LE PREMESSE 
La sperimentazione è stata condotta presso Cedcamera nel novembre 1997 e ha preso come riferimento la bozza all'epoca disponibile del "Regolamento attuativo dell'articolo 15, comma 2, della legge 15 marzo 1997 n. 59, in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici", approvato dal Consiglio dei Ministri in data 31 ottobre 1997 ma non ancora pubblicato sulla Gazzetta Ufficiale della Repubblica. 
Il regolamento prevede il sistema di crittografia a "chiave pubblica" come strumento per garantire la validità legale di un documento informatico e del suo deposito su un elaboratore elettronico mediante l'utilizzo di una rete di trasmissione dati (un "canale telematico"). 
Nell'esperimento realizzato in Cedcamera si è quindi cercato di verificare come sarebbe possibile trattare secondo le nuove modalità documenti oggi prodotti su carta e consegnati a mano, trovando le risposte a domande di natura tecnica e operativa quali: 
• come è possibile depositare un documento elettronico utilizzando il canale Internet, in alternativa al classico supporto magnetico (un dischetto), e garantire la validità legale del tutto? 
• come è possibile identificare univocamente e con certezza il depositante "elettronico"? 
• come è possibile essere certi che ciò che viene inviato non sia stato modificato per disturbi sulla linea trasmissiva o per l'intervento di terzi? 
L'impostazione dell'esperimento è derivata anche dall'approccio tipicamente pragmatico adottato da Cedcamera: non tanto una valutazione "specialistica" - che potrebbe rimanere fine a se stessa - delle nuove opportunità tecnologiche, quanto piuttosto la verifica "sul campo" degli aspetti operativi connessi alla trasmissione per via elettronica (EDI - Electronic Data Interchange) e in forma "valida e sicura" dei documenti oggi prodotti su supporto magnetico mediante programmi applicativi inquadrati nella logica dei cosiddetti "Sportelli Virtuali". 
Tali "sportelli", infatti, rappresentano una soluzione tecnica e organizzativa, lanciata inizialmente da Cedcamera, volta a mettere a disposizione degli utenti (Associazioni, Commercialisti e Aziende) programmi software utilizzabili su personal computer per espletare in modo guidato vari adempimenti burocratici e per produrre la relativa modulistica, in forma sia cartacea che elettronica (dati su dischetto magnetico), nel caso, per esempio, di compilazione delle denunce al Registro delle Imprese, di redazione dei bilanci, delle dichiarazioni MUD, ecc. 
Attualmente è già in prova presso alcuni utenti-pilota il pacchetto "Sportello 2000", finalizzato alla compilazione delle denunce iscrittive delle imprese, come primo passo del modo nuovo con il quale la tecnologia consente di gestire i rapporti tra l'utente e la Pubblica Amministrazione. In particolare, poiché l'obiettivo caratterizzante gli Sportelli Virtuali è semplificare le attività degli utenti e ridurne tempi e costi, sia ottimizzando le attività operative, sia limitando la possibilità di errori e la necessità di spostamenti fisici delle persone, appare evidente la completezza che deriverebbe per Sportello 2000 (oltre al vantaggio pratico che ne avrebbe l'utente) se venissero adottate soluzioni capaci di garantire la piena validità legale di documenti trasmessi in formato elettronico direttamente dalla sede dell'utente a quella dell'ente pubblico di competenza. 

L'ESPERIMENTO 
Una volta definite e valutate con la Vice Direzione di Cedcamera le condizioni al contorno anche di tipo giuridico e organizzativo, oltre alle possibili relazioni con gli Sportelli Virtuali, l'esperimento si è articolato nell'attivazione di un ambiente tecnologico e dei relativi meccanismi per la ricezione sicura sul "Server WEB" (cioè l'elaboratore che ospita il sito Internet) di un bilancio prodotto in formato elettronico mediante il pacchetto "abcBilancio" prodotto e commercializzato da Cedcamera. 
Per il conseguimento di tale obiettivo si è stabilito di utilizzare solo componenti software esistenti e facilmente disponibili, che rispettassero degli standard probabili se non già di fatto. In particolare, si è voluta sperimentare la possibilità di verificare l'autenticazione della connessione del "Client WEB" (cioè del software nel personal computer dell'utente con il quale si può accedere alle pagine del sito) secondo il protocollo SSL 3.0, che è in grado di garantire la sicurezza dei dati trasmessi in forma crittografata secondo le modalità oggi più diffuse su Internet (e che si può ragionevolmente ritenere verranno tenute in debito conto dall'AIPA al momento dell'emissione delle regole tecniche previste dal Regolamento). 
La presenza di un certificato digitale sul computer di un utente consente sia di identificare in maniera univoca il messaggio di posta elettronica da questi inviato (S/MIME), sia di far accedere l'utente ad un'area protetta di un sito Web qualora il gestore del "Server Web" gliene abbia concesso il diritto. Nella sperimentazione è stata scelta quest'ultima modalità per la maggiore rapidità con la quale sarebbe stato possibile implementare la prova pratica, e sono state quindi inviate ad un'area protetta del Server di Cedcamera le informazioni relative ad un ipotetico bilancio elettronico (un "file") prodotto sul personal computer di un utente di prova. 
Il Server Web deve verificare la validità del certificato digitale utilizzato dal Client Web, verificare che questo certificato sia stato emesso da una Autorità di Certificazione (CA) abilitata, verificare che il certificato non sia scaduto o revocato e, infine, verificare che l'utente abbia i diritti per accedere all'area protetta (abbia cioè diritto a depositare, per esempio, il bilancio aziendale). 
Per poter provare e confermare tale insieme di verifiche si è dovuto configurare adeguatamente il Server Web e installare un apposito software che fosse in grado di emettere certificati digitali. Allo scopo è stato utilizzato un software disponibile liberamente su Internet nella versione cosiddetta "di prova", con la quale sono stati emessi dei "certificati digitali" per alcuni Client e uno per il Server Web di prova. 
Sul Server WEB sono state create alcune aree protette, il cui accesso è consentito solamente agli utenti in possesso di uno dei certificati digitali sopra citati. I dettagli del percorso procedurale sperimentale sono riportati nel riquadro nella pagina successiva. 
È interessante comunque evidenziare che l'utilizzo di un certificato digitale per l'accesso ad aree protette richiede l'inserimento di un identificativo e una password solamente la prima volta: tutte le altre volte il Server WEB "ricorda" che il possessore di quello specifico certificato digitale è abilitato ad accedere a determinate aree protette e l'utente, in questo modo, non è costretto a ricordare tutte le volte le password normalmente necessarie per accedere ai vari servizi. 
Altro aspetto interessante emerso dalla sperimentazione è rappresentato dal fatto che, quando un utente accede alle aree protette, il Server WEB è in grado di leggere le informazioni contenute nel certificato digitale ed è quindi sempre possibile monitorare l'attività del sistema rispetto ai privilegi di accesso attribuiti allo specifico utente. 
In questa modalità di colloquio tra Client e Server, infine, le informazioni sono sempre crittografate utilizzando le chiavi private del Client e del Server, per cui viene garantita in ogni fase la riservatezza e affidabilità dei dati trasmessi. 
La sperimentazione è stata condotta in forma non completamente esaustiva, avendo volutamente posto l'attenzione soprattutto sugli aspetti "di base" del problema e sulle funzionalità che si potessero considerare in qualche modo certe anche a fronte delle future precisazioni del Regolamento attuativo. 
Non è stata quindi trattata, per esempio, la problematica relativa alla validazione formale dei dati contenuti nel bilancio, né quella della loro successiva archiviazione, stante la mancanza, alla data dell'esperimento, di informazioni complete sulle norme da applicare e sugli standard da seguire. 
Non è stato inoltre sottoposto a verifica l'aspetto di firma elettronica del file contenente il bilancio, in quanto tale funzione non è risultata disponibile nel software adottato per la sperimentazione e, d'altra parte, non è apparso opportuno sviluppare una soluzione ad hoc in quanto le regole tecniche di attuazione del Regolamento non sono ancora note e il lavoro fatto non avrebbe quindi avuto alcuna garanzia di riutilizzabilità nel futuro. 
Si sarebbe potuto firmare elettronicamente il file adottando un altro software di pubblico dominio presente su Internet e specializzato solo per tale funzione, ma la prova avrebbe fornito dei risultati ibridi, in quanto i certificati digitali prodotti mediante i due software non sono tra loro compatibili. 

I RISULTATI 
A prescindere comunque dalle limitazioni poste all'esperimento, i risultati hanno ampiamente dimostrato la fattibilità di un sistema di trasmissione sicura e controllata di documenti in formato elettronico adeguato alle modalità operative della Camera di Commercio e delle aziende utenti, e quindi in grado di coprire le esigenze di entrambe. 
Accanto a questi riscontri positivi, si è comunque confermato che, per poter funzionare in modo realmente efficace, il sistema deve essere effettivamente interoperabile, cioè non devono esserci differenze di comportamento, o incompatibilità, dipendenti dai sistemi operativi o dalle marche del software utilizzato, dal momento che il meccanismo di cifratura a chiave pubblica deve conferire validità legale ai documenti a tutti gli effetti. 
L'esperimento ha evidenziato che, in una situazione reale di servizio a regime, dovrà essere posta particolare attenzione all'aspetto di fornitura "certa e sicura" del certificato e delle chiavi digitali, evidenziando quindi l'opportunità di approfondire le modalità basate sull'adozione di una chip-card "intelligente", da consegnarsi fisicamente all'utente in forme analoghe a quanto avviene già per le carte di credito. L'utilizzo della chip-card potrebbe consentire ulteriori prestazioni aggiuntive. Si potrebbe, per esempio, garantire la trasmissione certificata dei dati effettuata da un qualunque personal computer opportunamente attrezzato - e quindi anche al di fuori dell'azienda - e non solo da una specifica stazione di lavoro abilitata allo scopo. Si potrebbero altresì concentrare sulla chip-card altre informazioni "ufficiali" di varia natura, rendendola così una vera e propria "Carta d'Identità dell'Impresa" utilizzabile, per esempio, per coprire le esigenze connesse al "riconoscimento" dell'impresa negli adempimenti burocratici (soluzione peraltro già prevista nello sviluppo del progetto Sportello 2000) così come nelle operazioni di business elettronico. 
Al momento si è ancora in attesa della pubblicazione sulla Gazzetta Ufficiale del Regolamento approvato dal Consiglio dei Ministri. La pubblicazione di tale Regolamento "scatenerà" una serie di eventi che consentiranno la fattiva utilizzazione del documento informatico. Gli eventi più importanti saranno l'emanazione, da parte dell'Autorità per l'Informatica della Pubblica Amministrazione, delle Regole Tecniche, l'emanazione, da parte del ministro delle Finanze, delle modalità di pagamento "informatico" degli obblighi fiscali relativi ai documenti informatici; e infine le singole Pubbliche Amministrazioni dovranno predisporre "la tenuta del protocollo amministrativo per la gestione dei documenti con procedura informatica al fine di consentire il reperimento immediato, la disponibilità degli atti archiviati e l'accesso ai documenti amministrativi per via telematica tra pubbliche amministrazioni e tra queste e i soggetti privati aventi diritto". 
Il processo di emanazione di tutti gli elementi necessari per il pieno utilizzo del documento informatico non sembra essere veloce, ma confidiamo che, non appena giunto al termine, potremo attivare con adeguata rapidità le prime forme di integrazione tra "redazione" e "consegna" di un documento prodotto da uno Sportello Virtuale. 

• PERCORSO PROCEDURALE DELLA DIMOSTRAZIONE FATTA IN CEDCAMERA
• GLOSSARIO