PRESIDENZA DEL PRESIDENTE
PAOLO COPPOLA

La seduta comincia alle 10.40.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che, se non vi sono obiezioni, la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso impianti audiovisivi a circuito chiuso.

(Così rimane stabilito).

Audizione del direttore generale di AgID, Antonio Samaritani.

PRESIDENTE. L'ordine del giorno reca l'audizione del direttore generale di AgID Antonio Samaritani, accompagnato da Maria Pia Giovannini, dirigente responsabile dell'area pubblica amministrazione, Francesco Tortorelli, dirigente responsabile dell'area architettura standard e infrastrutture, e Dianella Lombardini, membro della segreteria tecnica e raccordo con gli organi istituzionali, che ringrazio per la presenza.
Avverto i nostri ospiti che della presente audizione sarà redatto un resoconto stenografico e che, facendone espressa e motivata richiesta, in particolare in presenza di fatti illeciti sui quali siano in corso indagini tuttora coperte da segreto, consentendo la Commissione, i lavori proseguiranno in seduta segreta, invitando comunque a rinviare eventuali interventi di natura riservata alla parte finale della seduta.
Si tratta di un'audizione di natura prettamente conoscitiva, per la quale chiedo al dottor Samaritani di fornire un quadro esplicativo quanto più ampio possibile dei suoi compiti e della sua esperienza maturata durante la prima parte del suo mandato, oltre a fornirci un quadro sullo stato della digitalizzazione e dell'investimento ICT nella pubblica amministrazione.
Il dottor Samaritani è stato nominato direttore generale a maggio 2015 e ha un mandato di tre anni.
Cedo, dunque, la parola ad Antonio Samaritani per lo svolgimento della relazione introduttiva, al termine della quale seguiranno eventuali domande o richieste di chiarimento da parte dei commissari.

ANTONIO SAMARITANI, direttore generale di AgID. Per agevolare l'esposizione, abbiamo preparato una breve presentazione, che vado ad illustrare. Ovviamente, cercherò di mantenermi nei tempi, in modo da dare spazio a tutte le domande.
La presentazione è articolata nel modo seguente. Abbiamo un inquadramento generale delle attività di AgID, poi un approfondimento sugli investimenti ICT – il tema su cui Lei, presidente, chiedeva un focus – e sugli obiettivi di risparmio della spesa, oltre ad alcuni risultati ad oggi conseguiti e ai prossimi passi, cioè le attività sulle quali vorremmo lavorare.
Parto da un inquadramento, da un collocamento generale. Innanzitutto, nei Paesi europei, ci sono vari modelli di agenzia per la digitalizzazione. Sostanzialmente, nella nostra analisi abbiamo visto tre modelli organizzativi possibili. In uno, l'agenzia o l'equivalente dell'agenzia per la digitalizzazione, è collocata direttamente sotto la Presidenza del Consiglio, quindi è un organo o una funzione diretta dalla Presidenza del Consiglio. In altri casi, ha una propria indipendenza e una propria personalità giuridica, un proprio bilancio, una propria organizzazione delle attività, ma riporta generalmente sempre alla Presidenza o a Pag. 4un ministero collegato alla Presidenza. In altri ancora, è allocato direttamente presso il ministero. AgID si trova nel secondo caso, che ci sembra essere forse la collocazione migliore, da un certo punto di vista, perché, di fatto, siamo sotto una Presidenza, ma con un'autonomia gestionale che ci consente di impostare e pianificare le attività.
Le due eccezioni principali sono quella tedesca e quella spagnola, che, facendo però capo a un ministero solo, hanno una visione parziale rispetto al tema dell'agenda digitale, perché la collocano rispetto a un interesse specifico di un ministero e non rispetto a un programma nazionale completo.
Che cosa fa AgID, in particolare, e come questa collocazione organizzativa si riflette sulle sue attività? Sostanzialmente, possiamo dividere le attività di AgID in due blocchi logici: quelle che riguardano le attività istituzionali e quelle che riguardano la strategia, o comunque il presidio strategico delle attività relative all'agenda digitale.
Per quanto riguarda la prima parte, cioè le attività istituzionali, al di là di un coordinamento strategico generale sulle attività che le amministrazioni fanno rispetto alla strategia nazionale – su questo aprirò successivamente una riflessione, perché credo sia un punto importante anche per la Commissione – che cosa facciamo sugli altri elementi più operativi? Emaniamo linee guida tecniche in materia di tecnologie informatiche e in materia di procedure e metodologie per dare attuazione al codice dell'amministrazione digitale. Svolgiamo procedure di accreditamento per i servizi fiduciari, per i conservatori, per la PEC e, ovviamente, adesso per il Sistema Pubblico di Identità Digitale (SPID). Svolgiamo anche l'attività di vigilanza per gli stessi servizi che accreditiamo. Ci occupiamo di alfabetizzazione digitale, cioè di colmare il gap digitale, o comunque di promuovere iniziative che vanno nel solco di ridurre il digital divide del Paese.
Facciamo ricerca e innovazione, principalmente attraverso l'attività di stazione appaltante dei bandi di PCP, pre-commercial procurement. Emaniamo pareri relativi alle gare, o comunque alle procedure di acquisto delle altre amministrazioni che non passano da Consip o da un'altra centrale d'acquisto. Ci occupiamo delle linee guida di sicurezza informatica e della gestione del Computer Emergency Response Team Pubblica Amministrazione (CERT-PA), il centro di risposta in caso di attacco informatico per la parte relativa alla pubblica amministrazione.
Le attività strategiche invece sono molto più indirizzate sui progetti e hanno molteplici risvolti fra cui il Piano triennale per l'ICT della pubblica amministrazione. Partendo da una strategia – che dopo illustrerò –, si tratta di definire gli obiettivi di trasformazione e miglioramento in coerenza con la strategia nazionale per le pubbliche amministrazioni; di seguire, direttamente o indirettamente, alcuni progetti del piano, quelli che abbiamo definito come progetti strategici o progetti abilitanti – SPID, i pagamenti elettronici, la fatturazione elettronica e tanti altri, che poi analizzeremo – e di monitorarne il percorso.
Un capitolo a parte, anche se ovviamente è una costola del percorso, è rappresentato da open data e open government, che consiste sostanzialmente nella valorizzazione e pubblicazione del patrimonio informativo pubblico. Ci sono, poi, attività di supporto all'Internet governance e il Sistema Pubblico di Connettività (SPC) come framework di interoperabilità, che ovviamente ricomprende anche le gare per la fornitura di servizi di connettività in collaborazione con Consip, e che costituisce l'ossatura del percorso di procurement necessario a far sì che tutti i progetti possano essere gestiti e realizzati.
Passo ora alla parte strategica e provo a fare un inquadramento soprattutto sulla parte progettuale. Come sapete, l'agenda digitale italiana si riflette e viene operativamente declinata in un documento emanato dal Governo nel 2015, Strategia per la crescita digitale 2014-2020. Che cosa abbiamo fatto, come AgID, dall'inizio del mio mandato? Abbiamo definito il modello strategico di evoluzione del sistema informativo della pubblica amministrazione che è stato approvato dal comitato di indirizzo di Pag. 5AgID e che rappresenta il modello tecnico operativo unificante dei percorsi definiti da Crescita digitale. Mi spiego. Crescita digitale stabilisce che dobbiamo fare il turismo digitale, l'agricoltura digitale, la scuola digitale e così via. Per ognuno di questi cantieri del digitale, possiamo immaginare dei percorsi tecnici comuni. Ciascun progetto, infatti, necessita di un'infrastruttura fisica, può necessitare di alcune infrastrutture immateriali da utilizzare (un accesso ai servizi, un sistema di pagamento e via discorrendo), e poi necessita di sviluppare delle attività proprie e specifiche del dominio di competenza in cui si trova.
Il modello dell'ICT definisce questi elementi, in modo da poter creare ed esaltare quegli spazi di condivisione, e quindi di risparmio di costi e di efficienza tecnologica, che possiamo mettere in campo nel rispetto delle autonomie delle amministrazioni. Sostanzialmente, la scuola, il turismo e altri diversi domini possono avvalersi di parti di infrastruttura comune, nel rispetto dello sviluppo del proprio piano di servizi verso il cittadino.
Che ruolo ha, a questo punto, il piano triennale? A partire dal modello strategico dell'ICT, da questo disegno che abbiamo creato e che poi vi commenterò brevemente, il piano definisce, per ognuno degli elementi del modello strategico, quali sono gli obiettivi a cui le amministrazioni devono arrivare. Mi spiego. In termini di infrastruttura tecnologica, per esempio, cioè di data center, stabilisce i criteri e le modalità di riduzione dei data center. In termini di piattaforme nazionali di pagamento, indica quali sono gli obiettivi che le amministrazioni devono raggiungere sulle piattaforme dei pagamenti. Il piano triennale, quindi, definisce degli obiettivi e la programmazione nazionale, in maniera coerente, finanzia le azioni per il raggiungimento degli obiettivi, in modo da creare un percorso organico, che parte da una strategia e definisce delle azioni abilitanti.
In questo modello, abbastanza complesso, che vi ho descritto, l'aspetto più importante sta nel fatto che in Crescita digitale, il documento approvato dal Governo, la mobilitazione complessiva dei fondi e delle attività per dar corpo all'agenda nazionale, non è fatta solo da AgID, ma, in funzione dell'organizzazione dello Stato, da tutti i ministeri, dagli enti locali, da tutte le pubbliche amministrazioni, ciascuna per la propria competenza.
Il problema – in questa tabella si vede poco, ma si tratta di documenti del Governo, approvati e presentati in Commissione europea – è che il complessivo dei fondi che ruotano intorno all'agenda digitale è di circa 4,6 miliardi di euro. Il tema fondamentale è come orchestrare questi 4,6 miliardi in uno sforzo coerente, in modo che sia i POR sia i PON, sia i fondi delle amministrazioni, concorrano in maniera organica all'implementazione dell'agenda digitale così come è stata descritta nel documento strategico del Governo.
Quello che vedete sulla sinistra della slide è il modello di cui vi parlavo, che, come potete constatare, contiene i tre livelli che vi anticipavo: le infrastrutture materiali, per intenderci, data center e connettività, e le azioni da avviare in termini di razionalizzazione dei data center e della connettività.
Il secondo elemento sono le infrastrutture immateriali, cioè sia le basi dati di interesse nazionale, da presidiare in maniera particolare e diretta perché a livello internazionale sono i building block fondamentali per supportare interazioni e scambio di dati tra pubbliche amministrazioni e tra queste e i privati, sia altre banche dati che, se condivise, consentono di velocizzare il percorso di digitalizzazione essendo infrastrutture essenziali anche ai fini dell'abilitazione di servizi. Vi faccio alcuni esempi. SPID, il Sistema Pubblico di Identità Digitale, è una piattaforma immateriale che si colloca in questo livello perché, se facciamo in modo che tutti i cittadini abbiano una sola chiave d'accesso ai servizi della pubblica amministrazione, è chiaro che abbiamo, da una parte, razionalizzato un percorso, dall'altra, abbiamo l'abbiamo reso anche efficiente e dall'altra ancora, abbiamo creato un elemento facilitante. Quando, infatti, un'amministrazione deve erogare un servizio, non riscrive ex novo un modulo informatico per l'autenticazione, Pag. 6ma utilizza un componente già esistente. La stessa cosa vale per i pagamenti. Abbiamo creato un'infrastruttura nazionale per i pagamenti, così ciascuna amministrazione può collegarsi all'infrastruttura nazionale evitando realizzare una soluzione ad hoc per i pagamenti.
Che cosa deve essere lasciato libero, ma con precise regole d'interoperabilità? La parte di ecosistemi, che vuol dire servizi ai cittadini e alle imprese. È ovvio che sui servizi ai cittadini e alle imprese ogni amministrazione deve poter esprimere la propria visione prioritaria, soprattutto perché ha dei compiti istituzionali a cui adempiere.
Questo modello trova poi riscontro in un piano triennale, che fornisce delle indicazioni specifiche e che abilita anche la programmazione e il piano di finanziamenti. Ad oggi, abbiamo un primo progetto finanziato con il PON governance di 50 milioni di euro, che è la prima parte che vedete sopra (scheda Italia login). Gli altri due elementi – scheda Infrastrutture materiali e scheda Piattaforme immateriali – sono finanziamenti non ancora arrivati, ma proposte di progetto che abbiamo avanzato. Questi 50 milioni consentono, rispetto al piano di lavoro che abbiamo predisposto, di implementare la parte comune del quadrato che vedete in blu, cioè ecosistemi e infrastrutture immateriali, fino alla parte delle basi dati.
Dal punto di vista della spesa, per realizzare il piano e arrivare a definire il dettaglio tecnico e tecnologico che vedete, abbiamo dovuto costruire anche una baseline. Gran parte dell'anno di lavoro è stato dedicato, quindi, alla rilevazione dei costi e delle attività delle amministrazioni per avere una baseline da cui partire e su indirizzare le azioni necessarie sulle singole amministrazioni.
Su questa parte sarò conciso, poi lasceremo agli atti tutti i dati necessari e quelli che la Commissione richiederà. La spesa esterna dell'ICT pubblico italiano, quindi esclusi i costi di personale interno, è pari a circa 5,5 miliardi di euro. Di questi, 2,6 miliardi, sempre per arrotondamento, sono fondi delle pubbliche amministrazioni centrali; i rimanenti si dividono, come vedete nell'istogramma, tra scuole, pubbliche amministrazioni locali, regioni e sanità, che vale da sola circa 1,1 miliardi, mentre le regioni concorrono per 700 milioni e poi gli altri enti a seguire. Che cosa abbiamo fatto? Abbiamo cominciato a lavorare all'analisi dei 5,5 miliardi: quest'anno in particolare per le amministrazioni centrali e l'anno prossimo continueremo anche con una selezione di un campione delle amministrazioni locali. Abbiamo cominciato a mappare e a capire come fosse costruita la spesa. Quelli che vedete sono i numeri. Si tratta di un lavoro importante per diversi ordini di considerazioni.
Il primo è legato alla frammentazione della spesa che certamente in Italia è un dato di fatto, ma è anche vero – il principio di Pareto ci dà una grande mano in questo senso – che con le prime 12 amministrazioni principali controlliamo il 70 per cento della spesa delle amministrazioni centrali. Un primo messaggio, quindi, è che, comunque, da quest'analisi possono essere trovati elementi di controllo e di razionalizzazione della spesa. Con 12 soggetti principali, cogliamo comunque il 70 per cento delle esigenze ICT esterne.
Il secondo ordine di considerazioni è legato alla suddivisione della spesa. La parte rossa dell'istogramma corrisponde alle spese infrastrutturali: in media circa il 55 per cento delle spese delle nostre amministrazioni principali è sulla parte infrastrutturale, cioè il layer del modello che abbiamo definito infrastrutture immateriali, ovvero data center e connettività. Su questo punto ci sono alcune riflessioni da fare. La prima è che abbiamo una spesa che si concentra per una componente significativa nella parte forse maggiormente ottimizzabile. Oggi, in Italia, abbiamo circa 14 mila data center pubblici, sui quali dovremmo operare un'enorme riduzione. È chiaro che questo è un progetto di grandissima complessità, ma che sarebbe estremamente importante anche per un altro tema fondamentale, in questo momento, cioè la cyber security. Una politica di cyber security seria deve essere fatta riducendo la base d'attacco, quindi su un numero di data center infinitamente Pag. 7 più basso di quelli di oggi, per cui è necessario ridurli significativamente: non possiamo pensare di averne 14 mila, dobbiamo pensare di averne decine. Deve, quindi, partire un grandissimo progetto di consolidamento e di razionalizzazione di quest'infrastruttura, tenendo conto che, come vedete, assorbe più del 55 per cento delle spese.
L'altro tipo di analisi che abbiamo fatto è sul costo dei progetti. Il dato di 1,8 miliardi che abbiamo valutato non coincide, ovviamente, con le spese correnti che avete visto anno per anno. Questi sono progetti possono anche essere pluriennali, ma abbiamo fatto un'analisi dei progetti perché ci sembrava importante capire se la direzione attuale delle amministrazioni – in rapporto, in proposito, al piano triennale – fosse quella che il Governo aveva definito con Crescita digitale, cioè sostanzialmente l'incremento dei servizi in tutte le aree. Ciò che scaturisce dall'analisi che abbiamo compiuto su 496 progetti, è la seguente. Anzitutto, il 22 per cento della spesa riguarda la parte istituzionale, cioè legata ad attività svolte per necessità di legge, come per esempio adeguamenti per il cambiamento di un elemento di legge, per cui si deve cambiare il sistema contabile, adeguamenti imposti dalla normativa, ed altro; il 78 per cento, invece, dipende da un disegno strategico. Questo, secondo me, è un elemento sicuramente positivo, perché esprime una progettualità proattiva da parte delle amministrazioni.
Va meno bene se vediamo come sono ripartiti questi progetti rispetto alle componenti di analisi del modello che abbiamo allestito (quanto nelle infrastrutture fisiche, quanto in quelle immateriali, quanto negli ecosistemi), e cioè in termini di servizi indirizzati da Crescita digitale per dar corpo a tutta la politica dell’e-government. Abbiamo un 51 per cento di progetti che definirei infrastrutturali e un 13 per cento di progetti in qualche modo governati centralmente, perché riguardano le infrastrutture immateriali: sostanzialmente agganciarsi a SPID, al nodo dei pagamenti, e alle altre piattaforme nazionali che abbiamo identificato. Nel complesso, quindi, questo numero è pari a circa il 65 per cento. I progetti legati alla realizzazione dei servizi indicati da Crescita digitale sono il complemento a 100, ovvero il 35 per cento. Questo è il motivo per cui, all'inizio della mia illustrazione, dicevo che reputavo fondamentale definire un modello di governance, in modo che quei 4,6 miliardi complessivi mobilitati da Crescita digitale fossero orientati nella direzione che vogliamo. Il rischio da evitare è che si creino nuovi data center in aggiunta al numero consistente già citato prima. Questo è il punto a cui siamo arrivati con l'analisi.
Che cosa stiamo facendo? Il Digital Economy and Society Index (DESI) testimonia che l'Italia ha sicuramente fatto progressi significativi; non vuol dire che siamo migliorati in termini assoluti, perché rimaniamo nelle posizioni di coda, ma che tutte le classifiche internazionali ci pongono, in questo momento, tra i fast mover, cioè tra i Paesi che si stanno muovendo con velocità maggiore di altri. Sostanzialmente, abbiamo accelerato, questo è il messaggio positivo e, avendo accelerato, stiamo recuperando delle posizioni. Partiamo, però, da un livello talmente basso, che il recupero a questa velocità è ancora lento. L'elemento importante su cui fare una riflessione è che siamo vicini alla media europea, soprattutto per l'offerta di servizi pubblici digitali, che è il punto 5 che vedete. Siamo ancora lontani, invece, come potete constatare, sul tema della connettività.

VINCENZA BRUNO BOSSIO. Eppure è quello in cui si spende di più.

ANTONIO SAMARITANI, direttore generale di AgID. Insieme con l'infrastruttura. Questa, però, è un'osservazione importante: analizzando il dato, si nota che la spesa ICT 2016 è salita rispetto al 2015, proprio per un incremento della parte TLC. Si sta spendendo di più adesso – direi in particolare in quest'anno – e questo ci fa ben sperare che possa essere un recupero del gap di connettività, che però vedremo misurato l'anno prossimo.
L'altro importante tema di riflessione, come vedete, è il punto 3, e cioè che ci Pag. 8collochiamo molto al di sotto della media sull'uso di Internet. L'aspetto positivo come dicevo, è che siamo entrati nei fast mover. Se invece vogliamo valutarlo più oggettivamente, il dato rileva che produciamo servizi pubblici, ma non li usiamo, un po’ per mancanza di connettività e un po’ per scarsa propensione all'utilizzo di Internet. Se lo analizziamo dal punto di vista dei dati non disaggregati, rileviamo da un lato un tema culturale, legato alla poca propensione all'utilizzo dei servizi, dall'altro un tema di usabilità, legato alla difficoltà e alla complessità di utilizzo. In molti casi, come sapete, burocratizziamo, proceduralizziamo, digitalizziamo dei servizi assolutamente pensati in chiave procedurale e ancora in funzione del cartaceo. Il risultato, se vogliamo vedere il bicchiere mezzo vuoto, anziché mezzo pieno, è che oggi produciamo servizi, ma non li usiamo e, poiché la produzione di servizi è fatta con denaro pubblico, secondo me, un punto d'attenzione importante deve essere rivolto al miglioramento della qualità e dell'utilizzo, altrimenti in questo momento realizziamo servizi sottoutilizzati.
Per quello che riguarda i progetti della fascia delle infrastrutture immateriali, quella cioè che in qualche modo AgID presiede direttamente, oggi per SPID abbiamo cinque identity provider accreditati. Se vi siete tenuti aggiornati sui nostri progressi, potrete constatare che ne abbiamo uno in più dei mesi scorsi, Aruba, entrato recentemente. Ad oggi i provider sono InfoCert, Poste Italiane, Sielte, TIM e appunto Aruba, che ho testé richiamato. In termini di amministrazioni attive, abbiamo 3.720 amministrazioni collegate che utilizzano SPID, con 4.276 servizi. La cosa importante è che a cavallo di capodanno abbiamo superato il milione di utenti: adesso siamo a circa 1.150.000 utenti, quasi 1,2 milioni, che usano SPID. Posso fornirvi i dati esatti alla settimana, perché ormai cresciamo al ritmo di 20 mila utenze SPID al giorno. I dati sono in movimento. Questo è il panorama di SPID. Un altro elemento rilevante da sottolineare è che si stanno affacciando anche le prime amministrazioni comunali importanti: il servizio sta cominciando ormai effettivamente ad essere capillare.

DIEGO DE LORENZIS. Abbiamo una stima di quante sono quelle totali che dovrebbero...?

ANTONIO SAMARITANI, direttore generale di AgID. Le amministrazioni italiane sono 22 mila, ma considerando quelle che fanno servizi on line, il numero si riduce a un terzo, scendendo intorno a 7 mila amministrazioni. Dipende anche dalla logica con cui valutiamo. Se poi consideriamo le amministrazioni che hanno un numero di servizi significativo, scendiamo a molto meno di 7 mila.
Il dato importante è che, ad esempio INPS, come amministrazione centrale – tra le prime, con INAIL, a entrare – ha aderito subito con tutti i suoi 200 servizi on line. Anche INAIL ha aderito con 100 servizi e oltre. Il criterio importante che abbiamo privilegiato in questa fase, più che la numerosità delle amministrazioni da collegare, è stata la «qualità», cioè le amministrazioni che avevano un numero di servizi elevato e che quindi potevano essere propulsive per il cittadino.
L'altro dato importante è che alcune regioni fanno da aggregatori e quindi portano i servizi legati al proprio territorio. Questo è un modello che alcune regioni stanno adottando e altre no, e che ovviamente spingeremmo e intenderemmo proporre proprio alle regioni e alle città metropolitane, laddove ci siano delle aggregazioni. In questo modo, canalizziamo una capacità e una capillarità di organizzazioni che stanno sul territorio più di noi, assegnando loro anche un ruolo importante; per noi, risulta un'operazione di grande semplificazione, perché possiamo avere un unico interlocutore tecnico anziché averne una pletora.
Per tutti i progetti che vedete stiamo prevedendo anche un percorso di accompagnamento alle amministrazioni nell'ambito di quei 50 milioni di euro di progetto di PON governance di cui vi parlavo prima. Il progetto che stiamo allestendo è l'accompagnamento alle amministrazioni meno Pag. 9grandi e quindi anche con più problemi tecnici.

VINCENZA BRUNO BOSSIO. Queste sono 3.720 amministrazioni attive e 4.276 potenziali servizi attualmente disponibili?

ANTONIO SAMARITANI, direttore generale di AgID. Attualmente disponibili.

VINCENZA BRUNO BOSSIO. Praticamente, chi si fa un'identità digitale può accedere a 4.276 servizi? No?

ANTONIO SAMARITANI, direttore generale di AgID. Sì. Questi sono i servizi totali. Un cittadino di Firenze, ad esempio, oggi ha il comune collegato, la regione collegata e i servizi nazionali collegati.

VINCENZA BRUNO BOSSIO. Tutto il carnet.

ANTONIO SAMARITANI, direttore generale di AgID. Quasi tutto il carnet. Un cittadino di Roma oggi ha il comune di Roma collegato, la regione Lazio collegata, ma non con tutti i servizi, quindi ha un piano di collegamento, e qualche servizio sulla regione, ma non tutti.
Ad esempio un cittadino di un comune non collegato e che vive in una regione non ancora collegata, può avvalersi solo dei servizi nazionali. La situazione, quindi, è che ci sono 4.276 servizi collegati ma la fruizione dei singoli servizi dipende dall'area territoriale in cui il cittadino si trova.
Anche sui pagamenti abbiamo fatto progressi estremamente significativi. In questo caso la legge ci facilita, perché l'adesione al nodo dei pagamenti è obbligatoria entro l'anno per tutte le amministrazioni. Un dato significativo e importante, è che a giugno 2015, quando sono arrivato in AgID, solo circa 200 amministrazioni erano collegate. Oggi, le amministrazioni pubbliche aderenti sono 15.200, quindi tenderei a dire tutte quelle che possono avere delle necessità di riscossione. Di queste 15 mila amministrazioni aderenti, solo circa 11 mila sono attive. Questo perché c'è un percorso tecnico da considerare che va dall'adesione al momento in cui parte l'utilizzo effettivo del servizio. Abbiamo, comunque, 1.291.000 operazioni totali eseguite attraverso il nodo. Questo numero comincia a essere significativo, o comunque corrisponde ad una massa critica rilevante. Abbiamo 177 prestatori di servizio di pagamento, altro risultato importante.
Se posso permettermi una breve digressione, vorrei offrirvi un ulteriore elemento di riflessione, perché credo che sia importante. Ci si è molto interrogati – non io, ma i miei predecessori e i miei colleghi perché questo è un progetto che nasce da lontano, e credo che sia un elemento di valore importante – su come dovesse essere costruito il sistema dei pagamenti pubblici. Infatti, siccome i pagamenti pubblici, in Italia, rappresentano il 50 per cento di quelli totali, se si fosse scelto di passare per una gara con l'utilizzo di un provider, di una carta di credito, di una banca tesoriera, si sarebbe sposto un mercato. Con Banca d'Italia, la stima dei pagamenti pubblici che dobbiamo raggiungere è tra i 150 milioni di transazioni e i 200. È chiaro che la strada da fare è tanta. Si tratta, però, di un numero che sta sulle centinaia di milioni e non sul milione. Vi immaginerete che, se avessimo fatto un accordo, al di là della difficoltà di completare una gara, avremmo creato sul mercato degli elementi di assoluta turbolenza e, forse, anche di monopolio. Si è scelto invece di fare un market place. Perché 177 prestatori di servizi di pagamento? Perché chiunque, se riconosciuto da Banca d'Italia e se titolato a gestire dei pagamenti, può iscriversi al nodo dei pagamenti. Il nodo dei pagamenti è, quindi, un mercato virtualizzato, ma rappresenta il nostro mercato e, domani, il mercato europeo. Per le regole di competizione, infatti, anche un prestatore europeo può entrare.
Associamo sia pagamenti tradizionalmente on line, cioè sostanzialmente l’home banking, ai pagamenti fisici, cioè quelli che possono avvenire dai tabaccai, nei bar e così via perché abbiamo bisogno di creare, da una parte, un meccanismo digitale per la pubblica amministrazione, ma dobbiamo al contempo offrire al cittadino il più ampio Pag. 10 ventaglio possibile di soluzioni, perché molti cittadini sono ancora in digital divide.
Non possiamo pensare, quindi, che il percorso di digitalizzazione della pubblica amministrazione si fermi, ma non possiamo neanche lasciare per strada alcuni cittadini, anzi dobbiamo creare quel percorso di cultura verso il pagamento digitale che fa parte degli obiettivi istituzionali di AgID prima menzionati. Attraverso questa scelta, il nostro obiettivo non è solo quello di fornire delle soluzioni efficienti o efficaci, ma anche di creare un humus e una cultura, per cui oggi si dà la possibilità di pagare dal tabaccaio attraverso il codice a barre, per poi passare domani ad utilizzare il proprio home banking, creando quindi anche un meccanismo che indirizzi verso l'utilizzo di sistemi sofisticati.
Se ricordate l'indicatore che vi ho mostrato, siccome l'uso di Internet in Italia è meno diffuso anche per il problema culturale di cui si è detto, l’e-commerce in Italia è più basso rispetto agli altri Paesi perché non si paga on line. Credo che avere una pubblica amministrazione che educa al pagamento on line sia un valore per il percorso di digitalizzazione complessiva che dobbiamo fare. La collega Maria Pia Giovannini mi ricordava che dal prossimo mese saremo operativi anche con tutti gli strumenti mobile. Il nodo dei pagamenti infatti offre un ventaglio di soluzioni, che vanno da quelle più sofisticate, per chi è in grado di usarle, a quelle più tradizionali, facendo sì che il percorso interno per la pubblica amministrazione sia comunque sempre digitalizzato (per intenderci, il tabaccaio striscia un codice a barre che si trova su una comunicazione cartacea e genera un flusso elettronico per la pubblica amministrazione).
Sul progetto Anagrafe Nazionale della Popolazione Residente è stata completata la parte di soluzione tecnica e deve partire il dispiegamento. Come sapete, ad oggi abbiamo un comune che è partito con l'anagrafe nazionale, ma è uno, quindi ne abbiamo ancora circa 7.900 da aggredire. L'elemento positivo è che è finalmente concluso il disegno della soluzione tecnica. Adesso deve partire un progetto di dispiegamento della soluzione.
L'altra cosa importante che vorrei segnalarvi, e poi concludo, è che quest'anno abbiamo fatto un percorso di pubblicazione di linee guida di design per i servizi web della pubblica amministrazione, per andare verso un'identità grafica condivisa, ma non solo. Commentando i dati che vi ho mostrato prima – torno sempre ai dati del DESI – notavamo come lo scarso utilizzo di Internet fosse legato a due elementi: uno culturale, uno di usabilità. Se non miglioriamo l'usabilità e continuiamo ad avere dei siti inadeguati dal punto di vista dell'esperienza utente, avremo sempre dei cittadini che non riusciremo ad inserire nel percorso digitale. Abbiamo redatto delle linee guida, le abbiamo pubblicate, e abbiamo supportato alcune amministrazioni a ridefinire il loro sito web sulla base delle linee guida. Se guardate, per esempio, il nuovo sito del Governo, il sito del dipartimento della Funzione pubblica, del Ministero delle infrastrutture, del Ministero del lavoro, del Ministero degli esteri e quello dello sviluppo economico potrete notare la differenza e verificare che sono siti, se non altro, accessibili anche in mobilità, e quindi che si adattano in modo automatico al cambio di tipo di device e con una grafica moderna.

VINCENZA BRUNO BOSSIO. Scusi, forse mi è sfuggito, ma sull'Anagrafe unica, cosa...?

ANTONIO SAMARITANI, direttore generale di AgID. L'Anagrafe unica è un progetto che, ovviamente, sconta dei ritardi, come sappiamo. La notizia positiva è che la soluzione che Sogei ha completato è stata approvata dal Ministero dell'interno. Oggi, quindi, esiste una soluzione tecnica approvata, per cui adesso può partire realmente un progetto che esce dalla fase pilota ed entra in una fase di dispiegamento vero. Siamo, però, ancora alla fase di allestimento del progetto di dispiegamento. Fino ad oggi, si era lavorato, ancora in modalità analogica, con i 26 comuni pilota che vedete evidenziati nella mappa, che rappresentavano, Pag. 11 da una parte, il bacino di prova e, dall'altra, anche le «cavie» di quest'esperimento. Sono state le amministrazioni che hanno fornito a Sogei gli elementi per andare avanti, migliorare e completare il lavoro tecnico. Questo lavoro tecnico adesso è stato approvato dal Ministero, e quindi oggi si può entrare effettivamente in una fase di dispiegamento massivo dello strumento. La mia risposta è che lo strumento c'è: adesso, vanno affrontati tutti i nodi concreti per portare lo strumento sul territorio.
Se volete, posso fornirvi tutti i numeri di dettaglio di fatturazione elettronica ed altro.

PRESIDENTE. Ringraziamo il direttore Samaritani.
Do ora la parola ai colleghi che intendano intervenire per porre quesiti o formulare osservazioni.

VINCENZA BRUNO BOSSIO. Quest'audizione, di cui ringrazio, è molto importante anche perché, tra l'altro, viene alla fine di un percorso di audizioni dei soggetti che precedentemente hanno occupato un ruolo più o meno analogo, a parte che l'AgID nasce sostanzialmente da pochi anni.
Io credo che la novità forte, e mi pare che sia stata anche presentata, sia stato questo piano del Governo di crescita digitale, che permette di avere un quadro strategico, da una parte. Dall'altra, c'è tutto il tema, che non c'era magari negli anni precedenti, del confronto anche con l'agenda digitale europea e gli indicatori che ci spiegano se stiamo andando o meno nella direzione giusta.
Vorrei capire se possiamo dire che una serie di questioni che negli anni si sono incagliate oggi si sta sbloccando. Penso che la prima questione ancora abbastanza incagliata sia il tema della governance. La prima slide dice chiaramente che AgID dovrebbe stare sotto la Presidenza del Consiglio. Oggi sotto la Presidenza del Consiglio c'è un altro soggetto, che quindi bisogna capire come si relaziona ad AgID e al ruolo che dovrebbe svolgere AgID.
In secondo luogo, giustamente ci sono dei progetti strategici nel piano della crescita digitale e, fondamentalmente, i due progetti strategici sono, almeno per come la penso io, SPID e ANPR. Faccio una battuta. Io seguo molto le fiction di Sky e ce n'è una danese che si chiama Dicte. A un certo punto, due personaggi si stavano lasciando, lui propone di prendersi un momento, lei dice di no, che andrà sulla sua identità digitale e che con due clic si separerà. Ovviamente, non siamo a questo punto, ma dovremmo grosso modo arrivarci. Fermo restando anche il successo rispetto a quel livello di servizi, credo che il tema fondamentale sia l'ANPR. È difficile vedere SPID con tutte le sue potenzialità fino in fondo se non si riesce a costruire l'ANPR. Siccome le problematiche relative all'ANPR, cioè la modalità con cui si è avviato il progetto in Sogei, probabilmente renderanno complicato l'effettivo dispiegamento sugli 8 mila e oltre comuni, vorrei capire se avete immaginato qualcosa per sbloccare questa situazione.
Un'altra questione è quella dei CERT. Ho sentito per la prima volta un Ministro dire che chiuderà il suo CERT. Spero che l'abbia fatto, Calenda, perché in effetti tutti questi CERT sono peggio della governance di AgID, con un rischio in più. In questo caso, infatti, si tratta anche della sicurezza del Paese, visto che ormai il cybercrime è la cosa più complicata e anche, però, più concreta che abbiamo in questo momento. Come si immagina questo discorso dei CERT?
L'ultima questione, a proposito dei cinque indicatori DESI, è che siamo ancora indietro per connettività. Sull'OT2, per esempio, quello dei servizi digitali nella regione Calabria, ci sono 138 milioni di euro, di cui praticamente sui servizi digitali, 30. Tutto il resto è connettività, nonostante siamo la regione più connessa, perché abbiamo quasi il 70 per cento di connessioni. Poi scopriamo, però – l'altro giorno è uscito un articolo su Il Sole 24 Ore – che, nonostante ci sia questa connettività, addirittura con i progetti Banda Ultra Larga (BUL) sud negli edifici pubblici a 100 megabit, gli uffici pubblici con i 100 megabit dietro la porta continuano a girare magari a 2 megabit, perché i contratti non si fanno. Il tema Pag. 12della connettività va, quindi, un po’ oltre, ma nel frattempo l'Unione europea ci spinge a continuare a investire su questa connettività «spenta». Anche quando è accesa, poi è veramente spenta negli interventi Infratel.
Il punto vero è capire come spingiamo, effettivamente, sulla domanda e se questo è un obiettivo effettivo anche di AgID, non solo sul tema dell'alfabetizzazione digitale, che è appunto uno strumento anche per spingere la domanda, ma anche attraverso altre azioni.

GIAN MARIO FRAGOMELI. Ho alcune domande per capire un po’ meglio, perché alcune questioni non le conosco specificamente.
Riguardo alla questione degli ecosistemi dei servizi ai cittadini e imprese, vorrei capire quanto, attraverso di voi, copriamo l'esistente, quindi facciamo copertura e ottimizzazione dell'esistente, e quanto facciamo innovazione, cioè quanto implementiamo di nuovo rispetto a questi servizi da erogare a cittadini e imprese.
È importante quello che diceva prima anche la collega Bruno Bossio, sulla crescita digitale, sulle priorità che ci siamo dati, ma su alcune questioni faccio fatica a capire la portata dell'innovazione rispetto a quella che è innovazione: comunque, ottimizzare, creare servizi centralizzati, il fatto che l'INPS o altri enti pubblici passino attraverso lo stesso canale. L'innovazione, però, dov'è? Ho appena ricevuto risposta ad un'interrogazione in Commissione trasporti, l'altro giorno, e il Ministero mi ha fatto sapere che non abbiamo, sostanzialmente, un'infrastruttura telematica e neanche l'idea di realizzarla relativamente a tutto quello che riguarda l'infrastruttura stradale; la digitalizzazione, i famosi layer per tutti i permessi, viaggiamo ancora con la carta tra enti, e via dicendo.
So che non è una priorità, chiaramente, in questo momento per la vostra azione e i vostri principali campi d'azione, ma quanto innovate, in particolare rispetto a un'ottimizzazione dei processi di servizi all'utenza, sia essa privata o meno, che è già sviluppata? Mi sembra che abbiamo gravi ritardi nei servizi che eroghiamo alle imprese. Fondamentalmente, non c'è nessun tipo di rete di connessione e di condivisione del dato sui servizi che sono altrettanto importanti. Questo mi preoccupa un po’ e vorrei capire come pensate di ragionare su questo problema.

PRESIDENTE. Dopo il prossimo intervento lasceremo spazio alle prime risposte, per poi passare a un secondo giro di domande.

FEDERICO D'INCÀ. Spero che le slide possano restare agli atti, quindi inviate a tutti i commissari.
Come inseriamo la carta di identità elettronica all'interno di SPID? In quale maniera si pensa di poterla collegare o sfruttare meglio?
Inoltre, i risparmi sono di circa 3-4 miliardi per il pagoPA, per la fatturazione elettronica. Mi pare che come tipo di risparmio totale si pensi a questa cifra, 7-11 euro per chi emette sulle 3 mila fatture annue. Manca tutta la parte dell'ordine della consegna elettronica, immagino. Rischiamo anche che la fatturazione elettronica rimanga qualcosa che arriva all'interno del comune o dell'ente locale e, di fatto, per l'approvazione occorra stamparla, per cui c'è una stampa di 30 pagine anziché di una sola, perché in HTML. Alla fine dei conti, ci troviamo con un'approvazione cartacea.
Questi passaggi sono previsti in una fase di miglioramento nei prossimi anni?

PRESIDENTE. Do la parola al direttore Samaritani, per le repliche.

ANTONIO SAMARITANI, direttore generale di AgID. Cerco di andare in ordine, partendo dalla governance. Anche AgID è già Presidenza del Consiglio. È un'Agenzia il cui Ministero vigilante è il dipartimento della Funzione pubblica, in quanto il Ministro Madia ha le deleghe dirette dal Presidente del Consiglio. Detto questo, che però non risponde alla domanda, passo alla risposta.
A livello personale, sono assolutamente d'accordo con Lei. Io credo che in questo Pag. 13periodo abbiamo fatto un lavoro eccellente di coordinamento e di creazione di meccanismi di sinergia con il commissario. L'abbiamo fatto su base individuale, quindi con la volontà di trovare, essendo persone del mestiere e responsabili, un modo di collaborare attraverso un rapporto anche personale, che è diventato assolutamente «oliato» e di stima. Bisognerebbe, però, pensare a modelli che siano sostenibili, indipendentemente dalla volontà delle persone. Il modello attuale, secondo me, non è sostenibile, per due motivi. Anzitutto, perché AgID non è nelle condizioni operative di funzionare. Io ho presentato un piano che illustra come AgID, per assolvere ai compiti istituzionali di cui oggi è portatrice, avrebbe bisogno di almeno 250 persone di organico. Nel Regno Unito ce ne sono 500, in tutti gli altri Paesi europei, Danimarca inclusa, che vale, come popolazione, quanto Roma o poco più – questo rilievo era provocatorio, quindi mi scuso, ma mi avete colto un po’ sul vivo – hanno tutti delle strutture che hanno un dimensionamento assolutamente non paragonabile al nostro. Noi abbiamo 93 persone in servizio, su una pianta organica di 130 persone e non possiamo assumere, neanche per arrivare al completamento della pianta organica, perché, come sapete, c'è il blocco delle assunzioni. E il personale tecnico è assolutamente formato, assolutamente competente dal punto di vista della qualificazione professionale, ma cresce nell'età, e quindi, senza nessun piano di rimpiazzo delle competenze, diventa obsoleto.
Io sono assolutamente d'accordo sul fatto che vada pensato un nuovo modello di Agenzia funzionale al disegno politico del Paese: può essere potenziata – come personalmente auspico – può essere ridotta o addirittura chiusa, ma attraverso un disegno. Non è tagliando 100 persone che si risparmia, bisogna fare un business case complessivo. Io mi ero anche proposto per adottare un modello privato, success fee, con la possibilità di assumere: a mano a mano, avrei documentato i risparmi prodotti nelle pubbliche amministrazioni e una parte sarebbe diventata investimento per AgID. Io sono disponibile ad adottare qualunque tipo di modello, anche sfidante, che ci possa mettere nelle condizioni di recuperare quel ruolo, che così non riusciamo, secondo me, a sostenere.
L'altro tema di governance importante è legato all'impianto e alle responsabilità istituzionali dell'Agenzia che sono, in realtà, ad assetto variabile. Quando per esempio un nuovo decreto del Presidente del Consiglio dei ministri stabilisce che di una questione o un adempimento tecnico si occuperà AgID, è difficile stabilire il termine entro il quale AgID deve essere operativa (ad esempio entro un periodo di 60 o 90 giorni), non avendo la visibilità degli impatti operativi e delle risorse tecniche che vanno acquisite o formate. Il tema è la governance e il presidio di un'organizzazione che deve crescere in competenze e avere anche, però, dei perimetri. Oggi, qualunque ministero ci può chiedere di assolvere a un compito. Pur essendo inquadrati nella Presidenza del Consiglio, se con un DPCM un ministero nuovo ci chiede di assolvere a un progetto speciale – tra l'altro, sempre a invarianza di spesa – noi dobbiamo farlo e non è detto che abbiamo le risorse disponibili, l'allocazione finanziaria necessaria. Tenete conto che abbiamo un contributo del Ministero dell'economia e delle finanze di 9,5 milioni di euro. Tutto il resto sono attività che ci costruiamo su progetti. Se si fa un conto, banale, delle risorse e delle strutture, è chiaro che non abbiamo una macchina nelle condizioni di garantire, oggi, il percorso istituzionale a cui dobbiamo assolvere.
Mi lego ora al tema del CERT-PA, su cui sono altrettanto critico. Abbiamo fatto un piano e ci siamo adoperati per recuperare dei soldi sul nostro bilancio, perché sono assolutamente convinto che il CERT vada enormemente potenziato, secondo due possibili filosofie.
C'è il CERT così come è interpretato dalla direttiva Network and Information Security (NIS) e dall'Unione europea, in cui sostanzialmente la R di CERT sta per response. Si tratta, quindi, di strutture che si occupano di computer emergency response, sono reattive cioè aspettano che si verifichi l'attacco e rispondono facendo infosharing, Pag. 14ovvero comunicando ad altre amministrazioni che si è sotto attacco, verificando le cause dell'attacco ed altro. Secondo me, data la situazione della pubblica amministrazione italiana in termini di sicurezza, dobbiamo andare verso una visione più anglosassone del CERT e della R, che non deve essere più response, ma readiness. Dobbiamo, cioè, fare in modo che i CERT diventino proattivi, che si occupino di fare un assessment alle pubbliche amministrazioni e abbiano anche delle leve mandatorie per fare delle cose.
Parliamo tanto di necessità di andare verso modelli di sicurezza evoluta, ma nella maggior parte delle amministrazioni mancano ancora i fondamentali, che vuol dire ad esempio abbandonare le licenze non più manutenute. Senza fare nomi di fornitori, segnalo delle situazioni in cui, non solo sarebbe necessario garantire interventi in termini di sicurezza, ma anche organizzare operazioni e interventi di tipo più strutturale. Possiamo farle, però, solo con strutture dedicate che abbiano anche capacità sanzionatorie, in linea con la nostra mission di vigilanza e in accordo con altri soggetti, ma in grado di costruire delle policy minime e di farle rispettare, in modo da costruire un percorso evolutivo. Su questo aspetto, come AgID, vogliamo investire molto, pur nella limitatezza di risorse che abbiamo, ma non possiamo farlo in autonomia, altrimenti entriamo di nuovo in una logica che rischia di non produrre i risultati che dovrebbe. Il nostro intervento deve essere inserito in un piano nazionale.

VINCENZA BRUNO BOSSIO. I finanziamenti sulla cyber security prevedono che siano anche finalizzati al...?

ANTONIO SAMARITANI, direttore generale di AgID. Potrebbero, ne stiamo discutendo, ma per il momento non ci sono fondi addizionali per questo. Abbiamo recuperato un po’ di residui, ma ritengo che si debba andare verso un piano nazionale, in cui si preveda anche l'adeguamento del nostro CERT e dell'integrazione.

VINCENZA BRUNO BOSSIO. Il Ministro Minniti ha detto, in Aula, che lo stanno facendo, questo piano. Voi siete coinvolti?

ANTONIO SAMARITANI, direttore generale di AgID. Siamo stati sentiti, ma per il momento non siamo coinvolti in maniera strutturale, e questo, a mio avviso, è il nodo.
Sul tema degli indicatori DESI e connettività, sono assolutamente d'accordo. Credo, però, che questa possa essere, se la inquadriamo in chiave nazionale, una grande opportunità. Se è vero che abbiamo delle regioni, che hanno oggi una connettività importante, più al sud che al nord grazie anche ai programmi che sono stati fatti, e che intendiamo andare verso dei modelli di cloud dove abbiamo della connettività, potremmo allora costruire dei centri di servizio che la sfruttino appieno. È chiaro che anche questo va inserito in un contesto nazionale, anche sviluppando servizi, ma in una logica integrata, in modo che si realizzi un servizio che poi possa essere messo a disposizione del Paese.
Passo a trattare degli ecosistemi soprattutto in termini di novità. Secondo me, dobbiamo agire, come sempre in questi casi, su più livelli. Da una parte, bisogna puntare a fare nuovi servizi, dall'altra, bisogna migliorare quelli già esistenti.
Quello che stiamo facendo, come linea generale, non è creare nuovi servizi. Se creiamo nuovi servizi, secondo me, con un modello centrale e centralizzato, non si liberano le energie sufficienti. Dobbiamo, invece, tener conto dei 4 miliardi disponibili che possono essere veicolati.
Il tema è – e il modello e il piano triennale che stiamo scrivendo stanno andando in questa direzione – che dobbiamo passare ad un modello di architettura più facile, che garantisca l'interoperabilità, basata quindi su application programming interface (API), cioè con interfacce standard, in modo che il modello sia aperto a tutti, ovviamente con tutti i limiti di sicurezza, di garanzia, di privacy necessari, ma soprattutto anche ai privati. Infatti, se disegniamo una strategia chiara, recepibile dal mercato e che lo metta nelle condizioni (con gli open data, con API etc.) di operare in modo collaborativo, forse è possibile anche chiedere investimenti. Viceversa, in una situazione in cui la strategia non è nota e non ci Pag. 15sono le condizioni di cooperazione, diventa più difficile chiedere degli investimenti. Noi stiamo cercando di fare questo, cioè di creare le condizioni affinché anche il mercato possa partecipare a questo sforzo di innovazione. Secondo me, soprattutto sulla parte innovativa, senza il punto di vista dell'impresa e del cittadino, che si collocano a livello di front end, si rischia di non riuscire a fare davvero innovazione: per questo stiamo lavorando per creare i presupposti di base per favorire la cooperazione del mercato.
Quanto alla carta d'identità elettronica (CIE), assolutamente sì, ci deve essere un'integrazione, ma a mio avviso con un punto di chiarezza iniziale. La CIE è un documento che certifica l'identità, quindi rilasciata dallo Stato, alla base di processi successivi di identificazione, tanto che con la carta d'identità cartacea, o elettronica per chi ce l'ha, si può richiedere lo SPID, che è un sistema di credenziali, quindi un'identità di secondo livello, che si ottiene solo avendo un documento di identità. Il punto di contatto importante è che tutti i cittadini italiani avranno in mano la CIE, che è un documento elettronico.

GIAN MARIO FRAGOMELI. Attualmente, non è così.

ANTONIO SAMARITANI, direttore generale di AgID. No, infatti ho usato il futuro.

MARIA PIA GIOVANNINI, responsabile area pubblica amministrazione di AgID. La legge non lo prevede. La legge non obbliga.

ANTONIO SAMARITANI, direttore generale di AgID. Non obbliga, certo. Ha ragione sul fatto che non lo prevede. Non «avranno», ma «potrebbero avere». Comunque, ritengo che si possa incrementarne la diffusione se contestualmente si avvia un percorso di digitalizzazione per cui la carta d'identità elettronica diventa un valore per il cittadino.
Lo SPID è un sistema di credenziali che ha tre livelli di sicurezza. Il primo è user id e password, l'equivalente di un semplice meccanismo di registrazione; il secondo prevede una one time password, un sistema con un livello di sicurezza maggiore, con la ricezione di un SMS sul telefonino; il terzo livello prevede di avere un supporto fisico per incrementare ulteriormente il livello di sicurezza.
È ovvio che, essendo la CIE uno strumento non massicciamente diffuso, e soprattutto solo fra coloro che possono avere un interesse verso il digitale, prevedere un'integrazione, come molti provider stanno pensando, tra SPID e CIE, in cui la CIE diventa il supporto fisico per il terzo livello, risulterebbe fondamentale. Potrebbe, peraltro, consentire anche la produzione di servizi accessibili con la CIE, che ha un sensore near field communication (NFC) e che quindi può essere usata e letta da un telefonino, da un lettore di prossimità.

MARIA PIA GIOVANNINI, responsabile area pubblica amministrazione di AgID. La CIE, ad oggi, è distribuita su 199 comuni, che hanno il 30 per cento della popolazione e che sono i più grandi comuni italiani. Sta per essere distribuita su altri 439 comuni, che porteranno alla copertura di oltre il 50 per cento della popolazione. Poi seguirà il piano di distribuzione appunto per tutti gli altri 439, da aprile. Si presume che riusciranno a essere coperti tutti entro l'estate. Il secondo lotto di distribuzione partirà in autunno.
Ad oggi, abbiamo 209 mila carte di identità distribuite su questi primi comuni, che chiaramente hanno rappresentato la prima sperimentazione del funzionamento attuale.

ANTONIO SAMARITANI, direttore generale di AgID. Passo brevemente a rispondere all'ultima domanda, molto rapidamente: come migliorare e integrare la richiesta e la consegna della carta? Abbiamo creato delle precondizioni. La fatturazione elettronica è nata soprattutto con il concetto di trasparenza – ed è comunque un obiettivo raggiunto – e di controllo dei termini di pagamento, altro obiettivo conseguito. È chiaro che, a questo punto, partendo da obiettivi di base, le amministrazioni virtuose possono fare un salto qualitativo Pag. 16 e con l'integrazione in un progetto che diventa tutto digitale, ottengono il completamento di tutto il ciclo, altro risultato fondamentale. Alcune l'hanno fatto, altre non l'hanno ancora fatto, altre non ci pensano nemmeno. Come sempre, abbiamo una situazione variegata.

FEDERICO D'INCÀ. Quante lo hanno fatto?

ANTONIO SAMARITANI, direttore generale di AgID. Quante? Non lo sappiamo. Non siamo in grado di quantificarle, ma quelle grandi sì e quelle piccole sicuramente no. Qui, però, è fondamentale il lavoro di crescita che va fatto anche con il mondo dell'offerta, che normalmente ha in mano parte dell'IT, o comunque delle soluzioni presso il comune, l'ente o l'altro soggetto che riceve una fattura. In altri termini, il sistema contabile di un ente è quasi sempre provvisto da un fornitore. Se questo fornitore, anziché arroccarsi su posizioni conservative, capisce il valore di alcuni servizi che lo Stato, come modello centrale, ha creato e propone, non solo aumenterebbe il livello di integrazione e di capacità di svolgere un'azione anche proattiva nei confronti dell'ente o del comune, ma creerebbe anche occasioni di business per il fornitore e per l'offerta, e probabilmente anche dei risparmi in una logica complessiva di quello che si chiama total cost of ownership, che coinvolge tutto il processo, nel suo insieme. È chiaro che, per far questo, bisogna crescere tutti: deve crescere la domanda, deve crescere l'offerta. Fa parte del percorso di innalzamento delle competenze culturali di un Paese, mentre tutti sono arroccati, oggi, a guardare il singolo pezzettino.

MARIA PIA GIOVANNINI, responsabile area pubblica amministrazione di AgID. Vorrei aggiungere che per tutte le amministrazioni centrali, quindi tutti i ministeri e le altre amministrazioni centrali, il sistema è stato accompagnato dalla Ragioneria generale dello Stato, che ha realizzato anche l'integrazione con tutto il sistema contabile che gestisce centralmente, per tutti questi enti. Per tutta la pubblica amministrazione centrale, quindi, il processo è totalmente automatizzato, non viene stampata la fattura, che viene trasferita in modo elettronico al sistema contabile e, successivamente, inoltrato il mandato di pagamento in formato elettronico.
Per le amministrazioni locali, un grande lavoro lo hanno fatto le regioni, che in molti casi hanno offerto delle piattaforme di supporto anche agli enti locali per affrontare quest'attività, ovviamente oltre al mercato, che è stato reso partecipe e che ha prodotto anche molte iniziative.

SERGIO BOCCADUTRI. Dottor Samaritani, vorrei chiederle una riflessione, ma un po’ anche al presidente.
Mi sembra di capire che non avete alcuna leva o sanzione da esercitare nei confronti di quei dirigenti che possono resistere a delle disposizioni di legge relative all'attuazione della digitalizzazione della pubblica amministrazione. Se è così, come mi sembra di aver capito, questo chiamerebbe anche il ruolo del legislatore a definire alcuni poteri, ovviamente legati al tema – è una domanda che Le avrei fatto, ma ha già risposto – di quanti siete e del budget, che richiama, a sua volta, la dotazione dell'Agenzia, che dovrebbe essere contenuta nella relazione. Penso che dovrebbe essere accolto dalla Commissione, visto che svolge la funzione di relazionare alla Camera sui lavori, quest'accorato appello – me lo faccia passare così – che uno dei limiti di tutto ciò che fate e dei risultati ottenuti è quello di non avere un organico legato a degli obiettivi, ma che lavorate con quello che avete. D'altro canto, c'è mancanza di capacità sanzionatoria e di costruire leve forti e, da questo punto di vista, non solo quelle in capo a voi, ma anche quelle che potrebbero essere all'interno di tutta la disciplina amministrativa legata alla responsabilità del dirigente, fino a configurare eventualmente la responsabilità del danno erariale quando non si utilizzano strumenti che produrrebbero un risparmio. Queste erano due riflessioni, su cui credo ci sia concordanza.
Con l'articolo 5 del codice dell'amministrazione digitale mi sembra che si sia rotto Pag. 17un monopolio. Lei, dottor Samaritani, ci ha raccontato come avete costruito l'articolo 5, per evitare una situazione di monopolio, ma se guardo a com'era congegnato prima dell'intervento legislativo, è l'intervento legislativo che ha costruito un monopolio. L'articolo 5 del CAD, prima dell'intervento legislativo, realizzava, infatti, tutto il pagamento verso la pubblica amministrazione attraverso uno strumento di cui è dotato oggi un solo soggetto, che era Poste. Voi l'avete fatto, naturalmente, anche prima della modifica del CAD, perché pagoPA nasce prima di quella modifica, ma, da questo punto di vista, quale può essere il ruolo dello switch off – anche qui richiamo il ruolo del legislatore – rispetto alla determinazione di una maggiore diffusione della digitalizzazione non soltanto nella pubblica amministrazione, nell'offerta di servizi, ma anche da parte dei cittadini?
Noi abbiamo l'esperienza della PEC, di cui non voglio parlare qui, strumento molto antico, molto datato, ma di cui, a un certo punto, si è deciso che si dovevano dotare obbligatoriamente alcune categorie professionali, e che, a suo tempo, ha costituito il presupposto affinché, probabilmente... ovviamente, oggi ci sono altri strumenti, non voglio qui parlare della PEC, ma avete capito l'esempio.
Quanto, effettivamente, al di là di quello che fate voi, le pratiche di switch off esercitate anche per via di norma primaria – penso, in questo caso, al domicilio digitale – possono essere davvero strumenti che ci fanno guadagnare posizioni nell'indice DESI, e, quindi, ci aiutano davvero? Da questo punto di vista, credo che dimentichiamo spesso che gli italiani hanno una capacità di adattarsi, soprattutto nelle nuove tecnologie, molto velocemente alle novità imposte – non voglio fare esempi, che tanto conosciamo tutti – e che, invece, ci fermiamo di fronte all'idea dell'eccezione della deroga, che poi diventa strutturale e non ci fa fare dei passi avanti. Da questo punto di vista, Lei in che cosa vedrebbe bene gli switch off?

DIEGO DE LORENZIS. Io vorrei tornare un attimo sul piano della banda ultralarga, quindi sulla parte infrastrutturale.
Anche nelle slide mostrate c'erano alcune regioni, benché si parlasse della sperimentazione, totalmente assenti. Penso alla Sicilia, alla Calabria o alla Sardegna. Vorrei capire se, nonostante si prevedesse che in alcune regioni, anche fallendo il partenariato pubblico-privato, il pubblico sarebbe intervenuto, quel tipo d'iniziativa sta proseguendo e in che modo poterle darle ulteriore impulso. Non vorrei che, tra le tante difficoltà che abbiamo, non ci fosse più il problema culturale, il problema delle amministrazioni che si adeguano, ma rimanesse quello per cui fisicamente la connettività non arriva o è spenta.
La seconda riflessione che vorrei approfondire con il direttore riguarda il coinvolgimento dei privati. Oggi, l'Agenzia si chiama AgID e non più DigitPA, proprio perché è evidente che non si rivolge soltanto alla pubblica amministrazione. Nel piano del Governo questo è abbastanza evidente. A parte la fatturazione, vorrei capire come si stanno coinvolgendo i privati. Mi sembra che si punti molto sul privato cittadino, sulla pubblica amministrazione, ma vorrei capire se c'è anche una leva da quel punto di vista.
Mi piacerebbe anche capire – lo dico non come di provocazione, ma come suggerimento – se in tutte le statistiche che fate, e per esempio si parlava di 20 mila nuovi SPID al giorno che vengono rilasciati, ci sono degli open data, la possibilità di monitorare per classi di età, per regione, se le vostre azioni arricchiscono anche un discorso di dati pubblici.
Un'altra specificazione, anche in relazione a quello che ci hanno detto le persone audite prima di voi, riguarda l'ANPR, che Lei ha detto che il Ministero dell'interno ha approvato, quindi è ufficiale. Io ho due domande in merito. Ci conferma che si tratta dell'anagrafe così come è chiamata, e quindi non c'è il servizio elettorale, demografico, lo stato civile, come ci è stato riferito?
Ci è stato sollevato anche un problema sulla funzionalità dei web service: è stata risolta e in che modo le due funzionalità Pag. 18procedono? C'è veramente soltanto l'accesso web o c'è anche un problema sui web service?
C'è un altro problema legato all'ANPR e, in generale, alla riduzione delle basi di dati: si è provato a definire un modello o dei criteri per individuare i database master? Qual è la copia che «fa fede»?
Per quanto riguarda gli ecosistemi, è giusto sviluppare i servizi su infrastrutture materiali e immateriali che devono essere trasversali? Io non ho dubbi da questo punto di vista, ma mi chiedo: nel momento in cui ci sono dei servizi altrettanto trasversali, quindi una parte di quell'ecosistema è comune – penso ai servizi al cittadino, ai servizi banalmente documentali dello stato civile e simili – quella è una parte dell'ecosistema o fa parte dei servizi?
Le ultime domande riguardano la parte, affrontata anche da altri colleghi, della composizione dei professionisti che lavorano in AgID. Ci è stato riferito che, al momento, molte persone che lavorano in AgID sono distaccate da altri ministeri e che la possibilità di rinunciare a questi distacchi permetterebbe un turnover. Gliene chiedo conferma. Inoltre, è stata risolta la situazione dei contratti diversi? Chi veniva da CNIPA-AIPA e chi veniva da altri soggetti, da altri enti, aveva contratti diversi: questo è stato risolto?
Faccio un'altra richiesta: è possibile immaginare delle leve e, in quel caso, capire se è opportuno avere delle sanzioni, o, meglio, dei poteri sostitutivi? Qualora un comune, un ente locale, non adempia a certe linee guida, è possibile immaginare un potere sostitutivo?
Un'altra questione ci è stata sollevata in passate audizioni riguarda il fatto che i provider di SPID hanno dato applicazione in maniera diversa, un'interpretazione diversa. Ci dicevano che Poste ha interpretato in maniera più restrittiva, e forse più consona, perché veniva da un mondo di interpretazione diverso. Queste, però, sono cose che ci sono state riferite e vorrei capire se sono fondate.

PRESIDENTE. Visto che ha riempito un altro foglio di domande, diamo la possibilità al direttore di rispondere e poi facciamo un ultimo giro di approfondimento. L'onorevole Fragomeli, però, vorrebbe fare un chiarimento. Prego, onorevole.

GIAN MARIO FRAGOMELI. Non è una domanda complicata, ma chiederei un parere più nella parte secretata che in quella pubblica.

PRESIDENTE. La rimandiamo, allora, all'ultima parte.

ANTONIO SAMARITANI, direttore generale di AgID. Il tema della capacità sanzionatoria è già stato affrontato, quindi vorrei rispondere alle due domande mostrandone due specifici risvolti. Di fatto, oggi non abbiamo capacità sanzionatoria: l'unica è quella stabilita dal CAD per SPID riguardo alle attività di vigilanza e di tutti i servizi fiduciari introdotti. Non riguarda, quindi, le pubbliche amministrazioni, ma le imprese che erogano i servizi fiduciari. In ogni caso non è stata comunque descritta in maniera compiuta, quindi manca comunque ancora una parte che, attraverso un DPCM, stabilisca come, dove e per quali tipologie si applichi. Si tratta di un passaggio non banale e comunque, questa possibilità che per il momento la norma primaria definisce, è indirizzata solo alle imprese che erogano servizi fiduciari alle pubbliche amministrazioni e non alle pubbliche amministrazioni.
Si potrebbe pensare a un potere sostitutivo? A parte la considerazione che oggi questi poteri sono del commissario, assolutamente sì, in caso di inadempimento. Io crederei, però, che si debba ragionare nella logica di trovare delle condizioni operative perché i meccanismi funzionino. Andare solo in una logica di sostituzione diventa poco efficace. Per la limitata esperienza di AgID che ho, posso dirvi che in tutte le azioni che abbiamo intrapreso c'è stata comunque una rispondenza delle pubbliche amministrazioni. Se vengono create le condizioni perché le cose si facciano, alla fine si ottengono i risultati.
La situazione di difficoltà che vi ho descritto è la stessa riscontrabile da un'amministrazione locale a cui si chiede di fare Pag. 19i salti mortali, ma che poi non ha le risorse, né le competenze, soprattutto sul lato tecnologico. Molti inadempimenti dipendono infatti dall'impossibilità di agire. Allora, se si mette in piedi un meccanismo sanzionatorio di questo genere, bisogna stare attenti a come interpretiamo il meccanismo di potere sostitutivo. Se lo riteniamo un aiuto per riportare le amministrazioni che si trovano in difetto in grado di operare, allora può avere un valore forte e potrebbe essere concepito nella logica di un disegno di un accompagnamento. È per quello che anche con i fondi del PON governance stiamo cercando di fare accompagnamento, perché è uno dei problemi fondamentali. Il blocco delle assunzioni e il blocco del turnover, hanno creato un gap di un paio di generazioni all'interno delle amministrazioni pubbliche. Essendoci, nelle amministrazioni pubbliche, un'età media di 53-54 anni senza una fascia intermedia, è ovvio che, soprattutto sulle materie della digitalizzazione esistano problemi di implementazione Rimangono certamente amministrazioni che non adempiono e basta, e quella è un'altra questione, ma abbiamo anche un problema prettamente operativo. Secondo me, quindi, oltre che al tema sanzionatorio e di sostituzione, bisognerebbe pensare al tema di una task force d'accompagnamento e creazione di competenze.
Passo agli altri punti. Sullo switch off sono assolutamente d'accordo che sia la leva fondamentale. Prova ne sono i dati sulla fatturazione elettronica. Se considerate la serie storica della fatturazione elettronica, potete vedere che prima c'era un a situazione di stabilità, e poi, un mese prima dello switch off, c'è stato il picco. Lo switch off, quindi, è la chiave. Ovviamente, per fare lo switch off bisogna avere servizi solidi, bisogna valutare ed affrontare gli elementi di rischio collocandoli in un percorso di adeguamento normativo e con il supporto di un dialogo tecnico, per evitare di fare guai. Se avessimo pensato di fare lo switch off un mese dopo la partenza di SPID, probabilmente avremmo fatto dei guai. Oggi, con un milione di utenti, siamo in grado di progettarlo, perché abbiamo accumulato l'esperienza e sappiamo come farlo. Secondo me, quindi, quello allo switch off è un «sì» condizionato ad un supporto legislativo fondamentale, e accompagnato da un percorso di valutazione di fattibilità tecnica.
Sulla banda ultralarga noi siamo informati dei fatti, ma non abbiamo un ruolo attivo. Nella separazione dei compiti della strategia complessiva dell'agenda digitale, che prevede i due documenti (Strategia per la crescita digitale e Strategia per la banda ultralarga), il Ministero dello sviluppo economico segue la strategia per la banda ultralarga, noi seguiamo la parte legata all'attivazione dei servizi e siamo nel comitato, per agevolare una sincronizzazione e portare servizi laddove c'è infrastruttura, in una logica circolare, senza avere un ruolo attivo.
Il coinvolgimento dei privati è fondamentale, e vi cito due esempi. Uno è SPID, che nel bene e nel male, quindi con tutti i limiti di un modello, che peraltro non abbiamo scelto – è definito dalla legge, noi lo stiamo solo implementando – va guardato con attenzione, perché è un modello rivoluzionario.
Rispetto agli altri Paesi abbiamo creato l'identità digitale a costo zero, perché abbiamo assegnato il compito ai privati, rendendolo un servizio fiduciario. Abbiamo definito delle regole, un percorso di accreditamento, in base al quale i privati possono accreditarsi, senza costi per il cittadino e per lo Stato. Costerà al terzo livello, che stiamo certificando, ma oggi tutti i servizi sono relativi al secondo livello. La remunerazione dei privati, al terzo livello, sicuramente non coprirà i costi che gli identity provider stanno sostenendo. Si sta lavorando affinché possa essere aperto anche ai privati, per i quali sarà predisposto un opportuno ampliamento. Se domani mattina un cittadino che vuol fare commercio elettronico e, anziché farsi la propria autenticazione, decide di utilizzare SPID, ovviamente pagherà il servizio che viene erogato, perché comunque la trasmissione del dato ha un costo e, soprattutto, perché sta facendo outsourcing della data privacy. E questo è un valore che il mercato riconosce. Pag. 20
Se lo guardate da un certo punto di vista, è veramente un modello rivoluzionario, perché stiamo applicando la digitalizzazione al modello Internet. Lo Stato offre una base di utenti su cui cominciare ad appoggiare un servizio e, a fronte di quest'offerta, sostanzialmente non paga per la sua implementazione. Lo dico rapidamente, poi la dottoressa Giovannini potrà portare elementi complementari. Ci sono anche alcuni privati che stanno cominciando a chiederci approfondimenti e a mostrare interesse. Peraltro, abbiamo completato anche l'aspetto formale, perché il Garante per la privacy ha approvato la convenzione per i privati e, sulla base di tale approvazione, abbiamo completato anche lo schema di contratto. Oggi, quindi, saremmo pronti anche ad accogliere i primi privati in fase di test.
Chi si sta, sostanzialmente, dimostrando interesse? Molti in ambito di sharing economy, ovviamente con una particolare attenzione al tema della sicurezza dell'autenticazione, che, soprattutto in un servizio condiviso, deve garantire dalle frodi. Ci sono poi le assicurazioni e, ancora, la limitazione delle frodi alle compagnie assicurative: il classico esempio è che iscrivendosi on line dichiarando di vivere in una provincia anziché in un'altra è possibile beneficiare di uno sconto, mentre con SPID si ha un dato certificato che lo indica incontrovertibilmente. Ci sono poi i titoli nominali di viaggio per tutti i temi di misure di sicurezza, di prevenzione e simili, cioè particolari categorie di servizi per cui SPID è di particolare interesse e che noi stiamo concretamente valutando. Il punto fondamentale, però, è che, l’identity provider, veda nella possibilità di collaborare con noi uno sviluppo di know how e stia aprendo attraverso l'identità ad altri servizi correlati. Attenzione, mai di profilazione commerciale: un identity provider non potrà mai vendere il traffico, come fanno gli altri sistemi, potrà vendere, invece, altre cose, come servizi di security – tornando al tema dell'importanza della security – o fornire una watch list che avverta di fare attenzione ai siti segnalati come pericolosi. Potrà fornire oltre ai servizi di security, anche servizi di gestione o servizi collaterali, come l'archiviazione documentale ed altro. Su questo è chiaro che si possono aprire dei nuovi mercati e in quest'ambito si colloca il tema della collaborazione con i privati.
Sull'ANPR cercherò di essere breve. Sarà non estesa purtroppo, perché ad oggi quello che è stato licenziato è il database e, a nostro giudizio non è sufficiente, perché bisogna andare su quella estesa, dal momento che soltanto con i database e senza la parte relativa alle applicazioni che alimentano il processo, sostanzialmente il registro civile, ci sarà sempre bisogno dei sistemi locali per alimentare il sistema centrale. Allora – scusate la franchezza – abbiamo duplicato INA-SAIA, che già c'è, facendolo un po’ meglio, ma concettualmente è quello. Bisogna andare, quindi, sull'ANPR estesa, con l'attivazione di tutti i processi.

DIEGO DE LORENZIS. Serve una modifica legislativa per questo?

ANTONIO SAMARITANI, direttore generale di AgID. No, perché è già stata fatta. Occorre semplicemente realizzare la parte estesa. Sulla scelta web service o meno, la legge prevede che si debbano poter offrire le due soluzioni. Via web ci si collega ad un servizio in cloud realizzato da Sogei che permette di gestire i processi di alimentazione e aggiornamento. È ovvio che il collegamento via cloud deve fornire un servizio: se è semplicemente un database, non serve. Occorrono i processi di alimentazione, cioè il registro civile.
La legge prevede anche che si possa offrire la modalità web service che significa avere dei sistemi di collegamento, per cui pur continuando ad utilizzare i sistemi locali, attraverso dei servizi web, cioè attraverso delle interfacce, è possibile interscambiare i dati col sistema centrale. È chiaro che questo ha un suo significato laddove vi è una complessità di sistemi locali enorme – pensiamo alle grandi città, Roma, Torino, che hanno sistemi gestionali enormi – per cui smantellare il servizio di anagrafica sarebbe complicato. Pag. 21
Laddove, però, ci siano servizi tutto sommato modesti o gestibili, a nostro avviso, i web service sarebbero da evitare, altrimenti si perde il beneficio di aver realizzato un sistema centrale. Qual è il beneficio? È la standardizzazione dei processi, l'eliminazione degli errori, il fatto di avere comunque dei dati centrali protetti e via discorrendo. Ciò di cui stiamo parlando va sempre legato al tema di cyber security ovvero avere i dati gestiti correttamente e in sicurezza. Quale database master? Quello centrale, per legge. Peraltro, oggi abbiamo detto che a livello locale c'è una copia del database per alimentare i processi locali, cioè per alimentare il servizio tributi, il servizio di gestione delle multe e così via. Nel 2017, però, a livello tecnologico non ci sarebbe nessun bisogno di un database locale, perché il dato è disponibile centralmente tutte le volte che serve. Questa è una soluzione che è stata creata, secondo me, per vincere delle resistenze locali e semplificare il processo di dispiegamento, ma, dal punto di vista tecnologico, non sarebbe necessaria.
Passo agli ecosistemi. Come si fa per rendere disponibili servizi condivisi e comuni? Questo è un elemento chiave, secondo me importantissimo, del modello. Noi abbiamo usato proprio il termine «ecosistemi» e non «domini», perché volevamo far passare il concetto di superamento dei silos. Le regole di interoperabilità si trovano all'interno dell'ecosistema, ma anche trasversalmente all'ecosistema, soprattutto dal punto di vista dell'apertura verso il privato. Faccio l'esempio della Lombardia, dove il turismo sanitario è una voce fondamentale: in questo caso occorre disegnare dei servizi che siano fatti anche per il turismo sanitario che soddisfino e mettano in collegamento sia la parte strettamente sanitaria che quella ricettiva e di tutto l'indotto collegato. Quest'elemento fa parte di quella trasversalità intra-silos che possiamo ottenere solo se superiamo il concetto dei singoli silos, per passare a un concetto di ecosistemi, in cui ciascun servizio è pubblicato con delle interfacce standard, le API. Ciascun fruitore può chiamare ogni singolo servizio, ovviamente se ha i titoli per farlo e se rispetta le regole della privacy. Nel nostro modello, quindi, il servizio in comune tra più ecosistemi è realizzato e garantito da questo concetto d'interoperabilità che si fa via API. Spero di essere riuscito a rispondere.
Quanto al personale distaccato da altri ministeri in AgID, ormai si tratta di pochissime unità, perché abbiamo fatto un lavoro di riordino scendendo sotto la decina. È stato completato il passaggio al comparto ministeri attraverso un lavoro lunghissimo, in realtà previsto per legge dal 2012, ma che abbiamo fatto solo quest'anno. Ci abbiamo messo un anno di lavoro, per l'omogeneizzazione dei contratti, per la complessità delle norme e perché fa parte di quel percorso di adeguamento organico che ancora non abbiamo. Per esempio, in AgID non c'è un dirigente che si occupi del personale: io non ho un responsabile del personale e non mi è stato possibile fino ad ora reclutarlo.
Sui poteri sostitutivi ho risposto.
Quanto al fatto che i provider di SPID abbiano dato un'interpretazione diversa dei regolamenti, rispondo sì e no. Perché, essendo SPID un servizio accreditato, noi dobbiamo emanare dei regolamenti. Poi, ciascuna azienda ci propone un proprio progetto, che noi, in fase di accreditamento, verifichiamo, per controllare che sia aderente ai regolamenti. È ovvio che, siccome il regolamento non specifica la soluzione, ma solo un principio, ci possono essere più modi per adempiere al principio. Questo fa parte di quel valore aggiunto per cui, a mio parere, se il servizio è fatto bene può essere liberamente realizzato, sotto il controllo della vigilanza che continuerà a monitorarne lo sviluppo e l'esercizio. Le dicevo sì e no, nel senso che, in termini di processo, Poste può rispondere in un modo diverso da un altro ma tutti questi modi devono comunque essere assolutamente aderenti alle regole che abbiamo dato.

PRESIDENTE. C'è ancora una domanda dell'onorevole Barbanti. Prego, onorevole.

SEBASTIANO BARBANTI. Forse è stata anche un po’ anticipata, ma provo comunque a porla nuovamente. Pag. 22
Sostanzialmente, dal quadro che ci ha delineato, ci sono dei servizi un po’ anche a macchia di leopardo, come dicevamo prima, un po’ a cerchi concentrici. Può darsi che qualche comune o qualche regione siano stati un po’ pigri nell'adeguamento e nell'erogazione di quei servizi. Mi chiedo, innanzitutto, quali possano essere le motivazioni. Prendo l'esempio anche dei database duplicati sui territori per resistenze, evidentemente c'è qualcuno che vuole mantenere una certa rendita di posizione sui territori o ci sono problemi con la qualità anche del personale, come abbiamo riscontrato, sempre nelle audizioni precedenti. Nel caso, quali leve avete – o vorreste avere – per rimuovere queste macchie di leopardo sul territorio e non avere più un'Italia a due velocità, ma finalmente tutta con gli stessi servizi e lo stesso livello di connessione e digitalizzazione?
Inoltre, con Consip e commissario per la spending review avete un coordinamento? Operate insieme?

PRESIDENTE. Riprendo anch'io l'auspicio dell'onorevole Boccadutri sul fare in modo che nella relazione che la Commissione presenterà al Parlamento sia sicuramente evidenziato il problema, enorme, delle risorse che AgID ha a disposizione dal punto di vista sia finanziario sia del personale. Da quello che ci avete raccontato, la quantità di attività che AgID deve portare avanti è chiaramente strategica, come non credo che dobbiamo spiegare in questa Commissione. Sono molte e sono molto importanti. È evidente che c'è un sottodimensionamento.
Lei, direttore, giustamente, ha detto che uno dei problemi dell'Italia è che i nostri servizi non vengono utilizzati. Questo mi ha subito fatto venire in mente un articolo del CAD recentemente modificato, l'articolo 7, comma 3, secondo cui per i servizi in rete i soggetti di cui all'articolo 2 consentono agli utenti di esprimere la soddisfazione rispetto alla qualità anche in termini di fruibilità, accessibilità e tempestività del servizio reso all'utente stesso, e pubblicano sui propri siti i dati risultanti, ivi incluse le statistiche di utilizzo. Questo è solo uno dei tanti obblighi inseriti nel codice dell'amministrazione digitale. La mia impressione è che non siano conosciuti da tutte le pubbliche amministrazioni, il che non è giustificabile, perché sappiamo che l'ignoranza della legge non è giustificata, ma sicuramente non vengono rispettati da tutti. Sarebbe interessante sapere chi può o deve o dovrebbe monitorare il rispetto degli obblighi del codice dell'amministrazione digitale, in un contesto in cui, appunto, alcune amministrazioni sono, da indice IPA, 20-30 mila.

ANTONIO SAMARITANI, direttore generale di AgID. Parto dalla prima osservazione, sulle leve.
Crederei che qui occorra distinguere due piani. Sugli elementi che abbiamo inserito nelle piattaforme immateriali, o, per meglio dire, nelle infrastrutture immateriali, sicuramente lo switch off è una leva potente. Guardiamo alla fatturazione elettronica: è lì che sta la chiave.
Effettivamente, al momento abbiamo l'unica leva di essere un partner che cerca di risolvere il problema con le amministrazioni. È chiaro, però, che se le dobbiamo accompagnare tutte, una per una, non si finisce più. Anche in questo caso c'è un tema di governance e un tema di strumenti. Noi abbiamo bisogno di far leva sui punti di aggregazione o su punti intermedi che nella nostra visione, potevano essere sicuramente le regioni e le città metropolitane. Questo potrebbe voler dire poter progettare con il territorio, e, quindi, i servizi verso il territorio, con quaranta interlocutori. Se torniamo alla prima slide, che illustra le amministrazioni centrali e il relativo spending, si nota che le due cose vanno in parallelo, perché 12 amministrazioni centrali fanno il 70 per cento della spesa, e comunque con le 20 regioni e le città metropolitane, quindi con 30-35 altre organizzazioni, abbiamo fatto l'80 per cento abbondante della spesa, e quindi del livello di azione. Alla fine, con 50 enti – 12 centrali, 30 locali – si costruisce la nuova governance e 50 enti non sono un numero spropositato, è un numero ancora gestibile, anche perché si può andare per soluzioni comuni. Gli enti centrali, infatti, hanno problemi di un tipo, le città metropolitane Pag. 23di un altro e così via. È un numero che si riuscirebbe a gestire bene, ma occorre anche un percorso normativo che porti a vedere questi enti come elementi di interlocuzione più stabili e impegnati nel risultato attraverso un solo mezzo, che è quello economico, più che quello sanzionatorio. Potremmo saldare tutto, compreso il tema della cyber security, che è altrettanto importante. La cyber security, di nuovo, passa dagli enti centrali, in particolare dalle in house perché, oggi, la maggior parte dei dati è in Sogei e nelle altre in house centrali, o comunque nelle regioni (per quello che riguarda la sanità) e poi sono a livello locale per quanto riguarda gli aspetti legati alla vita sul territorio. Allora, nello stesso modo, con quel raggruppamento di amministrazioni si possono progettare anche tutti i temi relativi alla cyber security, anche se, secondo me, a questo livello abbiamo bisogno anche di un aiuto di tipo legislativo e di un opportuno impianto normativo. L'aspetto informale e di moral suasion lo abbiamo già fatto.
Ci sentiamo con il commissario? Assolutamente, sì. Quella vista economica da un lato l'abbiamo condivisa con lui e anche con il commissario Gutgeld e, dall'altra parte, con Consip, perché il piano triennale è stato fatto attraverso un gruppo di lavoro che prevede, oltre ad AgID, anche Consip, MEF e Sogei. Poi abbiamo sentito alcuni rappresentanti di regioni e di città metropolitane, proprio in quella logica informale. Con l'arrivo del commissario, l'abbiamo condiviso e stiamo ultimandone la stesura proprio adesso con la sua struttura.
Quanto all'articolo 7, comma 3, noi ne abbiamo recepito una prima parte nelle linee guida di design per i servizi web della PA. Stiamo rivedendo le linee guida, come dicevo, dei servizi e del design, sia a livello di utilizzo sia a livello di regole tecniche per lo sviluppo dei nuovi servizi proprio nella logica del recepimento completo dell'articolo 7, quindi prevedendo sostanzialmente scoring model, valutazione e così via.
Nel registro dei servizi SPID avremo comunque e stiamo cominciando a tracciare – così rispondo anche alla domanda sull’open data e SPID – anche l'utilizzo effettivo dei servizi in termini di utenti. Avremo, così, una mappa completa anche di tutti i dati demografici.

FRANCESCO TORTORELLI, dirigente responsabile area architetture, standard e infrastrutture di AgID. Esattamente come diceva Lei, per fasce di età e per regione geografica, in modo che li possiamo incrociare esattamente con il DESI. Abbiamo non solo già fatto il modello dati, ma abbiamo anche sviluppato un'applicazione, perché vogliamo in tempo reale questi dati dai gestori che ci stanno rispondendo. Ovviamente, saranno non solo open data in senso tradizionale, ma anche usati applicativamente, quindi con un approccio machine to machine, come abbiamo già fatto in passato.

ANTONIO SAMARITANI, direttore generale di AgID. Rimane sempre il problema dell'applicazione delle linee guida. Oggi, per quello che si diceva negli interventi precedenti, siamo sempre in una logica di moral suasion o caldo consiglio.

PRESIDENTE. Ringraziamo il direttore Samaritani per le informazioni, per la relazione e per aver risposto ampiamente a tutte le domande. Se fosse possibile, vorremmo che ci faceste avere i dati della rilevazione della spesa, non solo nelle slide, ma nel maggior livello di dettaglio possibile su come sono stati rilevati. Era anche molto interessante l'analisi delle governance negli altri Paesi.
Dichiaro conclusa l'audizione.

La seduta termina alle 12.30.

Comunicazioni del Presidente.

La seduta comincia alle 12.35.

PRESIDENTE. Comunico che, in aggiunta a quelli già comunicati precedentemente, la Commissione ha ricevuto da Alessandra Poggiani i seguenti atti liberi, che quindi, a norma dell'articolo 1 della deliberazione sul regime di divulgazione degli atti e dei documenti saranno pubblicati sul Pag. 24sito web della Commissione: Appunto su ANPR e Resoconto attività AgID 2014-2015.
Alcuni documenti inviati da Alessandra Poggiani sono, invece, stati dichiarati riservati, così come, dopo un secondo esame, un parere del CNIPA trasmesso da Livio Zoffoli.
I lavori della Commissione, dopo l'audizione di Diego Piacentini prevista per la prossima settimana, proseguiranno con una seduta dedicata all'analisi dei risultati intermedi dell'inchiesta.
È prevista, per la settimana successiva, anche una missione presso Sogei.
Non essendoci interventi, dichiaro conclusa la seduta.

La seduta termina alle 12.40.