S P C
S P C
Sistema Pubblico di Connettività e Cooperazione
Commissione di Coordinamento SPC
Definizione dei requisiti tecnici per la transizione, l’evoluzione e il
funzionamento delle Infrastrutture Condivise
versione 1.5
Nome doc.: | CdC-SPC-GdL6-InfrastruttureNazionaliCondivise-v1.5.doc | Versione: | 1.5 |
Data emissione: | 2 marzo 2012 | Stato: | versione definitiva |
INDICE
1. PREFAZIONE 4
1.1. Componenti del gruppo di lavoro 4
1.2. Modifiche Documento 5
1.3. Acronimi 6
2. SCOPO DEL DOCUMENTO 7
3. TIPOLOGIA DI DOCUMENTO 8
4. CONTESTO ATTUALE DI RIFERIMENTO 9
4.1. Quadro normativo nazionale ed europeo 9
4.2. Scenario economico e di mercato 10
4.3. Delibere della CdC per l'evoluzione di XXX 00
5. EVOLUZIONE DI SPC 12
5.1. Principi del XXX 00
5.2. Il nuovo framework XXX 00
5.3. Attori XXX 00
5.3.1. Fruitori esterni di servizi 14
5.3.2. Soggetti di sistema e sussidiari 14
5.3.3. Fornitori qualificati 14
5.3.4. Soggetti preposti alla governance 14
5.4. Nuovi servizi e-government SPC per la PA 14
5.5. Ruolo delle infrastrutture condivise 15
6. NUOVE INFRASTRUTTURE CONDIVISE 15
6.1. Architettura e modalità di federazione 17
6.1.1. Protocollo d’intesa e specifica di interfaccia 19
7. SERVIZI DELLE INFRASTRUTTURE CONDIVISE 20
7.1. Servizi per l’interoperabilità 20
7.1.1. Interoperabilità per la connettività 20
7.1.2. Interoperabilità per le applicazioni 22
7.2. Servizi per la governance XXX 00
7.2.1. Supporto alla gestione contrattuale 27
7.2.2. Gestione di dati di qualità e sicurezza 27
7.2.3. CERT-SPC 27
7.2.4. Portale servizi e applicazioni XXX 00
7.2.5. Servizi di gestione operativa 28
8. MODELLO DI RIPARTIZIONE DEI COSTI 29
9. CONCLUSIONI 31
10. BIBLIOGRAFIA 33
1. Prefazione
1.1. Componenti del gruppo di lavoro
Xxxxxxxxx Xxxxxxxxxx (Coordinatore) | DigitPA |
Xxxxxxx Xxxxxxx | DigitPA |
Marino Di Nillo | DigitPA |
Xxxxxxxx Xxxxxx Xxxxxxx | XxxxxXX |
Angelo La Venuta | DigitPA |
Giorgia Lodi | DigitPA |
Xxxxxx Xxxx | XxxxxXX |
Xxxxx Xxxx | XxxxxXX |
Xxxxxxx Xxxxxxx | XxxxxXX |
Xxxxxxx Xxxxxx | Ministero della Giustizia |
Xxxxxxx Xxxxxxxxx | Ministero della Giustizia |
Xxxxxx Xxxxxxxx | Ministero della Giustizia |
Xxxxxx Xxxxxxxxx | Ministero del Lavoro |
Xxxxxxxx Xxxxxxxx | Regione Toscana |
Xxxxxxxx X. Bellifemine | Ministero della Salute |
Xxxxxx Xxxxxxx | Ministero della Salute |
Xxxxxx Xxxx | Regione Piemonte |
Xxxxxxxx Xxxxxxx | Regione Puglia |
Xxxxxxxx Xxxxxxxxx | Ministero della Difesa |
Xxxx Xxxxxxxx | Ministero della Difesa |
Xxxxxx Xxxxxxxx | Cisis |
1.2. Modifiche Documento
Descrizione Modifica | Edizione | Data |
Prima bozza | v 0.9 | 19-01-2012 |
Seconda bozza del documento | v. 1.0 | 16-02-2012 |
Terza bozza del documento | v. 1.3 | 29-02-2012 |
Versione definitiva | v. 1.5 | 02-03-2012 |
1.3. Acronimi
Acronimo | Definizione |
SPC | Sistema Pubblico di Connettività e Cooperazione |
CN | Community Network |
CdC | Commissione di Coordinamento |
CAD | Codice dell’Amministrazione Digitale |
PA | Pubblica Amministrazione |
NIF | National Interoperability Framework |
EIF | European Interoperability Framework |
RDF | Resource Description Framework |
GFID | Gestione Federata delle Identità Digitali |
CRUD | Create Read Update Delete |
IGPEC | Indice Gestori Posta Elettronica Certificata |
PEC | Posta Elettronica Certificata |
IPSP | Indice Payment Service Provider |
IPA | Indice Pubblica Amministrazione |
rPA | Rubrica Pubblica Amministrazione |
BPEL | Business Process Execution Language |
BPMN | Business Process Modeling Notation |
QXN | Qualified Exchange Network |
NIV2 | Nodo Interconnessione Voce e Video |
OPO | Offerta Per Operatori |
OPA | Offerta Per le Amministrazioni |
CERT-SPC | Computer Emergency Response Team-SPC |
CERT-SPC-R | CERT-SPC Regionale |
2. Scopo del documento
Secondo quanto discusso dalla Commissione di Coordinamento (CdC) SPC, il presente documento ha lo scopo di definire la nuova architettura tecnica e contrattuale delle Infrastrutture Condivise del Sistema Pubblico di Connettività (SPC), individuando i criteri per la migrazione dall’attuale al nuovo modello, in attuazione delle norme introdotte dal nuovo Codice dell’Amministrazione Digitale (CAD), D.Lgs. n. 235 del dicembre 2010.
La Commissione di Coordinamento ha definito quattro tipologie di servizi: S0 - servizi infrastrutturali per l’interoperabilità e la cooperazione tra sistemi informativi di più PA; S1 - servizi di connettività e di infrastruttura di base; S2 - servizi interattivi per utenti finali; S3 - servizi per sistemi informativi interni alla singola PA.
3. Tipologia di documento
Il presente documento rappresenta un documento di LINEE GUIDA relativo alla “promozione dell’evoluzione del modello organizzativo e dell'architettura tecnologica del SPC in funzione del mutamento delle esigenze delle pubbliche amministrazioni e delle opportunità derivanti dalla evoluzione delle tecnologie”, come specificato all’art. 79, comma 2, lettera c) del CAD, che definisce i compiti della Commissione di coordinamento SPC.
Il documento è destinato agli organismi di attuazione e controllo SPC e a tutte le pubbliche amministrazioni.
4. Contesto attuale di riferimento
Il ridisegno dell’intero SPC, e in particolare delle Infrastrutture Condivise, passa attraverso il recepimento di norme nazionali ed europee, e di nuovi paradigmi ICT e di business che l’attuale scenario normativo, di mercato ed economico propone. Lo scopo quindi di questa sezione è quello di contestualizzare sul piano normativo e tecnico il ridisegno del sistema SPC, evidenziando le principali delibere della Commissione di Coordinamento SPC riguardanti i nuovi servizi di e-government per le PA e la gestione delle infrastrutture condivise e dei relativi costi.
4.1. Quadro normativo nazionale ed europeo
Nel dicembre del 2010, sulla base della delega contenuta nella legge n. 69/09 sono stati effettuati interventi di modifica del CAD che hanno dato vita al D.Lgs. n. 235 che lo rendono meno di principio e più efficace. Tali integrazioni e modifiche si sono rese necessarie per rispondere al verificarsi di un insieme di eventi che non potevano essere trascurati nella realizzazione del futuro sistema strategico di digitalizzazione delle pubbliche amministrazioni.
Nel nuovo CAD vengono quindi considerati (i) sia la rapida evoluzione delle tecnologie presenti sul mercato, (ii) sia, di conseguenza, le rinnovate esigenze/aspettative dei cittadini e imprese che richiedono sempre più di poter dialogare con un apparato pubblico snello, veloce e meno oneroso e di poter usufruire di servizi sfruttando qualunque mezzo digitale connesso a Internet (e.g., non più solo telefonia fissa ma anche mobile), (iii) sia il recepimento della recente riforma Brunetta (D.Lgs n. 150 del 2009). In particolare, quest’ultima riforma introduce elementi quali meritocrazia, premialità, trasparenza e responsabilizzazione dei dirigenti che si ripercuotono su diverse norme del CAD più stringenti rispetto al passato in cui, se da un lato, amministrazioni virtuose vengono incentivate con la possibilità di quantificare e riutilizzare i risparmi ottenuti grazie alle tecnologie digitali, dall’altro però prevedono sanzioni per quelle inadempienti [1].
Nel nuovo CAD una rinnovata visione di SPC è proposta, in cui maggiore enfasi viene data al contesto interoperabilità e cooperazione applicativa e all’utilizzo sempre maggiore di infrastrutture condivise come presupposto per l’erogazione di servizi evoluti di e-government. A tal riguardo, è importante notare che molti degli articoli del nuovo CAD ora fanno riferimento a SPC per la loro effettiva attuazione, trasformando così SPC in un vero e proprio framework italiano di interoperabilità. Nella nuova visione la partecipazione al framework non è più solo confinata a soggetti pubblici ma anche a soggetti privati che perseguono finalità pubbliche (comma 3-bis art 75 del nuovo CAD). A fianco dei servizi di connettività condivisi dalle pubbliche amministrazioni interconnesse, servizi di cooperazione PAC-PAL e di interscambio grazie ai quali rendere operativa l’interoperabilità tra tutti i sistemi delle pubbliche amministrazioni diventano indispensabili al fine di fornire servizi più evoluti ed efficaci ai cittadini e imprese e soddisfare così le loro aspettative e requisiti. Inoltre, in virtù dei principi sanciti già dalla legge 241/90, poi ripresi dal CAD e recentemente dal decreto semplificazioni, il cittadino e/o l’impresa hanno il diritto di non fornire alle PA più volte un dato che esse già possiedono; conseguentemente anche la federabilità tra i servizi e-government per la PA diventa requisito strategico
e basilare nel ridisegno SPC.
Al rinnovato quadro normativo italiano si aggiungono ulteriori normative, direttive e iniziative europee che non possono essere trascurate nella definizione del nuovo SPC in quanto asset per lo sviluppo del mercato. In particolare, una di queste iniziative è l’agenda digitale europea [3], cardine della strategia Europa 2020. Essa mira a stabilire il ruolo chiave delle tecnologie dell'informazione e della comunicazione per raggiungere gli obiettivi che l'Europa si è prefissata per il 2020. L’agenda digitale si compone di sette importanti pilastri (“pillar”). Tra essi rivestono particolare importanza per il nuovo SPC, e in particolare per le infrastrutture condivise, quelli riguardanti il mercato unico digitale, l’interoperabilità e la standardizzazione, la fiducia e la sicurezza online, e l’erogazione di servizi pubblici digitali. A ognuno di questi “pillar” sono associate delle azioni, talune da portare a compimento entro il 2013, che sia la Comunità Europea sia i paesi membri per i sistemi di loro competenza devono intraprendere per rendere operativi i relativi “pillar”.
Nel contesto di questo documento vengono individuate un sottoinsieme di tali azioni alle quali il nuovo ridisegno delle infrastrutture condivise SPC, e in generale dell’SPC tutto, può concretamente ed efficacemente rispondere. Così, per la realizzazione di un mercato unico digitale, azioni chiave riguardano l’apertura di dati per il riuso (action 3) e l’implementazione di leggi e piattaforme che abilitano un unico e-commerce (action 10). Per l’interoperabilità e la standardizzazione, è cruciale allineare i framework nazionali di interoperabilità all’European Interoperability Framework (EIF) (action 24 e 26) e promuovere in maniera sempre più crescente l’utilizzo di tecnologie standard e aperte (action 22). Per quel che riguarda la fiducia e la sicurezza online, nell’agenda digitale europea si richiede che i paesi membri predispongano piattaforme nazionali per combattere attacchi cyber, piattaforme che potranno essere utilizzate da una rete di CERT per contrastare in maniera collaborativa attacchi sempre più complessi (action 38 e 41). Per i servizi pubblici, gli stati membri devono impegnarsi alla realizzazione di meccanismi di identificazione e autorizzazione, anche transfrontalieri (action 83) e all’erogazione continua di servizi e-government di alta qualità che siano interoperabili anche con analoghi servizi a livello europeo (action 84 e 89).
In tale scenario, è evidente che il successo nell’attuazione delle precedenti azioni può dipendere fortemente da un opportuno disegno e dispiegamento del framework italiano di interoperabilità SPC. Esso deve saper sfruttare ora più che mai il grande potenziale che le attuali tecnologie ICT offrono per mettere a disposizione degli attori SPC contenuti e servizi calati sulle esigenze degli stessi attori, in un ambiente virtualmente “senza confini” e sempre più interoperabile e sicuro. In tale ottica, le infrastrutture condivise diventano le fondamenta per raggiungere questi obiettivi.
4.2. Scenario economico e di mercato
Come già ricordato in [1], lo scenario tecnologico sempre più competitivo e in continua evoluzione pone nuove sfide che bisogna saper cogliere e affrontare: da un lato le pubbliche amministrazioni devono essere in grado di modificare rapidamente i propri processi interni, cogliere al volo le nuove opportunità non appena esse appaiono fornendo ai vari stakeholder (cittadini, imprese, ecc…) in maniera proattiva nuovi servizi aggregati e altamente disponibili su differenti canali di interazione, dall'altro lato devono essere in grado di ottimizzare i costi e raggiungere alti livelli di
efficienza operativa e adottare soluzioni sempre più "aperte e interoperabili".
Il mercato attualmente favorisce soluzioni ICT basate su paradigmi di cloud computing, di open data e sull’uso di IPv6 che se opportunamente sfruttati, possono fornire alle pubbliche amministrazioni accesso in qualunque momento ubiquo, agile a un insieme di dati pubblici, risorse e servizi configurabili in maniera tale da essere tagliati sulle specifiche esigenze delle PA stesse e dei suoi stakeholder, mantenendo al contempo sotto controllo i costi delle operazioni IT grazie anche alla possibilità di ottimizzare i relativi consumi energetici.
Anche quindi alla luce di un tale scenario economico e di mercato, risulta strategico incentivare l’utilizzo di infrastrutture condivise che garantiscano l’interoperabilità tra i sistemi eterogenei delle pubbliche amministrazioni e la possibilità di raccogliere e “collegare semanticamente” una grande mole di dati pubblici e di interesse per le PA che nel contesto SPC vengono ogni giorno scambiati e utilizzati.
4.3. Delibere della CdC per l'evoluzione di SPC
Da maggio dello scorso anno a oggi la Commissione di Coordinamento SPC ha intensificato le sue attività per consentire l’avvio in tempo dei lavori che riguardano l’intero ridisegno SPC. A tal riguardo, diverse decisioni sono state deliberate dalla Commissione di Coordinamento (CdC) sia sul fronte dei servizi più orientati alle infrastrutture e la connettività, sia su quelli più orientati alle applicazioni.
In particolare, la CdC ha approvato le linee guida in merito agli obiettivi e i contenuti della gara applicativa [1] [2] e ha deciso che il modello multi-fornitore sarà quello adottato per la gara sui servizi infrastrutturali e sui servizi applicativi, in quanto tale modello garantisce una più ampia partecipazione e apertura di mercato, requisiti strategici nell’attuale congiuntura economica del paese.
La CdC ha inteso rafforzare con il proprio orientamento quanto già definito dal CAD in merito alla responsabilità di XxxxxXX quale ente preposto all’erogazione e alla governance di tutti i servizi delle infrastrutture condivise evidenziando nell’ultima riunione del 17 gennaio 2012 il tema delicato da affrontare della ripartizione dei costi delle infrastrutture tra i diversi attori SPC tra cui le Pubbliche Amministrazioni stesse.
5. Evoluzione di SPC
Questa sezione descrive in tutti i suoi aspetti macroscopici gli elementi e l’architettura del nuovo SPC. Il nuovo disegno è individuato sulla base delle indicazioni pervenute della Commissione di Coordinamento, scaturite sia dai principi dettati dalla normativa che dall’attuale contesto economico e di mercato.
5.1. Principi del SPC
In tale contesto i seguenti principi sono quindi sanciti e considerati come basilari per l’evoluzione dell’intero sistema SPC, ivi comprese le infrastrutture condivise:
Governo: possibilità di perseguire efficacemente obiettivi di economicità e di concorrenza del mercato, e di promuovere l’innovazione e l’uso di tecnologie standard e aperte.
Interoperabilità: possibilità di fruizione di dati e processi di business tra soggetti afferenti al SPC, con garanzie di efficacia, qualità e sicurezza.
Federabilità: possibilità di aggregazione di dati e processi di business attraverso l’interoperabilità, con garanzie di efficacia, qualità e sicurezza.
5.2. Il nuovo framework SPC
Come già riportato in [2], la Figura 1 illustra i principali “building block” di SPC con gli attori SPC che ai sensi dell’art 75 del nuovo CAD concorrono a formare e utilizzare l’intero sistema.
Figura 1: il nuovo framework SPC
5.3. Attori SPC
In aderenza alle ultime modifiche del CAD (user-centricity) è possibile individuare quattro categorie di attori per il nuovo SPC:
1. Fruitori esterni di servizi (utenti finali in Figura 1): i cittadini, le imprese e le PA che unicamente fruiscono dei servizi SPC;
2. Soggetti di sistema e sussidiari (fornitori di servizi complementari in Figura 1): le PA e le imprese che erogano servizi pubblici, e che contribuiscono alla formazione della federazione SPC;
3. Fornitori qualificati (fornitori in Figura 1): i fornitori di servizi certificati che forniscono suite di funzioni per garantire la realizzazione di prestazioni finali interoperabili tra i soggetti di sistema;
4. Soggetti preposti alla governance (gli attori del lato sinistro in Figura 1): la CdC, DigitPA e le Regioni (relativamente alla autonomia locale), predisposti alla gestione dell’intero framework SPC.
Tali categorie sono descritte nel dettaglio nelle successive sottosezioni.
5.3.1. Fruitori esterni di servizi
Sono i soggetti esterni a SPC, unicamente fruitori dei servizi e che non concorrono alla costituzione del sistema. Fanno parte di questa categoria i seguenti soggetti:
- i cittadini: come indicato nell’art. 3 comma 1 del CAD, i cittadini hanno diritto a ottenere l’uso delle tecnologie telematiche nelle comunicazioni con la PA e con i gestori di pubblici servizi;
- le imprese private: l’art. 3 comma 1 del CAD sancisce gli stessi principi di cui al precedente punto per le imprese private;
- le PA esterne (in fase di convergenza in SPC): attraverso le interfacce previste per i fruitori esterni, anche le PA che non fanno ancora parte del sistema possono fruire di un sottoinsieme di servizi SPC.
5.3.2. Soggetti di sistema e sussidiari
I soggetti di sistema sono soggetti che concorrono all’SPC. Grazie all’utilizzo di servizi certificati SPC, i soggetti di sistema possono interoperare e al tempo stesso federarsi aggregando in questo modo i propri dati e processi di business per concorrere alla definizione di servizi integrati tra più soggetti di sistema. I soggetti di sistema possono essere sussidiari nel caso in cui operino in nome e per conto (su delega) di altri soggetti appartenenti a una realtà omogenea. In questa modalità, essi aggregano molteplici esigenze in modo da permettere la federazione attraverso un unico punto di interfaccia.
Possono far parte dei soggetti di sistema:
- le Pubbliche Amministrazioni centrali;
- le Pubbliche Amministrazioni locali;
- le imprese pubbliche o private che erogano servizi pubblici.
5.3.3. Fornitori qualificati
I fornitori qualificati SPC forniscono servizi SPC con funzionalità tecniche certificate, a garanzia dell’interoperabilità e della federabilità tra i soggetti di sistema.
5.3.4. Soggetti preposti alla governance
I soggetti preposti alla governance sono quegli organismi di attuazione e controllo del CAD preposti all’intero governo SPC. In particolare, rientrano in questa categoria la Commissione di Coordinamento, DigitPA e le Regioni.
5.4. Nuovi servizi e-government SPC per la PA
Su indicazione della CdC, come precedentemente richiamato, per rispondere ai nuovi scenari internazionali e nazionali e alle nuove disposizioni del CAD, sono state già individuate e si stanno predisponendo due nuove gare nazionali per i futuri servizi e-government SPC per le PA. Le gare sono:
- la gara Connettività che prevede l’affidamento di servizi di connettività e di infrastrutture IT (ad esempio, connettività, sicurezza, VoIP, calcolo e storage, comunicazione evoluta)
- la gara Applicativa che prevede l’affidamento dei servizi applicativi SPC (ad esempio la progettazione e realizzazione di siti web, hosting, gestione delle identità digitali, servizio di linked open data, automazione dei procedimenti amministrativi, ecc…)
Entrambe le gare saranno multi-fornitore così da garantire lo sviluppo del mercato e la concorrenza attraverso la pluralità di fornitori e di soluzioni tecnologiche proposte.
Dal CAD, i servizi saranno inoltre definiti in maniera da garantire stringenti requisiti di qualità, economicità, sicurezza e standardizzazione.
5.5. Ruolo delle infrastrutture condivise
Oltre alle precedenti gare, è stata già individuata una terza gara che riguarda l’insieme dei servizi delle Infrastrutture Condivise. Nella predisposizione di tale unica gara è importante identificare il ruolo delle infrastrutture e i relativi servizi. In particolare, tali infrastrutture hanno un duplice obiettivo:
• offrire servizi di interoperabilità che permettano la federabilità dei soggetti di sistema: il modello di riferimento per i servizi e-government per la PA proposto in [2] consente di aggregare servizi tanto a livello di Amministrazioni locali, come previsto ad esempio sia dall’art. 16 della Legge 14 Settembre 2011 n. 148 di conversione del decreto-legge 13 Agosto 2011 n. 138, che dall’emananda Carta delle Autonomie in tema di obbligatorietà della gestione associata (mediante Unione di Comuni o Convenzione) nell’esercizio di tutte le funzioni fondamentali dei piccoli Comuni, quanto a livello di Amministrazioni centrali. Le infrastrutture condivise in questo disegno possono costituire i collanti di interoperabilità o i mattoni base che possono favorire la crescita e lo sviluppo di un mercato di servizi per le PA;
• fornire strumenti di gestione e controllo sia ai soggetti preposti alla governance dell’SPC che a tutti gli altri attori SPC.
Lo scopo di questo documento è quello di definire il nuovo modello tecnico/organizzativo per le infrastrutture condivise; pertanto, le rimanenti sezioni del documento si concentreranno solo sui servizi che formano tali infrastrutture.
6. Nuove Infrastrutture Condivise
In linea con quanto previsto dalle regole tecniche di cui al DPCM 1° Aprile 2008, per supportare efficacemente i servizi precedentemente richiamati e per rispettare i principali principi sanciti dal nuovo CAD e dalla normativa prevista a livello locale (sezione 5.1), è necessario assicurare la continuità delle funzionalità delle infrastrutture condivise, prevedendo allo stesso tempo un adeguamento tecnico in
relazione al mutato scenario di riferimento.
Alla luce del momento critico economico che sta attraversando il nostro paese, delle rinnovate disposizioni del CAD che potenziano i principi di governo, di interoperabilità e federabilità come precedentemente definiti, il nuovo modello SPC delle infrastrutture condivise deve essere rivisto in maniera da incrementare ulteriormente l’interoperabilità, la federabilità dei sistemi informativi eterogenei delle PA, e la centralità dell’utente garantendo al tempo stesso economicità e concorrenza del mercato.
Ancor di più che nel modello in essere, le infrastrutture condivise, di concerto con le realtà equivalenti a livello territoriale, assumono un ruolo determinante per la composizione dei processi di business della PA attraverso l’integrazione di differenti tecnologie. La modalità multi-fornitore prevista per tutte le gare per i servizi alle PA comporta la più ampia partecipazione di mercato. Inoltre, le attuali regole tecniche SPC (incluso il nuovo regolamento di qualificazione dei fornitori) permettono ad amministrazioni centrali e locali di sviluppare servizi SPC certificati in totale autonomia.
E’ importante infine notare che nella nuova fase SPC, le Infrastrutture Condivise potrebbero essere realizzate evitando alcune diseconomie del passato quando ben quattro distinti ambiti contrattuali e tecnologici erano stati dispiegati. La soluzione di accorpare i servizi che consentono di garantire la continuità operativa e tecnica con quelli attuali, unitamente ai necessari servizi di raccolta e gestione delle informazioni contrattuali, di governance della qualità e della sicurezza, può realizzare i predetti obiettivi di efficienza ed economicità.
La Figura 2 illustra i principali servizi di interoperabilità previsti per le infrastrutture condivise del nuovo disegno SPC.
Figura 2: Infrastrutture Condivise SPC
In particolare, le infrastrutture condivise SPC consistono due tipologie di servizi (si veda a tal proposito i due building block di Figura 2):
• i servizi per l’interoperabilità;
• i servizi per la governance.
La prima tipologia include quell’insieme di infrastrutture e componenti per l’interoperabilità e la federabilità dei sistemi informativi delle PA. Le funzionalità di queste tipologia di infrastrutture sono necessarie principalmente ai servizi e-government SPC, ossia all’insieme di servizi definiti all’interno di contratti quadro SPC (nazionali e territoriali ai sensi dell’art. 83 del CAD) e acquisibili singolarmente da ciascuna PA. Tuttavia, le funzionalità delle citate tipologia di infrastrutture possono anche essere utilizzate dai cosiddetti servizi e-government SPC-compliant per garantire piena interoperabilità tra sistemi eterogenei delle PA. Per servizi e-government SPC-compliant si intendono quei sistemi realizzati da singole PA al di fuori dei contratti quadro SPC (nazionali e territoriali ai sensi dell’art. 83 del CAD) che risultano comunque “compliant” alle regole tecniche SPC (Figura 2).
La seconda tipologia include l’insieme di infrastrutture e servizi di supporto alla governance. Rientrano in tale categoria sia gli strumenti di controllo e monitoraggio delle infrastrutture condivise e dei servizi e-government SPC delle PA (Figura 2), rivolti agli organi di gestione, sia gli strumenti di carattere informativo generale rivolti a tutti i soggetti SPC, anche esterni.
Poiché i nuovi servizi e-government per la PA previsti nel nuovo SPC hanno in taluni casi caratteristiche di continuità rispetto ai precedenti, i servizi del infrastrutture condivise godranno di questa prerogativa.
6.1. Architettura e modalità di federazione
Ai sensi dell’art. 73 del CAD, che definisce la natura federata, policentrica e non gerarchica del SPC, il nuovo disegno prevede la possibilità, per i soggetti sussidiari che dispongano di infrastrutture proprie (Community Network (CN)), di federarsi con le infrastrutture condivise attraverso modalità specifiche definite all’interno di un protocollo concordato tra le parti. Il protocollo individua quali servizi e componenti federare e specifica gli aspetti amministrativo-tecnologici ad essi connessi.
La Figura 3 illustra il dispiegamento SPC e la modalità di federazione abilitata attraverso la sottoscrizione bilaterale del protocollo.
Figura 3: Dispiegamento delle infrastrutture condivise e interazione con le CN
Il protocollo concordato è costituito da due componenti:
• Protocollo d’intesa: individua gli attori istituzionali e definisce gli ambiti di federazione che coinvolgono le varie componenti delle infrastrutture condivise (governance ed interoperabilità). In particolare, coerentemente all’art. 86 del CAD (si veda sezione 8) e ai contratti delle gare d’appalto, il protocollo d’intesa esplicita quali servizi vengono utilizzati per garantire la federazione (per esempio ciò può essere applicato ai servizi di connessione, ai servizi di hosting, ecc.);
• Specifica di interfaccia: definisce le modalità e l’architettura relativa ad ogni singola componente oggetto dell’accordo.
Le infrastrutture condivise hanno tra i loro compiti quello di assicurare il rispetto dei principi di cui all’art. 73 del CAD consentendo l’interconnessione delle Community Network (CN) secondo i sopra menzionati protocolli concordati.
I protocolli di intesa in precedenza stipulati tra DigitPA e diversi enti attuatori nel contesto SPC connettività, costituiscono già esempi di protocollo concordato. Nel nuovo disegno SPC, la modalità attuata in precedenza per la connettività è estesa anche alle componenti in ambito applicativo e di governance.
6.1.1. Protocollo d’intesa e specifica di interfaccia
La componente protocollo d’intesa del protocollo concordato dovrà indicare almeno:
• gli obiettivi e le finalità, riportando la tipologia di servizi infrastrutturali per i quali si intende attuare la federazione;
• i soggetti coinvolti nell’accordo e loro responsabilità nei confronti delle parti;
• i dettagli attinenti agli aspetti di governo dell’accordo e alle sue evoluzioni.
Il protocollo d’intesa costituisce documento amministrativo e di governo della federazione tra le parti; pertanto un singolo atto può essere relativo alla federazione di una o più componenti tecniche o di servizi delle infrastrutture condivise. Le modalità di interconnessione e gli aspetti tecnologici di ciascuna delle suddette componenti tecniche o servizi dovranno essere descritte all’interno di uno apposito documento di specifica di interfaccia.
Ciascuna specifica di interfaccia, relativa a ciascun servizio da federare, dovrà indicare almeno:
• le modalità di integrazione delle componenti federate con i servizi delle infrastrutture condivise;
• le modalità di integrazione dei sistemi di misurazione della qualità;
• le modalità di integrazione dei sistemi di misurazione della sicurezza;
• le modalità di integrazione dei sistemi di asset management.
7. Servizi delle infrastrutture condivise
7.1. Servizi per l’interoperabilità
Le infrastrutture condivise devono garantire l’interoperabilità sia dei servizi e-government SPC, definiti nel perimetro delle due gare, connettività e applicativa (sezione 5.4), sia dei servizi e- government SPC-compliant.
Seguendo le direttive della Digital Agenda, i paesi membri UE devono allineare i loro National Interoperability Framework (NIF) (nel nostro caso il framework SPC) all’European Interoperability Framework (EIF) entro il 2013 (action 24 e 26). Nell’EIF vengono definiti quattro distinti livelli di interoperabilità: interoperabilità legale, interoperabilità organizzativa, interoperabilità semantica e interoperabilità tecnica.
Dal punto di vista dell’interoperabilità legale molto si è fatto in Italia a livello di CAD. Per i rimanenti livelli, la nuova architettura SPC è pensata proprio nell’ottica di abilitare servizi che possano garantire interoperabilità tecnica, semantica e organizzativa.
Le sezioni successive descrivono in dettaglio i servizi per l’interoperabilità previsti nelle infrastrutture condivise, classificati prima in funzione del livello di astrazione nel quale si collocano e, per ciascun livello, in funzione del tipo di interoperabilità dell’EIF che riescono a soddisfare.
7.1.1. Interoperabilità per la connettività
Rientrano in questa categoria tutti quei servizi che consentono di garantire l’interoperabilità tecnica tra servizi SPC orientati alle infrastrutture quali connettività, sicurezza, VoIP, comunicazione evoluta, calcolo e storage.
Mantenendo una nomenclatura quanto più possibile allineata ai servizi già offerti dalle attuali infrastrutture condivise in essere, è possibile individuare due categorie di servizi per l’interoperabilità delle infrastrutture.
Servizi della rete Qualified eXchange Network. In continuità con i servizi attualmente erogati dalla Società Consortile Per Azioni SCPA-QXN, attraverso la rete QXN.
Le infrastrutture condivise inglobano l’attuale rete QXN provvedendo, senza soluzione di continuità, all’erogazione degli attuali servizi di interconnessione OPA e OPO. In questo modo si garantiscono i vincoli di qualità SPC nella trasmissione/ricezione del traffico tra accessi di rete forniti da differenti Q-ISP (traffico infranet) o relativi a sedi della stessa PA (intranet) servite in modalità OPO dal relativo aggiudicatario della nuova gara. Sempre in continuità con gli attuali servizi QXN, le infrastrutture condivise includono i servizi di Network Time Protocollo (NTP) e i servizi di Domain Name System (DNS).
Ulteriore servizio delle infrastrutture condivise in ambito QXN è il servizio di interconnessione s- TESTA (secure Trans European Services for Telematics between Administrations). La suddetta rete costituisce l'infrastruttura generale per le comunicazioni trans-europee sicure di dati tra amministrazioni nazionali ed europee. I soggetti aderenti al SPC, grazie a questo servizio, risultano interconnessi ad s- TESTA attraverso l’ambito infranet nazionale del SPC.
In conformità con quanto previsto dal DPCM 1° Aprile 2008 delle regole tecniche SPC, e secondo le regole previste all’interno delle presenti linee guida, si stabiliscono di volta in volta, attraverso il protocollo concordato (si veda sezione 6.1.1), le modalità tecnico/amministrative necessarie alla federazione dei servizi di interconnessione, necessarie al corretto funzionamento delle componenti SPC di propria competenza.
Servizi del Nodo di Interconnessione Voce/Video (NIV2): nuovi servizi di interoperabilità per telepresence, instant messaging e presence.
Nella considerazione del continuo processo evolutivo delle tecnologie di comunicazione e considerato che ad oggi per diversi motivi non è stato ancora realizzato il nodo di interconnessione VOIP previsto dall’attuale disegno SPC, è necessario procedere ad una profonda rivisitazione delle caratteristiche funzionali e architetturali della predetta infrastruttura. Ciò anche per veicolare correttamente i nuovi servizi che saranno previsti dal nuovo disegno SPC.
Difatti, proprio in vista dei nuovi servizi SPC di connettività evoluti orientati alla videocomunicazione, verranno valutate e definite le necessarie funzionalità abilitanti l’interoperabilità interamministrativa.
I servizi di interoperabilità per l’instant messaging e la presence, abilitano alla federazione soggetti di sistema che utilizzano tecnologie eterogene e basate su standard Extensible Messaging and Presence Protocol (XMPP).
I servizi di interoperabilità per la telepresence abilitano i servizi di videoconferenza intra- amministrazioni, attraverso la gestione di sessioni video punto-punto e multi-punto tra sistemi eterogenei. Oltre alle funzionalità di transcodifica del traffico segnalazione e del traffico media, il servizio prevede la gestione dello scheduling di videoconferenze intra-amministrazioni, attraverso una piattaforma software per la pianificazione delle risorse necessarie alle sessioni.
A tal riguardo, tenuto conto di quanto previsto dalla delibera AGCom del. 229/11/CONS e n. 55/11/CIR secondo cui, a decorrere dal 1°gennaio 2013, l’interconnessione per la RTG tra operatori telefonici dovrà avvenire solo su tecnologia IP (anziché l’attuale TDM), è inoltre auspicabile che il traffico telefonico tra pubbliche amministrazioni che usufruiscono di servizi VoIP SPC erogati da Q- ISP differenti, sia veicolato attraverso un singolo punto di interscambio coincidente con la rete QXN. In questo modo i vincoli di qualità e sicurezza propri di SPC verrebbero garantiti anche per il traffico VoIP che risulterebbe, inoltre, integrato con i nuovi servizi di comunicazione unificata, tra soggetti di sistema federati.
7.1.2. Interoperabilità per le applicazioni
Sono i servizi che consentono di garantire l’interoperabilità per i servizi SPC applicativi. I servizi di interoperabilità sono qui riportati sulla base della classificazione dell’EIF.
Servizi di interoperabilità organizzativa. Rientrano in questa categoria due tipologie di servizi:
servizi orientati ai soggetti organizzativi e servizi orientati ai processi di business delle PA.
Per quanto riguarda i servizi orientati ai soggetti organizzativi, in continuità con alcuni già presenti e in produzione presso il CG-SICA, si prevede la progettazione e realizzazione di un Indice dei soggetti SPC che include tutte le principali informazioni di contatto dei soggetti SPC in generale (non solo soggetti di sistema ma anche soggetti sussidiari e fornitori qualificati). L’indice dei soggetti SPC racchiude al suo interno l’Indice della Pubblica Amministrazione (IPA) già in produzione e la Rubrica degli utenti e operatori della PA (rPA), così come già espressamente indicato nel DPCM 1° Aprile 2008 delle regole tecniche SPC.
In particolare, l’IPA è il repository di tutte le informazioni di una pubblica amministrazione sia essa centrale e/o locale. Esso consente di identificare univocamente le PA mediante il codice fiscale e di memorizzare le informazioni di contatto principali quali i siti web istituzionali, i loghi, gli indirizzi postali, gli indirizzi e-mail, gli indirizzi di Posta Elettronica Certificata (PEC), i servizi offerti ai fruitori esterni, le porte di dominio accreditate, e i referenti con i relativi contatti. Le informazioni in IPA sono anche rappresentate per descrivere la struttura organizzativa della PA. Così, all’interno dell’IPA vengono memorizzate le cosiddette Unità Organizzative e le Aree Organizzative Omogenee, quest’ultime utilizzate per identificare gli uffici protocollo delle PA. Per ogni struttura organizzativa è possibile specificare le relative informazioni di contatto come l’indirizzo PEC e il referente. In generale, l’IPA è un servizio orientato a un’utenza pubblica in un’ottica di trasparenza verso i cittadini e le imprese; pertanto è funzionale alla pubblicazione delle “pagine gialle” della PA consentendo la consultazione e l’individuazione di enti e uffici e relativi punti di contatto.
La Rubrica della Pubblica Amministrazione è un repository centralizzato di informazioni relative ai dipendenti della PA. Per ogni PA, identificata univocamente mediante il codice fiscale, lo stesso incluso all’interno dell’IPA, la rubrica della PA mantiene tutte le informazioni di contatto (e.g., indirizzo postale, indirizzo e-mail) dei suoi dipendenti con le relative affiliazioni presso gli uffici e dipartimenti della PA. Al contrario dell’IPA, il servizio di rubrica della PA è principalmente rivolto a utenze interne alle PA e rappresenta uno strumento di “pagine bianche” dei singoli dipendenti.
In aggiunta a tali repository, l’Indice dei soggetti SPC include il repository dei fornitori qualificati e quello delle soggetti privati che perseguono finalità pubbliche. Per ognuno dei due tipi di repository, informazioni riguardanti le società, gli uffici, gli indirizzi utili di contatto di tali società, la categoria di servizi per i quali sono stati qualificati nel perimetro SPC e i referenti SPC per tali società saranno specificate. Per esempio, l’indice dei Gestori PEC (IGPEC), già attualmente in produzione presso il CG-SICA, sarà parte del repository dei fornitori qualificati. Inoltre, con l’introduzione della fatturazione elettronica e la gestione dei pagamenti anche in capo a SPC, nel contesto delle infrastrutture condivise si prevede la progettazione e realizzazione di un nuovo indice dei gestori di pagamenti (IPSP). Quest’ultimo indice farà invece parte del repository di soggetti privati che perseguono finalità
pubbliche.
Tutti i servizi di indici prima descritti potranno essere acceduti mediante interfaccia Web e Web Service. Attraverso tali interfacce sarà possibile eseguire le classiche operazioni CRUD (Create, Read, Update e Delete) sui dati memorizzati negli indici. E’ da notare che, vista la natura privata di taluni dati l’accesso via web sarà consentito solo a certe tipologie di utenti previa autenticazione degli stessi, al contrario dei dati pubblici (ad esempio quelli dell’IPA) che saranno liberamente consultabili, senza alcun obbligo di autenticazione, anche da cittadini e imprese.
Per quel che riguarda invece la categoria di servizi orientati ai processi di business delle PA, si prevede un nuovo repository centralizzato di modelli di processo della PA. Il repository ha lo scopo di memorizzare tali modelli per rendere trasparenti i differenti processi delle PA e quindi agevolare una possibile cooperazione tra esse. Il servizio di repository, oltre a fornire le classiche funzionalità CRUD di creazione, lettura, aggiornamento e cancellazione di modelli di processo, consente anche di importare ed esportare modelli, di mantenere un versioning dei modelli di processo, di evidenziare i flussi di processo più seguiti, di produrre statistiche, e di valutare l’aderenza dei modelli a standard di qualità. Inoltre, altre due principali funzionalità vengono definite: la cosiddetta similarity search e il merging. Con similarity search si intende la capacità, dato un modello di processo, di identificare tutti quei modelli presenti nel repository che hanno elementi di similarità con quello dato. Questa funzionalità risulta particolarmente importante soprattutto nel contesto del riuso di servizi in diversi processi di business delle PA. Con merging invece si intende la capacità di creare un nuovo modello come risultato dell’aggregazione di due o più modelli simili esistenti nel repository. Quest’ultima funzionalità può essere efficacemente utilizzata per agevolare le PA a definire processi di business per l’erogazione di servizi aggregati e federati. Il repository è in grado di gestire modelli di processo definiti attraverso differenti linguaggi come ad esempio BPEL e BPMN e può essere acceduto dagli utenti delle PA previa autenticazione attraverso interfaccia Web e Web Service.
Tutti i servizi per l’interoperabilità organizzativa possono essere interrogati in modalità server da altri servizi delle infrastrutture condivise. In particolare, i servizi di governance (sezione 7.2) potranno interrogare i repository per efficacemente implementare le funzionalità previste di gestione contrattuale (sezione 7.2.1) e per monitorare che i livelli di qualità e sicurezza interna di ogni servizio siano effettivamente rispettati (sezioni 7.2.2 e 7.2.3).
Servizi di interoperabilità tecnica. In continuità con la maggior parte degli attuali servizi del CG-SICA rientrano in questa categoria il servizio di Gestione Federata delle Identità Digitali (GFID), il servizio di certificazione, il registro SICA generale, e i servizi di qualificazione di componenti SPC. Di seguito sono descritte le principali funzionalità offerte da ciascuno di questi servizi e le principali interazioni con altri servizi.
Si prevede l’erogazione del servizio di Gestione Federata delle Identità Digitali (GFID), già precedentemente progettato e realizzato presso il CG-SICA. Il servizio, cruciale per l’effettiva realizzazione del mercato unico digitale come richiesto dalla Digital Agenda, è utilizzato al fine di autenticare e autorizzare in modalità federata entità facenti parte di domini diversi. Per raggiungere tali obiettivi il servizio prevede l’utilizzo di due repository: il cosiddetto Authority Registry, e l’Attribute Authority Registry. Il primo fornisce alle entità di una federazione la lista completa di tutti gli Identity
Provider (i.e., entità della federazione incaricate di gestire le informazioni riguardanti l’identità dei membri) e/o delle Profile Authority (i.e., le entità incaricate della gestione e manutenzione dei profili utente) [4]. In particolare, per ogni authority, il primo repository contiene la descrizione, l’URI associato e altre informazioni aggiuntive. Il secondo repository fornisce la lista completa delle Attribute Authority (i.e., l’entità utilizzate per certificare tutti o parte degli attributi associati a un profilo di un generico utente) siano esse interne alla federazione che esterne. Per ogni Attribute Authority, il repository include la descrizione, l’URI associato e altre informazioni aggiuntive.
Si prevede l’erogazione del servizio di certificazione già precedentemente progettato e realizzato presso il CG-SICA. Il servizio implementa meccanismi di sicurezza attraverso l’utilizzo dei certificati digitali. Il servizio gestisce due principali tipologie di certificati da utilizzarsi esclusivamente in ambito SPC: i certificati necessari per la porta di dominio e i certificati per la PEC. Il servizio usufruisce delle funzionalità del servizio GFID per la validazione delle credenziali delle entità che eseguono le operazioni messe a disposizione dal servizio di certificazione.
Si prevede l’erogazione del servizio di registro SICA generale, già precedentemente progettato e realizzato presso il CG-SICA. Il registro costituisce un requisito fondamentale del modello di cooperazione applicativa in quanto mette a disposizione l’insieme di operazioni e le strutture dati necessarie per l’intera gestione del ciclo di vita degli Accordi di Servizio e di Cooperazione. Il servizio quindi offre funzionalità per l’accesso, la registrazione, l’aggiornamento, la cancellazione e la ricerca degli Accordi di Servizio e di Cooperazione. Il registro SICA generale interagisce con il servizio di certificazione per il rilascio dei certificati X.509 validi in ambito SPC da associare alla porta di dominio, e con il servizio GFID per l’autenticazione delle entità coinvolte nelle operazioni del registro SICA generale.
Si prevede l’erogazione di servizi di qualificazione di componenti SPC. Rientrano in tale categoria il servizio, già precedentemente progettato e realizzato presso il CG-SICA, di supporto alla qualificazione della porta di dominio (sia essa nella forma tradizionale, sia essa nella nuova forma aggregata di porta di dominio regionale) e un ulteriore nuovo servizio di supporto alla qualificazione di componenti e servizi SPC-compliant che non rientrano nei contratti quadro SPC (gare nazionali e territoriali) ma che possono essere comunque erogati da fornitori qualificati SPC e utilizzati nel perimetro SPC.
Il primo servizio di supporto alla qualificazione della porta di dominio prevede due distinte attività: assistenza alla qualificazione e accreditamento della porta all’interno dell’IPA. L’assistenza alla qualificazione avviene mediante una serie di interazioni che devono essere eseguite tra una Porta di Dominio Campione e quella da qualificare. L’accreditamento presso l’IPA avviene mediante un’interazione tra il servizio e l’indice dei soggetti SPC e in particolare con l’IPA dell’indice dei soggetti. Il servizio di supporto alla qualificazione della porta di dominio interagisce anche con il servizio di certificazione per l’attribuzione delle credenziali associate alla porta di dominio che ha superato la qualificazione, e con il servizio GFID per la validazione delle credenziali delle varie entità coinvolte nelle operazioni relative al servizio.
I servizi di qualificazione prevedono anche la progettazione e realizzazione di un nuovo servizio di supporto alla qualificazione di componenti e servizi SPC-compliant. Questi potrebbero non rientrare nei servizi e-government SPC prima definiti e specificati all’interno dei contratti quadro (nazionali e territoriali ai sensi dell’art.83 del CAD); essi sono tutti quelli realizzati seguendo le regole tecniche SPC
da singole PA, fornitori qualificati SPC, soggetti privati con finalità pubbliche o anche soggetti privati come cittadini e imprese (ad esempio, le mobile apps possono rientrare in tale scenario). Il servizio prevede l’esecuzione di un insieme di operazioni sui servizi/componenti per accertare se essi rispettino i livelli di qualità, di interoperabilità e di sicurezza richiesti per l’erogazione nel contesto SPC.
A seguito di tale qualificazione questi componenti/servizi possono essere resi disponibili per il (ri)uso a tutti gli attori SPC mediante la memorizzazione di informazioni a loro relative in un apposito repository detto catalogo dei componenti e servizi conformi SPC. Il catalogo, per ciascuna componente/servizio include il nome, la descrizione, l’URI, un insieme di attributi (e.g., gli standard su cui si basa, casi d’uso, data di qualificazione), il fornitore che lo eroga, i relativi prezzi e clausole contrattuali per l’utilizzo, e i livelli di qualità di servizio, di sicurezza e privacy previsti. Il servizio di catalogo fornisce le classiche funzionalità CRUD da esporre mediante interfaccia Web e Web Service per la creazione, lettura, aggiornamento e cancellazione di componenti/servizi. Tali operazioni potranno quindi essere utilizzate anche da altri servizi delle infrastrutture condivise.
Infine, per rispondere a quanto previsto dalla variazione all’art. 5 del CAD apportata con la legge
n.148 del 14 settembre 2011 e alle action della Digital Agenda (in particolare action 10) previste per la creazione di un unico e-commerce, si prevede la progettazione e realizzazione di un nuovo servizio di nodo interconnessione dei pagamenti della PA. Il servizio consente l’interconnessione tra le pubbliche amministrazioni e i Payment Service Provider o Prestatori di servizio di pagamento (PSP). In particolare, il nodo è realizzato in maniera da fungere da bridge tra le PA e i PSP; esso implementa i modelli del processo di pagamento mediante il coordinamento delle richieste di servizio, supporta l’univocità del pagamento in quanto consente di definire un codice univoco di identificazione del pagamento, garantisce la riservatezza, l’autenticità e integrità dei messaggi scambiati e offre ai diversi attori coinvolti reportistica e statistiche delle operazioni svolte anche in forma aggregata. Le Pubbliche Amministrazioni che utilizzano il servizio di nodo di interconnessione dei pagamenti sono univocamente identificate mediante il codice IPA e il codice fiscale, sempre incluso all’interno dell’IPA, mentre i PSP, una volta autorizzati dalla Banca d’Italia, sono identificati medianti ABI e inseriti nell’Indice prima menzionato dei Prestatori di Servizio di Pagamento (IPSP). Il colloquio tra le PA e i PSP avviene mediante l’utilizzo di una porta di dominio che il nodo prevede, precedentemente qualificata presso il servizio di supporto alla qualificazione. Infine il nodo dei pagamenti mette a disposizione dei PSP delle interfacce Web Service di comunicazione.
In generale, tutti i servizi per l’interoperabilità tecnica esporranno un’interfaccia Web e Web Service e potranno essere interrogati in modalità server da altri servizi delle infrastrutture condivise. In particolare, i servizi di governance (sezione 7.2) potranno interagire con i servizi previsti al fine di monitorare che i livelli di qualità e sicurezza interna di ogni servizio siano effettivamente rispettati.
Servizi di interoperabilità semantica. Rientrano in tale categoria due principali tipologie di servizi: il servizio di catalogo schemi e ontologie e il servizio di catalogo delle convenzioni per l’accesso a banche dati di interesse nazionale.
La prima tipologia, già prevista nel DPCM 1° Aprile 2008, può essere opportunamente ridisegnata al fine principalmente di recepire le nuove direttive e iniziative europee (ad esempio la digital agenda per l’action 3) in materia di open data. A tal riguardo, si può pensare che il servizio includa una
componente chiamata SPC linked open data; essa è di fatto il repository centralizzato SPC di dati strutturati che sono generati e scambiati nel contesto SPC. Il repository contiene dati pubblici, liberamente offerti per scopi di trasparenza mediante il portale, nella sezione open government dello stesso (si veda 7.2.4), e dati non necessariamente pubblici resi comunque disponibili all’interno della comunità ristretta degli operatori SPC mediante autenticazione nella parte riservata del portale SPC. I dati sono tutti in formato RDF (classificazione 5 stelle del W3C per gli open data) e sono corredati dalle relative ontologie, qualora presenti, che li descrivono. L’utilizzo di tecnologie standard del web semantico consente, nell’ambito di tale componente, di creare collegamenti tra i dati producendo il cosiddetto “web of data” di SPC. Ad esempio, considerando i repository di dati prima descritti, viene naturale pensare a un possibile collegamento dei dati dell’IPA con i dati della rPA ma anche con i dati dei gestori PEC e dei PSP e così via. L’idea generale è quella di raccogliere tali informazioni e renderle disponibili in maniera strutturata per successive semplici interrogazioni o per promuovere lo sviluppo da parte del mercato di applicazioni che le utilizzano. Le interrogazioni sui dati possono essere fatte attraverso l’uso di un linguaggio di query detto SPARQL [5]. A tal riguardo, la componente SPC linked open data può includere uno SPARQL end-point, ossia un sistema di data management che è in grado di eseguire query su dati in formato RDF.
Il servizio di catalogo schemi e ontologie può prevedere inoltre un servizio di catalogo di schemi/modelli comuni di dati utili per l’utilizzo di banche dati in rete. Il servizio di catalogo consente di creare, memorizzare, aggiornare e cancellare schemi di dati che possono essere comuni a specifiche categorie di PA (per esempio, gli schemi dei dati delle PA del settore sanitario, del settore economico ecc.).
Infine, si prevede la progettazione e realizzazione di un nuovo servizio di catalogo di convenzioni per l’accesso a banche dati di interesse nazionale, necessario per implementare le recenti disposizioni del CAD in materia di fruibilità del dato e di banche dati di interesse nazionale. Il servizio consente di inserire, consultare, aggiornare e cancellare convenzioni stipulate tra PA per l’utilizzo dei dati contenuti all’interno di banche dati di interesse nazionali (ai sensi dell’art. 60 del CAD, banche dati di interesse nazionali sono il repertorio dei dati territoriali, la banca dati dei contratti pubblici, il casellario giudiziale, il registro delle imprese per citarne alcune).
Nell’ambito di tale servizio, vista la gestione in seno a DigitPA del repertorio nazionale dei dati territoriali, si ritiene importante far sì che le infrastrutture condivise diventino il punto attraverso cui erogare il servizio di gestione del repertorio. Tale servizio prevede la gestione del portale associato al repertorio e di tutte le operazioni tradizionali che prevedono l’alimentazione, l’aggiornamento e la cancellazione dei metadati relativi ai dati territoriali della PA. Il servizio di gestione del repertorio dovrà prevedere la creazione di due tipologie di interfacce Web Service: una da utilizzarsi per la comunicazione in cooperazione applicativa con le PA, e l’altra per assicurare l’interfacciamento con il portale geo-comunitario.
7.2. Servizi per la governance SPC
Data la complessità del framework, è necessario predisporre ulteriori servizi con l’obiettivo di automatizzare i processi di gestione di SPC necessari alla sua corretta governance. Per questo è fondamentale la costituzione di una base di dati contenente dati normativi, tecnici, contrattuali, e operativi di ciascuna istanza di servizio, acquisita dalle Amministrazioni attraverso contratti SPC
nazionali e territoriali, e dispiegata (o in corso di dispiegamento) in SPC. Attraverso strumenti di aggregazione, selezione di dati e business intelligence vengono visualizzati cruscotti puntuali o statistici, personalizzati per tutti i soggetti SPC.
Le seguenti sottosezioni descrivono le principali funzionalità offerte dai servizi per la governance
SPC.
7.2.1. Supporto alla gestione contrattuale
Attraverso la predisposizione di form web ed interfacce applicative, i servizi di supporto alla
gestione contrattuale coadiuvano Amministrazioni e Fornitori nella predisposizione della documentazione di contratto (rispettivamente piani e progetti dei fabbisogni) rispettando i vincoli imposti dal Contratto Quadro, ed in particolare i vincoli imposti dal modello di pricing definito nel listino prezzi.
7.2.2. Gestione di dati di qualità e sicurezza
Attraverso il servizio di gestione dati di qualità e sicurezza, si predispone una base dati di riferimento per i servizi di ciascun contratto quadro ed esecutivo, in funzione delle caratteristiche di ciascuna categoria di servizi SPC (sia infrastrutturali che applicativi, e di interoperabilità delle infrastrutture condivise). Il servizio raccoglie dati di tipo operativo relativi alla qualità e alla sicurezza dei servizi erogati. Inoltre il servizio permette aggregazioni puntuali e statistiche sia sulla base degli algoritmi previsti dai Contratti Quadro (analisi statistica e puntuale degli SLA) sia sulla base di algoritmi personalizzati definiti di volta in volta sulla base di nuove esigenze.
7.2.3. CERT-SPC
Ai sensi dell’art. 51 del CAD, del DPCM 1° Aprile 2008, e della Digital Agenda (in particolare relativamente alle action 38 e 41; si veda sezione 4.1), le infrastrutture condivise prevedono la gestione del CERT-SPC, ossia il referente centrale per la prevenzione, il monitoraggio, la gestione, la raccolta dati e l’analisi degli incidenti di sicurezza. Il CERT-SPC viene istituito nel contesto delle infrastrutture condivise al fine di svolgere le seguenti attività principali:
• analisi: questa attività prevede l’analisi di report su incidenti di sicurezza e sulle azioni intraprese per la loro gestione al fine di proporre eventuali azioni correttive tempestive che evitano il ripetersi del particolare incidente;
• prevenzione: questa attività prevede la prevenzione di incidenti informatici mediante l’utilizzo di una piattaforma in grado di (i) raccogliere dati dai Security Operation Center e/o dalle Unità di Sicurezza Locali, (ii) normalizzare i dati, (iii) correlare i dati online per rilevare specifici pattern di attacchi, (iv) disseminare i risultati dell’elaborazione dei dati a tutte le PA nel contesto SPC. Inoltre, l’attività di prevenzione può prevedere la produzione di documenti tecnici e/o bollettini di sicurezza sulle minacce e sui potenziali attacchi che potrebbero incombere su SPC;
• collaborazione: questa attività prevede il continuo interscambio di informazioni su attacchi e minacce di sicurezza con analoghe strutture presenti a livello nazionale ed internazionale,
nonché con le autorità di polizia competenti.
Il CERT-SPC si interfaccerà inoltre con i relativi CERT-SPC-R presenti in sede locale (e definiti ai sensi dell’art. 21 del DPCM 1° Aprile 2008), secondo le modalità stabilite in 6.1.
7.2.4. Portale servizi e applicazioni SPC
Il portale servizi e applicazioni SPC può essere pensato come suddiviso in due parti fondamentali: una parte di portale open government attraverso cui rendere disponibili dataset, applicazioni pubbliche e informazioni di carattere generale per tutti gli attori SPC e una parte dedicata agli stakeholder SPC ( che le consenta di accedere al proprio sub-set di dati (statistici e non) relativi ai servizi SPC (infrastrutturali, applicativi e di interoperabilità) dispiegati o in corso di dispiegamento.
In generale il portale permette l’archiviazione intelligente della documentazione di progetto (documentazione tecnica, di riscontro, etc.), contrattuale (Contratti Esecutivi , piani e progetti dei fabbisogni, etc.) e la pubblicazione di cruscotti sulla base dei dati raccolti dai servizi di supporto alla gestione contrattuale e di gestione dei dati di qualità e sicurezza.
Inoltre il portale risulta il canale preferenziale per la pubblicazione dei dati del CERT-SPC, il quale propone agli utenti abilitati le seguenti funzionalità:
• distribuzione di bollettini informativi in occasione del rilascio di patch di sicurezza;
• pubblicazione di bollettini informativi relativi al diffondersi di minacce informatiche;
• condivisione di contenuti informativi in materia di sicurezza informatica;
• abilitazione di funzioni riservate agli appartenenti alle Unità Locali di Sicurezza dell’Amministrazione.
Il portale dovrà essere realizzato per consentire l’accesso anche attraverso piattaforme mobili.
7.2.5. Servizi di gestione operativa
I servizi di gestione operativa consentono di gestire la escalation in problematiche di carattere tecnico, che coinvolgono più fornitori attraverso il coordinamento delle attività di trouble-shooting e monitoraggio dei risultati.
8. Modello di ripartizione dei costi
L’art. 86 del CAD stabilisce che: “i costi relativi alle infrastrutture condivise sono a carico dei fornitori proporzionalmente agli importi dei contratti di fornitura, e una quota di tali costi è a carico delle pubbliche amministrazioni relativamente ai servizi da esse utilizzati. I costi, i criteri e la relativa ripartizione tra le amministrazioni sono determinati annualmente con decreto del Presidente del Consiglio dei Ministri, su proposta della Commissione, previa intesa con la Conferenza unificata cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, salvaguardando eventuali intese locali finalizzate a favorire il pieno ingresso nel SPC dei piccoli Comuni nel rispetto di quanto previsto dal comma 5”.
Al fine di individuare i criteri per ripartire i costi nel modo più rispondente a quanto previsto dal CAD, visto l’insieme dei servizi necessari per la realizzazione delle infrastrutture condivise, si può ipotizzare una macro suddivisone degli stessi costi in funzione dei fruitori diretti dei medesimi servizi:
a) servizi orientati ai fornitori SPC, ovvero tutte le componenti infrastrutturali necessarie ai fornitori qualificati per erogare servizi nell’ambito del SPC alle PA;
b) servizi orientati alle PA, ovvero tutti i servizi usufruiti direttamente dalle PA, senza alcun apporto da parte dei fornitori qualificati.
Per meglio individuare le tipologie di servizio di seguito, a titolo esemplificativo si riportano alcuni esempi:
a) servizi rientrano fra quelli orientati ai fornitori qualificati:
-‐ servizi di interoperabilità per l’infrastrutture (QXN, VoIP);
-‐ servizi di supporto alla gestione contrattuale;
-‐ servizi di gestione operativa.
b) servizi rientrano fra quelli orientati alle PA:
-‐ servizi di interoperabilità per le applicazioni (SICA, IPA, rPA, IGPEC, ecc…);
-‐ portale servizi e applicazioni;
-‐ servizi di gestione dei dati di qualità e sicurezza.
Per quanto riguarda la stima dei costi per la realizzazione e gestione delle infrastrutture condivise, a fronte dell’esperienza maturata nel corso dello sviluppo del progetto SPC dal 2006 ad oggi, così come descritto in questo documento, questi sono stimati in circa 4 mln euro/anno. Inoltre, una stima prudenziale del fatturato complessivo relativo a tutti i servizi che saranno contenuti nei contratti quadro SPC è pari a circa 400 mln di euro/anno.
Per quanto sopra, sulla base dei costi sostenuti in passato per la realizzazione e gestione dei singoli servizi destinati alle due macro aree, può essere considerata equa una ripartizione al 50% dei costi complessivi.
Per quanto attiene alle modalità di ripartizione dei costi a carico dei fornitori qualificati, fermo restando il principio di base dettato dal CAD, circa la proporzionalità agli importi complessivi dei contratti di fornitura, si reputa opportuno prevedere un’ulteriore suddivisone degli stessi. Ciò in quanto, oltre a rispettare tale vincolo è necessario individuare un criterio di ripartizione dei costi che non costituisca, in ogni caso, un ostacolo all’ingresso di ulteriori soggetti fruitori dei servizi in argomento.
A tal scopo, è opportuno definire puntualmente i costi diretti per i servizi di interoperabilità per l’infrastrutture (servizi di interconnessione QXN e NIV), in modo tale che questi risultino direttamente paragonabili con analoghi servizi di interconnessione presso i diversi NAP nazionali. Tali costi determinano così il costo di interconnessione ad un singolo punto di accesso e rappresentano il costo minimo di ingresso di un fornitore qualificato per i servizi di interoperabilità per l’infrastrutture.
La somma di tutti i singoli costi di interconnessione attribuibili a tutti i fornitori qualificati per i servizi di connettività ed alle eventuali Community Network interconnesse, pertanto, dovrà essere sottratta alla quota complessiva in carico a tutti i fornitori qualificati dei servizi di connettività ed applicativi. Di conseguenza, solo la parte rimanente dovrà essere ripartita fra tutti i fornitori qualificati in modo direttamente proporzionale agli importi dei contratti di fornitura sottoscritti da ciascuno di loro con le PA. Queste ultime quote, così determinate, concorreranno alla copertura dei costi dei servizi di supporto alla gestione contrattuale e dei servizi di gestione operativa utilizzati da tutti i fornitori qualificati.
In merito alla ripartizione dei costi in carico alle PA, nella considerazione che:
-‐ le PA che hanno acquisto servizi SPC in adesione ai contratti quadro OPA SPC oggi sono già oltre 1.200, cui bisogna aggiungere le PA interconnesse per il tramite delle reti regionali;
-‐ le PA che utilizzano i servizi di interoperabilità per le applicazioni (IPA, SICA, ecc…) oggi sono oltre 21 mila;
si reputa poco praticabile quanto indicato dal CAD circa la ripartizione dei suddetti costi fra le PA in modo direttamente proporzionale al loro utilizzo. Per cui il GdL reputa opportuno che la Commissione di Coordinamento SPC proponga agli organi compenti di istituire un apposito capitolo di spesa senza ulteriori aggravi per la spesa pubblica, in modo da evitare l’anticipo dei fondi stessi da parte di DigitPA ed il successivo recupero presso le innumerevoli PA interessate.
Quanto sopra descritto è esemplificato nella figura seguente:
Figura 4: Modalità di ripartizione dei costi delle Infrastrutture Condivise
9. Conclusioni
Figura 5: Riepilogo sullo stato di definizione dei servizi delle infrastrutture condivise
Come già discusso, è stata identificata una gara per l’insieme dei servizi delle Infrastrutture Condivise. In particolare, la Figura 5 riepiloga tutti i servizi individuati, e per ciascuna categoria li classificata sulla base del loro attuale stato di “maturazione”.
Servizi consolidati in continuità. Come già accennato nelle precedenti sezioni, vi sono servizi consolidati (riquadro in alto a sinistra in Figura 5) che devono essere migrati senza soluzione di continuità. Nella migrazione è necessario acquisire la passata documentazione relativa ai requisiti tecnici di tali servizi al fine di analizzarla ed eventualmente revisionarla per rispondere efficacemente ai rinnovati scenari normativi, economici e di mercato.
Servizi da specificare tecnicamente in fase di capitolato. Esistono inoltre servizi, da inserire nella gara, che consentono di rispondere agli obiettivi di aggiornamento delle attuali infrastrutture condivise; le specifiche tecniche di tali servizi possono essere definite in sede di stesura di capitolato seguendo le linee guida del presente documento. Per esempio, rientrano in quest’ultima categoria il NIV2 o il nodo interconnessione pagamenti per la PA.
Servizi che richiedono linee guida e un approccio sperimentale. Per alcuni servizi prima elencati la definizione invece dei relativi requisiti tecnici necessita di un’ulteriore analisi. In particolare, si ritiene che quasi tutti i servizi di interoperabilità semantica e il servizio di interoperabilità organizzativa di gestione del business process repository, dovendo rispondere al rinnovato scenario normativo,
economico e di mercato, abbiano bisogno di una definizione di appropriate linee guida e di una valutazione attraverso un approccio sperimentale. Solo in questo caso potranno poi in seguito essere consolidarli nei precedenti due ambiti individuati in Figura 5. Lo stesso GdL6 si occuperà nelle prossime settimane della definizione di tali linee guida e di avviare sperimentazioni degli stessi.
Servizi di coordinamento. A fianco dei servizi fin qui discussi, alcuni servizi di coordinamento presso DigitPA sono previsti. In particolare, rientrano in questa categoria servizi quali il CERT-SPC.
10. BIBLIOGRAFIA
[1] GdL 3 – Commissione di Coordinamento SPC, “Obiettivi delle future gare S2, S3”, Settembre 2011.
[2] GdL 4 – Commissione di Coordinamento SPC, “Contenuti delle future gare S2, S3”, Novembre 2011.
[3] Agenda Digitale Europea, xxxx://xx.xxxxxx.xx/xxxxxxxxxxx_xxxxxxx/xxxxxxx-xxxxxx/xxxxx_xx.xxx, 2012
[4] Modello di Gestione Federata delle Identità Digitali GFID, xxxx://xxx.xxxxxxx.xxx.xx/xxxx-xxxxx- pa/documenti-tecnico-operativi, 2012
[5] SPARQL, xxxx://xxx.x0.xxx/XX/xxx-xxxxxx-xxxxx/, 2012