Cassetta delle lettere decorata
Pratiche operative

Integrare INAD nel protocollo informatico

Francesco Del Castillo 0 Commenti , , , ,

Prendo spunto da un post di Sergio Sette su LinkedIn che invita le pubbliche amministrazioni a far integrare la consultazione di INAD nel proprio protocollo informatico. Mi propongo, quindi, di condividere una breve guida su come (richiedere di) implementare la consultazione del registro INAD nel protocollo informatico.

Cosa è INAD

Consapevole che molti non tollerano acronimi non sciolti e potrebbero per questo interrompete la lettura, ricordo che INAD è l’Indice nazionale dei domicili digitali (per esteso, “indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese”). INAD consente a tutti i cittadini di registrare un proprio recapito di posta elettronica certificata in modo che sia disponibile alla pubblica amministrazione per inviare e ricevere comunicazioni elettroniche con pieno valore legale.

Consultare INAD

INAD si può consultare tramite la pagina web https://domiciliodigitale.gov.it/ oppure in interoperabilità (API) grazie alla mediazione della PDND (Piattaforma Digitale Nazionale Dati). Quest’ultima modalità è quella che ci interessa in questo frangente. In entrambi i casi, comunque, sono possibili due tipi di interrogazione:

  • estrazione: da un codice fiscale si ottiene l’eventuale domicilio digitale presente al momento nel registro;
  • verifica: da un indirizzo PEC, un codice fiscale e una data si può conoscere se quell’indirizzo PEC era il domicilio digitale di quella persona a quella data.

Tramite interoperabilità si possono fare anche estrazioni massive: da una lista di codici fiscali si ottiene una lista di domicili digitali.

Integrare INAD nel protocollo informatico: perché

Detto che chi sta registrando un documento (nativo digitale, ovviamente) in partenza nel protocollo informatico può tranquillamente consultare la pagina web di INAD per sapere se il destinatario ha un domicilio digitale generale, farlo senza uscire dall’interfaccia del protocollo informatico è senz’altro comodo, oltre ad abilitare la possibilità di tenere traccia dell’origine dell’indirizzo PEC.

Requisiti di base

Perché la consultazione possa avere luogo è necessario avere il codice fiscale del destinatario. Il protocollo informatico quindi deve avere a disposizione il codice fiscale come dato strutturato, cioè avere un campo specifico dedicato al codice fiscale del corrispondente. Questo requisito dovrebbe essere soddisfatto da tutti i protocolli informatici, visto che il codice fiscale è un metadato obbligatoriamente previsto per la descrizione di tutti i soggetti in qualche modo collegati a un documento.

Inoltre, la consultazione di INAD tramite API richiede anche di specificare il motivo dell’estrazione del domicilio digitale. Le buone maniere imporrebbero che questo motivo fosse il riferimento puntuale a qualche attività determinata dell’organizzazione che sta facendo la richiesta e non un generico “invio di corrispondenza”. Inserire qualche identificativo della registrazione di protocollo (non il numero di protocollo che ancora non dovrebbe esistere in fase di inserimento del mittente) o della “pratica” in cui la comunicazione si inserisce. Del resto l’anglofono “practicalReference” come nome della chiave proprio a un riferimento a un numero di pratica sembra alludere. Quindi, la possibilità di estrarre il domicilio digitale da INAD dovrebbe essere attivata solo dopo che un valore univoco da usare come “practicalReference” sia disponibile[1]Il senso della richiesta di INAD è, in modo evidente, quello di riservarsi future verifiche sulla fondatezza della consultazione. Dal numero di pratica o da un altro identificativo che riconduce a … Continue reading.

Infine, perché recuperare l’indirizzo PEC da dentro il protocollo informatico abbia un senso, il protocollo informatico deve essere anche collegato alla casella PEC e gestire l’invio. Se questo requisito non dovesse essere soddisfatto, purtroppo, credo che sia inevitabile farsi qualche domanda aggiuntiva e rivedere pesantemente la propria gestione documentale[2]Il dpcm 3 dicembre 2013, “Regole tecniche per il protocollo informatico”, all’articolo 18, comma 1 (ancora vigente) ci dice che in una pubblica amministrazione la PEC va collegata … Continue reading.

Quanto sopra dal punto di vista del software protocollo informatico. Più in generale, occorre anche che l’amministrazione:

  • sia registrata sulla PDND:
  • abbia concluso l’accordo di fruizione con INAD;
  • abbia creato la finalità per la consultazione di INAD a partire dal protocollo (qui si specifica che si tratta di invio di comunicazioni a valore legale, si individua la corretta base giuridica e, a fantasia, si indicano i riferimenti normativi a cui siamo più affezionati fra quelli che richiedono, a un certo punto, di interagire con soggetti esterni);
  • abbia creato il client e-service e il relativo materiale crittografico.

Implementazione del dialogo con INAD

Come detto, l’accesso a INAD via API è mediato dalla PDND e non sono previsti meccanismi di autenticazione e sicurezza ulteriori rispetto al “voucher” PDND di base. Quindi:

  • si ottiene il voucher (o token JWT) dalla PDND: il software di protocollo informatico può fare questa operazione da solo a partire da zero oppure si può appoggiare a un cosiddetto “API gateway” che, da quanto recentemente appreso, è uno strato informatico intermedio (un gateway, appunto) che si frappone fra erogatore e fruitore e si fa carico di tutta la parte di autenticazione, firma, codifica e decodifica di un messaggio da scambiare in interoperabilità lasciando al software che vi si appoggia la sola parte “semantica” dell’interazione, quella di contenuto:
  • si contatta l’e-service di INAD, utilizzando il voucher appena ottenuto, con i dati utili alla consultazione: per avviare il contatto con INAD, ovviamente, l’interfaccia utente del protocollo deve prevedere un “tastino” a disposizione dell’operatore;
  • si elabora la risposta ricevuta: se il domicilio digitale esiste il protocollo informatico lo riporta nel campo destinato all’indirizzo telematico, se invece l’interrogazione restituisce un codice “404” il protocollo segnala che il destinatario non ha registrato alcun domicilio digitale su INAD.

Ora, senza pretesa di calcolare lo “sforzo” necessario a implementare il dialogo con INAD tramite PDND, segnalo solo che io stesso sono riuscito a programmarlo partendo da zero, cioè senza affidarmi ad alcun strumento esterno. L’esperienza ha avuto come esito due distinti progetti – dal gusto totalmente didattico e sperimentale, ma comunque funzionanti – disponibili su GItHub: parlaConINAD e parlaConINAD2[3]Si tratta di due progetti didattici, lo ripeto, avviati e conclusi per capire per bene come funziona la PDND. Implementare su un software reale l’autenticazione e l’interrogazione di una … Continue reading. Un software articolato come il protocollo informatico dovrebbe ben vivere di interazioni continue con altri sistemi quindi, ragionevolmente, buona parte degli sviluppi sono già presenti o si ricavano con minime modifiche da quelli esistenti.

Sarebbe poi sicuramente utile che in qualche modo il protocollo informatico evidenziasse che l’indirizzo PEC è stato estratto da INAD: meglio un metadato specifico con magari qualche evidenza grafica accanto all’indirizzo PEC nella vista della registrazione, ma almeno un’annotazione nell’immancabile campo note (“L’indirizzo PEC è il domicilio digitale estratto da INAD“).

Memorizzare il domicilio digitale?

Il domicilio digitale, per forza di cose, va memorizzato fra i (meta)dati della registrazione di protocollo e resterà per sempre nel messaggio di posta elettronica certificato inviato. Tuttavia, se per caso il protocollo informativo avesse una sua anagrafica locale, non è assolutamente una buona idea memorizzare il domicilio digitale estratto da INAD così da averlo disponibile per usi futuri.

Questo è quanto ci raccomandano le Linee guida INAD in nome del principio di esattezza a cui, GDPR alla mano, tutti i trattamenti di dati personali (quali il domicilio digitale è) devono conformarsi. A pensarci bene, comunque, visto che estrarre un domicilio da INAD è operazione estremamente veloce soprattutto dopo lo sforzo fatto per integrarlo nel protocollo informatico, siamo proprio sicuri di voler fare affidamento a un domicilio digitale estratto tempo addietro? l’indirizzo non esiste più, minimo minimo, ci aspetta la seccatura di vederci tornare indietro il messaggio PEC; se poi esiste ancora ma, semplicemente, il destinatario lo ha eliminato da INAD (è una sua facoltà) siamo convinti di aver inviato correttamente e invece tutto il valore legale della comunicazione si perde.

Possiamo fare anche un salto in avanti ulteriore: potendo accedere in interoperabilità a INAD, ad ANPR (Anagrafe Nazionale della Popolazione Residente), eventualmente al Registro delle imprese, all’Indice della pubblica amministrazione (anche se in modalità per così dire asincrona) ecc., non è che forse potremmo iniziare a rivalutare la necessità di avere anagrafiche locali nel protocollo informatico e nei software in genere?

Bonus track: la verifica sulle comunicazioni in entrata

A norma del Codice dell’amministrazione digitale, un’istanza o una comunicazione inviate dal mittente dal proprio domicilio digitale sono “valide”, come se fossero firmate digitalmente (d.lgs 82/2005, art. 65, c. 1, lett- c-bis)). Integrare nel protocollo qualche ausilio per tale verifica non può che essere apprezzato. I dati per farlo ci sono quasi sicuramente:

  • l’indirizzo PEC il protocollo lo conosce, visto che sta gestendo la casella PEC e registrano il messaggio;
  • la data di invio della PEC, idem;
  • sul codice fiscale del mittente può esserci qualche incertezza: non è un dato strutturato della PEC (e nemmeno dalla futura PEC rivisitata in salsa REM) ma, ragionevolmente, se il mittente sta presentando un’istanza o una comunicazione da qualche parte il suo codice fiscale per farsi riconoscere lo ha scritto. L’operatore di protocollo lo cerca e lo riporta nell’apposito campo dedicato al codice fiscale del mittente.

Recuperati gli elementi per fare la verifica, i passaggi sono analoghi a quelli descritti per l’estrazione (incluso il riferimento al motivo della verifica). Se la verifica ha esito positivo è fondamentale che ne resti traccia nella registrazione: meglio con un metadato specifico con evidenza grafica per l’operatore, se proprio non si riesce vada per l’annotazione il mittente ha inviato il messaggio dall’indirizzo PEC registrato come domicilio digitale su INAD“.

Conclusioni

Non ho svelato alcuna verità inconfessabile, ma spero che quanto raccontato possa convincere che, alla fine, integrare INAD in un protocollo informatico, nel 2025, è un’operazione alla portata e che, magari, i protocolli dovrebbero avere la funzione di serie, anche sul modello base.

Riferimenti tecnici

Linee guida INAD

Specifiche delle API di INAD su GitHub: https://github.com/AgID/INAD_API_Extraction. Per visualizzarle in modo più comprensibile si può caricare il file YAML su https://editor.swagger.io/ (come link o come upload).

La descrizione testuale delle specifiche è qui: https://domiciliodigitale.gov.it/dgit/home/public/docs/inad-specifiche_tecniche_api_estrazione.pdf (attenzione: a metà giugno 2023, non c’era allineamento pieno fra specifiche API e loro descrizione testuale).

Foto di Petra da Pixabay

Note

Note
1 Il senso della richiesta di INAD è, in modo evidente, quello di riservarsi future verifiche sulla fondatezza della consultazione. Dal numero di pratica o da un altro identificativo che riconduce a un numero di protocollo si può controllare se l’interrogazione è pertinente o meno.
2 Il dpcm 3 dicembre 2013, “Regole tecniche per il protocollo informatico”, all’articolo 18, comma 1 (ancora vigente) ci dice che in una pubblica amministrazione la PEC va collegata al (e gestita tramite il) protocollo informatico e le ricevute di accettazione e consegna vanno associate in modo stabile alla registrazione di protocollo.
3 Si tratta di due progetti didattici, lo ripeto, avviati e conclusi per capire per bene come funziona la PDND. Implementare su un software reale l’autenticazione e l’interrogazione di una banca dati richiede, evidentemente, qualche accortezza di sicurezza in più, che comunque sono la base di un software “vero”.
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *