Smart disclosure e “government as a platform”

La smart disclosure (rilascio intelligente) consiste nell’esportare verso il web in modalità machine-to-machine i nostri dati personali detenuti dalle varie PA e da altre entità (banche, associazioni di categoria). Mediante l’uso di tecnologie di autorizzazione digitale, l’esportazione si rivela sicura poiché ogni dato viene fornito solo previa autorizzazione digitale del proprietario stesso. La smart disclosure aprirebbe scenari assai innovativi, tra cui la fine del monopolio della PA sui servizi di eGovernment e la realizzazione del “government as a platform”.

Gli Open Data vengono spesso rappresentati come il substrato per un nuovo ecosistema di servizi on-line basati su applicazioni web di terze parti. L’iniziativa Open Data, tuttavia, sembra avere un impatto pratico ancora limitato, e non solamente in Italia: nel Regno Unito, uno dei Paesi più avanzati su questo tema, il portale Open Data governativo recensisce circa 20000 dataset ma solamente 355 applicazioni che ne fanno uso. La gran parte dei dataset, dunque, rimane inutilizzata.

Le cause di tale mancato utilizzo sono varie: assenza di direttive chiare riguardo a cosa pubblicare e al formato da utilizzare, pubblicazione di dati privi di semantica, scarsa attenzione all’utilità dei dati di cui si decide il rilascio. Ma secondo noi esiste anche un problema di fondo degli Open Data, che consiste proprio nella loro natura di dati statici, aggregati, anonimizzati, dunque di limitato interesse da soli, nei servizi personalizzati, laddove inevitabilmente i dati personali dell’utente hanno un ruolo centrale.

I dati personali: un monopolio di Stato

Quando parliamo di “dati personali” pensiamo alla enorme mole di dati anagrafici, tributari, sanitari, previdenziali, catastali, dispersa nelle varie Pubbliche Amministrazioni. Esportarli liberamente verso il web è assurdo e pericoloso, ovviamente. Mantenerli segregati nel "fortino PA", tuttavia, rappresenta un ostacolo alla modernizzazione: segregando i dati personali, infatti, le PA detengono il monopolio dei servizi di eGovernment. In questo modo, per esempio, la compilazione interamente online della dichiarazione dei redditi, un obbiettivo legittimo che va ben oltre quanto promesso dall’attuale governo, potrà vedere la luce solo se e quando varie PA si metteranno d’accordo in chiave di cooperazione applicativa, cosa notoriamente difficile anche sul piano strettamente tecnico.

Smart disclosure: l’alternativa

Attualmente l’unica forma di interazione online con la PA consiste nell’usare un browser per accedere ad un qualche sito web della PA medesima. A seconda del servizio richiesto è possibile che ci venga chiesto di identificarci (fase di “autenticazione”). Una volta identificati potremo accedere ai nostri dati, sempre che la PA sia d’accordo e abbia previsto tale prestazione. Ricordando il fosco passato pre-internet possiamo essere ben contenti: i nostri dati li vediamo direttamente sul nostro browser, senza più far la fila nei vari uffici, e la privacy è protetta dalle nostre credenziali online (PIN, password, e prossimamente SPID).

Quei dati però ci servono per uno scopo, probabilmente per espletare un qualche procedimento burocratico, per esempio la compilazione del nostro modello 730. Allora trascriviamo quel che il browser ci mostra, oppure stampiamo la pagina web o scarichiamo una copia digitale e la alleghiamo a una mail o a qualcos’altro. Stiamo in tal modo disseminando dati personali per ogni dove, altro che privacy. Poi magari passiamo ad un altro sito web e lì altre operazioni, un’altra fase del medesimo procedimento. Un procedimento lungo e complesso, anche se svolto comodamente a casa nostra. Ciò di cui in realtà abbiamo bisogno è l’automatizzazione dell’intero procedimento, ma ciò non appare fattibile: l’accesso ai dati mediante browser è pensato per gli umani, che leggono con gli occhi e scrivono con le dita. In pratica continuiamo ad andare a piedi, anche se con scarpe abbastanza innovative. Siamo sicuri che non esista un’alternativa più comoda ed efficiente?

Secondo noi un’alternativa esiste. Un’alternativa che consentirà alle applicazioni del futuro di reperire quei dati, i nostri dati, direttamente alla fonte, su nostro mandato, col minimo sforzo da parte nostra, senza farli transitare dal browser, automatizzando interi procedimenti, e senza compromettere la privacy più di quanto non accada di già. Tale alternativa si chiama smart disclosure e consiste nell’esportazione controllata dei dati personali verso il web previa autorizzazione digitale online del proprietario, ossia dell’individuo o impresa a cui i dati si riferiscono.

Come funziona

Proviamo a spiegare il funzionamento della smart disclosure senza scendere in dettagli troppo tecnici. Una applicazione web che intende prelevare dati personali di un certo soggetto presso un repository (gestito da una PA o da altri soggetti) deve assoggettarsi a un protocollo di autorizzazione. Seguendo i passi di tale protocollo, essa deve prima ottenere una autorizzazione digitale temporanea da un server di autorizzazione. Quest’ultimo rilascia l’autorizzazione solo previo assenso (una tantum o volta per volta) del soggetto proprietario dei dati, che può concedere diritti di accesso diversificati in base alle operazioni richieste e all’applicazione che le richiede. Munita di tale autorizzazione digitale, l’applicazione può interrogare i vari repository. Questi devono essere predisposti a trattare interrogazioni provenienti non da un umano bensì da una applicazione web, dunque in modalità machine-to-machine, anziché nella solita modalità browser. Ciascun repository interrogato verifica l’integrità e validità dell’autorizzazione digitale che gli viene presentata e, in caso positivo, eroga i dati richiesti. L’applicazione web che intende fare uso dei dati è tipicamente fornita da terze parti e può essere eseguita direttamente dal proprietario dei dati o da un suo delegato. In ogni caso il proprietario dei dati dovrà autenticarsi solamente presso il server di autorizzazione [1].

Government as a platform: la fine di un monopolio

La smart disclosure comporta la fine del sequestro dei dati nel “fortino PA”, con la loro esportazione controllata e autorizzata verso il web, e la separazione del proprietario dei dati dal mero gestore, grazie al server di autorizzazione distinto dai repository dei dati personali. Tutto ciò comporta la fine del monopolio della PA sui servizi di eGovernment: con la smart disclosure, infatti, chiunque può sviluppare applicazioni che, munite di autorizzazione digitale del proprietario dei dati, prelevano i dati personali presso i repository delle varie PA e li utilizzano a nome e per conto dell’utente che ha richiesto il servizio, automatizzando i procedimenti più svariati. Nascerebbe così un ecosistema aperto di servizi online personalizzati, in cui la PA nel suo complesso manterrebbe il ruolo di gestore dei dati garantendo sicurezza e integrità delle informazioni, mentre per i servizi da erogare manterrebbe una funzione non monopolista bensì sussidiaria [2].

Certamente, per un successo generalizzato della smart disclosure, sarebbe necessaria una partecipazione generalizzata di tutti gli operatori che gestiscono dati personali (PA, banche, associazioni di categoria, sistemi di fatturazione elettronica, aziende sanitarie). Ciascuno di essi dovrebbe dotarsi di interfacce web in grado di accogliere interrogazioni machine-to-machine nel rispetto del protocollo di autorizzazione e riconoscendo l’autorità del server di autorizzazione.

Infine osserviamo che lo scenario conseguente alla smart disclosure, con la PA che si occupa più di dati che di servizi, è simile a quello che Tim O’Reilly nel 2010 ha identificato con la locuzione “government as a platform”:

“…the federal government must reimagine its role as an information provider. Rather than struggling, as it currently does, to design sites that meet each end-user need, it should focus on creating a simple, reliable and publicly accessible infrastructure that “exposes” the underlying data. Private actors, either nonprofit or commercial, are better suited to deliver government information to citizens and can constantly create and reshape the tools individuals use to find and leverage public data.”[3]

Work in progress

Il nostro lavoro in questa direzione [4] prosegue, non senza difficoltà. Una delle difficoltà che soffriamo maggiormente è la mancanza di modalità di interlocuzione con l’Agenzia per l’Italia digitale, che pure avrebbe tra i suoi obiettivi il supporto e la promozione delle attività di ricerca in questo settore.

Al momento, dopo aver sviluppato un prototipo dimostrativo (compilazione automatica del mod. 730) stiamo affrontando aspetti di importanza pratica e non del tutto ovvii, quali: concessione di autorizzazioni anticipate, situazioni di “comproprietà” dei dati (es. fattura elettronica, che appartiene a chi l’ha emessa e anche a chi l’ha ricevuta), delegabilità della facoltà di autorizzare l’accesso ai dati (es. soggetti fiscalmente a carico), autorizzazione di accesso in base al ruolo e non per identità personale (es. accesso operato da personale PA per motivi ispettivi o da forze dell’ordine su mandato di un magistrato).

 * DIBRIS – Dipartimento di Informatica, Bioingegneria, Robotica e Ingegneria dei Sistemi, Università di Genova. Qui il profilo

[1] I protocolli di autorizzazione non sono una novità. Uno di essi, OAuth 2.0, è ampiamente usato da attori del calibro di Google e Facebook per gestire l’accesso ai dati personali dei loro milioni di utenti. OAuth 2.0 nasce per i social network ed è inadeguato agli scenari di eGovernment, ma è un buon punto di partenza.

[2] G. Ciaccio, M. Ribaudo. Open Data for the Masses – Unleashing Personal Data into the Wild. Proc. 8th Int.l Conf. on Web Information Systems and Technologies (WEBIST), 2012

[3] T. O’Reilly. Government as a platform. Cap. 2 in D. Lathrop, L. Ruma, “Open Government: Collaboration, Transparency, and Participation in Practice”. O’Reilly Media, 2010. ISBN 0596804350 9780596804350. Online http://chimera.labs.oreilly.com/books/1234000000774/

[4] G. Ciaccio, A. Pastorino, M. Ribaudo. Open Data and Personal Information: A Smart Disclosure Approach Based on OAuth 2.0. Proc. 13th European Conf. on eGovernment (ECEG), 2013