Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Pubblica amministrazione e open source

La chiave di accesso alla pubblica amministrazione digitale
di Piero Luisi - 21.12.2000

La definizione di "rivoluzione", rivolta ai processi di riforma della pubblica amministrazione italiana, non è mai stata tanto utilizzata quanto negli ultimi anni. La portata delle iniziative legislative e regolamentari cui la definizione si è riferita, merita, comunque, tale enfasi, visto che stiamo parlando di vere spallate al sistema autoreferenziale della burocrazia italiana.
La chiave di volta dell'impianto della riforma innescata dal Governo e dal ministro Bassanini è la gestione elettronica dei documenti, ovvero l'automazione e la digitalizzazione dei processi di lavoro e delle modalità di erogazione dei servizi da parte della pubblica amministrazione.

Il protocollo informatizzato, la gestione elettronica dei flussi documentali, l'archiviazione ottica dei documenti in formato elettronico e la firma digitale costituiscono l'architettura informativa e organizzativa della nuova forma di governo elettronico, o e-goverment, su cui si concentrano le raccomandazioni e le azioni dei piani strategici sulla "società dell'informazione", adottati recentemente dall'Unione europea e dal Governo italiano.

Se le premesse a livello di strategia politica e impianto normativo hanno dato avvio ad un processo di trasformazione delle prestazioni dei servizi amministrativi, in cui il versante del cosiddetto back office è al centro di un importante lavoro di analisi e semplificazione delle procedure amministrative che ne consentano il passaggio dal supporto cartaceo a quello elettronico, la strada che porta alla disponibilità pubblica di tali servizi è ancora lunga.
Uno dei nodi più importanti per garantire l'accesso universale ai servizi telematici pubblici, è rappresentato dalla diffusione sociale degli strumenti che possano facilitare ed agevolare l'accesso al patrimonio informativo detenuto dalla pubblica amministrazione.

Sul lato del cosiddetto front-office, infatti, la presenza massiccia delle amministrazioni in Internet non ha finora garantito la qualità dei servizi erogati. Ma se Internet è certamente il canale trasmissivo, la porta da cui far entrare il cittadino/utente nelle stanze chiuse della PA, e se, come abbiamo accennato, la gestione elettronica dei documenti è la sfida posta alla burocrazia pubblica, a mancare sono le chiavi per poter finalmente "aprire quella porta" ed accedere in maniera facile, trasparente e, soprattutto, sicura ai servizi pubblici.
La chiave della nuova pubblica amministrazione digitale è rappresentate dalla carta di identità elettronica (CIE), vero pilastro, quindi, del processo di cambiamento della pubblica amministrazione italiana, perché consentirà a tutti i cittadini italiani di conservare ed utilizzare lo strumento di accesso della "propria" amministrazione.

Caratteristiche e circuito di emissione

Con il DPCM n. 437 del 22 ottobre 1999 è stato approvato il "Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127 come modificato dell'articolo 2, comma 4, della legge 1 giugno 1998, n. 191".

Il decreto stabilisce che la Carta di identità elettronica può contenere:

  • la firma digitale e la chiave biometrica - art. 4;
  • il codice fiscale ed i dati necessari per la certificazione elettorale, compresi anche i dati del Servizio Sanitario Nazionale - art. 3;
  • tutti gli "altri dati" intesi come " (.) informazioni di carattere individuale generate, gestite, e distribuite dalle pubbliche amministrazioni per attività amministrative e per l'erogazione di servizi al cittadino" - art. 1.

Tra i servizi a valore aggiunto, la Carta di identità elettronica potrà essere utilizzata anche per "il trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni, previa definizione, d'intesa tra il comune interessato e l'intermediario incaricato di effettuare il pagamento, delle modalità di inserimento e validazione dei dati necessari" - art 6, comma 1.

Il 19 luglio 2000 il Ministero dell'Interno ha pubblicato "Le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione delle carte di identità e dei documenti d'identità elettronici", ai sensi dell' art. 8, comma 1, DPCM n. 437/99 (il documento può essere scaricato dal sito del Dipartimento della funzione pubblica)

In generale, la carta di identità elettronica, così come descritta dal dispositivo legislativo e regolamentare in materia, si configura come una carta intelligente "multiservizi".
Intelligente, perché dotata di un microprocessore in grado di elaborare informazioni ed eseguire "programmi", come un vero, piccolo computer, e di proteggere in maniera sicura dati memorizzati.
Multiservizi, perché dotata di uno spazio di memoria, riservato al comune emittente, capace di supportare un set di servizi a valore aggiunto di diversi livelli, che si affiancano ai dati di riconoscimento anagrafico e fiscale.

Andando a specificarne meglio le caratteristiche, da un punto di vista tecnologico, la CIE si presenta come un dispositivo "ibrido", ovvero è dotata sia di un microprocessore crittografico, supporto attivo, sia di banda ottica, supporto passivo.
La scelta dell'alloggiamento dei due dispositivi tecnologici sullo stesso supporto fisico è dovuta alla maggiore capacità di memoria della banda ottica nella memorizzazione dei dati, in piena sicurezza. Al microprocessore, invece, sono delegate le funzioni di sicurezza per il riconoscimento e la fruizione dei servizi erogate su reti telematiche aperte, quale Internet.
Al termine della fase di formazione della CIE da parte del comune, le informazioni contenute nei due dispositivi saranno allineate. A variare, quindi sono le funzionalità rese da due dispositivi e non le informazioni in esse contenute.

Sintetizzando ulteriormente, le funzioni svolte dai due sistemi sono:

  1. microprocessore crittografico: generazione di firme digitali attraverso il sistema di crittografia a chiave pubblica, o asimmetrica, e memorizzazione sicura della chiave privata utilizzata per le fasi di autenticazione forte (strong authentication) del titolare. L'autenticazione certa della carta o del suo titolare è un requisito di sicurezza fondamentale per l'accesso remoto a sistemi informativi in grado di erogare servizi attraverso la rete Internet. La capacità di memoria sarà non inferiore a 16Kb;
  2. banda ottica: area dati - memorizzazione dei dati della carta, del titolare, dei servizi installati - e area di controllo - memorizzazione delle informazioni di controllo e di verifica dei dati; questa ultima area dati della banda, consente di avere un registro delle operazioni avvenute sulla carta. Come detto, le due aree di memorizzazione sono presenti anche sul microprocessore. La capacità di memoria sarà di circa 1,8 MB;

Tali tecnologie di memorizzazione ed elaborazione saranno "alloggiate" su di un supporto di plastica, esattamente come le carte Bancomat, che sarà personalizzato mediante la stampa e, quindi, il riconoscimento a vista, dei dati identificativi e della foto del titolare della carta.
L'infrastruttura organizzativa del circuito di emissione e i dispositivi di sicurezza che consentono al comune di consegnare al cittadino la CIE, sono descritte in dettaglio nell'Allegato B del citato decreto del Ministro dell'interno del 19/7/2000.

Sicurezza e servizi

La criticità delle operazioni di "inizializzazione" e "personalizzazione" della CIE (la prima compiuta dal Poligrafico dello Stato e la seconda dal comune emittente) rendono il sistema di emissione di particolare complessità, e questo per garantire al massimo il livello sicurezza di tutte le fasi che dalla predisposizione del supporto fisico, portano alla memorizzazione di dati ed alla sua emissione.
"In considerazione dell'architettura definita per la carta di identità elettronica e dell'utilizzo della componente microchip per il riconoscimento in rete della carta nei confronti di un server applicativo che eroga servizi, la soluzione che si è scelta è quella della strong authentication che richiede l'utilizzo di funzioni tipiche di una Public Key Infrastructure (SSCE)", art. 6.2, Allegato B.

I livelli di sicurezza che sono rispettati nella definizione delle procedure di emissione della CIE, e che lo differenziano dall'emissione attuale del modello cartaceo, riguardano il supporto fisico, il circuito di emissione, formazione e rilascio, il processo di riconoscimento dei titolari "a vista", anche attraverso l'utilizzo della banda ottica, ed in rete, e le transazioni dei servizi on-line.
La richiesta di standard elevati di sicurezza dei sistemi informativi impiegati sia nel circuito di emissione sia per il trattamento dei dati personali che dovranno essere aggiornati per la disposizione di servizi qualificati, è stata ribadita da una nota del Garante per la protezione dei dati personali.
Un nuovo intervento del Garante è atteso a breve scadenza, in relazione alla proposta di inserire nella CIE anche l'impronta digitale o della retina del titolare.

I servizi a bordo della CIE sono distinti, dall'art . 5 del DM (Interno),19/7/2000, in servizi standard e servizi qualificati.
I servizi standard sono, comma 1, "(.) tutti i servizi che non implicano la memorizzazione dei dati sui documenti sono predisposti in piena autonomia dalle amministrazioni".
I servizi qualificati sono, comma 2, quelli che richiedono la memorizzazione di dati sui documenti, ovvero l'installazione degli stessi da parte del comune e, qualora relativi a dati sensibili, la richiesta dell'interessato. Questi ultimi, possono essere erogati, ed avere valenza, dalle amministrazioni centrali e dalle amministrazioni locali o essere indirizzati alle associazioni di categoria che sono interessate da un dialogo costante con la pubblica amministrazione.

Rispetto ai livelli di sicurezza utilizzati per erogare tali servizi, questi sono (art. 6, Allegato B):

  • Autenticazione forte (strong authentication) del titolare
  • Autenticazione forte del server erogatore (autenticazione esterna)
  • Cifratura del canale (secure messaging)

Per tutti i tre livelli è necessaria la digitazione del PIN, il numero identificativo che lega il certificato della chiave pubblica della carta al titolare della stessa. Il PIN è rilasciato dal Comune al titolare "su speciale carta chimica retinata, tale da garantire la riservatezza dell'informazione contenuta ed evidenziare eventuali tentativi di apertura" (Art. 7.4.1.3, 5), Allegato B).

Per poter essere installati nella CIE, nella fase di formazione svolta dal comune-emettitore, tutti i servizi qualificati devono essere registrati in apposite liste. Esistono liste di servizi nazionali (mantenuta dal SSCE), liste di servizi comunali (mantenuta dai comuni), liste di servizi ultra-comunali, cioè erogate dal Comune in ambito non strettamente comunale.
Tra i servizi qualificati può essere compresso l'utilizzo della firma digitale, ovvero la generazione delle chiavi di sottoscrizione che consentono la generazione della firma digitale da apporre al documento elettronico, così come disciplinata dal DPR 513 del 1997.
Nel testo unico sulla documentazione amministrativa, approvato il 25 agosto 2000 dal Governo e pubblicato sul sito del Dipartimento della funzione pubblica, si fa esplicito riferimento alle funzioni di firma della CIE, oltre che, in generale, al ruolo strategico dello strumento per l'accesso sicuro ai servizi amministrativi on-line.

La sperimentazione

Al Capo IV, art. 14 e 15, il DM sulla CIE definisce i criteri che consentiranno ai comuni di partecipare alla fase di sperimentazione dell'adozione della carta di identità elettronica.
Il carattere sperimentale della distribuzione delle CIE è tale soltanto riguardo alla non estensione su scala nazionale del servizio, ma i documenti che saranno emessi da parte dei comuni "sperimentatori", avranno valore legale a tutti gli effetti e quindi andranno a sostituire da subito il documento cartaceo.
La sperimentazione si prevede che duri due anni, in cui, secondo quanto descritto nel Piano di  e-goverment, saranno distribuiti due lotti di carte: un primo lotto di carte pari a 100.000 pezzi ed un secondo pari a 1.000.000 pezzi.

Il formato dei progetti di sperimentazione da presentare al Ministero dell'interno sono pubblicati sulle pagine dedicate alla CIE nel sito dell'Ancitel. Il comune che intende partecipare alla sperimentazione deve dimostrare di:

  1. possedere l' infrastruttura informatica necessaria per dialogare correttamente con il circuito di emissione e possedere la dotazione hardware necessaria per formare ed emettere la CIE;
  2. aver definito le modalità organizzative per la gestione e distribuzione delle carte;
  3. essere in grado di attivare la connessione telematica al SAIA (Sistema di accesso e interscambio anagrafico) e dichiarare di aver terminato, anche attraverso il SIATEL (sistema interscambio dei dati in materia tributaria), la fase di validazione ed allineamento dei codici fiscali dei cittadini che saranno interessati alla sperimentazione;
  4. aver definito delle policy e dei sistemi in grado di garantire, lato comune, la sicurezza dell'infrastruttura organizzativa dedicata all'emissione della CIE;
  5. aver definito i servizi che intende erogare tramite CIE - ambito di erogazione, target, tipologia di servizio (standard o qualificato), meccanismi di sicurezza utilizzati in fase di erogazione - quali dati si intende utilizzare (riguardo i servizi qualificati) e quali dati aggiunti ci si propone di inserire sulla carta.

All'interno del periodo della sperimentazione, la prima fase di emissione delle CIE (100.000 pezzi) vedrà erogati servizi limitati all'ambito comunale. Nella seconda fase di emissione (1.000.000 di pezzi), saranno erogati anche i servizi a livello nazionale che saranno stati predisposti dalle amministrazioni centrali.

Gli obiettivi della fase di sperimentazione, così come avvenuto in forma spontanea per l'applicazione del sistema di firma digitale prima della pubblicazione del DPCM 8/2/1999 -"Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'art. 3, comma 1, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513 -, sono;

  1. verificare i problemi organizzativi che l'adozione della CIE comporta sulla pianta organica dell'amministrazione interessata;
  2. verificare i problemi di natura tecnologica rispetto alla integrazione dei sistemi informativi delle anagrafi comunali;
  3. verificare la risposta del pubblico all'utilizzo del sistema di accesso telematico ai servizi amministrativi individuati;
  4. definire un set di servizi aggiuntivi, sia in ambito comunale che ultra-comunale sia rivolto a target particolare di utenti, che possa migliorare il feedback riguardo la soddisfazione o le eventuali modifiche da apportare alla gestione del servizio telematico gestito con CIE;
  5. sperimentare le funzionalità di firma digitale, all'interno dei servizi qualificati gestibili tramite la CIE, per l'avvio del processo di digitalizzazione dell'attività amministrativa;
  6. predisporre un adeguato sistema di punti di accesso pubblici per migliorare l'accesso ai servizi telematici.

Molti dei grandi comuni che hanno da tempo predisposto una infrastruttura organizzativa e tecnologica in grado di supportare al meglio il processo di virtualizzazione dell'attività amministrativa, hanno aderito alla prima fase della sperimentazione.

Sarà importante creare un sistema di monitoraggio e controllo dei risultati della sperimentazione, così come peraltro previsto dall'art. 15 del DM 19/7/2000, che porti, però, ad avviare un processo di comunicazione e condivisione delle esperienze da offrire a tutto il sistema delle autonomie locali del Paese.