Il Sistema Pubblico di connettività : i consuntivi del ... - Archivio CNIPA

16
Il Sistema Pubblico
di connettività: i consuntivi del
primo periodo di attività

Redazione a cura dell’Area infrastrutture nazionali condivise. Cnipa
Supplemento al n. 1/2008 del periodico Innovazione,
registrato al Tribunale di Roma n. 523/2003
Direttore Responsabile Franco Tallarita
CNIPA – Centro nazionale per l’informatica nella pubblica amministrazione
Via Isonzo, 21/b - 00198 Roma
Tel. 06.85264.1 - www.cnipa.gov.it
Stampa Stilgrafica Srl
Via I. Pettinengo, 31/33 - 00159 Roma
Tel. 0643588200 - Fax 064385693

Il Sistema Pubblico di connettività:
i consuntivi del primo periodo di attività

Sommario
IL SISTEMA PUBBLICO DI CONNETTIVITÀ:
I CONSUNTIVI DEL PRIMO PERIODO DI ATTIVITÀ 5
Introduzione 5
Le reti di telecomunicazioni 10
I servizi di telecomunicazioni 32
La qualità dei servizi di connettività 36
La sicurezza nel SPC 39
I servizi d’Interoperabilità Evoluta
e di Cooperazione Applicativa 43
Il Centro di Cooperazione applicativa (SICA) 66
Il progetto ICAR 88
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 3

Il Sistema Pubblico di connettività:
i consuntivi del primo periodo di attività
Introduzione
I cittadini e le imprese richiedono alla Pubblica Amministrazione di presentarsi
come un interlocutore unico in grado di fornire una risposta utile e completa
alle sue esigenze senza dover tener conto delle diverse competenze dello
Stato centrale, delle Regioni e degli Enti Locali. Il Codice dell’Amministrazione
Digitale (CAD) ha garantito il loro “diritto a richiedere ed ottenere l’uso delle
tecnologie telematiche nelle comunicazioni con le Pubbliche Amministrazioni”.
Per rispondere a queste esigenze e raggiungere gli obiettivi, semplici da
enunciare, occorre incidere profondamente nel complessivo sistema di Information
and Communication Technology della Pubblica Amministrazione.
E’ necessario costruire un’unica rete logica che colleghi le sedi operative e progettare
transazioni informatiche che consentano ai cittadini ed imprese di operare
con un unico “sportello” indipendentemente dal numero di Amministrazioni
coinvolte. A tal fine, le reti delle Amministrazioni debbono essere compatibili
ed interconnesse, i sistemi informatici delle Amministrazioni devono utilizzare
architetture e piattaforme tecnologiche che consentano alle applicazioni
di cooperare tra di loro e debbono condividere l’uso di archivi e software applicativi.
Il tutto deve avvenire mantenendo ferme le competenze, le autonomie e
le responsabilità delle Amministrazioni e garantendo la sicurezza dei sistemi.
Questi compiti sono stati affidati dal CAD al Sistema Pubblico di Connettività
(SPC), definito, dal Decreto Legislativo come: “l’insieme di strutture organizzative,
infrastrutture tecnologiche e regole tecniche, per lo sviluppo, la
condivisione, l’integrazione e la circolarità del patrimonio informativo della
Pubblica Amministrazione, necessarie per assicurare l’interoperabilità e la
cooperazione applicativa dei sistemi informatici e dei flussi informativi“.
Una tale trasformazione dal punto di vista dei sistemi ICT, può, se opportunamente
governata, costituire un’opportunità per realizzare efficienti forme
di federalismo e di riorganizzazione dei processi, di sensibile miglioramento
dei servizi e di crescita del mercato.
Il disegno del SPC è avvenuto nell’ambito di una visione federale condivisa
e il governo del sistema è affidato dal CAD alla Commissione di Coordinamento
del SPC. Quest’ultima, presieduta dal Presidente del CNIPA, è composta
da 16 rappresentanti delle Amministrazioni centrali e territoriali, otto
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 5

nominati con Decreto del Presidente del Consiglio e otto indicati dalla
Conferenza Unificata, ed è assistita per i compiti istruttori dalle strutture del
CNIPA. La Commissione di Coordinamento è preposta agli indirizzi strategici
del SPC ed ha i compiti di:
• assicurare il raccordo tra le Amministrazioni pubbliche, nel rispetto
delle funzioni e dei compiti spettanti a ciascuna di esse;
• approvare le linee guida, le modalità operative e di funzionamento
dei servizi e delle procedure per realizzare la cooperazione applicativa
fra i servizi erogati dalle Amministrazioni;
• promuovere l’evoluzione del modello organizzativo e dell’architettura
tecnologica del SPC in funzione del mutamento delle esigenze
delle Pubbliche Amministrazioni e delle opportunità derivanti dalla
evoluzione delle tecnologie;
• promuovere la cooperazione applicativa fra le Pubbliche Amministrazioni,
nel rispetto delle regole tecniche;
• definire i criteri e verificarne l’applicazione in merito alla iscrizione,
sospensione e cancellazione dagli elenchi dei fornitori qualificati
SPC;
• disporre la sospensione e cancellazione dagli elenchi dei fornitori
qualificati;
• verificare la qualità e la sicurezza dei servizi erogati dai fornitori
qualificati del SPC;
• promuovere il recepimento degli standard necessari a garantire la
connettività, l’interoperabilità di base e avanzata, la cooperazione
applicativa e la sicurezza del Sistema.
Con la supervisione della Commissione, il Sistema Pubblico di Connettività
è diventato un importante asset tecnologico della Pubblica Amministrazione
a vantaggio del paese e delle imprese che possono supportare un momento
di innovazione e di discontinuità che è all’attenzione dell’ICT europeo
ed internazionale per le novità giuridiche, per gli standard adottati, per
la capacità realizzativa sinora dimostrata e per la condivisione di tutta la
Pubblica Amministrazione.
LE COMPONENTI DEL SPC: LA VISIONE D’INSIEME
Un’infrastruttura di connettività, i servizi di interoperabilità e di coopera-
6

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
zione applicativa, le applicazioni cooperanti costituiscono i tre strati dell’architettura
tecnica del SPC.
L’infrastruttura di connettività fornisce servizi di trasporto dati in IP-MPLS e
si basa sulla interconnessione di reti di più operatori qualificati che garantiscono
requisiti di disponibilità, prestazioni e sicurezza “end-to-end” secondo
livelli predefiniti contrattualmente. E’ presente una componente internazionale
(RIPA) ed una componente nazionale di cui fanno panno parte sia
il SPC multifornitore, sia le reti regionali. Tutte le reti sono interconnesse attraverso
una struttura dedicata di interscambio (QXN) e costituiscono un’unica
rete logica. Lo strato di connettività è completato da un Centro di Gestione
(CG-SPC) indipendente dagli operatori, che provvede alle verifiche
relative alle prestazioni e coordina la sicurezza di rete.
Il sistema SPC promuove inoltre l’impiego nella Pubblica Amministrazione
della tecnologia VoIP che può essere supportata dallo strato di connettività.
Lo strato di interoperabilità comprende quelle componenti e quelle attività di
Information Technology che oggi le Amministrazioni Pubbliche possono condividere
migliorando la propria efficienza (Shared Services). L’interoperabilità
è una realtà consolidata per le Amministrazioni centrali che sin dal 1999 hanno
condiviso, laddove possibile, servizi ed infrastrutture informatiche.
In tale contesto si inseriscono i servizi di:
• Progettazione e gestione di siti web
• Gestione delle postazioni di lavoro ICT
• Wan e Lan Management
• System management
• Servizi di posta elettronica
• Servizi di posta elettronica certificata
• Servizi di video comunicazione collaborativa
• Servizi di firewall XML
• Servizi di Identificazione, Autenticazione ed Autorizzazione
La strada di cooperazione applicativa consente lo sviluppo ed il funzionamento
di applicazioni cooperanti tra diverse Amministrazioni. L’architettura
dei servizi di cooperazione applicativa – definita come SPCoop – impiega
componenti tecnologici ed organizzativi disegnati in aderenza agli standard
internazionali della SOA (Service Oriented Architecture). Tra gli elementi
costitutivi del modello sono:
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 7

• i “servizi applicativi” che, in analogia con i web services, forniscono
un approccio ormai largamente diffuso per la definizione, la pubblicazione
e l’utilizzo dei servizi internet
• gli “Accordi di servizio” – memorizzati in una struttura di Registri
pubblici – che specificano tutti gli elementi funzionali e tecnici, nonché
gli SLA, necessari per l’invocazione del servizio
• la “Porta di dominio” che costituisce l’infrastruttura standard di connessione
di ogni P.A..
• i “servizi di infrastruttura per la cooperazione e l’accesso” (SICA) che
abilitano la cooperazione applicativa fra le Amministrazioni e l’accesso
ai servizi resi disponibili su SPL.
Il modello adottato consente un rapporto formalmente definito tra fornitore e fruitore
dei servizi ed un’agevole ricerca dei servizi disponibili, rendendo possibile la
costruzione di processi integrati aggregando servizi elementari forniti da diverse
P.A.. Tutto ciò salvaguardando l’autonomia funzionale e tecnica delle P.A. nella
gestione delle basi dati e delle applicazioni afferenti i propri sistemi informativi.
Il terzo livello dell’architettura è costituito dalle applicazioni cooperanti.
Alcuni importanti progetti cooperativi recentemente sviluppati sono già in
linea con il modello. Tra questi si possono ricordare il progetto ICAR ed i
progetti sviluppati dal Ministero del Lavoro.
LE REGOLE TECNICHE E DI SICUREZZA: I PROTOCOLLI D’INTESA CON LE REGIONI
Il CAD prevede l’emanazione di specifici regolamenti (DPCM e DPR) che
hanno un determinante impatto nella costruzione di un sistema condiviso
dell’ICT della P.A.. In particolare la Commissione di Coordinamento del
SPC ha predisposto le Regole tecniche e di sicurezza, che saranno oggetto
di un DPCM ai sensi dell’art. 71 del CAD, di grande rilievo per:
• la definizione del ruolo delle Regioni nel SPC
• l‘introduzione dei protocolli di intesa Cnipa / Regioni
• la condivisione di un sistema unico di sicurezza nelle connessioni
• la puntualizzazione dei compiti affidati al Centro di interoperabilità
e cooperazione applicativa SICA Servizi infrastrutturali di interoperabilità
cooperazione ed accesso.
Il ruolo delle Regioni
Nelle Regole Tecniche si rafforza il ruolo delle Regioni definendole “Orga-
8

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
nismi di attuazione e controllo”. Ad esse pertanto, “….per il relativo ambito
di competenza, secondo un modello federato e policentrico, compete la
progettazione, realizzazione ed evoluzione del SPC secondo gli indirizzi
della Commissione ed in conformità alle presenti Regole tecniche, nonché
la responsabilità di assicurare che i servizi erogati dai fornitori qualificati rispettino
i requisiti di qualità e sicurezza del SPC”.
I protocolli di intesa Cnipa / Regioni
Le Regole tecniche, prevedono che al fine di consentire al SPC uno sviluppo
architetturale atto a garantire la natura federata, policentrica e non gerarchica
del sistema, siano stipulati, tra il CNIPA e le Regioni, Protocolli d’Intesa che
definiscono le azioni, le regole tecniche ed organizzative per consentire alle
Amministrazioni del territorio delle Regioni di connettersi, di interoperare e
di cooperare con le altre Amministrazioni del territorio nazionale, e quindi
centrali e locali, in modo sicuro, efficiente ed efficace e tenere conto delle infrastrutture
realizzate e degli investimenti che le Amministrazioni del territorio
della Regione hanno già effettuato. Oltre a ciò sono definite le misure che
tali Amministrazioni ed il CNIPA dovranno intraprendere per gestire i cambiamenti
(change management) minimizzando i costi complessivi.
Sono stati approvati dalla CdC i primi protocolli con Emilia Romagna, Toscana
e Umbria, e sono in avanzato stato di perfezionamento i protocolli
con le restanti Regioni. I Protocolli d’Intesa, ancorché fanno riferimento ai
criteri sopra esposti, sono specializzati per tenere conto delle necessità di
ogni singola Regione. A titolo di esempio, di seguito si descrivono sommariamente
i contenuti di massima dei Protocolli d’Intesa.
Aspetti generali: negli aspetti generali è descritta la normativa di riferimento
della Regione sulla costituzione della Community Network, gli scopi di
detta normativa e gli obiettivi e finalità e finalità del protocollo.
Documentazione: sono individuate le misure per assicurare la compatibilità
delle componenti del SPC alle Regole Tecniche del SPC, le misure per assicurare
la compatibilità della documentazione tecnica prodotta durante l’integrazione
delle componenti del SPC alle Regole Tecniche e le misure per assicurare
la riservatezza della documentazione tecnica prodotta dai Fornitori del SPC.
Misure di Governance delle componenti del SPC – Aspetti generali: sono definite
le responsabilità della Regione e del CNIPA, le modalità per realizzare
lo sviluppo di nuovi servizi e l’evoluzione di servizi in esercizio. Oltre a ciò
sono definiti sia l’organizzazione del Management che i compiti assegnati al
Comitato Permanente congiunto responsabile della gestione del Protocollo
d’Intesa e sono regolamentati i flussi delle informazioni tra i fornitori.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 9

Misure di Governance delle componenti del SPC – Aspetti relativi alla Sicurezza:
Vista l’importanza della sicurezza sono definite le responsabilità
delle azioni attribuite ad ogni soggetto coinvolto nella gestione della sicurezza:
CNIPA, Regione, CG SPC, Unità locale di sicurezza della Regione,
Unità locali di sicurezza territoriali soggette alle attività di monitoraggio
della Regione, CERT-SPC-C e CERT-SPC-R.
Misure per l’integrazione delle componenti del SPC – Interazione con il
CG-SPC: Le misure atte a garantire la completa integrazione delle componenti
del SPC della Regione con le componenti nazionali sono normate per
definire i servizi di misura, le modalità di raccolta e distribuzione dei dati
resi dal CG SPC, gli obblighi di interfaccia con il CG-SPC che i Soggetti
Monitorati (SM)devono soddisfare e gli obblighi che il CG SPC ha nei confronti
dei Soggetti Monitorati. Oltre a ciò sono definiti i compiti e le attribuzioni
del CG-SPC Regionale (CG-SPC-R) qualora fosse istituito e le modalità
per la condivisione dei risultati delle misure dirette e misure per facilitare
la risoluzione delle controversie tra Amministrazioni e fornitori.
Misure per l’integrazione delle componenti del SPC – Interazione con le infrastrutture
di connettività: Sono definite le caratteristiche della QXN e servizi
resi, gli obblighi della Regione ai fini della connessione al SPC delle reti dei
fornitori di servizi di connettività iscritti negli Elenchi regionali e le modalità di
realizzazione delle connessioni della Community Network con la QXN.
Misure per l’integrazione delle componenti del SPC – Interazione con il
NIV-SPC: Sono definite le caratteristiche del NIV-SPC e servizi resi, gli obblighi
della Regione ai fini di abilitare in ambito SPC la comunicazione inter-dominio
mediante VoIP e le modalità di integrazione dei domini VoIP
della Regione con i domini VoIP delle Amministrazioni Centrali.
Misure per il mutuo scambio del know how: Particolare cura è stata posta
per individuare le misure per il mutuo scambio del know how tra il CNIPA
e le Amministrazioni. Allo scopo sono state definite le modalità di adesione
ai servizi di assistenza e formazione erogati dal CG-SPC, le misure di supporto
per l’istituzione dei Centri di Competenza, per l’istituzione degli
Elenchi dei fornitori SPC regionali e per la certificazione dei servizi SPC
erogabili in ambito regionale.
Le reti di telecomunicazionI
Il Sistema Pubblico di Connettività, ha sicuramente tra i propri compiti proprio
quello di assicurare la “connettività” tra le varie Pubbliche Amministrazioni e
10

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
tra quest’ultime, i cittadini e le imprese. La possibilità di condividere e confrontare
le informazioni è un elemento chiave per consentire alle stesse Amministrazioni
di erogare i servizi in modo efficiente ed innovativo. L’interconnessione
dovrà essere presente ad ogni livello, ovvero all’interno di un’Amministrazione,
tra le varie Amministrazioni centrali, e tra le Amministrazioni centrali
e le territoriali. Solo in tal modo i cittadini e le imprese potranno relazionarsi
con le Pubbliche Amministrazioni in modo veramente “amichevole” usufruendo
del patrimonio informativo in possesso delle stesse da un qualunque “sportello
pubblico”, reale o virtuale, a prescindere dall’Amministrazione che lo
mette a disposizione o dal luogo in cui questo si trova.
Il primo passo da compiere è quindi interconnettere tutte le sedi della P.A.
attraverso un’infrastruttura che permetta il massimo livello possibile di interazione
tra le stesse. Nell’ambito del Sistema pubblico di Connettività, ciò è
stato fatto sia a livello nazionale che internazionale. La RIPA, la Rete Internazionale
della P.A., interconnette tutte le sedi estere della P.A. italiana; la
Rete Nazionale, interconnette già oggi la maggior parte delle sedi delle P.A.
sul nostro territorio.
Il modello di rete adottato dal SPC è un modello di rete federato basato sulle
affermate tecnologie IP/MPLS che consentono di garantire un’omogeneità
completa dei servizi di rete, l’interoperabilità delle varie entità federate,
la neutralità tecnologica verso le soluzioni di trasmissione utilizzate e il rispetto
dei parametri prestazionali e qualitativi richiesti dalla Pubblica Amministrazione.
La natura federata della rete, si presta naturalmente alla gestione di reti
multifornitore, consentendo anche di interconnettere le reti regionali attualmente
esistenti o in via di sviluppo, consentendo di salvaguardare gli investimenti
già effettuati sul territorio. La logica della rete multifornitore consente
anche di sfruttare al meglio le logiche di mercato per lo sviluppo della
rete e per mantenere i prezzi dei servizi ai migliori livelli di riferimento,
concentrando gli eventuali investimenti diretti solo dove il mercato non risponde
completamente alle esigenze.
Di seguito, una descrizione delle due reti permetterà di comprendere le
principali caratteristiche, anche innovative, delle due reti ed i servizi di
connettività erogati.
LA RETE INTERNAZIONALE DELLA P.A. (RIPA)
La Rete Internazionale delle P.A. (RIPA) è un intervento infrastrutturale che
mette a fattor comune le esigenze di connettività e sicurezza della Pubblica
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 11

Amministrazione Italiana per le sedi internazionali. La condivisione di
un’unica infrastruttura consente di razionalizzare i costi, di usufruire di una
gestione centralizzata e di poter supportare applicazioni e servizi compatibili
fra tutte le Amministrazioni. La rete adotta il protocollo IP-Mpls e garantisce
sia i servizi di connettività IP Best Effort, sia servizi con qualità garantita
per supportare applicazioni dati, voce ed immagini. Grande rilevanza assumono
i servizi di sicurezza che prevedono la presenza di firewall in ogni
sede ed una Certification Authority centralizzata. Una rappresentazione
schematica dei servizi è riportata in figura.
Per garantire alle Amministrazioni il miglior rapporto tra prestazioni e costi
si sono previste tre differenti zone di pricing (zona A, B e C) caratterizzate
dai differenti livelli di maturazione del mercato delle telecomunicazioni in
ambito mondiale, e, conseguentemente, da una diversa disponibilità di servizi
e prezzi associati agli stessi.
Il progetto è stato finanziato dal Comitato dei Ministri per la Società dell’Informazione
(CMSI) per un importo complessivo di 17 milioni di euro a copertura
dei costi di avvio della rete. La procedura di gara, un appalto concorso
con prequalifica in ambito europeo, è stata espletata dal CNIPA nel corso del
2004 ed è stata aggiudicata il 23/12/2004 al RTI costituito dalle società EDS –
Infonet. Quest’ultima società è stata successivamente acquisita da BT.
Lo schema contrattuale RIPA prevede la sottoscrizione di un Contratto quadro
per la fornitura di “Servizi di Rete Internazionale delle P.A.” tra l’aggiudicatario
della gara ed il CNIPA in rappresentanza delle Amministrazioni e
contratti esecutivi da parte delle Amministrazioni aderenti.
12

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
La RIPA è una realtà operativa che collega 4 Amministrazioni (Ministero degli
Affari Esteri, Ministero della Difesa, Agenzia delle Dogane e l’Agenzia
Nazionale Italiana del Turismo) per un totale di circa 450 siti distribuiti in
oltre 130 paesi. La totalità dei siti è stata realizzata dal RTI vincitore della
gara e collaudata dal CNIPA e dalle Amministrazioni che hanno preso in
carico la gestione delle proprie reti ed hanno ultimato la fase di realizzazione
anche con l’ eventuale migrazione dalle reti preesistenti.
In questi anni l’offerta di servizi base RIPA si è evoluta per tener conto delle
nuove esigenze rappresentate dalle Amministrazioni e consentire lo sviluppo
di nuove applicazioni. Tra i nuovi servizi i servizi VOIP (Integrato standard
e Bluefield) ed il servizio MobileXpress sono i più significativi.
La sinergia tra il CNIPA, le Amministrazioni ed il RTI RIPA è stata proficua
ed assidua ed ha consentito di traguardare un obiettivo ambizioso, un modello
unico in Europa, che è quello di un’Infrastruttura di Rete Internazionale
condivisa tra le P.A. italiane che hanno sedi all’estero.
Il Raggruppamento Temporaneo di Imprese costituito dalle Società EDS e
BT-Infonet ha curato la realizzazione e gestisce l’esercizio della rete RIPA.
La società mandataria, EDS, avvalendosi della pregressa esperienza nel settore
della Pubblica Amministrazione, ha svolto un ruolo primario nello sviluppo
dei servizi riguardanti la Sicurezza, il Call Center per la gestione dei
malfunzionamenti, il Sistema di Monitoraggio della Qualità dei Servizi
(SMQS). La società BT Infonet, per la sua peculiarità nel campo delle reti, si
è focalizzata sugli aspetti riguardanti i servizi di connettività, l’accesso ad
Internet ed i servizi VoIP.
RIPA – La visione di EDS-British Telecom
L’infrastruttura RIPA utilizza la dorsale MPLS di BT che per la sua estensione
geografica è tra le realtà più rilevanti in ambito mondiale. Difatti
con i suoi oltre 1250 PoP collega più di 170 paesi nel mondo in oltre
3.000 città con una dorsale che si estende per circa un milione di chilometri
di circuiti e trunk/giunzioni. La rete è in grado di trasportare servizi
dati, voce e video e prevede un’architettura gerarchica che si sviluppa su
quattro livelli.
• Centri di instradamento/commutazione Globali /Global Switching
Centres: rappresentano il nucleo della rete (primo livello). I Centri sono
interconnessi tra loro da circuiti in fibra ottica con capacità trasmissiva
compresa tra 45 Mbps e 2,5 Gbps. Attualmente questo livello
di rete è costituito da oltre 70 dorsali dislocate in oltre 40 Stati.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 13

• Siti di instradamento Regionale/Regional Switching Sites: costituiscono
il secondo livello della rete e comprendono130 Nodi Regionali
dislocati in 52 Stati con velocità d’accesso per gli utenti compresa tra
2 Mbps e 45 Mbps.
• Nodi Paese/In-Country Nodes: è il terzo livello della rete ed è costituito
da 160 nodi locali dislocati in 54 Stati con capacità d’accesso
per gli utenti fino a 155 Mbps.
• Soluzioni di Accesso Locale/Local Access Solutions: riguardano l’insieme
di servizi di accesso alla rete che possono essere realizzati utilizzando
tutte le tecnologie trasmissive disponibili (Linee affittate, X-
DSL, Internet, satellite ecc.) consentendo velocità di accesso fino a
155 Mbps.
L’intera rete offre il supporto per meccanismi di Quality of Service (QoS)
End-to-End con distinte classi di servizio per una dettagliata gestione delle
differenti necessità di trasporto delle informazioni.
Le figure seguenti illustrano la Rete BT:
L’intera rete mondiale del progetto RIPA è stata suddivisa logicamente in tre
aree geografiche per ognuna delle quali è stato previsto l’impiego di un nodo
locale (HUB) per la fornitura di servizi di accesso ad Internet e di supporto.
14

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Le varie sedi remote delle Amministrazioni partecipanti sono assegnate, per
competenza geografica, all’HUB più vicino che utilizzeranno preferenzialmente,
potendo comunque sfruttarne uno degli altri nel caso di eventi disastrosi
che dovessero rendere inaccessibile quello di riferimento.
Gli HUB della RIPA risiedono presso i nodi principali di interscambio Internet
di BT Infonet e sono direttamente connessi alla dorsale MPLS di BT, offrendo
la massima garanzia in termini di disponibilità, di capacità di banda
e gestione delle classi di Qualità del Servizio (QoS)
Il traffico originato dalle sedi remote e diretto verso Internet è soggetto al
controllo di firewall che utilizzano meccanismi di analisi e filtraggio avanzato
dei pacchetti IP. La Sicurezza è garantita sia a livello centrale dal Security
Operation Center (SOC) sia a livello periferico (sedi remote).
Per assicurare un adeguato livello di protezione alle sedi remote fortemente
esposte e, spesso, con limitate competenze tecniche locali, è stato realizzato
un modello che prevede presso ogni sede la presenza di un dispositivo di
sicurezza integrato (Porta di Rete) che assicura le funzionalità di controllo
del traffico (prevenzione delle intrusioni). Inoltre il traffico scambiato fra le
sedi delle Amministrazioni è trasportato tramite tunnel crittografici dedicati.
Il centro di Gestione RIPA
Il Centro di Gestione RIPA è localizzato in Roma ed è attivo e presidiato 24
ore al giorno per tutto l’anno. Comprende due importanti strutture:
• Il Centro di Sicurezza RIPA (SOC)
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 15

• Il Call Center
Il SOC, oltre a gestire la Certification Authority, svolge le funzionalità di monitoraggio
proattivo e continuo (24h x 365gg) di tutti gli elementi di sicurezza
gestiti dal RTI EDS – BT Infonet, provvedendo sia al controllo in tempo
reale delle situazioni di pericolo, sia alla produzione di reportistica con
cadenze prestabilite.
Il Call Center fornisce supporto telefonico a tutte le sedi estere delle Amministrazioni
per tutte le problematiche riguardanti i servizi RIPA (connettività,
sicurezza, ecc.).
I nuovi servizi RIPA
Il listino di servizi RIPA si è evoluto per tener conto delle nuove esigenze
rappresentate dalle Amministrazioni. Tra i nuovi servizi ricordiamo i servizi
VOIP e MobileXpress.
Il servizio Voice Over IP RIPA prevede due tipologie di soluzione:
1. il Servizio VoIP Integrato Standard;
2. il Servizio VoIP Bluefield.
Il VOIP Integrato Standard consente alle Amministrazioni di trasportare il
traffico voce sulla infrastruttura RIPA mantenendo i centralini telefonici già
esistenti presso le sedi. Il VOIP Bluefield, invece, prevede l’uso di terminali
VoIP collegati tramite rete locale (LAN) al router oppure al firewall RIPA. E’
previsto sia l’uso di apparati VOIP wired che wireless.
Entrambe le soluzioni consentono agli utenti finali di utilizzare la rete RIPA
per il trasporto del traffico telefonico con un evidente abbattimento dei costi.
Il diagramma sottostante illustra la soluzione VOIP implementata dal RTI
EDS – BT Infonet (vedi figura pagina a fianco).
Il servizio MobileXpress è un pacchetto applicativo che consente agli utenti
RIPA di collegarsi alla rete dell’Amministrazione di appartenenza in qualsiasi
momento e da qualsiasi punto nel mondo. La soluzione utilizza un insieme
diversificato di tecnologie (PSTN, WiFi, ecc.) permettendo agli utenti
Mobili delle Amministrazioni che sono spesso in viaggio di lavorare da remoto.
L’utente inserisce la sua username e password, e, attraverso una numerazione
gratuita per gli accessi PSTN/ISDN o utilizzando i 19.000 hotspots wireless
nel mondo (in alberghi, aeroporti etc.), riesce ad accedere alle informazioni
e alle applicazioni di cui ha bisogno.
16

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
La figura illustra l’interfaccia grafica del MobileXpress.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 17

LA RETE NAZIONALE DEL SISTEMA PUBBLICO DI CONNETTIVITÀ
Il Sistema Pubblico di Connettività è l’infrastruttura sulla quale si realizzeranno
tutti i servizi informatici e di telecomunicazione della Pubblica Amministrazione
del nostro paese. Rappresenta la cornice all’interno della
quale fornitori qualificati erogano servizi ad alto contenuto tecnologico dei
quali le Amministrazioni si avvalgono nel continuo processo di modernizzazione
e di efficienza del nostro Paese.
In particolare la Rete nazionale del Sistema Pubblico di Connettività è una
delle maggiori infrastrutture telematiche pubbliche a livello internazionale
e la più grande in Europa. Pienamente operativa dal primo novembre 2007,
con la sua nascita sostituisce la RUPA - Rete Unitaria della Pubblica Amministrazione
(attiva dal 1999).
La Rete IP del SPC attraverso 16.000 collegamenti ad alta velocità connette
tra loro le sedi ed i centri di elaborazione dati di 59 Amministrazioni centrali
e oltre 300 Amministrazioni territoriali fornendo il supporto per l’integrazione
delle applicazioni e l’erogazione di servizi avanzati. In particolare
rappresenta l’infrastruttura abilitante all’utilizzo su larga scala dei servizi innovativi
come il VoIP (che si traduce nell’azzeramento dei costi del traffico
telefonico sulla rete all’interno della P.A.), videoconferenze, trasmissioni
WiFi e WiMax, posta elettronica certificata, ecc..
Grazie al ruolo affidato al CNIPA di aggregatore della domanda di servizi
di connettività per la Pubblica Amministrazione, la realizzazione del SPC
non ha comportato alcuna spesa per investimenti da parte dello Stato, anzi
ha determinato il conseguimento di notevoli risparmi e l’acquisizione
di una capacità cooperativa senza precedenti tra le varie Amministrazioni.
La spesa annuale per la Pubblica Amministrazione centrale per la propria
interconnessione dati si è più che dimezzata, passando da 130 milioni
di euro del 2005 a 54 milioni di euro attuali, ma con prestazioni incrementate.
La capacità aggregata di trasporto dati è infatti passata da 29,3
Gigabit/sec a 70 Gigabit/sec. Le Amministrazioni hanno così potuto indirizzare
le proprie risorse economiche anche verso i servizi innovativi di
sicurezza, i servizi VoIP (il cui utilizzo è disposto dalla Legge Finanziaria
2008) ed i servizi di connettività wireless tutti presenti nelle offerte di servizi
SPC.
Il Sistema Pubblico di Connettività rappresenta un’innovazione non solo
tecnica, ma anche amministrativa e gestionale. La realizzazione della Rete
nazionale è stata infatti affidata mediante gara pubblica a quattro operatori
di telecomunicazione: RTI Fastweb/EDS, BT-Italia, Wind e Telecom Italia.
18

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Grazie all’innovativo modello di gara i quattro operatori, dopo la competizione
per individuare il prezzo più basso, hanno accettato l’allineamento
dei propri prezzi unitari offerti permettendo così di raggiungere l’ambizioso
obiettivo di realizzare un contesto multifornitore nel quale i diversi operatori
forniscono gli stessi servizi ai medesimi prezzi.
Come previsto dal bando di gara, tali imprese hanno inoltre costituito nel
luglio 2006 la Società consortile per la realizzazione della Qualified eXchange
Network (QXN), infrastruttura che interconnette le reti delle stesse
società, le reti regionali esistenti e le reti dei fornitori che in futuro si qualificheranno
per erogare servizi SPC.
La presenza di infrastrutture condivise per il collegamento delle diverse reti
consente di realizzare l’interconnessione delle diverse reti federate, permettendo
sia il collegamento delle reti comunitarie qualificate (QCN), realizzate
dalle Regioni per connettere le Amministrazioni Territoriali, sia l’espansione
del collegamento ad altri fornitori qualificati.
L’architettura della rete nazionale si completa con la realizzazione del Centro
di supervisione, gestito da IBM e Sirti, a garanzia super partes della qualità
dei servizi forniti e per il coordinamento delle attività connesse alla sicurezza.
Il Centro svolge quindi misure di terza parte delle prestazioni dei
servizi di connettività forniti sulla rete e rappresenta un elemento fondamentale
e qualificante dell’organizzazione della sicurezza dell’intero SPC.
Aspetto peculiare del Sistema è quindi la sua capacità di integrare, nell’ambito
di un’unica architettura coerente, più fornitori di servizi di telecomunicazioni
che, interagendo tra loro attraverso la rete di interconnessione del
SPC (la Qualified eXchange Network), realizzano un Sistema unico in grado
di erogare servizi “end to end” sino alla massima qualità oggi consentita
dalla tecnologia, in un ambiente controllato e sicuro.
Il CNIPA si è impegnato a fondo sul progetto mettendo in campo tutta la
propria capacità di realizzare e di gestire progetti complessi, nonché la sua
conoscenza del mondo delle Pubbliche Amministrazioni centrali e locali
acquisita ormai in anni di proficua e stretta collaborazione.
Progetti come il SPC non sarebbero infatti nemmeno immaginabili senza
una consolidata esperienza organizzativa, dotata di specifiche competenze
e professionalità, che consentano di realizzare, in un unico disegno
coerente, tanto gli indispensabili interventi normativi, quanto sofisticati capitolati
tecnici. Grazie al SPC le Amministrazioni si integreranno sempre di
più, non solo in termini tecnologici ma anche organizzativi per una sempre
più efficiente ed efficace erogazione dei propri servizi ai cittadini ed alle
imprese.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 19

Il Sistema Pubblico di Connettività ha un’architettura distribuita che consente
lo scambio telematico di informazioni tra le Pubbliche Amministrazioni
attraverso le reti di una pluralità di fornitori Qualificati (Q-ISP) e di reti
regionali (Q-CN) interconnesse dalla QXN.
Si realizza così un dominio unico di comunicazione tra le P.A., caratterizzato
da elevati standard di qualità e sicurezza e costituito da più ambiti
omogenei che coinvolgono differenti soggetti:
20

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
• un ambito Intranet costituito dal dominio interno alla singola P.A. che
connette tutte le sedi della stessa distribuite sul territorio. Per ogni P.A.,
questo ambito, è oggetto di fornitura da parte di un unico Q-ISP;
• un ambito Internet di interazione tra le singole P.A. e gli utenti esterni
ad esse, fruitori dei servizi erogati dalle stesse. E’, in pratica, l’ambito
che consente alle singole Amministrazioni di interagire con
utenti o servizi presenti sulla Big Internet;
• un ambito Infranet che interconnette tra loro le singole P.A., siano
esse assegnate allo stesso fornitore, o, per il tramite della QXN (Qualified
eXchange Network), a Q-ISP diversi. Questo ambito può coinvolgere
oltre alle infrastrutture dei singoli Q-ISP anche la rete di interconnessione
QXN.
Attraverso questi ambiti di comunicazione, le P.A. potranno inoltre usufruire
a breve anche dei servizi erogati da alcune infrastrutture condivise SPC,
quali il NIV (Nodo di Interconnessione Voip) ed i Centri Servizio per la Cooperazione
Applicativa e per l’Interoperabilità Evoluta, che saranno progressivamente
interconnesse alla QXN e, quindi, integrate nell’architettura del
SPC.
Infine, a supporto dell’azione di governo del SPC, operata dal CNIPA, vi è
poi il Centro di Gestione del SPC (CG-SPC) che svolge un ruolo di terza
parte nei confronti dei Q-ISP e degli altri soggetti deputati alla gestione delle
infrastrutture condivise, avendo il duplice mandato di essere garante del
processo di monitoraggio e validazione dei Livelli di Servizio forniti agli
utenti e del livello di sicurezza dell’intero SPC.
SPC – La visione di Fastweb-EDS
Nel 2006 il RTI Fastweb-EDS si è aggiudicata il 60% della fornitura della gara
bandita dal CNIPA. E’ nato così un sistema telematico federato, per soddisfare
le esigenze della Pubblica Amministrazione centrale e locale, condiviso
dagli enti locali e coordinato da un’apposita Commissione di indirizzo.
Nella prima fase del progetto SPC, Fastweb-EDS ha attivato il servizio di
connettività a banda larga in oltre cinquemila sedi della Pubblica Amministrazione
centrale. Gli Enti possono comunicare tra loro e con altre Pa sfruttando
i vantaggi della fibra ottica e dell’alta velocità. Questo si traduce in
una maggiore efficacia dei processi, in un miglioramento della produttività
del personale nelle varie sedi, e quindi nella maggiore rapidità e precisione
nel fornire i servizi ai cittadini.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 21

22
Con la seconda fase che si è appena aperta, Fastweb si propone di contribuire
ulteriormente all’evoluzione tecnologica della P.A. con l’introduzione
dei servizi tecnologici più innovativi compresi nel SPC.
In particolare Fastweb intende contribuire all’introduzione dei servizi VoIP
in linea con le indicazioni della Finanziaria 2008. In tal senso Fastweb sta
già provvedendo ad introdurre il servizio basato sulla nuova tecnologia (sulla
quale si fonda da sempre la fonia fornita da Fastweb a tutti i suoi clienti
consumer e business) presso alcune importanti P.A. centrali: in particolare è
stato recentemente varato il progetto VoIP per INAIL, che prevede l’adozione
di oltre 15.000 telefoni IP su oltre 200 sedi dell’Amministrazione.
A testimonianza del suo impegno per il SPC, Fastweb ha deciso di rendere
più performante, sicura ed affidabile
la piattaforma di rete su cui è
basato il progetto del Sistema
Pubblico di Connettività con nuovi
investimenti. In alcuni casi gli
Enti pubblici sfruttano ancora
vecchi cavi in rame che non garantiscono
una qualità ottimale.
L’obiettivo di Fastweb è sostituire
i collegamenti a banda stretta in
rame con la fibra ottica, più efficiente
e affidabile, almeno sulle
principali sedi delle Amministrazioni, in modo da andare incontro alle esigenze
della P.A..
L’obiettivo di Fastweb, coerentemente con la sua filosofia aziendale legata all’innovazione,
è ridurre l’inefficienza e dare un contributo tangibile al rinnovo
della Pubblica Amministrazione perché possa essere sempre più a servizio
del cittadino, favorendo contemporaneamente l’efficacia e l’efficienza
delle prestazioni erogate. Per questo Fastweb sta promuovendo il progetto
SPC anche presso le Pubbliche Amministrazioni locali, così da estendere l’efficienza
anche ai processi comunicativi tra la P.A. centrale e gli Enti periferici.
Le ricadute sul sistema sono destinate a determinare effetti positivi non solo
in termini funzionali ed economici, ma anche pratici per i cittadini e le imprese.
Il contributo alla maggior efficienza e produttività del nostro settore
pubblico sarà tangibile, a tutto vantaggio non soltanto dell’utente ma dell’intero
sistema Paese che vedrà ridotte le diseconomie del servizio pubblico
riconducibili a infrastrutture non al passo con i tempi e con l’evoluzione
della domanda e dell’offerta.

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
SPC – La visione di British Telecom
Fin dal momento in cui il CNIPA ha indetto la gara multifornitore per il Sistema
Pubblico di Connettività, BT ha ritenuto di poter giocare un ruolo di
rilievo nella realizzazione della nuova rete unitaria per la Pubblica Amministrazione.
Abbiamo infatti visto nella nuova piattaforma di comunicazione, l’elemento
di partenza della nostra strategia di offerta alla P.A., una sorta di prerequisito
essenziale per poter fornire anche alle Pubbliche Amministrazioni, sia
centrali che locali, le soluzioni che, oramai da anni, BT è in grado di offrire
alle grandi Aziende italiane.
Da subito il progetto ha confermato il suo grande potenziale e il valore aggiunto
che, grazie all’esperienza del CNIPA e di tutti i partner coinvolti, potrà
dare al complesso mondo della Pubblica Amministrazione e all’intero Sistema
Paese.
Il gruppo BT è sempre stato orientato
a sviluppare sulle proprie infrastrutture
di telecomunicazione, servizi
e soluzioni a valore aggiunto
per i propri clienti. In questa ottica
va, ad esempio, interpretata la recente
acquisizione di I.Net, società
leader nel segmento dei servizi di
Data Center e Sicurezza, con la
conseguente integrazione del suo
portafoglio d’offerta all’interno delle soluzioni BT.
Questa stessa strategia è perseguita da SPC, che è in grado di offrire non solo
semplice connettività ma una suite di soluzioni e servizi ad alto valore
aggiunto.
Con queste premesse, SPC può veramente diventare il “sistema connettivo”
a livello nazionale, valido per tutta la P.A., centrale e locale, e quindi permettere
la realizzazione di una piattaforma unica e integrata di servizi ICT,
sempre più ricchi di funzionalità e facili da usare. Già oggi si contano numerose
richieste di servizi SPC da parte di Amministrazioni locali, regioni,
province, comuni.
Inoltre l’esperienza SPC sta riscuotendo molto interesse anche all’estero.
Come BT Italia ci troviamo molto spesso a dover soddisfare richieste di informazioni
da parte di colleghi BT che seguono il mercato della Pubblica
Amministrazione in altre nazioni e che vogliono conoscere in modo appro-
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 23

fondito le funzionalità tecniche ed amministrative del Sistema Pubblico di
Connettività italiano.
In conclusione, una breve considerazione sui futuri sviluppi del SPC.
Come già detto la strategia del gruppo BT punta a sviluppare sempre più
servizi a valore in ambito ICT, sfruttando le potenzialità di un network nazionale
ed internazionale di prim’ordine (tra l’altro, siamo anche i fornitori
della rete internazionale RIPA).
Questa esperienza può essere di grande utilità per il CNIPA che sta sviluppando
un percorso analogo a servizio della Pubblica Amministrazione italiana,
riteniamo quindi sia opportuno sostenerlo cominciando proprio dalle
piattaforme di servizio SPC attuali.
Questa è una visione che dobbiamo necessariamente condividere tutti e
che può ulteriormente alimentare quel circolo virtuoso tale da portare al rapido
miglioramento dei servizi al cittadino e alla conseguente efficacia ed
efficienza di tutto l’apparato pubblico.
SPC – La visione di Wind
Wind ha compreso sin dalle prime fasi di definizione del progetto, che risalgono
al 2005, l’importanza che il Sistema Pubblico di Connettività avrebbe
assunto nello sviluppo delle infrastrutture e piattaforme avanzate di telecomunicazioni
a supporto di un sempre più elevato livello di servizio ai cittadini
ed alle imprese del Paese che le Amministrazioni Pubbliche sono chiamate
ad assolvere.
La nostra partecipazione che, con il passare degli anni, si è fatta sempre più
fattiva e convinta, è sfociata nella riconferma del commitment di tutta l’azienda,
con la determinazione di portare un contributo distintivo sul mercato
della Pubblica Amministrazione.
Il forte focus sui servizi ed applicazioni, in luogo di quello sulla pura connettività,
le dimensioni in gioco, il respiro temporale del progetto, i concept
di apertura alle best solutions di mercato, sono i fattori che continuano a
spingere Wind ad un sempre maggiore impegno nel progetto SPC. Impegno
che consentirà all’azienda di essere attore protagonista nello scenario di
evoluzione tecnologica in un settore di primaria importanza per il Paese.
Considerando, inoltre, che il modello SPC sta diventando un riferimento per
tutto il mercato Enterprise in Italia, Wind ha raccolto la sfida come l’opportunità
per accelerare i propri investimenti nella ulteriore evoluzione dei servizi,
ampliando il portafoglio d’offerta.
Clienti come il ministero dei Beni Culturali e Ambientali, del Lavoro, della
24

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Salute, delle Infrastrutture e dei Trasporti, l’Avvocatura Generale dello Stato
e la Croce Rossa Italiana richiedono, infatti, un altissimo standard nella progettazione
e realizzazione di soluzioni integrate ed estese, combinando reti
di tlc e servizi (VoIP, sicurezza, hosting/housing, gestione flussi documentali,ecc.)
all’interno di un unico sistema a supporto della semplificazione delle
attività dell’Amministrazione.
I vari requisiti richiesti dalla Pubblica Amministrazione negli specifici ambiti,
sono stati affrontati da Wind non come realizzazioni di singole soluzioni
progettuali ad hoc, ma con una
logica di piena integrazione all’interno
della propria catena industriale,
attraverso importanti investimenti
su infrastrutture, sistemi e
piattaforme. Tale approccio ha
consentito un ulteriore miglioramento
della qualità erogata in termini
di provisioning, assurance e
performance monitoring, garantendo
nel contempo la piena scalabilità
delle soluzioni adottate.
Una scelta impegnativa, che Wind ha fatto nella convinzione che le soluzioni
tecnologiche identificate per SPC diventeranno standard di mercato per
tutta la clientela Enterprise, in cui Wind intende giocare un ruolo da Player
primario.
Wind è dunque orgogliosa di svolgere un ruolo da protagonista nello sviluppo
del Sistema Pubblico di Connettività, consapevole di poter mettere al servizio
del Paese risorse ed energie distintive per lo sviluppo e l’innovazione.
SPC – La visione di Telecom Italia
Il SPC (contratto 6/2006) nelle sue caratteristiche concettuali ed, in particolare,
nell’organizzazione delle sue strutture, ha posto una grande sfida di
innovazione a tutti i soggetti coinvolti: il CNIPA e le istituzioni preposte, i
provider, i soggetti terzi addetti al controllo e monitoraggio e le Amministrazioni.
Dalla prospettiva dei provider, l’esperienza maturata da Telecom Italia nel
primo anno di esercizio ha mostrato la necessità di un notevole effort di gestione
per garantire i risultati attesi, ove gran parte della complessità discende
dall’aggiudicazione della gara a più fornitori.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 25

26
Tra gli elementi, che hanno richiesto il maggiore impegno di tutte le parti sopra
indicate nelle fasi di progettazione, pianificazione ed esecuzione, citiamo
l’implementazione dell’architettura multifornitore del SPC (la rete QXN
per la interconnessione tra i Provider gestita dall’omonima Società Consortile,
il Centro di Gestione del SPC per il controllo e monitoraggio della esecuzione
contrattuale, gli Organismi di Gestione in seno al CNIPA quali il Comitato
di Direzione Tecnica, ecc.), le attività di collaudo del modello di funzionamento,
la definizione dei criteri di scelta del provider per le Amministrazioni
non obbligate, le procedure di introduzione di nuovi servizi e di allineamento
dei portafogli dei servizi in carico ai provider, i “sincronismi”
operativi tra i provider a garanzia della omogeneità dei servizi resi alle Amministrazioni.
Telecom Italia ha accolto tutte le sfide sopra descritte, consapevole della
importanza strategica del Progetto SPC per lo sviluppo delle infrastrutture
della P.A. a supporto della innovazione dei servizi, e, per dare il massimo
contributo di idee e di azione al Progetto, ha scelto di affidare i servizi
del contratto SPC 6/2006 alla Società PAth.Net (partecipata al 100%
da Telecom Italia), società già dedicata allo sviluppo e gestione della
RUPA (Rete unitaria delle Pubbliche Amministrazioni). Attraverso
PAth.Net, Telecom Italia ha messo a punto una soluzione dedicata di
contract management e di gestione tecnica che mira a rispondere al meglio
ai requisiti posti.
Sulla base della esperienza acquisita negli anni di gestione della RUPA,
Path.Net, in simbiosi con Telecom Italia, ha ingegnerizzato per il SPC un
modello di funzionamento che mutua con quello della RUPA gli elementi
che si sono dimostrati negli anni passati più qualificanti e di successo: tra
questi, oltre alle infrastrutture di base del network a larga banda, sono in
primo piano le metodologie e l’organizzazione del lavoro, il project management
costantemente sintonizzato con il timing e con i requisiti del contratto
e, non ultimo, il team delle risorse umane.
Sono stati, per contro, completamente rinnovati, in funzione delle specificità
del SPC, sul fronte tecnico la suite dei sistemi sviluppati per la erogazione
dei servizi e per l’interfacciamento al CG-SPC, il Sistema Qualità, il Sistema
di Sicurezza ed i sistemi informatici di supporto e, sul fronte organizzativo,
la rappresentanza negli Organi di Gestione.
La figura che segue rappresenta in particolare il layout aggiornato del NOC
(Network Operating Center), che funge da Control Room per le funzioni di
help desk, assurance, delivery, SLA management e reporting.

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Per quanto riguarda lo sviluppo del mercato, le Amministrazioni locali costituiscono
il naturale terreno di sviluppo del business dei servizi di connettività
e sicurezza del SPC per Telecom Italia. Ad oggi, oltre ai 7 contratti stipulati
con le Amministrazioni centrali assegnate, sono stati sottoscritti circa
290 contratti con Amministrazioni locali, ripartite per tipologia come indicato
nella figura seguente.
Fino ad aprile 2008 il numero complessivo degli punti di accesso ai servizi
di trasporto contrattualizzati era pari a circa 7.000, di cui 6.100 con Amministrazioni
locali.
La pronta risposta delle Amministrazioni locali alla proposta SPC di Telecom
Italia – che si quantifica nell’attuale tasso di crescita di circa 200 contratti
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 27

per anno - si è finora caratterizzata prevalentemente con la domanda dei
servizi di “Trasporto Always on” con tariffazione flat per la connettività “intranet”
ed “Internet”
La varietà dei fabbisogni da Amministrazione ad Amministrazione è molto
ampia in termini di numero di accessi e di complessità di rete ed anche rispetto
alla destinazione applicativa nel contesto delle infrastrutture del territorio
e dei piani nazionali e locali di e-goverment. Si va da un solo accesso
internet del piccolo Comune fino a complesse reti territoriali, quali reti universitarie,
reti sanitarie, grandi reti regionali e community network.
LA QXN – LA VISIONE DELLA SOCIETÀ QXN
In un quadro generale di riferimento del SPC (v. figura), che coinvolge una
pluralità di attori che cooperano alla realizzazione di un dominio unico di
comunicazione tra le Amministrazioni Centrali e Locali, la Qualified eXchange
Network (QXN) rappresenta l’elemento nodale per dare vita ad un sistema
unico in grado di erogare servizi “end to end” alle Pubbliche Amministrazioni
italiane secondo elevati ed omogenei livelli di qualità, sicurezza ed
affidabilità, permettendo l’interconnessione delle reti dei Fornitori Qualificati
SPC, della Rete Internazionale, delle Community Network Regionali e delle
Infrastrutture Nazionali Condivise SPC (Centri Servizio, NIV, CG-SPC).
La QXN è gestita da QXN - Società Consortile per Azioni (QXN s.c.p.a.),
costituita nel luglio 2006 dagli Operatori aggiudicatari della gara svolta dal
CNIPA per la fornitura dei servizi SPC multifornitore. Il mandato della socie-
28

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
tà è di progettare, realizzare, esercire e gestire l’evoluzione della infrastruttura
QXN e dei servizi da essa erogati, assicurandone la fruibilità a tutti i
Fornitori Qualificati SPC, attuali e futuri.
La Società Consortile si avvale di un proprio Comitato Tecnico, presieduto
dal Direttore Tecnico della Società e costituito dai rappresentanti dei Soci,
del CNIPA, del CG-SPC, del NIV e dei NAP italiani che ospitano i nodi della
rete QXN. Gli obiettivi del Comitato Tecnico sono principalmente quelli di
definire le caratteristiche tecniche della QXN ed i requisiti di interfaccia per
il collegamento delle reti dei QISP, verificare periodicamente la qualità de i
livelli di servizio, nonché promuovere iniziative atte a migliorare ed ampliare
il portafoglio dei servizi offerti.
Dopo una fase di field trial conclusa il 26 luglio 2007 con il collaudo formale
della Commissione di Collaudo SPC, è stato ufficialmente avviato l’esercizio
della rete QXN e dei servizi da essa offerti.
Le caratteristiche tecniche e le scelte organizzative che stanno alla base del
“modello QXN” denotano un carattere di forte originalità ed innovazione che
fanno della QXN e, più in generale, del SPC una realtà unica nel panorama nazionale
ed internazionale dei servizi dedicati alla Pubblica Amministrazione.
Caratteristiche tecniche e servizi della QXN
La Qualified eXchange Network (QXN) costituisce, dunque, il “cuore” del
SPC. Essa è una rete interamente basata sul protocollo IP, caratterizzata da:
• un’architettura geograficamente distribuita con nodi:
• dislocati presso i principali NAP (Neutral Access Point) italiani -
attualmente NAMEX (Roma) e MIX (Milano) ma con possibilità
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 29

futura di espansione su altri NAP
italiani. In ciascun NAP, QXN
s.c.p.a. ha predisposto strutture di
fila (rack) utilizzate per ospitare
gli apparati con cui i Q-ISP interconnettono
le rispettive reti alla
QXN;
• dimensionati per garantire il rispetto
delle caratteristiche di qualità
ed affidabilità del SPC. In particolare,
ciascun nodo QXN consta
essenzialmente di una coppia di
router Cisco 7609 con funzioni di
Border Router (BRqxn) interconnessi
tra loro e con la coppia di
BRqxn del nodo remoto attraverso porte ottiche GbE;
• interconnessi tra loro con circuiti di backbone ad alta velocità (attualmente
100 Mbps in tecnologia SDH, scalabili fino ad 1 Gbps)
e ad alta affidabilità.
• elevati livelli di sicurezza (fisica e logica) della rete, assicurati attraverso
soluzioni tecniche ed organizzative progettate ad hoc;
• livelli di servizio pari a:
• Disponibilità = 99,99%
• Tempo di attraversamento della rete (OWD)

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
tersi alla QXN per scambiare traffico Infranet con le reti degli altri Q-ISP, anch’esse
interconnesse alla QXN.Lo scambio di traffico Infranet OPA tra i
BRqxn e gli apparati di interconnessione dei Q-ISP (BRqisp) è realizzato attraverso
sessioni E-BGP, in cui l’Autonomous System QXN (AS 41407) opera
come AS di transito tra gli AS dei Q-ISP. Inoltre, sulla QXN vengono adottate
opportune policy di trattamento del traffico di interconnessione allo
scopo di garantire la gestione QoS end-to-end tra le reti dei Q-ISP.Sempre
attraverso l’interconnessione alla QXN, i Q-ISP e le rispettive P.A. possono
usufruire del servizio centralizzato di DNS, erogato da QXN attraverso una
piattaforma HW/SW dedicata, che consente la risoluzione dei nomi a dominio
con cui le P.A. espongono i rispettivi servizi ed applicazioni all’interno
del SPC.
Il servizio di Interconnessione OPA attualmente prevede un SERVIZIO BA-
SE, comprensivo di:
• housing, in rack standard 19 “ ubicati presso i siti di QXN Roma e di
Milano, delle apparecchiature di interconnessione alla QXN del Q-ISP
• accesso OPA con banda nominale pari a 100 Mbps o 1 Gbps per
l’interconnessione della rete del Q-ISP presso almeno un nodo QXN
• accesso ai servizi centralizzati di DNS (Domain Name System) ed
NTP (Network Timing Protocol)
• assistenza tecnica fornita dal Network Operation Center QXN (NOC
QXN) su base h.24x365
• monitoraggio e rendicontazione dei Livelli di Servizio contrattuali
(disponibilità, prestazioni)
ed alcune PRESTAZIONI AGGIUNTIVE quali:
• fornitura di rack standard aggiuntivi 19”
• modulo/i di accesso OPA aggiuntivo/i
• ridondanza geografica dell’accesso, consistente nella duplicazione
dell’accesso OPA già attivo su un nodo QXN anche sull’altro nodo.
La sottoscrizione del Servizio Base e/o delle Prestazioni Aggiuntive presuppone
che il Fornitore Qualificato SPC abbia aderito preventivamente alle regole
organizzative e tecniche della QXN sottoscrivendo il relativo Regolamento
di Adesione.
QXN s.c.p.a offre anche il Servizio di Interconnessione per trasporto di traffico
OPO che, come previsto dal Capitolato di Gara, può essere sottoscritto
esclusivamente dai Q-ISP assegnatari della Gara Multifornitore SPC.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 31

Sviluppi
Con il completamento della fase di introduzione del SPC in ambito nazionale,
che ha visto il coinvolgimento di tutte le Amministrazioni Centrali, si apre
ora una fase di evoluzione del SPC in “rete federale” per la sua estensione
compatibile con le reti di telecomunicazioni delle Amministrazioni delle Regioni,
Province, Comuni e degli altri Enti Locali. L’obiettivo è quello di mettere
in contatto tutte le Amministrazioni Pubbliche del Paese per permettere
loro di realizzare una completa cooperazione applicativa nello scambio di
dati, a beneficio dei servizi forniti ai cittadini ed alle imprese.QXN, in virtù
del suo ruolo “centrale” nel SPC, sarà chiamata a giocare un ruolo ancora
più rilevante come elemento di aggregazione tra realtà di reti, anche eterogenee,
che dovranno integrarsi per dare vita ad un sistema omogeneo per
servizi, qualità e sicurezza.Si prevede, pertanto, che le Qualified Community
Network (QCN) regionali si interconnetteranno progressivamente alla
QXN, così come altri Fornitori Qualificati che potranno eventualmente aggiungersi
al novero dei soggetti titolati a fornire i servizi SPC alle Amministrazioni.Infine,
si potranno avvalere della interconnessione alla QXN per integrarsi
nel SPC anche i Centri Servizi per la Cooperazione Applicativa e per
l’Interoperabilità Evoluta, attualmente in avanzata fase di realizzazione, così
come il Nodo di Interconnessione VoIP di prossima introduzione.
I servizi di telecomunicazioni
I servizi di connettivitò del SPC sono articolati in un listino che comprende
sia servizi di puro trasporto, utilizzando le soluzioni tecnologiche più avanzate
in tema di larga banda, in grado di fornire alle Amministrazioni accessi
in fibra fino a velocità di 2,5 Gbit/sec, sia servizi di sicurezza per garantire
alle Amministrazioni una completa protezione verso le minacce della rete,
assicurando nel contempo un grado elevato di sicurezza all’interno di tutto
il Sistema. I servizi disponibili sono completati da una serie di servizi a valore
aggiunto all’avanguardia che permettono alle Amministrazioni di utilizzare
l’infrastruttura di trasporto per migliorare la qualità dei servizi interni ed
esterni. Nel seguito verranno descritti in particolare i servizi VoIP e Wireless
che enfatizzano particolarmente le caratteristiche innovative dell’intero SPC.
IL VOIP
La piattaforma del Sistema Pubblico di Connettività (SPC) è stata progettata
32

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
per sfruttare appieno il potenziale della convergenza tra le tecnologie ICT,
offrendo in modo nativo la capacità di fornire servizi di comunicazione
non solamente orientati ai dati, ma alla multimedialità, e quindi a voce,
immagini e video. Questo passaggio è stato reso possibile dal consolidamento
delle tecnologie e degli standard per la comunicazione in tempo
reale su reti IP, primi tra tutti quelli destinati alla telefonia (VoIP: Voice
over IP). Sia i fornitori di tecnologie ICT, sia gli operatori telefonici hanno
adottato tecnologie VoIP che permettono una maggiore flessibilità nella
gestione degli impianti, l’ottimizzazione del loro utilizzo e, soprattutto,
l’erogazione di servizi integrati innovativi (i.e. telefonia fissa e mobile, unified
communication, etc.). Le conseguenze di questa trasformazione non
si esauriscono nell’opportunità di raggiungere obiettivi di contenimento
dei costi, abilitata dalle sinergie infrastrutturali ed operative, ma piuttosto
si proiettano verso la tensione a raggiungere obiettivi di efficacia ed efficienza
dei processi dell’Amministrazione, grazie ai benefici della comunicazione
unificata e della virtualizzazione del posto di lavoro. Messaggistica
istantanea, notifica di presenza dell’addetto, nomadismo, conversione
automatica dei media (voice-to-fax, mail-to-voice,...) sono solo alcuni
semplici esempi delle nuove forme di comunicazione possibili, tutte tese
ad arricchire le
forme di comunicazione
tra addetti
dell’Amministrazione
ed a
renderle più flessibili.
Per tali ragioni
risulterebbe
poco lungimirante
ricorrere a
soluzioni non
VoIP in caso di
sostituzione/potenziamento
di
un sistema telefonico.
Entrambi le reti nazionale ed internazionale della P.A. consentono alle
Amministrazioni di acquisire negli accordi Accordi Quadro del CNIPA
servizi di telefonia VoIP comprensivi della stazione di lavoro. Sono state
individuate differenti stazioni di lavoro: da telefoni VoIP di varie presta-
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 33

zioni sino a Soft Phone che prevedono l’installazione di un software sul
Personal Computer. Pertanto le Amministrazioni possono aderire ad un
servizio VoIP comprensivo di progettazione, installazione, manutenzione
a fronte di un canone mensile per posto di lavoro. La fornitura di impianti
di fonia (telefoni e centralini), in tecnica tradizionale e VoIP, è anche
oggetto di convenzioni Consip che prevedono la compatibilità con il
SPC.
l CNIPA ha da alcuni anni adottato tecnologia VoIP per le proprie esigenze
integrando nella Local Area Network sia terminali dati sia telefoni IP ed
estendendo in modalità Wi-Fi i servizi (vedi figura precedente).
Grazie a questa
soluzione si sono
ridotti gli oneri di
gestione del sistema
telefonico,
semplificando la
gestione complessiva
(unica
rete di distribuzione
e gestione
centralizzata per
dati e fonia) e
decrementando i
costi di manutenzione.
Con la finanziaria
2008 si è introdotta l’obbligatorietà dell’adozione dei servizi VoIP per le
Amministrazioni e verrà realizzato un Centro Servizi “Nodo d’interconnessione
VoIP” (NIV) connesso al SPC multifornitore al fine di:
• trasferire tutte le chiamate in ingresso ed uscita dalla RTG (Rete Telefonica
Generale)- indirizzate dalle/alle postazioni VoIP di tutte le
Amministrazioni(traffico off-net);
• consentire la connessione VoIP con qualità garantita di tutte le chiamate
interdominio tra un’Amministrazione e l’altra utilizzando i collegamenti
SPC (traffico on-net);
• fornire un piano di numerazione pubblica e centralizzato di tutte le
PAC;
34

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
• interconnettersi in modalità VoIP agli operatori telefonici ipotizzando
che il traffico telefonico verrà sempre acquisito dalle Amministrazioni
attraverso le convenzioni Consip. Questa specifica modalità di connessione
consente di non cambiare il piano di numerazione delle Amministrazioni
e di garantire la portabilità del numero per il dipendente
di un’Amministrazione anche in città differenti (vedi figura a pag. 34).
LE TELECOMUNICAZIONI WIRELESS
Le tecnologie
Wireless possono
integrarsi nel
SPC sia utilizzando
servizi “mobile”,
sia servizi
Wi-Fi. Le Amministrazioni
possono,
coerentemente
con i loro
piani di sviluppo
integrare nelle
reti fisse i servizi
sul cellulare, il
palmare, il PC
portatile in GSM,
Gprs, UMTS, potendo continuare ad operare in mobilità accedendo alle
proprie applicazioni e alle proprie basi dati. Così è possibile portare l’ufficio
pubblico presso il cittadini e le imprese, ad esempio nei cantieri di lavoro
o per assistere un anziano.
Per l’uso del Wi-Fi, il dipendente della P.A. può accedere in sicurezza agli
Hot Spot Pubblici identificati dal proprio operatore partner per rimanere in
connessione con il proprio sistema informativo anche nelle stazioni ferroviarie,
negli aeroporti, etc.
Infine per l’impiego del Wi-Max nel SPC la strada è aperta: gli operatori
possono scegliere il sistema di trasmissione wireless o fixed a condizione di
rispettare parametri di prestazioni e di sicurezza predefiniti. E’ un’opportunità
per gli operatori di incrementare i loro “point of presence” ed erogare
servizi a larga banda alla P.A. e ai cittadini.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 35

La qualità dei servizi di connetività
Una delle caratteristiche fondamentali del SPC è quella di fornire servizi di
qualità garantita a prescindere dal fornitore che realizza le soluzioni di rete
per l’Amministrazione. La gestione delle attività che consentono il monitoraggio,
il mantenimento e la risoluzione dei problemi per quanto riguarda
la qualità in un Sistema multifornitore quale il SPC è uno dei temi di elevata
complessità che sono stati definiti all’interno del sistema.
Le attività di qualificazione di tutti i fornitori consistono proprio nella verifica
trasparente delle architetture di servizio dei vari fornitori e in una verifica
puntuale della loro capacità di fornire i livelli minimi di qualità richiesti
per ciascun servizio. Per garantire la massima apertura al mercato, questo
processo di qualificazione può avvenire sia per fornitori abilitati ad operare
su tutto il territorio nazionale, sia per fornitori che sono interessati ad operare
solo a livello di una o più regioni.
Una volta qualificato, un fornitore verrà comunque sottoposto ad un monitoraggio
continuo delle prestazioni di rete e dei servizi di assistenza, per
garantire un continuo allineamento con quanto contrattualmente garantito.
La Commissione di Coordinamento, in accordo con tutte le entità preposte
definisce i criteri di qualificazione in base ai quali vengono creati gli elenchi
Nazionali e Regionali dei fornitori qualificati.
IL CENTRO DI GESTIONE – LA VISIONE DI IBM-SIRTI
Il Centro di Gestione (CG-SPC) è elemento fondamentale della sofisticata e
complessa struttura tecnico-organizzativa del Sistema Pubblico di Connettività
per suoi compiti di monitoraggio e validazione della qualità dei servizi
forniti e di sicurezza dell’intero Sistema.
Con funzioni di “terza parte”,il Centro è responsabile della raccolta e distribuzione
delle informazioni sui livelli di servizio, la disponibilità ed affidabilità
del Sistema e le prestazioni complessive degli operatori, in una posizione
di “garante” della qualità dei servizi erogati da soggetti diversi, all’interno
del sistema multi-provider. Il CG-SPC è sito in Roma, con un’architettura dedicata
di Server IBM pSeries basati su tecnologia Unix su cui risiede il Data
Warehouse DB2 e il sistema di TT Remedy e dei Blade Center xSeries su cui
risiedono il portale e tutte le applicazioni funzionali ai servizi ed all’operatività
del Centro.
E’ inoltre presente un presidio operativo e di supporto al CNIPA, ai Q-ISP ed
alle Amministrazioni, per la gestione delle attività del Centro, le funzioni di
36

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Sicurezza e di escalation sulla gestione dei problemi di funzionamento del
SPC, coordinato da un Responsabile del CG-SPC e dai Responsabili per l’area
Sicurezza e Misure.
Il CG-SPC svolge un ruolo essenziale nel processo di funzionamento del
SPC in quanto garante del processo di monitoraggio e validazione dei livelli
di servizio forniti agli utenti e del livello di sicurezza dell’intero SPC.
In particolare i servizi forniti dal Centro di Gestione-SPC comprendono:
• misurazione, raccolta e distribuzione dei dati relativi a prestazioni e
disponibilità, sicurezza, configurazione e gestione amministrativa dei
Soggetti Monitorati (ad oggi il raggruppamento Fastweb/EDS, BT,
Wind, Telecom e la SC-QXN)
• funzioni centralizzate di sicurezza del sistema e di coordinamento
delle relative attività svolte dai singoli Soggetti Monitorati con l’obiettivo
di assicurare la sicurezza complessiva del SPC.In particolare:
• il supporto al CNIPA nella definizione delle politiche di sicurezza
all’interno del SPC e nel monitoraggio della loro applicazione;
• il coordinamento delle attività di sicurezza svolte dai Soggetti Monitorati
per la prevenzione e la risposta ad attacchi od altri eventi
di sicurezza;
• la realizzazione di una Public Key Infrastructure (PKI) per l’emissione
e la gestione di certificati per il funzionamento del sistema
SPC.
• assistenza e formazione alle Amministrazioni pubbliche ed al CNIPA
per l’evoluzione del funzionamento complessivo del SPC.
I contenuti innovativi proposti da IBM e SIRTI per il progetto si possono sintetizzare
in:
• Integrated Next Generation Network Management: che prevede la
misurazione dei parametri di qualità del servizio su reti di ultima generazione
opportunamente integrate attraverso metodologie che si
adattano alle diverse tecnologie degli operatori;
• Information on Demand: la raccolta e l’elaborazione dei dati provenienti
dai diversi soggetti monitorati, con la disponibilità di tutte le informazioni
relative al SPC ai vari enti autorizzati (CNIPA, Pubbliche
Amministrazioni, Soggetti Monitorati …), in particolare quelle relative
alla qualità dei servizi.
• Managed Security Services: l’erogazione di funzioni centralizzate per
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 37

il monitoraggio e la gestione della sicurezza complessiva del SPC, e
interfaccia con il CERT SPC centralizzato del CNIPA.
La sostanziale natura di Trusted Third Party del Centro, però, non si limita
alla sola rilevazione dei dati di un ambiente eterogeneo, ma si manifesta anche
nell’azione proattiva da esso svolta nei confronti della sicurezza complessiva
del Sistema, e questo, in particolare:
• attraverso il ruolo di Incident Response Team (IRT) di secondo livello
nei confronti dei Security Operative Center (SOC) di ogni singolo
operatore e in connessione con il CERT del CNIPA.
• nel supporto al CNIPA per le attività di definizione delle politiche di
sicurezza all’interno del SPC e nel monitoraggio della loro applicazione
• ...e di evoluzione del modello organizzativo e dell’architettura tecnologica
della sicurezza di SPC, in funzione del mutamento delle esigenze
delle Pubbliche Amministrazioni e delle opportunità derivanti
dalla evoluzione delle tecnologie
Sotto questo punto di vista, il CG-SPC assume il ruolo chiave di soggetto responsabile
del governo della sicurezza dell’intero Sistema Pubblico di Connettività,
arrivando a progettare, gestire e coordinare le procedure di sicurezza
dei singoli Q-ISP nelle diverse situazioni di crisi, oltre che rilevare e
gestire, nel proprio Data Warehouse, le statistiche sui tentativi di attacco rilevati,
a fini statistici e del miglioramento complessivo della sicurezza del sistema
La sicurezza, insieme alla continuità del servizio, rappresenta uno degli elementi
che caratterizza il SPC. L’architettura distribuita del sistema, l’approccio
multifornitori, l’adozione di un modello “trusted”, impone un’organizzazione
della sicurezza articolata in cui le strutture di sicurezza operanti nei
vari domini: fornitori di connettività e Amministrazioni, siano interconnesse
e coordinate per operare come un’unica struttura.
La realizzazione di una infrastruttura per la sicurezza del SPC non può che
basarsi su una federazione di “domini di sicurezza”, in cui soggetti diversi
Amministrazioni), nell’ambito di un accordo per la sicurezza, si impegnano
reciprocamente nella attuazione delle tecniche e metodiche definite nell’ambito
del SPC atte a garantire i livelli di sicurezza necessari all’intero sistema.
Il Centro di Gestione della Sicurezza del SPC (CG-SIC), nel rispetto degli indirizzi
stabiliti dalle “Regole Tecniche e di Sicurezza per la realizzazione ed
38

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
il funzionamento del Sistema Pubblico di Connettività” e dalle direttive della
Commissione di Coordinamento SPC, realizza la componente centrale,
del sistema di sicurezza distribuito SPC. Esso attua quella parte del Centro
di Gestione SPC (CG- SPC) dedicata al mantenimento e alla verifica del livello
di sicurezza minimo garantito sul SPC.
I compiti principali del CG-SIC sono quelli di:
• contribuire a creare, di concerto con il CNIPA e con il CERT-GOV-C,
la “Security Community del SPC”
• coordinare, di concerto con il CER-GOC-C, la risposta agli incidenti
di sicurezza del SPC;
• analizzare i dati relativi ai tentativi d’attacco che vengono raccolti
dai sistemi di difesa perimetrale delle Amministrazioni;
• eseguire un’analisi del rischio del SPC annuale;
• fungere da “abuse desk” per il SPC;
• gestire la PKI del SPC;
• fornire consulenza al CNIPA nella definizione delle politiche di sicurezza
del SPC.
La sicurezza nel SPC
IL CERT-SPC
L’architettura di sicurezza tracciata dalle “Regole tecniche e di sicurezza
per il funzionamento del SPC”, prevede l’istituzione presso il CNIPA di
una struttura deputata ad assumere il ruolo di referente centrale per la
prevenzione, il monitoraggio, la gestione, la raccolta dati e l’analisi degli
incidenti di sicurezza. Tale struttura assicura l’applicazione di metodologie
per la gestione degli incidenti informatici coerenti ed uniformi in tutto
il sistema da essa controllato. Le “Regole Tecniche di sicurezza indicano
le attribuzioni, le competenze ed il modello organizzativo di interazione
tra le diverse componenti dedicate alla sicurezza del Sistema Pubblico di
Connettività. L’impianto complessivo previsto, infatti, affida alla Commissione
di Coordinamento il compito di definire ed emanare le linee guida
riguardanti il modello di riferimento e gli standard da adottare, in relazione
all’evolversi delle minacce e dei rischi cui sono esposti il patrimonio
informativo ed i dati della pubblica amministrazione. Per questo compito
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 39

la Commissione si avvale del CERT-SPC, punto di osservazione privilegiato
di tali fenomeni, che monitora lo stato della sicurezza interna di SPC,
comparandolo con le informazioni, le tendenze e le emergenze rilevate a
livello mondiale 1 .
Il CERT-SPC, come ogni organizzazione dello stesso tipo, è caratterizzato da:
• una comunità di riferimento (cd. constituency);
• un modello organizzativo tipico;
• l’erogazione di servizi di prevenzione e reazione a beneficio della
propria constituency;
• relazioni con entità ed organismi interni ed esterni all’organizzazione
di cui è parte.
L’impianto disegnato dalle citate Regole Tecniche, conseguentemente, attribuisce
al CERT-
SPC - nell’ambito
dell’architettura
complessiva del
Sistema pubblico
di connettività -
un ruolo di coordinamento
tra
tutte le componenti
del SPC,
costituite dalle
infrastrutture
condivise, dalle Numero di vulnerabilità informatiche scoperte annualmente
Unità Locali di (fonte ISS-X-Force Annulal Report).
Sicurezza delle
Amministrazioni (ULS), dai CERT-SPC-R, ovvero le omologhe realtà da isti-
1 I CERT riconosciuti nel mondo sono circa 170, ed il riconoscimento deriva dall’affiliazione
all’organismo statunitense FIRST (Forum of Incident Response and Security Teams). Di questi,
46 appartengono ad entità governative e gli altri ad aziende e ad enti di ricerca ed accademici.
Nell’ambito dell’organismo denominato TERENA (Trans European Research and Education
Networking Association) è inoltre attiva una struttura denominata TF-CSIRT (Task Force
CSIRT) per il supporto ed il coordinamento dei CSIRT europei che conta attualmente 42
aderenti, alcuni dei quali affiliati anche al FIRST.
I CERT governativi in Europa sono attualmente 19 di cui 16 in rappresentanza dei paesi che
hanno già aderito all’Unione Europea).
40

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
tuirsi a presidio delle reti regionali. Si tratta cioè della componente del Sistema
deputata a facilitare l’attività di governo delle vulnerabilità e di prevenzione
e gestione informativa degli incidenti informatici, relativi a contesti
differenziati ed esterni rispetto al proprio dominio.
Proprio questo ultimo è un connotato essenziale dell’architettura di sicurezza
di SPC, all’interno del quale le Unità Locali di Sicurezza delle amministrazioni
con i Security Operation Center (SOC) dei fornitori di connettività
ed il Centro di Gestione ricoprono il ruolo principale, attesa la materiale
disponibilità e gestione dei sistemi di sicurezza implementati a presidio
delle applicazioni e del patrimonio informativo della P.A..
In questo contesto, il CERT-SPC svolge funzioni di prevenzione mediante
la predisposizione di bollettini informativi (early warning) e di coordinamento
tra i soggetti della comunità coinvolti, basandosi sui dati
prodotti e comunicati dai singoli costituenti: il quadro informativo così
composto rappresenta anche lo strumento principale per fornire supporto
alle funzioni di indirizzo strategico affidate alla Commissione di Coordinamento.
Schematizzazione delle attività del CERT-SPC in relazione al verificarsi di un incidente
I compiti e le funzioni appena descritti sono stati concepiti con una logica
distribuita, dove le attività operative di gestione degli incidenti sono svolte
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 41

direttamente ma in modo sinergico dalle ULS e dai SOC, con l’ausilio del
Centro di Gestione.
Le ULS rappresentano infatti la componente distribuita dell’intera architettura
di sicurezza e sono strutture di ampiezza e complessità variabile in relazione
alle specifiche esigenze e dimensioni della singola amministrazione:
a loro è attribuito il compito di dare attuazione alle azioni di prevenzione
che scaturiscono dai bollettini pubblicati dal CERT-SPC e di gestire gli
incidenti che si dovessero verificare sui sistemi informativi di propria pertinenza.
Per questi motivi, la progettazione del servizio di early warning (fondamento
dell’attività preventiva), è stata ispirata anche all’esigenza di creare una
forte interazione tra i rappresentanti della comunità dedicata alla sicurezza
del Sistema, originata anche dal contributo o dall’iniziativa delle singole
ULS, nella consapevolezza del ruolo e dell’importanza che la condivisione
delle informazioni assume in termini di prevenzione.
LA COMMUNITY PER LA SICUREZZA NEL SPC
L’intero sistema di prevenzione realizzato
mediante il servizio di early warning appena
tratteggiato, appare fortemente ispirato
alla necessità di creare una comunità della
sicurezza tra tutti gli attori presenti nel Sistema
Pubblico di Connettività.
Tale comunità, imperniata sull’interazione
CERT-SPC/Unità Locali per la Sicurezza delle
amministrazioni, trova riferimenti esterni nel
Centro di Gestione e nei Security Operation
Center dei quattro fornitori di connettività.
La condivisione delle informazioni e delle
esperienze relative alle tematiche della sicurezza
rappresenta, infatti, in tessuto connettivo
sul quale costruire questa comunità, oltre
ad essere uno strumento efficace per realizzare
le necessarie iniziative di prevenzione a presidio del patrimonio informativo
della pubblica amministrazione.
Questa comunità, che dal punto di vista del CERT-SPC assume il nome di
constituency, si compone di ULS assolutamente variegati per modalità operative,
struttura interna e dimensioni.
42

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Tra gli obiettivi del CERT-SPC, quale unità per il coordinamento informativo
sulle minacce e sugli incidenti informatici relativi ai sistemi informativi della
pubblica amministrazione, ha assunto un ruolo non secondario la identificazione
delle risorse, la proposizione di linguaggi tecnici e di metriche di
valutazione comuni, nonché di un modello di funzionamento integrato e
condiviso tra tutti i “constituenti”.
Tutto questo con il fine di sensibilizzare tutte le realtà coinvolte su come
solo la molteplicità e l’affidabilità delle fonti informative, unite alla capacità
di realizzare una tempestiva comunicazione ai responsabili di tutte le amministrazioni,
costituiscono l’asse portante di un efficace azione di prevenzione.
Tale ruolo attribuisce al CERT-SPC anche la possibilità di attuare forme di
collaborazione ed interazione mediante protocolli di intesa, con i principali
ISP nazionali, con i produttori di tecnologie hardware e software, con le
FF.OO e con altri CERT nazionali e internazionali.
I servizi d’Interoperabilità Evoluta
e di Cooperazione Applicativa
Nell’ambito delle attività sussidiarie che il CAD assegna a livello nazionale
al CNIPA, è stata predisposta ed assegnata una gara con due lotti per la fornitura
di servizi di interoperabilità evoluta, cooperazione e sicurezza applicativa.
Per servizi di interoperabilità evoluta si intendono quei servizi idonei
a favorire la circolazione, lo scambio di dati e informazioni tra le amministrazioni
e con i cittadini. Tali servizi comprendono i servizi di messaggistica
e i servizi web. Per cooperazione applicativa il CAD definisce quella
parte del sistema pubblico di connettività finalizzata all’interazione fra sistemi
informatici delle pubbliche amministrazioni, per garantire l’integrazione
dei metadati, delle informazioni e dei procedimenti amministrativi. I
servizi di interoperabilità evoluta si caratterizzano per un’integrazione lasca
tra i sistemi informatici coinvolti e per un’interazione nella quale può generalmente
intervenire un operatore umano. I servizi di cooperazione applicativa
si caratterizzano, invece, per un’alta coesione dei sistemi informatici
interagenti che mantengono tuttavia il più elevato grado di disaccoppiamento.
La coesione, tale da favorire l’integrazione dei procedimenti, viene
realizzata attraverso interfacce standard e profili di collaborazione, secondo
consolidati modelli di organizzazione a servizi (SOA – Service Oriented
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 43

Architecture). La cooperazione applicativa include anche i servizi di sicurezza
applicativa finalizzati sia alla ricerca del cosiddetto “malware” all’interno
dei protocolli applicativi sia a garantire servizi di identificazione ed
access management.
Sulla base di tali categorie di servizi previsti dal CAD ed in forza del mandato
conferito dal CAD stesso al CNIPA in termini di contratti quadro, previsione
rafforzata dall’art.2, comma 3, lettera b) del DPCM recante “Razionalizzazione
in merito all’uso delle applicazioni informatiche e servizi ex
articolo 1, commi 192, 193 e 194, della legge n. 311 del 2004” che prevede
la stipula di accordi quadro per le categorie di servizi relativi a: supporto
alla conduzione dei sistemi informatici, messaggistica e siti web, il CNIPA a
seguito delle citate procedure concorsuali ha stipulato i seguenti due accordi
quadro:
• “Lotto 1” – Accordo quadro n. 4/2007 con il RTI Telecom Italia mandante
e Elsag-Datamat, Engineering mandatarie relativo alla fornitura
di servizi web e servizi di supporto alla conduzione dei sistemi.
• “Lotto2” - Accordo quadro n. 5/2007 con il RTI EDS mandante e Almaviva
mandataria relativo alla fornitura di servizi di messaggistica,
cooperazione e sicurezza applicativa.
ACCORDO QUADRO CNIPA N.4 2007 - LA VISIONE
DEL RTI TELECOM ITALIA/DATAMAT ELSAG/ ENGINEERING
Il Data Center SPC dedicato
Per erogare al meglio i servizi previsti nell’accordo Quadro n.4 del 2007 il
RTI ha predisposto un Centro Servizi virtuale dedicato.
Tale Centro Servizi dedicato è stato realizzato utilizzando le infrastrutture
del RTI dislocate sul territorio nazionale, in particolare vengono impiegati i
data center Telecom Italia di Roma (Via Oriolo Romano) e di Pomezia. I
Centri Servizi Nazionali del RTI sono infrastrutture tecnologiche all’avanguardia,
la cui finalità sono quelle di supportare servizi che necessitano di
grande capacità computazionale e massima scalabilità.
Connettività
L’infrastruttura di rete utilizzata per l’interconnessione ad alta capacità dei
Data Center è denominata VDCN (Virtual Data Center Network). La VDCN
è strutturata per coniugare affidabilità e performance. Strutturalmente è
composta da:
44

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
• linee ad altissima capacità (2,5 Gbps) lungo le dorsali con maggior
traffico di interscambio
• linee a larga banda (155 Mbps) sempre in configurazione ridondata
In virtù della presenza di detta interconnessione, un sottoinsieme di Data
Center può essere visto logicamente come unico.
Le sedi
Il Centro Servizi dedicato è stato realizzato sfruttando le infrastrutture dei
Data Center Telecom Italia delle seguenti sedi:
• Roma, campus Via Oriolo Romano 257.
• Pomezia, Km 29,1 SS Pontina.
Sede di via Oriolo Romano
All’interno del campus, il Data Center è sviluppato su un corpo centrale dedicato
ad uso industriale che ospita anche la Centrale Telefonica Roma Nord.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 45

46
Sede di Pomezia
Per quanto riguarda l’accessibilità, il sito dista circa 30 Km dal centro di Roma
e circa 50 Km dall’aeroporto di Fiumicino.
All’interno del sito, sono presenti tre corpi: Pomezia IDC, Pomezia DC e Pomezia
2. Il primo è costituito da una sola area DC, il secondo da un’area
DC ed una ad uso civile, il terzo è destinato ad uso civile.

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Area dedicata SPC
Nel corpo centrale dei siti dei data center, all’interno di una sala sistemi, è
stato ricavato uno spazio dedicato ad ospitare le piattaforme destinate all’erogazione
dei servizi SPC.
Tale spazio è separato dal resto della sala tramite una struttura divisoria
comprensiva di porte ad accesso controllato tramite badge e di porta di
emergenza collegata ai sistemi di allarme centralizzati.
Le aree funzionali
Oltre i Data Center, fanno parte integrante del Centro Servizi SPC le aree
dedicate alle strutture di Help Desk e di Security Operation Center (SOC),
dislocate a:
Roma- Via Parco de’ Medici
Roma- Via Tor Pagnotta
Genova- Via Puccini
SOC: Roma e Milano.
Help Desk
L’area Help Desk ospita i derivati della componente telefonica di accoglienza,
le postazioni di lavoro degli operatori, le consolle remotizzate dei sistemi
a supporto e le consolle remotizzate delle piattaforme di erogazione dei
servizi. Pertanto tali strutture sono situate in locali ad uso ufficio. I server
centrali a cui si connettono le consolle remotizzate sono dislolocati presso i
data center di Roma Via Oriolo Romano e di Pomezia.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 47

SOC
L’area del SOC ospita i derivati della componente telefonica, le postazioni
di lavoro degli operatori, le consolle remotizzate dei sistemi a supporto e le
consolle remotizzate della piattaforma di Security Management.
Continuità Operativa
Sono state previste due sedi per ogni area in maniera tale da implementare
una soluzione di continuità operativa:
per le aree Data Center ed Help Desk le due sedi di Pomezia e di Roma
svolgono rispettivamente i ruoli di sede primaria e secondaria; per il SOC,
Roma svolge il ruolo di sede primaria e Milano di sede secondaria.
Bilanciamento geografico delle connessioni
E’ predisposto un servizio di bilanciamento geografico (Global Traffic Manager)
tra i due siti, con la duplice valenza di offrire sia una alta disponibilità
sui sistemi dislocati geograficamente, sia una alta affidabilità del servizio in
ottica di Disaster Recovery.
48

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Caratteristiche Infrastrutturali
Processo di gestione della sicurezza nei Data Center
Nel macro-processo di “Sicurezza nel Data Center” il concetto di sicurezza
è stato considerato nella sua globalità.
Il macro processo riguarda la progettazione e la realizzazione degli impianti
di sicurezza e, inoltre, la modalità di intervento e di gestione degli eventi
dannosi:
Progettazione impianti di sicurezza:
L’insieme delle attività necessarie per l’espletamento degli adempimenti pre-
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 49

visti dalle norme legislative in materia di sicurezza e prevenzione nei luoghi
di lavoro.
L’adeguamento degli impianti di sicurezza del Data Center per protezione
del patrimonio aziendale considerando gli standard di sicurezza aziendale.
La realizzazione degli impianti di sicurezza, ovvero l’insieme delle attività riguardanti
la messa in opera degli impianti che garantiscono la sicurezza sul
lavoro e la sicurezza fisica dei sistemi (e quindi anche dei dati) ospitati nei
Data Center.
Gestione eventi (incidenti e/o crisi) ed azioni correttive: l’insieme delle attività
da intraprendere nel caso in cui si manifestino eventi rilevanti per la sicurezza
del Data Center e l’applicazione delle azioni correttive per migliorare
l’efficienza e l’efficacia dei sistemi di sicurezza.
Data Center Certificati
Il Data Center di Pomezia è stato certificato secondo
la normativa BS7799:2002 nel Novembre
2005, convertita in ISO 27001:2005 dal Maggio
2006
Il Data Center di Oriolo Romano è stato certificato
ISO 27001:2005 nel Dicembre 2006
Det Norske Veritas (DNV) è l’ente certificatore,
leader nel settore, che ha verificato il rispetto delle
misure di sicurezza dei Data Center.
I Servizi
I servizi erogati sono suddivisibili in due macro categorie:
SERVIZI DI GESTIONE DI SITI WEB:
• Hosting di siti web
• Progettazione e realizzazione di siti web
• Supporto tecnico alle attività di tipo redazionale
• Il servizio di Accesso alle Applicazioni in Modalità Web
SERVIZI DI CONDUZIONE DEI SISTEMI:
• Gestione posti di lavoro
• Wan e lan management
• System management
50

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Hosting di siti web
Il servizio di Hosting di Siti Web ha l’obiettivo di assicurare, ai Portali ed ai
siti Web delle singole Amministrazioni, il corretto funzionamento dei sistemi
elaborativi, infrastrutturali e tecnologici, in cui essi vengono ospitati. I siti
Web delle Amministrazioni sono ospitati nei Data Center Telecom Italia in
precedenza descritti e da questi ereditano le caratteristiche di bilanciamento
del traffico (sia a livello locale che a livello geografico) e le soluzioni di
disaster recovery.
La soluzione proposta dal RTI prevede:
• sia l’utilizzo di server virtualizzati dedicati alla singola Amministrazione,
per ottenere elevate caratteristiche di flessibilità nell’erogazione
del servizio nel pieno rispetto dei requisiti di sicurezza, garantiti tramite
la completa separazione degli ambienti;
• sia l’utilizzo di server fisici forniti dal RTI nel caso in cui ci siano specifiche
esigenze di separazione fisica, oppure forniti dall’Amministrazione
nel caso di migrazione di apparati hardware esistenti.
Sono predisposti sistemi di memorizzazione di massa condivisi, capaci di
ospitare i dati dei clienti in modo indipendente, separato e secondo differenti
livelli di servizio in termini di affidabilità e prestazioni.
E’ previsto un sistema di backup/restore centralizzato con differenti profili
di frequenza di archiviazione, periodo di retention dei dati, media type per
l’archiviazione dei dati (nastro, disco).
Architettura logica
I sistemi che erogano il servizi sono dislocati su tre livelli logici differenti a
seconda delle funzionalità che questi vanno a realizzare:
Web Layer
Application Layer
Data Base Layer
Questa separazione permette di implementare più efficaci soluzioni di scalabilità
e di sicurezza.
Oltre ai server, fisici o virtuali, per l’erogazione del servizio, ulteriori componenti
fisiche sono allocate sui tre layer logici:
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 51

Il Servizio di Progettazione e Realizzazione Siti Web
Relativamente a questo servizio, che permette agli Enti Pubblici di costruire
o rinnovare la propria presenza in Rete, il RTI adotta principi e metodologie
proprie del cosiddetto “Web 2.0”, che
vede il cittadino non più solo come fruitore
passivo del contenuto, ma come
partecipante attivo, in grado di contribuire
all’efficacia e alla completezza dei
servizi che ogni Amministrazione espone
attraverso il Web.
Ogni Ente Pubblico, cioè, non si porrà
più solo l’obiettivo di offrire uno “sportello
virtuale” all’altezza delle aspettative e delle esigenze del cittadino; ma
cercherà di costruire una vera e propria “architettura della partecipazione”
che, facendo leva sugli effetti di rete e su particolari algoritmi, renda semplice
agli utenti “aggiungere valore” con i propri contributi.
Non è evidentemente facile ed immediato esercitare un approccio generalistico
a questi temi, visto che i vari enti pubblici hanno tra loro differenti
obiettivi, sia in termini di scopo che di tipologia di audience. A questo riguardo,
la metodologia progettuale, pur mantenendo fermi i principi della
centralità dell’utente (User Centered Design) e del Web 2.0, presenta varie
opportunità che ogni Amministrazione può più o meno accentuare in base
ai propri scopi.
52

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Si potrà quindi rivolgere maggiormente l’attenzione
all’aspetto emozionale, che privilegia
l’attenzione al contenuti multimediali, al visual
design, alla facilità d’uso; oppure all’aspetto
partecipativo, che accentua le possibilità di
condivisione della conoscenza, di interazione
tra i cittadini, di creazione di comunità omogenee
e di rapporti paritari tra Amministrazione e
pubblico; oppure ancora si potrà puntare più
decisamente alla trovabilità del contenuto, utilizzando strumenti evoluti di
classificazione e ricerca dell’informazione.
Naturalmente sono possibili approcci “misti” in cui più aspetti vengono
contemporaneamente valorizzati, per costruire una Digital Identity della
singola Amministrazione particolarmente caratterizzante ed efficace.
Il servizio di Supporto Tecnico alle Attività Redazionali
La gestione degli aspetti redazionali riveste un ruolo
fondamentale nel ciclo di vita di un Portale, soprattutto
nel contesto della P.A. dove la comunicazione pubblica
rappresenta un parametro cruciale della qualità del
servizio offerto agli utenti (cittadini o imprese).
La qualità delle attività redazionali, assieme alla corretta
frequenza di aggiornamento, contribuiscono in maniera
decisiva al successo di un sito web della P.A. e favoriscono
la “customer loyalty” cioè la fedeltà dell’utente
al sito, stimolando in lui la positiva percezione di avere a disposizione
un valido veicolo per l’accesso e la fruizione delle informazioni e dei servizi
dell’Amministrazione.
Per garantire i livelli di efficienza, efficacia e qualità del servizio adeguati alle
richieste, il RTI prevede l’istituzione di una “redazione” composta da risorse
con professionalità variegate – Art Director, Visual Designer, Web Programmers
– con comprovata esperienza nella gestione di contenuti sia per
portali informativi basati su logiche commerciali, sia per portali pubblici basati
su logiche istituzionali e di pubblico servizio.
Il servizio di Accesso alle Applicazioni in Modalità Web
In molti Enti Pubblici è ricorrente la necessità di offrire al Cittadino, attraverso
la Rete, alcuni servizi peculiari, propri del Sistema Informativo dell’Ente.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 53

Tale sistema informativo costituisce un patrimonio
tecnologico ed applicativo che è andato
aumentando nel corso degli anni, spesso
attraverso percorsi diversificati. Questo
patrimonio, per ragioni di costi e di opportunità,
non può essere sostituito ma deve essere
preservato, valorizzato ed integrato in modo
da rispondere al meglio alle nuove necessità
ed alle potenzialità offerte dal web. In
particolare per la Pubblica Amministrazione,
la possibilità di rendere fruibili agli utenti (cittadini
o imprese) tramite canali diversificati (PC, telefoni cellulari, PDA,
ecc.,) servizi ed informazioni già disponibili nei propri sistemi informativi
rappresenta un obiettivo importante per la promozione dell’ e-Government.
In questo ambito, il RTI prevede l’utilizzo di metodologie esecutive che, attraverso
l’ analisi delle applicazioni preesistenti, permettono di individuare
la modalità migliore per l’abilitazione di tali applicazioni al mondo Web. Infatti,
le modalità con cui un’applicazione può essere resa disponibile in Rete
sono classificabili in tre categorie differenti, ognuna delle quali corrisponde
ad un diverso livello di adattamento della stessa applicazione:
webification: è il ridisegno dell’interfaccia affinché sia consentito l’accesso
all’applicazione tramite il web, lasciando la logica di presentazione inalterata
se non per i soli miglioramenti estetici;
online transaction integration: è il consolidamento di più funzioni applicative
in un’unica interfaccia, attraverso un unico livello di presentazione;
composite application/services: è la creazione di una nuova applicazione,
attraverso l’integrazione di componenti esistenti e la scrittura di nuove funzioni
ad hoc.
Ogni modalità risponde ad obiettivi diversi e di conseguenza a complessità
esecutive differenti, soprattutto in termini di “reingegnerizzazione” dell’applicazione
pre-esistente.
Servizi di conduzione sistemi
Gestione posti di lavoro
Il servizio che il RTI offre per la Gestione dei Postazioni di Lavoro si prefigge
l’obiettivo di amministrare in maniera efficace, proattiva e completa le Postazioni
di Lavoro fornite dalle Amministrazioni. Per questo obiettivo il RTI
propone una piattaforma tecnologica fortemente integrata e una serie di
54

processi a supporto che si avvalgono dell’esperienza pluriennale nell’ambito
di gestioni complesse e mission critical.
Wan e lan management
Il servizio che il RTI offre per il WAN/LAN Management, si prefigge l’obiettivo
di gestire l’infrastruttura di networking che è alla base di tutti i servizi
ICT forniti alle Amministrazioni. L’erogazione del servizio soddisfa le seguenti
specifiche esigenze delle Amministrazioni: controllo remoto e monitoraggio
degli apparati di rete, gestione dei registri di configurazione, monitoraggio
della rete, attivazione delle terze parti, back up delle configurazioni
e servizi di help desk.
System management
Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
I servizi di System Management prevedono la fornitura di tutte le attività necessarie
per prendere in carico, condurre e mantenere aggiornata e correttamente
funzionante l’infrastruttura Hardware e Software oggetto del servizio.
I servizi constano di attività di conduzione operativa (controllo remoto,
change management, software distribution, monitoraggio dei valori di carico,
gestione dei supporti di memorizzazione, gestione stampe, gestione delle
SAN, gestione dei blade server, …) ed attività a carattere specificatamente
sistemistico (gestione dei cambiamenti di configurazione, amministrazione
data base, capacity planning, …).
Il RTI eroga il servizio prevalentemente in modalità remota. Ove ciò non sia
possibile si avvale del supporto della manutenzione presso la sede dell’Amministrazione.
In particolare, essa effettua le attività localmente con due
modalità: tramite un Presidio presso le Amministrazioni (modalità on-site)
oppure tramite le strutture territoriali del RTI.
ACCORDO QUADRO CNIPA N.5 2007 - LA VISIONE DEL RTI EDS-ALMAVIVA
Tre gruppi di servizi, sei servizi base, diciassette opzioni e funzionalità aggiuntive,
cinquattasette livelli di servizio, disponibilità H24/365, un centro
servizi per abilitare l’interazione e la cooperazione tra i servizi applicativi
delle Amministrazioni; questo, in estrema sintesi, è quanto previsto dal contratto
quadro per i servizi di interoperabilità e cooperazione applicativa. I
servizi, individuati dal CAD con il criterio di servizi di carattere generale riguardanti
il funzionamento degli uffici, prevedono:
• Posta elettronica
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 55

• Posta elettronica certificata
• Videocomunicazione
• Cooperazione applicativa
• Identificazione, autenticazione ed autorizzazione
• Firewall xml
Tutti i servizi sono forniti in modalità di completo outsourcing e assicurano
alle Amministrazioni la disponibilità di un help desk specializzato, di documentazione
di riscontro sull’andamento e sul livello di servizio, di servizi di
formazione e di eventuale consulenza professionale.
La conformità a determinati standard ampiamente diffusi, la granularità delle
metriche e soprattutto l’affidabilità costituiscono le caratteristiche che
hanno guidato la progettazione e la realizzazione di questi servizi; l’affidabilità
è un valore per le Amministrazioni che nel complesso del progetto del
Sistema Pubblico di Connettività accedono ad un insieme di servizi coerente
ed omogeneo.
A titolo di esempio, indipendentemente dal numero di caselle di posta, accedono
ad un servizio H24, dotato di meccanismi accessori di sicurezza
(antivirus ed antispam, backup), misurato
da un insieme stringente di livelli
di servizio che da sostanza ad
un strumento robusto, consistente
con la missione di una Pubblica Amministrazione,
facilmente adattabile
alle esigenze di ciascun Ente attraverso
un modello di configurazione del
servizio granulare. Queste considerazioni
hanno portato a progettare sistemi
tecnologici e processi organizzativi
di supporto di alta classe adeguati
al disegno complessivo ed al
ruolo istituzione del Sistema Pubblico di Connettività e Cooperazione ed a
considerare l’applicazione di tecnologie, sicuramente avanzate, ed adeguatamente
collaudate. Nel caso della Posta Elettronica Esclusiva, sempre a titolo
di esempio, si sono adottati meccanismi non solo di ridondanza di apparati
nei diversi livelli architetturale per assicurare la disponibilità del servizio,
ma si anche impiegata la Replica Continua dei cluster (CCR) per non
avere singoli punti di avaria, avere la possibilità di distribuire l’infrastruttura
in più centri servizi e non avere requisiti di archiviazione condivisa.
56

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Il Centro Servizi, a disposizione dell’interoperabilità e della cooperazione
applicativa per il Sistema Pubblico di Cooperazione, ospita gli apparati e le
infrastrutture necessarie alla fornitura e gestione dei servizi ed i sistemi dedicati
al monitoraggio, sia locale che remoto, ed alla sicurezza.
Si tratta di un centro servizi virtuale organizzato su due sedi, nell’area metropolitana
di Roma, tra loro connesse e su altri centri specializzati per i servizi
di Posta Certificata e Supporto agli utenti. Questo modello assicura un
solido impianto di erogazione dei servizi di continuità operativa – sia come
disaster reecovery che come business continuità- e diventa un elemento caratterizzante
l’intero disegno tecnico dell’infrastruttura a disposizione della
Amministrazioni.
Il primo sito ha a disposizione circa 200 mq per i sistemi di backup e server
infrastrutturali, dispone di una rete privata in fibre ottiche e di un installato di
190 server applicativi e infrastrutturali, una Storage Area Network con oltre
60TB e librerie robotizzate per l’archiviazione. Sono presenti ulteriori locali
sotterranei (bunker) per librerie robotizzate; gli impianti sono ridondati in
real time. Il secondo sito ha una superficie lorda di circa 13.000 mq. con 4
piani fuori terra ed uno seminterrato; comprende un installato di oltre
12.000 MIPs mainframe,
circa 20 sistemi dipartimentali
di fascia alta, circa 300
server, Storage SAN e NAS
per oltre 100 TB e diverse
librerie robotizzate.
Ambedue i siti dispongono
di dotazioni di sicurezza
adeguate ai requisiti del sistema
pubblico di connettività
e cooperazione (es videosorveglianza
accessi,
biometria ecc.) allo scopo di stabilire le necessarie garanzie di affidabilità
dei servizi e dei dati trattati.
Le connessioni tra il Centro Servizi e le Amministrazioni sono realizzate mediante
connessioni SPC mentre la connettività tra i Centri servizi, il traffico
di servizio, è di tipo IP MPLS. I CED Almaviva ed Actalis sono collegati nell’ambito
della Intranet del gruppo Almaviva.
Vi è accesso internet con banda superiore a 170Mbps tramite il collegamento
a due Provider differenti. E’ anche presente un collegamento in ponte
radio ad uno dei due Provider.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 57

Posta elettronica esclusiva
Il servizio di Posta Elettronica Esclusiva consente agli utenti dell’Amministrazione
di scambiare posta elettronica sia internamente alla stessa, sia con altri
utenti di altre Amministrazioni e sia con Internet. Gli utenti hanno a disposizione
caselle da 300MB fino ad 1GB, dispongono, inoltre, di un servizio antivirus
ed antispam configurabile alle esigenze di ciascuna Amministrazione.
Il servizio può essere affiancato da:
• una funzione di Archiviazione dei messaggi per memorizzare contenuti
ed allegati.
• una funzione di Unified Messaging in grado di gestire sotto forma di
messaggio di posta elettronica il traffico Fax, SMS e Voice.
L’Amministrazione può scegliere di aderire ai servizi erogati in due modalità:
• centralizzata, presso il Centro Servizi, usufruendo così di una infrastruttura
sicura, di spazi e di logistica completamente messi a disposizione
dalle aziende del raggruppamento. Rientrano in questa modalità
il servizio di Posta Elettronica, Archiviazione e Unified Messaging;
• On-site presso la sede dell’amministrazione che mettera a disposizione
gli spazi e la logistica necessaria. Fanno parte del servizio, sia la
fornitura dell’infrastruttura e la relativa installazione e manutenzione,
sia la gestione del sistema.
58

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Il sistema di gestione delle utenze utilizza un servizio di directory Microsoft
Windows. L’organizzazione di posta elettronica è prevista integrata all’interno
di una struttura Active Directory. Ogni Amministrazione avrà a disposizione
un dominio active directory all’interno del quale è possibile creare,
secondo specifiche esigenze, contenitori logici di oggetti denominati “organization
unit” che conterranno a loro volta gli account di dominio che usufruiranno
del servizio di posta elettronica; agli account è possibile associare
le mailbox degli utenti.
L’architettura prevista per il servizio di posta elettronica è costituita da due
componenti distinte:
• servizi perimetrali, attraverso i quali erogare funzionalità di Mail Relay
SMTP, Anti-Virus ed Anti-Spam ed in grado di realizzare una separazione
tra l’organizzazione di posta elettronica realizzata per l’Amministrazione
ed Internet
• l’organizzazione di posta elettronica all’interno della quale ospitare le
mailbox degli utenti ed applicare, in aggiunta ai servizi perimetrali, ulteriori
livelli di sicurezza legati alla scansione Anti-Virus ed all’Anti-Spam.
Per assicurare adeguati livelli di sicurezza le due componenti utilizzano infrastrutture
fisiche separate:
I servizi perimetrali in ambiente OpenSource Linux e server di posta PostFix
L’organizzazione di posta elettronica sulla piattaforma di messaging Microsoft
Exchange 2007 in architettura a 64 bit.
Posta elettronica certificata
Il servizio di Posta Elettronica Certificata (PEC) (gestito da EDS Italia S.p.A.
ed Actalis S.p.A. (gruppo AlmavivA) entrambi presenti nell’elenco dei gestori
di posta elettronica certificata) consente agli utenti dell’Amministrazione
di scambiare messaggi di posta elettronica con garanzie in merito all’invio
ed alla effettiva consegna nella casella di posta certificata del destinatario,
secondo la normativa vigente (vedi DPR n°68 del 11/2/2005 e dal DM
del 2/11/2005 del Ministro per l’Innovazione e le Tecnologie).
Il titolare della casella di PEC che invia una mail disporrà della ricevuta di
accettazione e della successiva ricevuta di avvenuta consegna, che potrà
essere utilizzata per dimostrare l’avvenuto invio del messaggio e dei documenti
allegati, e che certificherà la conclusione del processo di spedizione.
Ogni Amministrazione che aderisce al servizio potrà definire uno o più domini
di posta elettronica certificata (gestiti dal fornitore del servizio) su cui
saranno attivate le caselle.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 59

Ogni utente del servizio dispone di una casella da 1GB e servizi accessori
di antivirus ed antispam configurabili alle esigenze dell’Amministrazione; in
aggiunta è possibile attivare anche un servizio di archivino dei messaggi.
Videocomunicazione collaborativa
Il servizio ha l’obiettivo di favorire la contestualità del confronto e delle decisioni
in tutti quei procedimenti in cui sia necessario l’apporto contemporaneo
di diverse unità organizzative dell’Amministrazione o di diverse Amministrazioni
a distinti titoli competenti. Il servizio ha valenza di strumento
di supporto all’efficienza nella Pubblica Amministrazione P.A. e può, ove
adottatato formalmente, indirizzare fasi istruttorie e decisorie proprie della
Legge 241/90. Il servizio promuove la semplificazione del processo amministrativo,
rende disponibile un ambiente dedicato alla condivisione delle informazioni
ed all’esecuzione di processi collaborativi, rende disponibili in
tempo reale le informazioni sullo stato del procedimento, contiene i costi
ed i tempi per lo svolgimento del procedimento, permette lo svolgimento
sincrono di alcune fasi del procedimento ed enfatizza l’interoperabilità con
gli altri strumenti di pubblica utilità.
Il servizio di Videocomunicazione collaborativa permette, agli utenti delle
Amministrazioni, di comunicare, in tempo reale ed in modalità interattiva,
con altri utenti o gruppi di utenti dislocati remotamente su postazioni di lavoro,
dell’Amministrazione stessa e/o di altre amministrazioni contrattualizzate,
fisse, mobili o in sale attrezzate per videoconferenze, mediante l’utilizzo
di immagini, suoni e lo scambio di dati elettronici.
Il servizio consente di promuovere la collaborazione degli utenti e l’organizzazione
di specifiche conferenze virtuali tra i suoi utenti predisponendo
preventivamene la documentazione di supporto ed attivando modalità di
discussione basate sia sui meccanismi dell’Instant Messaging (IM) che sull’interazione
diretta testuale, grafica, audio e video dei partecipanti (rich
text). Il servizio traccia le attività degli utenti rendendo disponibile la documentazione
di riscontro per il periodo d sei mesi e consegnando alle amministrazioni
copia digitale della documentazione delle attività. L’integrazione
con altri servizi previsti dal bando e l’utilizzo di strumenti di collaborazione
consente l’introduzione di meccanismi di workflow a supporto dell’efficienza
dei processi amministrativi; il servizio introduce specifiche funzioni di
“votazione” (anche basati su firma digitale) per documentare l’esito delle
conferenze.
Per la realizzazione del servizio viene utilizzata tecnologia Microsoft “Live
communication”; con funzionalità di immediate multipoint-multimedia
60

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
communication (audio, video, data) e di Immediate Messaging con rilevamento
della presenza, gestione delle utenze e tracciamento delle informazioni
sulle sessioni. A queste si associa la piena funzionalità di collaborazione
con le piattaforme di produttività individuale (ad esempio può essere
utilizzato il calendario di Outlook per schedulare le conferenze e la convocazione
dei partecipanti).
Cooperazione Applicativa
Il Servizio di Cooperazione Applicativa consiste nella gestione di tutte le attività
necessarie alla predisposizione di servizi applicativi, siano essi preesistenti
o di nuova progettazione, di cui l’Amministrazione intende dotarsi al
fine di cooperare con servizi applicativi presenti sul Sistema Pubblico di
Connettività e Cooperazione (SPC).
Le regole tecniche e le modalità previste per la cooperazione applicativa
nell’ambito del Sistema Pubblico di Cooperazione (SPCoop) delineano un
modello che prevede un livello di interazione fra le Amministrazioni che cooperano
realizzato attraverso componenti specifici e secondo modalità
standard (porta di dominio e busta e-government).
Il Servizio di Cooperazione Applicativa comprende la messa a disposizione
nella sede dell’Amministrazione richiedente la Porte di Dominio (PDD) e la
realizzazione dei Servizi Applicativi da erogare o fruire. Qualora più amministrazioni
intendano cooperare tra di loro con uno o più servizi applicativi,
l’Amministrazione promotrice dell’iniziativa può richiedere anche la fornitu-
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 61

a del servizio di coordinamento dei servizi applicativi necessari per realizzare
il Dominio di Cooperazione.
Il servizio è articolato, a seconda delle richieste delle amministrazioni, nelle
fasi di:
• Messa a disposizione della Porta di dominio
Consiste nella messa a disposizione nelle sedi delle amministrazioni richiedenti,
di una PDD affinché i servizi applicativi delle stesse possano interagire
mediante l’infrastruttura di cooperazione applicativa SPCoop.
La PDD integra una architettura basata su una infrastruttura hardware in alta
affidabilità, con un software di porta di dominio che fornisce modalità di
integrazione semplici e chiare con le applicazioni senza essere minimamente
intrusiva.
La messa a disposizione della porta di dominio prevede, a scelta, una fornitura
in ambiente.NET o J2EE. Tale opportunità rappresenta una tutela degli investimenti
effettuati dall’Amministrazione che ha la facoltà di richiedere, al
termine del contratto, la proprietà delle piattaforme HW e SW della porta.
L’ architettura tecnica per la porta di dominio prevede una infrastruttura
completamente ridondante, che permette di rispondere adeguatamente ai
requisiti di disponibilità della porta e di alta affidabilità delle sue funzionalità
incluse quelle di tracciatura, gestione diagnostici e rilevamento dei Livelli
di Servizio.
• Predisposizione
Vengono realizzati (effettuando il wrapping di componenti esistenti o realiz-
62

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
zandone di nuovi) i “componenti applicativi” corrispondenti alle funzionalità
elementari che si ritengono necessarie per comporre “moduli applicativi”
finalizzati allo sviluppo di servizi applicativi da rendere disponibili per l’interazione
su SPCoop.
• Composizione
I componenti applicativi, esistenti o realizzati nella fase di Predisposizione,
sono integrati e composti fra di loro allo scopo di sviluppare “moduli applicativi”
in grado di realizzare le funzionalità amministrative complete che si
intendono rendere disponibili su SPCoop attraverso servizi applicativi.
• Coordinamento
Nel caso in cui più amministrazioni abbiano intenzione di costituire congiuntamente
un dominio di cooperazione per uno o più servizi applicativi,
è previsto un Servizio di Coordinamento degli stessi (orchestrazione).
L’ architettura del servizio di coordinamento prevede una infrastruttura
completamente ridondante che permette una alta disponibilità del sistema
di orchestrazione.
Per le stesse considerazioni fatte per la porta di dominio, l’orchestratore viene
offerto sia in una versione per sistema operativo Microsoft Windows che
in una per Linux in modo da permetterne una semplice gestione, anche al
termine del contratto laddove l’Amministrazione scelga di acquisirne la proprietà.
• Integrazione e Pubblicazione
Le funzionalità amministrative (moduli applicativi) sono integrate con la porta
di dominio e sono presentate su SPCoop come servizi applicativi (erogazione)
od utilizzate per accedere a servizi applicativi già disponibili (fruizione).
• Gestione
I servizi ed i moduli applicativi risultanti dalle fasi precedenti sono rilasciati
in esercizio e gestiti operativamente su SPCoop. A richiesta dell’Amministrazione
viene erogata la manutenzione ordinaria dei moduli e servizi rilasciati
a decorrere dal termine del periodo di garanzia di tre mesi dal rilascio in
esercizio.
Identificazione, Autenticazione ed Autorizzazione
Obiettivo del servizio è la realizzazione e l’erogazione del servizio di gestione
delle funzioni di identificazione, autenticazione ed autorizzazione (IAA) degli
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 63

utenti all’uso dei sistemi informatici dell’Amministrazione. Il servizio IAA offerto
si compone mediante l’integrazione di politiche, processi e procedure assicurati
da personale specializzato che opera prevalentemente presso il Centro
Servizi ed una infrastruttura tecnologica hardware e software installata presso
l’Amministrazione per lo svolgimento delle seguenti attività:
• gestione centralizzata presso la singola Amministrazione degli utenti
intesi come persone fisiche che ricoprono un certo ruolo, determinato
nell’ambito dell’Amministrazione, in base al quale necessitano di
specifiche autorizzazioni all’utilizzo dei servizi informatici dell’Amministrazione
stessa;
• gestione dei profili di autorizzazione degli utenti all’utilizzo dei servizi
in base al loro ruolo, in accordo con le politiche indicate dall’Amministrazione;
• gestione delle utenze dei sistemi dell’Amministrazione ivi comprese,
ove richiesto, le utenze amministrative dei server o interne dell’Amministrazione;
• gestione dell’accesso centralizzato e web sigle sign on per dare la
possibilità all’utente, in base alle funzioni che deve svolgere, di accedere
a tutte le applicazioni ed i sistemi compresi nel servizio IAA utilizzando
un unico sistema di autenticazione ed autorizzazione
• controllo degli accessi, comprensivo di identificazione, autenticazione,
autorizzazione e gestione credenziali degli utenti;
• assistenza all’Amministrazione per la gestione delle richieste di assistenza,
supporto tecnico, risoluzione malfunzionamenti, modifiche
ed inserimento nuovi utenti e manutenzione del sistema.
Il servizio ha adottato adotta una piattaforma tecnologica basata sul framework
Novell per realizzare una soluzione completa di Access e Identity Management
multipiattaforma conforme allo standard SAML 2.0. Il servizio potrà
essere federato con analoghi servizio nell’ambito della gestione federata
delle identità digitali nell’ambito SPCoop (vd. Oltre). L’Amministrazione, oltre
ad avere un più ampio supporto alla gestione centralizzata ed automatizzata
delle procedure di provisioning e de-provisioning verso i propri sistemi,
potrà nativamente godere di un connettore verso la Rubrica della Pubblica
Amministrazione (Rubrica P.A.) che le consentirà di pubblicare i dati
dei propri utenti in near-real-time verso la Rubrica ed usufruire di conseguenza
anche dei servizi di Cedolino Elettronico.
64

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Sono disponibili funzioni di Secure Sockets Layer Virtual Private Network
(SSLVPN), un servizio basato su Linux che garantisce sicurezza in fase di accesso
ad applicazioni non HTTP. Questo servizio non richiede l’installazione
di alcun client, abilitando l’autenticazione single sign-on ed estendendo
l’autorizzazione basata su ruoli alle applicazioni di back-end.
Vi è, poi, la possibilità di utilizzare uno o più repository di autenticazione in
cascata, fra i quali eDirectory, Active Directory o SunOne, nel caso in cui
l’Amministrazione disponga già di un repository centralizzato ed aggiornato
dei propri utenti e relative credenziali.
E’, infine, presente, un potente strumento di audit per il log e la tracciatura
delle attività con la possibilità di associare azioni ad eventi ed allarmi.
L’infrastruttura per il sistema IAA per ciascuna Amministrazione è composta da:
• un sistema in alta affidabilità per la gestione degli accessi alle applicazioni
ed ai sistemi web in modalità Single Sign On e per il supporto
della conformità con lo standard SAML 2.0 (Novell Access Manager);
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 65

• un sistema in alta affidabilità contenente il repository centralizzato
degli utenti e dei profili in grado di ospitare il security information base
per consentire l’operatività in modalità SSO (Novell eDirectory);
su tale sistema vengono rese disponibili alla utenza le funzioni di self
service sulla password (PWM Open Source), nonché le funzioni di
audit e di logging e tracking delle attività;
• una soluzione open source (GAIUS) per la gestione delle credenziali
di accesso, degli utenti e del ciclo di vita della richiesta dell’Amministrazione;
• un sistema di autenticazione dedicato alla gestione degli accessi degli
utenti alla rete con particolare riferimento ai protocolli TACACS+ e
RADIUS ed ai sistemi informatici dell’Amministrazione basato sui
prodotti software Dialways di Mastersoft e Freeradius.
Firewall XML
Il servizio prevede la fornitura e gestione di strumenti per il filtraggio del
traffico di rete a livello applicativo secondo un insieme di regole definite,
aggiornabili e verificabili, per proteggere dati e risorse delle Porte di Dominio
delle Amministrazioni e più in generale di tutte le applicazioni in ambiente
SOA.
Il servizio consiste nelle seguenti attività:
• messa a disposizione presso la sede dell’Amministrazione, delle piattaforme
hardware e software necessarie per la realizzazione del servizio
firewall XML;
• messa a disposizione presso il Centro Servizi, delle piattaforme hardware,
software, e di rete necessarie alla gestione da remoto e al monitoraggio
delle piattaforme fornite;
• conduzione tecnica ed operativa delle piattaforme tecnologiche di sicurezza;
• rendicontazione sull’utilizzo del servizio e sui livelli di servizio conseguiti.
Il Centro di Cooperazione applicativa (SICA)
INTRODUZIONE AL MODELLO DI COOPERAZIONE APPLICATIVA SPCOOP
Il quadro normativo e tecnico definito dal CAD rappresenta la piattaforma
abilitante per la trasformazione del ruolo della P.A. da un profilo reattivo ad
66

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
uno proattivo, capace di anticipare le necessità dei cittadini e delle imprese
invece di reagire lentamente, così come avviene oggi. Il CAD ha introdotto,
tra l’altro, la definizione innovativa di cooperazione applicativa (SPCoop),
cioè l’interazione fra sistemi informatici tale da garantire l’integrazione delle
informazioni e dei procedimenti amministrativi digitalizzati.
Ciò è importante perché, in passato, per i sistemi che già oggi consentono
forme più o meno complete di cooperazione applicativa era stato necessario
emanare una specifica norma di legge per consentire di dare validità
giuridica a tali procedure telematiche.
In altre parole, ciò non riguarda la semplice possibilità di trasmettere e/o
scambiare dati e informazioni (questa è l’interoperabilità), ma l’effettiva
possibilità di un’amministrazione di accedere, con pieno valore giuridico, a
servizi e data base di un’altra amministrazione per ricavarne informazioni e
dati, la possibilità di aggiornare data base d’interesse di più amministrazioni
con dati immessi da ciascuna per quanto di competenza, la possibilità di
svolgere procedimenti informatizzati tra più amministrazioni nei quali ciascuna
immette i dati e i documenti informatici di propria competenza.
SPCoop adotta un modello di architettura dei servizi pienamente distribuito
(adatto quindi alla realtà dell’intera P.A. italiana) e permette l’interoperabilità
e la cooperazione dei sistemi informatici sulla base di accordi che regolano
lo scambio di funzionalità, inclusi requisiti di qualità e sicurezza, attraverso
interfacce applicative che permettono tale scambio, nella piena autonomia
delle scelte implementative e gestionali dei sistemi componenti
l’architettura. L’indipendenza delle scelte implementative delle funzionalità
applicative e delle funzionalità di infrastruttura (gestione dei messaggi, sicurezza,
qualità di servizio) dei sistemi cooperanti, rende tale modello perfettamente
adatto alle esigenze di autonomia di gestione delle amministrazioni
centrali e locali e all’interoperabilità con sistemi applicativi delle imprese
e di altri soggetti che potrebbero essere coinvolti nei processi automatici.
Una caratteristica fondamentale del modello dell’architettura di servizi è
che l’interazione tra i sistemi partecipanti avviene per mezzo dello scambio
di messaggi in rete.
Ne consegue che due sistemi interagenti devono essere connessi per mezzo
di uno o più canali che trasportano i messaggi scambiati. Il Sistema Pubblico
di Cooperazione utilizza per il trasporto dei messaggi esclusivamente i
canali e i meccanismi di trasporto forniti dal Sistema Pubblico di Connettività.
L’architettura di servizi è un modello di architettura informatica distribuita
che si diffonde grazie alla maturità e al consolidamento degli standards e
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 67

delle tecnologie Web services. È utile comunque precisare la differenza
concettuale tra architettura di servizi (comunemente definita SOA – Service
Oriented Architecture) e Web services:
• Il termine SOA designa un modello concettuale di architettura informatica
distribuita, costituita da un insieme di sistemi autonomi che
comunicano per mezzo di messaggi scambiati attraverso interfacce
standardizzate; secondo il modello SOA i servizi che le interfacce
utilizzano sono definiti in un registro.
• Il termine Web services ricopre un insieme di standards tecnologici
che permettono la realizzazione di architetture di servizi su larga
scala, garantendo al tempo stesso l’interoperabilità e l’autonomia di
implementazione dei sistemi componenti l’architettura.
Il modello di architettura del SPCoop è un modello di architettura di servizi
sulla base delle tecnologie Web services. Il modello dell’architettura
SPCoop stabilisce tra i sistemi applicativi delle amministrazioni e quelli infrastrutturali,
necessari per il coordinamento, delle relazioni di servizio tutte
definite nell’ambito dei servizi di registro.
Parte integrante dell’architettura per l’erogazione dei servizi di interoperabilità
cooperazione e accesso è il Centro di Cooperazione Applicativa che
consente l’interoperabilità tra le amministrazioni e cittadini ed imprese e
l’accesso ai servizi in una logica di cooperazione applicativa. La realizzazione
del centro è stata affidata dal CNIPA a seguito di un’apposita gara al
RTI IBM – Sistemi Informativi.
1. Le componenti ed il funzionamento del SPCoop
Le componenti principali dell’infrastruttura SPCoop che consentono l’integrazione
e l’interoperabilità dei servizi applicativi delle amministrazioni sono:
a. busta e-gov
La struttura dei messaggi scambiati segue un protocollo standard dello
scambio tra web services. La struttura di tali messaggi, definita busta e-gov,
nella header contiene campi utili per definire i profili di collaborazione
(sincroni, one way, asincroni).
b. porta di dominio
L’insieme dei servizi applicativi preposti per lo scambio di servizi attraverso
le funzionalità di interfaccia, interagisce attraverso un unico punto logico
che svolge le funzioni di esposizione delle interfacce, che sono preposte,
68

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
alcune all’accesso delle funzionalità di erogazione interne al dominio di
un’amministrazione e altre alla fruizione di funzionalità applicative richieste
nella qualità di fruitore ad altre amministrazioni erogatrici del servizio.
La porta di dominio segna il confine di responsabilità e l’inizio della parte
la cui standardizzazione delle funzionalità e la piena interoperabilità sono
fattori cruciali e determinanti per il funzionamento del sistema.
Figura 10 - Interazione tra porte di dominio
c. i servizi applicativi
Lo scambio di funzionalità tra amministrazioni in SPCoop avviene attraverso
interfacce applicative esposte dalle amministrazioni in qualità di erogatore
e fruitore, quindi il colloquio applicativo è peer-to-peer. L’esposizione
delle componenti del sistema informativo di ciascuna amministrazione è
mediato e regolato da tali componenti, il cui utilizzo e formalmente descritto
attraverso l’accordo di servizio.
d. accordo di servizio
L’insieme degli accordi di servizio rappresenta il database della cooperazione
applicativa. La formalizzazione delle componenti e la pubblicazione si
presta allo scopo di ufficialità, formalizzazione e trasparenza tipiche della
cultura amministrativa e caratteristici di ogni modello partecipativo. Sul
piano tecnico la completa formalizzazione apre un panorama di possibilità
evolutive, mai prima d’ora possibile su una così vasta scala e senza elementi
di intrusività per le singole amministrazioni.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 69

e. servizi di registro
Gli accordi di servizio sono descritti da ciascuna amministrazione o insiemi
di amministrazioni e pubblicate in un registro accessibile in rete. La
pubblicazione è supportata da strumenti automatici che ne garantiscono la
correttezza formale delle strutture e garantiscono quindi l’interoperabilità
(vd. Paragrafo specifico)
f. servizi di certificazione
Un’autorità di certificazione è preposta per l’emissione dei certificati per i
server e PD in maniera da assicurare il riconoscimento certo e l’autenticazione
delle componenti che interagiscono.
g. gestione federata delle identità digitali
La realizzazione di servizi complessi dove è necessaria una forte integrazione
(e quindi servizi di maggior valore) richiede spesso il riconoscimento
di ruoli funzionali ed “attributi di sicurezza” la componente “gestione federata
delle identità digitali” consente di definire un modello di interazione e
di una federazione di autorità titolate a certificare ciascuna determinati ruoli
ed attributi creando, nel rispetto dei massimi livelli di sicurezza e privacy,
le condizioni per dichiarare ed utilizzare tali ruoli ed attributi (ed ovviamente
revocarli e modificarli) in un contesto di interoperabilità. (vd. Paragrafo
specifico)
h. catalogo degli schemi e ontologie
Le applicazioni non sono altro che uno strumento per modellare processi o
semplicemente trattare le informazioni necessarie alle amministrazioni per
lo svolgimento di fini istituzionali, pertanto occorre dare grande rilievo proprio
alle informazioni, che devono risultare di qualità, soprattutto in un
contesto di integrazione tra amministrazioni, dove maggiore è il rischio di
integrare informazioni non omogenee, con significati ambigui. (vd. Paragrafo
specifico sui registri). La componente in argomento serve a mettere a fattor
comune le informazioni e la loro semantica.
i. collegamenti telematici
Il SPCoop utilizza i servizi di connettività del SPC che fornisce:
• l’infrastruttura di base per il trasporto dei messaggi tra tutte le P.A.,
• un insieme di funzionalità infrastrutturali di sicurezza e qualità di
servizio applicabili al trasporto dei messaggi.
70

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
I SERVIZI DI INTEROPERABILITÀ COOPERAZIONE E ACCESSO
Il centro di cooperazione applicativa (SICA – Servizi infrastrutturali di interoperabilità
cooperazione e accesso) è parte integrante delle infrastrutture
nazionali condivise, così come definite dal CAD. I servizi SICA consentono
il dispiegamento dell’interoperabilità tra le amministrazioni e cittadini ed
imprese e l’accesso ai servizi in una logica di cooperazione applicativa.
Il Centro Servizi Infrastrutturali di Interoperabilità, Cooperazione ed Accesso
(SICA-SPC) ha il compito di realizzare e gestire i servizi infrastrutturali
necessari per l’attivazione della Cooperazione Applicativa in SPC e per
quelle funzioni di directory e di interoperabilità tra cittadini imprese e P.A..
Il Centro è stato realizzato con una elevata flessibilità e modularità, necessarie
per garantire realmente la riusabilità della soluzione anche in ambiti
potenzialmente differenti, per organizzazione e/o tecnologia, da quelli dell’attuale
ambiente di progetto.
L’approccio progettuale adottato ha utilizzato i paradigmi della SOA e, più
specificatamente, la metodologia SOMA (Service-Oriented Methodology &
Architecture).
In particolare i servizi forniti dal Centro SICA comprendono:
1) servizi di infrastruttura per la cooperazione applicativa che includono:
• Servizio di Registro SICA Generale comprendente l’indice delle pubbliche
amministrazioni (IPA)
• Servizio di Catalogo di Schemi ed Ontologie
• Servizio di Gestione Federata di Identità digitali
• Servizio Indice dei soggetti (evoluzione del servizio di Rubrica P.A.)
• Servizio di Certificazione
• Servizio di Monitoraggio
• Servizio di Gestione
• Servizio di Sicurezza Interna
2) servizi di supporto alla qualificazione di componenti di cooperazione
applicativa
I Servizi di supporto alla qualificazione di porte di dominio e di registri SI-
CA secondari sono costituiti dalla combinazione di una soluzione software
specifica e di una soluzione di tipo organizzativo/procedurale a supporto
del software.
• I Servizi software sono stati pensati con le medesime logiche di progettazione
che caratterizzano i servizi di infrastruttura già descritti.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 71

• I servizi di tipo organizzativo/procedurale consistono nella fornitura
di assistenza e supporto alle amministrazioni e al CNIPA durante il
processo di qualificazione.
In aggiunta, il SICA prevede una serie di servizi per la governance complessiva
del progetto (GOVERNANCE FRAMEWORK PER IL CENTRO SERVIZI
SICA).
Il SICA-SPC è dotato di un modello di governo di riferimento che permette
di controllare non solo l’esercizio quotidiano delle attività del centro, ma
anche di guidarne l’evoluzione in linea con le esigenze della comunità
SPCoop. Per modello di riferimento s’intende l’insieme delle responsabilità
e delle politiche esercitate dai gestori del SICA-SPC con l’obiettivo di verificare
che le attività e le risorse del centro siano in linea con gli obiettivi del
progetto e ne facilitino l’evoluzione.
Per poter raggiungere questo obiettivo è stato adottato un modello per il
controllo del SICA-SPC, strutturato in aree il cui accurato controllo rappresenta
un irrinunciabile fattore critico di successo: Mission, Organizzazione,
Metodologie, Processi, Politiche, Misure.
La Rubrica P.A. e l’Indice delle pubbliche amministrazioni
La Rubrica della P.A. è una infrastruttura di directory realizzata sulla base di
quanto stabilito dalla circolare ministeriale del 27 novembre 2003 emanata
dal Ministero per l’Innovazione e le Tecnologie di concerto con il Ministero
della Funzione Pubblica sull’utilizzo della posta elettronica. La Rubrica
contiene l’elenco dei pubblici dipendenti con le caselle di posta loro assegnate.
Il progetto per la realizzazione della Rubrica della Pubblica Amministrazione
è partito nell’anno 2005 con l’obiettivo di creare un sistema di elenchi
in linea che permettesse, a ciascuna pubblica amministrazione aderente,
sia di pubblicare dati relativi ai propri dipendenti sia di ricercare informazioni
relative al personale (dipendenti pubblici) delle altre amministrazioni
aderenti.
Il sistema centrale di elenchi realizzato è basato sulla possibilità di effettuare
sincronizzazioni in modalità automatica o semi-automatica con i sistemi di
elenchi periferici esistenti presso le amministrazioni in una modalità praticamente
indipendente dalle differenti soluzioni tecnologiche adottate presso le
Amministrazioni. Al momento le consultazioni della Rubrica P.A. è prevista
solo per le consultazioni delle amministrazioni aderenti al servizio.
72

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
La Rubrica della Pubblica Amministrazione, come servizio di indice, va ad
integrarsi ed estendere il servizio di Indice delle Pubbliche Amministrazioni,
cui è strettamente legato. Il progetto rPA, quindi, partendo dalla base informativa
e dalla infrastruttura tecnologica di iPA, la estende rendendo disponibili
dati puntuali associati al singolo dipendente e definendo pertanto
una architettura abilitante ai fini della erogazione di nuovi servizi destinati
ad una sottoclasse ristretta di utenza.
E’ in tale senso che il Cnipa è allo stato impegnato al fine di conferire alla
RpA caratteristiche di “indice dei soggetti” ovvero di soggetti che sulla base
di attributi, ruoli e profili siano identificati, classificati e autorizzati all’accesso
ai servizi telematici delle pubbliche amministrazioni.
La rubrica della P.A., attraverso un processo di federazione, è estendibile alle
Regioni e può costituire il punto di riferimento per tutte le applicazioni
basate sul riconoscimento dell’appartenenza dei dipendenti pubblici e
quindi per una maggiore collaborazione e interlavoro in rete.
Uno dei servizi allo stato attivato e basato sulla Rubrica della Pubblica Amministrazione
è il servizio di distribuzione via e-mail del Cedolino paga
elettronico (E-Cedolino) attraverso il quale il Ministero dell’Economia recapita
via posta elettronica il cedolino-paga ai dipendenti pubblici.
Le amministrazioni che ad oggi sono interconnesse alla rubrica sono 17 per
un totale di circa 870.000 dipendenti; i dipendenti che ricevono il cedolino
elettronico allo stato sono circa 800.000.
L’indice delle Pubbliche Amministrazioni è nato sulla base di quanto a
suo tempo disposto dal DPR 428/2000 che prevedeva la costituzione dell’Indice
delle Aree Organizzative Omogenee. Tale Indice, la cui realizzazione
e gestione venne affidata al Cnipa, si è nel tempo evoluto sino a
costituire ad oggi a tutti gli effetti le pagine gialle della Pubblica Amministrazione.
Esso costituisce difatti il riferimento ufficiale ai fini del reperimento
di:
• strutture organizzative delle P.A. e relativi responsabili, punti di accesso
telematici quali: gli uffici di protocollo, le caselle di posta certificata,
le caselle di posta elettronica istituzionali, il sito web, i servizi
telematici resi disponibili.
Tale ultimo riferimento ai servizi telematici è altresì ulteriormente ribadito
nello schema di DPCM sulle “regole tecniche e di sicurezza per il
funzionamento del Sistema pubblico di connettività” di prossima pubblicazione.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 73

Allo stato l’Indice delle Pubbliche Amministrazioni ospita oltre 3.600 Amministrazioni,
per un totale di oltre 15.000 Unità organizzative, circa 3.000
Aree Organizzative Omogenee e 2.400 indirizzi PEC.
La gestione federata delle identità digitali
Il modello di gestione federata delle identità digitali definisce entità, relazioni
e scenari di autenticazione per accedere od erogare servizi in ambito
federato all’interno del SPCoop. Il modello definisce i differenti scenari e
schemi di autenticazione nell’ambito della cooperazione applicativa e del
SSO fra vari enti federati (F-SSO). Gli scenari considerati comprendono la
cooperazione ottenuta tramite Web Services e tramite interazione Web Based.
Il modello è aperto a differenti paradigmi di autenticazione (carte istituzionali
CNS/CIE; identificativi e credenziali per soggetti non ancora dotati
di carte istituzionali; ruoli associati alle persone), fornendo delle linee
guida per l’identificazione e l’autenticazione di un utente SPCoop in ambito
federato.
Il modello e gli schemi di autenticazione bilanciano utilità, complessità e
standard tecnologici, fattori fra loro differenti ed a volte antitetici ma tutti
indispensabili per ottenere una soluzione che sia:
• basata sugli standard, il modello e la sua architettura devono basarsi
sugli standard odierni ma devo essere in grado di accogliere le tecnologie
emergenti una volta consolidate;
• capace di utilizzare prodotti commerciali dove possibile;
• scalabile;
• affidabile, l’architettura deve essere basata su best practices nazionali
ed internazionali;
• con bassi impatti per l’utente finale;
• con bassi impatti a livello implementativo.
Il modello si basa sulla realizzazione di un framework cooperativo che integra
policy (relazioni di “trust”) ed infrastrutture tecnologiche fra le entità
federate. Implementando il modello le Amministrazioni federate avranno
accesso a molteplici nuove applicazioni tramite il riutilizzo delle credenziali
e delle identità già utilizzate al loro interno, mantenendo inalterate le
modalità con cui vengono gestite le identità dai singoli enti.
74

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Approccio metodologico
Lo scenario di riferimento alla base del modello è quello di un ente, più
propriamente una Amministrazione Centrale od una Amministrazione locale,
che offre ai propri utenti oltre ai suoi servizi specifici anche la possibilità
di fruire di servizi offerti da altre Amministrazioni.
Il modello descritto trae ispirazione dagli standard ad oggi esistenti
[SAML-Core, SAML-TechOv, WS-Security] oltre che dalle esperienze estere
già in essere [E-auth_USGov], inoltre valorizza lo sforzo che le Regioni
stanno compiendo nell’ambito del task INF-3 del progetto ICAR nell’ambito
della gestione federata delle identità digitali e della cooperazione applicativa.
Modello concettuale
Il concetto di identità Federata è una delle evoluzioni più interessanti legate
all’identity management che assimila ed estende alla cooperazione applicativa
i concetti tipici del modello RBAC (Role Based Access Control), in cui i
diritti di accesso ad una data risorsa sono basati sul ruolo posseduto dall’utente.
Una gestione delle identità “federata” prevede in pratica la creazione
di relazioni di fiducia tra realtà diverse per l’identificazione e l’autorizzazione
degli utenti di una di esse ad accedere alle risorse governate da
un’altra.
L’identità Federata è governata da un complesso di relazioni di trust appropriate
che compongono un ambito fiduciario comune identificato in letteratura
come “Circe of Trust”. Il Circe Of Trust si basa su:
• l’accreditamento e la validazione all’interno del dominio federativo;
• enti che ricoprono il ruolo di certificatori/validatori delle identità;
• un insieme di accordi (policy) che comprendono un modello comune
di cooperazione all’interno della federazione;
• la definizione di precise responsabilità nell’ambito della cooperazione.
Il principio è di creare un layer di astrazione che mascheri i sistemi, eventualmente
già presenti, per la gestione delle identità. Attraverso esso aziende
o Amministrazioni diverse possano condividere le informazioni sulle
identità e la sicurezza pur mantenendo inalterate le proprie soluzioni di
gestione degli account utente e degli accessi applicativi (es:directory, metadirectory,
infrastrutture a chiave pubblica, soluzioni di controllo accessi
e SSO).
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 75

A livello macro all’interno della federazione l’utente che vuole fruire di un servizio
applicativo deve in primo luogo autenticarsi presso il proprio dominio
(dominio fruitore) presentando le sue credenziali. Il dominio fruitore, in caso
di verifica positiva, emette un messaggio che garantisce l’identità dell’utente
verificando i privilegi (ruolo) associati all’utente che sta chiedendo l’accesso.
Il dominio fruitore terminate le verifiche invia le informazioni al dominio
erogatore del servizio applicativo dove vengono elaborate. Il compito del
dominio erogatore è garantire che l’accesso dell’utente sia coerente con le
procedure e le politiche locali.
Da una prima descrizione sommaria della federazione si può notare come
accanto alla nozione di identità si accosta ora la nozione di ruolo come
nuovo discriminante per richiedere o erogare un servizio.
Per garantire il livello di integrazione descritto serve necessariamente un sistema
standard per passare le informazioni di sign-on ed eventualmente di
autorizzazione fra i due domini federati. Il framework SAML nasce per indirizzare
tali esigenze.
Come mostrato in figura i macro scenari per un utente sono:
1. Utilizzo di un’applicazione all’interno del proprio dominio (evidenziato
in giallo), è il tipico caso di un ente che ha il proprio sistema di
gestione di Identity e Access Management. In questo caso non c’è
cooperazione;
2. Nomadicità (evidenziato in grigio), l’utente richiede direttamente
tramite il suo browser un’applicazione federata appartenente al dominio
erogatore. Il richiedente viene diretto presso il proprio dominio
per potersi autenticare e solo dopo può fruire dei servizi richiesti
presso il dominio erogatore;
3. Utilizzo di un’applicazione federate tramite web services (evidenziato
in nero), l’utente si è autenticato presso un’applicazione locale che coopera
con una applicazione appartenente ad un’altra Amministrazione.
Il modello prende come riferimento il Framework SAML come metodo per
comunicare le asserzioni di identificazione ed autorizzazione fra i domini
federati.
I domini caratterizzanti il modello sono:
• Dominio fruitore del servizio;
• Dominio dei servizi erogati da una Amministrazione;
• Dominio dei servizi infrastrutturali.
76

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Fig. 1 - Possibili Interazioni fra membri di una federazione
Dominio Fruitore del servizio
Il dominio fruitore indica il dominio da cui proviene la richiesta del servizio
ed è composto dall’insieme dei soggetti che possono fruire dei servizi
applicativi. Tali soggetti si possono dividere in:
• Entità persona (End User);
• Entità non persona (Applicazioni): tutte le entità catalogabili come
applicazioni informatiche e che non ricadono nell’entità precedente.
Dominio dei servizi erogabili da una Amministrazione
Nel dominio dei servizi erogabili da un’Amministrazione sono presenti tutte
le entità in grado di verificare gli attributi o l’identità di un membro del dominio
fruitore del servizio. Come attributi si intendono sia gli attributi atomici
che aggregati, un esempio di attributo aggregato è il profilo. Le entità del
dominio sono responsabili della creazione e gestione delle identità e dei
ruoli oltre a fornire il servizio autenticazione alle entità del dominio fruitore.
Il dominio comprende:
• Service Provider, responsabile di fornire il servizio richiesto ad uno o
più membri della federazione;
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 77

• Il Federation Gateway, componente logico del Service Provider, è il
singolo punto di contatto (P.O.C. Point of Contact) per tutte le richieste
di accesso via web alle risorse offerte;
• Identity Provider, responsabile di mantenere e gestire le informazioni
relative all’identità dell’End User;
• Attribute Authority, ente designato a validare tutti o parte degli attributi
componenti il profilo di un generico utente;
• External Attribute Authority, sito non appartenente alla federazione
che fornisce servizi di validazione per gli attributi esterni alla federazione
(es: Ordini Professionali, Notariato, Comune di Residenza);
• Profile Authority, ente preposta alla memorizzazione e gestione dei
profili utente. Si occupa di validare gli attributi presenti nel profilo
interrogando le Attribute Authority di pertinenza.
Dominio dei servizi infrastrutturali
Le entità descritte interagiscono secondo delle regole di cooperazione e di
gestione federata delle identità ben definite ed avvalendosi di servizi offerti a
livello infrastrutturale. Il dominio dei servizi infrastrutturali (SICA) comprende:
• authority registry: registro contenente tutti gli Identity Provider e le
Profile Authority appartenenti alla federazione e che godono della fiducia
di tutti i membri interni alla federazione;
• attribute authority registry: registro contenente la relazione fra ruolo(attributo)
ed suo certificatore, sia essa una Attribute Authority interna
che esterna.
Modalità di interazione fra l’end user e I servizi offerti dal Service Provider tramite il Federation Gateway
78

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Entità Validatrici
All’interno del Dominio dei servizi erogati da una Pubblica Amministrazione
sono comprese anche le entità responsabili di validare le informazioni
inerenti i membri della federazione quali l’identità, il ruolo o altri specifici
attributi. Le entità validatrici si possono suddividere in 4 tipologie.
Identity Provider
Entità della federazione incaricata di gestire le informazioni relative all’identità
dei membri della federazione che fornisce il servizio di Autenticazione
per l’ Entità Persona o più genericamente al Dominio Fruitore del Servizio.
Profile Authority
La Profile Authority è l’entità incaricata della gestione e manutenzione dei
profili utente. La Profile Authority può essere interrogata anche remotamente.
Possono esistere più Profile Authority.
All’interno del profilo ricadono informazioni concernenti l’anagrafica, quali
nome, cognome e domicilio; le mansioni ricoperte a livello lavorativo come
capo ufficio, direttore o dirigente; oppure qualifiche e peculiarità proprie
dell’individuo come, ad esempio, l’iscrizione ad un albo.
Il profilo è composta da n-ple ad esempio così strutturate:
• Nome Attributo;
• Valore Attributo;
• Riferimento logico dell’Authority in grado di validare l’attributo.
Un esempio di profilo gestito dalla Profile Authority. Si noti come le vari informazioni sono
certificate da possibili differenti Authority
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 79

La profile Authority oltre al compito di gestire i profili ha un ruolo attivo nel
processo di F-SSO.
Attribute authority
Entità designata a certificare tutti o parte degli attributi componenti il profilo
di un generico utente. Il ruolo di Attribute Authority può essere svolto anche
da entità esterne alla federazione. Un esempio di attributo può essere il titolo
di studio, l’iscrizione ad un albo, il ruolo locale ad un’amministrazione, la residenza.
L’attribute authority può svolgere l’attività di certificatore di ruolo.
External Attribute Authority
Le Authority esterne sono siti non federati (es: non appartenenti al SPCoop).
Forniscono servizi applicativi limitati e ben definiti come, ad esempio, la
certificazione di uno o più attributi di cui sono responsabili e che non sono
locali alla federazione. L’External Attribute Authority è riconducibile ad
un’attribute authority esterna alla federazione.
Servizi infrastrutturali SICA per la gestione federata
delle identità digitali
La federazione si basa sul concetto di Trust, ossia che le asserzioni prodotte
da un’authority e scambiate con altre entità dei domini sono affidabili.
L’authority è il garante di tali informazioni. E’ importante quindi l’esistenza
di un ente “super-partes” che abbia un rapporto di trust con tutte le entità
della federazione, in grado di asserire quali sono le authority “credibili”,
ossia parte della federazione, e che possono certificare determinati attributi.
Il servizi infrastrutturali hanno lo scopo di soddisfare la necessità di un garante
mettendo a disposizione della Federazione servizi mirati a fornire le
informazioni sulle authority “trustate” all’interno della Federazione.
Authority Registry (AR)
Entità riconosciuta a livello di federazione che permette di rintracciare in
modo univoco i riferimenti agli Identity Provider e le Profile Authority
appartenenti alla Federazione tramite l’URI associata oltre ad eventuali
informazioni aggiuntive.
Attribute Authority Registry (AAR)
Registro contenente la relazione fra ruolo interno od esterno alla federazione
e URI del suo certificatore (Attribute Authority di competenza). Le informazioni
contenute all’interno dell’AAR permettono ai servizi di verificare
gli attributi e completare cosi il portafoglio di asserzioni necessario per ottenere
un generico servizio applicativo.
80

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Authority Registry Service (ARS)
Il Servizio nasce per soddisfare l’esigenza di fornire ai membri della federazione
la lista completa di tutti gli IdP o le Profile Auhority federate assieme
alle loro URI. Il servizio si basa sulle informazioni presenti all’interno dell’Authority
Registry.
Attribute Authority Registry Service (AARS)
Il servizio fornisce la lista completa delle attribute authority, sia “internal”
che “external” alla federazione, assieme alle loro URI. Il servizio si basa
sulle informazioni presenti all’interno dell’Attribute Authority Registry.
Modalità di interazione fra i servizi federati
Esistono due modalità principali di accesso ai servizi erogati da un’Amministrazione.
La prima tramite il web browser verso il SAML Gateway (nel
modello il Federatoin Gateway sottosistema dell’SP); la seconda invece tramite
le Porte di Dominio nel caso di cooperazione applicativa fra l’applicazione
denominata di front end e l’applicazione che eroga il servizio denominata
di back end.
Modalità di interazione fra il generico servizio e l’Attribute Authority Registry Service
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 81

5a) 5b)
5c)
I domini, le entità e le relazioni all’interno del modello di Gestione Federata delle Identità Digitali.
Utilizzo di una applicazione federata via web (5a), nomadicità (5b) ed utilizzo di un’applicazione federata
tramite cooperazione applicativa
82

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Nel caso di interazione tramite web browser, l’entità “End User” interagisce
con i membri del dominio Certificatori, principalmente con l’Identity Provider
e la Profile Authority. L’Authority Registry Service viene utilizzato principalmente
qualora l’utente si presenti direttamente senza essere stato precedentemente
autenticato dal proprio IDP di competenza.
Nel caso di cooperazione applicativa tramite web services l’entità coinvolta
del dominio Fruitore del Servizio è l’entità non persona “Applicazione”. Tale
entità interagisce con le authority presenti nel dominio dei certificatori
per verificare gli attributi di chi richiede il servizio cooperativo e ad esempio
non presenti nel portafoglio di asserzioni presentato. Qualora ci siano
degli attributi da verificare contatta l’Attribute Authority Service per reperire
il riferimento dell’authority da contattare.
La qualificazione delle Porte di dominio
Il modello SPCoop si basa su un framework, che prevede l’impiego di un
insieme di componenti architetturali ed una modalità per la loro interconnessione,
costituente l’infrastruttura portante per la cooperazione applicativa.
Tali componenti devono garantire comportamenti omogenei sia in termini
di modalità di colloquio che di funzionalità operative ed affidabilità.
Affinché questo possa essere garantito, nel contesto di una pluralità di interlocutori
che possono entrare a far parte della comunità SPCoop, si è reso necessario
individuare un percorso che, attraverso adeguati processi di qualificazione,
porti alla standardizzazione delle componenti afferenti ai diversi attori.
Da qui i servizi di qualificazione previsti, presso il Centro di Cooperazione
Applicativa (SICA), per le due componenti infrastrutturali di SPCoop al momento
la Porta di Dominio ed i Registri Secondari. Il DPCM relativo alle regole
tecniche SPC, in corso di pubblicazione, stabilisce che in sede di prima
applicazione le porte di dominio ed i SICA secondari sono servizi da
qualificare, assegnando alla Commissione di Coordinamento SPC la possibilità
di aggiornare le componenti di servizio da qualificare.
Il processo di qualificazione si pone due obiettivi fondamentali:
• Assicurare, per ciascuna Porta di Dominio o Registro Secondario, la
qualità e rispondenza agli standard di apertura, interoperabilità, stabilità
della piattaforma SPC
• Rende agevole il percorso alle amministrazioni candidate, attraverso
l’adozione di un processo di qualificazione user friendly.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 83

Il processo di qualificazione delle porte di dominio è un evoluto sistema di regulatory
compliance governato a livello strategico dalla Commissione di Coordinamento
SPC. Il processo ha anche come obiettivo l’individuazione di soluzioni di
mercato compliant che vengono qualificati come modelli di porte di dominio.
Le singole istanze di porte che possono avere o meno un modello di riferimento,
vengono qualificate al fine di validare l’interoperabilità delle soluzioni in termini
di capacità delle porte a eseguire comportamenti standardizzati.
Seguendo i principi di sussidiarietà sanciti dal CAD e ribaditi nel DPCM recante
le regole tecniche (in corso di pubblicazione) le Regioni, su delega
della Commissione di Coordinamento SPC e previa qualificazione di un
modello di porta di dominio, possono effettuare nell’ambito del proprio territorio
di competenza le qualificazioni delle singole porte di dominio.
Il servizio di qualificazione della Porta di Dominio fornisce supporto alla
qualificazione di una porta di dominio di un’amministrazione che intenda
erogare o fruire di servizi nell’ambito SPCoop.
Il seguente diagramma di overwiev della soluzione messa a disposizione
permette di identificare le interfacce e le entità interne ed esterne facenti
parte del processo.
Dove:
• Amministratore della PDD in fase di qualificazione: Utente di una
Amministrazione Generica, dotata di una Porta di Dominio (PDD)
che vuole effettuare il test qualificazione.
84

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
• Segreteria Servizio di Qualificazione: Apre la fase istruttoria di verifica
i test di qualificazione.
• Sistema di Qualificazione della PDD: Consolle Web che offre gli
strumenti per eseguire il “Test di Qualificazione”.
• Test di Qualificazione: Procedura automatica per eseguire il test per
le verifiche.
• Porta di Dominio di Riferimento CNIPA: Porta di Dominio utilizzata
dal CNIPA per eseguire il “Test di Qualificazione” con la Porta di
Dominio della amministrazione remota.
• Porta di Dominio in fase di Qualificazione: Porta di Dominio utilizzata
dalla Amministrazione remota con la quale si vuole richiedere
la qualificazione.
• Referente IPA: Riferimento della Amministrazione/fornitore delegato IPA
Il processo di qualificazione avviene attraverso le seguenti fasi
Fase 1: Richiesta di Accreditamento
L’Amministratore della PDD in fase di qualificazione, chiede l’autorizzazione
alle attività di qualificazione
Fase 2: Istruttoria
Vengono verificate le credenziali fornite con la richiesta e concessa l’autorizzazione
a test di interperabilità
Fase 3: Test
Vengono eseguiti i test previsti e verificati gli esiti
Fase 4: Validazione
La segreteria del servizio di qualificazione effettua una fase di verifica dell’esecuzione
del Test di Qualificazione, sulla base risultati delle prove effettuate,
ed in caso di esito positivo rilascia la certificazione di conformità ed i
certificai X509 per la porta qualificata.
I Registri
La struttura dei registri SICA comprende il Registro SICA generale ed il servizio
di catalogo schemi e ontologie. I registri assolvono a due principali
funzioni:
1. Svolgono la funzione notarile di pubblico registro;
2. Costituiscono la struttura informativa dei servizi e dei metadati che
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 85

supportano e definiscono procedimenti nei quali è necessaria l’interazione
tra più amministrazioni.
In effetti la previsione del CAD stabilisce due importanti cardini:
• “gli scambi di documenti informatici tra le pubbliche amministrazioni
realizzati attraverso al cooperazione applicativa e nel rispetto delle
relative procedure e regole tecniche di sicurezza, costituiscono invio
documentale valido ad ogni effetto di legge”; per documento informatico
si intende una rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti.
• Inoltre, (art. 78) che “Le pubbliche amministrazioni nell’ambito della
loro autonomia funzionale e gestionale adottano nella progettazione e
gestione dei propri sistemi informativi, ivi inclusi gli aspetti organizzativi,
soluzioni tecniche compatibili con la cooperazione applicativa con
le altre pubbliche amministrazioni, secondo le regole tecniche …”.
Pertanto, compito dei servizi di cooperazione applicativa è quello di supportare
la definizione di una pianificazione strategica di un framework tecnologico,
che metta in relazione e allinei l’ICT con le funzioni e i processi
che deve supportare, fornendo il rigore formale atteso dalla validità giuridica
della cooperazione ed in un contesto di federabilità delle infrastrutture
ICT delle P.A.. In tale scenario i registri rappresentano la gazzetta ufficiale,
che soddisfa le funzioni di pubblicità degli accordi di servizio, i quali definiscono
le modalità con le quali due amministrazioni (delle quali l’una in
qualità di erogatore e l’altra di fruitore di un determinato servizio) si accordano
(o convengono) su una modalità di utilizzo del servizio stesso.
L’accordo di servizio è un documento scritto in linguaggio formale (XML)
che definisce e specifica per ogni servizio:
1. Interfaccia
2. Comportamento
3. Riferimento alla semantica
4. Indirizzo telematico
5. Livelli di servizio
6. Caratteristiche di sicurezza
I dati minimi che un accordo di servizio deve prevedere sono: l’interfaccia
e l’indirizzo telematico. In questo caso si tratta verosimilmente di un servizio
erogato in modalità best effort da un’amministrazione. Le prime tre caratteristiche
dell’elenco precedente sono tipiche dello specifico servizio ed
86

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
invarianti al variare del fruitore del servizio. Le ultime tre possono invece
essere tipiche per ogni fruitore.
Il registro SICA generale contiene l’insieme dei soggetti organizzativi
SPCoop, include l’indice delle pubbliche amministrazioni (IPA) e gli accordi
di servizio. Analogamente agli accordi di servizio possono essere definiti
e modificati gli accordi di cooperazione tra diverse amministrazioni in uno
specifico ambito tematico.
Una serie di funzioni consentono di inserire, modificare e cancellare gli accordi
di servizio e di cooperazione attraverso interfacce sia applicative sia
web-based. Il modello SPCoop prevede anche la possibilità di realizzare registri
secondari, rispetto ai quali il Registro generale svolge anche il ruolo di
sincronizzazione. Il registro SICA generale contiene tutti gli accordi di servizio
e di cooperazione che hanno una valenza che travalica un ambito locale.
Il catalogo degli schemi e ontologie definisce il significato dei servizi oggetto
di cooperazione e dei metadati veicolati; tali metadati possono essere
definiti anche come ontologie (insieme di concetti e relative relazioni definiti
in maniera rigorosa e formale). Il catalogo schemi e ontologie è collegato
al registro SICA generale, al fine di poter unire la definizione dei metadati
(aggregati di dati costituenti informazioni utili nei processi, es. indirizzo
di residenza costituito da via, numero civico, CAP, città e provincia) trattati
in un processo, con l’insieme di concetti più generali nel quale sono definiti
(ad esempio dati anagrafici delle persone).
Un tale collegamento in prospettiva si presta a numerosi altri utilizzi di
maggior valore, quale ad esempio, attraverso riferimenti inversi, individuare
il servizio applicativo che meglio si presta a trattare determinate informazioni,
tutto questo evidentemente attraverso ragionatori automatici.
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 87

Il progetto ICAR – a cura del CISIS (Centro Interregionale
per i Sistemi Informatici, geografici e Statistici)
ICAR non è solo una “best practice” tra i progetti di e-government nel nostro
paese per la riuscita nei tempi preposti e per la realizzazione di modelli
e di servizi di riferimento per la realizzazione di SPCoop non solo a livello
interregionale. ICAR è oggi un progetto di rilevanza europea anche perché
ha dato vita ad una vera e propria comunità di pratica sul tema della cooperazione
applicativa.
COME NASCE IL PROGETTO ICAR E I SUOI OBIETTIVI
Nell’ottica di una visione condivisa tra Stato, Regioni ed Enti Locali, per lo
sviluppo federato e cooperativo dell’ e-government, le Regioni hanno uno
specifico ruolo di proposta e di implementazione delle infrastrutture per la
società dell’informazione
Nel 2005 sono state emanate le specifiche tecniche del SPCoop da parte
del CNIPA. a seguito di questa tappa fondamentale per lo sviluppo della cooperazione
applicativa in Italia, alle Regioni è stato rivolto l’avviso pubblicato
dal CNIPA per la selezione di progetti per “lo sviluppo dei servizi infrastrutturali
e SPCoop”, per la seconda fase di attuazione dell’e-government.
Le Regioni, quasi nella loro totalità (16 Regioni e 1 Provincia Autonoma),
hanno singolarmente presentato, in risposta all’avviso, un progetto regionale
che formalizza l’impegno nella realizzazione coordinata e cooperativa del
progetto interregionale ICAR (Interoperabilità e Cooperazione Applicativa
in rete tra le Regioni).
L’obiettivo del progetto e costruire un modello e attivare l’infrastruttura per
l’interoperabilità e la cooperazione applicativa in rete tra i sistemi informativi
di diverse amministrazioni pubbliche, secondo le specifiche SPCoop.
Inoltre intende utilizzare l’infrastruttura attraverso lo sviluppo e il dispiegamento
di servizi cooperativi in sette domini applicativi.
LA STRUTTURA DEL PROGETTO
Il progetto ICAR prevede tre interventi progettuali a carattere infrastrutturale,
che hanno come obiettivo la realizzazione dei servizi di base ed
avanzati:
• Task INF-1 “Realizzazione dell’Infrastruttura di base per l’Interoperabilità
e la Cooperazione Applicativa a livello interregionale”
88

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
• Task INF-2 “Gestione di Strumenti di Service Level Agreement a livello
interregionale”
• Task INF-3 “Realizzazione di un Sistema Federato interregionale di
Autenticazione”
Le funzionalità sviluppate mediante questi interventi sono trasversali rispetto
ai livelli applicativi che usufruiscono dell’infrastruttura di cooperazione.
Il progetto prevede, infatti, altri interventi progettuali per lo sviluppo di alcuni
casi di studio in specifici domini applicativi della cooperazione applicativa
interregionale. Essi hanno l’obiettivo di sperimentare e dimostrare l’efficacia
dei servizi infrastrutturali di interoperabilità e cooperazione applicativa
realizzati con i predetti interventi infrastrutturali di base, in alcuni scenari
applicativi di livello interregionale.
Gli interventi progettuali previsti a questo riguardo sono i seguenti:
• Task AP-1 “Cooperazioni e Compensazioni Sanitarie Interregionali”,
• Task AP-2 “Cooperazione tra sistemi di Anagrafe”,
• Task AP-3 “Area Organizzativa Omogenea”,
• Task AP-4 “Lavoro e Servizi per l’Impiego”,
• Task AP-5 “Tassa automobilistica regionale”,
• Task AP-6 “Osservatorio Interregionale sulla rete distributiva dei carburanti”,
• Task AP-7: “Sistema Informativo Interregionale di Raccordo con Cinsedo”.
Gli interventi progettuali di ICAR
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 89

I RISULTATI CONSEGUITI
Il progetto ha rispettato i tempi pianificati e al termine del secondo anno,
dei tre complessivi, ha già rilasciato le reference implementation dei tre task
infrastrutturali, in corso di collaudo presso tutte le Regioni partecipanti all’iniziativa.
I task applicativi, che hanno differenti pianificazioni, hanno definito le specifiche
tecniche e la progettazione esecutiva ed in alcuni casi hanno già rilasciato
i primi servizi di cooperazione applicativa. In tutti i casi hanno raccordato
la propria azione alla Pubblica Amministrazione Centrale (Ministero
del Lavoro, Ministero della Salute, Agenzie delle Dogane, Ministero degli
Interni, ecc.) ed in alcuni hanno realizzato specifiche attività integrate con
altri progetti nazionali. Da evidenziare i servizi realizzati per il dominio del
lavoro, integrati ai servizi di Borsa Continua Nazionale del Lavoro e Comunicazioni
Obbligatorie sviluppati dal Ministero e riguardanti la mobilità interregionale.
Particolare attenzione è stata posta per gli accordi di servizio che sono stati
elaborati da parte di tutti i task applicativi e che sono stati definiti in tutti gli
aspetti, così da definire un modello completo di accordo di servizio che sviluppa
le diverse parti dichiarative (SLA, politiche di accesso, sicurezza,
ecc.) e soprattutto introduce le annotazioni semantiche e gli schemi ontologici
di dominio.
COMUNICARE LA “CULTURA” DELLA COOPERAZIONE APPLICATIVA
La complessità del progetto ha richiesto la costituzione di un organo preposto
esclusivamente alla gestione di questo. Lo staff centrale di ICAR opera
presso il CISIS (Centro Interregionale per i Sistemi Informatici, geografici e
Statistici), struttura che ha collaborato anche alla stesura del progetto stesso,
ed ha il compito di monitorare, gestire e verificarne costantemente l’andamento
all’interno delle singole Regioni su tutti i task.
Lo staff centrale di ICAR si è posto, però, anche l’obiettivo di comunicare in
maniera “innovativa” i temi del progetto, di diffonderli presso le Regioni ad
ogni livello.
La cooperazione applicativa muterà il modo di lavorare degli operatori pubblici,
l’approccio degli amministratori verso la gestione dei servizi e le modalità
di fruizione di questi da parte dei cittadini, imprese e altre pubbliche
amministrazioni.
90

Il Sistema Pubblico di connettività: i consuntivi del primo periodo di attività
Notevoli saranno i benefici che questa apporterà, ma l’intuizione nata all’interno
del progetto ICAR, è che saranno reali solo se verrà lentamente acquisita
da tutti una nuova modalità di contatto ai servizi pubblici.
Per comunicare questa nuova “cultura”, per diffonderla, il progetto ICAR ha
sperimentato modelli e tecniche innovative e di impatto.
Sono stati prodotti ICARtoni, veri e propri cartoni animati sviluppati in
“flash”, una illustrazione “semplificata” di una possibile trasposizione in cooperazione
applicativa di un procedimento amministrativo.
Inoltre è stato realizzato uno spettacolo teatrale “Rosso, Nero e Azzurro”,
una “commedia musicale informativa”. Attraverso una metafora ironica e divertente
si intendono infatti divulgare i concetti chiavi e il funzionamento
base della cooperazione applicativa.
Lo spettacolo, presentato a Genova in prima nazionale nel Luglio 2007, viene
ora replicato all’interno delle singole Regioni.
IL VALORE DEL PROGETTO
Sicuramente il fatto che un progetto così complesso si appresti a terminare
nei tempi e con i risultati prefissati, è un fatto degno di nota. Soprattutto se
accompagnato da un’azione di comunicazione fresca e coinvolgente.
Ma non è solo questo che porta ICAR a dover essere annoverato come best
practice europea tra i progetti di e-government.
Quello che da valore aggiunto ad ICAR è, infatti, la creazione di un contenitore,
di una rete comunicativa in grado di valorizzare le competenze, le capacità
di singole persone e di “laboratori” locali (alcuni preesistenti ad ICAR
altri nati per esigenze del progetto stesso) che operano su temi specifici inerenti
la cooperazione applicativa.
Queste realtà locali, anch’esse operanti “a rete” sul territorio (coinvolgono
spesso più soggetti: università, comuni, società private), le singole persone
interessate, hanno creato la base per una vera e propria community sulla
cooperazione applicativa nel nostro paese che mette a disposizione esperienze,
competenze sul tema, facilitando inevitabilmente nuovi progetti e,
soprattutto, la realizzazione del SPCoop in Italia.
Spontaneamente strutture e persone proprio mentre “costruivano”, lavorando
alla realizzazione del progetto, hanno creato, parallelamente, una vera e
propria comunità di pratica sulla cooperazione applicativa e sui temi connessi.Possiamo
parlare di comunità di pratica in quanto in un sistema a rete,
che lavora alla realizzazione “pratica” di qualcosa, si stanno condividendo
Centro Nazionale per l’Informatica nella Pubblica Amministrazione 91

92
modelli, esperienze, conoscenze. Questi sono poi messi a disposizione di altri
progetti e per future sperimentazioni.
L’auspicio è che tutto questo valore,queste competenze reali, queste dinamiche
e questi modelli di circolarità della conoscenza, nate all’interno di
ICAR, non siano disperse e possano essere significativamente sfruttate per
una vera innovazione della Pubblica Amministrazione nel nostro paese.

COLLANA MINIGRAFIE CNIPA
- n. 1 “Legge Stanca e regolamento di attuazione”
- n. 2 “Legge Stanca: requisiti di accessibilità”
- n. 3 “La TV digitale terrestre: progetti per la PA”
- n. 4 “Scuola virtuale PA”
- n. 5 “Portale delle imprese”
- n. 6 “Protocollo ASP”
- n. 7 “Normativa italiana sull'accessibilità”
- n. 8 “La qualità dei beni e servi nei contratti della PA:
LG per una migliore gestione”
- n. 9 “Cos’è il Cnipa”
- n. 10 “Continuità operativa nella PA”
- n. 11 “Posta elettronica certificata”
- n. 12 “Lotta agli sprechi”
- n. 13 “Codice Amministrazione digitale”
- n. 14 “La normativa sulla firma elettronica”
- n. 15 “Scuola virtuale PA” II edizione
- n. 16 “Il Sistema Pubblico di connettività: i consuntivi
del primo periodo di attività”

Cnipa
Sezione Pubblicazioni e sito web
Pubblicazioni@cnipa.it
Tel. 06 85264.1
via Isonzo 21/b – 00198 Roma
www.cnipa.gov.it