[Discussioni] Software per pagamento e dichiarazioni Agenzia Entrate

miKe m.m.asciutti a email.it
Mer 5 Dic 2007 12:58:28 CET 

Di seguito una copia di lettera che ho inviato per chiedere alcuni 
chiarimenti sui programmi utilizzati dall'Agenzia delle Entrate per i 
pagamenti online, la compilazione di F24 ecc.
Credo, purtroppo,  siano problemi abbastanza comuni.

*************
Buongiorno,
Mi chiamo Michele Asciutti, risiedo in Trentino AA, sono responsabile  
sicurezza informatica presso una PA  e scrivo a nome di mio padre, 
residente in Umbria e  titolare di Partita IVA che, per il proprio studio 
tecnico, deve utilizzare alcuni servizi forniti dall'Agenzia, ma da anni 
riscontra sistematicamente gli stessi problemi.

Scrivo quindi per chiedere un parere relativo alle procedure utilizzate sul 
sito dell'Agenzia delle Entrate,
in particolare se siano in linea con le attuali normative riguardo 
l'accessibilità dei siti web istituzionali, i principi di non 
discriminazione e  antitrust, ed inoltre, trattandosi di procedure 
amministrative con pieno valore legale, se siano sufficientemente sicure.

Purtroppo, infatti, nonostante alcune segnalazioni già inviate all'Agenzia,
ancora oggi il software necessario alla compilazione e trasmissione dei 
dati tributari è di tipo chiuso e funziona soltanto su 2 sistemi operativi 
proprietari:
http://www.agenziaentrate.it/ilwwcm/connect/Nsi/Strumenti/Software/Dichiarazioni/Unico+PF+2007/
http://www.agenziaentrate.it/ilwwcm/connect/Nsi/Strumenti/Software/Modelli+F23+e+F24/Software+per+la+compilazione+del+modello+di+pagamento+F24+On+Line/
http://www.agenziaentrate.it/ilwwcm/connect/Nsi/Strumenti/Software/ComunicazioniDomande/Comunicazione+Elenco+Clienti+e+Fornitori/
nonostante quanto riportato sul comunicato stampa del 14 
settembre 2006:  
http://www.agenziaentrate.it/ilwwcm/resources/file/ebdcb94ad370a22/cs_versamenti.pdf
"In considerazione del numero crescente di utenti dotati di computer con 
piattaforma Linux, ancorché ovviamente in configurazione dual boot con il 
sistema operativo Windows che garantisce la piena utilizzabilità degli 
attuali software applicativi, l’Agenzia sta progressivamente rilasciando 
le versioni adeguate al sistema operativo open source dei propri prodotti 
informatici. Il primo di essi già disponibile è Gerico 2006, il porting di 
F24 online e di F24 cumulativo è in corso di predisposizione. Di una prima 
versione Web di F24 online, fra l’altro, è previsto il debutto per gennaio 
2007."
Ancora oggi i possessori di GNU/Linux o di ogni altro sistema operativo 
differente da MS Windows o Mac OS non possono utilizzare il software 
rilasciato dall'Agenzia.

Oltre all'esclusione di una serie di utenti, che devono quindi acquistare 
un prodotto solo per assolvere ad obblighi di legge, vorrei evidenziare 
delle lacune relative alla trasparenza dei dati prodotti e problemi 
legati alla sicurezza dell'intero sistema.
Il software produce flussi di dati non verificabili dall'utente, che 
vengono  validati da procedure chiuse e delle quali non 
si conoscono i codici sorgenti e gli algoritmi utilizzati.
Un errore del software potrebbe causare la trasmissione di dati errati, ma 
congruenti secondo le procedure dei programmi di controllo? 
Oltre alla stampa in pdf (non firmata digitalmente quindi di dubbio valore 
legale) che modi ha l'utente  per verificare quindi cosa sia stato 
realmente trasmesso e, soprattutto, se quanto trasmesso corrisponda a 
quanto realmente immesso nel programma?
http://www.agenziaentrate.it/ilwwcm/connect/Nsi/Strumenti/Software/ComunicazioniDomande/Controllo+comunicazioni

Nel mondo del software e in particolare della sicurezza, questo modello 
viene definito "Security through obscurity" cioè Sicurezza tramite 
segretezza; un sistema usato dai produttori di sistemi chiusi secondo i 
quali tenere segreto il funzionamento interno di un sistema lo rende più 
sicuro, dato che un eventuale attaccante avrebbe maggiore difficoltà nella 
scoperta di eventuali falle del sistema stesso.
In crittografia esiste un principio opposto (detto principio di 
Kerckhoffs), che afferma che il progettista di un sistema deve presumere 
che l'attaccante conosca il sistema alla perfezione, con l'unica eccezione 
della chiave crittografica.
Un parallelo illuminante può essere quello di una normale serratura 
meccanica, con azionamento ben conosciuto ma apribile solo con la chiave 
giusta.
http://it.wikipedia.org/wiki/Sicurezza_tramite_segretezza

Ritornando al problema sicurezza, è ancora più grave il fatto che  come 
piattaforma necessaria al funzionamento di tali programmi  vengano 
utilizzati  prodotti software basati su versioni obsolete e non più 
supportate dal produttore: la Java VM versione 1.3 non è più supportata da 
SUN pertanto non vengono rilasciati aggiornamenti relativi alla sicurezza 
del prodotto. 
http://java.sun.com/j2se/1.3/download.html 

Assodato dunque che molti contribuenti attenti alla sicurezza (e attenti 
alla legge ed a una puntuale attuazione del DPS) che si sono 
dotati di sistemi aperti per evitare problemi di virus e insicurezza 
intrinseca non possono utilizzare il software,  occorre segnalare un ultimo 
problema:
gli utenti devono fidarsi dei certificati di protezione  pubblicati sul 
sito (anche questi solo per piattaforma proprietaria ma comunque 
importabili anche su browser liberi)
http://telematici.agenziaentrate.gov.it/Main/Certificati.jsp
i quali devono essere scaricati su un canale insicuro  (http) 
e installati manualmente in modo che il browser li identifichi come 
affidabili, ma che tali non sono in quanto non sono controfirmati da una 
autorità di certificazione terza (una Root CA) ma soltanto dall'Agenzia 
che li ha emessi (self signed).
Chiunque con un minimo di competenze tecniche può scrivere un suo 
certificato intestandolo a nome dell'Agenzia, quindi con tecniche più o 
meno sofisticate sostituirsi alla stessa,  in quanto l'utente che installa 
il certificato non ha possibilità di controllo.

Riassumendo, le domande che pongo, ma che pongono molti utenti di software 
libero sono:
-come mai i software il cui utilizzo è obbligatorio, sono rilasciati, da un 
ente pubblico, solo per piattaforme proprietarie?

-A quando un rilascio anche per sistemi liberi o almeno cross platform o 
magari web based?

-Come mai il software è basato su una versione  di JVM non più supportata 
da Sun ? Quale sicurezza garantisce una versione obsoleta della VM?

-Come mai i certificati di protezione,  anche questi  solo per piattaforme 
proprietarie, non sono firmati da una  root CA ma soltanto  autofirmati ?

-Come mai se il download dei certificati avviene su canale insicuro non è 
stato previsto un sistema di controllo dell'integrità tramite terza via, 
come avviene invece per i PIN ?

Capisco che l'informatizzazione della PA avvenga per gradi ma è 
inspiegabile che venga reso obbligatorio l'uso di procedure potenzialmente 
insicure.
**************

-- 

bye

miKe

_______________________________________
GNU/Linux - Slackware current -  2.6.23  
L.R.U.#219755  L.R.M.#110932 S.R.U.#705   
Socio MajaGLUG: http://www.majaglug.net 
 
 
 
 --
 Email.it, the professional e-mail, gratis per te: http://www.email.it/f
 
 Sponsor:
 Vendi l'auto? La moto? La barca? Il Camper? Affitti un appartamento? 
* Per concludere i tuoi affari pubblica gli annunci con AdBoom.it! Facile. Veloce. Gratuito
* 
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?midr22&d=5-12

More information about the discussioni mailing list