L’interoperabilità è un’opportunità concreta per migliorare il modo in cui le pubbliche amministrazioni rispondono alle necessità dei cittadini e del territorio.
Indice degli argomenti
Come l’interoperabilità semplifica i procedimenti amministrativi
Per un’amministrazione locale significa poter accedere in modo sicuro e regolato a informazioni custodite da altre amministrazioni, riducendo duplicazioni, ricostruzioni manuali e rendendo più lineari i procedimenti. Gli effetti sono concreti: minore onere documentale per cittadini e imprese in applicazione del principio once-only, istruttorie più rapide grazie al recupero alla fonte dei dati, qualità informativa più elevata con riduzione di errori e incongruenze.
L’impatto interno non è secondario. Lavorare su dati affidabili e tracciati consente controlli più mirati, pianificazione delle attività su base oggettiva e una gestione del rischio più consapevole.
Il ruolo della PDND nello scambio dati tra enti pubblici
L’introduzione della Piattaforma Digitale Nazionale Dati (PDND) ha rappresentato un punto di svolta nella gestione dell’interoperabilità a livello nazionale.
La piattaforma ha infatti reso uniforme e trasparente il ‘patto di fiducia’ tra le amministrazioni che erogano dati e quelle che li utilizzano, definendo ruoli e responsabilità comuni e introducendo un framework standard per lo scambio dei dati. Ne è derivata una condivisione delle informazioni più sicura, standardizzata e meno gravata da oneri burocratici legati alle autorizzazioni tradizionali. Ad oggi oltre 8.500 enti hanno aderito alla PDND, con circa 13.000 e-service pubblicati, rendendola in pochi anni lo standard di riferimento per l’interoperabilità italiana.
Requisiti di sicurezza tecnica per lo scambio di dati sensibili
Se la PDND ha semplificato il quadro autorizzativo e burocratico per lo scambio di dati, rimane in capo agli enti pubblici una responsabilità essenziale e non comprimibile: garantire la fruizione e l’erogazione tecnica in sicurezza.
I dati oggetto di scambio sono spesso sensibili, e la loro protezione richiede l’adozione di requisiti conformi alle Linee Guida AgID sull’interoperabilità tecnica (ModI) in conformità alle regole del GDPR. In termini pratici, ciò significa che ogni flusso può dover rispettare una serie di regole, che evolvono sulla base della criticità del dato trattato:
▪ Protezione del canale di comunicazione (e.g. pattern ID_AUTH_CHANNEL_01): il collegamento tra i sistemi può dover avvenire su canale cifrato, con validazione del certificato di server emesso da autorità riconosciuta, in modo che il destinatario abbia certezza sull’identità del server con cui sta comunicando;
▪ Autenticazione dell’applicativo mittente (e.g. pattern ID_AUTH_REST_01): il sistema che invia la richiesta deve essere riconosciuto tramite la PDND o tramite certificati X.509, ed essere autorizzato, così da prevenire accessi non autorizzati da applicativi esterni o compromessi;
▪ Integrità dei dati trasmessi (e.g. INTEGRITY_REST_02): il contenuto della richiesta può dover essere firmato digitalmente per assicurare che non possa venir modificato durante la trasmissione. Nel token di sicurezza si include un identificativo della chiave pubblica (claim “kid”) registrata sulla PDND, e l’erogatore deve poter verificarne l’integrità durante la trasmissione;
▪ Tracciabilità e non ripudio (e.g. AUDIT_REST_02): ogni richiesta deve essere accompagnata da un token di audit che includa informazioni quali identificativo utente (userID), localizzazione (userLocation), livello di sicurezza / garanzia (LoA), e che vi sia correlazione tra il token di autenticazione (voucher) e il token di audit, per permettere di ricostruire chi ha fatto cosa e con quali credenziali.
Quando la delega ai fornitori genera frammentazione
Garantire la fruizione ed erogazione sicura dei dati è un’attività complessa. Richiede competenze specialistiche, conoscenza puntuale dei pattern di interoperabilità e un monitoraggio continuo delle evoluzioni normative e tecnologiche. Per questo motivo molte amministrazioni, prive di risorse interne dedicate, tendono a delegare tali attività a diversi – spesso numerosi – fornitori tecnologici. Questa scelta è comprensibile, ma comporta inevitabilmente una maggiore complessità gestionale e una perdita di controllo diretto sulle modalità con cui i flussi vengono messi in sicurezza.
Delegare l’implementazione dei pattern di interoperabilità a fornitori diversi, applicativo per applicativo, introduce nel tempo una frammentazione che riduce il governo complessivo. Le credenziali e le chiavi legate alla PDND possono finire distribuite su più sistemi, le policy di sicurezza risultano eterogenee, il monitoraggio dei flussi è parziale o non correlabile. In caso di audit o incidente, la ricostruzione di eventi e responsabilità diventa complessa, lenta e onerosa.
La frammentazione pesa anche sul ciclo di vita: ogni nuova integrazione replica costi e tempi, gli adeguamenti normativi si moltiplicano e cresce il rischio di dipendenza dal fornitore. È una traiettoria che contraddice l’obiettivo di standardizzazione e rischia di rallentare la capacità delle amministrazioni di erogare nuovi servizi digitali.
I vantaggi di una piattaforma centralizzata per l’interoperabilità
Per superare la frammentazione e innalzare il livello di sicurezza e di governo dei flussi informativi, la scelta più efficace per un ente è di dotarsi di una piattaforma di interoperabilità, una sorta di interfaccia unica multi software verso pdnd.
Questo livello infrastrutturale rappresenta la cabina di regia centrale per tutte le integrazioni, riducendo la complessità che altrimenti ricadrebbe su singoli applicativi o fornitori esterni. Praticamente tutti i software si interfacciano a questo middleware con cui condivido l’accesso a pdnd e le interfacce api.
Una piattaforma unica permette di coordinare in modo centralizzato i flussi di dati in ingresso e in uscita, applicare in maniera uniforme le regole di sicurezza, gestire centralmente il ciclo di vita di certificati e credenziali della PDND e garantire la tracciabilità delle operazioni. Il risultato è un sistema più sicuro, coerente e sotto il pieno controllo dell’amministrazione.
Dal punto di vista operativo, avere un’unica infrastruttura significa configurare i requisiti di sicurezza una sola volta e riutilizzarli su tutti i procedimenti e servizi digitali, senza dover ripetere di volta in volta attività complesse e costose. Ma i vantaggi non si fermano qui:
▪ Governance unitaria: l’ente mantiene il pieno controllo sui flussi di dati, sulle credenziali e sulle policy applicate, evitando che queste siano disperse tra fornitori diversi;
▪ Sicurezza rafforzata: la gestione centralizzata riduce i rischi di incoerenza e consente di monitorare e aggiornare tempestivamente le configurazioni critiche; ▪ ▪ ▪ Efficienza operativa: la manutenzione e gli adeguamenti normativi diventano più rapidi, perché si interviene una sola volta sul livello di piattaforma invece che su ogni singolo sistema;
▪ Trasparenza e auditing: la tracciabilità completa delle transazioni e la raccolta centralizzata dei log offrono strumenti di controllo e di rendicontazione molto più efficaci;
▪ Scalabilità: la piattaforma rende più semplice integrare nuovi servizi digitali, perché gli standard tecnici e di sicurezza sono già disponibili e pronti all’uso.
In questo modo l’interoperabilità non rimane un insieme di progetti separati, ma diventa un’infrastruttura permanente e riusabile, capace di sostenere nel tempo la trasformazione digitale dell’amministrazione.
Il modello condiviso per comuni di piccole e medie dimensioni
Per molte amministrazioni, soprattutto di piccole e medie dimensioni, la realizzazione di una piattaforma di interoperabilità risulta ancora più efficace se adottata in un modello condiviso. Un’infrastruttura messa a disposizione di più enti permette infatti di sommare risorse, competenze e capacità organizzative che singolarmente sarebbero potenzialmente difficili da sostenere. Immaginiamo un layer intermedio a cui tutti i sofware di un gruppo di piccoli comuni si collegano e che si collega univocamente a pdnd, facendo da “router” o “smistatore” di richieste.
A questo livello si può classificare quale utente puà accedere a quale api, per quale finalità e mettere in condivisione interfacce tecnologiche, il tutto controllato e gestito da un ente sovracomunale con competenze adeguate a gestire la complessità dell’interoperabilità.
Un servizio centralizzato consente di ridurre significativamente i costi complessivi, distribuendoli tra gli enti aderenti e di accedere a professionalità specialistiche che garantiscono aggiornamenti costanti, monitoraggio e presidio operativo. Inoltre, la condivisione di componenti tecniche e procedure uniformi semplifica l’adozione di nuovi servizi e garantisce standard uniformi di qualità e sicurezza a livello territoriale.
In concreto, una piattaforma multi-ente assicura:
(i) la coerenza delle policy di sicurezza,
(ii) la gestione unitaria delle chiavi e delle credenziali della PDND,
(iii) la tracciabilità completa delle transazioni, e
(iv) la possibilità di riusare connettori e configurazioni.
Ogni amministrazione mantiene sempre la titolarità dei propri dati e delle proprie decisioni, ma beneficia di un’infrastruttura enterprise che rende l’interoperabilità una pratica quotidiana e non un progetto straordinario.
In questo modo, anche le amministrazioni con risorse limitate possono raggiungere livelli di sicurezza, governance e innovazione pari a quelli delle realtà più grandi, promuovendo un modello collaborativo e sostenibile per la trasformazione digitale.
Se l’interoperabilità partirà davvero, la sua governance probabilmente passa da quanto indicato sopra.
