L’e-democracy in Italia fa un bel salto in avanti. Dal portale www.firmereferendum.gov.it, quando sarà online, sarà possibile chiedere ai cittadini di effettuare la sottoscrizione di una proposta referendaria o di legge di iniziativa popolare e firmarla con SPID o CIE (carta d’identità elettronica) o CSN (Carta Nazionale dei Servizi).
È quanto previsto dal decreto attuativo, firmato dagli ex ministri Vittorio Colaoe Marta Cartabia, che istituisce la piattaforma pubblica di raccolta firme su referendum e iniziative popolari. Il testo del decreto, in attesa di essere pubblicato in Gazzetta Ufficiale, è stato reso disponibile da Democrazia Radicale.
“Nel caso ci fossero leggi ingiuste in modo eclatante, quasi in modo istantaneo si potrebbero sottoporre a referendum”, ha spiegato Mario Staderini, fondatore di Democrazia Radicale e tra i principali promotori della piattaforma.
Il decreto ha recepito sia le osservazioni del Garante della Privacy sia del Ministero della Giustizia. Una volta pubblicato in Gazzetta Ufficiale darà il via all’utilizzo della piattaforma per la raccolta in modalità elettronica delle sottoscrizioni.
Come funzionerà la piattaforma di una proposta referendaria o di legge di iniziativa popolare e firmarla con SPID o CIE o CSN
Tecnicamente, come ha preso visione Key4biz dal decreto attuativo, i cittadini avente diritto potranno accedere nell’area privata, esclusivamente:
- attraverso i sistemi SPID/CIE/CNS, a fronte dei quali viene generato un Access Token crittografato che permette la comunicazione tra la parte SPA (Single Page Application) ed i servizi REST della piattaforma; l’Access Token ha un time-to-live e viene invalidato al logout esplicito da parte dell’utente.
Inoltre, la verifica della qualifica di elettore dei sottoscrittori sarà automatica grazie all’integrazione nell’Anagrafe nazionale della popolazione residente (ANPR) delle liste elettorali gestite dai Comuni e alla Piattaforma Digitale Nazionale Dati. La piattaforma pubblica di raccolta firme su referendum e iniziative popolari è sviluppata da Sogei, in qualità di soggetto gestore: ora è in fase di aggiornamento, necessario per l’adeguamento alle ultime modifiche intervenute sul decreto attuativo e al relativo manuale operativo.
Modalità di funzionamento
La piattaforma, che sarà accessibile tramite il portale dedicato www.firmereferendum.gov.it, sarà organizzata in:
- un’area privata
- e in un’area pubblica.
- Prevederà tre diverse tipologie di utenze: per i soggetti promotori, per i cittadini che intendono sottoscrivere una proposta referendaria o di legge popolare e infine per il personale della Corte di Cassazione.
L‘area personale per i promotori
L’area privata permetterà ai promotori di gestire la proposta referendaria e di monitorare l’andamento della raccolta delle sottoscrizioni. In questa sezione, in particolare, i promotori potranno scegliere la tipologia di iniziativa da registrare (referendum o legge di iniziativa popolare), richiedere il caricamento della proposta, visionarne l’anteprima e, una volta confermata la correttezza dei dati inseriti, dare avvio immediato alla raccolta delle firme.
L’area privata per i cittadini
L’area pubblica consentirà ai cittadini la consultazione delle proposte referendarie e dei relativi quesiti nonché delle proposte di legge popolare in corso o scadute, con l’indicazione di tutte le informazioni necessarie alla sottoscrizione, il numero di firme raccolte fino al momento della visualizzazione e il numero necessario per il raggiungimento del quorum.
I cittadini aventi diritto che vorranno effettuare la sottoscrizione di una proposta referendaria o di legge di iniziativa popolare, potranno accedere all’area privata attraverso Spid o CIE e utilizzare uno specifico tasto dedicato per esprimere il loro sostegno.
Infine, sempre mediante l’area privata, il personale della Corte di Cassazione disporrà degli strumenti necessari per l’attivazione e il monitoraggio del processo di raccolta delle sottoscrizioni.
Sicurezza dei dati
L’accesso alle sedi aziendali di Sogei, gestore della piattaforma, è controllato da un servizio di vigilanza armata della Guardia di Finanza con presenza 24 ore su 24, da dispositivi di registrazione degli accessi supportati da tornelli, che costituiscono anche una barriera fisica, da sistemi di videosorveglianza a circuito chiuso (TVCC) e da un servizio di ronda notturna, anch’esso di responsabilità della Guardia di Finanza.
Inoltre, la sede centrale, dove sono installate le infrastrutture tecniche (hardware e software) e logistiche, è circondata da un muro di cinta in cemento armato, sormontato da una recinzione, dotato di barriera a fili tesi anti intrusione e provvisto di sonde anti sfondamento.
Al fine di innalzare il livello di sicurezza all’interno della sala CED, posta al piano interrato, è presente un presidio permanente della Guardia di Finanza e un accesso fisico controllato con tornelli ed attivo tramite badge al solo personale autorizzato. È inoltre installato all’interno un sistema di telecamere a circuito chiuso.
Tutte le telecamere del sistema di videosorveglianza perimetrale e del CED, configurato in alta affidabilità, sono asservite a videoregistratori, posti in un’apposita sala regia governata 24 ore su 24 dalla Guardia di Finanza, dove fanno capo anche le segnalazioni provenienti dai sistemi anti intrusione e anti sfondamento.
L’accesso fisico alle sedi aziendali, regolato da norme specifiche, è consentito soltanto al personale autorizzato. In particolare, le modalità di accesso alle sedi sono diversificate per persone, materiali ed automezzi.
I server che implementano le applicazioni ed i servizi di backend del progetto risiedono in sala CED all’interno di armadi rack metallici chiusi.
Scenari di cyber attacchi
L’utente accede alla piattaforma referendum tramite SPID, CIE o CNS con identità fornita dall’Identity Provider usato nel processo di autenticazione. Al Provider spetta la fase di identificazione ed autenticazione gli utenti e la propagazione dell’identità dell’utente al servizio.
Nel caso in cui uno degli apparati di sicurezza presenti nell’infrastruttura identificasse attività non lecita, riconducibile ad attacchi noti di Cross-Site Scripting (XSS), SQL injection, ecc., si potrà rilevare l’utente loggato in sessione e bloccare le richieste malevoli.
In alcuni casi specifici, nel caso in cui l’attività malevola risultasse insistente, gli apparati di sicurezza possono essere configurati per inibire/bloccare temporaneamente la sessione di lavoro.
Come garantire l’autenticazione, l’integrità e la riservatezza dei dati?
Per garantire l’autenticazione, l’integrità e la riservatezza in senso crittografico dei dati, la piattaforma utilizza il protocollo di comunicazione HTTPS (HTTP over TLS). La versione del protocollo TLS e le cipher suite utilizzate sono la versione 1.2 o superiore. Periodicamente e ad ogni nuova release il sistema è sottoposto a Web Application Penetration Test, per la verifica della presenza di eventuali vulnerabilità. Tutti i sistemi afferenti alla piattaforma sono sottoposti ad “hardening”. Il gestore della piattaforma ha adottato tutte le iniziative necessarie per il mantenimento di un’alta qualità del servizio (QoS, Quality of Service), utilizzando buone pratiche, ad esempio, per assicurare prestazioni e scalabilità e per il risparmio della banda. Come strumento di misura della QoS, il gestore della piattaforma è soggetto a quelli che vengono definiti Service Level Agreement (SLA), ovvero accordi sul livello di servizio.