MENU DI NAVIGAZIONE PRINCIPALE
Vai al contenuto
Resoconti stenografici delle audizioni
XVII Legislatura
Commissione parlamentare di vigilanza sull'anagrafe tributaria
Resoconto stenografico
Seduta n. 1 di Mercoledì 20 novembre 2013
INDICE
Sulla pubblicità dei lavori:
Portas Giacomo Antonio , Presidente ... 3
Audizione dell'ingegner Cristiano Cannarsa, presidente e amministratore delegato della SOGEI S.p.A.
Portas Giacomo Antonio , Presidente ... 3
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI spa ... 3
Bignami Laura ... 9
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 9
Portas Giacomo Antonio , Presidente ... 10
Gutgeld Itzhak Yoram (PD) ... 10
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 10
Ruocco Carla (M5S) ... 11
Sposetti Ugo ... 11
Pelillo Michele (PD) ... 11
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 12
Sposetti Ugo ... 12
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 13
Sposetti Ugo ... 13
Portas Giacomo Antonio , Presidente ... 13
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 13
Pagano Alessandro (NCD) ... 14
Portas Giacomo Antonio , Presidente ... 14
Cannarsa Cristiano , Presidente e amministratore delegato di SOGEI Spa ... 14
Bignami Laura ... 16
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 16
Bignami Laura ... 16
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 16
Pelillo Michele (PD) ... 16
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 16
Pelillo Michele (PD) ... 16
Bignami Laura ... 16
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 16
Bignami Laura ... 16
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 16
Bignami Laura ... 17
Cannarsa Cristiano , Presidente e amministratore delegato di SOGEI Spa ... 17
Pagano Alessandro (NCD) ... 17
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 17
Portas Giacomo Antonio , Presidente ... 18
Sciascia Salvatore ... 18
Bellot Raffaela ... 18
Cannarsa Cristiano , presidente e amministratore delegato di SOGEI Spa ... 18
Portas Giacomo Antonio , Presidente ... 20
Testo del resoconto stenografico
Pag. 3
PRESIDENZA DEL PRESIDENTE GIACOMO ANTONIO PORTAS
La seduta comincia alle 8.50.
Sulla pubblicità dei lavori.
PRESIDENTE. Propongo, se non vi sono obiezioni, che la pubblicità dei lavori sia assicurata anche mediante l'attivazione dell'impianto audiovisivo a circuito chiuso.
(Così rimane stabilito).
Audizione dell'ingegner Cristiano Cannarsa, presidente e amministratore delegato della SOGEI Spa.
PRESIDENTE. L'ordine del giorno reca l'audizione dell'ing. Cristiano Cannarsa, presidente e amministratore delegato della SOGEI Spa, che ringrazio per aver accolto l'invito della Commissione.
L'audizione odierna si inquadra nell'ambito dell'attività di controllo sulla gestione dell'anagrafe tributaria che la legge 27 marzo 1976, n. 60, recante «Norme per l'attuazione del sistema informativo del Ministero dell'economia e delle finanze e per il funzionamento dell'anagrafe tributaria», attribuisce alla Commissione.
L'audizione è finalizzata ad acquisire elementi informativi sull'architettura del sistema dell'anagrafe tributaria, sull'infrastruttura tecnologica a esso sottesa e sugli strumenti e misure per la protezione dei dati in essa conservati.
Cedo, quindi, la parola all'ingegner Cannarsa, con la riserva per me e per i colleghi di rivolgergli, al termine del suo intervento, domande e osservazioni.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI spa. Buongiorno a tutti. L'audizione odierna ci offre la possibilità di aggiornare la Commissione parlamentare di vigilanza sugli sviluppi di SOGEI anche a seguito dell'incorporazione, una novità rispetto all'anno scorso, del ramo IT di Consip avvenuta con efficacia dal 1 luglio 2013. Oggi quindi SOGEI è a tutti gli effetti l'unica società di informatica strumentale alla gestione di tutti i servizi informatici del Ministero dell'economia e delle finanze nell'ambito sia del ramo economia sia del ramo finanza.
Il ramo finanze già presente in SOGEI, e strutturato secondo le articolazioni note, Agenzia delle entrate, Agenzia delle dogane, Agenzia del demanio e Guardia di Finanza, è stato riorganizzato, lo scorso anno, mediante incorporazione dell'Agenzia del territorio e dell'Amministrazione Autonoma dei Monopoli di Stato rispettivamente nell'Agenzia delle entrate e nell'Agenzia delle dogane.
Oggi, dunque, l'assetto organizzativo del Ministero dell'economia e delle finanze risulta modificato rispetto allo scorso anno e questo grazie al fatto che SOGEI, unica società che gestisce l'informatica per tutte le strutture del Mef, governa anche i processi di integrazione delle Agenzie, processi ovviamente complessi, tuttora in corso vedranno coinvolte sia le Agenzie sia la SOGEI nei prossimi mesi.
L'incorporazione del ramo IT di Consip è efficace dal 1 luglio 2013. Vi fornisco qualche dato aggiuntivo: complessivamente, abbiamo inserito nel nostro organico 284 persone; la divisione gestiva e gestisce adesso attraverso SOGEI tutta la parte economia, della Ragioneria generale Pag. 4dello Stato, del Dipartimento del Tesoro e del Dipartimento dell'amministrazione generale del Ministero dell'economia.
Questa struttura che si è aggiunta alla preesistente è gestita attraverso una convenzione tra SOGEI e il Dipartimento dell'amministrazione generale, convenzione attuativa che disciplina i rapporti delle attività svolte da SOGEI per conto del ramo economia. Ciascun soggetto, ciascuna entità, dalla Ragioneria agli altri dipartimenti, ha un rapporto operativo autonomo, poi raccordato dal Dipartimento dell'amministrazione generale che fa da elemento di gestione del contratto.
Sulla parte sinistra della slide, abbiamo indicato con la denominazione SIF il sistema informativo della fiscalità e con la denominazione SIE il sistema informativo del ramo economia. Il sistema della fiscalità è dimensionalmente molto più grande e complesso del sistema informativo dell'economia perché, come dicevo, gestisce l'attività e i processi dell'Agenzia delle entrate, che ha incorporato l'Agenzia del territorio, e dell'Agenzia delle dogane, che ha incorporato i Monopoli. Potete immaginare la quantità di processi gestiti nell'ambito del sistema informativo della fiscalità. Entreremo nel dettaglio più avanti.
Il sistema informativo dell'economia gestisce invece tutta la parte di contabilità pubblica: debito pubblico, bilancio dello Stato consuntivo e previsionale. Si tratta di una parte strategica e fondamentale, soprattutto per le operazioni che riguardano le manovre finanziarie dello Stato, e quindi per il controllo della spesa pubblica.
Come potete vedere, nella parte superiore della slide il sistema presenta una serie di tipologie di soggetti, società, professionisti, cittadini ed enti, che scambiano con SOGEI continuamente informazioni e dati. Questo è uno degli aspetti più qualificanti della nostra architettura. Riceviamo da queste entità, dai cittadini, dalle società e, ovviamente, da tutti gli enti riportati nella parte destra, tutti i dati che alimentano le nostre banche dati, che quindi sono dinamiche e non statiche, in continua evoluzione e aggiornamento.
Sulla destra, vedete rappresentati gli uffici fiscali. Disponiamo di un sito in prossimità di via Laurentina, all'intersezione con il raccordo anulare a Roma, di 11 ettari di superficie complessiva, un vero e proprio sito industriale centrale dove risiede il nostro impianto infrastrutturale, collegato con tutti i 2.000 uffici periferici. Ci sono, ad esempio, gli uffici provinciali del catasto, tanto per darvi un'idea, o quelli delle dogane nei porti e negli aeroporti. Questi uffici scambiano con SOGEI informazioni e utilizzano il sistema in modalità cloud, uno degli aspetti qualitativi più strategici della SOGEI.
Nel riquadro in basso a destra, vedete come all'interno del sistema informativo di SOGEI siano incluse tutte le attività gestite dai Monopoli dello Stato, attualmente quindi Agenzia delle dogane e Monopoli, del comparto del gioco pubblico. Tali attività sono articolate nelle diverse categorie: apparecchi da intrattenimento, new slot o videolottery, le sale dove avvengono le scommesse sportive, ippodromi e sale giochi.
Questa è un settore particolarmente importante per l'Erario perché, come sapete, attraverso il gioco pubblico la raccolta erariale è piuttosto consistente ed è un'attività anche importante da un punto di vista tecnologico. La tecnologia che presiede a queste attività è infatti molto innovativa, e colloca SOGEI e l'Italia decisamente all'avanguardia a livello internazionale.
Quanto alla dimensione dei sistemi, abbiamo tre sistemi mainframe, ad alta affidabilità, elaboratori in questo caso di 35.000 milioni di istruzioni al secondo – millions of instructions per second: questo è il sistema che governa l'anagrafe tributaria. È ad altissima affidabilità, garantisce tutti i flussi delle dichiarazioni dei redditi e le analisi su di esse sotto il profilo sia formale sia sostanziale. Questi grandi elaboratori fanno parte del cuore centrale dell'anagrafe tributaria. Attorno a questo cuore c’è un sistema di server e di banche dati, di dischi, che garantiscono lo storage, Pag. 5la parte della memoria. La rete è molto complessa: abbiamo circa 5.000 server, di cui oggi, grazie ai sistemi di virtualizzazione, circa la metà sono fisici e l'altra metà sono macchine virtualizzate su altre macchine per ottimizzare anche i costi di manutenzione e delle licenze informatiche. Questi server hanno varie tipologie di piattaforme, di cui Unix, Linux e Windows sono le tre principali. Inoltre, importanti ai fini della sicurezza sono 58 sistemi firewall di protezione perimetrale, sistemi che garantiscono il blocco di tentativi di intrusione nel sistema centrale di SOGEI.
A livello di memoria, e quindi di ambito storage, la memoria on line di SOGEI nel nostro sistema centrale è di circa un petabyte, ossia 1.000 tera, un milione di giga, che consentono la memorizzazione on line di tutti i dati che devono essere disponibili agli uffici periferici delle Agenzie per le attività operative quotidiane.
Abbiamo anche un archivio di backup storicizzato di circa 3 petabyte, che vedete nella riga in fondo, che serve laddove le Agenzie dovessero chiederci analisi su anni attualmente non on line. Acquisiamo e conserviamo le dichiarazioni dei redditi da quando esiste in Italia il sistema dell'anagrafe tributaria.
Complessivamente, le banche dati sono veramente sempre più numerose. Oggi, ne contiamo circa 300 complesse in ambiente open. Di queste, l'aspetto più rilevante è che, grazie alla centralità di SOGEI nel sistema informatico, sono tra loro interoperabili, dialogano e possono essere tra loro interconnesse. L'ambiente open è una particolare architettura utilizzata in SOGEI e contrapposta ai sistemi mainframe. Open è una terminologia utilizzata per indicare sistemi disponibili sul mercato libero, nel senso che non ci sono operatori in regime di monopolio, sostanzialmente server che più operatori forniscono per la strutturazione di un'architettura informatica.
Il sistema periferico descritto nella prima slide è composto da circa 2.000 server per 68.000 clienti. Desktop indica proprio le postazioni dei pc, qui ovviamente per l'ambito Finanze. Complessivamente, la somma delle postazioni che gestiamo, tra ambito Finanze e ambito Economia, ha superato le 80.000, per cui questo è il numero dei computer dei dipendenti dell'amministrazione gestiti integralmente da SOGEI a livello di fornitura e di configurazione, soprattutto per quanto riguarda le modalità di accesso da questi alla rete.
Questo è il vero aspetto centrale, cioè un sistema che consente di dialogare tra computer distribuiti sulla rete degli uffici periferici delle amministrazioni direttamente con il sistema centrale di SOGEI, oggi definito sistema cloud.
Un ambito molto importante è quello del disaster recovery. Oggi, un servizio informatico complesso che rispetti soprattutto il codice dell'amministrazione digitale deve essere necessariamente dotato di un sistema di disaster recovery, nel senso della possibilità di garantire la continuità operativa del sistema, quindi dei servizi, anche nell'ipotesi di un evento disastroso nel sito principale di SOGEI. Questo è garantito attraverso un sito di disaster recovery geografico, cioè a una distanza superiore a 100 chilometri dal sito di SOGEI, e un sito metropolitano nell'ambito del perimetro urbano di Roma, per gestire la parte dei Monopoli. Soprattutto l'ambito dei giochi è una tipologia di servizio denominata transazionale, nel senso che è come se di fatto ogni giocata fosse una sorta di bonifico bancario. Poiché il gioco si articola sulle 24 ore, 7 giorni su 7 per 365 giorni l'anno, in ogni istante migliaia di giocate viaggiano sulla rete, per cui non possiamo consentire un'interruzione del servizio: l'interruzione di queste transazioni rappresenterebbe quindi anche l'interruzione dei flussi economici erariali nelle casse dello Stato. Il sistema di disaster recovery è uno dei punti di eccellenza perché, come dicevo, garantisce la continuità operativa, assicurata anche da un sistema di alimentazione di emergenza che Pag. 6SOGEI possiede grazie a generatori elettrici a gasolio, quindi operativi in caso di mancanza della rete elettrica.
Le principali banche dati sono riassunte in questo prospetto e in quelli che seguono. La banca dati anagrafica è quella più rilevante e contiene i codici fiscali di tutti i cittadini da quando è iniziata l'emissione del codice fiscale medesimo. Ci sono 62 milioni di codici fiscali di persone fisiche e 40 milioni di record relativi alle dichiarazioni delle persone fisiche, società e lavoratori autonomi. Le partite IVA sono circa 4,5 milioni, mentre 6,5 milioni sono gli atti del registro. Un dato molto rilevante è quello degli F24 e degli F23: sono 170 milioni gli F24 che ogni anno transitano attraverso i sistemi informativi di SOGEI e sono quelli mediante i quali entrano nelle casse dello Stato praticamente tutte le tasse e i tributi.
Nel riquadro di destra, vedete il settore delle Dogane, anche questo molto complesso. Tutte le merci in ingresso e in uscita dall'Italia transitano attraverso le Dogane e questo sistema informativo è quello che consente la tracciatura di tutte le bollette, delle dichiarazioni doganali, e quindi anche delle tasse legate a tale ambito. Le dichiarazioni doganali gestite ogni anno attraverso l'Agenzia consistono in 12 milioni di bollette. Oltretutto, sono svolte le analisi di laboratorio dall'Agenzia delle dogane per tutte le verifiche, soprattutto per l'antifrode e per evitare la contraffazione dei prodotti in ingresso e in uscita dall'Italia. Gli operatori doganali abitati sono circa 336.000 numeri abilitati piuttosto consistenti che danno un'idea anche dell'entità dei flussi. Le banche dati delle Dogane consentono di fornire report al Parlamento relativamente alle varie tipologie di scambi tra l'Italia e l'estero. Il servizio è svolto dall'Agenzia delle dogane cui Sogei fornisce supporto tecnologico con i dati relativi a tutte le transazioni, che possono essere riassunte e riepilogate in una serie di prospetti relativi alle varie tipologie di merci, che consentono un quadro molto preciso dello scambio tra l'Italia e l'estero in termini di volumi di merci e servizi.
La banca dati del catasto è quella che governa tutto il sistema del catasto, urbano e terreni. Abbiamo tutte le 84 milioni di particelle dei terreni e tutte le particelle relative alle aree urbane, all'ambito del catasto urbano, 70 milioni di unità immobiliari. I possessori legati a queste unità immobiliari sono 41 milioni per i fabbricati e 25 per i terreni. Accanto alla banca dati del catasto ci sono tutte le note di trascrizione, quindi cambi di proprietà, 103 milioni, e – molto importante – le mappe catastali in formato vettoriale, quindi non più in formato analogico. Oltre alla banca dati del catasto, dobbiamo citare la banca dati relativa al catasto demaniale, quindi ai beni demaniali, circa 25.000, gestiti da un sistema informatico governato autonomamente dall'Agenzia del demanio.
Nell'ambito dei Monopoli, riepiloghiamo i dati relativi, come dicevo, al comparto dei giochi: 420.000 sono gli apparecchi da intrattenimento denominati new slot, collegati al sistema informatico dei concessionari e di SOGEI, e 50.000 le videolottery, collegate dalle sale gioco al sistema informatico di SOGEI. Questo sistema è stato sviluppato per recuperare alla legalità un mondo che spesso è stato oggetto di interesse da parte della criminalità organizzata. L'attività prevalente di quest'ambito – è proprio quella del presidio di legalità del sistema dei giochi. I sistemi tecnologici di gioco sono circa 20 e – i giochi abilitati oltre 500, oggetto di continuo aggiornamento, anno dopo anno, per cui SOGEI deve verificare proprio i giochi, oltre che i sistemi di gioco, affinché questi possano essere abilitati all'attività. Di quest'ambito fa parte anche l'ippica: si tratta, in ogni caso, di un ambito che sta a mano a mano riducendosi per la prevalenza del gioco on line, attraverso sistemi Internet, che consentono una gestione del gioco h24 e non limitata agli eventi sportivi. Nelle slide sono riassunti i dati principali, tra cui grande importanza Pag. 7investono i 6 milioni di conti di gioco registrati dall'anagrafe dei conti che gestiamo. Qualunque persona che volesse giocare su un sistema on line, deve aprire un conto di gioco. È un sistema di garanzia che serve a verificare attraverso il codice fiscale l'identità fisica e fiscale del giocatore ovvero che risulti la registrazione all'anagrafe tributaria, e che sia maggiorenne. Su questi conti sono infatti registrate le movimentazioni di gioco, sono dei veri e propri conti correnti in quanto le persone li caricano con gli strumenti usuali. Attraverso i conti di gioco è possibile gestire da un punto di vista tecnologico il complesso comparto del gioco pubblico.
I sistemi telematici rappresentano oggi lo strumento più importante perché garantiscono lo scambio di informazioni tra sistema informativo SOGEI, Agenzie cittadini, società e professionisti. I sistemi sono ENTRATEL e FISCONLINE e poi ci sono dei sistemi telematici dedicati agli operatori doganali. ENTRATEL è quello dedicato prevalentemente agli enti; FISCONLINE alla persona fisica e alla società. Come sapete, proprio in questi giorni è avvenuto lo scambio dei dati relativi ai conti correnti attraverso un canale telematico. In questo caso, per motivi di sicurezza e in totale accordo con il Garante della Privacy è stato creato dall'Agenzia delle entrate un canale telematico ad hoc. I canali telematici hanno una funzione strategica, sono autostrade che consentono l'invio di treni di dati alle banche dati di SOGEI, quindi ciascun oggetto, ciascun ente che deve scambiare informazioni in modo massiccio con SOGEI lo fa attraverso questi canali telematici.
SISTER è il sistema utilizzato soprattutto dai professionisti, in particolare notai, ingegneri, architetti e geometri, per l'accesso alla banca dati del catasto. Ogni volta che è necessario l'aggiornamento di una mappa catastale, visure catastali, atti notarili registrati, questo avviene attraverso Sister. Il sistema consente, quindi, l'interazione tra il cittadino e il catasto e, in particolare, sarà noto a tutti il documento Docfa, redatto proprio sull'aggiornamento di ciascuna unità immobiliare quando si eseguono, ad esempio, lavori di modifica anche della distribuzione interna dei vani.
Sul modello a servizi SOA, service-oriented architecture, vale la pena soffermarsi per un veloce passaggio. Si tratta di un modello innovativo di gestione delle applicazioni informatiche che consente di avere delle parti in comune, quelle riferite sulla slide in arancione, e di utilizzarle da più applicazioni. Come vedete, le applicazioni A, B e C utilizzano servizi, «moduli» informatici in comune tra più applicazioni. Questa slide mostra proprio la centralità del sistema informativo. La possibilità di avere servizi in comune tra più applicazioni garantisce un'efficienza del sistema, e quindi il fatto, tra l'altro, che anche più clienti possano utilizzare moduli già elaborati per altri clienti. È la garanzia di trasversalità del sistema informatico tra più clienti, e di economicità della gestione.
Quella della business intelligence è un'area veramente fondamentale. Se ne parla quando ci si riferisce all'analisi delle informazioni contenute nelle banche dati, sostanzialmente record inutilizzabili se non fossero messi in ordine ed elaborati attraverso dei sistemi data warehouse di business intelligence. Essa consente di estrarre i dati in maniera organizzata a seconda delle esigenze del richiedente. L'Agenzia delle entrate ha le sue specifiche esigenze, diverse da quelle dell'Agenzia delle dogane e da quelle della Guardia di finanza: ognuno ha richieste che possono essere prese in considerazione e tradotte in modelli di business intelligence. Tali modelli sono fondamentali soprattutto per il contrasto all'evasione: consentono infatti di organizzare i dati in maniera ottimale. Sempre in ambito di business intelligence e delle tipologie di report – l'Agenzia delle entrate ne presenta circa 300 tipologie di report con il numero di terabyte in dati movimentati e il numero di documenti Pag. 8trattati. I numeri sono impressionanti e indicano dimensione di ciascuno di questi «mondi» delle Agenzie, quello delle Entrate, della Sanità, delle Dogane e del Dipartimento delle finanze. Ogni ambito ha delle tipologie di report diverso. Il personale SOGEI, dopo l'incorporazione del ramo IT ha raggiunto le 2.200 unità, ha una preparazione non solo tecnico-informatica, ma soprattutto di dominio fiscale ed economico per quanto riguarda la finanza pubblica.
Per il territorio, il numero di report elaborati è elevatissimo e sono disponibili sui siti Internet delle diverse Agenzie che dichiarano e sviluppano la loro attività operativa, presentandola negli ambiti istituzionali.
Ai fini della sicurezza, appunto uno dei temi oggetto dell'audizione di oggi, va menzionato il sistema di controllo degli accessi degli utenti. Esso consente di identificare e tracciare l'accesso di ogni utente da uno degli 80.000 pc di cui vi parlavo attraverso cui si accede al sistema informativo di SOGEI con la possibilità di differenziare la profilatura di un funzionario rispetto a quella di un altro e, soprattutto, di controllare l'identità e tracciare il percorso di quest'utente nel sistema informativo. Questo è fondamentale perché ogni utente deve avere la consapevolezza che il suo operato è oggetto di controllo, nel senso che è tracciato da un punto di vista informatico. Naturalmente, i tracciati non sono disponibili a tutti, ma esclusivamente nel caso in cui la magistratura dovesse richiedere l'accesso a questi dati di tracking log. Si tratta di un sistema di garanzie che responsabilizza l'utilizzo di sistemi così importanti e strategici come l'accesso ai sistemi informativi.
Entriamo nel mondo dei collegamenti Internet e del sistema di connettività pubblica. In quest'ambito, abbiamo una rete locale nostra, nel nostro campus, in fibra ottica, in gran parte ad alta densità. Abbiamo un collegamento point to point con il sito disaster recovery dedicato, per cui non abbiamo condivisione di infrastruttura con altri soggetti. Inoltre, utilizziamo le connessioni Internet del Sistema pubblico di connettività che vedete descritto nelle slide in alto a sinistra: esso offre delle garanzie e al momento non ha delineato temi di criticità nella fruizione di tutti i sistemi da tutti i punti di interconnessione con il sistema centrale.
Per quanto riguarda la parte di storage, cui vi accennavo mentre rappresentavo la precedente slide, la connessione è quasi tutta in fibra ottica, in particolare quella con i siti di disaster recovery, connessioni point to point tra le macchine, tra i server e i sistemi periferici.
Invito la Commissione a venire a trovarci: a mio avviso, è molto importante avere un'idea della complessità del sistema e del livello di organizzazione. L'investimento sul sistema negli ultimi decenni – l'esperienza SOGEI ormai conta più di 35 anni – è oggi tutto tangibile, nel senso che si tratta di sistemi tecnologicamente avanzati, al passo con le ultime tecnologie e organizzati secondo le migliori prassi internazionali.
Vi ho descritto in apertura l'infrastruttura di backup. Questo sistema va distinto da quello di disaster recovery. Il primo è un'attività di duplicazione di banche dati svolta quotidianamente, mentre il secondo consente di riavviare il sistema nello stesso istante in cui si interrompe. Le memorie di backup sono sia di tipo a disco sia di tipo a nastro e sono conservate presso la nostra sede e presso alcune caserme della Guardia di finanza.
Va evidenziato lo sviluppo negli ultimi anni di una proficua collaborazione con la Guardia di finanza. Abbiamo firmato il protocollo che disciplina i rapporti tra SOGEI e la Guardia di finanza due settimane fa. Da un punto di vista tecnologico, umano e operativo tale accordo è di grande importanza per SOGEI perché consente di mettere a disposizione della Guardia di finanza strumenti di business intelligence che quindi riguardano sia le attività economico-finanziarie di società e Pag. 9soggetti terzi sia la dinamica con cui queste attività si sviluppano sul territorio nazionale.
In questa slide viene rappresentato con una nuvola, proprio in riferimento al termine cloud oggi ampiamente utilizzato, il mondo racchiuso da SOGEI. Tutti quelli presenti all'interno di questa grande nuvola sono i soggetti che usufruiscono del cuore centrale di SOGEI attraverso i sistemi che vi ho descritto. Abbiamo, nell'ordine, l'Agenzia delle entrate, i Monopoli, oggi confluiti in Agenzia delle dogane, la Guardia di finanza, il Dipartimento dell'amministrazione generale, il Dipartimento delle finanze, la Scuola superiore di economia e finanze, il Dipartimento del Tesoro, la Ragioneria generale, l'Agenzia delle dogane e Monopoli, l'Agenzia del demanio. Sono tutti soggetti che difficilmente si riescono a mettere in un ordine di importanza poiché sono a livello istituzionale i più importanti che governano il sistema delle entrate dello Stato. Difficilmente riuscirò a darvi un'idea fisica, ma ci terrei a farvi capire la nostra distribuzione sul territorio. Il nostro sito raffigurato nella in alto a sinistra è la sede di via Carucci, gli 11 ettari di cui vi parlavo. Un muro perimetrale in cemento armato garantisce la sicurezza contro l'intrusione e inoltre è presente un presidio armato della Guardia di finanza con una caserma interna alla nostra struttura 24 ore su 24 per 365 giorni l'anno. Ribadisco che la collaborazione è molto forte. Al fine di ottimizzare le attività e i risultati insediato recentemente un ufficiale di collegamento, un tenente colonnello, attraverso il quale è coordinata l'attività tra SOGEI e la Guardia di finanza al fine di ottimizzare le attività e i risultati.
Nel quadrato più grande della slide è rappresentata l'area interrata, nella quale è dislocato il CED, centro elaborazione dati. Quest'area è illuminata da un lucernario, la parte ondulata che si vede nella sommità, che ricopre gli uffici dislocati nella parte centrale del presidio della sale di controllo. Anche dei due edifici sulla destra, rappresentati nel riquadro a sinistra nella slide, risiedono le attività di SOGEI, mentre la parte del quadrato in basso raffigura l'area in cui realizziamo la tessera sanitaria, prodotta e distribuita da SOGEI a tutti i cittadini.
Abbiamo curato sia le produzioni massive dell'epoca dell'introduzione della tessera sanitaria sia tutte le emissioni per i rinnovi e per i cittadini extracomunitari.
LAURA BIGNAMI. Anche quando nascono ?
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Faccio sempre la battuta che il primo documento che riceve il bambino quando nasce è il codice fiscale, per cui il contribuente nasce prima del cittadino. La carta d'identità infatti è un documento che, avendo la foto, non è previsto per i neonati, mentre il codice fiscale serve perché deve assolutamente essere individuato dal momento della nascita.
A destra della slide sono rappresentati due edifici in affitto adiacenti alla sede centrale siti in via Carucci 85, dove risiedono oltre 680 dipendenti. Anche quella è una sede molto importante.
La parte economia è dislocata su tre sedi, la più importante delle quali da un punto di vista informatico è quella della «Rustica» in quanto vi risiede un CED della Ragioneria generale dello Stato; l'altra molto importante è quella di piazza Dalmazia, dove c'era il CED del DAG, Dipartimento dell'amministrazione generale, del personale e dei servizi, che però recentemente abbiamo trasferito in SOGEI. Abbiamo fatto un'operazione di consolidamento dei CED del Ministero dell'economia e delle finanze portando in SOGEI ciò che prima era dislocato in piazza Dalmazia. In via Isonzo abbiamo un altro piccolo nucleo, la sede di Consip, molto vicina a via XX Settembre, dove si trovano 22 persone, tra quelle che hanno maggiore necessità di interfacciarsi con la sede del Ministero dell'economia e delle finanze.Pag. 10
Qui riassumo con un I e una T, information technology, tutta l'articolazione delle sedi di SOGEI per dare, appunto, un'idea di come siamo articolati oggi con il riepilogo che già di avevo evidenziato.
PRESIDENTE. Ringraziamo l'ingegner Cannarsa. Rinnovo l'invito, se fa piacere ai componenti della Commissione, di una visita all'interno della SOGEI.
ITZHAK YORAM GUTGELD. Una delle mie domande riguarda il tema della fatturazione elettronica. Come lei saprà, nell'ambito della delega fiscale che è stata approvata dalla Camera, abbiamo chiesto al Governo di avviare un processo di fatturazione elettronica: in quest'ambito ritiene che SOGEI possa o debba rivestire un ruolo ? Se sì, può aggiungere qualche informazione al proposito ?
La seconda domanda riguarda quella che lei ha definito business intelligence, una tra le vostre attività chiave e che richiede, sostanzialmente, tre competenze: una informatica, chiaramente vostra, quella più semplice; una fiscale e tributaria o per le altre materie, ma la fiscale e tributaria è il cuore; in realtà, la più critica è quella di analisi intelligente di dati, che richiede una combinazione di competenze fiscali, tributarie e statistiche. Vorrei sapere, anzitutto, se queste figure, che sono le più importanti e preziose, risiedono da voi, nell'Agenzia delle entrate, quanti sono, come sono, come sviluppate. Benché ci abbia invitato alla visita guidata e, personalmente, troverei bellissimo vedere le vostre macchine, a me interessa questo.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. La ringrazio per la domanda sulla fatturazione elettronica, uno dei punti che stiamo affrontando con l'ingegner Caio nell'ambito della struttura da lui presieduta alla Presidenza del Consiglio per i tre progetti fondamentali dell'Agenda digitale: fatturazione elettronica, anagrafe nazionale della popolazione residente e identità digitale. Su tutti e tre i progetti SOGEI, è al centro della progettazione e della realizzazione. È motivo d'orgoglio anche per il Ministero dell'economia e delle finanze essere riconosciuto come il soggetto che nella PA ha il sistema informatico più avanzato che può e deve attivare processi di contaminazione informatica verso le altre amministrazioni. Per ciò che riguarda i ruoli, la fatturazione elettronica, per quanto riguarda il ruolo, è un progetto guidato dall'Agenzia delle entrate, e quindi necessariamente SOGEI, in qualità di partner tecnologico, ne è fortemente coinvolto. Il ruolo di SOGEI si concretizza nello sviluppo del sistema di trasmissione delle fatture elettroniche.
Da un punto di vista tecnologico l'infrastruttura è pronta, abbiamo già sviluppato questo sistema, e potremmo ricevere le fatture a partire già da domani. Mi sembra assolutamente corretto che sia oggi posta l'attenzione del Governo un'accelerazione, che in realtà è stata già impressa il 6 giugno scorso con l'entrata in vigore della norma che ha scandito i termini per l'obbligatorietà e i termini per l'invio delle fatture elettroniche.
Quanto alla business intelligence, facevo una battuta nel corso della visita del ministro secondo cui il dipendente SOGEI è una specie di mostro. È effettivamente un soggetto che racchiude competenze strane, un informatico con forti competenze fiscali, ovviamente anche di conoscenza delle amministrazioni, quindi anche delle modalità operative della Guardia di finanza e dell'Agenzia delle entrate. Deve interfacciarsi quotidianamente e tradurre dei fabbisogni delle amministrazioni in modalità informatica. Nell'ambito della business intelligence, Sogei dispone di personale altamente specializzato in materie statistiche. Abbiamo un alto livello di laureati, la cui composizione è distribuita tra ingegneri, matematici, fisici e statistici. Abbiamo esperti di ogni singolo ambito normativo, della fiscalità degli autoveicoli, degli aeromobili, dei natanti, di quella Pag. 11relativa agli immobili e ai redditi. Si tratta di competenze molto particolari, che vanno preservate e mantenute anche attraverso processi di formazione continui. La formazione per SOGEI è un aspetto decisamente qualificante e importante e si configura come uno degli elementi strategici per il mantenimento di queste competenze nel futuro, prevedendo anche piani di avvicendamento delle persone più competenti presenti in SOGEI.
Sul mondo dei dati, la sua domanda è assolutamente fondamentale. Si tratta di un mondo a parte. Abbiamo esperti di dati e una entità che si chiama EDAT, che ha proprio sviluppato la conoscenza del dominio dei dati e, attraverso alcune persone che hanno condotto studi e formazione all'estero, anche presso le principali università internazionali, abbiamo scambi continui su questi ambiti per la formazione e l'aggiornamento. Se posso permettermi, potrei anche dire che SOGEI per certi versi può essere considerata quasi come un'università in quest'ambito. Abbiamo veramente competenze che possono far connotare i nostri esperti come docenti di queste materie. Non vi nascondo che avevo anche in mente di lavorare al progetto di una corporate university presso SOGEI per il mantenimento delle competenze, la divulgazione e lo scambio con altri soggetti nazionali e internazionali e, soprattutto, la formazione dei successori delle persone oggi più esperte in SOGEI.
CARLA RUOCCO. Ringrazio per l'esposizione e indirettamente confermo quanto ascoltato. Dal lato dell'esperienza dell'Agenzia delle entrate, spesso mi è capitato di interfacciare operatori SOGEI e devo ammettere che traducono le nostre richieste nel sistema business intelligence o in altri subito in modo operativo: confermo il profilo descritto.
Secondo la mia esperienza, però, l'Agenzia delle entrate è carente, nell'ambito del sistema operativo, ma in generale del profilo che lo Stato ha a volte nei confronti dei cittadini, il cui rapporto è in qualche modo filtrato attraverso questi sistemi, nella dialettica. Abbiamo un mega-cervello che è un data input di informazioni che derivano da tanti intermediari abilitati, per cui c’è sempre un filtro. A mio avviso, sarebbe molto più proficua una dialettica più ravvicinata con il cittadino. Il contribuente potrebbe, inserendo un codice fiscale o un PIN, accedere alle sue stesse informazioni in maniera diretta per tutto ciò che riguarda la propria posizione nei confronti di fisco. Questo aiuterebbe la compliance, si reinstaurerebbe un rapporto. È evidente che questo cervellone è perfettamente funzionante, ma manca proprio questo pezzo di dialettica. Si vede questo Stato bravo ed efficiente, però manca l'altra parte della dialettica. È possibile, con quest'impianto informativo, implementare anche quest'altro pezzo mancante o è complicato e serve proprio una nuova operatività ?
UGO SPOSETTI. Se il Parlamento, come deve, approva la nuova tassazione sulla casa, quella nuvoletta è in grado di inviare al contribuente Sposetti il bollettino prestampato senza che debba ricorrere a un commercialista o a un CAF per i nuovi conteggi ? Ha parlato dell'integrazione delle banche dati: secondo la sua esperienza, la vostra complessa struttura, l'integrazione di queste ulteriori banche dati – in Italia ce ne sono molte, quelle che servono a uno Stato moderno, in modo particolare per l'integrazione con la Guardia di finanza, ma non solo – richiede ancora molto tempo, vede ostacoli tecnici, di sicurezza, di gestione ? Naturalmente, l'integrazione presuppone che, se si utilizza la banca dati e tutte le informazioni che vi sono contenute, si paga.
MICHELE PELILLO. Sempre sull'argomento che ci interessa molto della fatturazione elettronica, cercando di allargarlo un po’, dal punto di vista tecnico-operativo, sarebbe semplice realizzare l'idea di collegare i registratori di cassa alle vostre banche dati ? Ho poi due curiosità. Ho guardato con molta attenzione le vostre slide: i conti di gioco sono regolarmente Pag. 12incrociati con i dati fiscali per verificare la capacità e reddituale ? Avete registrato negli ultimi tempi tentativi di irruzione di hacker o uso improprio di dati da parte degli operatori ?
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Sfortunatamente, non sono un cervello elettronico, ma umano. Direi che la dialettica è fondamentale. A me sembra che le agenzie, in particolare l'Agenzia delle entrate, abbiano investito tantissimo. Esiste proprio un'area che sviluppa i servizi per il contribuente e abbiamo, all'interno di SOGEI, una struttura organizzativa definita Servizi per il contribuente, per darle l'idea di quanto sia centrale l'aspetto che ha sollevato.
A mio avviso, sono stati compiuti anche dei passi avanti enormi. Se oggi si richiede la password presso il sito dall'Agenzia delle entrate, si può accedere al cassetto fiscale, dove si trovano tutte le proprie dichiarazioni dei redditi e la situazione fiscale.
Senza alcuna polemica, dico anche che forse c’è ancora, da parte del cittadino, una distanza dai sistemi informatici. L'amministrazione italiana non è fortemente informatizzata o meglio lo è in maniera un po’ disorganica.
Quanto al tema fondamentale sollevato dal senatore Sposetti, relativo al collegamento tra le banche dati, ovvero mettere a fattor comune tutte le banche dati delle varie amministrazioni – non limitandosi solo al fisco, territorio, dogane, ma anche alla giustizia, sanità e istruzione – rileviamo che oggi il cittadino si interfaccia con l'amministrazione su tanti ambiti. Questo tema è all'attenzione dell'ingegner Caio, quindi proprio della Presidenza del Consiglio, che lo sta affrontando in maniera molto determinata affinché tale interazione diventi sempre più facile per il cittadino, anche grazie all'utilizzo di un portale unico. L'ANPR, l'Anagrafe Nazionale della Popolazione Residente, è il primo progetto di informatica trasversale dell'amministrazione, che, secondo quanto previsto dalla normativa, affida al Ministero dell'interno, e a SOGEI per la parte tecnologica, l'Anagrafe del cittadino che subentra alle 8.104 anagrafi comunali. La centralizzazione è sicuramente uno dei fattori fondamentali per il processo di integrazione. La distribuzione territoriale è decisamente un fattore antagonista rispetto a tale processo, perché sincronizzare 8.104 banche dati anagrafiche, come avviene oggi quando un cittadino nasce, muore, cambia residenza o stato civile, è un'operazione di cui potete immaginare la complessità. Oggi l'attività è svolta da un CED del Ministero dell'interno, che stiamo gestendo dal 15 marzo 2013, e inoltre l'INA-SAIA, l'indice nazionale delle anagrafi, è troppo complesso per i servizi per il cittadino. Decisamente è uno dei temi fondamentali su cui sia l'Agenzia delle entrate sia le altre Agenzie e le altre Amministrazioni stanno lavorando in maniera molto intensa e determinata.
Per passare al quesito del senatore Sposetti, sul tema della normativa relativa alla fiscalità delle proprietà immobiliari, siamo in grado di automatizzare il processo di invio di informazione ai contribuenti di qualsiasi tipo, ovviamente con riferimento alle informazioni disponibili nelle banche dati.
UGO SPOSETTI. Se il legislatore decidesse, nei prossimi 30 giorni – di questo si tratta – la modifica e l'unificazione di alcune imposte che attengono ai comuni, il contribuente Sposetti potrebbe ricevere il bollettino prestampato ? Se la risposta è sì, si lavora per la norma; se la risposta è no perché ci sono problemi, il caso è diverso. Questo è il rapporto tra il complesso che lei ci ha illustrato e il contribuente. Possiamo fare, infatti, molte cose, ma solo se il contribuente ne riceve un vantaggio. Potremmo passare al contrasto all'evasione e a tutto ciò che vi è collegato, ma il contribuente riceve un vantaggio da tutta quest'operazione ? Soprattutto, siccome cambia tutto, siamo in grado di dire che Sposetti riceve il bollettino prepagato ? Se non lo siamo, non si può fare. La domanda è semplice.
Pag. 13 CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Lo è e adesso l'ho capita meglio. La risposta è «si può fare», quindi il cittadino può ricevere un documento prestampato. Il processo normativo spesso non è strettamente collegato al processo informatico o operativo-gestionale che la norma determina. Questo è un problema che è stato riscontrato anche dallo stesso ingegner Caio quando abbiamo analizzato la norma sull'Anagrafe nazionale della popolazione residenti. La predisposizione e l'attuazione di una norma è oggi un processo sequenziale la predisposizione della norma prima e l'attuazione della norma dopo, ma la prima in realtà pone vincoli spesso non presi in considerazione dalla seconda, motivo per cui la stessa SOGEI e anche le Agenzie che governano specifici ambiti sono coinvolte nel processo normativo. Una norma che ha un impatto fiscale e operativo gestionale così rilevante come quello che lei sta citando dovrebbe prevedere il coinvolgimento delle Agenzie che presidiano queste attività, e la verifica da parte loro in merito alla traducibilità della normativa in termini operativi.
Vi citerò un esempio. Lo scorso anno, col decreto «Salva Italia» del Governo Monti, c'era un'articolazione di provvedimenti con un impatto informatico importante. L'articolo 10, ad esempio, prevedeva che i lavoratori autonomi non facessero più la dichiarazione, di fatto precompilata attraverso sistemi informatici e banche dati. Tutti quelli normativi sono processi che coinvolgono nella fase di elaborazione le Amministrazioni, le Agenzie, Sogei e in questo caso particolare il Dipartimento delle finanze.
Non posso indicarle un tempo di realizzazione e di attuazione. Sicuramente, l'analisi dei requisiti e lo sviluppo delle applicazioni necessarie non sono possibili in tempo reale, richiedono infatti un tempo per la predisposizione dei disposti normativi, ma non esiste oggi una criticità informatica, nel senso che l'informatica può fare quello che la normativa richiede.
UGO SPOSETTI. Il problema vero è che non siete ancora pronti per quest'operazione, che sarebbe interessantissima. Dovrebbero farlo i comuni.
PRESIDENTE. È impossibile realizzarla ? A me sembrerebbe un fatto concreto per i cittadini.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Non diciamo che è impossibile perché diremmo una cosa non vera: è possibilissimo. A mio avviso, sicuramente in Italia si è posto un tema, ma qui l'interlocutore dovrebbe essere l'ingegner Caio piuttosto che l'ingegner Cannarsa.
Il raccordo tra il processo normativo e l'informatizzazione della PA deve essere razionalizzato. A una legiferazione d'urgenza non si può associare un'urgenza nell'implementazione di sistemi. Anche per un collegamento ferroviario servono tempi di attuazione che spesso non sono coerenti con quanto è indicato nelle normative.
Il collegamento dei registratori di cassa alle banche dati non è un'operazione complessa. Oggi, ad esempio, abbiamo il collegamento tra le farmacie e le nostre banche dati. Come sapete, quando esibite il tesserino in farmacia, c’è un collegamento con le nostre banche dati. Da un punto di vista tecnico e organizzativo non è un'operazione complessa che va però strutturata e progettata, nel senso che è un'architettura di periferiche, i registratori di cassa, che vanno collegate a server centrali, per cui è necessaria la connettività, una norma che lo preveda e lo imponga o lo favorisca, anche proprio sotto il profilo dell'incentivazione. Non è però un tema di complessità tecnologica: si può assolutamente fare.
Oggi, i conti di gioco sono legati alla persona, e quindi al codice fiscale. Teoricamente, è possibile qualsiasi analisi sul confronto tra il reddito della persona che gioca e l'attività di gioco che la stessa implementa, ma attualmente non esiste un sistema di controllo che certifichi se quella Pag. 14persona ha la capacità reddituale per giocare. Quella persona gioca, è libera di giocare. Attualmente, non c’è un incrocio, a meno che non sia in corso un'attività investigativa che lo preveda. Deve prevederlo la norma, ma oggi non è così. I conti attivi ammontano a circa 3 milioni; i conti totali a 6.
ALESSANDRO PAGANO. La relazione è stata ampia e ho tantissime domande da rivolgere. Comincerei con una domanda ammiccante. Siamo tutti curiosi di sapere il più possibile. Mi rendo conto che certi aspetti non si possono spiegare, ma il rischio anche è fortissimo e penso ad Anonymous. Sarebbe interessante capire quali siano i margini di sicurezza, naturalmente nei limiti del possibile.
Entrando nel tecnico, con la legge n. 135 del 2012 abbiamo il nuovo accordo tra Consip e SOGEI, acquisizione di beni e servizi, pubblica amministrazione, Ministero dell'interno, tutto interessante, ma avremmo bisogno di conoscere lo stato dell'arte e il piano attuativo dell'Agenzia per l'Italia digitale e dell'Agenda per la modernizzazione. Inoltre, quanto al MEF, i collegamenti sono interessanti col ministero, con la Corte dei conti, con le agenzie fiscali, la pubblica amministrazione. Due grandi mission in questo Parlamento sono però assolutamente inevase, spending review e costi standard. Per i costi standard mancano ancora i decreti attuativi, ma è chiaramente è un obiettivo prossimo. È indispensabile capire concretamente, non in maniera teorica – nel caso passeremo anche a una seconda e a una terza puntata – sulla spending review quali sono i centri di costo e come intervenire. Parlo di un lavoro dettagliato che ritengo essere, evidentemente, nei piani di questa Commissione, che ha competenze di controllo. Credo valga anche per tutti i componenti della Commissione la necessità di capire concretamente come aggredire questo problema.
Quanto ai costi standard, mancano sì i decreti attuativi, ma è altrettanto vero che l'obiettivo è prossimo e vogliamo sapere come è articolata, nel confronto tra un centro di costo del Veneto e uno della Sicilia, la medesima attività, il medesimo centro di costo e, soprattutto, come è offerto a noi che siamo addetti ai lavori in termini esplicativi al fine di poter intervenire ?
PRESIDENTE. Le domande sono veramente interessanti e rivolgo i miei complimenti ai componenti della Commissione perché, oggettivamente, conoscono la materia. Immagini che l'ingegner Cannarsa non possa rispondere oggi a tutti, per cui al prossimo incontro, magari documentandosi meglio, le domande potrebbero essere ancora più approfondite.
CRISTIANO CANNARSA, Presidente e amministratore delegato di SOGEI Spa. Possiamo anche fornire delle risposte scritte.
Inizierei, in ogni caso, a rispondere alle prime domande, con una delle quali recupererò anche una risposta che non ho fornito al senatore Sposetti sulla questione degli attacchi informatici.
In tema di rischio hacker, non abbiamo mai subìto intrusioni alle banche dati. Si tratta di un'eventualità, se posso dirlo, praticamente irrealizzabile. Si verificano invece quotidianamente gli attacchi di hacker attraverso siti di tutto il mondo. Esistono tecniche di hackeraggio, attacchi di tipo DOS, denial of service, che tendono a rallentare l'operatività dei siti delle Agenzie, per cui gli hacker intasano – consentitemi questo termine – il sito di Equitalia, per citare un esempio abbastanza realistico, per cercare di rallentarne l'operatività. Ci sono tecniche di risposta a questi attacchi, che non producono nessun danno, fatto fondamentale, ma tendono a rallentare. Dirottiamo questi attacchi su siti «finti», che creiamo ad hoc per cui l'immagine di ciò che sta attaccando risulta il sito di Equitalia. Il nostro è un diversivo rispetto all'operazione. I nostri esperti in materia, di fatto degli hacker, sanno come fronteggiare l'attacco di un hacker e gestire al meglio anche le tematiche di sicurezza informatica. In questo Pag. 15ambito e in particolare sul rischio cibernetico opera, come indicato sulla relazione annuale presentata lo scorso anno dal DIS, il Dipartimento delle informazioni per la sicurezza, in particolare sul rischio cibernetico, il CISR, Comitato interministeriale per la sicurezza della Repubblica, al quale partecipa anche il Ministero dell'economia e delle finanze attraverso una persona che è stata nominata ad hoc e che polarizza tutte le attività del MEF in questo settore. Si è trattato anche di un'operazione di razionalizzazione e di dialogo tra le varie amministrazioni. Quella della sicurezza è una policy fondamentale, che deve essere standardizzata e unificata. Devono esserci standard certificati di sicurezza, che Sogei possiede, e solo il presidio continuo, la formazione e l'aggiornamento consentono di mantenere il livello di sicurezza sempre adeguato. L’hacker che effettua l'attacco, infatti, è molto preparato, tende ad avere sicuramente un livello di conoscenza molto avanzato. A oggi, però, non ci sono mai stati attacchi importanti che abbiano messo a rischio l'integrità del sistema. È un presidio al quale dedichiamo molta attenzione, per cui, da questo punto di vista, non segnalo elementi di criticità.
Salto al tema della spending review perché credo che in questo momento sia molto importante visto che il commissario Cottarelli ci sta lavorando, in vista di un Consiglio dei ministri sull'argomento, con un'articolazione di temi veramente molto ricca e dettagliata. È presente nella struttura di Cottarelli un dipendente di SOGEI, esperto economista, che sta lavorando per mettere a disposizione tutte le informazioni e gli strumenti per garantire i migliori risultati. Per reperire i dati, servono le autorizzazioni dei titolari per motivi di privacy. Il titolare dei dati non è SOGEI, ma sono l'Agenzia delle entrate, delle dogane, la Guardia di finanza. Siamo responsabili esterni del trattamento ai sensi della normativa sulla privacy. Cottarelli dovrà attuare tutti gli strumenti anche legislativi, di cui dispone.
La vera rivoluzione nella contabilità pubblica, soprattutto nel controllo di gestione della stessa, è la fatturazione elettronica. Questa consentirà di analizzare item per item in Veneto o in Sicilia il costo standard, il costo di approvvigionamento da parte delle varie amministrazioni, eseguendo un controllo di gestione aggregato per macrovoci di spesa, come accade in qualsiasi azienda. Va aggiunto, in relazione alla spending review, che stiamo già lavorando e aggiungeremo un'altra risorsa alla squadra di Cottarelli proprio per garantire la massima collaborazione tra l'informatica del Ministero dell'economia e delle finanze e la struttura del commissario.
Quanto alla legge n. 135, onorevole, lei ha citato correttamente sia l'incorporazione del ramo IT di Consip sia il fatto che SOGEI da quest'anno si avvale di Consip, ai sensi della convenzione stipulata come centrale di committenza per l'approvvigionamento di beni e servizi. Si tratta di un'innovazione per noi molto importante. Abbiamo esternalizzato una parte del processo a garanzia della qualità procedurale, che sicuramente Consip meglio di qualsiasi altro soggetto oggi può garantire visto che, appunto, è la centrale di committenza della pubblica amministrazione. Stiamo lavorando molto bene, per cui al momento anche quest'attività evidenzia un risultato positivo.
Quanto all'AgID, l'Agenzia per l'Italia sempre in un'ottica di spending review. Digitale, la collaborazione è molto stretta, tanto è vero che abbiamo portato in SOGEI il CED dell'AgID. L'AgID aveva un CED in un luogo non pienamente conforme ai requisiti di sicurezza e di economicità. Abbiamo individuato un'area di circa 70 metri quadri all'interno del nostro CED, predisposto dei sistemi di sicurezza, di separazione fisica di quest'area, e incorporato il CED dell'Agenzia per l'Italia Digitale da noi – potrete vederlo durante la vostra visita – sempre nell'ottica di collaborazione e di un'infrastruttura esistente di condivisione con le altre amministrazioni. Tra l'altro, va ricordato che SOGEI svolge un'attività per la quale, a livello di conto economico, tutto l'utile è Pag. 16riversato nelle casse dello Stato, quindi senza altra finalità che quella di mantenere il nostro sistema tecnologico all'avanguardia e avanzato. Anche in questo senso, dovremo prevedere, proprio per il mantenimento di questo livello tecnologico, forse anche delle modifiche a livello di remunerazione. Oggi l'unico cache flow disponibile per gli investimenti è quello connesso sostanzialmente alle quote di ammortamento, circa 39 milioni di euro l'anno. Laddove dovessero esserci investimenti che superano questo valore, come autofinanziamento non avremmo capacità e dovremmo ricorrere a mezzi di terzi finanziari, quindi con un aggravio sotto il profilo economico-finanziario. A oggi, SOGEI non è mai ricorsa al debito. L'unica forma di indebitamento è relativa all'acquisto, qualche anno fa, dell'immobile di via Carucci 99, che avete visto dove risiede peraltro il CED. Si tratta di immobile strumentale al 100 per cento, che abbiamo acquistato qualche anno fa da Fintecna e per il quale ancora abbiamo un debito residuo di 45 milioni, ma la struttura finanziaria di SOGEI è assolutamente priva di qualsiasi forma di indebitamento. Questo è un aspetto molto importante che vorremmo cercare di mantenere, lasciando grande spazio all'autofinanziamento.
LAURA BIGNAMI. La ringrazio molto. Visto che è tardi, farò del mio cognome un'arte. Lei dice che viene conservato il controllo dell'accesso dei dati, il cosiddetto log: esiste un tempo limite ?
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. La normativa sulla conservazione dei tracking log è disciplinata dal Garante della privacy. I tempi, normalmente, vanno da una settimana – noi abbiamo delle autorizzazioni e ci confrontiamo costantemente col Garante della privacy – fino a un mese.
LAURA BIGNAMI. Lei parlava della magistratura.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Mi riferivo ai casi di eventi urgenti e di provvedimenti a essi connessi. Di fatto, riceviamo tutti i giorni provvedimenti di magistrati che ci chiedono chi abbia avuto accesso a un codice fiscale da un certo ufficio, che sia di Catania o Bolzano. Procediamo noi alla ricostruzione, cosa che avviene in tempo reale tutti i giorni.
MICHELE PELILLO. Ci sono parecchie denunce di un uso improprio di dati ?
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Non si tratta di denunce di uso improprio, ma di verifiche di accesso da uffici periferici per attività anche semplicemente di audit e di controllo.
MICHELE PELILLO. Se ve lo chiede un giudice, significa che c’è stata una denuncia ?
PRESIDENZA DEL VICEPRESIDENTE ALESSANDRO PAGANO
LAURA BIGNAMI. In realtà, non serve un hacker per una fuga di dati e lei non può comunque garantirmi che i suoi dipendenti siano infallibili. Esiste sempre una possibilità. Quando ci parla di impossibilità, sorrido. In realtà, non può garantirmi al 100 per cento. Certo, c’è una sicurezza telematica dall'esterno, ma il numero di dipendenti è elevato.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. I dipendenti sono ben di più. Deve considerare che quelli sono i dipendenti SOGEI, poi ci sono quelli delle Agenzie.
LAURA BIGNAMI. La possibilità esiste ed è abbastanza concreta.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Le profilature cui facevo riferimento garantiscono che quelle persone non accedano al Pag. 17dato, ma a un'applicazione. Ai dati non accede nessuna di quelle persone. Ci sono degli amministratori di sistema.
LAURA BIGNAMI. Un certo numero di persone potrà accedere comunque attraverso delle query. Non è necessario conoscere tutti i dati. Per quelli che interessano bastano due o tre interrogazioni. In realtà, chi è capace in quel lavoro non ha bisogno di tanto tempo. In ogni caso, la mia era solo un'osservazione. Vorremmo invece rivolgere una domanda che ci preme e che è più importante. Oggi è la giornata dell'infanzia e lei ha parlato del conto di gioco. In realtà, non può garantirmi neanche in questo caso che un figlio con il codice fiscale del padre non acceda a un gioco on line: ha idee, proposte per impedire che ciò accada ? Il problema è grave.
CRISTIANO CANNARSA, Presidente e amministratore delegato di SOGEI Spa. Il problema esiste. Noi attuiamo le norme vigenti.
La discussione si sta svolgendo sui tavoli delle Amministrazioni che governano, in questo caso Agenzia delle dogane e dei Monopoli, che governano il mondo dei giochi. Alcune proposte riguardano la possibilità di inserire delle card identificative. Il documento unificato, ad esempio, l'identità digitale è uno dei passaggi importanti per la certificazione biometrica oltre che anagrafica del soggetto. Ricordo che il documento unificato riporta anche i dati biometrici, impronta digitale e immagine della persona. Con l'introduzione di sistemi di questo tipo si può arrivare a livelli di certificazione dell'identità molto accurati, col conseguente impedimento, soprattutto per i minori, di giocare. Va detto, al riguardo, per evitare di commettere errori di valutazione che oggi il presidio alla legalità del gioco è molto più intenso del passato. Prima non c'era nulla, per cui il gioco era lasciato in mano a chi veramente voleva trarre da queste attività il maggior beneficio economico anche in maniera illegale. Oggi, è importante aver creato presidi di legalità in un mondo così articolato e complesso come quello del gioco, in continua evoluzione, sul quale comunque dovremo condurre ragionamenti a livello sia parlamentare sia tecnologico e, in generale, sui sistemi di governo di queste attività continui. Le idee ci sono, si stanno implementando di continuo. Il tema è assolutamente reciproco. Il Parlamento e le strutture che governano questi sistemi devono assolutamente continuare a interrogarsi su come migliorare questa attività. Siamo disposti e disponibilissimi ad avanzare proposte, come già facciamo. Alcuni sistemi già impediscono, ad esempio, la contraffazione delle schede di gioco grazie a impianti di garanzia. Quanto al giocatore, oggi è lasciata alle sale da gioco fisiche, anzitutto, la verifica dell'identità e della maggiore età. Le sale gioco sono controllate costantemente sia dall'Agenzia delle dogane e dei Monopoli sia dalla Guardia di finanza. Esse devono peraltro, devono essere in possesso di un'autorizzazione specifica, a differenza dei bar, dove invece il gioco avviene in maniera più distribuita. Per il gioco on line sicuramente dovremo riflettere sulle tecnologie più opportune.
PRESIDENZA DEL PRESIDENTE GIACOMO ANTONIO PORTAS
ALESSANDRO PAGANO. Forse più che le tecnologie, su cui ci sono capacità e know how non indifferenti, già concentrare strategicamente tutte le banche dati sarebbe utile. Esistono ancora delle dispersioni. Mi riferisco, ad esempio, anche a quelle regionali. Bisognerebbe immaginare una riflessione complessiva, all'occorrenza delle convenzioni, che alleggerirebbero il carico, garantirebbero maggiore trasparenza e, soprattutto, fornirebbero elementi di sicurezza. Questa potrebbe essere una strategia vera di lungo profilo, di lungo periodo.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. L'accentramento della strategia è importante. La condivisione delle banche dati e Pag. 18la sistemazione delle informazioni sono tematiche molto attuali. I big data, come sono definiti, sono sistemi che inevitabilmente sono adottati nei Paesi più evoluti. Si tratta, in ogni caso, di temi che vanno studiati e affrontati con precisi organi, in particolare il Garante per la privacy, ma a mio avviso la condivisione dei dati è fondamentale. Si risparmierebbero, tra l'altro, enormi costi a livello locale. Attualmente, ogni banca dati presuppone una licenza informatica: immaginate cosa significhi a livello di costo delle amministrazioni la proliferazione di tutte queste realtà distribuite.
PRESIDENTE. Abbiamo ancora due domande e poi potremo avviarci alla conclusione.
SALVATORE SCIASCIA. Ringrazio l'ingegnere per la chiarissima esposizione. Sarò telegrafico. Partendo dal nuvoletta, a destra c’è il Corpo della guardia di Finanza: questa ha un sistema autonomo di implementazione di dati o è lo stesso che per l'Agenzia delle entrate ? Si è parlato inoltre di rapporti internazionali. Lei mi insegna che le frodi carosello sono uno dei punti che richiedono il massimo intervento in quanto coinvolgono più Paesi e hanno un impatto sull'IVA: avete un'interfaccia con il fisco degli altri Paesi o questo è legato soltanto al Ministero dell'economia e delle finanze ?
RAFFAELA BELLOT. Ringrazio anch'io per l'esposizione della nostra realtà e del vostro ambito di interesse e lavoro. Sicuramente, è già un'enorme mole di dati quella in vostro possesso, così come quella dell'incrocio per le banche che potete gestire. La mia domanda riguarda il catasto, la cui situazione attuale è quella di un sistema assolutamente obsoleto. Si parla di un aggiornamento in tempi, nella visione di alta tecnologia informatica che abbiamo, che vanno verso i 5 anni per l'aggiornamento, con costi e ricadute per gli utenti, per lo stesso sistema Paese e per l'economia a mio avviso elevati.
Con la delega fiscale arriverà sicuramente, quindi, una mole di dati comunque davvero elevata. Dovrete, in ogni caso, gestire tantissimi nuovi dati e aggiornati: ci sarà la capacità di gestirli in tempi veloci, fornendoci aggiornamenti, di offrire un input a questo consistente nuovo inserimento di attività ?
Eventualmente, in tema catasto, per il quale ripeto che si parla di 5 anni, un'enormità a mio modo di vedere, avete modo di offrire, con i vostri dati e con gli accessi ad altre banche dati, anche un'accelerazione a quest'aggiornamento ? Vorrei anche formulare una piccola osservazione sul discorso del gioco e sull'utilizzo della tessera sanitaria e del codice fiscale. Credo che il problema sia molto più a monte. Già il maggiorenne appena diciottenne può accedere col suo tesserino, ma poi a pagare il debito del ragazzo è sempre la famiglia, che magari ne ha disponibilità. Credo allora che il ragionamento sull'incrocio con i conti, sulla disponibilità e così via, sia necessario per salvaguardare non solo i giovani e i meno giovani, ma anche le famiglie costrette a entrare in gioco. Il discorso non è solo economico, ma anche educativo di un sistema che forse del gioco ha fatto anche proprio un'evoluzione di questo Paese, come evinciamo dai dati.
CRISTIANO CANNARSA, presidente e amministratore delegato di SOGEI Spa. Riferendomi, anzitutto, alla nuvola rappresentate sulla slide e alla parte che riguardava la Guardia di finanza, probabilmente la domanda andrebbe rivolta anche alla Guardia di finanza. Il Corpo dispongono di banche dati che vanno al di là dei dati puramente fiscali, ha accesso a quelli che riguardano la criminalità, le notizie di reato e via dicendo. Ha, quindi, sicuramente un perimetro di osservazione più ampio. Ciò che più conta però è la forte collaborazione con la Guardia di finanza e la compenetrazione delle strutture. Lavoriamo con i principali reparti, in particolare con il VII, con lo SCICO e con il GICO della Guardia di finanza, per tutta Pag. 19l'attività che questi svolgono relativamente al contrasto alla criminalità organizzata e alla evasione fiscale.
C’è una forte connessione tra criminalità, evasione e attività finanziaria. Non esiste infatti un'attività criminale che non abbia una finalità economico-finanziaria. Questo fa capire quanto sia centrale il ruolo della Guardia di finanza insieme alle altre forze di polizia nell'attuazione delle strategie di intervento. La disponibilità delle banche dati fiscali ne amplia la capacità d'azione e per noi è veramente motivo di orgoglio poter collaborare a queste attività, spesso anche operative.
Quando, ad esempio, procediamo ai sequestri sulle sale gioco di apparecchi illegali, la Guardia di Finanza si muove con noi, nel senso che delle persone SOGEI si recano coi ROS o altri reparti della Guardia di finanza presso queste sale perché servono in loco sulle schede è necessario verificare sulle schede manomissioni di alcune componenti che garantiscono l'integrità del sistema.
Non me ne vorrà il Comandante generale, ma ripeto che per noi è motivo di orgoglio diventare di fatto, come è riassunto nel modello contrattuale in house di SOGEI, parte della Guardia di finanza. Lo stesso discorso vale per l'Agenzia delle entrate e per l'Agenzia delle dogane. Il modello in house favorisce queste forme di integrazione. Il Corpo dispone di altre banche dati, in linea con il ruolo istituzionale della Guardia di finanza, ma a livello informatico c’è una forte integrazione e una forte collaborazione.
Sul fronte internazionale, come si richiamava giustamente a proposito delle frodi carosello e del monitoraggio delle relazioni tra soggetti italiani e società estere, l'attività è svolta prevalentemente dall'Agenzia delle entrate e dalla Guardia di finanza. Esistono protocolli di collaborazione internazionale e so che stanno lavorando molto per far sì che diventino sempre più efficienti. L'invio verso l'estero dei dati italiani e la ricezione dei dati dall'estero avvengono spesso su base volontaria e collaborativa. Non esistono forme di penalizzazione per chi non invia i dati. Alcuni Paesi forniscono più dati e altri ne forniscono meno. La forte connotazione internazionale è garantita dal fatto che l'Agenzia delle entrate, ad esempio, si interfaccia con i porti e gli aeroporti di tutto il mondo, per cui è una ma rappresenta la sede di informazioni rilevanti. La Guardia di finanza e l'Agenzia delle entrate con la governance del Ministero dell'economia e delle finanze garantiscono le strategie più opportune. Sarebbe, però, presuntuoso sostenere che non vi sia anche in questo ambito da lavorare. Al contrario, c’è molto da fare anche su quel fronte, ma i risultati sono già abbastanza soddisfacenti.
Sul fronte del catasto, non voglio entrare nelle competenze dell'Agenzia delle entrate, che governa il processo, attuando la normativa. Noi siamo una delle componenti di attuazione. Il catasto è oggettivamente un mondo complesso. La sua attuale struttura è radicata nella storia, e a livello tecnologico sono stati compiuti grandi passi avanti. Abbiamo, infatti, le mappe digitalizzate, le ortofoto. Inoltre, abbiamo potuto condurre un'attività di contrasto all'evasione anche sugli «immobili fantasma» molto intensa. C’è stato, infatti, un lavoro di sovrapposizione delle ortofoto con le mappe catastali e ne sono emersi numeri rilevanti in termini di immobili fantasma e rendite presunte attribuite a tali oggetti. La riforma del catasto è un progetto di informatica pubblica complesso, che riguarda tutte le amministrazioni comunali del territorio, simile all'Anagrafe, in cui interagiscono l'ambito locale e quello centrale. E’ un progetto complesso da un punto di vista organizzativo generale poiché necessita di un accordo tra tutti i soggetti coinvolti in merito alla tipologia migliore di dato in ambito catastale, alle modalità di aggiornamento, all'individuazione degli utenti e via dicendo. Francamente, non posso esprimermi sulla tempistica, ma ritengo che i tempi siano coerenti con quelli di un progetto complesso. Non significa che in 5 anni il catasto non evolva. Il bello dell'informatica è che va sempre avanti e, quando entra in funzione un nuovo sistema, il nuovo sostituisce il vecchio. Avere Pag. 20un nuovo catasto entro una data non vuol dire che da qui a quel momento il catasto attuale non si evolve. Il catasto è già in continua evoluzione. Le banche dati possono essere aggiornate e migliorate continuamente dal punto di vista qualitativo. Ci sarà un momento in cui sarà rilasciato il nuovo sistema del catasto e, a quel punto, il sistema Paese salirà di livello, ciononostante l'evoluzione informatica è continua anche nell'ambito delle strutture esistenti.
Lo stesso discorso vale per la delega fiscale, e quindi la disponibilità di dati sempre aggiornati. Penso che sia più un tema di strategia di governo della materia che non di acquisizione e condivisione dei dati, che oggi sono un problema secondario. Ci sono le tecnologie. Quando riceviamo, ad esempio, i 40 milioni di dichiarazioni dei redditi entro il 30 settembre, in una settimana mettiamo a disposizione quei dati on line per il lavoro di tutte le Agenzie fiscali. In una settimana siamo in grado di effettuare la verifica di tutte le dichiarazioni dei redditi e metterle a disposizione degli uffici, ciò che prima avveniva in mesi: vi è già un'efficienza, un'implementazione continua di questi sistemi. A mio avviso, il punto critico non è quello dell'acquisizione e della condivisione dei dati.
PRESIDENTE. Ringrazio la dottoressa Scafuri, responsabile delle relazioni istituzionali della SOGEI, l'ingegner Cannarsa e tutti gli intervenuti. Oggi alle 16.00 incontrerò in via informale il Comandante generale della Guardia di finanza, il generale Saverio Capolupo in vista di una sua prossima audizione in Commissione.
Dichiaro conclusa l'audizione.
La seduta termina alle 10.40.
- La Presidente
della Camera - Il Senato
della Repubblica - Parlamento.it
- Altre istituzioni
Camera dei deputati 2015 © Tutti i diritti riservati
