizzato in Europa entro il 2020. ANORC si è proposta di portare il proprio contributo in tutti e quattro i gruppi di lavoro istituiti dal Forum, in particolare quello sugli standard (candidandosi in qualità di coordinatore) e quello normativo e ha sostenuto la centralità dei sistemi di conservazione per garantire l’immodificabilità e la disponibilità nel tempo della documentazione fiscalmente rilevante, anche alla luce del fatto che in ambito comunitario il sistema di firma elettronica nei processi di fatturazione è stato messo in discussione da alcuni stati membri. Nella direzione di un ulteriore diffusione della fatturazione elettronica si sono mosse anche le modifiche apportate in sede di conversione del decreto ‘Salva Italia’ (decreto legge 201/2011), che hanno riconosciuto nelle pubbliche amministrazioni ‘centrali e locali’ i soggetti per cui questa prassi diverrà obbligatoria, oltre all’imminente adozione del secondo decreto attuativo della misura presente nella legge 244/2007. Le PA, infatti, non potranno più accettare dai propri fornitori fatture cartacee né potranno, di conseguenza, provvedere al pagamento finché non avranno ricevuto la fattura in formato elettronico. La ragione di queste misure sta non solo nell’uniformazione alle direttive europee e nella riduzione dei costi che la gestione elettronica delle fatture consente, ma anche nella maggiore tracciabilità che essa garantisce, candidandosi come importante strumento di contrasto alle frodi nonché come misura di stimolo a una maggiore trasparenza fiscale.
sviluppata da soggetti pubblici o privati che offrano garanzie di terzietà, esperienza e competenza per poter svolgere questo delicato servizio. Altrettanto ovvio è che il servizio di conservazione affidato all’esterno potrà essere svolto da soggetti (pubblici o privati) essenzialmente diversi dai certificatori e che offrano idonee garanzie al riguardo. Ci sembra superfluo ricordare in proposito che rimane titolare e responsabile del documento da conservare chi lo ha prodotto e/o legittimamente lo detiene, il quale non potrà deresponsabilizzarsi affidandone all’esterno la sua custodia: rimangono in vigore i vecchi principi della culpa in eligendo e della culpa in vigilando e una precisa contrattualizzazione del servizio deve ritenersi indispensabile. Ulteriori importanti implicazioni rispetto al passato vengono introdotte dal successivo art. 44-bis. Secondo quanto
stabilito da tale norma, i soggetti pubblici e privati che svolgono attività di conservazione dei documenti o di certificazione dei relativi processi, possono accreditarsi presso DigitPA per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità e sicurezza. I certificatori o i conservatori che intendano conseguire tale riconoscimento dovranno, quindi, presentare domanda di accreditamento presso DigitPA secondo le regole, ove compatibili, previste dagli articoli 26, 27, 29 e 31 del CAD. A seguito dell’accoglimento della domanda, DigitPA dovrà disporre l’iscrizione del richiedente in un apposito elenco pubblico, tenuto da DigitPA stesso e consultabile anche in via telematica, ai fini dell’applicazione della disciplina in questione. Il Conservatore/Certificatore accreditato potrà così qualificarsi come
34 iged.it 04.2011 33-35_h.indd 2
26/01/12 17.05
tale nei rapporti commerciali e con le pubbliche amministrazioni. A breve verranno pubblicate le Linee Guida di DigitPA che contengono le modalità specifiche per inoltrare la domanda. In verità, la normativa generale non prevede in alcuno dei suoi punti una delega a DigitPA per la definizione di Regole Tecniche e/o Linee Guida ai fini di avviare l’accreditamento, ma opera solo un generico rinvio alle vecchie regole contenute nel CAD (solo ove compatibili) per l’accreditamento dei certificatori di firma digitale. Per questo, appare indubbio che, in assenza di più specifiche e comunque opportune indicazioni fornite da DigitPA, la domanda possa essere già inoltrata e, in caso di mancata comunicazione di un motivato diniego da parte di DigiPA, debba considerarsi accolta. NOTE 1 Art. 43 CAD Riproduzione e conservazione dei documenti. 1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformità dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71. 2. Restano validi i documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento già conservati mediante riproduzione su supporto fotografico, su supporto ottico o con altro processo idoneo a garantire la conformità dei documenti agli originali. 3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71. 4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42.
ANDREA LISI
Ufficio di Presidenza ANORC Digital&Law Department - Studio Legale Lisi - www.studiolegalelisi.it
NOTIZIE DALLA SEGRETERIA INTERNAZIONALE ANORC Nella società dell’informazione, se la libera circolazione dei cittadini è un dato ormai acquisito, la altrettanto libera e rapida circolazione delle informazioni e dei dati è un elemento necessario, da cui nessun processo (sociale, economico, commerciale) può prescindere, tantomeno in ambito comunitario. ANORC da tempo si sta occupando di monitorare l’efficace svolgimento di tante procedure che, normate dal sistema giuridico nazionale, hanno inevitabilmente un’origine comunitaria cui è necessario tornare nel momento in cui si devono considerare degli standard. Il trattamento dei dati è infatti una delle priorità su cui tutti gli organismi istituzionali si stanno confrontando, e l’Europa si interroga sempre di più su come conciliare al meglio esigenze di efficacia con i principi di sicurezza e rispondenza alle norme nazionali, mettendo sul tavolo dei lavori l’ipotesi di una rapida e completa diffusione del Cloud Computing, strategia già portata nella DAE - Agenda Digitale per l’Europa (http://ec.europa.eu/information_society/digital-agenda/index_en.htm). La responsabile per l’Agenda Digitale Europea, Neelie Kroes, ha indicato tre passaggi necessari a tale scopo: l’analisi e la gestione di un quadro giuridico che riguarda la protezione dei dati e la privacy che tenga presenti le normative nazionali; l’analisi e la gestione di aspetti tecnici e commerciali, per estendere il sostegno alla ricerca e concentrarsi su questioni fondamentali come la sicurezza e la disponibilità di servizi cloud; l’analisi e la gestione di un mercato in modo da stimolare progetti sperimentali con l’uso del cloud computing. Per incentivare la richiesta di servizi di cloud computing nel pubblico, la Commissione si impegnerà con partner a livello nazionale e regionale per lavorare su approcci comuni. ANORC in questa fase ha tutte le carte per giocare un’importante e utile partita, in raccordo con i suoi omologhi nazionali in altri Paesi UE, offrendo know-how e capacità di analisi tecnico-normativa. La divisione Foreign Affairs si muove esattamente in questa direzione, operando un utile confronto con le criticità e con i risultati di altri contesti europei, in modo da lavorare nel processo di rilevazione e mediazione, necessario per far sì che i provvedimenti siano corretti e soprattutto coerenti con lo status dei fatti e dei luoghi.
COSTITUITO IL GRUPPO DI LAVORO ANORC SULLA DEMATERIALIZZAZIONE E CONSERVAZIONE SOSTITUTIVA DELLA CARTELLA CLINICA La cartella clinica è un documento caratterizzato da molte specificità, che lo rendono un nodo cruciale nel panorama della digitalizzazione documentale. Proprio per analizzare i diversi aspetti della sua dematerializzazione e conservazione ANORC ha istituito un Gruppo di Lavoro, col fine di scrivere delle Linee Guida che siano direttive pratiche per tutti i soggetti coinvolti in tale importante e delicato processo. Nello specifico il Gruppo di Lavoro ANORC si concentrerà sull’analisi della normativa nazionale e regionale di riferimento, dei diversi aspetti e delle criticità caratterizzanti le singole fasi del processo di dematerializzazione e conservazione sostitutiva della cartelle cliniche e delle responsabilità di tutti gli attori coinvolti nel processo in questione, soprattutto in relazione al rispetto della normativa in materia di protezione dei dati personali dei pazienti intestatari delle cartelle cliniche.
iged.it 04.2011
33-35_h.indd 3
35 26/01/12 17.06
approfondimenti
Come funziona la firma grafometrica? Uno sguardo alle funzionalità della firma grafometrica, per conoscerla meglio e per usarla senza problemi, ma anche con la giusta consapevolezza dei pregi e dei difetti
AUTORE
GIOVANNI MANCA
INTRODUZIONE Il nostro lettore, sempre molto attento, ricorderà l’articolo “Tecnologie per la firma elettronica avanzata” pubblicato su questa rivista nel numero del primo trimestre 2011. In particolare gli chiediamo di ricordare la parte sulla firma biometrica, ovvero quel particolare tipo di firma elettronica avanzata che si ottiene dal rilevamento dinamico dei dati calligrafici (ritmo, pressione, velocità, inclinazione della penna, movimento, ecc.) della firma di un individuo tramite una penna elettronica. Questa tipologia di sottoscrizione si sta diffondendo molto rapidamente nelle banche, anche se il termine biometrica, viene sostituito con grafometrica, forse per qualche sorta di pudore nei confronti dei temi della privacy. Quindi nel seguito, anche noi, seguiremo la moda e parleremo di grafometria piuttosto che di biometria. In particolare in questa sede illustriamo, in modo sintetico, le funzionalità della firma grafometrica non solo dal punto di vista strettamente biometrico, ma anche da quello della sicurezza dei sistemi di sottoscrizione. Ciò per rispondere ai quesiti dei nuovi potenziali utenti che si avvicinano ancora con un certo scetticismo a questo tipo di soluzioni informatiche. Non solo, ma si vorrebbe anche frenare gli entusiasmi di alcuni fornitori “d’assalto” che, ad esempio, affermano che la firma grafometrica non ha implicazioni di privacy perché l’unica biometria con tali potenziali problemi è quella delle impronte digitali. Questo è totalmente falso! La biometria della firma grafometrica è uguale alle altre e deve essere affrontata secondo la legge e le specifiche regole del ben noto Codice della privacy (D. lvo 196/2003). Cominciamo quindi a illustrare come funziona la firma grafometrica partendo dagli aspetti generali dell’architettura dei sistemi.
36 iged.it 04.2011 36-39_h.indd 2
27/01/12 18.05
ARCHITETTURA DEI SISTEMI GRAFOMETRICI Alla data esistono una dozzina di sistemi software che consentono di realizzare una firma grafometrica. A tali sistemi viene associato l’hardware della tavoletta che fa capo ad un numero di fornitori che è circa la metà di quelli del software. Uno di essi è decisamente leader, almeno in termini di numerosità di componenti distribuite sul mercato. Pur nella specifiche caratteristiche dei singoli sistemi l’architettura di massima di ciascuno di essi è pressoché la stessa. Sulla postazione di lavoro, fissa o portatile. è installato un software che colloquia con la tavoletta grafica. La connessione tra tavoletta e computer avviene tramite un cavo con interfaccia USB. Se si opera con un portatile dotato di schermo sensibile ovviamente la tavoletta non deve essere utilizzata. È altresì interessante citare il fatto che recentemente anche uno smartphone è stato dotato di schermo sensibile alla pressione e di penna elettronica; anche tramite esso è quindi possibile generare firme elettroniche avanzate di tipo grafometrico.
Visto che parliamo di sottoscrizione si fa riferimento ad un documento che, tipicamente, è generato in modalità applicativa in formato PDF, con la disponibilità di uno o più campi firma. Il campo firma viene presentato al sottoscrittore in modalità esplicita sulla tavoletta. È opportuno prevedere che, per una buona “user experience”, il documento sia presentato sulla tavoletta oltre che sullo schermo del computer. L’utente firma e, grazie al cosiddetto “ink effect”, l’effetto grafico sulla tavoletta e nel campo firma del documento è quello di una classica firma su carta. In termini visivi potremmo anche pensare che la firma catturata sia una semplice scansione dell’originale, ma ovviamente non è così! Completata la firma l’utente può decidere di accettarla, premendo con la penna un pulsante di OK sulla tavoletta, o di rifarla annullando l’operazione appena compiuta. Se l’utente ha accettato, il documento è compiutamente firmato e si presenta sullo schermo con la sottoscrizione in bella vista nell’apposito campo. Se i sottoscrittori sono più di uno, l’operazione si ripeterà per
In figura Schema operativo di un sistema di Firma Grafometrica. 1. Apposizione della firma sullo schermo della tavoletta; 2. Generazione dei dati biometrici (statici e dinamici) e della forma grafica della firma; 3. Cifratura dei dati biometrici e immediata loro cancellazione; 4. Deposito della chiave in ambiente sicuro (Notaio, HSM, …); 5. Generazione della prima impronta documento + dati biometrici cifrati; 6. Generazione della seconda impronta prima impronta + dati biometrici in chiaro
iged.it 04.2011
36-39_h.indd 3
37 27/01/12 11.27
un numero di volte pari a quello dei sottoscrittori. A questo punto gli scettici cominciano a rendere omaggio alla loro caratteristica ed esprimono una serie di perplessità. La principale, anche perché la più ovvia, è: “Chi mi garantisce che la mia firma non possa essere estrapolata dal contesto e poi utilizzata per firmare altri documenti?” Abbiamo, però, anche quesiti più sofisticati come: “Come è possibile verificare una firma in caso di contenzioso?” E, poiché tre è il numero perfetto, vale la pena di citare un terzo quesito frequente: “Come la mettiamo con il trattamento di dati personali biometrici e con gli aspetti concernenti la privacy?” Gli scettici hanno un ruolo importante nelle applicazioni dove la sicurezza ICT svolge un ruolo importante perché evidenziano, anche in modo pedante, le cose poco chiare. Se siamo in grado di rispondere agli scettici in modo convincente e oggettivo sicuramente la nostra soluzione ha delle adeguate caratteristiche di sicurezza. Vediamo quindi come l’architettura in esame rende sicure le operazioni che abbiamo appena descritto. LA SICUREZZA DELLA FIRMA GRAFOMETRICA Analizziamo adesso le principali e fondamentali caratteristiche di sicurezza delle firme grafometriche. Ci baseremo su caratteristiche generali dei prodotti di mercato; pertanto i singoli prodotti possono avere caratteristiche specifiche. Un esempio può essere quello della tavoletta di acquisizione in grado di cifrare direttamente, via hardware, i dati biometrici e che, essendo caratteristica specifica di un ben individuato prodotto, non è trattabile in modo generale. Durante l’apposizione della firma da parte del sottoscrittore i dati biometrici, statici e dinamici, che la caratterizzano sono cifrati utilizzando tecniche simmetriche o asimmetriche (dipende dalle singole implementazioni) e memorizzati insieme al documento. Solo con la conoscenza della chiave primaria (che in genere è una chiave privata di tipo RSA lunga 2048) i dati biometrici possono essere estratti dal documento sottoscritto e magari esaminati nell’ambito di un contenzioso legale. Dopo il completamento delle operazioni di registrazione e memorizzazione i dati non cifrati vengono cancellati dalle memorie e sovrascritti in modo sicuro. Contemporaneamente alla gestione dei dati biometrici si genera la forma grafica della firma che è dinamicamente associata al documento. Per garantire la possibilità di verificare l’integrità del documento si calcola, con una funzione di hash di tipo SHA – 256, una prima impronta dello stesso più i dati biometrici cifrati. Quest’informazione è memorizzata nel documento. Una seconda impronta è, poi, calcolata sulla prima e sui dati biometrici in chiaro. Anch’essa è memorizzata nel documento. Completate le operazioni intermedie il documento viene memorizzato sulla postazione di lavoro. Proseguiamo la nostra descrizione generale con la gestione e verifica dell’integrità del documento sottoscritto.
L’INTEGRITÀ DEL DOCUMENTO SOTTOSCRITTO L’attento lettore avrà già colto che l’integrità del documento sottoscritto viene garantita mediante l’utilizzo delle funzioni di hash e il conseguente calcolo delle due impronte sopra descritte. Ricordiamo che l’impronta di un documento è diversa per documento diverso e non è possibile, allo stato attuale delle conoscenze, produrre un documento diverso dall’originale con la stessa impronta. La prima impronta che è stata calcolata serve a garantire un controllo semplice che può essere eseguito da qualsiasi utente senza disporre di informazioni riservate come chiavi private o master key simmetriche. In questo caso, infatti, un generico utente può ricalcolare l’impronta del documento senza problemi e verificare che il documento non sia stato alterato. Ovviamente la seconda impronta è quella decisiva per le verifiche, ad esempio, durante contenziosi legali. Essa va svolta in un ambiente con adeguata sicurezza e solo su specifiche autorizzazioni delle parti coinvolte. La master key viene utilizzata per decifrare i dati biometrici e calcolare questa nuova impronta. La verifica di integrità “complessa” adesso può essere effettuata. In genere la master key è conservata in un ambiente sicuro, affidato a un notaio o pubblico ufficiale equivalente. Una valida e più efficiente alternativa sul piano applicativo può essere costituita dalla gestione delle master key da parte di HSM (Hardware Security Module) simili a quelli utilizzati per le firme remote, ma specializzati nella gestione delle chiavi crittografiche anche di tipo simmetrico. Al documento viene, infine, apposta una firma elettronica con la classica tecnica delle chiavi asimmetriche. I certificati digitali contenenti la chiave utilizzati in alcuni prodotti sono auto firmati (self signed) per evitare di dover disporre di infrastrutture specifiche e complesse. Anche se alcune soluzioni di mercato la propongono, ha poco senso la sottoscrizione del documento con il certificato digitale installato su una smart card di firma qualificata Appurato che la sicurezza è di livello adeguato rimane da analizzare il tema della verifica della firma grafometrica. LA VERIFICA DELLA FIRMA GRAFOMETRICA La verifica della firma grafometrica ha un reale significato solo se avviene direttamente sul dato biometrico decifrato. Cambia poco in termini operativi tra quei casi che usano la firma per l’identificazione del sottoscrittore senza che questa sia stata associata a un documento e quelli che la utilizzano associata al documento sottoscritto. In entrambi i casi il dato biometrico, sia statico che dinamico, viene presentato da appositi “tool” in modalità forma d’onda per ciascuno dei macroparametri che costituiscono la calligrafia del firmatario. Tali dati possono essere analizzati da strumenti automatici che usano le verifiche dinamiche tipiche della biometria, con i rischi del caso sui tassi di false accettazioni (è buono il soggetto sbagliato) o di falsi rigetti (è rifiutato il soggetto buono), o da un perito grafologo. Nel primo caso i prodotti di mercato usano tecniche di soglia che sul dato analizzato tendono a tollerare di più (ma
38 iged.it 04.2011 36-39_h.indd 4
26/01/12 17.07
con percentuali bassissime) i falsi rigetti. Nel caso del perito, che opera con una professionalità coerente con quanto si fa con il cartaceo, qualche parametro in più che l’elettronica mette a disposizione migliora, in genere, l’efficacia e la correttezza delle perizie. CONCLUSIONI Naturalmente non è tutto oro ciò che luccica. La firma grafometrica è sicuramente molto più sicura di quanto pensino gli scettici, ma presenta ancora delle funzionalità poco chiare non perché non descritte dai fornitori, ma perché mancano analisi e pubblicazioni condotte da terze parti che i requisiti siano effettivamente quelli dichiarati. Manca poi un diffuso approccio organizzativo sulle modalità di utilizzo e sui processi di sicurezza che devono essere messi in campo per le operazioni di attivazione delle postazioni di lavoro o durante la verifica delle firme con i dati biometrici decifrati. Risulta anche molto timido l’approccio alla privacy che i più dicono non essere un problema, ma certamente una verifica preliminare, in linea con quanto previsto dall’art. 17 del Codice Privacy 1, condotta con successo pur essendo relativa al solo caso esaminato aiuterebbe a far evolvere il grado di consapevolezza sulla sicurezza che i fornitori e i system integrator non sempre amano. Il fatto che alcune aziende stiano valutando la certificazione Common Criteria della loro soluzione di firma grafometrica è, però, segno che qualcosa nel verso giusto si sta muovendo. Sappiamo che trascurare nel momento di crescita del prodotto la sua sicurezza non lascia alternative al suo fallimento senza speranze. NOTE
1
Art. 17 - Trattamento che presenta rischi specifici. 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
L’evoluzione della specie
ceralacca
timbro
firma digitale
CADES
SecurePaper
™
SecurePaper Scopri l’unica, vera soluzione di Timbro Digitale per rilasciare i tuoi certificati on-line, i tuoi cedolini stipendiali o qualsiasi altro documento certificativo.
GIOVANNI MANCA
Esperto di Dematerializzazione e Sicurezza ICT
LAND S.r.l. Via Affogalasino 40, 00148 Roma tel. +39 06.657481.1 - info@land.it - www.land.it 36-39_h.indd 5
26/01/12 17.07
approfondimenti
Le emanande regole tecniche sulla firma elettronica e i tablet di firma La Firma Elettronica Avanzata cosa è, come e quando la si può realizzare, quali le implicazioni? AUTORE
STEFANO ARBÌA
Il decreto legislativo 30 dicembre 2010, n. 235, ha nuovamente introdotto nel nostro ordinamento la firma elettronica avanzata conferendogli un importante valore giuridico: produce gli effetti dell’articolo 2702 del codice civile. Pertanto, il documento informatico sottoscritto con firma elettronica avanzata “fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”. L’articolo 21, comma 2, del D.Lgs 7 marzo 2005, n. 82, noto come Codice dell’Amministrazione Digitale
(CAD), come emendato dal D.Lgs 235/2010, eleva ulteriormente il valore probatorio della firma elettronica avanzata, disponendo che “L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”. Da un punto di vista procedurale tale disposizione è sostanzialmente rilevante. Difatti, è possibile disconoscere formalmente la scrittura privata prodotta con sottoscrizione autografa1, azione a seguito della quale la controparte deve procedere con un istanza di verificazione ai sensi dell’art. 216 codice di procedura civile2. Con la firma elettronica avanzata le cose cambiano. La citata previsione contenuta nell’art. 21, comma 2, del CAD, pone in capo al presunto sottoscrittore l’onere di provare che la propria firma sia riconducibile ad altro soggetto. Questa circostanza, introdotta da tempo per la firma digitale è conseguenza dell’impossibilità di utilizzare il dispositivo sicuro per la generazione della firma digitale ad insaputa del legittimo titolare dello stesso. Difatti, quest’ultimo dovrebbe non solo perdere il possesso materiale del dispositivo di firma, ovvero del dispositivo che concorre al processo di autenticazione nel caso di firma remota (ad esempio il proprio cellulare o chiave OTP), ma rendere conoscibili a terzi i codici di sicurezza che gli sono stati forniti. Con la firma elettronica avanzata, come anche con la firma digitale o qualificata, si ha quindi un’inversione dell’onere della prova che risulta essere in capo al sottoscrittore medesimo. Nello schema di regole tecniche di
prossima emanazione è stato introdotto un intero titolo dedicato alla firma elettronica avanzata. Il legislatore non ha indicato le tecnologie che devono essere utilizzate, ma non si tratta di una dimenticanza, affatto! L’intenzione è quella di rendere disponibili numerose soluzioni di firma elettronica che non siano vincolate a priori da scelte tecnologiche. Per tale ragione, le regole tecniche prescrivono gli obiettivi da raggiungere e le garanzie da offrire nella realizzazione di soluzioni di firma elettronica avanzata. Precisato che fino all’entrata in vigore delle nuove regole tecniche nessuna soluzione di firma elettronica avanzata esiste, può essere utile trattare la firma autografa su tablet, da alcuni chiamata firma grafo-metrica, da altri firma biometrica, che trova molto interesse, in quanto il sottoscrittore deve essere dotato esclusivamente di un unico “strumento”, la propria mano. L’idea di avere presso soggetti pubblici e privati un tablet attraverso cui raccogliere la firma autografa del sottoscrittore al fine di generare una firma elettronica avanzata, è certamente avvincente oltreché vincente. Sarebbe possibile dematerializzare alla fonte documenti molto diffusi quali, solo per fare un unico esempio, l’autorizzazione al trattamento dei propri dati personali. Occorre, però, fare attenzione, le norme prescrivono che le soluzioni di firma elettronica avanzata debbano garantire l’identificazione del firmatario del documento, la connessione univoca della firma al firmatario, il controllo esclusivo del firmatario del
40 iged.it 04.2011 40-41_h.indd 2
26/01/12 17.08
sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma. Questi dati costituiscono, ai sensi della legge 196/03, dati personali con le conseguenti attività necessarie per il trattamento e la protezione degli stessi. Ai tecnici che leggono questo articolo è immediatamente evidente che la mera raccolta dell’immagine della firma autografa non possa in alcun modo soddisfare i requisiti previsti, come è evidente la necessità di ricorrere a sistemi di crittografia, ad opportuni sistemi di registrazione delle operazioni effettuate, a specifiche procedure utili a contestualizzare l’utilizzo della soluzione di firma, ed altre accortezze tecniche ed operative che concorrano, nel loro insieme, alla realizzazione della “soluzione” di firma elettronica avanzata, termine attentamente scelto dal legislatore proprio per riferirsi al fatto che la firma elettronica avanzata non è realizzabile con uno strumento, ma con un insieme di elementi tecnologici, organizzativi e procedurali. In relazione allo strumento tablet, ricordiamo che il mercato offre numerosi dispositivi, da quelli che copiano l’immagine della firma autografa, certamente inadeguati allo scopo, a quelli che rilevano numerose caratteristiche biometriche (fra queste, velocità, pressione, inclinazione, tratti aerei, pause, accelerazione) che consentono di ricondurre la firma ad uno specifico soggetto, in quanto tipiche del soggetto stesso. Le norme, vigenti e le emanande regole tecniche, non individuano alcun organismo pubblico volto ad autorizzare o vigilare i soggetti che rendono disponibili queste soluzioni di firma elettronica né alcun tipo di valutazione della soluzione. Sostanzialmente, la realizzazione di questa tipologia di soluzioni di firma elettronica è libera, scevra da qualunque controllo da parte delle istituzioni. Ciononostante, il legislatore ha voluto tutelare in primo luogo la pubblica amministrazione, prescrivendo che i soggetti che intendono offrire alle stesse soluzioni di firma elettronica avanzata debbano aver ottenuto la certificazione ISO 9001 del proprio sistema di qualità e la certificazione ISO/IEC 27001
del proprio sistema di gestione per la sicurezza delle informazioni a supporto della soluzione offerta. Altra certificazione, sempre afferente la soluzione di firma elettronica avanzata, è la ISO/ IEC 15408 (eseguita con livello EAL 1 o superiore), nota anche come common criteria. Queste prescrizioni sono, nel loro insieme, volte a fornire delle garanzie sulla serietà del soggetto che propone la soluzione e sull’affidabilità della soluzione stessa. Per meglio comprendere quali possano essere i corretti fondamenti di una soluzione di firma elettronica avanzata, è utile qualche considerazione di carattere giuridico e processuale. Abbiamo già visto che la firma elettronica avanzata prevede la cosiddetta inversione dell’onere della prova: è il presunto sottoscrittore che deve provare che altri siano stati in grado di generare la firma oggetto della contestazione. Questo però non deve trarre in inganno. Il soggetto che ritiene di aver realizzato una soluzione di firma elettronica avanzata conforme alle regole tecniche, dovrà darne prova, solo dopo l’onere della prova sarà in capo al presunto sottoscrittore che intende disconoscere la propria sottoscrizione. Possiamo quindi affermare che, in caso di contestazioni, il giudice si formerà il proprio libero convincimento circa l’essenza della tipologia di firma elettronica in questione, valutando la soluzione nel suo insieme. A tale scopo non è sufficiente aver ottenuto le certificazioni precedentemente indicate, sebbene le stesse potranno influenzare positivamente la decisione del giudice. Questa è la differenza sostanziale fra la firma digitale o qualificata che sia e la firma elettronica avanzata. La prima richiede una semplice verifica eseguibile in numerosi modi (applicazioni su un PC, via WEB) che consente, grazie alla presenza di norme molto più puntuali, ad uno schema autorizzativo e alla vigilanza ad opera di un organismo pubblico3 di evincere “con un click” che si tratta di una firma digitale a norma. La firma elettronica avanzata, al contrario, potendo assumere infinite vesti, deve essere di volta in volta analizzata e valutata per poter essere definita tale. Tutto ciò non deve creare dubbi, la
firma elettronica avanzata è un’enorme opportunità e l’utilizzo delle tecnologie grafo-metriche possono costituire la chiave di volta per raggiungere una completa dematerializzazione con gli enormi benefici che ne derivano. Quello che è necessario fare è ciò che si fa da secoli: un’attenta analisi del rischio, dove il rischio è rappresentato dall’interesse che il sottoscrittore possa avere nel disconoscere la propria firma e, in molti casi, si evidenzierà l’inesistenza dello stesso. Per concludere è forse utile cogliere l’occasione per fornire un chiarimento sull’articolo 61 delle emanande regole tecniche. L’articolo individua alcuni strumenti che costituiscono soluzioni di firma elettronica avanzata nei confronti della pubblica amministrazione (posta elettronica certificata, purché le credenziali siano state rilasciate con identificazione del titolare - carta d’identità elettronica - carta nazionale dei servizi, ecc.). Utilizzando tali strumenti le pubbliche amministrazioni non soggiacciono alle altre prescrizioni in materia. Questo non vuol dire che l’uso di questi strumenti sia vietato a soggetti diversi dalle pubbliche amministrazioni, ma solo che la prevista esclusione dell’applicazione delle regole tecniche in materia, è limitato alle pubbliche amministrazioni. NOTE 1
Art. 214 cod. proc. Civ. : Colui contro il quale è prodotta una scrittura privata, se intende disconoscerla, è tenuto a negare formalmente la propria scrittura o la propria sottoscrizione. 2 La parte che intende valersi della scrittura disconosciuta deve chiederne la verificazione, proponendo i mezzi di prova che ritiene utili e producendo o indicando le scritture che possono servire di comparazione. 3 DigitPA
STEFANO ARBÌA
Ufficio Standard, Architetture e Metodologie DigitPA
iged.it 04.2011
40-41_h.indd 3
41 26/01/12 17.08
approfondimenti
La storia infinita dei dispositivi sicuri per la generazione delle firme Una maggior attenzione e coinvolgimento da parte di tutti avrebbe, forse, consentito di evitare tutti i problemi che si sono generati e di approfondire meglio le situazioni che si è cercato di affrontare AUTORE
GIOVANNI MANCA
L’Italia come è noto ha una storia molto positiva sul piano dell’innovazione legata alla dematerializzazione dei procedimenti amministrativi ovvero, in parole povere, all’eliminazione della burocrazia cartacea o, ancora, all’eliminazione della carta nelle attività sia pubbliche sia private. Ciò nonostante ancora una volta siamo qui a scrivere di dubbi e perplessità degli operatori di mercato sul tema dei dispositivi sicuri per la generazione delle firme. Nello specifico stiamo parlando di quei particolari dispositivi denominati
HSM (Hardware Security Module) che nel passato erano impiegati esclusivamente per la sottoscrizione dei certificati digitali assegnati ai titolari di firma digitale e che, dal 2007 ad oggi, sono anche utilizzati per la cosiddetta firma remota. Può essere utile riportare la definizione di HSM presente nello schema di regole tecniche sulle sottoscrizioni elettroniche attualmente in fase finale di approvazione: “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di
gestire in modo sicuro una o più coppie di chiavi crittografiche” La firma remota è la definizione sintetica di una sottoscrizione informatica effettuata avendo a disposizione tipicamente una procedura di sottoscrizione su un terminale e meccanismi disponibili al sottoscrittore che ne consentono l’apposizione con controllo esclusivo da parte dello stesso (come previsto dalla direttiva UE 1999/93/CE e come adeguatamente stabilito anche dal Legislatore nazionale). Anche in questo caso può essere utile riportare la definizione di firma remota presente nello schema di regole tecniche sulle sottoscrizioni elettroniche in fase di approvazione: “particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”. Per effettuare la firma remota ci si avvale generalmente di HSM posizionati presso un certificatore accreditato o un sito sicuro autorizzato, secondo regole ben precise, dal certificare stesso che ne assicura vigilanza. Vigilanza della quale poi risponde a DigitPA (l’attuale denominazione del CNIPA). Tali HSM devono essere dei dispositivi sicuri e come tali devono essere certificati secondo standard internazionali denominati Common Criteria (CC). Questa è infatti la regola prevista dagli organismi di vigilanza comunitari.
42 iged.it 04.2011 42-45_h.indd 2
26/01/12 17.09
L’Italia, da buon innovatore, ha sviluppato il principio della firma remota in alternativa a quello delle classiche smart card e del più moderno dispositivo costituito da un token (chiavetta USB). Questi dispositivi sono molto diffusi e utilizzati per gli atti camerali e nella sanità elettronica, ma indubbiamente il futuro è nella firma remota. Ebbene qual è il problema ? Il problema è in una normativa del 2010 (DPCM 10 febbraio 2010) che concedeva 21 mesi agli operatori di mercato per mettersi in regola con la certificazione CC che richiede una preventiva procedura di accertamento. La procedura di accertamento nasce presso OCSI, l’organismo che, presso il Ministero dello Sviluppo Economico, rappresenta l’ente di certificazione nazionale CC. Lo scopo della procedura di accertamento è quello di verificare che le dichiarazioni di sicurezza del produttore di HSM soddisfino i requisiti normativi nazionali e comunitari. L’accertamento è esclusivamente basato su quanto dichiarato dal produttore, nel cosiddetto Traguardo di Sicurezza (traduzione nazionale del termine Security Target dei CC), e nessuna verifica tecnica è effettuata in quanto sarà il processo di certificazione a doverlo fare. La procedura di accertamento si è resa necessaria perché manca un riferimento di sicurezza per questo tipo di dispositivi, quindi, non disponendo di un condiviso e omogeneo punto di partenza, era indispensabile procedere con la verifica dei requisiti secondo il principio che il fornitore dichiara e l’accertatore OCSI verifica se quanto dichiarato garantisce il rispetto della normativa di settore. Sembra tutto chiaro, ma evidentemente non è così perché un solo fornitore richiede la procedura di accertamento e la supera dopo circa nove mesi. Il tempo che rimane per certificare, però, è poco. La certificazione è un’operazione che costa alcune centinaia di migliaia di euro (il livello di certificazione è elevato e tecnicamente si rappresenta con la sigla EAL4+), quindi lo stesso fornitore che ha superato l’accertamento è titubante nell’attivare l’investimento
perché teme un ulteriore cambiamento delle regole. Il timore sembra giustificato fino a quando le amministrazioni preposte non producono uno schema di decreto che ribadisce quanto già stabilito nel DPCM 10 febbraio 2010 ovvero, passati i 21 mesi con scadenza il 1 novembre 2011, solo ed esclusivamente gli apparati che hanno superato l’accertamento possono essere utilizzati per la firma remota (bisognerebbe dire sottoscrizione con procedura automatica con controllo esclusivo da parte del titolare, ma ci perdonerete se continuiamo a parlare di firma remota). Alla stessa data, gli apparati devono aver anche iniziato la procedura di valutazione che è necessaria, ma non sufficiente per giungere alla certificazione (nel senso che un prodotto che inizia una valutazione non ottiene sempre la certificazione, anche se avviene raramente). Quest’ultima dovrà essere completata entro il 1 novembre del 2013 ovvero dopo due anni dalla scadenza dei famosi, e già citati, 21 mesi. Una volta predisposto, lo schema di decreto è ampiamente pubblicizzato e condiviso con tutti gli interessati; chi scrive lo ha letto nella forma pubblicata poi in Gazzetta Ufficiale il 31 ottobre 2011 già nel febbraio dello stesso anno. Il tempo passa e non sembra portare grosse novità perché, tra i potenziali interessati, solo un altro soggetto accede alla procedura di accertamento e alla data del 1 novembre anch’esso non ha completato la procedura stessa. Peraltro per una particolarità della procedura, questo fornitore non era soggetto alla scadenza del 1 novembre perché già certificato CC e quindi l’accertamento non è ex novo, ma di compatibilità tra la certificazione già ottenuta e le regole comunitarie da soddisfare. Si arriva a ridosso della scadenza e improvvisamente i Ministri interessati firmano il decreto (DPCM 14 ottobre 2011). Il mercato, indifferente e sonnacchioso, allora si sveglia e comincia ad agitarsi e un po’ a strepitare. Come già detto, il decreto è pubblicato in Gazzetta Ufficiale il 31 ottobre 2011 e trova anche l’attenzione dell’autorevole testata del Sole24ore che gli dedica ben due articoli il 3 novembre 2011
(pag. 35) e il 25 novembre 2011 (pag. 34). Il giornalista legge che un DPCM pubblicato il giorno 31 ottobre deve trovare regole soddisfatte il giorno dopo e, giustamente, scrive “La nuova proroga è arrivata solo lunedì ed è subordinata a condizioni impossibili da rispettare”. Nessuno si sforza di spiegare, al preparato e indubbiamente autorevole giornalista che contatta correttamente le Sue fonti, la circostanza che il percorso era iniziato 21 mesi prima e che il mercato non si era particolarmente curato del tempo che passava e degli accertamenti che partivano col contagocce. Chi scrive conosce tutti i dettagli della vicenda per esserne protagonista diretto fino ad aprile 2010 e presente attivamente sul mercato sino a oggi. Non è abitudine dello scrivente parlare di “sentito dire” e pertanto precipitare nel gossip, ma sicuramente lo stesso scrivente può di seguito sintetizzare la poco chiara situazione che un innocuo decreto ha invece determinato. Il DPCM 14 ottobre 2011 è legalmente operativo eppure degli apparati non a norma continuano ad operare indisturbati senza che la Vigilanza di DigitPA abbia fatto alcuna azione esplicita. Potrebbe aver fatto delle operazioni coperte da segreto di ufficio anche se un’azione del genere lascia perplessi.
iged.it 04.2011
42-45_h.indd 3
43 26/01/12 17.10
I Certificatori accreditati che hanno scelto apparati al momento non a norma si sono ritrovati a dover migrare senza un periodo transitorio indicato esplicitamente nella norma, ma sicuramente non hanno verificato che i loro fornitori agissero nella direzione della legalità e nei tempi previsti. Non sono colpevoli di ignavia, ma, forse, solo di aver creduto alle dichiarazioni di fornitori che poi sono risultati non essere in regola? Gli utenti dei certificatori accreditati sono le uniche vere e solitarie vittime di questa situazione. Le procedure bancarie di fatturazione elettronica e di conservazioni digitale effettuate con apparati non a norma sono valide? E quale saranno le garanzie che questi utenti stanno ricevendo dalle istituzioni? I fornitori che hanno agito nel rispetto delle regole si sono ritrovati ad essere loro l’anomalia e non i soggetti virtuosi. In un paese dove evidentemente le regole sono fatte per essere aggirate questo non sorprende. Chi ha scelto questi fornitori non ha problemi, ma cosa può accadere se venissero stabilite nuove regole che rimettono in gioco i fornitori al momento esclusi? Le battaglie legali che si potrebbero scatenare non sarebbero benefiche per nessuno! Rimane da considerare, in conclusione, che il DPCM poteva essere firmato e inviato in Gazzetta Ufficiale all’inizio di giugno 2011. La situazione quasi
certamente non sarebbe cambiata e non si sarebbe fornito al mercato il pretesto del “giorno prima” impossibile da soddisfare. Inoltre è auspicabile che le Istituzioni coinvolte giochino un ruolo più attivo su una materia complessa e ancora soggetta a discussione e quindi a regole tutte da chiarire anche se la normativa non lo impone. Infatti non dovrebbe essere un esperto della materia a porsi una serie di domande e tentare di fornire delle risposte nei fatti poi di nessun valore pratico. Altresì dovrebbero essere gli Enti e Organismi coinvolti al di là del procedimento amministrativo (che svolgono indubbiamente in modo encomiabile) pubblicare delle FAQ, delle circolari di chiarimento, o cose equivalenti, operando in termini anche di risposte all’interpello del mercato sia dei produttori sia degli utilizzatori. Senza approfondire il tema è utile poi sollevare, a titolo di esempio, un dubbio che qualcuno preposto dovrà prima o poi sciogliere. Se un HSM è regolare rispetto alle procedure previste, ove integrato in procedure di sottoscrizione che prevedono ulteriore hardware e software in che condizioni conserva la certificazione di sicurezza? (Si ricorda che la certificazione di sicurezza è soggetta anche alle condizioni
di utilizzo dell’apparato certificato). Sullo stessa tema un altro dubbio che sorge è: chi stabilisce se l’apparato utilizzato come dispositivo sicuro per la creazione della firma è il solo HSM? E quindi ne segue il quesito (vista la definizione generale di HSM) cos’è un HSM e in quali limiti esso una volta certificato può diventare senza problemi un dispositivo sicuro per la generazione della firma? Altri dubbi affollano la mente dello scrivente che in questa sede può solo augurarsi che i fornitori mettano in campo apparati sicuri a 360° e le istituzioni garantiscano regole chiare sia in fase di certificazione sia di vigilanza affinché non esistano spazi vuoti dove si vanno a collocare soluzioni con problemi di sicurezza. Al momento i dubbi sono ancora tanti, le regole mutevoli e quindi soggette a interpretazioni che non favoriscono la sicurezza perché questa è economicamente onerosa. Il rischio da evitare è quello di essere poco convincenti con gli operatori internazionali che potrebbero investire in Italia …. Alla fine, per non cambiare abitudini, un nuovo decreto di proroga è atteso a breve e vorremmo essere ottimisti ….
GIOVANNI MANCA
Esperto di Dematerializzazione e Sicurezza ICT
44 iged.it 04.2011 42-45_h.indd 4
26/01/12 17.10
scenari
Internet of things
Aspettando la prossima disruptive innovation attraverso il contributo informativo apportato dagli oggetti in rete AUTORE
LUCA GARGIULO
PREMESSA A due anni di distanza dalla pubblicazione di “Being digital”, avvenuta nel 1995 da parte di Nicholas Negroponte del Massachusetts Institute of Technology (MIT), Clayton Christensen, già professore ad Harvard, aveva sostenuto nel suo saggio “The innovator’s dilemma” che esistono innovazioni che sono in grado di sconvolgere i mercati di beni e servizi preesistenti, nonché il comportamento dei consumatori. Tramite una disruptive innovation è infatti possibile affermare che un’intera (nuova) popolazione di consumatori possa avere accesso a una serie di prodotti e servizi storicamente acquisibili solamente da parte di consumatori con disponibilità economiche ragguardevoli oppure dotati di particolari
capacità o conoscenze distintive. Analogamente una disruptive innovation è in grado di (ri)creare (nuovi) mercati, potenzialmente distruggendone altri sviluppatisi su tecnologie antecedenti e consolidatisi nell’immediato passato. Internet in sé, nella definizione classica che ne darebbe Clayton Christensen, non è certamente una disruptive innovation, poiché non va ad affiancarsi, né a sostituire nulla di precedentemente esistente e di succedaneo, se non una miriade di cose contemporaneamente, fungendo però più da enabler di altri servizi, ovvero da agente abilitante come media trasmissivo di informazioni, piuttosto che da prodotto o servizio fine a se stesso. Se non è dato sapere quanto del futuro fosse già stato previsto da Nicholas
Negroponte circa vent’anni fa quanto ipotizzava che dagli albori del Web nulla sarebbe più stato come prima e che la Rete avrebbe permesso anche il dialogo tra oggetti (famoso il futuribile colloquio tra un tostapane e un frigorifero per l’ordinazione al supermercato degli alimenti necessari alla colazione), sicuramente non è dato sapere neppure quale sarà la prossima disruptive innovation che verrà abilitata tramite Internet attraverso lo scambio dei contributi informativi degli oggetti in Rete. Tuttavia è abbastanza verosimile che una o più disruptive innovation facciano capolino a breve nel panorama economico mondiale, quando molti oggetti entreranno a far parte della Rete, saranno riconoscibili e acquisi-
46 iged.it 04.2011 46-50_h.indd 2
26/01/12 17.10
ranno una sorta di “intelligenza” e di “potere decisionale” in virtù del fatto che potranno comunicare dati su se stessi, informazioni acquisite ed elaborate dall’etere o per prossimità ad altri oggetti, nonché accedere a informazioni già completamente elaborate e aggregate da parte di tanti altri device. Nel futuro, quindi, ci sarà anche una “Internet delle cose”, ovvero una “Internet degli oggetti”, o più semplicemente una IoT, dall’acronimo dell’inglese “Internet of Things”. CARATTERISTICHE ABILITANTI L’ACCESSO DEGLI OGGETTI IN RETE Dalla comparsa dei computer a oggi è stato possibile assistere al progressivo ed esponenziale aumento della potenzialità di condivisione delle informazioni da questi elaborate e/o archiviate. Gli albori dell’informatica sono stati caratterizzati da una trasportabilità molto bassa dei dati, che dovevano essere registrati su supporti cartacei, ovvero su schede perforate, prima di essere condivisi; e solo a metà degli anni ’50 è stato possibile trasferire tali dati (che allora venivano denominati record) alle unità a dischi magnetici, precursori degli attuali sistemi di memorizzazione. Questo passaggio è risultato però essere rivoluzionario, infatti ha consentito di eseguire operazioni di inserimento,
variazione, o cancellazione di record semplicemente scrivendoli, riscrivendoli o eliminandoli dai dischi. In precedenza le schede, oltre ad essere voluminose, pesanti e inabilitanti ogni accesso diretto ai dati, consentivano l’archiviazione di informazioni risicate (essendo vincolate a una lunghezza di 80 caratteri a record), non erano ovviamente modificabili e avevano un costo di acquisto e di gestione esorbitante. Negli anni ’60, con l’avvento dell’EDI (electronic data interchange), sollecitato da reali e concrete esigenze di business, è stato possibile realizzare lo scambio diretto di documenti via computer, principalmente al fine di supportare le relazioni commerciali (con l’invio di ordini, la ricezione di fatture, ecc.). Lo scambio di informazioni attuato autonomamente dagli elaboratori tramite canali dedicati o pubblici (sia wired, sia wireless) di fatto ha reso possibile per la prima volta il dialogo diretto tra macchine (oggi si direbbe M2M, ovvero machine-to-machine), senza che con ciò fosse necessario l’intervento umano. La diffusione di Internet negli anni ’90 (e della mobile Internet a partire dai primi anni del nuovo millennio) ha infine esasperato il concetto di interconnessione tra computer (o tra device molto simili ai computer) amplificando anche, col crescere della velocità di trasmissione dei dati, le potenzialità
di virtualizzazione e di dematerializzazione dei servizi, degli oggetti, (rese attualmente possibili attraverso le prime esperienze di augmented reality) e persino dei rapporti umani, dimostrando che, tramite i social network, è di fatto possibile superare ampiamente il “numero di Dunbar” (dal nome del professor Robin Dunbar dell’Università di Oxford), ovvero il limite teorico che individua il numero di persone (circa 150) con cui si può pensare di mantenere relazioni sociali stabili. Se ciò è accaduto solo con l’ausilio dei computer, o con l’utilizzo di oggetti assai simili ai computer, dando di fatto vita alla Rete degli elaboratori e delle persone, è assai probabile che nei prossimi anni molti oggetti d’uso quotidiano possano essere progressivamente collegati a Internet e riconoscibili, consultabili e indirizzabili da tutti quegli utenti (siano essi macchine o esseri umani operanti tramite altre macchine) che abbiano effettuato una qualsiasi operazione di pairing con tali device. Quando ciò accadrà entreremo a pieno titolo nell’era della Rete delle cose. Tuttavia, per quanto possa sembrare tautologico ribadire quanto segue, “conditio sine qua non” affinché tutto ciò possa accadere è la presenza della connettività, ovvero la garanzia che tutti questi oggetti abbiano accesso alla Rete, oltre, ovviamente, l’energia elettrica necessaria per comunicare. Come vedremo, infatti, gran parte degli esempi ascrivibili alla IoT riguardano oggetti statici, spesso confinati all’interno delle mura domestiche, o delle aziende, cui può essere dato accesso a Internet semplicemente attraverso il loro riconoscimento, ad esempio, da parte di modem wireless collegati al Web e che possono trarre energia direttamente dalle prese della rete elettrica. Altri oggetti, invece, possono essere in continuo movimento e, per dar loro la facoltà di scambiare anche solo sporadicamente alcuni dati, occorre che questi siano visibili, riconoscibili e abbiano libero accesso a particolari hotspot presenti sul territorio, da cui sia possibile accedere a Internet, tendenzialmente in modalità wireless (così come accade attualmente con il Wi-Fi, lo standard più diffuso in questo amiged.it 04.2011
46-50_h.indd 3
47 26/01/12 17.10
bito); occorre altresì che tali dispositivi abbiano una propria fonte di energia, ovvero siano in grado di produrne se opportunamente sollecitati da campi elettromagnetici, come accade nei dispositivi di prima generazione RFID (radio frequency identification), o di ultima generazione NFC (near field communication), che possono essere attivi o passivi, a seconda che siano o meno autonomamente dotati di batterie. OGGETTI IN RETE CONFINATI IN SPAZI DEFINITI Il concetto e la definizione della IoT sono stati per la prima volta formalmente sviluppati nel 1999 dall’AutoID Center, un consorzio di ricerca che ha sede al MIT, presupponendo che le principali applicazioni si basassero sulla possibilità di radio-identificare gli oggetti (come nel caso dell’utilizzo dei dispositivi RFID). È tuttavia possibile ipotizzare, in linea di principio, che la IoT possa nascere naturalmente attorno a quegli oggetti di uso quotidiano, anche domestico, già dotati di intelligenza software e predisposizione hardware per dialogare con altri oggetti, nativamente, o con minimi upgrade, quali possono essere le aggiunte di semplici dispositivi di radiocomunicazione e strati applicativi elementari. Attualmente molti oggetti di uso comune, come gli elettrodomestici, le televisioni, i personal video recorder (PVR), ecc., dispongono di informazioni, o elementi di diagnostica, che non condividono immediatamente con i propri utenti, né con gli oggetti limitrofi. Per fare un esempio per tutti, con l’avvento della televisione digitale le emittenti forniscono l’EPG (electronic program guide), un layer informativo che riassume la programmazione del palinsesto e che dovrebbe di fatto essere un sistema di aiuto alla scelta degli spettacoli televisivi. Tuttavia ad oggi l’utilizzo di questo “strato” informativo è ancora del tutto demandato all’utente in ottica “pull”. Sebbene sia vero che i contenuti audio/video stiano definitivamente migrando verso una fruizione digitale e on-demand, non è del tutto futu-
ribile pensare che un televisore, una volta paired, ovvero riconosciuto da un computer domestico centrale, oppure semplicemente da un modem wireless, possa essere in grado di inviare una e-mail al proprio utente, avvertendolo (in ottica “push”) che, sulla base delle preferenze memorizzate dall’utente stesso, una certa emittente abbia in programmazione un evento sportivo, oppure un qualsiasi altro spettacolo che rientri nelle categorie prescelte. Allo stesso modo non è del tutto futuribile immaginare che l’utente possa replicare sempre via e-mail al proprio televisore, invitandolo a registrare il programma suggerito, e quest’ultimo sia in grado di fornire autonomamente al PVR domestico tutte le indicazioni necessarie per effettuarne la memorizzazione al fine di una fruizione dei contenuti differita nel tempo. Se questo è un semplice esempio di possibile dialogo tra macchine e utenti (televisore/uomo) e tra macchine (televisore/PVR, che per puro gusto esemplificativo abbiamo pensato essere due device disgiunti, quando in futuro potrebbero convergere in un unico apparecchio), molti altri casi possono darsi nel campo della diagnostica preventiva, evolutiva e correttiva. Un qualsiasi oggetto elettromeccanico complesso può infatti essere in grado di comunicare, come solo elemento informativo, se un task che gli è stato assegnato si sia concluso correttamente (operazioni di lavaggio, riscaldamento di ambienti, chiusura di serramenti, ecc.) o se durante l’esecuzione siano state riscontrate delle anomalie (perdite di potenza elettrica, black-out, avarie degli oggetti stessi, ecc.). Allo stesso modo un qualsiasi oggetto elettromeccanico complesso riconosciuto dalla Rete può suggerire al proprio utente dei comportamenti da tenere o delle azioni da effettuare in funzione di particolari stati/eventi “percepiti” (quali i fenomeni climatici, le temperature, l’umidità, lo scorrere del tempo, ecc.). Sicuramente, però, il costo correlato alla realizzazione di alcune periferiche specifiche rende assai poco probabile, così come aveva immaginato Nicholas Negroponte, che un frigorifero possa prevedere il punto di riordino di tutte le derrate alimentari in esso contenute
e, conseguentemente, gestire in autonomia gli acquisti, facendo le veci del proprio utente, a meno di non dotarlo di una miriade di sensori e di dispenser in grado di tracciare pesi e volumi dei solidi e dei liquidi in esso immagazzinati. Ciononostante, a tutto vantaggio dell’economia e della sicurezza domestica, un frigorifero potrà sempre essere equipaggiato per comunicare via Internet al proprio utente tutti gli elementi peculiari riguardanti la diagnostica, la manutenzione e lo stato di conservazione dei cibi, in funzione delle ore di esercizio, delle temperature interne ed esterne rilevate, del pH percepito da appositi sensori, ecc. OGGETTI IN RETE CHE SI MUOVONO Se all’interno di spazi confinati l’elenco delle possibili applicazioni della IoT sono veramente innumerevoli, gli oggetti riconoscibili dalla Rete che invece possono essere in movimento sono sicuramente di un ordine di grandezza superiore ai primi. Tutti i beni in movimento per ragioni di trasporto (a condizione che il valore dei beni sostanzino il costo della tracciatura) di fatto potrebbero essere monitorati al fine di sapere puntualmente dove si trovino. La tecnologia RFID già citata consente infatti di rilevare la presenza degli oggetti, mentre i magazzini e i vettori potrebbero accoppiare ai vari tag e inviare in Rete le informazioni di georeferenziazione, in modo tale che queste siano poi rese disponibili alla consultazione degli utenti. Allo stesso modo anche gli oggetti di valore o di particolare importanza soggettiva, non necessariamente in fase di trasporto, ma durante il loro utilizzo, potrebbero essere dotati di particolari dispositivi di tracciatura, in modo tale da essere riconoscibili e georeferenziabili in funzione della loro prossimità a specifici gate di comunicazione (bancomat, esercizi commerciali, celle di radiocomunicazione, ecc.). Questa semplice operazione, a patto che i dispositivi di riconoscimenti siano “annegati” negli oggetti stessi e non siano disinseribili senza la distruzione dell’oggetto stesso, permetterebbe la loro tracciatura ai fini della prevenzione dei furti e consentirebbe anche
48 iged.it 04.2011 46-50_h.indd 4
26/01/12 17.11
una più rapida ricerca in caso di smarrimento, con evidenti applicazioni anche nel campo della sorveglianza dei minori, o del monitoraggio e della rintracciabilità delle persone versanti in stato di malattia, invalidità temporanea o permanente. Non è dato sapere quante e quali applicazioni potrebbero scaturire da una costante mappatura degli oggetti sul territorio, tuttavia è facile immaginare, ad esempio, che se tutte le automobili fossero riconoscibili alla Rete, potendo comunicare anche il loro posizionamento geografico, sicuramente molte nuove applicazioni sarebbero in grado di monitorare i flussi di traffico in tempo reale. Attualmente ciò viene fatto usando delle variabili proxy, come l’incremento del numero di telefoni cellulari agganciati a una certa cella posta in prossimità di una autostrada, ma è evidente quanto questa tipologia di inferenza sia del tutto grossolana, non potendo esprimere nulla circa la direzione del traffico. Nelle città alcuni oggetti sono già costantemente posti sotto traccia come i mezzi destinati al trasporto pubblico. In via indiretta, agli utenti richiedenti il servizio vengono già inviati i taxi georeferenziati più prossimi alla loro ubicazione. In Italia ogni treno è
costantemente monitorato in tempo reale circa il suo posizionamento e gli utenti possono accedere al servizio di consultazione direttamente via Web, avendo a disposizione anche tutte le coincidenze relative alle stazioni successive in fase di raggiungimento. In alcune città degli Stati Uniti, invece, la geolocalizzazione dei bus è stata resa pubblica, per cui sono state realizzate delle applicazioni con le quali gli utenti possono avere piena visibilità su tutti i mezzi in movimento, avendo la libertà di programmare per tempo e con maggiore tranquillità i propri spostamenti. Se le informazioni generate da tutti gli oggetti in Rete fossero messe a disposizione di un qualsiasi potenziale utente, anche in forma aggregata (ovviamente salvaguardando la privacy, per cui a un utente generico potrebbe essere reso palese che su una certa strada sta transitando un’auto, mentre al proprietario dell’auto stessa dovrebbe essere data visibilità che quella auto particolare è proprio la sua), sicuramente molte applicazioni sarebbero in grado di fornire informazioni di sintesi in grado di migliorare la qualità della vita, salvaguardando il fattore tempo e mitigando il consumo di energia (coerentemente con i dettami della green economy). Non è superfluo osservare, infine, che solo avendo il massimo grado di infor-
mazione si può essere verosimilmente in grado di valutare tutte le possibili alternative per prendere delle decisioni, non più in stato di incertezza, ma in completa consapevolezza dei possibili risultati. La IoT è uno dei fattori abilitanti di questo nuovo stato di conoscenza, su cui andranno a innescarsi le potenziali disruptive innovation in grado di cambiare alcuni business e modificare alcuni mercati al momento pienamente consolidati. COSTO E VALORE DELLA IOT Qual è il costo e quale il valore aggiunto della IoT? Quali oggetti saranno più facilmente o naturalmente votati a essere collegati e riconosciuti in Rete? Quali mercati, infine, saranno in grado di sostituire o disintermediare le future disruptive innovation che useranno la IoT come agente abilitante? Le due domande iniziali sono in qualche modo correlate tra loro. Infatti è assai probabile che gli oggetti che per primi saranno collegati e riconosciuti in Rete siano quelli che attualmente hanno componenti hardware e software tali da permettere un’integrazione a basso costo con la Rete. Assai meno quegli oggetti che per poter operare una volta interfacciati con la Rete
iged.it 04.2011
46-50_h.indd 5
49 26/01/12 17.11
necessitassero di un ingente costo di upgrade delle periferiche. Infatti, uno dei motivi del mancato decollo di alcune applicazioni in campo domotico sta proprio nel fatto che il costo delle periferiche di comando è a volte assai proibitivo (si pensi, ad esempio, al costo della motorizzazione dei serramenti, al costo di sezionamento degli impianti di riscaldamento/raffrescamento, ecc.). Assai più semplice è invece l’interfacciamento con la Rete di tutti gli elettrodomestici, i contatori delle utenze (energia elettrica, gas, ecc.), gli apparecchi telefonici, le fotocamere e le videocamere, le console per i videogame, i televisori e i PVR, i sistemi audio e Hi-Fi, le radiosveglie, i car stereo, i navigatori satellitari, gli impianti di condizionamento, i device di monitoraggio della salute (misuratori di pressione, glicemia, ecc.), i sistemi antifurto, ecc. In termini di pura visibilità e di tracciabilità sulla Rete, invece, ha prerequisiti sufficienti qualsiasi oggetto sia in grado di contenere un dispositivo RFID, dalle scarpe ai veicoli per il trasporto, dai pacchi alle borse, dai portafogli alle chiavi di un appartamento, ecc. Il valore intrinseco della IoT è invece molto più complesso da stimare, sebbene sia preziosissimo e di portata sostanzialmente inesauribile. Tale valore è il contenuto informativo generato dagli oggetti stessi una volta resi visibile alla Rete. L’OGC (object generated content) genera di per sé valore per il fatto che le singole informazioni possono essere aggregate, condivise, analizzate ed essere oggetto di inferenza statistica predittiva. Su questo valore si innestano poi a corollario ulteriori vantaggi, in una sorta di moltiplicazione dei benefici, tutti generati sulla base della monade fondamentale costituita dal contenuto informativo apportato dagli oggetti. Tra questi vantaggi indotti possiamo ricordare la possibilità di intervenire sul cambiamento climatico, razionalizzando il consumo di energia, il sistema dei trasporti, il condizionamento degli ambienti e, indirettamente, l’inquinamento, oppure la potenzialità di attivare tutta una serie di device a supporto della salute dei cittadini, a tutto vantaggio, in una parola, della qualità
della vita delle future generazioni. È, invece, quasi impossibile individuare quali mercati saranno in grado di sostituire o disintermediare le future disruptive innovation che useranno la IoT come agente abilitante, proprio perché non è dato sapere quali saranno le innovazioni che andranno a sconvolgere l’attuale status quo economico. È tuttavia presumibile che la IoT porterà a ridisegnare drasticamente alcuni servizi in campo logistico, manifatturiero, urbanistico e sanitario. I guru parlano di un futuro non ancora ben tracciato, i cui nomi principali sono però legati all’evoluzione di concetti che già esistono, ma nuovamente permeati da un ingente apporto informativo dato dagli oggetti in Rete. Tra queste nuove visioni ricordiamo le smart city, l’e-health, l’assisted living, l’intelligent manufacturing, la smart logistics & transport o lo smart metering, pensando che gli oggetti del ventunesimo secolo siano in grado di percepire, anticipare e rispondere alle necessità degli utenti, assicurando anche il loro controllo a distanza via Web. CONCLUSIONI Spesso la strada che unisce il presente al futuro non può essere chiaramente individuata da chi vive costantemente come elemento di separazione tra i due momenti storici. Tuttavia è indubbio che il mutamento in corso sia senz’altro percepibile da tutti. L’evoluzione dalla “Rete delle macchine” alle “Rete delle persone” appartiene oramai al passato e chiunque è in grado di descriverne i contorni che l’hanno caratterizzata, mentre la creazione della “Rete delle cose” è in via di realizzazione. Le disruptive innovation che attecchiranno su questa nuova fase della Rete probabilmente saranno tante e tali da cambiare verosimilmente anche il panorama stesso dell’informatica, tuttavia sono difficili da identificare, se non per macrosettori di attuazione. Se è vero, come previsto da Gartner in un recente studio, che nel giro di pochi anni il 20% del traffico Internet (non contando quello audio/video) sarà dato dai raw data derivanti dagli oggetti riconosciuti dalla Rete e se è vero che questi oggetti saranno nell’ordine
dei 100 miliardi, contro gli attuali 1,5 miliardi di computer e 1 miliardo di cellulari, allora è assai probabile che i dati stessi saranno sempre più da consultare (possibilmente già elaborati) che non da detenere. Con questo non è assolutamente possibile concludere che i volumi di dati saranno così ingenti da causare il collasso delle memorie di massa e della Rete stessa, ma probabilmente potrebbe avverarsi un trend di remotizzazione degli archivi, poiché anche le informazioni generate in un semplice ambiente domestico potrebbero richiedere veramente grandi spazi di memoria; una prima disruptive innovation potrebbe forse intervenire proprio a coprire una esigenza che oggi è già in fase di definizione. Ma tutto ciò è solo una modesta speculazione tecnologica. La vera e unica conclusione attualmente possibile porta invece a vedere la IoT come un nuovo paradigma, il modello di riferimento cognitivo più moderno che ben poco ha a che fare con la tecnologia, ma che mira invece a concretizzare la confluenza fra le informazioni proprie degli oggetti fisici, delle persone e di quelle digitali preesistenti, al fine di accrescere, con la loro elaborazione e l’inferenza da esse immediatamente desumibile, la qualità della vita degli esseri umani nei rami più disparati del loro vivere quotidiano.
LUCA GARGIULO
Ernst & Young Director e Sub-Area Mediterranean CFO
50 iged.it 04.2011 46-50_h.indd 6
26/01/12 17.11
scenari
Pervasività e complessità AUTORE
CARLO MARIA MEDAGLIA
Se passiamo in rassegna le caratteristiche strutturali che contraddistinguono la Pubblica Amministrazione, subito identifichiamo un’organizzazione complessa costituita da strutture, funzioni, servizi e persone. Come ogni sistema essa è governata, secondo tempi e modalità che cambiano in funzione del clima politico o dello stato di salute economica del paese, da norme, procedure e certificazioni in continuo mutamento, aggiornamenti normativi, turnover di personale e innovazione tecnologica. Una tale complessità tuttavia, spesso si traduce agli occhi del cittadino, in un vero e proprio “caos” soffocante, che si ripercuote sulla qualità del servizio e, indirettamente, sulla vita del cittadino stesso. Così come si è evoluta nel tempo l’immagine della Pubblica Amministrazione, ha assunto un ruolo centrale all’interno di questo processo di trasformazione anche la “cittadinanza”, che nel corso degli anni ha gradualmente preso coscienza del proprio diritto a porsi al centro di un flusso di servizi ed informazioni che coinvolge e mette in relazione persone, enti ed istituzioni. La rivoluzione a cui stiamo assistendo, mira ad originare rapporti diretti ed altamente interattivi tra la Pubblica Amministrazione ed il cittadino, identificando quest’ultimo non più come destinatario passivo di servizi bensì come nodo di una rete complessa che lo coinvolge sia nel ruolo di “parte attiva” della relazione, sia come “nodo di scambio” verso altri cittadini o altri enti, vero e proprio stakeholder multidimensionale. iged.it 04.2011
51-54_h.indd 1
51 26/01/12 17.12
Il processo in questione, destinato a subire un’ulteriore accelerazione nel breve termine, è uno dei principali effetti introdotti dall’ingresso massivo dell’ICT nella vita delle persone, delle organizzazioni e delle istituzioni. Le tecnologie dell’informazione e della comunicazione, infatti, nel corso del loro processo d’innovazione continua, hanno generato nuovi rapporti sociali e hanno inciso fortemente sul modo in cui le persone si relazionano con l’ambiente circostante. Ciò si è tradotto in una conoscenza più profonda del contesto sociale in cui si vive, nell’attitudine alla condivisione delle informazioni che si possiedono e nella richiesta di essere ascoltati dalle istituzioni che, dal canto loro, non possono più venir meno a qualcosa che è oramai tecnologicamente possibile a costi irrisori e la cui assenza è ormai inaccettabile. La PA si muove oggi, a tutti gli effetti, verso un nuovo fronte: quello della società della conoscenza, nella quale la dimensione spazio-temporale si rinnova, dilatandosi e imponendo un nuovo modello di Pubblica Amministrazione che sostituisce in todo approcci obsoleti e concettualmente lontani dalle attuali dinamiche del contesto socioculturale. Vengono meno, ad esempio, i legami stretti tra i concetti di strategia/innovazione e processi annuali/ pluriennali: la dinamica delle decisioni supera cicli temporali predefiniti e si sviluppa nel continuo, secondo ritmi e modalità che, se non in grado di
reggere il passo della continua innovazione imposta dall’ICT, perdono qualsiasi valore aggiunto generando “innovazione già vecchia”. Anche le più semplici dinamiche di “servizio” al cittadino subiscono profondi cambiamenti. Si pensi, ad esempio, ai tempi di attesa per il rilascio di certificazioni generiche (come anagrafe o documenti catastali) o alla necessaria presenza di un operatore presso gli uffici per l’inoltro delle richieste. Sono questi alcuni degli elementi che per anni sono stati considerati come “accettabili” componenti fisiologiche di un rapporto che costringeva il cittadino a sincronizzare i propri eventi della vita con la lentezza della burocrazia. L’impatto della rete, al contrario, ha stravolto i sensi di temporalità e di limite spaziale, creando nuovi mercati in cui l’acquisto di beni e servizi, può avvenire in qualsiasi momento, secondo le modalità più consone alle esigenze dell’utente finale. A questo, si associa il processo di graduale costruzione di un personale “alter ego”, che sia universalmente riconosciuto e con il quale l’amministrazione deve essere in grado di dialogare: si tratta di una personificazione del cittadino, che oramai vive e si muove nelle piazze virtuali dei social network, strumenti che riescono a concentrare all’interno di un unico spazio pubblico, svago, intrattenimento, discussione, dibattito, approfondimento e riflessione.
La pubblica Amministrazione si trova dunque di fronte ad una sfida: trasformare la complessità dello scenario odierno in opportunità. La necessità di riorganizzare se stessa secondo nuovi modelli imposti, sta infatti obbligando tutte le amministrazioni a fare i conti con piani d’innovazione che agiscano sia sull’utenza, sia sull’organizzazione interna, puntando al raggiungimento di standard qualitativi sempre più alti. Il cittadino vede se stesso come un elemento unico e ricco di connotazioni personali, che trovano espressione nello storico di tutte le interazione che quest’ultimo ha avuto con la pubblica amministrazione, a sua volta rappresentata come un unico soggetto con cui interloquire, in un processo di scambio continuo nel quale entrambi i componenti si “conosco” e si “riconoscono”. Proprio in questo contesto s’inserisce il crescente interesse suscitato dalle tematiche del cloud computing, efficace tornasole della diffusa esigenza di riduzione e riorganizzazione delle infrastrutture. A dover “sparire nella nuvola” sono le procedure lunghe e complesse, i processi rallentati dalla mancanza di personale o di adeguate strutture, l’abbondanza di carta, lo scarso coordinamento tra uffici diversi, la fornitura informatica non sempre aggiornata, la scarsa inclinazione a modificare le vecchie abitudini di lavoro, i processi d’identificazione sempre simili a se stessi, ma sempre necessari ogni qualvolta si intraprenda una nuova istanza. A prendere piede è invece un nuovo scenario, in cui l’Amministrazione riesca ad essere “invisibile”, ma al tempo stesso efficiente e “sempre raggiungibile”. Il cambio di paradigma, come facilmente intuibile, è tutt’altro che semplice. A entrare in gioco sono, al tempo stesso, problematiche normative, infrastrutturali e sociali. La delocalizzazione e la virtualizzazione delle risorse elaborative hardware, si pone come rivoluzionaria nel modo di concepire le tecnologie ICT in ogni settore, a maggior ragione in quello pubblico. La costruzione del front-end col cittadino prevede la creazione di adeguati canali (sia esso un sito web, un portale di portali, un’applicazione per dispositivi mobili) in grado di offrire al
52 iged.it 04.2011 51-54_h.indd 2
26/01/12 17.12
I T E R S E M I N A R I P RO F E SS I O N A L I
EXECUTIVE ASSISTANT
EMAIL MARKETING
EVENTO 2.0
Il seminario ha lo scopo di aumentare l’efficacia e l’efficienza delle relazioni professionali di a segretarie e assistenti di direzione, la cui funzione comporta degli elementi di relazione, d’iniziativa e di organizzazione.
Un seminario operativo, grazie al quale imparerà come scrivere messaggi efficaci, che non vengano interpretati come spam e nel pieno rispetto delle norme sulla privacy.
Un seminario per imparare ad organizzare un evento con il web. Strumenti, tecniche, economie e molta esercitazione pratica, grazie ad una simulazione di gestione di un evento in ottica 2.0. Dall’importanza strategica dell’evento come strumento di relazione e comunicazione, alle diverse forme di promozione e ai nuovi strumenti a disposizione dell’event manager.
FRONT OFFICE D’ECCELLENZA
SOCIAL MEDIA STRATEGY
Questo seminario è rivolto principalmente alle persone addette al ricevimento e al centralino, il cui lavoro quotidiano comporta responsabilità di relazione, d’iniziativa, di organizzazione e di presa di decisione.
COME REALIZZARE UN PIANO INDUSTRIALE E FINANZIARIO PER L’IMPRESA E LE BANCHE Il seminario illustra come impostare un “Business Plan” da presentare alle Banche per ottenere i crediti necessari, alle migliori condizioni e nel contempo consente all’imprenditore di evidenziare le implicazioni economiche e finanziarie per attuare il proprio programma di sviluppo.
Facebook, MySpace, Linkedin e gli altri Social Media hanno cambiato per sempre il nostro modo di comunicare. Le aziende sono oggi di fronte a un bivio: adeguarsi oppure essere scavalcate dal cambiamento, a vantaggio della concorrenza.
TECNICHE DI PROBLEM SOLVING Le tecniche di problem-solving possono essere applicate quotidianamente per tutti i problemi correnti e creano sistemi e metodi di lavoro che risolvono i problemi già apparsi e riducono l’insorgere di nuovi problemi: questo seminario spiega come fare.
WEBMARKETING Dal SEO/SEM ai web analytics e alle strategie di promozione in rete. Un seminario indispensabile per tutti coloro che vogliono sfruttare al massimo il canale online per studiare il mercato e sviluppare nuovi rapporti commerciali (promozione/pubblicità, distribuzione, vendita, assistenza alla clientela, etc.) tramite il Web.
GESTIONE DEI CONTRASTI E DEI CONFLITTI L’obiettivo del seminario è portare i partecipanti a distinguere tra contrasti e conflitti e aiutarli affinché riescano nei momenti di disaccordo a muoversi alla ricerca della migliore soluzione e non dell’affermazione a priori del proprio punto di vista.
ITER - via Rovetta 18 - 20127 Milano - tel 02.28.31.16.1 - fax 02.28.31.16.66 - www.iter.it - iter@iter.it
Agende07.indd 01_05_h.indd 33_40_h.indd 3 50
03/11/11 24/06/11 16.54 14/03/11 12:30 15.47
tempo stesso servizi sia informativi che transazionali, ponendosi inoltre come utile punto d’ingresso e supporto qualora sia necessario concludere il procedimento attraverso un canale offline. Eliminando le componenti hardware e applicative “in house” a favore di servizi fruibili via web, il Cloud Computing si colloca al centro di un dibattito, che vede protagonista il concetto di cittadinanza digitale. Il risultato finale è un ambiente caratterizzato da connettività diffusa, nel quale i processi amministrativi interni e l’esperienza di vita sul territorio, risultano profondamente rinnovati. Si pensi per esempio, a tutti quei settori della vita pubblica che hanno un forte impatto sulla qualità della vita dei cittadini a più livelli, come i servizi connessi all’infomobilità o al turismo. Alle classiche strutture territoriali (come i punti informazione o le stazioni, spesso necessarie in fase di “pianificazione”) si affianca un universo di applicazioni che, poggiandosi sulla oramai diffusa possibilità di accesso alla rete in mobilità, sono in grado di offrire assistenza continua all’utenza durante la “fruizione” di un determinato servizio, fornendo informazioni aggiuntive in tempo reale e secondo modalità del tutto personalizzabili sulla base delle proprie esigenze. La fornitura di servizi sempre più avanzati da parte della PA ed il proliferare di utenti sempre più attivi e consapevoli delle possibilità offerte da un panorama tecnologicamente integrato, hanno dato avvio a nuovi meccanismi di partecipazione diretta alla vita dell’amministrazione. La possibilità di attivare un canale diretto “one-to-one” con l’amministrazione ha visto, infatti, la nascita di servizi di monitoring e alerting del territorio pubblico. Tali servizi (che nascono dall’integrazione di tecnologie diverse come la geo-localizzazione, la connettività UMTS, la possibilità di creare e condividere in tempo reale file multimediali in formato foto e audiovideo, l’accesso a portali e forum di discussione dedicati), hanno invogliato un gran numero di cittadini ad utilizzare nuovi strumenti per contattare direttamente l’amministrazione competente affinché intervenga prontamente alla risoluzione delle eventuali proble-
matiche riscontrate e comprovabili, e ad assumere il ruolo di osservatori del proprio territorio. Appartengono a questa categoria, le applicazioni di valutazione della qualità dell’aria, del traffico, delle condizioni del manto stradale. Esse sono in grado anche di identificare i cittadini presenti nelle vicinanze di una segnalazione, permettendo loro di creare una propria pagina profilo, per amplificare la portata della comunicazione, coinvolgendo così un’utenza sempre maggiore. La portata di tali iniziative, viene poi supportata e valorizzata dalle complesse e diffuse “reti di sensori” che, seppur invisibili agli occhi dei cittadini, garantiscono il monitoraggio continuo di fattori quali l’inquinamento atmosferico e la qualità dell’acqua, portando così in primo piano al tavolo della politica locale, quelle che sono le azioni necessarie richieste a gran voce da parte di un’utenza attiva in grado di misurare quotidianamente l’impegno e l’impatto delle politiche pubbliche sul proprio territorio. Appare tuttavia evidente l’importanza di conoscere e tenere conto delle diverse tipologie d’utente: è noto, infatti, come la cittadinanza attiva in grado di utilizzare le nuove tecnologie con i necessari livelli di autonomia e consapevolezza sia ancora limitata, seppur in costante e graduale crescita. Proprio per questo, la nuova Agenda Digitale Europea prevede l’attivazione di un piano digitale per l’innovazione in Europa, che pone l’avvio di adeguate (nonché rapide) politiche di eInclusion rivolte tanto ai cittadini, quanto agli stessi operatori della PA, spesso incapaci di svincolarsi da una concezione di amministrazione ancora legata a modelli procedurali obsoleti e inadeguati a rispondere alle sfide che il mercato ci impone. Parlare di Inclusione digitale significa costruire le condizioni per l’uguaglianza delle opportunità nell’utilizzo della rete e per lo sviluppo di una cultura dell’innovazione e della creatività, contrastando in primo luogo il nuovo analfabetismo e la discriminazione sociale e culturale. Per raggiungere questo scopo, varie compagini di cittadini e amministratori, si stanno operando per affermare l’accesso alla rete in banda larga come
diritto universale, bene comune non esclusivo e inalienabile. Tale prerequisito apre le porte alla possibilità di affermare i diritti di una propria nuova cittadinanza (diritto all’identità digitale, diritto alla protezione dei dati personali, diritto all’accesso e all’inclusione digitale, diritto alla formazione, diritto all’informazione e all’utilizzo dei contenuti; diritto alla partecipazione; diritto ad una fruizione quotidiana dei benefici delle tecnologie digitali). Il passaggio finale trasforma quindi lo scenario complesso in uno scenario di apertura, libertà e opportunità. L’eGovernment diventa Open Government, agendo da un lato su una regolamentazione che garantisca i diritti della persona, in termini di fruibilità dei contenuti e di riservatezza delle informazioni, mentre dall’altro trasformi l’amministrazione della cosa pubblica in uno strumento per lo sviluppo del Sistema Nazionale dell’Innovazione. A tale scopo appare prioritario definire un Piano strategico per l’innovazione che punti a: realizzare un Piano Regolatore della Rete per lo sviluppo delle Infrastrutture affermando la net neutrality come scelta strategica, revisionare le norme che equiparano i vecchi media ai nuovi, identificare le norme che definiscono il principio di responsabilità nella pubblicazione dei contenuti in rete, revisionare le norme del diritto d’autore adeguandole al nuovo contesto e infine promuovere l’utilizzo di open source e dei formati aperti per i dati pubblici, la digitalizzazione dei servizi, l’interoperabilità tra le amministrazioni, assicurando l’accesso dei cittadini al patrimonio di contenuti informativi e culturali pubblici.
CARLO MARIA MEDAGLIA
Professore aggregato di “Interazione Uomo-Macchina” presso il Dipartimento di Informatica e Sitemistica della Facoltà di ICT “Sapienza” Università di Roma. Coordinatore Scientifico delle attività di ricerca dei laboratori del CATTID
54 iged.it 04.2011 51-54_h.indd 4
26/01/12 17.12
scenari
ICT a supporto dello sviluppo della PA Competenze e tecnologie come motore della reazione alla crisi in corso AUTORE
GIOVANNI PROCACCINO
Ci troviamo, è ovvio dirlo, ma necessario ai fini della riflessione sull’Innovazione Digitale, in un momento di enorme discontinuità, con uno scenario futuro che non è facilmente prevedibile. Chiunque oggi si trova di fronte alla necessità di pianificare impegni economici e le risorse necessarie per affrontare i prossimi mesi, o anni, si trova in una situazione non facile. Quali sono i principali elementi di indeterminatezza ? Sicuramente lo scenario economico complessivo italiano ed europeo Previsioni di riduzione del PIL e quindi della crescita Forte spinta al contenimento dei costi Richiesta di incremento di efficienza Necessità da parte della ICT di sostenere e contribuire in modo significativo e importante al contenimento dei costi, pur contribuendo allo sviluppo di nuovi prodotti e nuovi processi. Occorre quindi uno sforzo importante per rispondere contemporaneamente sia alla richiesta di maggior efficienza, che alla richiesta di maggior innovazione. I due aspetti però non sono distonici. Anzi, per certi versi, gli aspetti che abbiamo evidenziato sono due facce della stessa medaglia. Per contrastare la recessione e supportare lo sviluppo serve che la ICT, come competenze e come tecnologie, si ponga come attore principale e “motore” della reazione alla crisi in corso. Ci sono molte analisi che dimostrano come l’Italia, per il digitale in termini di accessibilità, banda larga, cultura si collochi ancora nella parte bassa di tutte le classifiche europee, ma questo non significa che nel Paese non siano disponibili capacità e risorse che consentano un veloce recupero di posizioni generando effettivi positivi e incremento di valore. Il primo passo è “aggredire” i processi e le funzioni aziendali che sono guidati da processi dove il “fattore umano” è l’elemento maggioritario in termini di necessità di risorse. Il riferimento sono i classici processi di backoffice, il flusso della pratica amministrativa, la gestione
delle necessità approvative del day-by-day. Processi che si trovano oggi ancora sostanzialmente immutati in molte realtà industriali e, soprattutto, pubbliche. Questi processi oggi possono essere gestiti e resi più efficienti sfruttando tecnologie e software che consentono di “rivoluzionare” il concetto stesso di processo o procedura, compiendo un salto innovativo realmente importante, con l’introduzione di tecnologie che sono realmente in grado di gestire il flusso amministrativo e procedurale in mode semplice ed efficace. A paragone si pensi alla classica “supply chain” e all’efficienza indotta dall’introduzione degli ERP. Oggi si possono aggredire con la digitalizzazione tutte le aree della così detta “burocrazia interna”, con un veramente espressivo effetto in tutte le aree di costo, ottenendo benefici e saving ormai ampiamente dimostrati da numerosi studi e analisi sviluppate sia da Enti Pubblici (DIGITPA, CONSIP, Ragioneria Generale dello Stato) che privati (Accenture). Anche la Pubblica Amministrazione può sfruttare e conseguire importanti benefici dall’Innovazione Digitale e, in questi ultimi anni, molte realtà della PA hanno iniziato a lavorare su questi temi conseguendo risultati importanti e dimostrando, con i fatti, sia la possibilità di realizzazione, che i benefici conseguibili (Ministero del Economia e delle Finanze, Consip, Ministero della Giustizia, Regione Sardegna e molti altri Enti e Istituzioni stanno valutando progetti e modalità di implementazione). La leva “Innovazione Digitale” può essere considerata come elemento prioritario e qualificante che serva da collante per tutte le iniziative della PA. Non serve pensare a cose completamente nuove, occorre però velocemente attuare tutti i progetti e le iniziative in corso che, con impegni di spesa relativamente bassi in termini di costi/ benefici e ritorno degli investimenti, siano il volano per avviare una “crescita digitale” nella Pubblica Amminiiged.it 04.2011
55-56_h.indd 1
55 27/01/12 11.27
strazione e di conseguenza nel mondo delle Imprese. Il punto più importante (relativamente agli ambiti della PA) è una precisa valutazione degli investimenti in ICT in termini di componenti tecnologiche, abilitanti al governo e alla nuove gestione dei processi Cittadino vs Amministrazione Amministrazione vs Impresa Amministrazione vs Amministrazione. Cose note e di cui si è parlato in modo ampio e diffuso negli ultimi anni, senza però riuscire ad innescare un meccanismo virtuoso che consenta realmente di innovare e semplificare, quindi di aumentare l’efficienza diminuendo i costi. Proviamo ad immaginare per i 3 punti identificati quale possa essere l’innesco che consenta di ridefinire i modelli in termini di innovazione sia tecnologica, che di processo. Cittadino vs Amministrazione Pur negli sforzi notevoli ad oggi fatti, i canali di comunicazione sono ancora frammentati e non chiari alla maggior parte dei cittadini. L’uso della PEC non decolla anche a fronte di una normativa avanzata e ben strutturata. Quali sono le criticità che ostano una comunicazione diretta e semplice? Serve uno sforzo da parte delle PA e aziende per informare i cittadini delle potenzialità dei nuovi canali (obbligatorietà di indicare sulle comunicazioni, oltre al responsabile del procedimento, anche il nominativo PEC a cui inviare le comunicazioni, pena nullità dell’atto) Serve un indirizzario “certificato” e di facilissima consultazione che aiuti a districarsi nel capire a chi e a quale ufficio occorra inviare una richiesta via PEC o strumenti assimilati (CEC-PAC, etc.) Abolizione del Fax come strumento di trasmissione documenti (con ovvi risparmi immediati) Nomenclatura e regole precise per la definizione dei domini e degli indirizzi Pubblicazione di tutti gli indirizzi email della PA con ufficio di competenza
efficienze. Anche qui alcuni spunti di riflessione vs la semplificazione e abilitanti alla digitalizzazione dei processi. Semplificare la normativa esistente sul protocollo (inutile se si avvia la PEC?) Definire in tempi strettissimi un “modello tecnologico” per la Pubblica Amministrazione centrale che dia le linee guida processuali e tecnologiche per l’implementazione di progetti di digitalizzazione. Considerare che la velocità dell’innovazione tecnologica è oggi superiore alla tempistica decisionale, ossia si corre il rischio di progettare soluzioni “tecnologicamente sorpassate” Progettare quindi soluzioni che siano in grado di gestire l’evoluzione o integrate in un’architettura tecnologica aperta e abilitata al cambiamento Definire in sintesi gli obiettivi quindi “l’agenda digitale per la PA Italiana” integrata con l’Agenda Digitale dell’Italia. In conclusione la discontinuità e la complessità del momento impongono scelte non semplici e di attuazione complessa, ma occorre considerare che le principali difficoltà sono legate al fattore umano e al cambiamento di abitudini e tradizioni. Dal punto di vista delle tecnologie e del software sono disponibili strumenti assolutamente testati ed ampiamente utilizzati, sia come software proletario, che libero. Come ultima osservazione va sottolineato come la realizzazione in termini di tempi sia, ed è, ampiamente dimostrabile, spesso inferiore all’anno e spesso nell’ordine dei mesi, consentendo un ritorno economico degli investimenti che impatta positivamente sui costi già dall’anno successivo, consentendo di recuperare risorse ed efficienze da destinare a ulteriori progetti di sviluppo.
Amministrazione vs Impresa Anche qui una normativa evoluta, e in evoluzione, non sempre trova corretta e facile applicazione in termini di semplificazione. Alcuni spunti di riflessione: PEC obbligatoria nei rapporti con le imprese in termini di comunicazioni e atti formali Atti digitali (firmati digitalmente) come pratica quotidiana Bandi e gare validi solo se firmati digitalmente Fatturazione elettronica nei confronti delle PA Amministrazione vs Amministrazione Questa è l’area dove il grado di differenziazione, anche in funzione della differenziazione esistente tra le varie realtà, resta elevato ma dove sono conseguibili le maggiori
GIOVANNI PROCACCINO
Senior Executive, Accenture
56 iged.it 04.2011 55-56_h.indd 2
26/01/12 17.13
esperienze
La PEC: molti obblighi … e tante opportunità! Top Consult e ACI Informatica lanciano nuovi servizi, indirizzati ad imprese e PA, per la gestione e la conservazione sostitutiva della Posta Elettronica Certificata AUTORE
ROBERTO DE PRÀ
LA FORNITURA DI SOFTWARE E SERVIZI DOCUMENTALI AD ACI INFORMATICA La gara indetta da ACI Informatica per la fornitura di un sistema software e di servizi annessi per la conservazione sostitutiva dei documenti è stata vinta da Top Consult. ACI Informatica intendeva dotarsi di una soluzione di mercato che permettesse di offrire servizi di conservazione sostitutiva a norma di legge alle proprie società collegate e partecipate, all’ente ACI, alle sue società del gruppo (ACI Global, Sara Assicurazioni, ecc.) e alle società del mondo ACI (AC provinciali, Delegazioni, ecc.), all’ente CONI e alle società del mondo CONI (Comitati Provinciali, Federazioni Sportive, ecc.). La soluzione doveva essere, pertanto, aperta e flessibile, facilmente configurabile e personalizzabile, scalabile ed integrabile con i più diversi ambienti in cui generalmente si producono o confluiscono i documenti, in modo da permetterne la condivisione e lo scambio. Oltre ai servizi di conservazione sostitutiva, la soluzione doveva anche consentire di offrire servizi base di gestione documentale; in particolare questi servizi di gestione documentale e di conservazione sostitutiva dovevano poter essere utilizzati per la gestione delle caselle di posta elettronica certificata. Il sistema a regime, infine, doveva essere in grado di far fronte ad una crescita fino a 5.000 utenti e 30 milioni di documenti annui. La proposta Top Consult, che si è aggiudicata la gara, consiste nella piattaforma Top Media NED che è stata, quindi, installata nel Data Center di ACI Informatica a Roma. L’OFFERTA CONGIUNTA Top Consult e ACI Informatica hanno deciso di lanciare sul mercato un’offerta congiunta di servizi di gestione e conservazione sostitutiva dei documenti per imprese e PA. L’offerta è stata presentata in anteprima dalle due società all’edizione romana di OMAT 2011, tenutasi all’inizio di novembre. I nuovi servizi riguardano in primo luogo la posta elettronica certificata (PEC), ma anche i documenti fiscali (dalle fatture ai registri Iva), i libri e le scritture contabili; comprendono inoltre l’assunzione dell’incarico di Respon-
ACI INFORMATICA La missione di ACI Informatica, società per azioni interamente posseduta da Automobile Club d’Italia, è quella di fornire soluzioni e infrastrutture ICT per la mobilità e per la realizzazione di grandi progetti di informatizzazione in ambito PA: ad esempio gestisce l’enorme volume di dati del Pubblico Registro Automobilistico (PRA) e le tasse automobilistiche per conto delle Regioni. Oltre 500 professionisti informatici, dislocati su 4 sedi fra Roma e Torino, sono impegnati nelle attività di sviluppo sulle più svariate tecnologie e piattaforme, di application management delle soluzioni offerte (80 sistemi, oltre 200 applicazioni) e nella gestione delle infrastrutture ICT. Il Data Center, che costituisce uno dei principali e meglio organizzati centri di elaborazione dati in Italia, è composto da una Control Room e 4 sale CED con oltre 500 server, 3 mainframe, 8.000 linee di trasmissione dati e 15.000 PC connessi in rete. Esso opera con elevati standard di sicurezza e servizi di Business Continuity; usa inoltre le più innovative tecnologie di virtualizzazione, architetture flessibili, modulari ed altamente affidabili (cloud computing).
sabile della conservazione e del mantenimento a norma nel tempo degli archivi sostitutivi realizzati. Il servizio di conservazione in outsourcing offerto associa la collaudata piattaforma documentale Top Media NED di Top Consult (con i suoi moduli specifici progettati per realizzare la conservazione in service e consentire alle aziende l’esibizione in remoto via Web) e le capacità di ACI Informatica, quale gestore certificato di PEC ed importante fornitore di tecnologie e servizi. Il Data Center di ACI Informatica, dove è stato installato Top Media NED, è dotato di tecnologie di alto livello, knowhow specializzato e standard di sicurezza ed affidabilità di prim’ordine. Chi usa la posta certificata tramite il provider iged.it 04.2011
57-58_h.indd 1
57 26/01/12 17.14
In figura Control Room del Data Center di ACI Informatica
ACI Informatica potrà, così, archiviare la PEC (il cui uso è diventato obbligatorio per tutte le imprese dal 29/11/11) via Web Service negli archivi elettronici appositamente predisposti nel Data Center di ACI Informatica grazie Top Media NED. Qui viene effettuata la conservazione sostitutiva a norma (che è obbligatoria per un documento informatico firmato digitalmente come la PEC): i clienti possono, quindi, ricercare a distanza i documenti conservati ed esibirli a norma. Le imprese potranno così gestire e conservare la PEC in ingresso e in uscita, conformandosi ai vincoli specifici di legge associati alla posta elettronica certificata e rendendo più efficienti i loro processi aziendali. RICREARE IN AZIENDA L’UFFICIO POSTA, MA “VIRTUALE” La PEC sostituisce a tutti gli effetti la raccomandata a.r., non costa nulla rispetto ai diversi euro della raccomandata tradizionale, si spedisce con pochi click senza code all’ufficio postale, viene recapitata immediatamente – con l’intermediazione di un gestore certificato – ed è dotata di efficacia probatoria. Dati gli indubbi vantaggi sul piano dei tempi e dei costi, l’invio massivo dei documenti via PEC fra le imprese si diffonderà quindi velocemente, a scapito per esempio di sistemi come il Postel più costosi, più lenti e senza conferma di consegna. Ci sono, però, obblighi normativi legati alla posta elettronica certificata che non vanno dimenticati: innanzitutto, secondo gli art. 2220 e 2214 del Codice Civile e l’art. 22 del Dpr 600/1973 sull’accertamento dei redditi, le imprese sono obbligate a conservare “ordinatamente per ciascun affare” per almeno 10 anni la corrispondenza ufficiale inviata e ricevuta (e quindi anche la PEC) al pari dei documenti contabili. La PEC inoltre è un documento informatico firmato digitalmente che, come tale, deve essere gestito e conservato, in modalità sostitutiva, a norma di legge, secondo le direttive
del Codice dell’Amministrazione Digitale e le regole tecniche di DigitPA. I soggetti che dispongono di una casella di PEC non sono obbligati a spedire via PEC, però possono ricevere messaggi e documenti via PEC (per i quali il consenso del destinatario non è necessario) da parte della PA (comunicazioni ufficiali) o di altre aziende. Non è pensabile abbandonare a sé stesse le caselle di posta elettronica o PEC: sarebbe come non gestire le raccomandate a.r. che oggi arrivano in azienda. Le imprese devono quindi gestire la PEC mediante un sistema per la gestione elettronica dei documenti e la conservazione sostitutiva a norma: così facendo, non solo ottemperano automaticamente agli obblighi di legge, ma mantengono l’efficacia probatoria dei processi lavorativi in caso di contenzioso e soprattutto possono fruire di tutte le opportunità di efficienza e di risparmio che ne derivano. Si tratta, in sostanza, di ricostituire l’ufficio posta aziendale quello che smistava, alle persone e ai reparti interessati, la corrispondenza e i documenti in arrivo o li spediva in uscita - che negli ultimi anni ha perso il controllo della corrispondenza a causa soprattutto della posta elettronica che ha creato la dispersione delle informazioni, anche critiche, presso gli utenti finali. Bisogna far rinascere in azienda l’ufficio posta, ma in modo “virtuale”: questo consente in particolare di non perdere il controllo delle informazioni e dei documenti informatici ricevuti e di farli invece diventare patrimonio dell’intera azienda e linfa vitale dei processi aziendali che devono essere riorganizzati secondo precise regole. Dopo essere stato, fra l’altro, il pioniere in Italia della conservazione sostitutiva a norma di legge, Top Consult è intervenuto ancora una volta in modo tempestivo e innovativo anche sulle nascenti tematiche della PEC, proponendo soluzioni flessibili e complete per la sua gestione e conservazione sostitutiva a norma in house e in outsourcing. Il nuovo pacchetto “NED for Corrispondenza”, semplice ed economico, già pronto all’uso e personalizzabile, crea e gestisce il nuovo ufficio posta virtuale: archivia, protocolla, ricerca e conserva a norma la corrispondenza aziendale in ingresso e in uscita, in tutti i formati: non solo PEC, ma anche carta, fax, e-mail. L’archiviazione, la ricerca e la “navigazione” della corrispondenza possono avvenire in forma interattiva da parte dell’utente finale. Oppure si possono utilizzare strumenti automatici: vengono archiviate in modo massivo ed automatico le e-mail (come ad esempio fatture fornitori o attestati di malattia) che arrivano ad una o più caselle - normali o PEC - aziendali o dedicate; invece in uscita si possono spedire, sempre in modo massivo ed automatico, anche via PEC, i documenti archiviati nel sistema Top Media NED, come le fatture attive o i solleciti di pagamento ai clienti.
ROBERTO DE PRÀ
Giornalista e consulente di comunicazione d’impresa per aziende informatiche e hi-tech
58 iged.it 04.2011 57-58_h.indd 2
26/01/12 17.14
esperienze
Sfruttare i colori
Effettuare scansioni a colori di moduli e documenti può risultare molto utile anche se occorre memorizzare o processare solo immagini monocromatiche AUTORE
FRANCESCO PUCINO
Ormai tutti gli scanner professionali di ultima generazione riescono ad effettuare scansioni a colori praticamente alla stessa velocità del bianco e nero, ma quasi mai tale funzionalità viene sfruttata sistematicamente dagli utilizzatori di applicazione di lettura ottica e di archiviazione ottica. Il motivo principale è dettato dal fatto che se non è richiesta la memorizzazione di immagini a colori, come capita nella maggior parte delle usuali applicazioni aziendali, sembra più logico acquisire i supporti cartacei direttamente in monocromatico. Vediamo, ora, perché non è detto che sia sempre valida tale motivazione alla luce di nuove tecnologie impiegate da taluni software evoluti di ultima generazione. Non tutti sanno che anche facendo una scansione in bianco è nero, lo scanner, di fatto, effettua comunque una misurazione della luminosità di ogni pixel, effettuandone automaticamente una sogliatura, statica o dinamica, che consente di avere in output poi solo un valore di bianco o nero. Nel caso questa sogliatura non sia eseguita con accuratezza, vuoi per la tipologia di documento originale, vuoi per la mancanza di algoritmi evoluti nello scanner/driver, vuoi per gli errati parametri impostati dall’operatore, accade che l’immagine acquisita risulti di scarsa qualità o addirittura illeggibile perché troppo chiara, troppo scura in parte o in tutto. Optando invece per una scansione a colori, o quantomeno in scala di grigio, è possibile utilizzare software di elaborazione batch di immagini, come il Recogniform ImageProcessor, che effettuino successivamente la trasformazione in bianco e nero utilizzando algoritmi di thresholding dinamico molto più evoluti e performanti che garantiscono la produzione di immagini monocromatiche sempre eccellenti. La binarizzazione inoltre risulta “ripetibile” enne volte, nel caso si desiderino aggiustare alcuni parametri
o provare ad utilizzare algoritmi diversi, sempre in modo batch, senza necessità di dover riprendere i supporti cartacei e perdere tempo/uomo per rifare le scansioni. È anche bene considerare che, nel momento in cui si dovesse rendere necessario conservare scansioni a colori per i soli documenti cartacei che contengono fotografie e disegni o comunque che contengano effettivamente all’origine informazioni stampate a colori, si può evitare di identificare e suddividere manualmente tali documenti prima della scansione. Si può infatti eseguire, in post-processing e in modalità batch, una scansione a colori per tutti, facendo in modo che sia il software di elaborazione immagini a decidere se fare o meno la trasformazione in monocromatico, in base all’analisi automatica del contenuto del documento stesso. Altro motivo che giustifica la scansione a colori è che spesso nei moduli progettati per la lettura ottica la fincatura viene stampata utilizzando un particolare colore così che possa essere facilmente discriminata da quanto effettivamente scritto e dai segni di spunta. In questo caso, molto spesso, è lo stesso driver dello scanner ad offrire la funzionalità di filtraggio del colore, ossia la possibilità di eliminare uno specifico colore primario (rosso, blue o verde) fornendo una immagine monocromatica. Può capitare però che lo scanner non sia in grado di effettuare perfettamente la rimozione del colore perché il colore di stampa non è della tonalità giusta, tra quelle cioè supportate. In alcuni casi può anche succedere che il modulo sia stato disegnato con aree di diverso colore che l’hardware di acquisizione non è in grado di filtrare simultaneamente. Anche in questi casi, optando per una scansione a colori, il problema può essere definitivamente risolto utilizzando un software di lettura ottica avanzato, come Recogniform Reader, che effettua la rimozione delle fincatura colorata
In figura La tecnologia Color Capture di Recogniform Technologies permette di utilizzare normali evidenziatori per selezionare prima della scansione il testo da riconoscere
iged.it 04.2011
59-60_h.indd 1
59 26/01/12 17.15
In figura La scansione a colori consente di effettuare la rimozione di fincatura stampata con colori differenti.
In figura Un esempio d’uso della tecnologia Recogniform Color Capture: il colore con cui è stato evidenziato ciascun dato identifica la modalità con cui deve essere interpretato il testo
automaticamente sull’immagine da elaborare, con possibilità di modificare esclusivamente la copia temporanea di lavoro, oppure rendere permanente l’elaborazione. Ultima motivazione, non certamente per importanza, di utilizzo dell’acquisizione a colori è la possibilità offerta dall’indicizzazione automatica di documenti mediante lettura ottica dei dati precedentemente selezionati con un evidenziatore direttamente su supporto cartaceo. Tale tecnologia è stata impiegata da Recogniform Technologies nell’ultima release di Recogniform Reader, battezzata Recogniform Color Capture. È sufficiente che, durante la fase di preparazione dei documenti, prima della scansione, l’operatore passi un normale evidenziatore sui dati e le parole chiave da estrarre, così che dopo la scansione il software di lettura ottica effettui un OCR selettivo per leggere ed utilizzare quei dati per indicizzazione e classificazione automatica del documento. Per giunta, grazie alla possibilità di riconoscere il colore dell’evidenziatore utilizzato (giallo, verde, arancio, celeste, etc…), e non solo quindi il segno di evidenziazione, si può associare a ciascun dato un diverso significato, aprendo la strada della
lettura ottica anche per quelle applicazioni in cui un totale automatismo di identificazione ed estrazione dei dati sarebbe improponibile! Qualora necessario, è anche possibile fare in modo che l’immagine acquisita a colori possa essere rilasciata in output in bianco e nero rimuovendo così anche i segni dell’evidenziazione.Per concludere possiamo quindi riconoscere che acquisire moduli e documenti a colori può rilevarsi necessario ed utile anche quando non si devono memorizzare effettivamente delle immagini a colori, allo scopo di migliorare la qualità delle immagini prodotte e per rendere più efficace il processo di lettura ottica.
FRANCESCO PUCINO
Cofondatore e CEO di Recogniform Technologies SpA, membro IEEE ed AIIM, svolge attività di ricerca nel settore imaging dal 1990
60 iged.it 04.2011 59-60_h.indd 2
26/01/12 17.15
mercato
La scelta di uno scanner Nella gestione dei documenti aziendali, le caratteristiche dello scanner si dimostrano discriminanti non solo nella scelta del prodotto stesso, ma anche nella creazione del processo di digitalizzazione AUTORE
DANIELA DEPALO, ENZA TRUZZOLILLO
L’evoluzione dei processi e della gestione dei documenti in azienda ha tratto grande giovamento dalle trasformazioni e innovazioni tecnologiche. Questo ha aiutato tutte le aree aziendali a collaborare, condividere e coordinarsi facilmente e in remoto, come mai in precedenza. Come conseguenza assistiamo alla perdita degli archivi cartacei e ci spostiamo verso gli archivi digitali, per permettere agli utenti di localizzare facilmente documenti, dati e informazioni per poter portare avanti il proprio lavoro più velocemente e con dati consistenti. In media, un documento viene riprodotto 19 volte tramite fotocopia, e se questo viene reso disponibile in formato digitale sulla rete aziendale o uno sharepoint, si possono risparmiare notevoli quantità di carta e inchiostro. Quindi, l’implementazione di un semplice software o un processo di archiviazione ben definito possono non solo aiutare le aziende nel risparmiare sui costi, ma anche sulle perdite di tempo del proprio personale. E non solo dell’IT. Se pensiamo che è dimostrato che un documento su 20 viene perso e ci vogliono 25 ore per addetto per ricostruire tale documento, è facile comprendere il motivo per cui le aziende investono in nuovi processi di digitalizzazione e archiviazione digitale. La maggior parte dei correnti processi aziendali che coinvolgono i documenti parte da materiale cartaceo. Il primo passo per arrivare ad una gestione digitale delle informazioni aziendali è quindi la scansione : attraverso uno scanner o una multifunzione (MFP). Quando si tratta di gestire la digitalizzazione di documenti di un certo impatto e business critical, non vanno sottovalutati pa-
In figura mod. 8500 e mod. CLJ CM6030
rametri quali la versatilità, la velocità di scansione, la capacità di input e output, i software a supporto, la presenza di un alimentatore automatico (ADF), il formato (A3 – A4). In ambito grafico sarà invece fondamentale la risoluzione. Queste caratteristiche sono le vere discriminanti non solo nella scelta del prodotto, ma anche nella creazione del processo stesso. I flussi documentali necessitano la digitalizzazione e la gestione di 400 fogli al giorno in media. Non sarà quindi opportuno gestire un processo di queste dimensioni con una semplice MFP. Sarà invece necessario identificare un prodotto dedicato con caratteristiche superiori. Gli scanner documentali, infatti, sono creati con software a bordo e lettori ottici tali per cui riescono a garantire non solo una scansione facile e veloce, ma anche pronta ad essere inserita all’interno di un processo documentale o archiviata secondo i parametri aziendali. Ad esempio, grazie a controlli ultrasonici, lo scanner è in grado di aggiustare l’orientamento del foglio, in modo da rendere la scansione perfetta al primo passaggio. Esistono anche prodotti che, grazie a facili pannelli touch-screen LCD personalizzabili, non solo possono essere sempre più user friendly, ma possono anche, con un semplice “click”, inizializzare un intero processo documentale. Utilizzando gli scanner documentali di rete si garantisce la stessa interfaccia, e l’utilizzo degli stessi strumenti per la gestione da remoto e dei software di autenticazione che vengono utilizzati sulle Multifunzione a valore. Infatti nella lineup dei prodotti HP i software di gestione documentale avanzati sono gli stessi sia per le MFP, che per gli scanner documentali.
DANIELA DEPALO
ENZA TRUZZOLILLO
IPG Enterprise Marketing Manager
IPG LaserJet Category Manager
iged.it 04.2011
61_h.indd 1
61 26/01/12 17.16
mercato
LA GESTIONE DOCUMENTALE IN AMBITO SANITARIO
La soluzione Epson per la gestione degli uffici front-office
AUTORE
LA REDAZIONE
La soluzione Epson è stata adottata per migliorare la gestione della documentazione cartacea presentata dall’utente agli uffici di Front Office di una casa di cura. Negli uffici di accettazione degli studi medici dell’ente di cura vengono ricevuti quotidianamente circa 600 fogli composti da moduli cartacei e da documentazione non strutturata. In molti casi, i fascicoli presentati dai pazienti contengono documentazione duplicata con la conseguente difficoltà da parte del personale della casa di cura nel riconoscimento della versione utile di ciascun documento. Si è quindi avviata un’approfondita analisi dei processi aziendali e dei flussi informativi, che ha portato all’adozione di un sistema di gestione documentale e delle soluzioni hardware Epson. Con l’introduzione del nuovo sistema i processi aziendali sono stati riprogettati, prevedendo l’acquisizione in formato digitale dei documenti cartacei relativi alla gestione dei rapporti con i pazienti. La soluzione Epson è quindi integrata in un sistema di gestione documentale per l’acquisizione in formato digitale di documenti cartacei quali fax, lettere, circolari, documenti firmati, impegnative, tessere sanitarie, legate ai rapporti con i pazienti. In dettaglio, l’immagine digitale dei documenti viene acquisita con scanner Epson GT-S50 e archiviata in formato digitale direttamente in fase di accettazione dei documenti, rendendoli disponibili in formato digitale alle figure professionali autorizzate alla consultazione medica o amministrativa. Archiviazione efficiente e tracciabilità delle informazioni L’adozione del sistema ha ridotto la movimentazione dei documenti e il tempo di ricerca con una conseguente diminuzione dei tempi di risposta al paziente, a garanzia di un miglioramento della qualità del servizio reso. Il nuovo sistema di gestione documentale consente infatti la tracciabilità delle informazioni inserite, consultate e modificate, contribuendo a migliorare il controllo sui processi interni, l’efficienza e la pianificazione del lavoro. Per ciascuna categoria di documenti, si possono definire specifiche regole di conserva-
zione, tracciando le azioni effettuate su di essi per garantirne in ogni istante l’autenticità. La nuova soluzione di gestione documentale, in sostanza, ha consentito un risparmio dei costi relativi all’acquisto di carta e alla gestione delle macchine, una riduzione dei costi legati alla gestione degli archivi fisici e un riduzione di durata dell’intero processo con una significativo miglioramento in termini di efficienza. Qualità del servizio allo sportello Grazie ai nuovi scanner e al sistema di gestione documentale, la casa di cura ha semplificato anche l’attività degli sportelli di front office, razionalizzando la gestione dei documenti dei pazienti e eliminando il ricorso alle fotocopie. Il rilascio di copie per il paziente è più veloce ed efficiente, grazie all’integrazione a sistema fra scanner Epson GT-S50 e stampante laser Epson AcuLaser M4000: il documento viene acquisito e indirizzato in automatico, da una parte all’archivio digitale, dall’altra alla laser monocromatica per la produzione della copia cartacea da fornire all’utente. Gli scanner Epson per la gestione documentale Gli scanner Epson GT-S55 e GT-S85, i modelli Epson più recenti dedicati alla gestione documentale, possono convertire velocemente e in modo affidabile anche documenti cartacei composti da molte pagine. Si tratta di modelli dotati di una lampada a LED che offre tempi di accensione e consumi bassissimi, di alimentatore automatico da 75 fogli e della possibilità di acquisire contemporaneamente entrambi i lati della pagina. Il GT-S55 può digitalizzare fino a 25 pagine al minuto, che diventano 40 nel caso del GT-S85, dotato anche un sensore ultrasonico per la prevenzione degli errori di alimentazione. Un pannello di controllo con display LCD consente all’operatore di interagire facilmente con l’unità, che può anche essere connessa in rete per favorire la condivisione fra più utenti, una funzione particolarmente comoda nelle aziende di maggiori dimensioni.
62 iged.it 04.2011 62_h.indd 2
26/01/12 17.27
mercato
Gestire energie rinnovabili con soluzioni software innovative Case history Geatecno AUTORE
LA REDAZIONE
La Geatecno, azienda leader per la progettazione, realizzazione e manutenzione di impianti fotovoltaici grid connected, è sempre stata promotrice di innovazione. È con questa impostazione che ha sempre lavorato, cercando innovazione sia nei prodotti e soluzioni che propone sul mercato, sia negli strumenti operativi con i quali gestisce il suo lavoro. E anche per governare in maniera efficiente i propri processi organizzativi, dall’acquisizione del cliente fino alla realizzazione degli impianti fotovoltaici, Geatecno ha ricercato soluzioni innovative. Tali processi venivano gestiti con strumenti informatici diversi, CRM, e applicazioni Microsoft Office, che sostanzialmente governavano le attività del singolo ufficio, ma non presentavano alcuna integrazione fra loro, causando frammentazione e/o ridondanza delle informazioni. Il management dell’azienda ha quindi ricercato uno strumento unico, che rispondesse alle varie necessità operative, evitasse doppie imputazioni, fornisse il
controllo dei processi strategici nella loro interezza, ed infine permettesse analisi e ottimizzazioni delle performance dei processi esistenti. Per realizzare questa cruciale innovazione Geatecno ha scelto la tecnologia openwork®, leader in Italia nel settore della gestione documentale e di processo, con diverse centinaia di installazioni che abbracciano ambiti e funzioni tra le più diverse, integrando gestione della organizzazione, dei documenti e dei processi. A seguito di una approfondita analisi, si è arrivati a definire l’attuale flusso operativo delle attività aziendali di Geatecno, che vanno dall’acquisizione del nominativo di un cliente potenziale, alla realizzazione del preventivo, gestione della commessa fino alla conclusione delle attività burocratiche post-realizzazione dell’impianto. L’intero macro processo, diverse tipologie di documenti, numerose persone e più di cinquanta attività, sono state rappresentate ed orchestrate con gli strumenti openwork®, in una Soluzio-
ne software. L’Ufficio Marketing di Geatecno utilizza un CRM Opensource, denominato VTiger, con cui viene gestita l’attività di inserimento anagrafica del cliente e l’assegnazione dello stesso ad un commerciale. Il commerciale, quindi, prende contatto con il cliente potenziale per fare un sopralluogo. Alla fine del sopralluogo egli compila una scheda di sopralluogo direttamente nella Soluzione realizzata con la tecnologia openwork®. La pubblicazione della scheda di sopralluogo genera una nuova attività nella to do list dell’Ufficio Preventivi, presente sul desktop della Soluzione, che viene allertato anche tramite una email automatica. L’Ufficio Preventivi provvede, sempre nella Soluzione, alla elaborazione del preventivo. Sulla base delle informazioni inserite sia dagli operatori dell’Ufficio Commerciale sia dell’Ufficio Preventivi, la Soluzione provvede a generare il Calcolo del rendimento ed autocomporre un Business Plan e l’Offerta economica. L’otuput finale è iged.it 04.2011
63-64_h.indd 1
63 26/01/12 17.17
quindi un preventivo, che colleziona i tre documenti sopraelencati e le schede tecniche dell’impianto che vengono allegate nelle fasi precedenti. Il preventivo viene quindi reso disponibile dalla Soluzione al commerciale mediante una nuova attività nella propria to do list. “Accade spesso”, afferma Giuseppe Bratta, direttore commerciale Di Geatecno, “che vengano apportate variazioni al preventivo standard. In questo caso, grazie alla flessibilità degli strumenti openwork per il disegno dei processi, è stato possibile prevedere che la Soluzione consentisse anche di rielaborare l’offerta e la sottoponesse anche alla mia approvazione”. A seguito della accettazione dell’offerta da parte del cliente, il commerciale deve fornire all’Ufficio Amministrazione una serie di documenti del cliente, viene pertanto guidato da una checklist a caricare i documenti necessari nella Soluzione. Una nuova scheda di commessa viene generata automaticamente e l’amministrazione è allertata a compiere le attività di propria competenza. Anche il progettista di impianti viene coinvolto, provvedendo al proporzionamento dell’impianto ed ad avviare la richiesta delle autorizzazioni preventive. A seconda delle opzioni previste in preventivo, la Soluzione provvede a gestire contestualmente tre iter autorizzativi rivolti ad ENEL, Cavidotto ed altri enti, gestendo alert sui tempi di presentazione delle domande. Ottenute le autorizzazioni, il tecnico operativo dell’Ufficio tecnico provvede a preparare la lista di approvvigionamento e i disegni esecutivi dell’impianto, quindi li passa al responsabile operativo, che verifica la disponibilità dei materiali a magazzino ed eventualmente compila la lista dei materiali mancanti. Quando la fase di approvvigionamento materiali è conclusa, la parte operativa avvia l’iter di realizzazione opera. In tale fase il responsabile operativo pianifica la commessa da cui risultano le attività da svolgere, la tempistica e le risorse allocate. Al termine del cantiere, il responsabile operativo invia i documenti all’Ufficio Tecnico per la redazione dei
GETAECNO La Geatecno nasce con l’obiettivo di promuovere lo sviluppo e la diffusione delle energie rinnovabili e si occupa di consulenza, progettazione, realizzazione e manutenzione di impianti solari fotovoltaici, solari termici, eolici e a biomassa. La Società si occupa di consulenza energetica e ambientale, basando le proprie linee di indirizzo sul risparmio energetico, sulla produzione e sul recupero di energia. Particolare attenzione è rivolta anche alla progettazione, realizzazione e manutenzione di impianti solari fotovoltaici, solari termici, eolici e a biomassa. Grazie agli incentivi statali del “Conto Energia”, le risorse della Geatecno sono concentrate, con successo, sugli impianti solari fotovoltaici. La Geatecno vanta il primato della realizzazione dei primi cinque impianti fotovoltaici allacciati in rete in Puglia ed incentivati in Conto Energia, nella sua prima versione nel Dicembre 2006: attualmente ha realizzato oltre 500 impianti di ogni tipologia ipotizzabile.
documenti tecnici di chiusura lavori. Infine, il tecnico operativo provvede all’installazione del contatore e all’invio del relativo verbale al responsabile delle pratiche per il Gestore dei Servizi Energetici GSE. Un ulteriore processo openwork® guida il responsabile delle pratiche GSE ad effettuare tutte le operazioni necessarie per per la richiesta degli incentivi. Al termine di tutte queste attività al cliente viene quindi consegnata tutta la pratica dell’impianto realizzato. L’utilizzo della tecnologia openwork® ha contribuito a ridurre al massimo la dispersione di informazioni. Ciascuna persona dell’organizzazione, del marketing, del commerciale, dell’ufficio tecnico, dell’amministrazione, dell’ufficio operativo, sa esattamente quando e come deve intervenire per svolgere
ciò che gli compete. Afferma sempre Bratta, “tutti i documenti necessari per portare a termine una commessa vengono inseriti una volta sola sulla piattaforma e sono sempre disponibili a tutti”. Con la Soluzione introdotta ogni pratica è sempre aggiornata e accessibile a chiunque ne abbia bisogno. I tempi di elaborazione si sono notevolmente ridotti. Geatecno, alleggerita di numerose attività, riesce maggiormente a portare innovazione nel “proprio business”. Conclude infine Bratta: “è stato proprio l’approccio integrato di organizzazione, documenti e processi e la metodologia di analisi realizzativa a far scegliere openwork in competiton con diverse soluzioni tra cui blasonati ERP. Oggi la sostenibilità del processo ed un ROI immediato sono fattori vincenti”.
LE TECNOLOGIE OPENWORK® openwork® è una suite di strumenti per gestire organizzazioni, informazioni e processi, realizzando ovunque, con semplicità e potenza, soluzioni applicative che utilizzano il linguaggio del lavoro quotidiano. L’approccio grafico ed intuitivo dei prodotti openwork® permette di mappare e aggiornare con semplicità gli elementi chiave di qualsiasi organizzazione, ruoli, dati e flussi di lavoro, fornendo rapidamente strumenti per la gestione operativa, che supportino con agilità le evoluzioni del business aziendale. openwork® è la risposta alla necessità, sempre più presente, di rappresentare l’organizzazione, i documenti e i processi aziendali per poterli studiare, ottimizzare e condividere, ottenendo, poi, direttamente, applicazioni software web-based per la loro gestione. Un approccio che riduce enormemente le attività di sviluppo applicativo e la loro complessità. L’adozione degli stessi strumenti e di un unico linguaggio per la progettazione e il governo delle attività permette di raggiungere una produttività senza precedenti.
64 iged.it 04.2011 63-64_h.indd 2
26/01/12 17.17
dalle aziende
La gestione dei flussi delle informazioni di AIM Fulmedia La Fulmedia è specializzata nella gestione dei flussi delle informazioni, che creano la conoscenza aziendale, al fine di ottimizzare lo svolgimento delle attività lavorative.
automatico, i punti salienti della loro attività, sia per eventuali criticità, che per dati già acquisiti dal sistema, ma non ancora sufficientemente diffusi.
Il nostro primo approccio con il cliente è indirizzato ad esaminare i metodi di acquisizione, gestione ed utilizzo dell’informazione. I passi successivi sono lo studio e la conseguente programmazione, mirata a velocizzare la diffusione e la condivisione delle informazioni della struttura aziendale.
A tali procedure associamo anche moderni sistemi di autenticazione delle informazioni, con l’utilizzo di vari livelli di firme elettroniche, con conseguente ed importante riduzione della carta. Con la nostra trentennale esperienza abbiamo acquisito e sviluppato strumenti informatici, che possiamo adattare alle specifiche esigenze aziendali dei nostri clienti.
Procediamo quindi alla informatizzazione del flussi documentali e relativa formazione degli utenti. In questa fase utilizziamo i nostri strumenti informatici atti a fornire le informazioni di routine ai vari responsabili ed altre informazioni volte a migliorare le loro decisioni, la sicurezza del lavoro e l’efficienza delle procedure in modo automatico: attività questa “pro-attiva”. Per ottimizzare la produttività delle risorse impiegate e le tecniche produttive applichiamo la tecnica del “push”. Essa consiste nell’evidenziare ai vari operatori, in modo
Quest’approccio lo abbiamo fatto con i nostri clienti e, anche se con fatica, abbiamo avuto ottimi risultati. Siamo sul mercato da una trentina d’anni e abbiamo clienti affezionati da allora: rinnovando le tecnologie, si può quindi tranquillamente proseguire nel lavoro di…dematerializzare, ridurre la carta, gli sprechi, ecc. … tutte cose vere e sacrosante, anche se spesso difficili da proporre in prima battuta poiché vengono con la riorganizzazione del lavoro ... che è l’attività più complessa da fare perché le abitudini sono difficili da modificare.
iged.it 04.2011
65_h.indd 1
65 26/01/12 17.18
novità normative
Fatturazione Elettronica Il Decreto-legge 6 dicembre 2011, n. 201, recante disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici (Convertito in legge con la legge 22 dicembre 2011, n. 214) ha apportato un’importate modifica ai commi 209 e 214 dell’articolo 1 della legge 24 dicembre 2007, n. 244. I commi dal 209 al 214 sono quelli che hanno introdotto nel nostro ordinamento l’obbligo della Fatturazione Elettronica nei confronti “delle amministrazioni dello Stato, anche ad ordinamento autonomo, e degli enti pubblici nazionali”; di fatto le Amministrazioni Centrali. La nuova formulazione estende suddetto obbligo a tutte le amministrazioni e gli enti che costituiscono il settore istituzionale delle amministrazioni pubbliche. Questa estensione dell’obbligo di fatturazione elettronica è importante non solo in quanto estende e rende omogeneo un tipo di comportamento a tutto il settore pubblico (centrale e locale), ma può rappresentare il fatto determinante per sbloccare l’emissione del Regolamento attuativo per fatturazione elettronica nei confronti della PA che il mercato sta aspettando dal lontano 2008. Di seguito è riportato il comma 13-duodecies dell’articolo 10 del citato decreto che introduce le modifiche di cui sopra: 13-duodecies. All’articolo 1 della legge 24 dicembre 2007, n. 244, sono apportate le seguenti modificazioni: a) al comma 209, le parole: «dello Stato, anche ad ordinamento autonomo, e con gli enti pubblici nazionali» sono sostituite dalle seguenti: «pubbliche di cui all’articolo 1, comma 2, della legge 31 dicembre 2009, n. 196, nonché con le amministrazioni autonome»; b) il comma 214 è sostituito dal seguente: «214. Con decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro per la pubblica amministrazione e la semplificazione, d’intesa con la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e successive modificazioni, da emanare entro sei mesi dalla data di entrata in vigore del decreto di cui al comma 213, è stabilita la data dalla quale decorrono gli obblighi previsti dal decreto stesso per le amministrazioni locali di cui al comma 209».
Certificati emessi dalle Pubbliche Amministrazioni Dallo scorso 1 gennaio è entrata in vigore la legge 183 del 12 novembre 2011 (Legge di stabilità 2012) che, all’articolo 15, cambia in modo radicale la disciplina per il rilascio dei certificati nell’ambito della Pubblica Amministrazione. Sono stati infatti inseriti nell’articolo 40 del DPR 445/00 (Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), come primi, questi due nuovi commi: Le certificazioni rilasciate dalla pubblica amministrazione in ordine a stati, qualità personali e fatti sono valide e utilizzabili solo nei rapporti tra privati. Nei rapporti con gli organi della pubblica amministrazione e i gestori di pubblici servizi i certificati e gli atti di notorietà sono sempre sostituiti dalle dichiarazioni di cui agli articoli 46 e 47. Sulle certificazioni da produrre ai soggetti privati è apposta, a pena di nullità, la dicitura: “Il presente certificato non può essere prodotto agli organi della pubblica amministrazione o ai privati gestori di pubblici servizi”. In sintesi, le pubbliche amministrazioni possono rilasciare certificati solo se utilizzati a scopi privati; nei rapporti con la pubblica amministrazione vanno utilizzate esclusivamente le autocertificazioni già disciplinate da apposite norme del DPR 445. Importante è anche una modifica apportata all’articolo 43 del citato decreto, in base al quale “Le amministrazioni pubbliche e i gestori di pubblici servizi sono tenuti ad acquisire d’ufficio le informazioni oggetto delle dichiarazioni sostitutive di cui agli articoli 46 e 47, nonché tutti i dati e i documenti che siano in possesso delle pubbliche amministrazioni, previa indicazione, da parte dell’interessato, degli elementi indispensabili per il reperimento delle informazioni o dei dati richiesti, ovvero ad accettare la dichiarazione sostitutiva prodotta dall’interessato”.
66 iged.it 04.2011 66-68_h.indd 2
26/01/12 17.28
66-68_h.indd 33 10_14_h.indd
26/01/1212:38:30 17.22 15-06-2009
SCANSIONA, GESTISCI, CONTROLLA.
GESTISCI I DOCUMENTI IN MODO RAPIDO ED EFFICIENTE Gli scanner per l’ufficio Epson serie GT-S55 e serie GT-S85 hanno l’affidabilità, l’efficienza e la velocità che servono per migliorare la gestione dei documenti nelle aziende di tutte le dimensioni. Grazie alle funzioni intuitive, alla velocità di scansione fino a 80 immagini al minuto e all’alimentatore automatico di documenti da 75 pagine, la nostra rinnovata gamma di scanner per l’ufficio certificati ENERGY STAR farà aumentare la produttività riducendo allo stesso tempo i costi e i consumi di energia. Le pratiche funzioni di imaging avanzato rispondono a tutte le esigenze dell’ufficio e sono compatibili con la maggior parte delle infrastrutture IT e di rete esistenti. Le serie GT-S55 e GT-S85 sono la scelta ideale per acquisire, convertire, distribuire e archiviare in modo rapido e semplice tutti i tuoi documenti. Per saperne di più, chiama il numero verde 800-801101 o visita il sito www.epson.it
Epson® è un marchio registrato di Seiko Epson Corporation
66-68_h.indd 4
26/01/12 17.22