Browsed by
Tag: pa

I dubbi sulla tecnologia del Sistema di Interscambio (Fattura Elettronica)

I dubbi sulla tecnologia del Sistema di Interscambio (Fattura Elettronica)

Essendo l’Italia detentrice del Guinness World Record per le catastrofi tecnologiche, dalla Posta Elettronica Certificata (PEC) ai vari down dei siti istituzionali durante elezioni e censimenti, non ho potuto sottrarmi dal dedicare le mie attenzioni a Sistema di Interscambio e Fattura Elettronica.

Tutto è iniziato quando mi sono trovato sommerso nella valanga di commenti negativi di utenti che segnalavano problemi tecnici e di sviluppatori che si lamentavano della complessità di implementazione e del basso livello di qualità delle API del SdI. Dopo aver passato qualche serata a studiarne le specifiche (pubblicate qui), mi sento di condividere i dubbi sulla qualità dell’implementazione, dell’infrastruttura e della gestione di quest’ultimo.

Vi starete chiedendo il perchè, immagino. Le osservazioni più rilevanti, in ordine sparso, sono:

  • Le API si basano su SOAP+XML, uno standard superato dal molto più diffuso REST+JSON. Non si tratta solamente di una questione estetica: l’utilizzo di tecnologie obsolete scarica sugli sviluppatori che devono utilizzare queste API una complessità che non potrà che crescere nel tempo. Utilizzare librerie deprecate o poco supportate e standard non più ampiamente utilizzati significa diventare parte di una nicchia, con svantaggi e problemi facilmente immaginabili.
  • I template WSDL pubblicati contengono URL come http://servizi.fatturapa.it/ e http://www.fatturapa.it/): tutte in chiaro, nessuna traccia di HTTPS. Va detto che un redirect verso HTTPS lo effettuano, ma questo modo di procedere lascia comunque aperti vari scenari di attacco Man in The Middle. Potrebbe trattarsi di semplici segnaposto, ma anche se fosse, per quale motivo diffondere dei template che contengono simili oscenità?
  • Gli endpoint SOAP non sono protetti da una CDN che possa permettere di bloccare flooding e attacchi più sofisticati che malintenzionati potrebbero lanciare contro la piattaforma: si possono solo immaginare gli effetti catastrofici che l’indisponibilità del SdI avrebbe sull’economia dell’intero paese (parlavo giusto qualche giorno fa di come realtà quali Netflix e Spotify siano più resistenti di molte infrastrutture critiche nazionali).
  • I frontend, some se non bastasse, sono tutti all’interno dello stesso range di IP, annunciato da AS33964 (Sogei) a due soli carrier prettamente nazionali, Fastweb e BT Italia.

Sia chiaro: queste scelte potrebbero avere serie motivazioni alle spalle, e non possiamo valutarle come “sbagliate” a priori e dal nostro punto di osservazione esterno. La loro distanza dalla pratica comune però garantisce il diritto, il dovere quasi, di fare delle domande e metterle sotto la lente, per assicurare siano la scelta migliore per tutti noi.

Un tema che è importante discutere è infatti quello della trasparenza (trattasi pur sempre di Pubblica Amministrazione, che lavora con i soldi dei cittadini e per i cittadini). Mentre le segnalazioni di difficoltà e ritardi nell’elaborazione non si fermano (basta fare una ricerca sui social media), ad esempio, l’Agenzia delle Entrate diffonde comunicati stampa in cui sostiene che:

“sul sistema di interscambio sono già transitate quasi un milione e mezzo di fatture elettroniche senza che il partner tecnologico Sogei abbiano (sic.) rilevato alcun problema tecnico”

Il valore di una simile affermazione è nullo se non contestualizzato: non serve a niente sapere quante sono le fatture processate se non sappiamo quante ne sono invece fallite, quante sono quelle emesse lo scorso anno nello stesso periodo con metodo cartaceo, qual è il tempo medio di elaborazione, etc.

Molti interrogativi ma poche risposte, quindi. Per trovarle abbiamo riunito alcuni dei professionisti che si erano espressi sulla piattaforma e inviato sia all’Agenzia delle Entrate che a Sogei una Istanza di Accesso Civico Generalizzato (FOIA), richiedendo copia dei documenti relativi a progettazione, sicurezza e manutenzione del SdI.

L’intenzione, una volta entrati in possesso di questi documenti, è quella di studiarli e avviare un dibattito aperto sui punti sopra espressi e quanto di nuovo dovesse emergere: è responsabilità di tutti noi. Vi terremo aggiornati.

UPDATE: qui trovate la seconda parte di questa odissea.

(per domande, richieste varie o se volete contribuire, potete contattarmi qui o su Twitter)

Eventi straordinari e siti istituzionali: un rapporto (ancora) tormentato.

Eventi straordinari e siti istituzionali: un rapporto (ancora) tormentato.

Anni fa ho scritto questo articolo (in un momento di frustrazione causata dalla puntuale indisponibilità dei siti istituzionali nei momenti di loro maggiore utilità), nella speranza quantomeno di aprire una linea di dialogo. Ero stato fortunato e questa si era aperta, ma il tutto era stato impacchettato e rispedito al mittente senza troppi complimenti.

Il problema in breve: sono molti i siti informativi, soprattutto in ambito Pubblica Amministrazione, “inutili” e poco visitati per il 99.9% del tempo, che però diventano critici in momenti di particolare interesse. Immaginate ad esempio il censimento della popolazione: ha cadenza decennale e dura due mesi. Durante questa finestra di tempo ogni cittadino userà l’apposito servizio online, ovviamente aspettandosi che tutto funzioni a dovere.

Altro esempio è il portale del Ministero dell’Istruzione: basso carico per gran parte dell’anno, ma quando vengono annunciate le commissioni di maturità, deve essere funzionante, pronto e scattante. Pensate poi al sito dove vengono pubblicati i risultati delle elezioni: utilizzato ogni quattro o cinque anni, diventa il più visitato d’Italia durante le poche ore di scrutinio.

Internet oggi è la fonte primaria di informazione per molte persone: è un dato di fatto che non si può ignorare, ed è necessario dare adeguata importanza alle piattaforme che contribuiscono a questa informazione.

Ne parlavo nel 2011, perchè è stato l’anno in cui i tre servizi sopracitati hanno mancato il loro obiettivo primario: quando servivano, non funzionavano. Se ne era parlato, soprattutto tra gli addetti ai lavori: ci eravamo arrabbiati, ma qualcuno aveva commentato che le soluzioni al problema (che spaziano da questioni molto tecniche come lo sharding dei database e l’elasticità delle infrastrutture a questioni più di buon senso, come una corretta previsione dei carichi) erano molto distanti dal mondo dei “comuni mortali”, e ancor di più dal settore pubblico.

Un punto di vista secondo me contestabile, ma quasi sicuramente con un fondo di verità: al tempo il concetto di “cloud” esisteva da pochi anni, e alcuni vendor dubitavano ancora delle sue potenzialità.

Sembra di parlare della preistoria.

(per non dimenticare: il load balancing manuale delle Elezioni 2011)

Adesso siamo nel 2017: sono passati sei anni dal mio articolo e come alcuni continuano a ripetere, “cloud is the new normal”. Il cloud è la nuova normalità, tutti lo usano, lo scetticismo, se mai c’è stato, è sparito: il tempo ha ormai provato che è una nuova e rivoluzionaria tecnologia e non solo un trend temporaneo o una pazzia di un singolo vendor.

In questi anni, nella nostra PA, sarà cambiato qualcosa?

Alcuni segnali fanno ben sperare: Eligendo ad esempio, il portale delle Elezioni, è esposto tramite una CDN (ma non supporta HTTPS). Altri fanno invece perdere la speranza appena guadagnata: questo mese si è tenuto il Referendum per l’Autonomia della Lombardia – serve che vi dica in che stato era il sito ufficiale durante gli scrutini? Timeout.

Le soluzioni a questo tipo di problemi sono ormai ben conosciute e consolidate: caching estremo, utilizzo di CDN, sfruttamento di infrastrutture scalabili, etc. I costi sono molto bassi e granulari: con una architettura ben studiata, si possono servire tutte le richieste senza sprecare un euro. Fa in un certo senso pensare il fatto che in certi ambienti siano ancora presenti e gravi problemi che l’industria ha risolto già da tempo, come quello dei picchi di carico.

Quali sono quindi i fattori limitanti, quindi?

Non stento a credere ci sia una scarsa comprensione del tema e della sua importanza ai “piani alti” di ogni ente: solo di recente siamo riusciti a mettere insieme una community di sviluppatori e un “team digitale” (composto da professionisti di veramente alto rango) volto a svecchiare il “sistema Italia”.

L’iniziativa sta già portando i suoi primi frutti, ma si tratta di un team per ora piccolo molto focalizzato sullo sviluppo e non sulle operations/mantenimento: il passo per il cambiamento della mentalità generale è ancora lungo. Non è difficile immaginare come una scarsa comprensione del tema porti molto velocemente alla mancanza di interesse e di risorse dedicate – con conseguente frustrazione di quelli che sono i “piani inferiori”.

Un secondo fattore spesso portato (o meglio, trascinato) in gioco è la scarsità di infrastrutture: se questo poteva essere vero una volta, oggi, con l’affermazione delle tecnologie cloud e del concetto di “on demand”, questo smette di essere un punto bloccante. Le infrastrutture ci sono, basta sfruttarle.

Ultimo, ma non per importanza, il discorso “competenze”: non stento a credere come molti fanno notare che sia difficile reclutare personale adatto e che chi si occupa oggi di sistemi nella PA abbia ben altre responsabilità e quindi ben altre basi. Ritengo però non si possa ignorare il fatto che al giorno d’oggi il concetto di “as a service” (servizi managed se volete chiamarli con un nome forse più familiare) rimuova buona parte di questo problema, e che l’immensa offerta di training e relativa facilità di sperimentazione renda estremamente facile la coltivazione delle skills mancanti.

Può servire tempo, ma da qualche parte bisognerà pur partire. Molti IT manager e sistemisti sono lì fuori pronti, a fare il passo: hanno solo bisogno di essere ispirati.

Ispiriamoli, no?