Produttori di schede, integratori e creatori di servizi sono concordi: il patrimonio tecnologico attuale garantisce lo scambio sicuro di dati via smart card. Perché, dunque, il settore non decolla? Colpa della sfiducia del mercato, del Roi, delle istituzioni. E un po’ anche degli standard.
Parlare di smart card e di mercato italiano significa fare luce su uno iato. Un divario che si è creato in seguito alla conclamata disponibilità di una tecnologia e alla latenza di un mercato che, da un lato aspetta sempre uno stimolo dal settore pubblico, dall’altro rimpiange la disponibilità di effettivi gradi di libertà sul settore privato. Una situazione prettamente italica, quindi, dalla quale si verrà fuori a fatica. Una data è (quasi) certa: 2006. Per quell’anno le carte a microchip si impossesseranno del sistema bancario e per allora, stanti le cointeressenze che il mercato mostra di gradire, è probabile che sulla stessa carta si concretizzerà il fenomeno agognato della multi-applicazione, l’unico che può garantire l’economicità di gestione di una carta a microprocessore.
Per ora si deve attendere. E apprezzare i timidi risultati raccolti da un ente qua, da una banca là. Non lo diciamo noi, ma cinque protagonisti tecnologici, attori di questo mercato, a cui abbiamo dato la parola per avere uno spaccato di ciò che è lecito attendersi.
Per tutti la parola d’ordine è "generare fiducia nell’utente". Per far questo basta far capire che il dato sulla smart card è sicuro, proprio perché i fornitori di tecnologia e di servizi fanno le cose seriamente. Che poi è quanto emerge da ogni dichiarazione fattaci.
I produttori di carte
Secondo Marco Torri, direttore commerciale di Oberthur Card System in Italia, "esiste un grande mercato a volumi, quello delle Tlc mobili, dove chi opera ha bisogno di essere competitivo e deve dare servizi affidabili al cliente. Il mercato italiano è il più evoluto al mondo: da noi si introducono le innovazioni, come le Sim a 64 e 128 Kb. Il secondo mercato potenziale è quello del sistema bancario. Le banche stanno vivendo l’introduzione del chip nella carta, spinta dal cartello Visa-Mastercard. Ma in Italia la logica del Pin-carta magnetica funziona ancora bene e si fa troppo poco e-commerce per giustificare l’adozione immediata di una chip card".
Oberthur sta lavorando da tre anni con le banche per l’introduzione della carta a chip. L’Abi ha avviato il progetto di migrazione. Il progetto è stato condotto con 15 istituti per preparare il sistema, dall’host alla carta. Il tutto è stato terminato il 30 giugno scorso. "Noi – specifica Torri – abbiamo lavorato, sotto il profilo tecnico, con 13 delle 15 banche coinvolte per un anno e mezzo. Il problema fondamentale per la diffusione della smart card è mettere i terminali di lettura laddove ora si usa la moneta". Poi c’è l’ambito della firma digitale, "ma qui – dice Torri – finiamo nel mercato della Pa, che purtroppo fa voli pindarici e non tiene conto della realtà, che è fatta da costi alti e da standard da rendere compatibili. Il miglior progetto visto sin qua è quello della regione Lombardia, coerente e prudente. Può rappresentare un volano per le altre Pa".
Anche per Enzo Della Calce, country manager di Renesas Technology, il traino sono le Tlc: "Per il mercato della telefonia Gsm realizziamo 12 milioni di carte al mese. Oggi la domanda è altissima per le carte a 64 Kb, e Tim sta tentando di partire con la 128 Kb, che è abilitata al passaggio all’Umts".
Quanto pesa il costo industriale? "È indifferente. Quello che conta è l’applicazione", sottolinea Della Calce. I costi tecnici, infatti, sono bassi: la carta magnetica è nell’ordine dei centesimi, e ciò che costa maggiormente è la personalizzazione. La smart card può andare da 2 a 10 euro, a seconda delle capacità di memoria caricate. "Per la sua diffusione – dice Della Calce – l’ideale sarebbe il cost-sharing fra soggetti multiutility".
E allora, le smart card, perché sinora non hanno funzionato? "Sono stati fatti grandi investimenti per grandi programmi, con Roi lunghissimi".
I principali item che le carte devono soddisfare, secondo il manager, sono, la sicurezza, l’inattaccabilità, la resistenza alle temperature, al laser, alla clonazione, la minimizzazione dello spazio occupato dal silicio. "Fra gli sviluppi – spiega il manager – ci interessa lo standard Emv, quello proposto da Mastercard e Visa, così come la carta d’identità elettronica. Aspettiamo tutti il passaggio dal magnetico al chip, cioè il via da parte dell’Abi. Problemi di tecnologia non ce ne sono. Di capacità produttiva nemmeno. L’unico problema è che il mercato deve velocizzarsi e la spinta la possono dare solo le istituzioni".
La sicurezza embedded
La security, nel senso dell’inattaccabilità dei dati, così come evidenziato dai produttori di tecnologia di base, è al centro delle considerazioni di Massimo Vulpiani, senior consultant di Rsa Security. "L’esperienza – dice il manager – ci ha fatto conoscere le esigenze dell’utente finale. L’approccio da tenere è olistico, ovvero la soluzione finale deve garantire la sicurezza e al contempo deve essere accettata dall’utente, che deve comprendere il valore di cosa c’è dietro. E i moduli software fanno capire cosa è in realtà una smart card. Moduli come quello per la firma digitale, il cui unico pregio deve essere quello di risultare trasparente a chi lo utilizza". L’obiettivo di Rsa, quindi, è rappresentato dall’utenza aziendale, a partire da soluzioni di Single-sign-on per multi-operazioni, tutte da eseguirsi con la stessa card, potenziate, anche con il riconoscimento dell’impronta digitale. Ma quali utenti? "Banche e assicurazioni, prima di tutto, che utilizzano già badge di accesso al proprio edificio, e che sappiano cogliere il vantaggio di costo che la nuova generazione di smart card consente".
Per aggirare il problema del lettore della smart card, che deve essere in grado di riconoscere la tecnologia che gli passa davanti (ottica, radiofrequenza, biometrica) si può usare l’escamotage del token Universal serial bus, dato che ormai tutti i computer sono dotati di porta Usb. "Del resto – spiega Vulpiani – sotto il profilo dell’integrazione non ci sono problemi, dato che tutti i driver per i token sono riconosciuti da tutte le versioni di Windows, da 2000 in su. E per quanto riguarda la gestione centralizzata dei componenti di riconoscimento e integrazione, stiamo rilasciando un server applicativo apposito". Si tratta del progetto Nightingale di Rsa, per il quale non dovrà più esistere in azienda un dato cifrato unico, ma questo sarà suddiviso in almeno due elementi, separati tra loro, logicamente e anche fisicamente. Il che significa, impenetrabilità del dato sensibile generato dal passaggio di una smart card da qualche punto dell’azienda.
Ma quanti usano la smart card in Italia? "Effettivamente – analizza Vulpiani – pochi. I numeri non sono quelli che ci si aspetterebbe". Insomma, servirebbe un sferzata, dato che la tecnologia abilitante c’è. E a chi tocca l’onere della divulgazione della tecnologia, se non alla Pa? Eppure, anche la Pa mostra il fianco a ritardi in merito. "La legge sulla firma digitale – spiega Vulpiani – non è stata tardiva, è stata solo male interpretata. Teniamo presente che non esiste altro Paese in Europa dove sono state create dodici Certification authority pubbliche. Il problema è che molte aziende utenti hanno pensato che per avere certificati digitali corretti sia necessario costruire architetture grandi come quelle delle Ca pubbliche. Il che non è vero. Non vanno confusi i rapporti privati digitalmente certificabili, con quelli pubblici. Per i primi bastano davvero pochi elementi e l’attività certificativa è corretta".
E siccome alle aziende ciò che serve è proprio certificare la propria attività privata, ecco scoperto dove sta il problema della mancata diffusione della firma digitale in azienda (secondo Rsa): la corsa a costruire infrastrutture più grandi di quello che dovevano essere. Corsa che si è ovviamente fermata di fronte alle difficoltà oggettive e a quelle economiche.
Meglio, quindi, puntare al mercato business, lasciando che la Pa segua le proprie dinamiche. E per il mercato aziendale, un progetto di sviluppo tecnologico, come quello chiamato Nexus, sembra essere in grado di coniugare le istanze di sicurezza con quelle di trasferimento dati via smart card. Si tratta di un’infrastruttura di identity e access management con un’unica interfaccia di gestione per tutti gli asset informatici presenti in azienda. Nexus punta a creare un unico repository dei dati degli utenti aziendali e un unico sistema di logging, garantendo il supporto degli standard di Eai. Cosa che, peraltro, sta cercando di fare anche Microsoft per la propria architettura .Net.
Cosa dice chi integra
Secondo Federico Fumagalli, consulting It Architect di Ibm Global Services, "c’è una certa attenzione da parte del mercato non solo sulle smart card, ma anche sugli smart chip, ovvero i transponder e gli Rfid. Sono di tecnologia simile, ma non sono dotati di sistema operativo, lavorano con logica cablata, quindi, e non modificabile. Generalmente sono mono-applicazione e sono caratterizzati da un costo ridotto di produzione e fruizione, e al tempo stesso garantiscono la sicurezza necessaria. Al riguardo, noi stiamo lavorando su diversi progetti. Il Rfid potrebbe essere usato, per esempio, nel libretto di circolazione, nel passaporto, nel certificato di assicurazione. La smart card, invece, ha bisogno di un sistema operativo, tutte le volte da personalizzare".
Qui i costi giocano un ruolo importante: una smart card costa, mediamente, 5 euro, l’Rfid 0,5 euro. E in questo panorama, qual è il ruolo di Ibm? "Innanzitutto è quello dell’integratore. La smart card è composta da elettronica, sistema operativo e manufacturing. Tutte queste aree richiedono competenze specifiche: non esiste chi le ha tutte e tre. Ibm ha tre laboratori che lavorano sulle smart card".
Nel disegno architetturale di Ibm, il sistema operativo, un microcode, viene impacchettato per il produttore di chip che lo inserisce, aperto, cioè in un Rom non sigillato, sul processore. Al fabbricante della carta spetta il ruolo di chiuderlo. Ibm sceglie le aziende destinate a compiere queste operazioni e gli concede la licenza per utilizzare i sistemi operativi. "Sostanzialmente – spiega Fumagalli – ci sono due grosse aree di progetto: quella con la Pa e quella con i privati. La Pa generalmente lavora sui chip per i servizi al cittadino e per la sanità. Ma sono aree di applicazione che languono. Quella relativa ai trasporti, invece, è molto attiva da un anno a questa parte. Specie per le iniziative di bigliettazione elettronica, e quindi con i Rfid".
Per l’offerta ai privati si ragiona su soluzioni di "campus", con tessere elettroniche per i dipendenti di taglio multiservizio. Per esempio, confida Fumagalli, St Micro-electronics sta lavorando a un badge corporate per i 3mila dipendenti di Agrate, di Catania e di Malta. Qui si parla di assegnare alle carte a microchip i compiti di identificazione, rilevazione, controllo fisico degli accessi, a cui si aggiungerà presto la sicurezza logica, anche con la firma digitale. St lo sta facendo direttamente, con un progetto gestito da Ginevra.
Tecnicamente, per un integratore che opera nel settore delle smart card, il problema essenziale è quello di garantire il sincronismo dei dati fra la carta e la struttura di back end. In tale ambito il ruolo principale è svolto dal cosiddetto Cms, Card management system, che lavora su database. Il Cms è fatto di un Key Ms, un Application Ms e di un un Card Ms. "Un sistema del genere – spiega Fumagalli – può costare da 20mila a 2 milioni di euro. Dipende dalla soluzione. Noi abbiamo due versioni del Cms, una delle quali basata su WebSphere, tutte, comunque per progetti medio-grandi".
E il settore pubblico? "La carta di identità elettronica langue – dice il manager – perché costa di più di una semplice smart card. Costerà 10 euro, anziché 4. Cioè l’Italia spenderà 560 milioni di euro, solo per le tessere. Inoltre l’Aipa ha deciso di mettere nella carta una banda ottica per la sicurezza. E i lettori per leggere quella banda costano almeno 2mila euro l’uno. Il costo dell’infrastruttura, solamente per le parti perimetrali, cioè carte e lettori, è ingente". E ce n’è anche per le Certification authority: "I comuni, che dovevano essere i promotori dei servizi, si sono persi e l’emergere della carta di identità elettronica ha bloccato lo sviluppo della firma digitale".
Quali servizi sulla carta
Chiamato in causa il concetto di Certification authority, lecito sentire le motivazioni di chi, grazie all’esistenza di un simile soggetto (Actalis) costruisce servizi per il pubblico: Tsp, la società collegata a Ssb, che oggi in Italia gestisce il funzionamento di un milione e 700mila carte. Secondo Federico Orlandini, direttore operativo di Tsp, la visione "non deve assolutamente essere cartocentrica. Molti progetti sono falliti proprio per questo motivo. La smart card pesa per il 20% dell’intero progetto. Il resto sono costi di sviluppo e integrazione". In questo senso, Tsp fa da collante tra i produttori di carte e i system integrator, creando soluzioni a valore aggiunto.
Ma soluzioni per chi? "Tsp – spiega Orlandini – è nata per fornire soluzioni alle banche, banalmente come quelle di borsellino elettronico. Ma da sei anni ci stiamo raccontando le stesse cose. Le applicazioni sono le stesse. Già nel 1996 era chiaro che la smart card avrebbe dovuto essere multiapplicazione per essere conveniente. Altrimenti, addio Roi".
E quali sarebbero le piattaforme multiservizio in grado di generare Roi su una semplice carta a processore? "Identificazione sicura – snocciola Orlandini – profilo dell’utente, sistemi di abbonamento e di pagamento. In tutto ciò, insisto, la tecnologia della carta pesa solo il 15-30%. Sono le problematiche di certificazione a far cambiare le proporzioni. I beneficiari di tali servizi, quindi, sono le banche e la Pa. Validi esempi di servizi realmente in uso sono rappresentati dalle regioni Friuli, Val d’Aosta, Toscana, realtà dove sin dal 1997 sono stati avviati progetti di collaborazione con l’ente pubblico. Progetti scalabili, come quelli che hanno riguardato inizialmente le carte benzina delle regioni a statuto speciale, o come la carta dei servizi al cittadino di Siena".
Si dice che sul fronte bancario la sostituzione delle carte bancarie con le smart card dovrebbe avvenire entro il 2006. "Stiamo lavorando al progetto al 50% delle forze, e non è finita – spiega Orlandini. A giugno 2003 il sistema è stato testato. Ssb ha già migrato tutto il sistema informativo per supportare le smart card bancarie. Le banche non danno problemi, ma bisogna sapere che stiamo parlando di tanti standard da mettere assieme. Quindi il nostro lavoro è quello di rendere interoperabili le diverse carte, come quelle delle banche con quelle dei trasporti".
Ma con la firma digitale si fanno soldi? "Dipende dal tipo di servizio che si vuole offrire – taglia corto Orlandini -. Il cittadino acquista il servizio di firma digitale solo se capisce che gli conviene farlo".
