Quando il "digitale" genera difficoltà

Luca_Bonuccelli · 29 Ottobre 2017, 5:07pm

Buongiorno,
mi è capitato tra le mani il bando che segue.

IMHO L’adozione della forma digitale ha reso più complesso l’iter da parte dell’impresa/cittadino invece che più semplice.

Vorrei aprire una riflessione sul tema
“E’ davvero necessario chiedere CNS + Firma digitale + PEC?”
sottotitolo: “può un decreto interminesteriale chiedere al cittadino utente più di di quanto prevede una norma superiore?”

Le mie riflessioni sono:

non è assolutamente citato SPID come strumento alternativo.
perchè chiedere l’adozione di più strumenti in contemporanea in apparente contrasto con l’art 65 del CAD?

Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato è rilasciato da un certificatore qualificato ;
b) ovvero, quando l’istante o il dichiarante è identificato attraverso il sistema pubblico di identità digitale (SPID), nonché attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti; ;
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identità; ;
c-bis) ovvero se trasmesse dall’istante o dal dichiarante mediante la propria casella di posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

se fosse confermato che il bando chiede da una parte troppo (CNS+FIRMA+PEC)e dall’altra nega (SPID) a chi occorre avanzare segnalzione?

emmedi · 30 Ottobre 2017, 8:27am

A mio modo di vedere il bando da te citato è la summa di numerose problematiche di cui abbiamo già discusso separatamente su queste pagine:

Prevede identificazione e autenticazione tramite CNS: i tempi dello switch-off, switch-on in questo caso, non sono chiarissimi (Meglio SPID, o Username/Password?)
Accesso riservato al legale rappresentante: non essendo attivo il Registro Imprese come Attribute Authority il controllo sarà eseguito ex post da un funzionario. (Deleghe, procure e Attribute Authority, Identità digitale per persone giuridiche)
Potere di rappresentanza: procura sì, ma a fare cosa? con quali strumenti si attribuisce? (Come gestire le procure in SPID) ma soprattutto: Chi firma??? chi è il soggetto che compila e presenta la domanda? Sulla base di quale mandato?
La domanda e i relativi allegati devono essere firmati digitalmente: questo è un problema che a me pare ancora oggi irrisolto. La presentazione telematica di istanze pone problemi nella conservazione dei documenti presentati per i quali occorre trovare meccanismi che ne garantiscano l’immodificabilità successiva alla presentazione, motivo per il quale occorre una FEA basata su SPID (Realizzare una FEA con SPID, Istanze online che prevedono firma di più soggetti: come fare con SPID?)
La PEC occorre non tanto per presentare l’istanza (non essendo una PEC-ID non assolverebbe al punto c-bis del comma 1 dell’art.65 del CAD) ma per inviare notifiche telematiche. Per le imprese questo non è un problema, dal momento che sono da tempo obbligate a possederlo e comunicarlo (Decreto Legge 29/11/2008, n. 185, art. 16, c. 6). Per i normali cittadini l’assenza di un domicilio digitale costituisce invece uno scoglio importante nella gestione di istanze telematiche, dal momento che i funzionari non sanno come inviare eventuali successive notifiche.

Luca_Bonuccelli · 30 Ottobre 2017, 8:43am

A mio modo di vedere l’art 64 e l’art 65 sono chiari:
L’utente ha diritto a scegliere tra SPID, CNS o CIE come strumenti di identificazione ALTERNATIVI tra loro e non ESCLUSIVI.

questo impatta “marginalmente” sull’utente, o meglio impatta principalmente sui costi della pubblica amministrazione

Da quello che leggo e comprendo si tratta di una istanza (valida perchè il soggetto che presenta l’istanza è riconosciuto con SPID) nella quale si chiede/comunica chi viene delegato a svolgere il proseguo della singola pratica.

credo che dobbiamo fare un passaggio mentale in più: “non si firmato i documenti” bensì di attribuisce una partenità dei dati ad un soggetto identificato in modo forte.

Tornando al tema principale: a vostro avviso con questo bando si sta attuando una semplificazione oppure no?

PaxLex · 30 Ottobre 2017, 8:45am

Vorrei aggiungere un altro punto: l’accumulo di richieste di autenticazione nasce non solo dalle problematiche che ha ben espresso @emmedi, ma anche da una sfiducia sul sistema informatico. Esistono realtà nella PA dove parallelamente al digitale si stampa di tutto. La carta fornisce ancora una sicurezza e una leggibilità diversa, mentre il digitale no, credo infatti vi siano molte persone che hanno problemi a leggere a video (sindorme CVS) e non lo sanno. La semplificazione a volte può essere più complicata soprattutto quando la stessa legge invece di semplificare complica. Probabilmente ho detto una cosa scontata, ma i legislatori dovrebbero ben tenere conto del loro delicato lavoro.
In merito al discorso, non credo sia una semplificazione. Più strumenti si usano e più diventa complicato.

ssette · 13 Novembre 2017, 2:43pm

Rispondo subito alla domanda più importante: si tratta di semplificazione ?
La mia risposta è che la digitalizzazione se interpretata e valutata solo come mero aspetto documentale, ossia la sostituzione del documento cartaceo con la sua rappresentazione digitale, specialmente con le leggi italiane e gli strumenti attualmente a disposizione, non rappresenta quasi mai una semplificazione, anzi. La semplificazione, o meglio, la maggiore efficienza la si può raggiungere solo nel caso di piena automazione del processo come per altro lo stesso CAD negli articoli 12 e 15 mette bene in evidenza.
Peccato che questo aspetto sia ampiamente misconosciuto…

CNS (o SPID, ma la norma qui citata è del 2014…), Firma Digitale e PEC sono aspetti distinti che non vanno confusi, come invece la legge, ed in particolare proprio l’articolo 65, fa.

CNS/SPID = autenticazione
Firma digitale = sottoscrizione
PEC = comunicazione (certificata)

L’art.65 confonde, nel tentativo di semplificare, autenticazione con sottoscrizione. Sempre l’art. 65 poi tratta della comunicazione in un solo verso, cioè utente --> PA facendo pensare che la PEC sia sostanzialmente inutile. Come dice @emmedi la PEC serve per le notifiche ed in generale per la comunicazione da PA ad impresa/cittadino, così come specificato all’art. 5-bis (o meglio dal DPCM di cui all’art. 2 del summenzionato articolo)

In buona sostanza la dotazione CNS/SPID, Firma Digitale e PEC, specialmente per un’impresa è allo stato attuale necessaria.

La firma digitale è necessaria ? No, come giustamente osservato per la presentazione delle istanze e dichiarazioni basterebbe un servizio autenticato. Ma non è nemmeno vietato richiedere che i documenti siano sottoscritti con firma digitale (oppure, in alternativa, sempre citando @emmedi, con la FEA eseguita utilizzando il certificato presente nella CNS). Il problema dei documenti trasmessi solo tramite servizio autenticato con SPID/CNS è che poi in realtà non hanno nessuna firma (neanche elettronica) associata a meno di non riuscire (ma non è tecnicamente fattibile in modo banale specie se si vuole che l’associazione sia in qualche modo “sicura”) ad associarli come minimo ad in ID di sessione autenticata. In poche parole ti arriva un PDF o un xml completamente “nudo”. In caso di contenzioso cosa presenti ?
Penso sia per questo motivo nel decreto citato si richieda la firma digitale.

In realtà non si tratterebbe di nulla di complicato, in fondo una firma digitale è tecnicamente una banalità, la PEC è di fatto un’email con maggiori caratteristiche di sicurezza e SPID/CNS un sistema di autenticazione più sicuro (le banche lo hanno da una vita…)

Il problema che rende il tutto più complicato è proprio la loro implementazione che per tutelare la cosiddetta neutralità tecnologica e il libero mercato sacrificano la semplicità d’uso.

Non sono molto ottimista che le cose potranno migliorare in futuro…

arf · 12 Dicembre 2017, 3:21pm

Riprendo questa tua:

e la trovo pienamente condivisibile e aggiungo:

se consideriamo il problema della efficienza del Sistema Informativo della P.A. nel suo complesso, la strada della neutralità tecnologica comporta un parallelismo di evoluzione delle tecnologie per rispondere al meglio alle esigenze funzionali di processo che rappresenta di per se la soluzione più costosa per raggiungere la soluzione più efficiente ed efficace
se in questo scenario si riportano le considerazioni sparse nel forum in merito al fabbisogno di cultura ICT ai vari livelli della PA oltre ai costi tecnologici di cui sopra, si aggiungono i costi di formazione e di “change”…

La tentazione di richiedere oltre alle linee guida date in termini di “open source” e di architetture dati, anche delle scelte “meta=tecnologiche” di riferimento, anche solo per approcciare più velocemente la realizzazione della trasformazione digitale della PA del Paese, potrebbe essere valutato da un punto di vista volto al “pragmatismo” talvolta necessario per ridurre tempi e costi di realizzazione…la riconoscerei in ogni caso come un’azione di “Governance” del settore ICT della PA.
Antonio