Sulla pubblicità dei lavori:
Bruno Donato, Presidente ... 2
INDAGINE CONOSCITIVA NELL'AMBITO DELL'ESAME DELLO SCHEMA DI DECRETO LEGISLATIVO RECANTE MODIFICHE AL CODICE DELL'AMMINISTRAZIONE DIGITALE, DI CUI AL DECRETO LEGISLATIVO 7 MARZO 2005, N. 82 (ATTO N. 266)
Audizione di esperti della materia:
Bruno Donato, Presidente ... 2 11 15 20
Bragantini Matteo (LNP) ... 11
Carloni Enrico, Professore associato di diritto amministrativo presso l'Università degli studi di Perugia ... 2 15
Galardi Giancarlo, Dirigente della regione Toscana ... 5 19
Madotto Paolino, Coordinatore di «La rete dell'innovazione» ... 7 16
Mantini Pierluigi (UdC) ... 15
Talamo Maurizio, Professore ordinario di informatica presso l'Università degli studi Roma Tor Vergata di Roma ... 9 17
Volpi Raffaele (LNP) ... 14
Zaccaria Roberto (PD) ... 12
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro: UdC; Futuro e Libertà per l’Italia: FLI; Italia dei Valori: IdV; Misto: Misto; Misto-Alleanza per l’Italia: Misto-ApI; Misto-Noi Sud Libertà e Autonomia, I Popolari di Italia Domani: Misto-Noi Sud-PID; Misto-Movimento per le Autonomie-Alleati per il Sud: Misto-MpA-Sud; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Minoranze linguistiche: Misto-Min.ling.; Misto-Repubblicani, Azionisti. Alleanza di Centro: Misto-RAAdC.
Resoconto stenografico
INDAGINE CONOSCITIVA
La seduta comincia alle 12,40.
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso e la trasmissione televisiva sul canale satellitare della Camera dei deputati.
PRESIDENTE. L'ordine del giorno reca, in merito all'indagine conoscitiva nell'ambito dell'esame dello schema di decreto legislativo recante modifiche al Codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 (atto n. 266), l'audizione di esperti della materia.
Do la parola ai nostri ospiti - il professor Enrico Carloni, il dottor Giancarlo Galardi, il dottor Paolino Madotto e il professor Maurizio Talamo - ringraziandoli, a nome mio e dell'intera Commissione, per la loro partecipazione.
ENRICO CARLONI, Professore associato di diritto amministrativo presso l'Università degli studi di Perugia. Svolgerò alcune valutazioni molto sintetiche, su cui poi potrò tornare, rispondendo ad eventuali domande.
La premessa da cui partire è il fatto che in Italia abbiamo una legislazione in materia di amministrazione digitale molto avanzata, pur con tutti i suoi limiti, come vedremo, presa a riferimento anche nello scenario comparato e imitata in alcuni ordinamenti, come, per esempio, in quello spagnolo.
Come è emerso bene anche dall'indagine conoscitiva sull'informatizzazione delle pubbliche amministrazioni, conclusa da questa Commissione l'anno scorso, la realtà dell'amministrazione digitale nel nostro Paese è però ancora piuttosto arretrata e presenta molte criticità, le quali seguono una frattura, che rimane quella tradizionale tra Nord e Sud e tra enti di grande e di piccola dimensione.
Ci troviamo, quindi, di fronte a uno scenario di rilevante differenziazione, nonostante lo scopo del Codice dell'amministrazione digitale fosse, in primo luogo, quello di ridurre tale divario.
La foto che la citata indagine conoscitiva descrive non è troppo distante da quella che avrebbe descritto prima dell'entrata in vigore del Codice, che sembra, quindi, come peraltro riscontrato da più parti, compresa la relazione illustrativa a questo schema di decreto, aver mancato i suoi obiettivi.
Se abbiamo una legislazione avanzata, ma non un'amministrazione digitale avanzata è forse improprio dare la colpa alla legislazione, cioè intervenire nuovamente sulla legislazione. Questa è, però, la scelta che viene compiuta in sede di delega, con la legge 18 giugno 2009, n. 69.
In questo senso, l'idea generale dietro tale scelta è che il Codice dell'amministrazione digitale non ha funzionato perché privo di un adeguato apparato sanzionatorio. È questo il principale elemento qualificante della delega, che, quindi, dovrebbe esserlo anche del decreto delegato.
Il fatto è che il Codice dell'amministrazione digitale viene inteso come una condizione
abilitante, che quindi rende possibile per le amministrazioni sviluppare standard più adeguati, mentre, a mio avviso, si dovrebbe avere un'idea un po' più ambiziosa di tale Codice. Esso non è soltanto una condizione abilitante, come lo è la firma digitale già da anni, ma la definizione di uno standard comune alle diverse amministrazioni. Significa, cioè, realizzare un sistema di relativa uniformità nel contesto digitale.
Si tratta, come ricordavamo, di un codice debole, privo di meccanismi idonei di rafforzamento. L'articolo 33 della legge n. 69 prevede, quindi, meccanismi sanzionatori più forti e afferma addirittura che sarà possibile non consentire alle amministrazioni di attivare servizi secondo modalità tradizionali, se esse non ottempereranno alle previsioni del Codice. Si prevederebbe, dunque, nella delega addirittura un'ipotesi di riserva digitale, cioè di limitarsi soltanto ai servizi online, disattivando quelli tradizionali. Questo, come vedremo, è un passo, a mio avviso, eccessivo e rischioso.
Passo a prendere in esame il rapporto tra la delega e il testo dello schema di decreto delegato, nel quale possiamo riscontrare almeno tre significative incongruenze.
La prima, già segnalata anche nel parere del sistema delle autonomie, è la debolezza di una visione organica. In sostanza, vi è una significativa messa a punto di singole previsioni e disposizioni, ma è sempre meno chiaro il disegno complessivo verso cui tendiamo con il sistema dell'amministrazione digitale. Su questo tema svolgerò alcune considerazioni anche più avanti.
Sussistono poi alcuni limiti di rispondenza tra decreto e delega. Se rileggiamo i punti della delega, infatti, vediamo che nello schema di decreto alcuni non figurano, mentre altri sono presenti nel decreto, ma non erano nella delega.
Mi sembra di poter affermare che il Governo abbia inteso questa delega un po' come quella per modificare il Codice una volta approvato, ossia una delega a intervenire con tutti gli accorgimenti ritenuti necessari per adeguare il Codice dell'amministrazione digitale.
Basti pensare che l'intervento numericamente più consistente quanto ad articoli ritoccati riguarda il documento informatico e, in particolare, le copie dei documenti informatici, dei quali, in realtà, nella delega non troviamo significativa traccia.
Si noti, però, per completezza che il Consiglio di Stato, nel parere reso, ha ritenuto che questa corrispondenza vi sia. Quella espressa rimane, quindi, una mia valutazione.
La terza incongruenza è la perdurante debolezza del Codice dell'amministrazione digitale, che avrebbe dovuto essere l'elemento qualificante dell'intervento riformatore. L'idea era di collegare alle diverse previsioni una sanzione, cioè di creare norme perfette in luogo delle tradizionali norme deboli del Codice.
Se scorriamo il testo dello schema di decreto, vediamo, però, che tali sanzioni non ci sono e, se ci sono, sono essenzialmente legate al collegamento tra attuazione di specifici meccanismi e il ciclo delle performance previsto dalla riforma Brunetta.
Il ciclo delle performance è un meccanismo recente, che sta entrando a regime adesso e che comincia già a essere sovraccarico, perché su di esso si scaricano esigenze di integrità, legalità trasparenza e ora anche di digitalizzazione. Non possono, quindi, scaricarsi su di esso esigenze relative all'amministrazione nel suo complesso, ma soltanto quelle che rientrano nelle capacità di controllo del dirigente. Si tratta spesso di scelte di fondo di informatizzazione.
In questo quadro, svolgerò un sintetico esame dei principali contenuti del decreto e delle relative modifiche, che esaminerò sostanzialmente per tre aspetti, sorvolando su altri, pure meritevoli d'interesse.
Il primo è il diritto all'uso delle tecnologie, che nella prima parte del Codice rappresentano quello che intendeva essere l'elemento più qualificante, ossia riconoscere
ai cittadini diritti di cittadinanza digitale. Si parlò all'epoca addirittura di Magna Charta digitale.
Se andiamo a vedere questi diritti, notiamo che essi sono, in realtà, evanescenti. Sono riconosciuti, cioè, ma non ci sono meccanismi in grado di renderli effettivamente azionabili in giudizio, né tali da comportare significative sanzioni, se non in alcuni casi, nel meccanismo collegato al ciclo delle performance.
Se sono diritti, sono posizioni tutelate. Altrimenti investire e continuare a puntare l'attenzione su questo aspetto crea una distanza eccessiva, nonché una disaffezione rispetto al tema complessivo dell'amministrazione digitale.
Il problema dei diritti chiama in causa poi un problema strutturale e fondamentale, che rappresenta una precondizione sulla quale occorre intervenire, quella dei digital device, device culturali, sociali, economici, territoriali e infrastrutturali.
Un altro aspetto su cui mi soffermo brevemente è la parte innovativa del Codice relativa a dati, siti e servizi delle pubbliche amministrazioni in rete.
Dobbiamo avere di nuovo chiaro verso quale modello tendiamo, perché, se abbiamo in mente un modello di standardizzazione, cioè di riduzione dei differenziali, ma continuiamo nella logica della cosiddetta single agency, per cui ogni amministrazione eroga i suoi servizi per conto proprio, è una questione. Se, invece, puntiamo, come si intendeva all'inizio, sul sistema integrato, le problematiche si ampliano e c'è bisogno di un intervento più consistente da parte del legislatore, che però pare tendenzialmente non presente nel Codice.
Sempre relativamente alla parte sui dati, segnalo il fatto che si sta sviluppando un sistema, al di fuori del Codice dell'amministrazione digitale, che riguarda l'amministrazione digitale stessa. Tutte le regole di accessibilità totale e della trasparenza della riforma Brunetta dovrebbero essere nel Codice, in particolare nell'articolo 54, ma si sviluppano a margine.
Occorre, cioè, un intervento organico che metta a sistema il rapporto tra diffusione online di informazioni, privacy, diritto del cittadino a conoscere, qualità e quantità delle informazioni che è necessario avere, senza che ciò sia in parte nel Codice e in parte in tutta una quantità di normative frammentate. Seguiamo la logica del Codice e del Data.gov dell'esperienza americana.
Collego l'ultima questione alla dimensione complessiva del sistema pubblico di connettività, la grande scommessa dell'evoluzione del sistema pubblico nel contesto digitale.
L'idea è quella di una sostanziale condivisione di un patrimonio conoscitivo molto ampio, con amministrazioni che riescano a operare realmente come elementi di una rete comune, ma nel Codice riscontriamo alcune timidezze e ritrosie, peraltro giustificate, dato lo stato dell'amministrazione del nostro Paese.
Basti pensare al fatto che tra le basi dati di interesse nazionale non c'è l'anagrafe tributaria, il che si spiega con i timori dell'ordinamento di consentire davvero a tutti i nodi della rete di accedere alla banca dati più consistente, quella maggiormente di interesse nazionale che abbiamo a disposizione.
Ci troviamo in sostanza di fronte a una fase nella quale si continua a investire nell'amministrazione digitale, ma si perde un po' di vista il modello che è dietro a quest'idea, un modello che forse era più chiaro cinque anni fa, dai piani di e-government. Adesso sembra più un sovrapporsi di singoli interventi.
Il problema che mi pare centrale e che non mi sembra affrontato in modo rilevante nella riforma è quello della complessiva governance del sistema digitale. Ci troviamo in una prospettazione paradossale, ma neppure troppo, perché in questa fase c'è, insieme, troppo e troppo poco Stato.
C'è troppo Stato nel senso che il centro di governo del sistema è troppo univocamente riconducibile a una sede governativa, frutto dell'evoluzione, a mio avviso critica, dall'AIPA al CNIPA e al DigitPA.
C'è, però, anche troppo poco Stato, nel senso che ci sono alcune incertezze nel
confrontarsi con il sistema delle autonomie, in un contesto che vede il cuore delle competenze in mano allo Stato, con riferimento al coordinamento informativo, informatico e statistico e ai livelli essenziali delle prestazioni, ma in un settore che tocca profondamente l'organizzazione. Si tende, quindi, a fermarsi sempre un attimo prima della soglia.
A mio avviso, la linea giusta è quella, definita in più contesti dalla Corte costituzionale, di una collaborazione della visione strategica d'insieme, con l'assunzione successiva da parte dello Stato, chiaramente fino in fondo, delle proprie responsabilità.
GIANCARLO GALARDI, Dirigente della regione Toscana. Non ripeterò le considerazioni già svolte da chi mi ha preceduto, che condivido pienamente.
Mi soffermerò su alcuni aspetti che ritengo critici in relazione all'obiettivo primario che dovrebbe avere il Codice, quello cioè di garantire un ridisegno dei procedimenti e dei processi nella pubblica amministrazione attraverso l'uso delle tecnologie per ridurre tempi e costi per tutti.
Questo, a mio avviso, dovrebbe essere lo spirito che dovrebbe guidare questa norma. Altrimenti, essa sembra più destinata a identificare singole tecnologie che non a fornire un quadro di riferimento per l'obiettivo della semplificazione, ma soprattutto della riduzione dei tempi e dei costi per tutti.
Su questa riduzione dei tempi e dei costi l'unica osservazione di dettaglio che vorrei sottolineare è che nello schema di decreto in esame è stato cassato un passaggio esistente nella norma precedente, in cui si affermava che l'attuazione del Codice digitale non dovesse comportare costi aggiuntivi per gli utenti.
Credo che questo elemento debba essere reintrodotto, altrimenti si perde uno degli obiettivi alla base di questa norma.
L'altra premessa è che questa norma deve essere facilmente leggibile da parte dei decisori sia politici, sia amministrativi degli enti locali, perché, laddove sia di difficile lettura e interpretazione, è chiaro che i tempi della sua attuazione saranno estremamente lunghi e che forse troveremo ancora barriere come quelle che abbiamo visto nella versione vigente del Codice, sicuramente una delle norme nazionali più disattese nel nostro ordinamento. Ricordo, infatti, che la firma digitale risale alla fine degli anni Novanta - si tratta di un decennio fa - e che non è ancora utilizzata.
Credo, quindi, che una delle grosse difficoltà che si incontra in questa norma stia proprio nel linguaggio utilizzato. Non si impiega una terminologia chiara. Penso che a chiunque l'abbia letta sia venuto il mal di testa fra documento digitale, documento elettronico, documento informatico, firma digitale, firma elettronica, firma elettronica avanzata, firma digitale certificata, e potrei continuare.
Credo che occorra un drafting, come in tutte le leggi, ma in particolare su questo decreto legislativo, che introduce termini nuovi; nel corpo delle definizioni si dovrebbe dare una chiarezza sugli strumenti e su che cosa si intende con i diversi termini. Forse da questo lavoro, che io auspico venga compiuto, emergerebbero alcuni elementi di contraddizione fra articoli diversi della stessa legge. Da alcune parti, per esempio, si parla di firma digitale in termini generici e poi la si specifica con tanti aggettivi.
Credo che gli unici termini che dovremmo utilizzare sono «analogico» e «digitale». Se poi c'è bisogno di specificare come può essere realizzata una firma digitale, rimanderei a un regolamento che dia una misura più chiara di ciò che si vuole intendere.
A mio avviso, vi è, inoltre, una mancata armonizzazione fra quanto è rimasto della norma precedente in relazione al sistema pubblico di connettività e i nuovi elementi introdotti, come la posta elettronica certificata.
La posta elettronica certificata non può che essere uno degli strumenti che il sistema pubblico di connettività mette a disposizione delle amministrazioni per farle colloquiare con le imprese e con i cittadini, altrimenti sembra che il Codice
sia rafforzativo all'uso di uno strumento di bassa intensità di cooperazione, come è appunto la posta elettronica certificata.
Tenete presente che alcuni amministrazioni stanno interpretando questa modalità nel senso di fornire un indirizzo di posta elettronica certificata a ogni dipendente, un'iniziativa ovviamente devastante sul piano organizzativo e della reingegnerizzazione dei processi, perché si perde l'archivio, la memoria storica di un ente, ovviamente il maggior valore che sta dietro a tali processi. A mio avviso, quindi, dovrebbe esserci un'armonizzazione, proprio per non indurre in errore chi dovrebbe applicare la norma.
Un termine che nella norma manca e che, invece, andrebbe inserito è l'«interoperabilità». Oggi, come si vede in tutte le relazioni, all'interno della pubblica amministrazione non mancano i computer o le applicazioni. Forse ce ne sono anche troppi.
Credo, invece, che il principio fondamentale sia quello di far parlare le applicazioni senza intermediazione umana. La posta elettronica certificata richiede comunque un'intermediazione e, quindi, introducendola, non si stanno di fatto cambiando i processi, facendo fluire automaticamente le informazioni da una parte all'altra dell'amministrazione, ma si stanno svolgendo le attività esistenti con una tecnologia nuova.
Ciò che oggi si fa con la posta elettronica certificata si potrebbe fare benissimo con il fax. È la stessa operazione: si scansiona, come viene fatto normalmente, un documento, lo si allega alla posta elettronica e lo si invia dall'altra parte. I fax non hanno cambiato i procedimenti e i processi, mentre noi, invece, vogliamo farlo.
In questo processo occorre prestare particolare attenzione al collegamento fra la funzione di protocollo di un ente e tutte le interrelazioni che avvengono fra gli enti stessi, perché il protocollo è il momento organizzativo essenziale nel quale, oltre ad accettare un documento, spesso si fa nascere una pratica. Non capisco come si possa poi pretendere che un ente dia l'accesso alla pratica al cittadino, se tale operazione non è correlata in maniera molto stretta.
L'altro elemento di criticità è rappresentato ancora dallo strumento della firma. Ci sono troppe tipologie di firma e non si capisce francamente a che cosa ciò sia dovuto, se non, come affermava il professor Carloni, a una timidezza.
Una legge deve tracciare uno scenario, un obiettivo da raggiungere. Ci potranno poi essere norme transitorie, si potrà svolgere un percorso e potranno esserci alcuni tempi, ma credo che in questo caso vada buttato il cuore oltre l'ostacolo e vada disposto che la firma digitale è obbligatoria.
Un'altra questione che viene toccata in maniera positiva, ma cui bisogna stare molto attenti, è la politica del riuso, per la quale, se un'amministrazione ha un'applicazione che funziona bene, la può cedere gratuitamente all'amministrazione accanto o a chi la richiedesse. Anche in questo caso si possono creare turbative di mercato non da poco, se la scelta di un'applicazione da parte di un ente crea di fatto una privativa per chi l'ha sviluppata in altri contesti.
Personalmente credo che anche sul riuso debbano essere elaborate norme che tutelino la concorrenza di mercato, perché specialmente l'innovazione tecnologica è quella che ci consente di avere prodotti sempre migliori. L'applicazione che oggi si ritiene la migliore tra due anni può essere la peggiore. Su questo punto bisogna sempre prestare molta attenzione.
Come proponeva il professor Carloni, occorrono maggiori sanzioni a chi non si adatta a queste novità, ma io suggerirei anche maggiori incentivazioni. È la politica a dover compiere tali scelte, ma in un clima come quello odierno, in cui gli enti locali sono in ristrettezze, disporre che tutte le innovazioni che producono effettivamente un risparmio possono stare fuori dal Patto di stabilità agevolerebbe gli investimenti in innovazione tecnologica e comporterebbe un grosso beneficio anche per le imprese, le quali, in questo momento, sono ferme, perché ovviamente,
con la politica dei tagli, una delle voci tagliate per prime è quella dell'innovazione tecnologica.
Un'altra questione critica è che, a mio avviso, mancano i tempi certi per i regolamenti. Abbiamo ancora i regolamenti della prima stesura della norma e ancora non sono stati elaborati gli altri.
Ripeto queste considerazioni sempre con l'obiettivo di fornire strumenti alle pubbliche amministrazioni per poter applicare questa norma domani e non per accampare scuse oppure per trovare difficoltà oggettive per cui non lo si faccia.
Come ultima osservazione, credo veramente che andasse compiuto uno sforzo maggiore, in una logica di dare attuazione ad alcuni princìpi che ormai risalgono a più di dieci o vent'anni fa, per mettere il cittadino al centro della pubblica amministrazione e non per metterlo in mezzo, come spesso si dice. Avrebbero potuto essere inseriti alcuni articoli che sancissero questo principio.
Per esempio, un principio basilare è quello per cui l'informazione è di proprietà di colui a cui si riferisce. Basterebbe affermare ciò e francamente potremmo introdurre alcune innovazioni fortissime. La cartella sanitaria non è dell'ospedale o dell'Azienda sanitaria, ma del cittadino cui si riferisce e potremmo portare molti esempi simili.
Aver avuto elementi che ci consentivano di poter ridisegnare i processi in una logica user-centric, ossia di centralità del cittadino o dell'impresa, sarebbe stato di grande aiuto per i processi di reale innovazione sul nostro territorio.
PAOLINO MADOTTO, Coordinatore di «La rete dell'innovazione». Svolgerò alcune considerazioni specifiche, prima di soffermarmi su singoli aspetti del decreto, all'interno di un discorso su alcuni temi più generali, che nel CAD e nel decreto non figurano sufficientemente.
Un primo elemento, a mio avviso, rilevante, ma carente, è quello di una governance di tutta l'informatica pubblica, locale e centrale, un po' più strutturata. Mentre, da una parte, il livello politico deve essere autonomo, come anche i livelli tecnici più operativi, dall'altra, è necessario che ci sia un quadro maggiormente unificato.
Nel CAD questo aspetto non compare, con il rischio che poi ogni singola amministrazione - ministero o autonomie locali - si muova molto per conto proprio, con rischi di duplicazioni, in alcuni casi utili, perché anche le duplicazioni hanno una loro utilità nell'innovazione, ma in altri di meno.
A questo riguardo è utile indicare come negli Stati Uniti, che sono una Repubblica federale, esista un CIO, una figura che unifica le competenze sulla materia, come succede in gran parte delle multinazionali sparse in tutti i continenti, e detta alcune regole, anche condividendole con le diverse strutture locali e con altri ministeri, creando però un disegno unitario che possa essere implementato dal punto di vista sia dell'architettura, sia, in taluni casi, del modello organizzativo.
Nella pubblica amministrazione accade spesso che ogni singola pubblica amministrazione abbia un suo modello organizzativo, il che in alcuni casi va bene, ma in altri casi no, perché proliferano i modelli organizzativi buoni, ma anche quelli non efficienti e non efficaci.
Nel CAD permane anche un altro elemento di attenzione, a mio avviso, ossia una «confusione», all'interno del ruolo del DigitPA, tra chi definisce standard, bandisce gare e rappresenta un organismo operativo e chi, in realtà, riveste una funzione di audit e, dunque, è in grado di vedere che cosa fanno le altre amministrazioni, verificando che le operazioni funzionino.
Questa confusione, secondo me, può generare problemi: chi svolge attività operative non dovrebbe essere coinvolto anche in attività di audit, mentre - in questo sta la carenza del CAD - una funzione di audit, in grado di andare a vedere come viene realizzato il CAD nelle diverse amministrazioni e articolazioni, è necessaria.
Con riferimento all'articolo 50, in cui si fa riferimento alla continuità operativa e si chiede alle singole amministrazioni di
svolgere almeno una verifica biennale del funzionamento della continuità operativa stessa, sarebbe opportuno fosse previsto un istituto di audit in grado di verificare insieme all'amministrazione che tutto proceda per il meglio e che non si dia solo all'amministrazione il potere di effettuare la verifica e sostenere che tutto va bene. Lo stesso vale anche per le architetture, per l'implementazione o per altro. Questo è un altro elemento che ritengo importante.
Il terzo aspetto, sempre di carattere generale, è che permane nel CAD l'idea che i diversi sistemi informativi di cui è composta l'intera pubblica amministrazione siano silos a sé stanti, con una propria organizzazione interna, una struttura interna e un sistema applicativo interno.
Nella logica nuova di un sistema di amministrazione digitale come quello che noi ci accingiamo a varare, il concetto di silos andrebbe abbattuto. Occorre, invece, considerare interventi o cooperazioni tra più entità, anche, per esempio, nello sviluppo di software. È giusto quanto affermato da chi è intervenuto prima di me.
Sul tema del riuso, sarebbe un passo successivo quello di stimolare non solo il riuso, ma anche lo sviluppo condiviso di parti o moduli di software. Spesso pezzi di software che possono essere dati a più amministrazioni sono duplicati, mentre si potrebbe effettuare uno sviluppo condiviso, cioè bandire gare condivise da più amministrazioni, che definiscono standard e architetture e condividono un modulo software mantenendolo nel tempo, ottenendo economie di costo, di tempo, ma soprattutto di gestione e di manutenzione negli anni. Il grosso del costo del software, infatti, non è lo sviluppo, ma il mantenimento nei 20-30 anni successivi al suo sviluppo. Questo punto non va mai dimenticato, altrimenti si perde la dimensione del problema.
Entrando nello specifico dei singoli articoli, credo che in generale la proposta di modifica del decreto sia una buona proposta. Non ho visto grossi problemi e ne condivido gran parte dell'impianto e della struttura.
Nello specifico mi soffermerò su alcuni articoli che ritengo particolarmente interessanti. All'articolo 7 si chiede agli enti locali di inviare relazioni annuali al Ministero per la pubblica amministrazione e l'innovazione, ma non è chiaro a che cosa servano tali relazioni. Esse rischiano, pertanto, di essere semplicemente un'attività aggiuntiva di carattere burocratico, senza una precisa finalità. Sarebbe necessario, a mio modo di vedere, specificare questo aspetto.
All'articolo 10 si parla di Sportello unico per le attività produttive. È stata abolita la parte che indica di scegliere tra diversi modelli tecnico-organizzativi, ma in un numero limitato. Credo che sia una questione importante, perché più le diverse pubbliche amministrazioni che compiono le stesse operazioni utilizzano lo stesso modello tecnico-organizzativo, più si semplifica la vita alle imprese e ai cittadini nelle diverse funzioni.
Nell'articolo 50, a proposito dei dati segnalerei la necessità che ogni pubblica amministrazione debba fornirli in modo standardizzato. Questo standard deve essere fissato a livello centrale e condiviso con le autonomie locali e con le diverse entità che giocano un ruolo, però devono essere forniti in maniera tale che ogni amministrazione pubblichi i suoi dati aperti.
In questo senso i dati devono essere aperti sia alle pubbliche amministrazioni, sia ai privati, sia anche ai cittadini, costruendo in questo modo un modello di open data, come si sta facendo in diversi Paesi dell'OCSE, per permettere che i cittadini possano accedere ai dati che si trovano nel sistema informativo delle pubbliche amministrazioni, ovviamente rimanendo ferme le garanzie di sicurezza e di privacy che devono essere comunque garantite. Mi riferisco, dunque, solo ai dati che possono avere una logica pubblica.
Questo punto è importante anche in una logica non solo di open data, ma anche di open government, per fare in modo che
il cittadino possa entrare a partecipare, potendo utilizzare i dati e rimanipolandoli.
All'articolo 52, in particolare, si prevede la messa a disposizione dei dati da parte della pubblica amministrazione e la loro valorizzazione da parte dei privati.
Credo che bisogna stare molto attenti, perché i dati della pubblica amministrazione in quanto tali non dovrebbero essere mai trasformati in valore economico e, dunque, rivenduti. Dovrebbe essere, invece, rivenduta la loro elaborazione. Non dovrebbe essere concesso a un soggetto privato di ricavare i dati della pubblica amministrazione e, come tali, di rivenderli. I dati sono pubblici per definizione, a mio modo di vedere. Invece l'elaborazione dei dati, per esempio statistica, può essere un oggetto di valorizzazione da cui anche la pubblica amministrazione può trarre un tornaconto in una data misura.
All'articolo 71 si fa menzione di alcune regole tecniche. Propongo che si aggiunga a questo articolo un comma 1-quater nel quale si disponga che DigitPA o comunque un organismo unico - credo che DigitPA possa svolgere questo ruolo, se opportunamente riformata, perché in questo momento presenta diverse carenze dovute alla recente trasformazione - debba partecipare ai tavoli internazionali di standardizzazione.
Quando parliamo di standard, secondo me, è necessario non solo che tali standard siano all'interno del nostro Paese, ma che siano condivisi a livello internazionale. È un elemento decisivo, a mio avviso. Troppo spesso abbiamo sviluppato standard interni in Italia, mentre esistevano standard internazionali che avremmo potuto tranquillamente adottare e che avrebbero semplificato la vita all'amministrazione che li adottava e, soprattutto, alle aziende private, alle imprese e ai cittadini che volessero farne uso. Si tratta di un altro elemento importante.
MAURIZIO TALAMO, Professore ordinario di informatica presso l'Università degli studi di Roma Tor Vergata. Condivido quanto affermato negli interventi precedenti e, quindi, svolgerò soltanto considerazioni di complemento a essi.
Ritengo opportuno trattare tre punti. Il primo è l'aspetto dell'impianto generale e, quindi, della sua comprensibilità. Condivido il fatto che manca un impianto definitorio coerente e che è difficile comprendere gli argomenti, anche perché spesso i termini sono ambigui. Per esempio, il concetto di identità informatica è trattato, a seconda dei casi, in modi diversi e anche con un'interpretazione di tipo differente.
Nel prosieguo della mia relazione farò un esempio molto importante, perché, a mio avviso, se fosse ben definita la tecnologia, ciò potrebbe avere un impatto sulla vita dei cittadini. Sarà un argomento strategico del mio intervento.
Un secondo aspetto che assume un valore maggiore riguarda il metodo. Normalmente, quando si va a dematerializzare un sistema organizzativo, di fatto lo si traduce in un sistema di tipo virtuale, che però segue logiche che trasformano alcuni soggetti o processi in altrettanti processi o soggetti virtuali. Questo punto non è chiaro in questo sistema e, come già detto, porto un esempio, che ritengo importante perché potrebbe avere un impatto.
Nella posta elettronica certificata noi immaginiamo che esista un modo di trasmettere un'informazione a un soggetto - notate che si tratta di un soggetto che obbligatoriamente deve averla, per esempio se è un soggetto giuridico o un'impresa - che la riceve attraverso un meccanismo digitale.
Il dottor Galardi ha giustamente mosso una critica a questo sistema. Vi è, però, un vizio di fondo molto grave. Immaginiamo che cosa capita normalmente nella vita di tutti i giorni: quando un soggetto vuole ricevere la posta, lo fa eleggendo un domicilio dove riceverla.
Se, dunque, il Codice dell'amministrazione digitale deve essere al servizio dei cittadini, come mi sembra di aver capito, la casella di posta rappresenta, di fatto, la virtualizzazione del domicilio presso il quale essi ricevono l'informazione dalle pubbliche amministrazioni. Non è, dunque,
il cittadino ad accedere alla sua casella di posta per prenderne dei dati, ma è l'amministrazione che invia al suo domicilio virtuale un'informazione che il cittadino riceve. Questo punto cambia la logica in modo rilevante.
Porto un esempio pratico. Leggendo il Codice, non è escluso che un cittadino o un'impresa, per la quale il meccanismo è obbligatorio e quindi la faccenda è più seria, possa avere una molteplicità di domicili virtuali, che vengono eletti da soggetti terzi in modo più o meno surrettizio.
A questo punto la certezza del fatto di ricevere un'informazione è collegata a fattori aleatori. Si possono avere più caselle di posta elettronica e, quindi, incontrare difficoltà nel riuscire a leggerle tutte contemporaneamente. Si possono aver ricevute virtualmente le informazioni, come indicato dal server, ma è possibile che esse non abbiano raggiunto la macchina in questione. Il fatto che gli standard di ricevimento non siano aperti e garantiti - un buon esempio riguarda i costi - può far sì che proprio non si riesca a leggere il documento.
Ricordo che in un altro punto si afferma giustamente che il documento informatico assume la forma del documento scritto. Se, però, arriva una stringa di bit e un computer non riesce a leggerla, perché arriva in un formato che esso non è in grado di recepire, ciò può creare un problema al cittadino, che non è in grado poi di comprendere ciò che ha ricevuto.
Tutto questo andrebbe definito. Va benissimo che la posta elettronica sia uno dei meccanismi impiegati. Nel mondo è utilizzata per questi scopi, anche se forse non in modo tanto formalizzato. È chiaro, però, che deve essere data al cittadino la possibilità di decidere qual è il suo domicilio. Dal punto di vista tecnico cambia, perciò, il modo in cui deve essere realizzato il processo.
Deve poi essere definito uno standard aperto nel quale il cittadino possa accedere a costi determinati, magari nulli, a un sistema di fruizione dell'informazione che porti il messaggio nel suo PC e che lo possa leggere senza per questo rischiare di non poterlo fare o di non poter dimostrare che non lo poteva fare.
Utilizzo questo come esempio canonico. Più che un modello logico, si parla dell'individuazione di singole tecnologie che vengono utilizzate. Questa, in particolare, dal momento che definisce un'obbligatorietà di utilizzo, è particolarmente pericolosa.
Ricordo, per esempio, in merito alla questione della firma digitale, che ho vissuto in prima persona, dando le dimissioni molti anni fa dalla Commissione preposta, che una molteplicità di soggetti non si sono parlati per anni. Noi, che eravamo tra i Paesi più avanzati in questo tipo di modello, di fatto non siamo riusciti ad andare avanti in modo efficace, anzi abbiamo avuto problemi a trovare una definizione di standard comuni.
Secondo me, questo è un esempio, che andrebbe sicuramente trattato, sia nello specifico, perché, come ripeto, è il cittadino che deve essere aiutato a semplificare la propria vita, sia perché dimostra che non si è immaginato un modello. Se si fosse riflettuto sul concetto di domicilio e di domiciliazione, forse si sarebbe capito che, se si doveva virtualizzare, lo si doveva fare in una determinata maniera.
Passo al terzo e ultimo punto. Consegnerò poi alla presidenza una breve memoria su alcuni argomenti specifici.
Il problema, trattato anche dal garante per la privacy e probabilmente anche dalle Regioni, è quello della definizione di identità. Rifacendomi anche agli argomenti trattati da chi è intervenuto prima di me, a livello di standard internazionali si comincia a riflettere sul problema della differenziazione tra concetto di identità e quindi della possibilità di individuare un soggetto attraverso un meccanismo di credenziali, correttamente definito nella parte iniziale del documento e poi ripreso in modo diverso nel contesto, e la possibilità di attribuire al cittadino determinate qualifiche o informazioni.
Un cittadino può utilizzare una rete per accedere alle sue informazioni senza che necessariamente si debba conoscere tutto
di lui in modo pubblico, soprattutto se si vuole evitare che si possano incrociare informazioni tra gli aspetti della vita sanitaria e altre notizie che riguardano la sua vita.
Occorre, quindi, definire meglio il profilo di conoscenze che bisogna avere intorno a una persona perché il cittadino possa accedere a informazioni di propria competenza o che servano a discriminarlo. Su questo punto si sta lavorando negli Stati Uniti e in Europa.
Illustro un esempio classico, per far intendere quello che voglio dire. Se un ragazzo deve andare al cinema, non deve dimostrare come si chiama o dove abita, ma solo, se il film è vietato, che ha più di 18 anni. Tutto il resto è inessenziale.
Se si deve accedere alla propria cartella clinica, si deve dimostrare di essere il soggetto che ha fruito di una data prestazione. Non è essenziale e forse nemmeno necessario che rimanga traccia di tutto il resto.
Quello della possibilità di riutilizzare i dati è un tema di notevole pericolosità, perché si comincia a essere consapevoli che a livello internazionale l'utilizzo dei dati dei cittadini ha un valore economico enorme. Immaginate l'investimento miliardario effettuato tra Verizon e Google recentemente soltanto per poter scambiare informazioni tra i propri utenti, molto meno importanti di quelli di cui stiamo parlando oggi.
Il valore economico dell'informazione legata al cittadino è, dunque, importantissimo e, di conseguenza, va determinato in modo preciso l'ambito in cui l'informazione stessa si utilizza. Credo che si vada quasi oltre il discorso della privacy. Stiamo parlando, infatti, di un valore che riguarda la persona in quanto tale.
Esiste, pertanto, un profilo di informazione che determina un procedimento. Il problema dell'informazione presenta un profilo di identità che deve essere minimo, limitato solo a ciò che serve.
Questo aspetto impatterà sugli standard a livello internazionale in modo forte. Di questo tema si sta parlando e lo si sta normando. Esso richiede, ovviamente, la presenza del nostro Paese. L'Italia è stata presente nei tavoli anche con alcuni organismi, ma è stata inefficace. Lo posso affermare in quanto partecipo, come accademico, ai tavoli di standardizzazione internazionale.
Tale efficacia è fondamentale, altrimenti il cambio degli standard determina anche costi economici relativi a ciò che deve essere normalmente da analizzare. Ci sono costi nascosti su queste infrastrutture, legati al fatto che, per esempio, cambiano determinate regolamentazioni internazionali, il che porta alla necessità di investire in questioni che non ci si aspettava.
Non si tratta solo di essere aggiornati in modo generico, quindi, ma di poter effettuare un'analisi più efficace dei costi e dei benefici degli interventi. Il tema va visto in questa forma e seguito con questa enfasi.
PRESIDENTE. Do la parola ai deputati che intendano intervenire per porre quesiti o formulare osservazioni.
MATTEO BRAGANTINI. Ringrazio i nostri ospiti di essere venuti e di aver portato elementi di discussione.
Comincio a porre le mie osservazioni partendo dalla prima parte dell'ultimo intervento. Per alcuni versi capisco la preoccupazione per cui al cittadino arriva una comunicazione con posta certificata che magari non riesce a leggere in quanto il suo sistema è differente, non è potente e non ha un dato protocollo. Penso, però, che tale problema si poteva verificare alcuni anni fa. Se eroghiamo gratuitamente il servizio per far sì che tutti abbiano il programma necessario per leggere i file, possiamo risolvere il problema in modo tranquillo e trasparente.
A mio avviso, sarebbe più importante, per superare questa criticità come altre, stabilire nella norma, per esempio, che tutti i nuovi sistemi informatici di digitalizzazione della pubblica amministrazione debbano essere aperti e implementabili tra di loro. È un grandissimo vantaggio.
Sulle banche dati ho partecipato alcuni mesi fa a una discussione in Commissione
finanze, riguardo all'ipotesi di aprire un nuovo portale con le diverse informazioni, soprattutto in materia di tributi, tra la pubblica amministrazione e altre banche dati. Alcuni esperti hanno affermato che non si può fare, perché, se ci sono più banche dati, è più facile difenderle.
È il contrario, per quanto ne so io: se esiste un unico organismo, un'unica banca dati che comprende tutte le nostre informazioni di cittadini, è più facile difenderla. Se esiste un portale che contiene le informazioni del singolo utente, quest'ultimo può segnalare eventuali elementi che ritiene sbagliati.
Questa considerazione nasce da un'altra discussione sulla banca dati dei cattivi pagatori, una banca dati privata. Si può non sapere di ritrovarsi al suo interno e, quindi, di non poter più ottenere fidi.
A mio avviso, bisogna compiere veramente lo sforzo di lavorare a lungo termine. Possiamo stabilire di volere un'unica banca dati oppure più di una, ma che interagiscano tra di loro, in modo che tutte le informazioni siano su un unico portale e che i cittadini possano vederle tutte, comprese quelle sanitarie. È nel loro interesse.
Analogamente, è importante - e l'ho ribadito più volte con la presentazione di ordini del giorno - che tutti i sistemi, per esempio quelli materiali come la carta d'identità, siano uniti in un'unica tessera. Non possiamo avere la carta d'identità e quella sanitaria. Per assurdo, vi si potrebbero inserire anche i pagamenti, le carte di credito. Per noi cittadini sarebbe comodo. Si può obiettare che, perdendo tale carta, si perderebbe tutto, ma avviene già adesso: se si perde il portafoglio, si perde tutto.
Aggiungo un piccolo particolare - forse esprimo una considerazione sbagliata, ma gli esperti presenti possono correggermi - sul fatto che la nostra carta d'identità elettronica in Italia era già strutturata e pensata sia per effettuare i pagamenti, sia per esprimere molte altre potenzialità. Perché non utilizziamo questi sistemi?
Recito sempre il ruolo del cattivo e osservo che, se esiste un unico sistema, si richiede un'unica gara. Se esistono molti sistemi, invece, occorre bandirne di più. Forse sono giovane e un po' cattivo, ma penso che dovremmo andare incontro alle esigenze dei cittadini. Se avessimo su un solo supporto magnetico tutti i nostri dati o la possibilità di arrivare ai nostri dati, potremmo ipotizzare anche altri utilizzi della carta d'identità.
Per esempio, attualmente molti distributori automatici di sigarette per essere utilizzati prevedono che si strisci la carta di identità o il passaporto. Perché non lo facciamo anche con le slot, le macchinette di gioco, e non solo per vedere se l'utente è maggiorenne. Se nella tessera fosse compreso anche il reddito della persona, potremmo porre anche un limite affinché la persona in questione non possa spendere più del suo reddito annuo, per andare a contrastare il problema del gioco e di chi è malato di gioco. Si tratta di un problema serio su cui, come Stato, dovremmo cominciare a ragionare.
A volte rischiamo poco. Dovremmo cominciare a farlo e questa potrebbe essere un'occasione. Mi piace anche un po' «sognare» per vedere che cosa potremmo fare, perché la tecnologia ci può veramente portare a grandissimi sistemi.
Porto un ultimo elemento. Con la Commissione finanze siamo andati a vedere la banca dati della Motorizzazione civile. È una banca dati aperta, che può contenere moltissime altre informazioni e che potrebbe essere utile per altri scopi. Si sta, infatti, valutando, con una proposta di legge, di utilizzarla contro le frodi delle assicurazioni.
Esistono, quindi, molte potenzialità che stiamo sottovalutando, come Stato, e che ci porterebbero tantissimi risparmi.
ROBERTO ZACCARIA. Ascoltavo il collega Bragantini, che ci riferiva di dati e di sogni. A me piacerebbe sognare un po' meno, ma poter usufruire realmente delle possibilità che mi riferiscono esistere.
Recentemente volevo pagare una contravvenzione della Regione Lombardia e non sono riuscito a trovare nella città di Roma un luogo dove poter pagare la multa in questione. Mi sono recato in tutti i
quattordici luoghi dove mi si segnalava che avrei potuto pagare la contravvenzione e ho dovuto, alla fine, trovare una persona a Milano che andasse in un ufficio dell'ACI e mi consentisse di farlo. Tra il sogno e la realtà, quindi, il battesimo è a volte drammatico.
Non voglio parlare di queste vicende, però, perché voglio cercare di capire almeno se possiamo compiere passi avanti usando come strumento questo decreto legislativo. Svolgo, pertanto, tre osservazioni, che sono richieste di piccoli chiarimenti, essendo già chiare le considerazioni che avete sviluppato.
Comincio con il fatto di poter avere un impianto definitorio coerente e chiaro. In alcune leggi esso esiste e in altre no. Sembra che si proceda a targhe alterne. In un decreto legislativo abbiamo recepito una direttiva comunitaria in materia di televisione con l'impianto definitorio - mi riferisco al decreto legislativo n. 44 del 2010 - mentre in questo schema, dove le definizioni sono essenziali, tale impianto manca. Credo veramente che come Commissione dovremmo chiederlo. Non l'avete affermato tutti, ma penso che siate tutti concordi.
Signor presidente, forse nel parere che daremo dovremmo pretenderlo. Naturalmente alcune questioni vi sono più chiaramente definite. La funzione della norma è questa. Se si elabora un codice o lo si modifica, questo elemento diventa essenziale.
Il secondo punto riguarda l'onnicomprensività. La questione non concerne solo questa materia. Con i processi in corso - i colleghi lo sanno e non lo sanno - vi è una quantità smisurata di norme che vengono abrogate e nessuno ne ha la consapevolezza piena. In un'altra audizione è stata avanzata la proposta di elaborare testi unici, o meglio codici, onnicomprensivi, perché sarebbe un beneficio abrogare e tenere tutte le norme in alcuni testi.
A me pare, invece, che questa onnicomprensività non vi sia. Il professor Carloni ha fatto capire che, in realtà, questo disegno non è ancora realizzato. Vorrei avere la conferma di questo dato, perché altrimenti diciamo una cosa e ne facciamo un'altra.
Un terzo tipo di rilievo riguarda l'efficacia di queste norme. Presidente, noi abbiamo molte deleghe e ancora più disposizioni di deleghe; abbiamo una dozzina di leggi di delega e quasi 300 disposizioni di delega aperte. Vorrei sottolineare a questa Commissione ciò che sta accadendo, cogliendo lo spunto dalle osservazioni dei nostri ospiti.
Sul federalismo fiscale, per esempio, la situazione è molto chiara: ci sono molte deleghe, ma nei decreti legislativi la prassi è di rinviare poi ad altri strumenti. A proposito del decreto su Roma capitale, esaminato recentemente in quest'aula, come ricordate, si è detto che nella delega non si realizza ciò che il legislatore immaginava, che viene invece rinviato a provvedimenti successivi. La normativa assomiglia ai cannocchiali, che si allungano. Ci sono numerosi stadi.
In questo schema l'articolo 49, comma 17 - mi pare che rappresenti le osservazioni che avete svolto - prevede che alcune disposizioni di questo Codice acquistino efficacia a decorrere dalla data di alcuni decreti ministeriali o del Presidente del Consiglio successivi.
Il servizio studi, nella sua nota, afferma che «la previsione in questione è piuttosto discutibile, perché l'efficacia di disposizioni di natura primaria - come quelle che stiamo esaminando - risulta subordinata alla condizione dell'emanazione di disposizioni di fonte secondaria.» Si intendono Regolamenti, decreti e altri strumenti.
Vi è, dunque, un'onnicomprensività orizzontale, che è essenziale, ma ne esiste anche una verticale. Se si dispone con alcuni provvedimenti e poi l'efficacia va «a babbo morto», come si dice in alcuni luoghi, abbiamo compiuto un'operazione propagandistica, efficace sulla carta ma non nei fatti.
In conclusione, illustro il mio piccolo sogno. A me piacerebbe che ci fosse, e forse mi potete riferire voi se esiste già, un misuratore degli stati di avanzamento degli
strepitosi strumenti di cui stiamo parlando, ossia della firma digitale e della carta d'identità elettronica, che mi pare finita a sua volta nel mondo dei sogni.
Dovrebbe essere possibile sapere - al Parlamento interessa questo aspetto - che tutti questi istituti promessi e non realizzati abbiano una scansione, per cui noi possiamo, come controllo parlamentare, verificare quando un istituto diventa effettivo e se la non effettività comporti responsabilità politiche. Tutti sanno elaborare il disegno, ma non tutti sanno poi attuare la pratica.
RAFFAELE VOLPI. Vorrei innanzitutto scusarmi con i nostri ospiti, perché mi sono dovuto allontanare per alcuni minuti. Non vorrei che il mio gesto fosse giudicato come una scortesia.
Ho colto due passaggi nelle considerazioni dell'onorevole Zaccaria e del collega Bragantini. Credo che indubbiamente vi siano alcuni aspetti da approfondire su quanto riferito, ma è anche vero che una parte di pratica attuativa sta anche nelle riflessioni svolte all'inizio dal professor Carloni e poi, in parte, dal dottor Madotto.
Ci sono pratiche evidentemente in fase attuativa, ma anche illustrate nel documento conclusivo che abbiamo elaborato al termine dell'indagine conoscitiva sull'informatizzazione della pubblica amministrazione. Penso che ci sia un passaggio fra la teoria di quello che può essere un protocollo di utilizzo, anche se complesso e spesso non chiaro addirittura nelle sue definizioni, che talvolta sono quasi di compromesso e scritte in maniera più complessa del necessario per non raggiungere lo scopo, e una pratica attuativa vera, quella del pragmatismo dell'operatore, legata a tutti i gap ancora esistenti fra il dialogo, i sistemi e la loro sovrapposizione e la non possibilità e non capacità di tutte le amministrazioni di essere prontamente adeguate a utilizzare i sistemi.
Il gap maggiore segnalato, a prescindere dalle grandi infrastrutturazioni e dalle forme organizzative, è che spesso ci sono amministrazioni che non hanno ancora una fase sufficientemente avanzata nella preparazione stessa degli operatori per poter essere operative.
Nel documento conclusivo citato abbiamo, come Commissione, mosso un richiamo importante, quello verso un monitoraggio continuo. Non c'è dubbio che l'onorevole Zaccaria abbia centrato un tema, che esiste già, però, nella programmazione del Governo, dichiarata ma non formalizzata, tesa a prevedere la presentazione di relazioni al Parlamento.
Sicuramente occorrerà effettuare un monitoraggio, ma occorre anche un elemento che mi sono permesso di menzionare già in altre occasioni nel corso dell'indagine conoscitiva sull'informatizzazione delle pubbliche amministrazioni. Abbiamo bisogno di due passaggi essenziali.
Innanzitutto occorre che ci sia una forma di coesione da parte di chi mette a disposizione il supporto tecnologico. Si è parlato dei sistemi e della loro cessione da un'amministrazione all'altra. È anche vero, però, che specialmente le piccole amministrazioni sono non clienti, ma elementi da «sciacallare», se mi posso permettere, da tutti coloro che passano per strada, il che non va bene.
L'operato, in questo caso, di DigitPA, che dovrà svolgere il lavoro continuativo che forse il CNIPA non ha completato sulla forma di unificazione dei protocolli, deve essere recepito anche in una forma di produzione di software - parliamo di grandi aziende - che non può essere concorrenziale. La concorrenza di mercato in questo settore deve essere svolta su una forma di qualità, ma non può più degenerare in una differenziazione per accreditarsi come il miglior prodotto da vendere al cliente.
Questa forse non è un'attività che può essere normata attraverso l'azione legislativa del Parlamento; credo, invece, che ci sia bisogno di un rapporto maggiore fra ricerca, aziende e chi rappresenta la pubblica amministrazione.
Sul fatto che vi siano prolungamenti sicuramente in parte ha ragione il collega Zaccaria, ma credo anche che un prolungamento rispetto ad alcune forme di legislazione
delegata sia in parte necessario, perché anche le forme organizzative si stanno strutturando in modo diverso, passando attraverso alcune riforme importanti.
Ho ascoltato dagli intervenuti che ci sono modelli organizzativi che funzionano e altri che non funzionano. Signor presidente, penso che questa Commissione stia compiendo un grande lavoro in questo senso, ascoltando molto, ma essendo anche critica in tutte le indagini conoscitive che sta conducendo, non da ultima quella sulle authority. Stiamo svolgendo un'indagine per capire non solo l'utilità di queste authority, ma fondamentalmente anche in che direzione si possa lavorare.
PIERLUIGI MANTINI. Pongo solo una domanda, esimendomi dalle mie riflessioni sulle considerazioni molto interessanti che ho ascoltato.
Che rapporto c'è, secondo gli esperti auditi, tra l'opera di standardizzazione - lasciamo stare la fornitura - e di omogeneizzazione dei sistemi digitali e i princìpi classici che pur risiedono nello sfondo dell'azione amministrativa? Mi riferisco alla legge n. 241 con successive modifiche e integrazioni, alle responsabilità, ai termini, ai tempi e via elencando.
PRESIDENTE. Do la parola agli auditi per una breve replica.
ENRICO CARLONI, Professore associato di diritto amministrativo presso l'Università degli studi di Perugia. Riguardo alla creazione di un'unica banca dati e di un sistema universale di accesso, credo - usciamo, però, dal ragionamento sul Codice per affrontarne uno di fondo - che dobbiamo entrare nella logica di una maggiore incertezza, senza cercare certezze assolute, accettando quindi soluzioni di compromesso per cui non pretendere la firma che vale sempre per qualsiasi scopo, ma soluzioni intermedie per ciò che serve al momento. Diversamente non andiamo, secondo me, da nessuna parte.
Con la ricerca della perfezione non procediamo. Considerato che una smart card che avesse tutte queste potenzialità dovrebbe essere perfetta, altrimenti riuscire a penetrarvi significherebbe accedere a qualunque informazione che ci riguarda, siamo in una fase in cui dobbiamo ancora mantenere una soluzione di ripiego, che consenta perlomeno di evitare questi rischi.
Rispetto alle osservazioni dell'onorevole Zaccaria, le definizioni nel testo ci sono, però, come è emerso chiaramente dal dibattito, sono spesso poco chiare. Si pone il problema di esplicitare quanto si vuole intendere.
In merito all'onnicomprensività, sicuramente in tutte le principali riforme, come nei testi normativi molto estesi, nelle manovre d'estate o in altre disposizioni ci sono anche norme che riguardano la digitalizzazione in senso ampio.
Basti prendere, a titolo esemplificativo, un documento del Ministro Brunetta, le linee guida per i siti web delle pubbliche amministrazioni, in cui figura una tabella con tutti i contenuti che vanno online come obbligatori. Si tratta di una tabella di tre o quattro pagine con riferimenti dalla legge 4 marzo 2009, n. 15, dal decreto legislativo 27 ottobre 2009, n. 150, e da diverse norme delle differenti leggi finanziarie. Sono tutti contenuti che andavano compresi tra quelli obbligatori all'articolo 54 del Codice dell'amministrazione digitale. Si potrebbero portare poi anche altri esempi.
L'ultima questione che mi interessa più da vicino, senza entrare in altri temi tecnici, che immagino verranno trattati meglio dai colleghi, riguarda il rapporto tra il nuovo modello di azione e quello classico.
L'idea di amministrazione digitale, presa sul serio, comporta un cambiamento di paradigma nel rapportarsi dell'amministrazione coi cittadini, ma ancora più, secondo me, nell'azione stessa dell'amministrazione.
Pensate a come cambia l'istruttoria in un sistema di banche dati che comunicano. Pensate, per esempio, a come è cambiata l'istruttoria dell'accertamento tributario grazie all'anagrafe tributaria e a
quanto cambia ogni volta che aggiungiamo banche dati che permettono di perseguire meglio, in questo caso, l'evasione.
Si tratta di un procedere più veloce, sicuro ed efficace, ma che comporta alcuni rischi. Se l'accertatore tributario deve effettuare la notifica ed è in scadenza, dove prende la residenza e il domicilio fiscale? In questo caso dall'anagrafe tributaria, ma, se vuole verificare i dati, si collega al Comune e quest'ultimo gli fornisce un dato diverso, qual è il dato che prevale?
In altre parole, quando i sistemi comunicano, non necessariamente favoriscono un miglioramento di qualità, perché, se non esiste un criterio di selezione, si potrebbe scegliere il dato sbagliato, avendo in casa quello giusto. In questo caso, il criterio giusto è quello aggiornato più di recente, quello aggiornato con una procedura di verifica più sofisticata o un altro? Dobbiamo porci alcuni metacriteri, altrimenti il sistema si integra e si confonde, cioè non comporta necessariamente un miglioramento.
PAOLINO MADOTTO, Coordinatore di «La rete dell'innovazione». Colgo lo spunto delle domande e della considerazioni svolte per mettere in evidenza una questione che a me preme molto e che credo manchi fondamentalmente in tutto l'impianto delle pubbliche amministrazioni, ossia come si gestisce l'informatica.
Innanzitutto, il modo di organizzare l'informatica in Italia rispecchia un po', con una metafora, una situazione per cui dobbiamo guidare un biplano e ci serviamo di strumenti e operazioni diverse, come se guidassimo un jet. Oggi abbiamo un impianto e un modo di gestire l'informatica strutturato come se fossimo su un biplano, però siamo su un jet. Incontriamo, pertanto, continuamente problemi, perché applichiamo una diversità di strumenti.
Parlo dell'Italia, ma in gran parte degli altri Paesi sono state adottate metodologie che hanno negli anni progressivamente cambiato il modo di gestire e di mandare avanti le macchine, la struttura informatica delle diverse organizzazioni. Si tratta di strumenti adottati dalle pubbliche amministrazioni, ma ormai anche dai privati.
Porto alcuni esempi, per maggiore chiarezza. Tra le più importanti innovazioni degli ultimi quasi quindici anni vi è una metodologia chiamata ITIL, Information Technology, Infrastructure Library. Deriva da un'operazione di studio condotta dal Governo inglese nel periodo dell'amministrazione Thatcher, per effettuare l'outsourcing dei sistemi informativi, si è cominciato a estrapolare alcune best practice che potessero essere applicate correttamente e fare in modo che, senza imporre una prescrizione stringente sul modo in cui si organizzavano i sistemi informativi, potessero comunque portare a sistemi informativi similari.
Questa metodologia, che nel tempo ovviamente è evoluta e che viene mantenuta attraverso una pratica di condivisione e di contribuzione a livello internazionale, è oggi quella più adottata a livello internazionale, sia dalle pubbliche amministrazioni più importanti dei Paesi anglosassoni e ma non solo, sia dalla maggior parte delle aziende internazionali.
Si tratta di uno standard internazionale, che ha dato vita a una certificazione ISO 20000. Alcune grandi imprese - cito alcuni nomi per esemplificare - come le Poste italiane stanno procedendo o hanno già proceduto a una fase di certificazione ISO 20000. Tutte le Poste italiane, ovunque si trovino, funzionano, quindi, secondo regole similari.
Lo stesso criterio potrebbe essere applicato dalla pubblica amministrazione. Adottiamo l'ITIL; è inutile andarsi a inventare modelli diversi, che lasciano ognuno un dato grado di libertà. In tal modo esistono regole e, se andiamo a vedere che cosa fa una determinata amministrazione, sappiamo come dovrebbe operare e come in realtà opera.
Rispondendo a una domanda dell'onorevole Zaccaria sul modo per verificare i tempi dei progetti che sono in piedi e, dunque, come sta procedendo quest'informatizzazione, che ormai va avanti da vent'anni e che, in alcuni casi, non arriva mai a compimento, a livello internazionale
esiste una qualifica, quella dell'audit dei sistemi informativi, la quale utilizza un framework, una metodologia, sviluppata a livello internazionale e continuamente aggiornata, chiamata COBIT.
In tutte le grandi imprese, come banche o multinazionali, tale metodologia viene utilizzata per svolgere verifiche ispettive su come funzionano i sistemi informativi, ponendo domande o attuando verifiche concrete su come procedono i progetti - tutti hanno il medesimo problema - per pervenire a un report che sia terzo rispetto a chi sviluppa il progetto informatico, nonché al committente.
Addirittura esistono alcune certificazioni che si possono prendere a livello internazionale, passando un esame, in particolare la Certified Information Systems Auditor, una qualifica con cui ci si assume poi la responsabilità per elaborare report in base a criteri condivisi.
A parte il fatto che si possono adottare queste tecnologie, perché vanno bene e non si vede perché non dovrebbero andar bene anche per noi, in realtà manca nella pubblica amministrazione italiana una struttura che abbia - forse inizialmente poteva averla l'AIPA, ma poi non l'ha mai avuta, a mio modo di vedere o per quanto è a mia conoscenza - la capacità di recarsi in qualsiasi amministrazione e chiedere verifiche per accertare il funzionamento dei processi.
Quello che normalmente faceva l'AIPA, che poi ha fatto il CNIPA e che oggi dovrebbe fare anche DigitPA, anche se le sue funzioni sono in parte diverse, è di chiedere all'amministrazione una relazione per capire come essa operi. Tale organismo non è in grado, però, di verificare se il piano di sicurezza sia stato implementato e come, se il tale progetto sia stato eseguito o no e se il modo di gestirlo sia efficace o meno, perché non ha la capacità ispettiva per farlo.
In realtà, non credo che sia DigitPA a doversene occupare, anzi non dovrebbe essere DigitPA a occuparsene, ma creare una logica di questo tipo è fondamentale, perché è importante che nell'esecuzione dell'informatica esista una struttura, una capacità, una persona, un'entità esterna, non coinvolta con il progetto, che possa verificare come esso funziona.
Vi sono due ragioni principali. La prima è che chi è coinvolto nel progetto tende a difenderlo e, dunque, non è imparziale; la seconda è che spesso questi progetti fanno parte di gare e sono affidati a soggetti privati, che non necessariamente hanno l'interesse a terminarli, perché più essi continuano, più vi sono estensioni di gare.
Credo che disporre di un occhio esterno che entri con regole precise, veda ciò che avviene e crei un report terzo, che si possa verificare in tutte le sedi opportune, sia uno degli elementi fondamentali, accanto a un altro aspetto determinante: la pubblica amministrazione non investe sufficientemente in formazione e in qualificazione del proprio personale, soprattutto sulle nuove tecnologie, che sono continuamente in evoluzione, non solo dal punto di vista della tecnologia, ma anche del modo in cui si gestisce e si governa la tecnologia stessa.
Compiere, dunque, investimenti di qualificazione del personale e introdurne di nuovo che riesca a svecchiare il modo di gestire i processi è un'iniziativa, a mio avviso, strategica, se vogliamo procedere nell'informatizzazione.
MAURIZIO TALAMO, Professore ordinario di informatica presso l'Università degli studi di Roma Tor Vergata. Volevo rispondere brevemente all'onorevole Bragantini.
Condivido la sua prima affermazione, perché riflette ciò che osservavo personalmente: ci diamo l'obiettivo di favorire il cittadino e ovviamente esso diventa un requisito. Non è una questione tecnica: se il cittadino è il nostro riferimento, dobbiamo aiutarlo. La soluzione può essere basata su sistemi aperti, software outsource e interoperabilità; sicuramente è una strada, ma deve essere un vincolo che non può essere lasciato alla regolamentazione tecnica.
L'esperienza della firma digitale ci insegna che questo è stato un errore drammatico.
Eravamo veramente allo stato dell'arte internazionale: mentre i tedeschi stavano scrivendo il primo codice per la firma digitale, noi eravamo già alla fase di sperimentazione iniziale. Siamo rimasti, però, più o meno a quel punto, perché la mancanza di interoperabilità ha creato una confusione nel tempo che non ha permesso l'espansione di quel progetto, se non recentemente e in maniera - guardandola dall'esterno - piuttosto complicata, compartimentata e, quindi, difficile da esportare, poco interoperabile con altri soggetti.
Il secondo punto, a proposito delle best practice e dell'approccio da utilizzare, è che il concetto di interoperabilità può essere esportato anche in altri contesti. Il problema che a Roma non si riesca a compiere un'operazione che si può, invece, compiere a Milano è dovuto al fatto che il principio di interoperabilità non è stato richiesto, ragion per cui gli uffici sono segmentati.
Alcuni anni fa nelle agenzie del territorio, ogni UTE aveva una scala a sé stante. Poi è stato creato il sistema di interscambio e oggi si può accedere a tutti gli UTE attraverso un sistema che funziona e compie più transazioni su rete. È un sistema di matrice internazionale. È un aspetto che pochi conoscono, per questo lo porto a conoscenza della Commissione.
Sono stati distribuiti 2 milioni di carte di identità elettroniche ai cittadini. Ogni giorno 200 comuni producono una carta e i cittadini se la prendono. Quasi ci si annoia a parlarne, perché funziona e funzionerà, almeno finché il Poligrafico stamperà carte, che però ogni tanto si rompono.
A parte questi aspetti, il circuito è efficace ed è riconosciuto a livello internazionale, tanto che il Governo tedesco l'ha assunto come riferimento nel suo Libro bianco, in cui verrà descritto. Si tratta, dunque, di una best practice. Il sistema pubblico di connettività, per alcuni aspetti, è una best practice. A suo modo funziona.
Nel CAD il discorso delle best practice non si vede molto e, in tal senso, svolgo una considerazione: siamo un Paese - i tecnici non lo sanno, io sono informatico, ma ho avuto esperienze di e-government - di diritto latino e non di Common law. Stiamo attenti: quanto afferma il dottor Madotto è corretto, ma in Inghilterra, quando si mette in funzione una buona pratica, bottom-up, induttivamente essa viene recepita e lentamente si espande.
Noi, invece, emaniamo una legge dall'alto e la imponiamo. La gente non comprende che cosa deve fare e in genere non lo fa. Mi preoccupo per la piccola azienda, che si trova 47 referenti: una situazione pericolosa, nonché costosa. Poiché esiste un vincolo, ne ho parlato esplicitamente.
Quando parlavo di mancanza di un modello, non era tanto una questione informatica, ma il problema è che si crea un paradosso: esiste un corpo normativo di tipo amministrativo che, in realtà, è, di fatto, il sistema di requisiti che vanno virtualizzati. Questo aspetto non è chiaro e paradossalmente viene ribaltato nelle regole tecniche; è come se lo si saltasse.
È un problema che non mi preoccupa in generale, ma sull'efficacia, perché alla fine questi sistemi non funzionano. Nel momento in cui il fornitore non ha un vincolo di interoperabilità, creerà, infatti, una scatola chiusa. È giusto, perché ne trae un vantaggio economico.
Il fatto che alcune procedure di standardizzazione e di regolamentazione di alcuni processi non siano ben definite comporta che esse possano essere utilizzate soltanto in un determinato settore e non in un altro. Non sono, quindi, riusabili e, quando qualcuno propone di riusarle, non si sa come fare e si crea imbarazzo fra le parti.
Tornando al discorso precedente, vanno definiti bene gli standard, un compito che spetta al legislatore. L'interoperabilità, con gli standard aperti, non è un argomento tecnico, ma un vincolo, come il fatto che il cittadino non debba sostenere costi o che riceva la posta sulla sua
macchina e sia in grado di leggerla lì e non sul server, dove è troppo facile farlo.
Non si tratta, dunque, di un vincolo tecnico, ma di una scelta di privilegiare il cittadino rispetto a un soggetto, se si vuole. Deciderà il Parlamento, ovviamente, però è un punto chiaro.
Tornando al discorso della smart card, non se ne può creare una onnicomprensiva, perché è troppo complicato e si pone un problema di allineamento di banche dati. Non è questione del pezzo di plastica, ma di tutte le banche dati che si mantengono allineate, con i problemi di definire la priorità e la qualità dei dati.
Si tratta di un processo complesso, però abbiamo la carta d'identità elettronica, quindi realizziamola: sono stati spesi soldi, tutto sommato funziona e il mondo pensa che l'abbiamo.
Credo che nel CAD dovrebbero essere comprese le best practice, in modo che vengano tenute presenti, pubblicate e pubblicizzate, senza arrivare ai livelli di un Paese anglosassone, ma quanto meno tenendone conto.
GIANCARLO GALARDI, Dirigente della regione Toscana. Svolgo solo una battuta per sottolineare che in questo testo la parola «interoperabilità» è sparita. Stiamo, quindi, non solo perdendo un'occasione di inserirla, ma, in realtà, nel testo vecchio alcuni passaggi in merito sussistevano.
La questione importante non è tanto l'interoperabilità a livello tecnico, cioè che le spine si infilino, per essere chiari, ma che cosa ci faccia transitare sopra quelle spine, che oggi ormai si devono comunque infilare.
Non viene istituito alcun organismo preposto a definire il momento in cui avviene l'evento nascita nella banca dati, che cosa si genera e a chi si debbano trasmettere determinate informazioni, se si devono trasmettere. Non è definito, cioè, chi guarda la qualità dell'organizzazione di una pubblica amministrazione che lavora facendo sistema.
Scriviamo queste considerazioni da anni, però oggi è possibile realizzarle. Se, però, non si indica chi sovrintende alla colla, ossia ai legami che devono tenere insieme organizzazioni diverse, le organizzazioni non si aggregheranno magicamente solo perché si trovano sullo stesso filo.
Questo punto è importante. Nel Codice manca la visione di cominciare a interconnettere le organizzazioni rispetto ai contenuti che si devono scambiare. È una carenza che noi oggi, nel 2010, possiamo evidenziare in questo Codice. Se esso fosse stato scritto dieci anni fa, potremmo soprassedere, ma sono passati dieci anni da quando abbiamo introdotto per la prima volta il concetto di interoperabilità.
La funzione base del sistema pubblico di connettività non è stata quella di connettere i computer alla rete Internet. A quello ha pensato il mercato, perché Internet ha vinto su tutte le precedenti soluzioni settoriali. Dobbiamo, invece, far vincere una logica di una pubblica amministrazione che si scambia dati ponendo veramente al centro il cittadino.
Alla domanda se il CAD riformato dallo schema di decreto in esame corrisponda agli obiettivi della legge n. 241 dal punto di vista tecnico rispondo negativamente, perché non contiene dentro di sé gli organismi di governance, gli stimoli e le valenze che consentano finalmente di applicare tale legge nella sua pienezza.
Non si parla, peraltro, di diritti dei cittadini. L'aspetto che mi turba è che in una norma che introduce la pubblica amministrazione, e quindi il pubblico, nell'era digitale non si parli di diritti dell'era digitale. Il professor Carloni prima si chiedeva perché non si sia inserito il concetto di domicilio digitale, a differenza di quanto hanno fatto alcune norme regionali, come quelle della regione Toscana, da cui provengo.
Tale considerazione fa nascere anche un altro problema: che cosa succede alle realtà locali che sono più avanti rispetto ai confini determinati da questo Codice? Tornano indietro. Invece di favorire l'aggregazione, si favorisce, dunque, la disaggregazione, perché, se non si investe nella
riduzione dell'entropia di un sistema, si sa benissimo che si tende ognuno a lavorare per conto suo.
Dovrebbero essere, quindi, previsti vincoli, incentivi e determinazione di diritti che consentano di fare della pubblica amministrazione un corpo coeso organizzativamente rispetto ai cittadini e alle imprese. Diversamente, il cittadino sarà sempre messo in mezzo, perché dovrà correre di qua e di là, pur se in via telematica.
PRESIDENTE. Ringraziamo tutti gli ospiti. Saremo loro grati se ci vorranno fornire una documentazione di quanto ci hanno rappresentato.
Dichiaro conclusa l'audizione.
La seduta termina alle 14,10.