PRESIDENZA DEL PRESIDENTE
NICOLA STUMPO

La seduta comincia alle 8.15.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.

Audizione della Direttrice generale dell'Agenzia per l'Italia digitale, dott.ssa Teresa Alvaro, sui risultati conseguiti e sulle prospettive in materia di semplificazione connessi alla realizzazione degli obiettivi recati dall'Agenda digitale.

PRESIDENTE. L'ordine del giorno reca, ai sensi dell'articolo 143, comma 2, del Regolamento della Camera, l'audizione della Direttrice generale dell'Agenzia per l'Italia digitale, dottoressa Teresa Alvaro, che ringrazio per aver dato piena disponibilità ad intervenire nei nostri lavori.
La dottoressa Alvaro riferirà alla Commissione sulle prospettive future e sui risultati conseguiti in materia di semplificazione dei rapporti tra amministrazioni pubbliche e cittadini e imprese, attraverso la realizzazione degli obiettivi recati dall'Agenda digitale. Avverto che la dottoressa Alvaro è accompagnata dalla dottoressa Adriana Agrimi e dal dottor Francesco Tortorelli, dirigenti dell'Agenzia per l'Italia digitale.
Do la parola alla dottoressa Alvaro per lo svolgimento della sua relazione.

TERESA ALVARO, Direttrice generale dell'Agenzia per l'Italia digitale. [...] Il tema che interessa questa Commissione è come attuare una semplificazione strutturale e, per facilitare i commissari, nella mia esposizione mi avvarrò di una serie di slide.
Qual è, secondo la nostra visione, la chiave della semplificazione strutturale? Partiamo da quello che è il problema del Paese in generale, ma non solo dell'Italia. Ritroviamo questo tipo di impostazione, per quanto riguarda l'assetto burocratico, anche a livello europeo. La burocrazia è un ostacolo sicuramente potente, che scoraggia, se non addirittura blocca, chi ha idee, chi vuole intraprendere, chi vuole crescere e far crescere il Paese.
L'eccesso di oneri burocratici è visto, anche a livello europeo, come uno dei principali ostacoli alla crescita ed è sicuramente frutto di una stratificazione normativa alimentata dalla produzione di regole settoriali a tutti i livelli. Questa analisi coincide con i risultati della indagine conoscitiva della Commissione bicamerale per la semplificazione della scorsa legislatura. Questo insieme di regole, spesso contraddittorie, porta ad alimentare la sfiducia nei confronti della macchina pubblica, generando soprattutto incertezza e producendo contenzioso.
Rimuovere strutturalmente questa inefficienza richiede di impostare l'azione amministrativa abbandonando la logica settoriale dell'adempimento e ripensando i processi amministrativi mettendo al centro i bisogni e le esigenze di cittadini e imprese. Noi abbiamo intenzione di sfruttare l'occasione della digitalizzazione per promuovere la concreta attuazione di politiche di semplificazione in ogni amministrazione pubblica. Pag. 4
La rappresentazione grafica rappresenta ogni pubblica amministrazione che considera imprese e cittadini come l'interlocutore, senza considerare l'impatto che gli adempimenti di ciascuna di esse ha su imprese e cittadini.
Il nostro intento è riprogettare i servizi, come alcune amministrazioni hanno già fatto, applicando un paradigma «once only» esasperato, ovvero non solo, come stabiliscono i princìpi della Dichiarazione di Tallinn sull’e-government, un solo invio, ma anche un solo controllo.
Come si fa? L'idea è di riprogettare i processi, integrando i processi di ogni amministrazione e mettendo al centro le esigenze di cittadini e imprese. Quali sono i benefici che si possono ottenere molto rapidamente da questo approccio? Il «disboscamento» delle norme, quindi la riduzione del carico burocratico, si ottiene progettando i processi integrati, che vedano, come spesso si dice, i controlli basati sull'integrazione delle banche dati. Il concetto va portato all'estremo: il controllo deve essere basato su un'analisi dei rischi condivisa. Si tratta di integrare i processi di controllo e, nel momento in cui si progettano i nuovi processi, si ottiene come positiva conseguenza di sapere come devono essere modificate «chirurgicamente» le norme vigenti, perché le norme di attuazione dei nuovi processi, che dovranno definire qual è il quadro normativo in cui agiranno, abrogano le norme non più attuali, dando, quindi, un quadro regolatorio chiaro e coerente.
L'altro aspetto è che i processi digitali standardizzati riducono drasticamente il costo dell'incertezza che tanto grava sui cittadini e sulle imprese. Fornire servizi digitali di questo tipo stimola l'investimento delle imprese in innovazione, soprattutto le medio-piccole, che costituiscono, come sapete, l'ossatura del sistema produttivo.
Fare in modo che imprese e cittadini forniscano una sola volta le informazioni e che sia finalmente la pubblica amministrazione, che opera come un'unica pubblica amministrazione, a farle circolare all'interno delle varie amministrazioni in relazione alle diverse necessità e competenze porta, a seguito dell'integrazione dei processi, l'eliminazione di adempimenti inutili. Infatti, l'integrazione dei processi di controllo, basati sull'analisi dei rischi, rende la politica dei controlli più efficace e molto meno invasiva e, quindi, elimina adempimenti inutili, quali certificazioni e tenuta di registri. Pertanto, si genera ulteriore valore, riducendo anche i costi in carico alle amministrazioni, perché potranno svolgere controlli sicuramente più efficaci, riducendo i costi di back office e ottenendo controlli sicuramente meno invasivi.
Questo, a nostro parere, favorisce la crescita, evita sovrapposizioni e duplicazioni di attività, ma, soprattutto, reca un grande guadagno in trasparenza, perché nel riprogettare i nuovi processi si disegnano processi di controllo che consentono anche la lotta alla corruzione e alle frodi.
Cosa fa il piano triennale? Oltre a definire e a trasmettere questa visione, fornisce alle amministrazioni il metodo e gli strumenti necessari per reingegnerizzare i processi. Qual è, quindi, il metodo che caratterizza ogni progetto di innovazione e di cambiamento? La prima caratteristica è il coinvolgimento degli stakeholder. Per stakeholder intendo, non solo le pubbliche amministrazioni, ma ogni possibile stakeholder. Se i partecipanti a un progetto di cambiamento non condividono la visione, non conoscono i piani operativi, non sanno quali sono i tempi, i costi e i benefici di ogni progetto, difficilmente aderiranno al progetto e lo porteranno a compimento.
L'altro aspetto è che la reingegnerizzazione dei processi non si deve assolutamente fermare all'aspetto di digitalizzazione, ma deve contemplare anche tutte le attività di formazione e informazione e le modifiche organizzative che derivano dai nuovi processi. Non considerare questi elementi importanti dei progetti è stato spesso la causa del naufragio o del ritardo di progetti di particolare rilevanza. Faccio riferimento, ad esempio, per quanto riguarda gli aspetti organizzativi e gli aspetti relativi alle modifiche organizzative, alla carta d'identità elettronica. La formazione e l'informazione necessaria hanno inciso Pag. 5negativamente sul decollo delle piattaforme abilitanti e hanno inciso negativamente anche sull'innovazione all'interno delle imprese e delle amministrazioni.
Della necessità di mettere al centro le esigenze di cittadini e imprese ho già detto con riferimento alla slide precedente.
L'altro aspetto che deve essere sempre tenuto presente è che, nel momento in cui si affrontano processi di cambiamento, si deve rendere consapevole tutta l'utenza dei diritti digitali che debbono essere poi correttamente esercitati, quindi, la creazione contemporanea di cultura. Vuol dire che un progetto di cambiamento passa, prima, per la semplificazione, poi, per la reingegnerizzazione dei processi, poi, per «la messa a terra» del progetto, investendo in formazione, informazione e modifiche organizzative. È di tutta evidenza che, prima del lancio di qualsiasi progetto, occorra fare un'attenta analisi d'impatto.
Cosa abbiamo fatto nel piano triennale? Il piano triennale è stato impostato per la prima volta con tre aree di intervento. Perché tre aree di intervento? Perché imprese, cittadini e pubblica amministrazione, le aree di intervento, richiedono interventi completamente diversi. Questa declinazione, non solo aggiunge fruibilità al piano, perché fa conoscere esattamente alle tre aree di intervento quali sono le azioni che devono essere portate a termine, ma le collega anche a tutte le esternalità positive attese.
Faccio un esempio: l'area dei servizi trasversali della pubblica amministrazione (il back office della pubblica amministrazione e i sistemi della pubblica amministrazione) è quella che più rapidamente potrebbe beneficiare di economie di scala, mentre l'area imprese, che nel precedente piano non era propriamente individuata, vuole fornire al mondo delle imprese a tutti i livelli, quindi al mondo del business, una visione il più organica possibile, proprio per favorire la necessaria partnership tra pubblico e privato.
Insieme al piano abbiamo fornito anche, sempre per aggiungere fruibilità, una nuova chiave di lettura secondo le tre aree, ma anche una guida dinamica che è in corso di sviluppo. Sul portale dell'agenzia trovate un'anteprima, ma nei prossimi giorni troverete questo sistema interattivo dinamico. Infatti, verrà continuamente aggiornato, sulla base del feedback di tutti gli attori, proprio perché, come dicevo con riferimento alla slide precedente, tutti i partecipanti al cambiamento debbono essere consapevoli e conoscere le azioni che devono svolgere per portarle a termine. Abbiamo intenzione di utilizzare questa chiave di lettura per capire l'effettiva percezione dei contenuti del piano, anche perché dobbiamo considerare che i lettori del piano hanno una diversa maturità digitale, hanno una diversa conoscenza, quindi strumenti particolarmente adatti a esperti di informatica non sono adatti alle piccole amministrazioni. Questa è la grande novità: la fruibilità considerando il grado di conoscenza di ciascuno.
Altri aspetti, che spiegheremo in dettaglio nelle slide che seguono, sono: una maggiore centralità del ruolo delle pubbliche amministrazioni locali, la definizione soprattutto di modelli e strumenti, cioè la «cassetta degli attrezzi» per le pubbliche amministrazioni per poter realizzare questo cambiamento, necessario alla reingegnerizzazione dei processi e alla successiva digitalizzazione, e una serie di attività di monitoraggio. Il monitoraggio è necessario per capire a che punto si trova un progetto, per poter adottare le azioni correttive necessarie e per verificare se gli obiettivi che si erano definiti all'inizio del progetto rimangono ancora validi. Un altro aspetto è, ovviamente, il rafforzamento della cittadinanza e delle competenze digitali. Nella slide trovate accanto a ognuno le linee di azione che sono previste nel piano triennale che, ovviamente, possono essere consultate sul portale dell'Agenzia.
Un altro aspetto importante per un progetto di cambiamento così ambizioso, che deve coordinare amministrazioni diverse tra loro, con diversi gradi di maturità digitale, ma deve coordinare anche le azioni del mondo del business, che costituisce parte integrante di questo cambiamento, è la creazione, per la prima volta, di una struttura di governance.Pag. 6
La struttura di governance si basa su una figura purtroppo mai introdotta, anche se prevista dall'articolo 17 del CAD (Codice dell'amministrazione digitale), ovvero il responsabile per la transizione al digitale (RTD).
Con la circolare n. 3 del 1° ottobre 2018 il Ministro per la pubblica amministrazione ha ricordato l'obbligatorietà di questa figura e, con questa circolare, abbiamo riepilogato i dati: su 22.000 amministrazioni, 13.500 dovrebbero essere i responsabili per la transizione digitale. Diamoci un obiettivo di 10.000 amministrazioni. Abbiamo attualmente 3.555 responsabili della transizione al digitale. Questi numeri hanno subìto un incremento proprio a seguito della diramazione della circolare che vi dicevo, che ha rammentato quest'obbligo.
Perché è stata creata questa conferenza? Per costituire un forum per tutte le amministrazioni e per tutti gli stakeholder, quindi anche per i rappresentanti del mondo delle imprese, della società civile, dell'accademia e dei centri di ricerca, perché le eccellenze che abbiamo sul territorio devono contribuire a far sì che le amministrazioni più rapide trainino le più lente.
La conferenza è organizzata ad assetto variabile, per temi e gruppi di amministrazione, al fine di favorire il coordinamento delle azioni tramite approfondimenti sulle attività e i temi decisivi nel processo di trasformazione digitale, ma soprattutto per quello che viene chiamato «riuso» – parlerò in seguito delle leve relative al riuso – per un'effettiva condivisione di strumenti, modelli e soluzioni di successo, proprio per fare in modo che le amministrazioni che sono più avanti fungano da traino per quelle che devono ancora diventare smart e che si colmi più rapidamente il divario territoriale, che è una delle componenti critiche che abbiamo esaminato.
È evidente che la governance si attua correttamente se ci sono delle leve. Come abbiamo costruito le leve necessarie alle pubbliche amministrazioni, attraverso la figura del RTD, che si deve avvalere di un team di esperti che lo affianchino in questo lavoro, abbiamo anche fatto in modo che gli obiettivi che devono essere raggiunti dai dirigenti per i premi di risultato siano legati a obiettivi trasversali di digitalizzazione. Ve ne ho riportati alcuni che sono di particolare rilevanza, perché sono gli obiettivi necessari al decollo delle piattaforme abilitanti, come la misurazione della performance delle pubbliche amministrazioni. Poi, se volete, vi do i dettagli su qual è il percorso che l'RTD deve seguire affinché tali obiettivi vengano trasferiti all'interno delle pubbliche amministrazioni, perché questi non sono solo in capo all'RTD, ma sono in capo alle varie direzioni generali, se parliamo di amministrazioni centrali, sono in capo ai vari assessorati, se parliamo di Regioni o di amministrazioni locali.
Un esempio è l'identità digitale. Si verifica qual è il numero dei servizi on line accessibili con SPID (Sistema pubblico di identità digitale) sul totale dei servizi erogati e, per il mondo delle imprese – questo è particolarmente importante –, qual è il numero dei servizi interamente on line integrati e full digital sul totale dei servizi erogati.
Perché parlo per le imprese di servizi full digital? Chiarisco l'aspetto dell'intervento per aree. I servizi erogati ai cittadini non possono assolutamente avere lo stesso impianto dei servizi erogati alle imprese, anche perché le imprese non sono tutte uguali: abbiamo grandi imprese che hanno un grado elevato di automazione, quindi il ventaglio dei servizi offerti deve essere commisurato al loro grado di automazione, ma abbiamo anche una serie di piccole e medie imprese che non hanno ancora investito in innovazione. Bisogna fare in modo che i servizi che vengono erogati favoriscano l'iniezione di innovazione sul territorio, cioè favoriscano l'innovazione all'interno dell'azienda, in modo tale che i dati che devono poi essere inviati alle pubbliche amministrazioni per ragioni di controllo siano un sottoprodotto del ciclo operativo dell'azienda e che i controlli che vengono eseguiti dalle pubbliche amministrazioni, secondo i vari ambiti, siano un valore per l'azienda stessa.
Ci sono vari esempi, se su questo avete necessità di approfondimento, per dimostrare che, seguendo questa strategia, si Pag. 7genera una corsa all'innovazione da parte delle imprese assolutamente necessaria in un momento di cambiamento in cui chi non si adatta al nuovo scenario dell'economia digitale viene espulso dal mercato.
Non commento la slide perché riporta solo degli esempi, ma questi sono indicatori che sono stati già definiti e che verranno utilizzati in sperimentazione già quest'anno.
L'altro aspetto riguarda la governance della trasformazione digitale. Ovviamente le amministrazioni virtuose, che hanno intenzione di utilizzarla da subito, lo possono già fare. Posso dire, per la mia conoscenza della pubblica amministrazione, datata di oltre trent'anni, che ci sono già amministrazioni che operano in questa direzione. Bisogna fare in modo che le amministrazioni che sono più avanti «contaminino», con questo scambio di esperienze, le amministrazioni che ancora non hanno adottato questi strumenti.
L'altro aspetto è la leva della performance per obiettivi verticali. Questo è un aspetto importante che riguarda il nostro Paese e il nostro posizionamento nello scenario internazionale. L'altro aspetto che riguarda la performance è fare in modo che le pubbliche amministrazioni, nel ciclo della performance, individuino degli obiettivi verticali che riguardano proprio il loro core-business, in modo tale che gli obiettivi di performance interni siano correlati ai ranking internazionali per migliorare la reputazione del Paese. Ho riportato nella slide alcuni dei rapporti più rilevanti. Sicuramente il primo è il «Doing business», che viene consultato da ogni impresa che intende investire in un Paese straniero. Bisogna fare in modo che la nostra reputazione internazionale sia pari all'eccellenza di alcune isole del nostro Paese, da un punto di vista di imprese e anche da un punto di vista di pubbliche amministrazioni.
Vengo ora alla governance della trasformazione digitale in termini di cittadinanza e competenze digitali. Oltre ad aver pubblicato le linee guida per l'armonizzazione delle qualifiche professionali dei profili ICT (information and communications technology), è in corso una serie di iniziative. Tutto quello che vi ho detto prima presuppone che all'interno dell'amministrazione, non solo sia portata la cultura digitale, ma sia portata soprattutto la cultura del project management. Siamo su questo. Gestire progetti di questa complessità e avere questo sguardo, questo approccio olistico su quello che fa la propria amministrazione in termini di responsabile per la transizione al digitale, è il primo passo. È un aspetto assolutamente ineludibile. Su questo tema nel piano triennale trovate le linee di azione per attività di formazione per i dipendenti della pubblica amministrazione, dedicate, in particolare, al responsabile per la transizione al digitale e al suo team.
Le altre iniziative in corso, che riguardano invece la sfera dei cittadini, sono iniziative che utilizzano tutte le forze in campo del Paese, il servizio civile digitale e iniziative congiunte con il Ministero dell'istruzione, in modo da sfruttare la diffusione nel Paese delle scuole medie ed elementari, per fare in modo che i millennials possano essere utilizzati come formatori nei confronti delle persone non millennials.
Per quanto riguarda la cittadinanza digitale e le iniziative per le imprese, noi, come sapete, abbiamo costituito – ovviamente perché la norma lo prevede, ma si è rivelato uno strumento utilissimo per avere il polso della situazione con riferimento alle modalità con le quali le amministrazioni si rivolgono ai cittadini – l'ufficio del difensore civico digitale, che utilizziamo come barometro per la crescita digitale della pubblica amministrazione. Laddove rileviamo delle inerzie da parte delle pubbliche amministrazioni, le contattiamo in modo da rendere note quali sono le azioni che devono eseguire. È in corso di redazione la guida sui diritti di cittadinanza digitale. Trovate lì le azioni del piano.
Vengo, infine, alle iniziative per le imprese. Credo sia il comparto a cui dobbiamo maggiormente dedicarci, proprio perché costituiscono una leva effettiva per la crescita. È stata avviata un'azione congiunta con il Dipartimento della funzione pubblica, le Regioni, i comuni e il sistema camerale finalizzata alla semplificazione dei SUAP (sportello unico per le attività Pag. 8produttive), ossia, in termini più ampi, alla semplificazione e per fare in modo che questa pletora di sportelli unici, questa pletora di interfacce, diventino effettivamente una sola interfaccia con dietro l'intera squadra della pubblica amministrazione.
Troverete un primo step che riguarda l'adozione dei moduli standard, proprio perché dall'analisi d'impatto emerge che ogni comune e ogni amministrazione richiede alle imprese informazioni spesso diverse e step procedurali diversi. Il secondo step sarà quello dell'approccio full digital e della completa applicazione del paradigma once.
L'altro aspetto secondo noi di fondamentale importanza riguarda i fondi europei. I fondi europei sono una grande risorsa che deve essere assolutamente meglio sfruttata, quindi questo lavoro di convergenza e di comunicazione verso le amministrazioni, facendo in modo che i vari piani operativi nazionali si intersechino, vadano in modo sinergico e non provochino duplicazioni, fa parte della nostra strategia.
Se il presidente permette, a questo punto io scenderei in particolari, non tanto più tecnici quanto più operativi, passando la parola alla dottoressa Agrimi, che cura proprio quest'area, in raccordo con Regioni e comuni e in raccordo con l'Agenzia per la coesione territoriale per quanto riguarda alcuni piani operativi nazionali.
Concludo il mio intervento dicendo che nel nostro piano a breve termine, in particolare con l'utilizzo della conferenza ad assetto variabile degli RTD, abbiamo intenzione di portare questo lavoro di coordinamento e di convergenza anche verso altri piani operativi nazionali, come infrastrutture e reti.
Avrete visto che abbiamo dato impulso anche all'ecosistema «mobilità logistica» e abbiamo anche integrato il piano triennale. Infatti, i piani triennali prima si rivolgevano, in termini di mobilità logistica, soltanto alle smart city, mentre noi ora ci rivolgiamo, in termini più ampi, a tutto il territorio nazionale, considerando tutti i nodi logistici presenti nel territorio, in modo da realizzare una digitalizzazione della catena logistica e, quindi, della mobilità delle merci, che possa portare beneficio a tutto il territorio. In tal modo si riducono i costi della logistica, che, come sapete, hanno un valore notevole (circa 40 miliardi) rispetto al PIL e si rende il nostro Paese più competitivo. Essendo il nostro un Paese di trasformazione e considerando anche la stasi della domanda interna, la necessità di esportare e di importare rapidamente materie prime costituisce sicuramente un obiettivo da raggiungere nel breve periodo.

PRESIDENTE. Do la parola alla dott.ssa Agrimi, prego.

ADRIANA AGRIMI, Dirigente dell'Agenzia per l'Italia digitale. Con riferimento ai fondi europei (ciclo di programmazione 2014-2020), come sapete, intervengono alcuni piani operativi nazionali, come il PON Governance e il PON Metro, ma anche tutti i piani operativi regionali che insistono su due obiettivi tematici di nostro particolare interesse: Agenda digitale (obiettivo tematico 2) e rafforzamento della capacità istituzionale (obiettivo tematico 11).
Il lavoro che stiamo facendo, insieme all'Agenzia per la coesione territoriale, ma anche con il Dipartimento della funzione pubblica, nel ruolo di coordinamento del comitato di pilotaggio OT2 e OT11, è quello di creare un'attività di monitoraggio di queste iniziative che porti a una piena attuazione del piano triennale oggi vigente e rinnovato, ma soprattutto che consenta di attivare un processo di rimodulazione della crescita digitale, che è la strategia sulla base della quale l'Italia ha ottenuto il placet della Commissione europea per l'utilizzo di questi fondi europei.
Questo processo vuole far sì che il Paese si trovi pronto alla definizione, basata su evidenze, della programmazione europea 2021-2027. Questo progetto, che abbiamo chiamato «Osservatorio nazionale per la crescita dell'ecosistema digitale», si basa su un'idea di monitoraggio che non guardi soltanto ai livelli di spesa, ma anche alla qualità delle politiche che si mettono in campo e ai loro risultati.
Per questo motivo con ciascuna delle Regioni, sulla base di un accordo quadro Pag. 9che è stato siglato con la Conferenza delle regioni e delle province autonome nel 2018, stiamo concludendo accordi territoriali finalizzati a dare impulso, quindi accelerazione, a ciascuno di quei piani operativi regionali, che però ovviamente sono differenti, perché riflettono diverse politiche, diversi contesti socioeconomici e anche diverse capacità delle amministrazioni regionali di fungere da soggetto aggregatore sui territori.
L'Agenzia ha valutato utile mettere a disposizione centri di competenza tematici che, sulla base delle strategie e delle esigenze specifiche che vengono espresse e rappresentate dalle Regioni, accompagnano e affiancano, come diciamo noi, queste amministrazioni mettendo a disposizione asset e risorse, capacità e competenze.
In questa slide, come vedete, sono rappresentati alcuni di questi asset, ma dobbiamo valutare anche la possibilità che questi asset possano crescere e diventare diversi, più variegati, a seconda dell'emergere di questi fabbisogni.
Recentemente, anche a valle dell'approvazione delle linee guida sul riuso, abbiamo costruito un'attività che abbiamo chiamato Centro di competenza sul riuso e l’open source (CROSS), affinché le amministrazioni possano avere un luogo utile per scambiare tutte le competenze e gli strumenti utili a fare del riuso un'attività utile ai propri obiettivi. In particolare, in questo progetto intendiamo attivare degli hackathon, chiamando le pubbliche amministrazioni a confrontarsi e a sfidarsi sul tema del riuso per la semplificazione.
Questo è lo stato dell'arte: gli accordi territoriali con le Regioni, che sono il primo stakeholder, ma stiamo realizzando analoghi accordi con l'insieme dei comuni, attraverso la rappresentanza dell'ANCI, fino ad arrivare ad immaginare iniziative pilota per piccoli comuni con laboratori dedicati a queste realtà assolutamente differenti.
Questa invece è la situazione ad oggi nell'attività che noi abbiamo chiamato Radar, cioè risorse e asset digitali per l'affiancamento regionale. Nella slide vedete l'attuale situazione, gli accordi siglati sono ad oggi quattro, da ieri pomeriggio cinque, e sono in progressiva dirittura d'arrivo tutti gli altri. Questi accordi consentono di monitorare e accelerare la spesa dei fondi strutturali orientata alla crescita digitale, di favorire un confronto, come diceva prima il direttore, tra amministrazioni, perché queste possano anche apprendere rispetto alle proprie debolezze o necessità di rafforzamento, ma soprattutto attivare processi territoriali che, accanto a comuni e piccoli comuni, possano radicalizzare questi interventi e portare efficacia nei risultati.

PRESIDENTE. Prima di dare nuovamente la parola alla dottoressa Alvaro che desidera integrare il suo intervento, segnalo ai colleghi che stanno andando via per partecipare alle sedute delle Commissioni di cui fanno parte, che la documentazione sarà allegata al resoconto dell'audizione.

TERESA ALVARO, Direttrice dell'Agenzia per l'Italia digitale. Per sottolineare un aspetto di fondamentale importanza, proprio perché abbiate contezza di quali sono gli interventi trasversali da tenere sempre presenti, non ho bisogno di dirvi che i dati rappresentano la nuova materia prima per una nuova economia mondiale e che le nuove tecnologie sono proprio le raffinerie che attingono da tutti i pozzi, producendo scie digitali. La situazione però si sta rendendo ancora più critica, e nella slide sono riportati due dati che vi danno la dimensione del problema.
Il 90 per cento dei dati nei sistemi sono stati prodotti negli ultimi due anni e si stima che 1 miliardo di nuovi utenti e 50 miliardi di nuovi dispositivi saranno in linea nei prossimi cinque anni. Questo vuol dire che il tema della sicurezza e della data protection è un tema trasversale, che va tenuto a mente per ogni sviluppo, perché questa situazione ha cambiato le regole dei mercati. Chi non si affaccia ai nuovi mercati con questi nuovi strumenti viene espulso, ma chi si affaccia a questi nuovi mercati senza la dovuta sicurezza (in questo la pubblica amministrazione è un player fondamentale) rischia di attentare alla stabilità dei sistemi, ma dei sistemi economici in termini generali, sempre più vulnerabili, perché sempre più interconnessi. Pag. 10
Noi abbiamo introdotto nel piano triennale, nella reingegnerizzazione di qualsiasi processo e nei nuovi progetti, l'imperativo categorico che cyber security e data protection vengano attuati sin dall'inizio e debbano diventare parte integrante di qualsiasi scelta, sistema o soluzione che si intenda adottare da parte di soggetti pubblici e privati.
Volevo dire questo perché non tener conto di questa criticità significa esporsi a grandi rischi, quindi, se il presidente permette, passerei la parola al dottor Tortorelli, che vi può dare soltanto un'idea, per il momento, delle importanti azioni che devono essere condotte non solo nelle pubbliche amministrazioni, ma anche nel tessuto produttivo e nelle aziende in particolare.

PRESIDENTE Prego, dottor Tortorelli.

FRANCESCO TORTORELLI, Dirigente dell'Agenzia per l'Italia digitale. Grazie, presidente, grazie a tutti voi. Prima di commentare i dati riportati dalla slide, è necessario dire due parole sul contesto a cui si riferiscono.
La sicurezza è un elemento trasversale, un elemento che ci fa avere fiducia nei servizi. Da uno studio della Commissione europea, un utente che ha sfiducia in un servizio digitale ci ritorna non prima di 8-12 mesi dopo, quindi non possiamo permetterci la sfiducia.
Al tempo stesso, nella sua trasversalità, la sicurezza interseca i processi organizzativi, la qualità con la quale si realizza un software, la capacità dell'organizzazione di costruire, come diceva il direttore, by designed, perché, se una trasformazione viene semplicemente «appiccicata» ad un progetto, non funziona, quindi buttiamo tempo, soldi e perdiamo di efficacia. Costruirla by designed significa ovviamente progettarla dall'inizio.
Voglio solo darvi dei numeri su cosa costa la mancata sicurezza, dandovi un flash su alcune delle attività che AgID fa, fornendovi dei numeri che ci fanno capire come il fenomeno cyber, se non presidiato, oltre a una perdita di efficienza complessiva, ci faccia perdere business, capacità operative e credibilità.
AgID agisce in questo settore in quattro linee di elezione: definendo linee guida, facendo attività sul campo, fornendo degli strumenti operativi, non solo alla pubblica amministrazione, e attraverso elementi di formazione. Le linee guida possono essere veramente uno stimolo per l'innovazione, ma le linee guida hanno bisogno, per loro natura, di un costante e continuo aggiornamento, altrimenti rischiano di essere un ostacolo.
La nuova versione del CAD dà ad AgID l'onere di definire attraverso linee guida quelli che un tempo erano i Regolamenti che venivano emanati attraverso provvedimenti quali i decreti del Presidente del Consiglio dei ministri, che, per loro natura, devono seguire un procedimento molto più lento.
Abbiamo preso questo incarico, ci siamo strutturati, abbiamo messo in piedi un processo ingegneristico. Quelle sono le linee guida fatte due anni fa, adesso sono in fase di rilascio per la consultazione pubblica le linee guida per la sicurezza nel procurement, entro l'anno svilupperemo altre due linee guida in termini di sicurezza ai sensi del CAD.
Sull'analisi attività di supporto, vi riporto giusto qualche dato. Potete vedere questi dati sul nostro sito, avanzamento e crescita digitali sono costantemente aggiornati praticamente in tempo reale, potete anche fare confronti anno su anno.
Abbiamo raccolto e analizzato oltre 23.000 malware, di cui quasi 14.000 solo nel corso del 2018, e questo dà un'idea del trend crescente del fenomeno. Fondamentalmente possiamo dire che recuperiamo e analizziamo 50 malware al giorno, e sono numeri impressionanti. Forniamo supporto alla pubblica amministrazione nella gestione degli incidenti informatici, attività partita sul campo da circa metà del 2015, e siamo passati dalle 345 segnalazioni del 2015 a circa 1.300 del 2018, quindi il trend è crescente. Abbiamo oltre cinque segnalazioni di incidenti informatici al giorno, quelli che ci vengono segnalati, ma ce ne sono tanti che non vengono segnalati. Abbiamo Pag. 11 visto anche siti di ministeri attaccati, fermi, quindi il fenomeno è veramente di notevole rilevanza.
Recuperiamo dalla rete file che contengono credenziali di accesso alle amministrazioni. A gennaio scorso il fenomeno dei collection era notevole: circa 4,4 file – anche se la dimensione file è utile solo per fornire dati di massima – di dati sottratti recuperati in media ogni giorno, contenenti password e quant'altro.
Come operiamo? Con una serie di strumenti automatici, con analisi sul campo, e forniamo alle amministrazioni, nel programma cui accennavano prima i colleghi, un risk assessment tool, attraverso il quale le amministrazioni possono valutare il loro grado di compliance rispetto alle best practices in termini di sicurezza.
Abbiamo messo in piedi una piattaforma, INFOSEC, che, ad oggi, contiene 7,3 milioni di indicatori di compromissione analizzata, quindi possiamo dire che è una valutazione media di oltre 11.500 indicatori di compromissioni giornaliere che analizziamo anche, ovviamente, con il supporto di strumenti automatici in buona parte realizzati in casa (questo anche per darvi un'idea della capacità operativa). Peraltro questo repository è stato referenziato dalla comunità internazionale, quindi non parliamo solo di pubblica amministrazione, ma di pubblica amministrazione e impresa, come il quarto miglior repository al mondo di queste informazioni. Concorrenti sono i big quali Microsoft e, quindi, la piattaforma compete con forze superiori di tre o quattro ordini di grandezza a quelle che abbiamo noi, ma ci difendiamo bene.
Qual è il passo successivo? Al di là delle informazioni che noi forniamo attraverso bollettini, rapporti, news, è necessario automatizzare il processo. Cosa vuol dire? Partendo dagli indicatori di compromissione, è necessario definire un flusso secondo protocolli standard, alcuni sviluppati da AgID, e con interfacce che consentano alle amministrazioni, ma anche alle imprese – perché questi tool sono liberamente usabili – di implementare il flusso ricevente, in maniera tale che le politiche di arginamento delle minacce possano essere direttamente implementate nel sistema, ad esempio nei router e nei firewall.
Stiamo organizzando un primo avvio di sperimentazione, che vede cinque grosse aziende di questo Paese e una grande pubblica amministrazione che opera in un settore strategico, e contiamo di metterlo a regime entro l'anno e, quindi, di far collaborare progressivamente le altre amministrazioni.
Va detto che però va creato un minimo di cultura da parte delle amministrazioni attraverso attività di formazione, che cominciamo a fare, ma su cui dovremmo intervenire con maggiore enfasi. Grazie.

PRESIDENTE. Do la parola ai colleghi che intendano intervenire per porre quesiti o formulare osservazioni. Non avendo tantissimo tempo a disposizione, propongo di organizzare i lavori ponendo in seduta le domande, alle quali gli auditi potranno fornire risposte scritte nei prossimi giorni.

MINO TARICCO. Innanzitutto ringrazio delle informazioni forniteci e chiedo se gli auditi possono depositare anche le slide, perché sono molto interessanti. Due questioni.
Se non ho capito male, stiamo parlando di un procedimento di implementazione che è partito nel 2015, o giù di lì, e i dati che ci avete fornito evidenziano una crescita esponenziale dell'attività, ma anche dei rischi ad essa connessi. Il fatto che vi difendiate bene su questo fronte dimostra che vi è stata una crescita anche della struttura operativa?
In base alle sensazioni che avete, alle stime e alla conoscenza di quanto sta accadendo, è immaginabile che questa crescita esponenziale continui e, se sì, come pensate di farvi fronte? Un conto è infatti affrontare cinquecento problemi al giorno, altro conto è affrontarne mille.
Con riferimento ai dati cui lei, dottor Tortorelli, faceva riferimento prima, quella del lavoro di sperimentazione e della possibilità di automatizzare la generazione di risposte ai problemi è una strada percorribile? Perché, altrimenti, bisognerà strutturare chissà quale impianto per garantire Pag. 12sicurezza, visto che la crescita delle complessità e delle problematicità connesse è immaginabile che continui.
Mi piacerebbe capire quale sia lo scenario che si sta disegnando di fronte a noi.
Quanto abbiamo visto è un obiettivo auspicabile, nel senso che noi immaginiamo di arrivare un giorno ad avere tutto il sistema della pubblica amministrazione interconnesso con il resto del sistema Paese e funzionante. Detto questo, ci vengono segnalate su PagoPA una serie di complessità di funzionamento. Sono questioni strutturali che avete rilevato e che state risolvendo?
Se infatti si fa al cittadino questo discorso, chiede immediatamente cosa succeda concretamente sulle cose pratiche. Quindi cosa succede sulle cose pratiche?
La direttrice all'inizio ha fatto riferimento a una diversità di impostazione di questi ultimi sei mesi rispetto al passato, diversità che, però, poi non è emersa dalla sua esposizione, quindi mi piacerebbe capire di cosa stiamo parlando. Grazie.

GIUSEPPE AUDDINO. Una domanda semplicissima. Visto che il numero delle segnalazioni è già alto, potrebbe esserci nella slide un errore: sono 2.800 o 28.000? Immagino che ci sia un refuso...

FRANCESCO TORTORELLI, Dirigente dell'Agenzia per l'Italia digitale. Chiedo scusa, è un refuso, dovuto alla fretta con cui abbiamo corretto un dato precedente, perché altrimenti non tornerebbe la media al giorno. Sono 2.879.

MASSIMILIANO DE TOMA. Grazie per tutto quello che ci avete esposto. La domanda che vorrei fare concerne il SUAP, so come lavorano le Camere di commercio, però, poiché ci sono amministrazioni che utilizzano un SUAP diverso, vorrei sapere quali difficoltà sono state riscontrate in questo settore specifico. Grazie.

UMBERTO BURATTI. Grazie per le relazioni che sono state presentate. In linea con quello che dicevamo nell'audizione di ieri mattina, quando è stato chiesto se la struttura operativa sia stata ampliata oppure no, ci sono stati forniti dei dati dai quali risulta che ci vorrebbe un esercito, un bel battaglione, invece di una semplice compagnia che si muove per fare fronte a un impegno soverchiante.
Anche ieri abbiamo focalizzato l'attenzione sul fatto che questa attività è centralizzata, nel senso che ci sono prima lo Stato, quindi l'Arma dei carabinieri e poi le polizie municipali, per non parlare delle polizie regionali. Dunque, vi chiedo: la vostra struttura è articolata attualmente solo al livello centrale, a Roma, ci sono strutture periferiche e qual è il rapporto fra voi e le strutture che le Regioni si sono date? Inoltre, è opportuno avere un Corpo nazionale anziché operare con un corpo a livello centrale di piccole dimensioni e poi con dei corpi regionali, per non parlare di tutti gli altri soggetti che si muovono all'interno della pubblica amministrazione?
Il collega accennava alle Camere di commercio, che da molti anni operano con le imprese e che costituiscono una struttura che ha sempre ben funzionato per quanto riguarda la raccolta dei dati, la loro archiviazione, i servizi forniti. Data questa visione d'insieme, vi chiedo se c'è la possibilità di un sistema in cui operano, non solo lo Stato e le Regioni, ma anche tutti gli altri soggetti, che comunque si avvalgono di questi dati, e in che modo potremmo meglio operare, per far sì che un Corpo nazionale abbia, a latere, soggetti civili che cooperano per avere un unico risultato.

VALENTINA D'ORSO. Prima di tutto ringrazio gli auditi per l'esaustiva illustrazione. Ieri, nell'audizione del Commissario straordinario, è emersa una considerazione su come la competenza regionale su alcune materie, prima fra tutte la sanità, sia un limite all'uniformità e alla diffusione dei servizi digitali. Vorrei conoscere il vostro parere in merito, per sapere se anche voi ritenete che questa sia effettivamente una criticità e quali potrebbero essere gli interventi per superarla. Grazie.

PRESIDENTE. Se non ci sono altre richieste d'intervento, poiché sono le 9.15, Pag. 13possiamo fare un giro di risposte e chiudere l'audizione per le 9.30 per l'inizio dei lavori dell'Assemblea.
Do la parola ai nostri ospiti per la replica.

TERESA ALVARO, Direttrice generale dell'Agenzia per l'Italia digitale. La prima domanda riguardava la sicurezza, cioè se la struttura che abbiamo a disposizione sia sufficiente e se prevediamo un incremento dei rischi. Certamente prevediamo un incremento dei rischi a causa di quello che dicevo prima, ovvero per la crescita esponenziale dei dati e dei dispositivi. Infatti, dovremo affrontare nuovi rischi di particolare rilevanza proprio perché, con riferimento alle informazioni immesse nei sistemi, avremo nei prossimi anni dispositivi che fungeranno da emettitori di informazioni. Stiamo parlando dell'IOT, dell'intelligenza fisica sui dispositivi.
Quanto alla sicurezza, l'azione di contrasto richiede una costante analisi del rischio, un costante aggiornamento della situazione. In termini di risorse, assolutamente scarse, stiamo lavorando come AgID in una situazione quasi ai limiti del drammatico: abbiamo persone di grande professionalità che, purtroppo, hanno raggiunto i limiti dell'età pensionabile e stiamo pensando a come resistere.
È però sbagliato pensare che il problema della sicurezza possa essere ricondotto a un solo centro. Si tratta, invece, di un lavoro assolutamente di squadra, che richiede la competenza e l'azione di tutte le strutture. Il punto più vulnerabile per la sicurezza di un sistema, in genere, è l'utente finale o il dispositivo.
Abbiamo una serie di esempi su quanto possa essere pervasivo il problema della sicurezza e come, in certi casi, sia fortemente sottovalutato. Quindi, quando parlavo di un'attenzione strutturale e trasversale a questi temi nel piano che abbiamo realizzato, intendevo proprio farvi comprendere questa criticità e questa complessità.
Questi sistemi vengono assolutamente trascurati nelle pubbliche amministrazioni, ma anche nel settore produttivo, nelle aziende, e l'attentato alla sicurezza e alla stabilità dei sistemi arriva dal punto più vulnerabile della rete.

FRANCESCO TORTORELLI, Dirigente dell'Agenzia per l'Italia digitale. È chiaro che noi non possiamo pensare di crescere in maniera esponenziale, quindi è necessario che gli strumenti siano sempre più automatici, che le organizzazioni siano sempre più in grado di operare in tal senso, e noi riteniamo che vadano utilizzate le competenze che ci sono a livello locale. Stiamo, quindi, per emanare delle linee guida per decentrare una parte delle nostre attività, fornendo però uno strumento unitario.
Il punto non è tanto avere una differenziazione, che è una ricchezza, quanto di ricondurre all'unitarietà l'azione e fare in modo che le azioni convergano in un lasso di tempo definito, perché la situazione «a macchia di leopardo» è negativa, non solo perché è, appunto, «a macchia di leopardo», ma anche perché non si capisce quando si finisce. È chiaro poi che le innovazioni sono graduali.

TERESA ALVARO, Direttrice generale dell'Agenzia per l'Italia digitale. La questione è diffondere una cultura della sicurezza a tutti i livelli, e questo richiede un lavoro di penetrazione sul territorio a tutti i livelli, rispondendo anche alla domanda su quale fosse l'organizzazione migliore dal punto di vista territoriale, se centralizzata o decentrata.
L'organizzazione migliore è avere le risorse necessarie per poter effettuare quest'azione di coordinamento, perché far crescere il Paese da un punto di vista digitale significa trasferire in tutti i punti e in tutti gli attori del Paese questo tipo di cultura. Questo lavoro di raccordo si può svolgere nel mondo del digitale anche in modo decentrato, l'importante è attuare queste azioni a tutti i livelli, ma anche nel mondo delle imprese.
Non esiste una struttura che possa essere adatta da un punto di vista organizzativo, decentrato o non decentrato, bisogna svolgere quelle azioni che abbiamo semplicemente abbozzato nella nostra illustrazione. Pag. 14
Provo quindi a rispondere alla domanda su cosa c'è di nuovo in questa impostazione del piano. Intanto, la visione dedicata al mondo delle imprese, poi, una maggiore fruibilità e, soprattutto, un raccordo con tutte le pubbliche amministrazioni centrali e territoriali, quale che sia la loro dimensione.
I piani precedenti non avevano rivolto questa attenzione, non avevano «clusterizzato» il target per capire come agire verso ognuno di questi attori e, soprattutto, non avevano creato strumenti e piani operativi come quelli che vi ha illustrato la dottoressa Agrimi prima, perché dietro quel lavoro, in cui ci sono strategie e strumenti, c'è un lavoro di continua condivisione con le pubbliche amministrazioni ai vari livelli di visione, strategia e piani operativi, controllo della loro azione esercitato attraverso il controllo che loro stesse eseguono.
Mettere a disposizione strumenti di monitoraggio confrontabili tra loro serve proprio a questo, a raggiungere più rapidamente l'obiettivo comune che tutti insieme ci siamo dati prima. Quindi, direi che la soluzione è avere nella struttura le risorse e le competenze necessarie per poter esercitare questa azione, non solo di coordinamento, ma anche di progettazione.

ADRIANA AGRIMI, Dirigente dell'Agenzia per l'Italia digitale. Quanto alle domande su PagoPA, sul Fascicolo sanitario elettronico e sul SUAP, sui quali l'allegato depositato reca alcuni chiarimenti sintetici, vi trasmetteremo dettagliate risposte scritte, affinché possiate riferirvi direttamente a questo documento.

PRESIDENTE. Grazie. Purtroppo i tempi sono quelli che sono. Saremmo rimasti ancora a fare domande. Ringrazio tutto il team di AgID per l'interessante audizione. Autorizzo la pubblicazione dei documenti depositati in allegato al resoconto della seduta odierna (vedi allegato) e chiederei cortesemente di farci pervenire parte delle risposte in formato scritto. Auspico una continua collaborazione tra la Commissione e l'AgID nel corso del tempo che ci è dato, per sviluppare un interessante progetto per l'interesse e la sicurezza del Paese.
Dichiaro conclusa l'audizione.

La seduta termina alle 9.25.

Pag. 15

ALLEGATO