La Cabina di Regia per l'Agenda Digitale Italiana

E' nato il sito della Cabina di Regia per l'Agenda Digitale italiana.

La cabina di regia sarebbe uno strumento utilissimo per coordinare e dare una direzione unica a tutte le attività italiane che hanno a che fare con l'Agenda Europea. Abbiamo però perplessità su alcune impostazioni che sono state date a tale strumento. Ad esempio : la fatturazione elettronica è uno dei temi fondamentali dell'Agenda Europea (e abbiamo istituito il Forum Nazionale). Qualcuno l'ha trovata menzionata nel sito? L'eCommerce è solo per spingere a comprare su internet? E ancora : la nuova direttiva sulla firma elettronica: qualcuno si sta preoccupando di valutare che impatto avrà sulle nuove regole tecniche e se non ci toccherà a breve un CAD 3? 

Questo e altri  su punti di vista su:

http://www.linkedin.com/groupItem?view=&srchtype=discussedNews&gid=3834600&item=108572251&type=member&trk=eml-anet_dig-b_pd-ttl-cn&ut=0rZe97iGDlARc1

PEC: Un Fatto di Ordinaria Quotidiana Disinformazione?

Lo scorso 3 aprile Il Fatto Quotidiano ha pubblicato un articolo a pagina 9 a firma di Daniele Martini sul tema della PEC dal titolo “ Chi l’ha vista la PEC? Il mezzo bluff della Posta Elettronica Certificata” (con un richiamo nel titolo a “Le eredità di Brunetta”).

L’articolo sostanzialmente descrive la PEC come il solito pasticcio all’italiana, “non interopeabile” e quindi “l’esatto contrario della filosofia della rete” a detta di Sandro Mari, tecnico dello l’Istituto superiore delle Comunicazioni e Tecnologie dell’Informazione (ISCTI), dipartimento del Ministero dello Sviluppo. Meno male che “La IETF (International Engineering Task Force) ha elaborato un sistema per la posta elettronica che garantisce l’integrità del contenuto, la data e l’ora dell’invio e della ricezione delle comunicazioni e non implica la creazione di un sistema centralizzato per la sicurezza”.  Insomma esisterebbe quindi  “..un sistema alternativo alla PEC, sicuro, meno farraginoso e per di più non oneroso”. Ed ecco la sentenza del giornalista de il Fatto Quotidiano:  “La PEC non solo è autarchica, ma pure inutile”.

La sensazione, dopo aver letto questo articolo, è che si sia voluto in qualche modo attaccare l’operato del passato Governo , e d'altronde questa è l’unica spiegazione che ci siamo dati del fatto che un tema così specifico quale quello della PEC sia stato ritenuto meritorio di pubblicazione su un giornale non specializzato.  Tuttavia, abbiamo delle idee diverse sulla tematica della PEC che avrà pure i suoi limiti ma che non può essere, secondo noi, additata di mancanze che non ha.

Proprio per questo, Andrea Caccia, Chief Information Officer di Hub2Hub, ha scritto al Fatto Quotidiano una mail di replica alle affermazioni contenute nell’articolo,che riportiamo integralmente qui di seguito.

"Ho letto l'articolo sulla PEC sul Fatto Quotidiano del 3 aprile e lo trovo poco aderente alla realtà dei fatti.

Lascio stare le considerazioni su Brunetta: sono fuori luogo dato che la PEC ha attraversato tanti governi e legislature. Dare un indirizzo elettronico certificato a imprese e PA è un passo avanti importante ed in linea con quanto si sta facendo in Europa per la rete dei Punti Unici di Contatto telematico previsti dalla Direttiva Servizi e di cui si sta occupando il progetto europeo SPOCS (http://www.eu-spocs.eu/). 

Entro invece nel merito delle considerazioni attribuite a ISTCTI (in particolare all'ing. Sandro Mari, che non si capisce se parli a nome proprio o dell'Istituto) e delle conclusioni cui giunge l'articolo: le trovo inesatte e fuorvianti.

1) “La Pec non è interoperabile e, proprio perché non basata su uno standard internazionale, non è integrata in alcuni software di gestione”.

Di cosa stiamo parlando? Personalmente leggo la PEC utilizzando lo stesso software con cui leggo la posta elettronica ordinaria, non ho bisogno di altro. Allo stesso modo, proprio perché la PEC si basa su standard internazionali, è integrabile tanto quanto la posta elettronica classica.

Non si tratta di un'esigenza solo italiana e non è vero che non è interoperabile: in Europa, oltre all'Italia, ci sono altri 5 sistemi funzionalmente simili in altri paesi europei che già interoperano: Austria, Germania, Grecia, Lituania, Polonia. Portogallo e Slovenia si aggiungeranno a brevissimo. Romania e Svezia si aggiungeranno nel corso del 2012. In totale arriveremo a 10 nazioni europee interconnesse nell'ambito SPOCS per snellire la burocrazia richiesta ad attivare la fornitura di nuovi servizi al di là dei confini nazionali, secondo quanto previsto dalla Direttiva Servizi.

Questi sistemi fino a non molto tempo fa non interoperavano direttamente in quanto sono stati progettati e realizzati indipendentemente ma, grazie ai lavori in ambito ETSI, uno degli enti dove si scrivono standard internazionali e riconosciuto ufficialmente dalla Commissione Europea (a differenza dello IETF). 

Tanto per capire di che si parla ETSI  è stata la culla degli standard di telefonia mobile che hanno consentito lo sviluppo delle reti cellulari nel mondo così come le conosciamo oggi e ne fanno parte tutti i giganti mondiali che hanno a che fare con la telefonia come Apple, Microsoft e Nokia tanto per citarne alcuni. 

In ambito ETSI è stato riconosciuta l'esigenza di un'attività di normazione per rendere interoperabili i sistemi di posta certificata europei. Le attività sono cominciate nel 2006 ed hanno portato alla nascita di norme tecniche note come REM (Registered Electronic Mail) sulla base delle quali il progetto SPOCS ha realizzato una soluzione che garantisce l'interoperabilità dei diversi sistemi. 

Questa soluzione è stata presentata il mese scorso al CEBIT (la manifestazione europea più importante dell'ICT) dalla Commissione Europea 

Infine ai lavori dell'ETSI ha partecipato anche l'UPU (Unione Postale Universale, l'ente di normazione di tutti i servizi postali a livello mondiale) che ha scelto la REM per l'equivalente elettronico del servizio di Raccomandata elettronica internazionale.

La conclusione che viene tratta nell'articolo (la Posta elettronica certificata è un sistema autarchico, valido solo entro i confini nazionali e non si interfaccia con il resto del mondo, dialoga solo con un'altra Pec o con gli uffici pubblici nazionali, quelli abilitati, naturalmente, e quelli dove la sanno adoperare) è smentita dai fatti.

2) "La IETF (International Engineering Task Force) ha elaborato un sistema per la posta elettronica che garantisce l’integrità del contenuto, la data e l’ora dell’invio e della ricezione delle comunicazioni e non implica la creazione di un sistema centralizzato per la sicurezza"

E' necessario prima di tutto chiarire un punto fondamentale: la PEC sta alla posta elettronica come, nel mondo cartaceo, la Raccomandata sta ad una lettera. Non è una questione di standard tecnici ma della necessità di una terza parte fidata che faccia da garante per avere la certezza che un documento è stato spedito e recapitato: compito volto dal gestore del servizio postale nel caso cartaceo, dai gestori PEC nel caso elettronico*.

Premesso quindi che ci sono differenze funzionali tra i servizi PEC ed email tradizionale, non si capisce comunque l'affermazione dato che la PEC è interamente basata sulle specifiche IETF. Ciò che alle specifiche IETF manca, ed è questo il motivo per cui sono nati i vari servizi in Europa, è la possibilità di associare ad un messaggio delle evidenze, aggiunte dai gestori del servizio, che certifichino quando un certo messaggio è stato spedito e quando recapitato al destinatario. 

Ma l'elemento essenziale qui, e anche la ragione per la quale il messaggio fornito dall'articolo è letteralmente fuorviante, non è quello di utilizzare un particolare standard tecnico, ma quello di avere un servizio funzionalmente diverso e che preveda delle terze parti fidate con funzioni ben precise: i gestori PEC, fidati in quanto sono perché sottoposti all'accreditamento e alla vigilanza di DigitPA. 

Quanto poi all'interoperabilità, occorre che vi siano norme tecniche comuni: è per questo che è nata la REM dell'ETSI sulla base della quale sono stati realizzati dei gateway che fungono da "ponti" tra i sistemi dei vari stati membri.

La REM ETSI si basa in gran parte sulla PEC: le caratteristiche del servizio italiano sono state ritenute valide dall'ETSI che le ha utilizzate come base per la definizione della REM che rappresenta a tutti gli effetti una generalizzazione ed un miglioramento della PEC. 

Non escludo perciò che, in futuro, la PEC possa evolvere verso una maggiore compatibilità con la REM che consentirebbe di avere una migliore integrazione con l'Europa. 

Concludo con l'amara osservazione che uno dei difetti peggiori dell'Italia è quello di non saper fare sistema, anche quando c'è un settore dove siamo stati pionieri e siamo all'avanguardia. Penso anche che sarebbe corretto ai fini dell'informazione indicare che Massimo Penco, oltre ad essere presidente dell'associazione "Cittadini di Internet" è anche imprenditore ed amministratore delegato di GlobalTrust, una società che fornisce un servizio denominato "Certified Mail" che viene dichiarato compatibile alla "Posta Elettronica Certificata" ma che, non essendo presente nell'elenco dei gestori PEC pubblicato da DigitPA: http://www.digitpa.gov.it/pec_elenco_gestori non consente alle società che dovessero acquistarlo di mettersi in regola con quanto previsto dalla legge".

*Secondo Vito Umberto Vavalli, Chief Executive Officer di Hub2Hub, “ .. Sotto il profilo gestionale la PEC corrisponde nel mondo “cartaceo” alla forma tecnica della "Raccomandata  A. R., senza busta e su foglio unico". In altri termini, la PEC garantisce: (i) autenticità dell'origine; (ii) non ripudio dell'invio; (iii) non ripudio della ricezione; (iv) contenuto del messaggio. In assenza della  firma elettronica qualificata del mittente, non potrebbe, di per sé garantire l'esercizio delle deleghe o delle procure aziendali, anche se nel nuovo CAD - a certe condizioni, quali ad esempio un messaggio PEC inviato da un cittadino o da una ditta individuale - l'autenticità dell'origine può essere utilizzata per fornire anche una prova di manifestazione della volontà del mittente. E' per tali motivi di robustezza giuridica attribuita agli atti compiuti  via posta elettronica che l'identificazione del soggetto che ottiene un indirizzo PEC è operazione della massima criticità e la Registration Authority deve essere munito di procedure che garantiscano, a tutti gli effetti di legge, il riconoscimento dell'assegnatario di account. Non a caso, la PEC nasce come strumento che servì per ridurre il peso dei costi di notifica degli atti sul bilancio dello Stato".

                                      Paolo Ponte, Sales & Marketing Manager Hub2Hub

Q&I Sulla Firma Elettronica e Dintorni

Pubblichiamo una serie di domande e relative risposte tra Gianfranco Tabasso  (GT), Vito Umberto Vavalli (VUV) e Andrea Caccia (AC), rispettivamente Presidente, Chief Executive Officer e Chief Information Officer di Hub2Hub.
Il carteggio costituisce un excursus "gestional-tecnico-normativo" di indubbio interesse per chi affronta questi temi.

GT : La differenza tra firma digitale e elettronica avanzata sta nel fatto che la seconda può essere anche simmetrica?

AC : La firma elettronica avanzata può essere qualsiasi cosa purché abbia le proprietà di cui alla sua definizione:

firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati

Non essendo ancora pubblicate le nuove regole tecniche in pratica l'unico esempio "vivente" di firma elettronica avanzata è la firma asimmetrica posta dai gestori PEC sui messaggi e ricevute.

Esempi pratici di firma elettronica avanzata (posto che riescano a dimostrare la rispondenza con le regole tecniche:

- firma grafometrica

- firma fatta con le CNS nei confronti della PA

- invio di PEC alla PA

Il problema della firma elettronica avanzata è quello che non è regolato e sottoposto a supervisione e c'è l'inversione dell'onere della prova. Se riesco in qualche modo a generare una firma a tuo nome per un servizio che viene dichiarato "firma elettronica avanzata" sei tu ad aver firmato a tutti gli effetti finché non riesci a dimostrare il contrario, esattamente come se fosse una firma digitale apposta con certificato qualificato e smart card

GT: Tutte e due possono/ debbono (?) avere certificati qualificati rilasciati da certificatori riconosciuti  

( a livello nazionale ....da chi ? ) oppure, qui c'e una differenza tra le due? 

AC: Solo la firma digitale e la firme elettronica qualificata richiedono certificato qualificato e solo la firma elettronica qualificata richiede il dispositivo sicuro di firma

GT: Nella sciagurata ultima definizione di legge si è perso per la firma digitale il "dispositivo sicuro di firma" , per cui , salvo la correzione della nuova norma tecnica in emandamento , sembrerebbe che il dispositivo  (che per forza deve esserci) potrebbe anche "non essere sicuro" in quanto  cosi non certificato dall'organismo competente ( unico.. Europeo ? ).

AC: Il CAD rimanda alle regole tecniche per definire la cosa. Ciò che dicono le regole tecniche è che OCSI può stabilire per le firme digitali "ulteriori modalità" ma limitatamente alla firma remota. La cosa vale solo per l'Italia al momento.

Per il resto d'Europa, ogni Stato ha un suo organismo per la certificazione common criteria che ha titolo di dire cosa è dispositivo sicuro di firma e cosa non lo è. E quando lo dice vale per tutta l'Europa.

GT: I certificati dei certificatori indicati sono sia digitali che AES? Che significa? Che, come stiamo sceverando, le due fattispecie sono perfettamente uguali o che questi certificatori offrono sia l'uno che l'altro? 

AC: I certificatori accreditati emettono certificati qualificati con validità legale. Chiunque rispetti le regole può offrire servizi di firma elettronica avanzata.

Esistono poi delle fattispecie che in Italia non esistono ma che in alcuni paesi europei cono la norma. Ad esempio se io voglio emettere certificati qualificati, potrei farlo da domani semplicemente comunicandolo a DigitPA: in questo caso sarei sotto supervisione ma non accreditato e le firme non avrebbero valore "erga omnes".

GT: Firme digitali e AES in italia sono equivalenti al fine legale, All'estero , fermo restando (ipotesi) che  la definizione tecnica e la distinzione tra le due sia sempre chiara ed univoca  (la stessa in tutti i paesi... a parte la deviazione temporanea della citata norma italiana), il Diritto di ciascun paese può dare diverso valore legale ai due tipi di firma ( senza parlare di quelle meno forti) .

AC: Esistono 4 tipi di firma:

- firma elettronica: ad esempio il mio nome e cognome scritti in calce ad una mail o la firma autografa scannerizzata messa in calce ad un documento elettronico. E' liberamente valutabile dal giudice e l'unica cosa che il giudice non può fare è dire che non è valida per il solo motivo che è in forma elettronica

- Firma elettronica avanzata: ogni Stato membro può di fatto stabilire delle proprie regole in merito alla validità. Ad oggi è identica alla firma elettronica per il nostro ordinamento, quando saranno pubblicate le regole tecniche avrà lo stesso valore della firma elettronica qualificata e della firma digitale. Dalle stalle alle stelle insomma. Non esiste interoperabilità a livello di trust.

- Firma digitale: nel resto del mondo è una firma basata su chiavi asimmetriche, da noi è una firma basata su certificato qualificato che può avere o no il dispositivo sicuro di firma. Se non lo ha, anche se deve aver superato quanto richiesto da procedure OCSI che non sono note e non si sa se mai ci sapranno, in Europa è una firma elettronica, avanzata nel migliore dei casi, e non ha valore erga omnes

- Firma elettronica qualificata: ha tutti i crismi e sempre validità erga omnes

GT: Il "valore" diverso  riguarda soprattutto la possibile o meno valutazione del giudice e a chi spetta l'onere della prova in caso di contestazione del documento firmato .

AC: Firma digitale ed elettronica qualificata: valida a priori a meno che io riesca a dimostrare che avevo una pistola puntata alla tempia mentre digitavo il PIN

firma elettronica avanzata: il giudice deve determinare se il sistema sia effettivamente firma elettronica avanzata (e questa è l'arma migliore nelle mie mani se voglio dimostrare che una firma non è mia: attaccare il service provider dicendo che non opera secondo i crismi). Poi sono nel caso della pistola puntata alla tempia

GT: Esiste il caso che, con una delle due firme non ci sia alcuna possibilità  di valutazione del giudice  e/o di contestazione di parte o c’è sempre la (unica) possibilità della querela di falso ?

AC: Con la FEA imposterei la mia difesa accusando il provider di non avere un processo a norma di legge. Se dimostro che non si tratta di FEA rientriamo nella firma elettronica ed il giudice valuterà secondo gli elementi a disposizione

GT: ...Non centra con il resto ma visto che siamo in argomento qual’è il punto , se c’è tra la firma di un documento che prova solo la autenticità (origine e integrità) di un documento rispetto alla manifestazione di volontà/sottoscrizione  del contenuto dello stesso .....Ho firmato digitalmente e spedito un volantino delle BR ma quella firma non significa a mia adesione ai propositi in esso espressi. Nel caso ...come attesterei l’adesione (come la firma di un contratto con tutte le pagine siglate...)? Aggiungendo e firmando una frase che attesta la adesione a tutto quello che precede?

AC: Ho sollevato questo punto. Ad esempio da qualche parte si dice che posso attestare la validità della copia scannerizzata di un documento con la firma digitale ma come distinguo questa firma di attestazione (che è la stessa del responsabile della conservazione) da una sottoscrizione del contenuto? Qui regnerà il fai da te

VUV: Si tratta di distinguere la delega di processo, e in questo caso la firma vale come sigillo elettronico (nelle reti chiuse equivale al MAC, Machine Authentication Code), dalle procure che stabiliscono i poteri di firma (power of attorney). La distinzione in Italia è possibile solo verificando i presso il Registro Imprese quali attribuzioni sono state assegnate al firmatario. Sotto il profilo tecnologico, si entra nel campo delle Attribute Authority, nel quale ci sono alcuni standard codificati, ma in concreto ben poco di interoperabile.Inutile dire che le imprese sono molto indietro sul change di procedure nella gestione delle procure

GT: Esiste nella norma l'effetto perverso (da correggere con prossima norma...) che la smart card sia considerata più sicura dello HSM (firma remota…)

AC: Se la firma è fatta con dispositivo sicuro di firma ha piena validità. Se si tratta di firma con HSM che non è certificato come SSCD allora non ha lo stesso valore in tutti gli altri Stati membri.

I misteri del CAD : Firma digitale e Firma elettronica qualificata

Segnaliamo questa interessante discussione su LinkedIn dove vengono evidenziate le contraddizioni presenti nell'ultima versione del CAD inerenti alla definizione di firma digitale e firma elettronica qualificata. Intervengono alla discussione anche Andrea Caccia e Vito Umberto Vavalli, rispettivamente CIO e CEO di Hub2Hub.


http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=107125307&gid=3181811&trk=eml-anet_dig-b_nd-pst_ttle-cn&ut=2kBsk8XPDfmBc1

L'impatto delle false fatture sulle perdite del settore pubblico

E' recente la notizia, pubblicata dal sito "sharedserviceslink.com" e riportata integralmente nel link in fondo all'articolo, che il settore pubblico nel Regno Unito ha perso lo scorso anno 2,3 miliardi di sterline per attività fraudolente, tra le quali la falsa fatturazione è stata quella prevalente. Nell'articolo vengono esplicitate le principali fonti di frodi a livello di pubblica amministrazione centrale e locale, individuando poi alcune categorie di spesa soggette a frodi e/o evasione, come ad esempio le frodi sulle tasse televisive.

Le frodi relative al ciclo order-to-pay sono ritenute quelle più numerose ed insidiose da individuare. Spesso le aziende cadono in truffe ed inganni dovute a doppie fatturazioni, fatte da soggetti terzi estranei al rapporto commerciale e con il chiaro obbiettivo di frodare i business partners che regolano le proprie transazioni. 

A tal proposito, lo scorso gennaio pubblicammo un'articolo sul fenomeno delle false fatture in Svezia ( disponibile per il download al seguente indirizzo http://www.hub2hub.eu/docs/Fatture_false_in_Svezia_Hub2Hub.pdf ) dove si sottolinea come la fattura elettronica dispone, potenzialmente, di meccanismi di generazione e controllo che possono limitare la diffusione di fatture false. Citando l'articolo a pagina 2 , " ...secondo Gianfranco Tabasso, Presidente di Hub2Hub, l’utilizzo della fatturazione elettronica consente di attivare dei meccanismi di controllo potenzialmente efficaci. Ad esempio, dice Tabasso, ”Chi manda una falsa fattura camuffandola da vera (logo,nome, prestazione, ecc.) confida che i controlli fatti dal ricevente non siano così stretti (business controls "laschi"). Nelle fattispecie in cui ci sia coincidenza dei dati di fattura (emessa dal falso fornitore) con l'anagrafica del vero fornitore, l'unico elemento che avrebbe bloccato il pagamento sarebbe il controllo del conto bancario del falso fornitore con quello inserito nell'anagrafica fornitore (ovviamente, quello non può essere uguale ...). Tra l'altro, questo conferma la posizione di EACT che le coordinate bancarie non vanno inserite sulla fattura, contrariamente a quanto pensa la Commissione e l'EPC (vedi R tutte e loro variazioni, vanno comunicati on procedura sicura distinta dall'invio delle fatture. Se il conto è comunque indicato in fattura, esso va controllato con quello in anagrafica.”

Si può concludere che l'utilizzo della fattura elettronica può essere un componente indispensabile per la riduzione del fenomeno dell'evasione e delle false fatture.

http://www.sharedserviceslink.com/file/94460/invoice-fraud-contributes-to-2bn-public-sector-loss.html

Hub2Hub @ OMAT 2012 Milano

Hub2Hub ha partecipato ad OMAT 2012 Milano.

Durante l’evento, svoltosi gli scorsi 27 e 28 marzo, Hub2Hub ha partecipato ad un convegno,  organizzato con il patrocinio di AITI, ANDAF e ACMI,  indirizzato specificamente a Direttori Finanziari, Direttori Amministrativi, Direttori Acquisti, Tesorieri e Credit Manager. Queste figure, pur dovendo prendere spesso importanti decisioni sui progetti legati alla dematerializzazione dei processi commerciali e logistici di filiera (la cosiddetta Financial Supply Chain), sono stati spesso poco coinvolti e, soprattutto, poco informati in merito.

Obiettivo della sessione è stato quello di evidenziare non solo la "cost reduction” indotta da questi progetti, ma anche l' importanza "strategica" per il loro impatto sul circolante, il “cashflow” e il posizionamento competitivo della impresa.

Durante la mattinata sono intervenute alcune importanti testimonianze, proposte da figure aziendali non tecniche, quali:

- La digitalizzazione della Supply Chain tramite Catalogo Elettronico e l’emissione di contratti d’acquisto;

- La dematerializzazione dell’intero ciclo attivo dall'ordine fino alla fattura per i clienti nazionali e la conservazione sostitutiva, dopo la   loro conversione in immagini digitali, delle fatture dei fornitori; 

- La partecipazione in Brasile allo schema di fatturazione elettronica obbligatoria che, in poco tempo, ha permesso a quella nazione di raggiungere elevati livelli di dematerializzazione e di divenire un modello di sviluppo per l'America Latina;

- Una "piattaforma collaborativa" di fatturazione elettronica quale nuovo modello di business per estendere la FE anche alle PMMI (Piccole Medie e Micro Imprese), accrescere l’interoperabilità tra gli operatori ed allargare il mercato.

Qui di seguito alcune foto scattate durante il convegno.