La società per i pagamenti digitali avrà il coordinamento tecnologico. Alla spa dell’informatica andrà la gestione dei server in cui archiviare i dati
Sogei e PagoPa: ecco quali sono le due società pubbliche coinvolte nello sviluppo dell’app che servirà a raccogliere dati utili per il contact tracing del coronavirus, a quanto risulta a Wired da diverse fonti. Una prima conferma sul coinvolgimento di Sogei è arrivata il 29 aprile dalle parole dello stesso ministro dell’Innovazione, Paola Pisano, durante l’audizione con la commissione Lavori pubblici al Senato. La decisione sarebbe confermata salvo cambiamenti dell’ultim’ora (nello specifico, durante la riunione del Consiglio dei ministri che si è tenuta proprio la scorsa notte) ma non sembra questo il caso, per quel che sappiamo. Nuovo ingresso in campo, invece, è quello di PagoPa, società che gestisce il sistema dei pagamenti a favore delle pubbliche amministrazioni e dei gestori di pubblici servizi in Italia, alla quale dovrebbe essere affidato il coordinamento tecnologico.
Il ruolo di PagoPa
Secondo quanto risulta a Wired, alla spa pubblica, che ricade sotto la vigilanza diretta della presidenza del Consiglio dei ministri, spetta il ruolo di supervisore delle attività dei soggetti coinvolti nello sviluppo della app. La società, nata il 24 luglio dello scorso anno come evoluzione delle piattaforma dei pagamenti verso la pubblica amministrazione, ha tra i suoi obiettivi quello di spingere la digitalizzazione dei servizi statali. E quindi ha le carte in regola – a partire dallo stretto contatto con Palazzo Chigi – per coordinare i processi con cui i fornitori incaricati dal governo svilupperanno l’app e le infrastrutture dedicate al contact tracing.
A quanto apprende Wired, la app italiana, Immuni, non si integrerà con Io, l’applicazione per gestire i servizi della pubblica amministrazione di cui PagoPa è responsabile, uno dei progetti di punta dell’ex Team digitale del governo, da pochi giorni rilasciata negli store. I due ambiti resteranno separati: sia perché le funzioni sono diverse (una serve per pagare tributi e consultare documenti, l’altra archivia una lista di contatti per il tracciamento del virus), sia perché l’attività di contact tracing è a termine (al più tardi al 31 dicembre 2020). Il coinvolgimento di PagoPa, quindi, non punta ad aggregare i due software, ma ad avere un tecnico di fiducia del governo alla supervisione del progetto.
Oltre a Io, la spa pubblica è anche responsabile della Piattaforma digitale nazionale dati, ed è in fase di reclutamento di nuovi ingegneri e tecnici con cui sta allargando la squadra.
La raccolta dei dati
“Pubblico e italiano”. L’ultimo in ordine di tempo a ribadire l’identikit del server su cui saranno elaborati i dati raccolti dalla app di contact tracing è stato il commissario straordinario all’emergenza, Domenico Arcuri.
Parliamo dell’infrastruttura che servirà per gestire informazioni utili a ricostruire la catena dei contagi, nel momento in cui un cittadino che sta usando l’app risulta positivo al test sul Covid-19. Quanti e quali dati saranno caricati su questo database, dipenderà dalle scelte del governo.
Le strade sono due: decentralizzato o centralizzato. Se si sceglierà l’opzione uno, come ha spiegato al Corriere della Sera Vittorio Colao, il manager a capo della task force del governo per la fase 2, sul server sarà archiviato lo pseudonimo dello smartphone collegato alla persona affetta da coronavirus. A quel punto, quando gli altri dispositivi, dotati della app, si collegheranno al database, scorreranno la lista di pseudonimi e, se ne trovano uno che combacia con quelli che hanno sul proprio archivio, faranno scattare la notifica. Questo modello è anche compatibile con la tecnologia messa a punto da Apple e Google per far dialogare via bluetooth i rispettivi dispositivi.
Viceversa, con l’opzione centralizzata (che per Arcuri è ancora sul tavolo), l’abbinamento verrebbe fatto sul server centrale, a cui tutti i dispositivi conferiscono la loro lista di “incontri”. Ad ogni modo, nell’uno e nell’altro caso, è chiaro che non è l’app il punto centrale del meccanismo, quanto la stessa infrastruttura che permette a ogni dispositivo di comunicare e di garantire il buon funzionamento dell’architettura del sistema di tracciamento.
Il ruolo di Sogei
E chi potrebbe gestirlo rispondendo ai titoli di “pubblico e italiano”? Caratteristiche richiamate anche dal ministro dell’Innovazione, Paola Pisano, e dal Garante della privacy, Antonello Soro. L’azienda più quotata, a quanto risulta a Wired da varie fonti, è Sogei.
Nata nel 1976, la Società generale d’informatica è da quarant’anni il punto di riferimento nazionale per l’implementazione tecnologica delle funzioni burocratiche. A raccontarne la storia, nel suo sito, è l’azienda stessa, che in origine doveva servire alla realizzazione dell’anagrafe tributaria e quindi all’automatizzazione delle attività di controllo delle dichiarazioni dei redditi e di monitoraggio del prelievo fiscale. Oggi Sogei, che è al 100% di proprietà del ministero dell’Economia e delle finanze, dopo un passaggio in Telecom che si è concluso nel 2002, ha 2.121 dipendenti (dal bilancio pubblico del 2018). Sono sviluppati da Sogei molti dei software usati dalla pubblica amministrazione per la contabilità e le infrastrutture per fattura e scontrino elettronici, l’Anagrafe nazionale della popolazione residente (Anpr), il 730 precompilato.
Negli ultimi anni, tuttavia, Sogei è incappata in due gravi falle nei sistemi. Nel 2016 con il sito ‘18app’, dal quale i diciottenni potevano richiedere il bonus di 500 euro per acquisti culturali. Un giovane appassionato di sicurezza informatica di soli diciotto anni aveva scoperto che era possibile generare buoni infiniti, modificare le disponibilità residue, o addirittura eliminare i coupon di altri utenti. Fortunatamente per Sogei, aveva scelto la via della responsible disclosure (divulgazione responsabile), come di consueto tra hacker, avvisando prontamente l’azienda della vulnerabilità e dandole così la possibilità di intervenire prontamente.
Un anno dopo, a settembre 2017, ormai a un passo dalla data di scadenza della trasmissione telematica dei dati delle fatture per lo spesometro semestrale, si era scoperto che era possibile accedere alla storia tributaria di qualsiasi cittadino soltanto conoscendone il codice fiscale. Per ovviare all’incidente, all’epoca il governo Gentiloni aveva dovuto rinviare la scadenza degli adempimenti più volte, dal 5 settembre fino ad arrivare al 5 di ottobre. Qualcosa di simile a quanto avvenuto il 1 aprile sul sito dell’Inps.
Leggi anche
